Para las empresas que colaboran con terceros o empresas externas, la gestión de riesgos de terceros se ha convertido en una práctica imprescindible. Es necesario gestionar los nuevos riesgos, dado que las organizaciones externalizan cada vez más servicios a terceros. Por un lado, esta dependencia ofrece oportunidades y, por otro, introduce vulnerabilidades que requieren una supervisión sistemática.
La gestión de riesgos de terceros implica evaluar continuamente todas las relaciones externas para garantizar que siguen cumpliendo los requisitos de seguridad, cumplimiento y rendimiento. Este enfoque continuo es eficaz para identificar los riesgos emergentes a medida que las relaciones y las condiciones comerciales cambian con el tiempo.
En este blog, analizaremos qué es la gestión de riesgos de terceros (TPRM) y cómo las empresas pueden establecer programas de TPRM exitosos para protegerse. También exploraremos las principales categorías de riesgo, las características de un sistema sólido de gestión de riesgos de terceros y las prácticas que ayudan a reducir los problemas.
¿Qué es la gestión de riesgos de terceros (TPRM)?
La gestión de riesgos de terceros consiste en identificar, analizar y controlar los riesgos que surgen del uso de recursos de terceros. Estas entidades externas pueden ser proveedores, socios comerciales, contratistas, etc. La TPRM examina cómo estas relaciones pueden afectar al negocio en términos de operaciones, seguridad, finanzas y reputación.
Con el aumento del número de empresas que utilizan servicios de terceros, el alcance de la TPRM se ha ampliado. La mayoría de las empresas utilizan docenas o incluso cientos de proveedores externos para sus flujos de trabajo, desde el almacenamiento en la nube hasta las herramientas de software, el procesamiento de pagos y el servicio de atención al cliente. Cada eslabón crea un posible canal para que los problemas entren en la organización. Un programa eficaz de TPRM examina estas relaciones para identificar las vulnerabilidades antes de que se conviertan en problemas.
¿Por qué es fundamental la gestión de riesgos de terceros?
La cadena de suministro digital se ha ampliado considerablemente, lo que ofrece a los atacantes más puntos de entrada para atacar los sistemas. Conectar la red a un proveedor podría crear una puerta trasera a los datos por la que otra persona podría acceder. La mayoría de las violaciones de datos de alto perfil no se dirigen directamente a las grandes empresas, sino que comienzan con algún proveedor más pequeño con una seguridad más débil. La TPRM descubre estas posibles vías de ataque y las remedia antes de que puedan ser explotadas.
Mantener una buena TPRM permite cumplir con diversas leyes, evitando así multas. El RGPD en Europa, la CCPA en California y las leyes del sector sanitario y financiero obligan a las organizaciones a evaluar los problemas relacionados con los proveedores. La empresa puede ser considerada responsable solidaria por las autoridades reguladoras si el proveedor no protege los datos de los clientes.
El TPRM se ha convertido en algo crucial, ya que la privacidad de los datos es una de las principales preocupaciones de cada vez más organizaciones. Las organizaciones siguen siendo responsables de la protección de la información de los clientes cuando la transmiten a empresas terceras. Al garantizar que todos los miembros de su red sean responsables de los datos, el TPRM reduce la probabilidad de que se produzcan problemas de privacidad que puedan comprometer la confianza en la empresa.
Tipos comunes de riesgos de terceros
Una vez que conocen los diferentes tipos de riesgos que pueden plantear los terceros, las empresas pueden defenderse de ellos de forma adecuada.
- Riesgos financieros: Los proveedores pueden experimentar inestabilidad financiera que ponga en peligro la prestación de sus servicios. Las operaciones pueden verse gravemente afectadas cuando un proveedor se enfrenta a una situación de insolvencia o experimenta importantes problemas de flujo de caja.
- Mayor riesgo de seguridad: Los proveedores pueden causar daños a los sistemas. Los piratas informáticos pueden utilizar el proveedor de software para acceder a la red si su seguridad es deficiente. El TPRM analiza cómo los proveedores protegen sus sistemas y cómo se conectan e interactúan con el sistema de la organización.
- Riesgos de cumplimiento: Estos riesgos se producen cuando los proveedores no cumplen con las leyes o las normas del sector que se aplican a su negocio. Si los socios gestionan los datos u operan en su propio interés e incumplen las normas, la empresa puede sufrir sanciones.
- Riesgos operativos: Estos riesgos afectan directamente a las funciones normales de la empresa. Van desde proveedores que ofrecen instalaciones de fabricación deficientes, hasta incumplimientos de plazos o interrupciones que afectan a servicios críticos.
- Riesgos reputacionales: Estos riesgos surgen cuando las acciones del proveedor afectan negativamente a la imagen de la empresa. Además, si un socio comienza a actuar de forma poco fiable o recibe mala prensa por algo, la gente asociará la reputación de la organización con la suya.
Componentes clave de la gestión de riesgos de terceros
Un marco de soluciones proporciona los múltiples componentes interdependientes de la TPRM necesarios para crear un programa sólido.
Descubrimiento y clasificación de terceros
Una TPRM eficaz comienza con la identificación y clasificación de terceros. Consiste en elaborar un inventario exhaustivo de todos los terceros con los que colabora la organización y clasificarlos según el grado de riesgo que representan. La clasificación tendrá en cuenta el tipo de datos a los que acceden, su importancia para las operaciones y las obligaciones reglamentarias a las que están sujetos. Esto permite dirigir los recursos hacia las relaciones que entrañan mayor riesgo.
Evaluación de riesgos y diligencia debida
Una evaluación de riesgos y una diligencia debida eficaces permiten a las organizaciones comprender los riesgos específicos asociados a cada relación. Este proceso evalúa a los proveedores antes de la firma y periódicamente después de la firma. Estas evaluaciones pueden incluir cuestionarios de seguridad o revisiones de documentos y, en algunos casos, pruebas técnicas o in situ. El objetivo es descubrir las deficiencias de control de los proveedores que pueden suponer un problema para la empresa.
Seguridad y requisitos contractuales
Se trata de disposiciones en los acuerdos contractuales que protegen los intereses de la empresa. Los contratos bien redactados incluyen no solo requisitos de seguridad, sino también normas de protección de datos, cláusulas de derecho de auditoría y una descripción clara de las consecuencias del incumplimiento de las normas establecidas. Establecen las expectativas y responsabilizan a los terceros que procesan los datos o prestan un servicio crítico para la misión.
Supervisión y reevaluación continuas
Esto mantiene actualizada la información sobre los riesgos de la organización. Cuando la TPRM es eficaz, no se espera a que se firmen los contratos para comprobar los proveedores, sino que se vigilan los cambios que podrían aumentar el riesgo. Esto incluye la supervisión de las calificaciones de seguridad, los indicadores de salud financiera, las noticias sobre los proveedores y las reevaluaciones periódicas con una frecuencia acorde al riesgo.
Planificación de la respuesta a incidentes
La planificación de la respuesta ante incidentes ayuda a las organizaciones a planificar las cuestiones que surgen con terceros. Estos planes describen las medidas que se deben tomar en caso de una violación de datos, un percance relacionado con el conocimiento o una interrupción del servicio que afecte directamente a las empresas como clientes de un proveedor. Este procedimiento reduce los daños cuando se producen incidentes y garantiza que todos los equipos de respuesta sean conscientes de sus funciones.
Ventajas de una gestión eficaz del riesgo de terceros
Las organizaciones que implementan programas sólidos de TPRM obtienen ventajas que van más allá de la reducción básica del riesgo.
Reducción de los incidentes de seguridad y cumplimiento normativo
La TPRM ayuda a detectar y solucionar los problemas antes de que causen daños. Al reconocer las debilidades de los proveedores y subsanarlas, se reduce el riesgo de infracciones y violaciones normativas. Al prevenir los incidentes de seguridad desde el principio, las organizaciones ahorran los costes y las interrupciones que pueden derivarse de la ejecución de un programa de mitigación de amenazas desde cero.
Mayor visibilidad del riesgo empresarial ampliado
Proporciona a los directivos una visión más amplia de las responsabilidades de toda la organización. En lugar de ver solo los riesgos internos, los responsables de la toma de decisiones también pueden ver cómo las relaciones externas influyen en el riesgo general. Tener esta perspectiva más amplia permite un proceso de toma de decisiones empresariales más informado, junto con una mejor asignación de los recursos de seguridad.
Mejora de la gestión del rendimiento de terceros
Un mejor rendimiento de la gestión de terceros significa que los proveedores prestan un mejor servicio a la organización. Al medir el rendimiento en materia de seguridad y cumplimiento, además de las métricas tradicionales, como los costes y los plazos de entrega, los proveedores tienen una motivación adicional para mantener los estándares. Esto eleva el nivel de las relaciones con terceros.
Eficiencia de costes gracias a la estandarización
Con el TPRM, se reduce el trabajo de gestión de los proveedores. El TPRM estandarizado crea procesos uniformes que pueden ahorrar tiempo y recursos, en lugar de los métodos individuales y laboriosos de trabajar con cada relación. Los equipos dedican menos tiempo a las evaluaciones rutinarias y más tiempo a abordar los riesgos significativos.
Mayor confianza de las partes interesadas
Las organizaciones controlan mejor los riesgos más amplios gracias a la mayor confianza de las partes interesadas. Los clientes, socios, inversores e incluso los reguladores confían más en la mitigación general del riesgo cuando ven que las empresas gestionan bien el riesgo de terceros.
Pasos para crear un marco de gestión del riesgo de terceros
El primer paso para crear un marco de TPRM es obtener el apoyo del equipo directivo. Los líderes deben comprender la justificación comercial del TPRM, como proteger a la empresa contra pérdidas financieras, multas regulatorias y daños a la reputación. Este apoyo visible también sirve para atenuar la resistencia de los equipos que pueden considerar el TPRM como una barrera para la participación de los proveedores.
El establecimiento de una metodología de evaluación de riesgos aporta coherencia al programa. Este enfoque describe cómo las organizaciones evalúan el riesgo de los proveedores, qué conclusiones son más importantes para ellas y cómo remedian los diferentes tipos de conclusiones.
La creación de estructuras de gobernanza proporciona una clara responsabilidad sobre las actividades de TPRM. Esto puede incluir la especificación de funciones y responsabilidades en todos los departamentos, el establecimiento de flujos de trabajo de aprobación y la creación de comités para revisar las relaciones de alto riesgo. Los sistemas de gobernanza proporcionan responsabilidad y disuaden de aplazar o eludir pasos cruciales. Las soluciones tecnológicas han hecho que el TPRM sea más eficiente y eficaz. Con herramientas especializadas, los equipos pueden automatizar cuestionarios, realizar un seguimiento de los resultados de las evaluaciones, recopilar informes de rendimiento de los proveedores o cualquier otro tipo de informe. Estos sistemas ayudan a minimizar el esfuerzo manual y los errores humanos y permiten conocer mejor los resultados del programa.
Asegurarse de que el personal y los proveedores comprendan su función en el TPRM. Los equipos internos deben comprender las herramientas de evaluación, cómo interpretar los resultados y cuándo plantear sus inquietudes. Las empresas necesitan que los proveedores comprendan lo que esperan de ellos y cómo serán evaluados. La formación ayuda a mantener los conocimientos especializados, a medida que el programa sigue evolucionando.
Métricas e indicadores clave de rendimiento para medir la eficacia del TPRM
La medición del rendimiento del programa proporciona a las organizaciones información sobre su progreso y sobre los aspectos en los que es necesario trabajar.
Si el perfil de riesgo de una organización cambia, puede realizar un seguimiento simplemente utilizando las puntuaciones de riesgo de los proveedores. Las evaluaciones de seguridad convierten estos factores de riesgo en una calificación global para cada proveedor. Esto ayuda a las empresas a determinar si su programa está reduciendo el riesgo agregado a lo largo del tiempo e identifica a los proveedores de servicios gestionados que requieren una atención adicional.
La cobertura del programa se evalúa con la proporción de evaluaciones completadas. Porcentaje de evaluaciones requeridas completadas a tiempo, lo que indica la etapa/fase de su finalización. Una tasa de finalización baja puede indicar un problema en el proceso o que el programa cuenta con recursos insuficientes.
La eficiencia se supervisa mediante el tiempo que se tarda en completar las evaluaciones. Se evalúa el tiempo transcurrido entre el inicio y el cierre de una evaluación de un proveedor. Los periodos de evaluación lentos pueden retrasar los proyectos empresariales y generar insatisfacción entre los equipos internos y los proveedores.
Las tasas de corrección son un indicador de la eficacia con la que se resuelven los problemas. También se centran en el porcentaje de problemas que los proveedores han resuelto con éxito en los plazos acordados. Las tasas de corrección bajas implican que los hallazgos no se abordan adecuadamente.
Los costes de los incidentes de terceros cuantifican los daños reales. Esto incluye la cobertura de las pérdidas financieras relacionadas con incidentes atribuibles a terceros, incluidos los costes por incumplimiento, la interrupción del negocio y las sanciones reglamentarias. La reducción de los costes de los incidentes a lo largo del tiempo es una señal de la eficacia del programa de TPRM.
Retos comunes de la TPRM (gestión de riesgos de terceros)
Incluso los programas de TPRM bien diseñados se enfrentan a retos que pueden limitar su eficacia. Veamos algunos de ellos.
Visibilidad incompleta del ecosistema de terceros
La gestión integral de la exposición al riesgo del ecosistema es un reto debido a la visibilidad limitada de los terceros y sus redes extendidas. Un problema aún más básico es que muchas organizaciones no disponen de un inventario completo de sus proveedores y de lo que estos ofrecen. Esta laguna suele producirse debido a la descentralización de las compras, tecnología en la sombra y un mantenimiento inadecuado de los registros.
Problemas de escalabilidad de la evaluación de riesgos
Los métodos de evaluación clásicos, como los cuestionarios elaborados y las evaluaciones in situ, consumen mucho tiempo y esfuerzo. Con el rápido aumento del número de proveedores, los equipos se han quedado sin fuerzas para seguir manteniendo la calidad de la evaluación en consonancia con las exigencias del negocio. Este dilema empuja a muchas organizaciones a sacrificar la calidad en aras de la rapidez.
Procesos de diligencia debida incoherentes
Los procesos de diligencia debida inestables proporcionan una cobertura de riesgos inconsistente. Este método de evaluación se utiliza a menudo dentro de la misma organización, pero puede asociarse de forma diferente en distintas organizaciones, lo que hace que la señal de riesgo de dichos proveedores no esté integrada y sea incomparable.
Capacidades de verificación limitadas
Las bajas capacidades de verificación reducen la confianza en el resultado de la evaluación. Algunas organizaciones aceptan las autoevaluaciones de los proveedores y basan sus prácticas en la información proporcionada sin validarla. Los proveedores pueden dar respuestas erróneas o exagerar sus controles de seguridad.
Limitaciones de recursos y experiencia
Las limitaciones de los recursos y la experiencia disponibles reducen la eficacia de los programas. Muchas organizaciones carecen de personal con las habilidades necesarias, lo que da lugar a evaluaciones superficiales o a grandes retrasos. Esto es aún más problemático dada la complejidad técnica de los servicios modernos de los proveedores.
Mejores prácticas de gestión de riesgos de terceros (TPRM)
Las organizaciones deben seguir algunas de las mejores prácticas que se indican a continuación para garantizar la eficacia del programa de TPRM.
Implementar un enfoque de clasificación por niveles basado en el riesgo
Utilizar un enfoque de clasificación por niveles basado en el riesgo para concentrar los recursos donde aportan el mayor valor. La práctica de agrupar a los proveedores según los niveles de acceso a los datos, la criticidad del servicio, el impacto normativo, etc. Los proveedores de alto riesgo están sujetos a una evaluación más profunda y a una supervisión continua, mientras que las relaciones de menor riesgo se revisan con menos rigor. Esto permite que el TPRM sea eficaz en términos de esfuerzo, debido a la correlación entre el esfuerzo y el nivel de riesgo.
Estandarizar las metodologías de evaluación
Establecer metodologías de evaluación a nivel organizativo. El uso de los mismos cuestionarios, criterios de evaluación y métodos de puntuación para todos los proveedores hace que los resultados sean comparables y más fáciles de analizar. La estandarización no solo mejora la cadencia en el ámbito de la consultoría, sino que también reduce la confusión para los proveedores que trabajan con varios departamentos dentro de la organización.
Establecer una propiedad y una gobernanza claras
Asignación de una propiedad y una gobernanza claras para garantizar que no haya lagunas en la cobertura. Al asignar la propiedad a los diferentes aspectos del proceso de TPRM, se evita la duplicación de esfuerzos y se garantiza que no se pierda nada entre medias. Una buena gobernanza incluye vías de escalamiento para los hallazgos de alto riesgo y la revisión ejecutiva de la eficacia del programa.
Aprovechar la automatización y la tecnología
Utilizar la automatización y la tecnología para ocuparse de las actividades cotidianas que los equipos deben realizar. Con las plataformas TPRM actuales, las organizaciones pueden automatizar la distribución de cuestionarios, realizar un seguimiento de las respuestas, calcular las puntuaciones de riesgo y generar informes. Estas herramientas permiten al equipo dedicar tiempo a analizar los resultados y trabajar para mitigar los riesgos clave, en lugar de gestionar la documentación.
Desarrollar métricas y informes significativos
Establezca KPIS e informes que sean relevantes. Un TPRM sólido informará a las partes interesadas sobre las métricas clave que reflejan los niveles de riesgo actuales y la eficacia actual del TPRM. Los mejores informes indican las tendencias y las áreas que necesitan ayuda sin sobrecargar al lector con detalles excesivos.
Conclusión
En el mundo conectado de los negocios actuales, la gestión de riesgos de terceros se ha consolidado como un aspecto fundamental de la forma en que las organizaciones se protegen. Los métodos y prácticas descritos en este artículo ofrecen un punto de partida para crear programas de TPRM que reduzcan el riesgo y sean verdaderamente productivos. La identificación, evaluación y control sistemáticos del riesgo de terceros pueden ayudar a las organizaciones a evitar muchos problemas de seguridad y cumplimiento normativo desde el principio.
Con el cambio continuo en el entorno empresarial hacia un mayor uso de servicios externos, una TPRM sólida será cada vez más importante. Las organizaciones que destaquen en este ámbito obtendrán una mejor protección y un mayor valor de sus relaciones con los proveedores.
"FAQs
La gestión de riesgos de terceros se refiere a los procesos y actividades que ayudan a identificar, evaluar y gestionar los riesgos asociados con organizaciones externas, como proveedores, distribuidores, prestadores de servicios y socios comerciales.
La TPRM en el contexto de la ciberseguridad consiste en defender a la organización contra las amenazas que pueden introducirse a través de las relaciones con terceros. Esto implica investigar cómo gestionan los datos los proveedores, evaluar sus controles de seguridad, examinar minuciosamente si hay brechas o vulnerabilidades en sus sistemas y verificar que cumplen con las mejores prácticas de seguridad para garantizar que no se conviertan en una puerta de entrada para los ataques.
Un marco TPRM ayuda a una organización a definir estratégicamente cómo va a gestionar los riesgos de terceros a nivel interno. Abarca las políticas, los procedimientos, las funciones, las herramientas y las normas que utilizará para regular sus relaciones con los proveedores.
Implica recopilar información sobre el proveedor mediante cuestionarios, revisiones de documentación e incluso visitas in situ. Compare estos datos con las necesidades de seguridad y cumplimiento. Evalúe el riesgo basándose en estos resultados y en la relación.
Por lo general, la gestión de riesgos de terceros implica a muchos equipos diferentes. El proceso de selección y contratación de proveedores lo dirige en gran medida el departamento de compras. La seguridad de la información determina el riesgo técnico. Las comprobaciones de cumplimiento son los requisitos normativos. El departamento jurídico revisa los contratos. A continuación, las unidades de negocio que utilizarían los servicios de los proveedores aportan las instrucciones operativas.
El riesgo que plantea cada relación es único, por lo que también debe serlo la frecuencia de la revisión de los riesgos de terceros. Otros, como los proveedores con acceso a datos confidenciales o los que prestan servicios críticos, pueden exigir a las empresas que revisen su rendimiento trimestralmente. Los proveedores con un nivel de riesgo medio pueden evaluarse anualmente.
