¿Qué es la gestión de riesgos de terceros (TPRM)?

Los terceros son importantes para el éxito de la empresa, pero pueden introducir riesgos de diversas maneras.

Trabajar con terceros puede suponer un riesgo para tu empresa. Si tienen acceso a datos confidenciales, podrían plantear riesgos para la seguridad; si proporcionan un componente o servicio esencial para tu empresa, podrían introducir un riesgo operativo, etc. La gestión de riesgos de terceros permite a las organizaciones monitorizar y evaluar el riesgo que representan las terceras partes para identificar dónde excede el umbral establecido por la empresa. Esto permite a las organizaciones tomar decisiones informadas en cuanto al riesgo y reducir el riesgo que representan los proveedores a un nivel aceptable.

Los terceros son clave para el éxito de una empresa. Las organizaciones de todos los tamaños cada vez dependen más de terceras partes para su innovación, crecimiento y transformación digital.

Sin embargo, una fuerte dependencia de terceros puede ser arriesgada. La posición de riesgo de un tercero es crucial para la posición de riesgo, resiliencia y reputación de la empresa que utiliza al tercero. Puede ser muy costoso y difícil lidiar con un incidente de terceros, con consecuencias que pueden incluir medidas reglamentarias, daño a la reputación y pérdida de ingresos. Se debe examinar a fondo a los terceros con evaluaciones de riesgo continuas para garantizar la protección y la seguridad de una organización.

Antes, la gestión de riesgos de proveedores era una tarea larga y propensa a errores, que consistía en procesos manuales que utilizaban correos electrónicos, hojas de cálculo y herramientas de gestión de riesgos de proveedores aislados. Estos procesos y herramientas simplemente no son adecuados, ni las herramientas ni los equipos pueden hacer frente al creciente número de terceros. Los desafíos frecuentes que enfrentan las empresas que no han implementado soluciones modernas o integrales incluyen:

  • Procesos manuales: baja eficacia en la supervisión de terceros y una mayor cantidad de tiempo para encontrar y mitigar problemas.
  • Falta de escalabilidad: los equipos que utilizan una herramienta no escalable no dan abasto con la gestión de terceros, lo que puede aumentar el riesgo.
  • Aislamiento: demasiados compartimentos aislados pueden crear dificultades para acceder a la información de riesgo en toda la organización.
  • Desconexión: la falta de contexto empresarial dificulta la priorización de los riesgos de terceros durante el ciclo de vida del proveedor o cuando cambian los requisitos.

A continuación se presentan algunas consideraciones importantes que se deben tener en cuenta a la hora de elegir a terceros. Las respuestas determinarán el nivel de riesgo que representan para la empresa:

  • ¿A qué tipo de datos acceden? ¿Qué tipo de acceso se les ha otorgado?
  • ¿Trabajan con cuartas partes que podrían plantear desafíos de entrega?
  • ¿Están asentados en una parte inestable del mundo?
  • ¿Ofrecen algún producto o servicio crítico? Si es así, ¿necesitamos disponer de un proveedor alternativo?
  • ¿Cuál es su historial de seguridad, de qué prácticas recomendadas disponen y cuáles ejecutan? (Higiene básica, parches de nivel de servicio, historial de filtraciones, etc.)
  • ¿Tienen planes de continuidad empresarial?
  • ¿Cumplen con la normativa que ha determinado tu organización?
  • ¿Cuál es su situación financiera?

Riesgo estratégico

La estrategia puede verse amenazada cuando las terceras partes y las organizaciones no están coordinadas en sus decisiones y objetivos. Es fundamental realizar un seguimiento de las terceras partes para asegurarse de que el riesgo estratégico no conduzca a una falta de cumplimiento o a un posible riesgo financiero.

Gráfico que muestra los diferentes tipos de riesgos de terceros.

Riesgo para la reputación

La reputación de una empresa también puede depender de la reputación de un tercero con quien hace negocios. Si un tercero tiene un problema con la reputación o una filtración de datos, puede disminuir la confianza del cliente en la empresa que trabaja con dicho tercero.

Riesgo operativo

A veces, las operaciones pueden depender de aplicaciones y servicios de terceros, y siempre existe el riesgo de que el tercero pueda resultar víctima de un ciberataque o de una interrupción en el servicio que pueda llevar a interrupciones operativas en la empresa, a una pérdida de datos o a una violación de la privacidad. Si hay cuartas partes involucradas, se aplican las mismas consideraciones.

Riesgo de transacción

Puede haber problemas con la entrega de un producto o una prestación de servicio de un tercero que pueden causar problemas transaccionales dentro de una organización.

Riesgo de cumplimiento

Los estándares están comenzando lentamente a incorporar los riesgos de terceros como un requisito de cumplimiento, por lo que la tolerancia del riesgo de cumplimiento también se debería extender a terceros.

Riesgo de seguridad de la información

Independientemente de la forma que adopten los datos, existe un grado de riesgo que surge de permitir que un tercero interactúe con los datos, incluido el riesgo de acceso no autorizado, de interrupción, modificación, registro, inspección o destrucción de información.

Riesgo financiero

Es importante trabajar con terceros que sean viables en términos financieros para evitar interrupciones en la cadena de suministro. Además, es posible que los terceros que tengan problemas financieros no presten la debida atención a las medidas de seguridad, lo que los expone a riesgos innecesarios.

Existen algunos pasos esenciales para la gestión de riesgos de terceros:

Incorporación

Cuando se considera trabajar con un tercero, antes de incorporarlo formalmente es importante realizar una evaluación de riesgos inicial como parte del proceso de toma de decisiones. Puedes utilizar datos externos para obtener una visión más amplia del riesgo de terceros usando, por ejemplo, las calificaciones de ciberseguridad para medir su situación en materia de seguridad. Esto reduce la posibilidad de heredar, sin saberlo, un riesgo no deseable.

Nivel

Ya sea como parte de la evaluación de riesgos inicial, idealmente antes de la incorporación, o tan pronto como el tercero se haya incorporado, debe realizarse una evaluación de niveles. Esta evaluación se realiza internamente e implica colocar al tercero en un nivel que indique el tipo y la frecuencia de las evaluaciones que se llevarán a cabo para dicho tercero. Los proveedores de nivel 1 o críticos son los del nivel más alto. Algunos proveedores pueden estar en un nivel que no requiera evaluaciones periódicas (por ejemplo, los terceros que cortan el césped). Si es necesario, se pueden utilizar datos externos, por ejemplo de proveedores de clasificación de la seguridad.

Evaluación

Los terceros de los niveles superiores deben someterse a evaluaciones de riesgo periódicas. Estas deben basarse en el área de riesgo que representa el tercero. Por ejemplo, los proveedores que fabrican un componente pueden plantear cuestiones sobre empleados, salud y seguridad en el trabajo, mientras que es posible que las empresas de consultoría no lo hagan. Sin embargo, todos los terceros plantean cuestiones sobre su situación de seguridad y su viabilidad financiera. La frecuencia de estas evaluaciones se basa en el nivel, donde el nivel más alto requiere evaluaciones más frecuentes.

Generar conclusiones

Cuando se devuelve una evaluación, es posible que haya respuestas que no sean satisfactorias o que estén incompletas. Además, se debe evaluar en este momento cualquier dato externo objetivo que se recopile acerca de la posición financiera o de seguridad de terceros para detectar cualquier problema. Los problemas o conclusiones se pueden revertir entonces al tercero para que ofrezca una respuesta.

Solucionar los problemas

Es posible que haya un periodo en el que una evaluación vaya de aquí para allá, se generen tareas, se responda a problemas detectados y se proporcione evidencia si es necesario. Se debe recopilar toda la comunicación como referencia para el futuro. Al final, puede haber algunos riesgos que se acepten.

Informar sobre los riesgos

Después de identificar, analizar y corregir el riesgo, informa sobre el mismo a las partes necesarias. Todas las partes interesadas deben ser capaces de obtener el nivel de visibilidad que desean.

Supervisar

Como se ha mencionado anteriormente, los terceros deben evaluarse continuamente, lo que idealmente significa realizar un seguimiento en busca de cualquier cambio en el riesgo o el rendimiento. Esto se puede realizar mediante evaluaciones más frecuentes o fuentes de datos externas, como las calificaciones de ciberseguridad continuamente actualizadas. Los cambios deben desencadenar automáticamente el planteamiento de un problema, o bien una evaluación o un cambio de nivel. Es fundamental realizar un seguimiento continuo para asegurarse de que todos los terceros cumplan sus obligaciones y no presenten un riesgo no deseable para la organización.

Retirar

Todas las organizaciones deben tener un proceso formal para retirar a terceros y asegurarse de que toda la información que no se debe almacenar se elimine de forma permanente.

  • Visibilidad total de todas las relaciones con terceros
  • Una evaluación formal previa al contrato y la diligencia debida
  • Uso de términos estandarizados que mitiguen los riesgos
  • Seguimiento y supervisión basados en el riesgo
  • Salida formal al final de la relación

  • Digitaliza e integra todos los aspectos del ciclo de vida de la gestión de proveedores. La evaluación del riesgo debe formar parte de las primeras etapas.
  • Consolida la información de los proveedores y colabora con las terceras partes a la vez que mantienes un registro de auditoría de todas las colaboraciones.
  • Comprende y mantén la visibilidad del riesgo y el rendimiento de las terceras partes, incluidas las subsidiarias (o cuartas partes).
  • Desarrolla una evaluación pormenorizada de dónde se origina el riesgo.
  • Crea puntuaciones de riesgo para comparar, priorizar y comunicar el riesgo.
  • Utiliza los sistemas de automatización y aprendizaje automático para lograr más y, al mismo tiempo, reducir los costes.
  • Crea un plan de resiliencia e integra un plan en cada aspecto del sistema de gestión de proveedores.
  • Intégralo con otras aplicaciones (como fuentes de datos para tasas de ciberseguridad) y sistemas de terceros.

  • Mejor experiencia del cliente
  • Posición mejorada en materia de seguridad general
  • Mayor eficiencia operativa
  • Mejora en la adquisición y retención de clientes
  • Mayor confianza de los clientes
  • Mejora de los ingresos, las previsiones y la rentabilidad
  • Rendimiento constante de los terceros que cumple las expectativas
  • Mejora de la capacidad para implementar los objetivos de una organización, tanto los estratégicos para la empresa como aquellos a nivel de proyecto
  • Minimización de las interrupciones de negocio
  • Recuperación más rápida de las interrupciones

Primeros pasos con Governance, Risk, and Compliance de ServiceNow

Gestiona el riesgo y la resiliencia en tiempo real con ServiceNow.