¿Qué es un programa de gestión de riesgos de proveedores?

En un panorama de amenazas en el que las organizaciones subcontratan procesos comerciales vitales que dejan la seguridad de los datos en manos de tecnología de la información de terceros, la gestión de riesgos de los proveedores es cada vez más importante.

Un estudio de KPMG de 2022 encontró que el 73% de los encuestados experimentó al menos una interrupción significativa causada por un tercero en los últimos tres años.

Un programa de gestión de riesgos de proveedores en funcionamiento brinda a tu organización un marco accesible, consistente y escalable para monitorizar y administrar la exposición al riesgo de los proveedores.

También permite a las organizaciones identificar y remediar proactivamente los riesgos potenciales y garantizar la continuidad del negocio en caso de un ataque cibernético.

Este artículo detalla cómo implementar un programa eficaz de gestión de riesgos de proveedores utilizando las mejores prácticas de gestión de riesgos.

¿Qué es la gestión de riesgos de proveedores (VRM)?

La gestión de riesgos de proveedores (VRM) gestiona y supervisa los riesgos que surgen de proveedores de servicios y proveedores externos.

VRM es un elemento crucial de la gestión de riesgos de la información de tu organización y un proceso más amplio de gestión de riesgos, ya que es una forma holística de abordar el riesgo de terceros.

Los principales riesgos que los proveedores traen a una organización incluyen:

  • De ciberseguridad
  • Operacional
  • Legal, regulatorio y de cumplimiento
  • Reputacional
  • Financiero

¿Qué es un programa de gestión de riesgos de proveedores?

Los programas de gestión de riesgos de proveedores son procesos y procedimientos formalizados que permiten a las organizaciones implementar políticas eficaces de gestión y mitigación de riesgos de terceros.

Un programa eficaz de gestión de riesgos de terceros debe cubrir todas las etapas del ciclo de vida del proveedor, incluidas las evaluaciones de riesgo del proveedor, la incorporación y la baja del proveedor, y esbozar un plan de respuesta a incidentes.

Un programa de VRM también debe incluir marcos para garantizar que los proveedores cumplan con los requisitos de cumplimiento normativo e interno.

¿Cuál es la diferencia entre un proveedor, un tercero y un proveedor de servicios?

Cuando se analiza la gestión de riesgos de los proveedores, es importante tener en cuenta que muchas empresas utilizan una terminología diferente cuando se refieren a los proveedores. En algunos casos, «proveedor» se usa indistintamente con tercero o proveedor de servicios. Sin embargo, en muchos casos, estos términos tienen diferencias sutiles.

Por ejemplo, el término «proveedor» se usa a menudo en relación con los bienes físicos, mientras que los vendedores y los proveedores de servicios son los términos más utilizados por los equipos de tecnología de la información (TI). «Tercero» a menudo se considera el término más general y puede abarcar todos los términos mencionados anteriormente. Para muchas personas,  la gestión de riesgos de terceros  y la gestión de riesgos de proveedores son sinónimos.

Importancia

Los programas de VRM son importantes porque permiten que las organizaciones identifiquen, gestionen y mitiguen los riesgos de ciberseguridad en todo el ecosistema de proveedores, incluidos los riesgos de terceros y de cuartas partes.

Muchas reglamentaciones, como PCI DSS , HIPAA , NIST SP 800-171 e ISO 27001, amplían sus requisitos de cumplimiento a los proveedores externos de una organización. Los proveedores que no cumplen pueden causar daños legales, financieros y de reputación directos a una organización, incluso a una organización que se adhiere a los estándares de cumplimiento normativo más estrictos.

Del mismo modo, las organizaciones son exclusivamente responsables de comprometer la información confidencial, incluso si el incidente de ciberseguridad ocurrió en manos de un proveedor.

Cómo crear un programa eficaz de gestión de riesgos de proveedores

Las organizaciones pueden establecer programas sólidos de gestión de riesgos de proveedores siguiendo los pasos a continuación.

Escribir documentación de gestión de riesgos de proveedores

Las organizaciones deben desarrollar la documentación adecuada de gestión de riesgos del proveedor para su inclusión en la política de seguridad de la información.

Si no existe documentación de VRM con la que trabajar, los equipos de cumplimiento pueden comenzar con un esquema amplio para actuar como una política de andamiaje. Una vez que los procesos y procedimientos estén mejor definidos, el equipo puede agregar más detalles.

Los documentos finalizados deben especificar las funciones y responsabilidades de las partes interesadas en las operaciones diarias de gestión de riesgos de proveedores en el contexto de la seguridad de la información y la organización en su conjunto.

La documentación de VRM requiere una revisión constante para mantenerse al día con los requisitos reglamentarios nuevos y actualizados, la madurez de la postura de seguridad y los cambios en el inventario del proveedor.

Establecer estándares de selección de proveedores

Cuando tu organización incorpora a un nuevo proveedor, es probable que le esté otorgando acceso a una cantidad significativa de datos confidenciales.

Si bien tus controles de seguridad pueden cumplir con todos los requisitos internos y externos, este no es necesariamente el caso de tus proveedores. Un proveedor en sí mismo puede cumplir con los requisitos reglamentarios internamente, pero esto no necesariamente se extiende a sus clientes.

Es crucial asegurarse de que tu equipo de seguridad tenga un proceso efectivo para investigar a terceros antes de formar nuevas relaciones con proveedores y confiar en ellos para proteger tus datos.

Después de la Solicitud de propuesta (RFP) y la revisión de la presentación, el proceso de selección depende en gran medida de la realización de la debida diligencia del proveedor.

Realiza la diligencia debida del proveedor

La diligencia debida del proveedor es un elemento crucial del proceso de selección de proveedores que implica la selección de proveedores potenciales antes de incorporarlos. Realizar la diligencia debida debe validar cualquier afirmación que haya hecho el proveedor con respecto a su postura de seguridad, certificaciones y nivel de cumplimiento.

Se debe realizar una diligencia debida adecuada durante todas las etapas del ciclo de vida del proveedor a través de una monitorización continua para administrar el cumplimiento de terceros de manera eficiente.

Las prácticas de diligencia debida del proveedor a menudo incluyen:

  • Envío de cuestionarios de evaluación de riesgos al menos anualmente.
  • Solicitar documentación relevante, por ejemplo, informes SOC, planes de continuidad comercial, planes de respuesta a incidentes y políticas de seguridad de la información.
  • Usar niveles de proveedores para evaluar periódicamente a los proveedores de alto riesgo.
  • Evaluar la postura de seguridad a través de clasificaciones de seguridad y monitorización continua de la superficie de ataque.

Audita a tus proveedores con regularidad

Las auditorías periódicas que siguen a los procesos de diligencia debida permiten a las organizaciones identificar brechas y vulnerabilidades en el cumplimiento. Las auditorías deben incluir informes detallados de las relaciones con los proveedores de una organización, incluido el uso de cuestionarios de seguridad para evaluar el cumplimiento continuo.

Las organizaciones pueden optimizar sus flujos de trabajo de auditoría mediante la implementación de una única fuente de verdad para registrar eventos importantes de proveedores, como la firma de acuerdos contractuales, la identificación de riesgos y las solicitudes de remediación.

Desarrolla tu metodología de evaluación

Al desarrollar sus procesos de evaluación, es importante considerar las siguientes preguntas:

  • ¿Cómo saber cuándo se requiere una nueva evaluación de proveedor?
  • ¿Quién debería tener la capacidad de iniciar una evaluación de proveedores?
  • ¿Quién revisa las evaluaciones?
  • ¿Cuánto esfuerzo deseas poner en validar las respuestas de la evaluación?
  • ¿Qué preguntas de evaluación generan riesgos?
  • ¿Cómo se agregan y se informan los riesgos señalados?
  • ¿Se necesitan evaluaciones de seguimiento basadas en las respuestas de la evaluación inicial?
  • ¿Con qué frecuencia necesitas reevaluar a tus proveedores?
  • ¿Realizarás las evaluaciones tu mismo o te convendría un  intercambio  de evaluaciones?

Al considerar cómo deseas validar las respuestas de la evaluación, es importante comprender tus opciones. Para los proveedores de bajo riesgo, muchas empresas aceptarán una autocertificación del proveedor (en la que el proveedor «da fe» de la precisión de sus respuestas). Para los proveedores de riesgo medio a alto, las empresas adoptarán un enfoque de validación más intensivo, como una auditoría in situ. Sin embargo, debido a la pandemia, muchas organizaciones están optando por auditorías remotas en lugares de presenciales.

Define las expectativas de informes

Los equipos ejecutivos requieren informes periódicos para comprender la importancia de la gestión de riesgos de los proveedores en el contexto organizacional más amplio e impulsar una toma de decisiones de seguridad de la información efectiva.

Los informes deben ser digeribles para todas las partes interesadas y contener métricas de seguridad cibernética consistentes, que resuman los aspectos esenciales de las carteras de riesgo de sus proveedores críticos.

Una plataforma completa de gestión de riesgos de proveedores puede automatizar todo el proceso de gestión de riesgos. Esta consolidación permite informes ejecutivos concisos de métricas de proveedores importantes, como:

  • Calificación promedio de seguridad del proveedor
  • El número de proveedores monitorizados a lo largo del tiempo.
  • Distribución de calificaciones de proveedores
  • Proveedores más y menos mejorados
  • Riesgo de cuarta parte
  • Ubicación geográfica del proveedor

Crea flujos de trabajo y activadores de automatización

A medida que describes los diferentes flujos de trabajo de VRM, considera  dónde puedes aplicar la automatización  para ahorrar tiempo. Muchos profesionales de gestión de proveedores agregan automatización cuando:

  • Incorporan nuevos proveedores
  • Miden el riesgo inherente  y niveles de proveedores.
  • Asignan propietarios de riesgos y delegan las acciones de mitigación requeridas.
  • Desencadenan revisiones de desempeño o renovación de proveedores.
  • Activan reevaluaciones anuales de proveedores.
  • Envían notificaciones a los principales interesados.
  • Programan, ejecutan y comparten informes.

Cada empresa tiene flujos de trabajo de gestión de riesgos de proveedores únicos. Para agilizar estos flujos de trabajo, concéntrate en identificar los procesos y tareas más repetibles. Luego, comienza a configurar la automatización para estos aspectos específicos de tus flujos de trabajo. A medida que se agrega cada automatización más pequeña, tu equipo obtendrá las recompensas del ahorro de tiempo.

Crea tus informes y paneles

Todos los profesionales de riesgos de terceros tienen una lista de deseos de informes y análisis a los que les gustaría tener acceso. No hay mejor momento para hacer que estos datos sean accesibles durante la implementación de un programa VRM. Entonces, pregúntate, ¿cuáles son tus requisitos de informes actuales? ¿Qué información sería útil para mostrar en un tablero?

Las métricas más sencillas a menudo rastreadas incluyen:

  • Número total de proveedores
  • Proveedores por puntaje o nivel de riesgo
  • Estado de todas las evaluaciones de riesgos de los proveedores
  • Riesgos agrupados por nivel (alto, medio, bajo)
  • Numero de contratos de proveedores vencidos
  • Riesgos por etapa dentro del flujo de trabajo de remediación de riesgos
  • Riesgos para tu organización matriz y riesgos para sus subsidiarias
  • Historial de riesgos a lo largo del tiempo

Mejores prácticas del programa de gestión de riesgos de proveedores

Las siguientes prácticas recomendadas ayudan a las organizaciones a optimizar sus programas de gestión de riesgos de proveedores.

1. Identifica la superficie de ataque de tu cadena de suministro

Un programa de VRM eficaz debe tener en cuenta a tus proveedores externos y a tus proveedores externos.

Dado que más del 60 % de las organizaciones tienen más de 1000 terceros, obtener y mantener la visibilidad en toda la superficie de ataque de la cadena de suministro se vuelve rápidamente complejo.

La creación de un inventario de proveedores proporciona una base sólida para el programa VRM de tu organización, lo que te permite identificar todos los vectores de ataque, incluidos los terceros.

La creación manual de un inventario de proveedores es un proceso lento que requiere hojas de cálculo complicadas y una revisión constante. La identificación de terceros a través de métodos manuales también es difícil, ya que las organizaciones dependen principalmente de informes de terceros, que pueden no estar actualizados o ser precisos.

Una solución automatizada de gestión de riesgos de proveedores proporciona una plataforma centralizada para rastrear proveedores externos y permite el descubrimiento automático de proveedores externos.

Las organizaciones también pueden aprovechar la automatización de VRM para categorizar a los proveedores en función de factores importantes, como su nivel de riesgo. Esta categorización permite a los equipos de seguridad priorizar sus esfuerzos de remediación a lo largo del ciclo de vida del proveedor, desde la adquisición hasta la desvinculación.

2. Prioriza a tus proveedores de alto riesgo

Dados los cientos a miles de terceros que administran la mayoría de las organizaciones, es imposible asignar la misma atención a cada proveedor. Cada proveedor presenta riesgos únicos para tu organización, de diferente importancia y urgencia.

Cada nivel de riesgo tiene un proceso de diligencia debida único y otros requisitos específicos del nivel, lo que significa que tu equipo de seguridad de la información deberá categorizar a cada proveedor individualmente.

Administrar una cantidad tan grande de proveedores requiere priorizar el alto riesgo sobre los proveedores de menor riesgo. Sin embargo, sigue siendo esencial evaluar regularmente a todos los proveedores con los mismos controles estandarizados para garantizar que no queden amenazas cibernéticas potenciales sin descubrir.

La creación de un sistema de niveles de proveedores basado en el nivel de riesgo permite a los equipos de seguridad priorizar a tus proveedores de manera adecuada y eficiente para distribuir y escalar sus esfuerzos de VRM.

3. Evaluar el cumplimiento normativo de terceros

El cumplimiento normativo y la certificación con marcos reconocidos brindan una mayor garantía de que una organización está implementando fuertes medidas de ciberseguridad. Independientemente de dónde ocurra una violación de datos en la cadena de suministro, una organización siempre es completamente responsable de proteger sus datos confidenciales.

Las organizaciones deben mantener prácticas exhaustivas de VRM a lo largo de todo el ciclo de vida del proveedor y evaluar regularmente el cumplimiento a través de cuestionarios de seguridad. Esta práctica es crítica en industrias fuertemente reguladas, como finanzas y atención médica.

Las organizaciones pueden optimizar sus procesos de evaluación de riesgos al combinar el uso de una plantilla de cuestionario de evaluación de riesgos con una solución VRM completa que automatiza los flujos de trabajo de los cuestionarios.

4. Practicar la monitorización continua

Establecer un programa de gestión de riesgos de proveedores no es un esfuerzo de «establecer y olvidar».

Al incorporarse, los equipos de seguridad deben realizar evaluaciones regulares de proveedores y monitorizar continuamente la superficie de ataque de terceros para garantizar que las posturas de seguridad de los proveedores se mantengan saludables.

Con nuevas vulnerabilidades que surgen a diario, los equipos de seguridad deben identificar rápidamente cualquier riesgo de terceros y solicitar una reparación inmediata. Mantener una visibilidad constante del rendimiento del proveedor en una superficie de ataque en constante crecimiento es casi imposible sin la ayuda de la automatización.

Una herramienta completa de monitorización de la superficie de ataque permite a las organizaciones monitorizar y administrar continuamente los riesgos de terceros al identificar y reportar los riesgos cibernéticos a lo largo de la cadena de suministro en tiempo real.

¿Qué son los intercambios de riesgos y cómo pueden ayudarme con las evaluaciones de riesgos de mis proveedores?

Un intercambio de riesgos (o  Intercambio de riesgos de terceros ) ayuda a facilitar el «intercambio» de evaluaciones de riesgos de proveedores, así como otra documentación y evidencia.

Con un intercambio, puedes acceder a las evaluaciones de riesgo precompletadas de un proveedor. Estas evaluaciones generalmente se basan en un estándar de la industria, como NIS , ISO o SIG Lite.

Un intercambio de riesgos puede mejorar tu programa de VRM al permitirte realizar las evaluaciones de tus proveedores con mayor rapidez, además de eliminar el trabajo relacionado con la evaluación que consume mucho tiempo y que ata a tu equipo y le quita a otros proyectos estratégicos.

Para tus proveedores, los intercambios de riesgo les ahorrarán mucho tiempo al permitirles reutilizar tus cuestionarios completos una y otra vez. A través del intercambio, pueden compartir la misma evaluación con decenas de empresas al mismo tiempo.

En última instancia, los intercambios de riesgos te permiten a ti ya tus proveedores trabajar juntos para mejorar colectivamente el proceso de evaluación de riesgos de los proveedores para todos los involucrados.

Beneficios del software de gestión de riesgos de proveedores

El software VRM ayuda a las organizaciones a crear y automatizar su programa de gestión de riesgos de proveedores. En última instancia, el software de riesgo de proveedores te ayuda a incorporar a terceros, evaluarlos, identificar y reducir sus riesgos, monitorizar los cambios de proveedores a lo largo del tiempo y eliminar a terceros cuando sea necesario, todo mientras mantienes registros adecuados para demostrar el cumplimiento. Al aprovechar el software VRM, la automatización puede proporcionar un rápido retorno de la inversión (ROI).

Los beneficios adicionales del software de gestión de riesgos de proveedores incluyen:

  • Seguridad incrementada
  • Mayor confianza del consumidor
  • Mayor ahorro de tiempo y costes
  • Trabajo repetitivo reducido
  • Mejor visibilidad de proveedores
  • Evaluación e incorporación optimizadas de proveedores
  • Evaluaciones de riesgo más rápidas
  • Informes y análisis mejorados
  • Mantenimiento de registros simplificado
  • Riesgos reducidos asociados con los proveedores.
  • Mejora de las relaciones con los proveedores y el rendimiento
  • Menos tiempo dedicado a las hojas de calculo.

Constantemente surgen nuevas amenazas y desafíos, lo que hace que sea fundamental revisar tu programa de vez en cuando para asegurarte de que todavía estás dando en el blanco.

Recuerda: tus conocimientos críticos pueden probarse pronto de la primera evaluación de riesgos y diligencia debida en un «momento en el tiempo». Después de eso, debes realizar una monitorización continua de los controles implementados y los cambios en la relación con el proveedor externo, incluidas las reevaluaciones periódicas, la monitorización continua de los vectores de seguridad, la notificación de incidentes y la incorporación o baja.

Este enfoque es mucho más efectivo que hacer evaluaciones anuales, que con el tiempo arrojan menos información y son de naturaleza estática, aunque costosas de realizar. La automatización se presenta como la solución a un proceso manual, doloroso y repetitivo para evaluar y remediar el riesgo del proveedor.