Una política de gestión de proveedores (PGP) es una manera para que las empresas identifiquen y prioricen a los proveedores que representan un riesgo para su negocio. La política identifica a los proveedores potencialmente riesgosos y prescribe controles para minimizar el riesgo y asegurar el cumplimiento con marcos populares como SOC 2.

Las políticas de gestión de proveedores son un componente crítico de la estrategia de gestión de riesgos de cumplimiento general de una organización.

Puede que pienses rápidamente en una PGP como un documento más o una casilla para marcar en tu camino hacia el cumplimiento. Pero una política de gestión de proveedores es solo el comienzo de la gestión de relaciones con proveedores y la determinación de si deberían tener acceso a datos sensibles.

¿Listo para descubrir cómo una política de gestión de proveedores puede proteger a tu organización contra el riesgo de proveedores? Desglosamos cómo crear una y ofrecemos una plantilla para que comiences a continuación.

Por qué necesitas una política de gestión de proveedores

Si bien las organizaciones tienden a tener una idea clara de los riesgos internos que enfrenta su negocio, los riesgos que provienen de los proveedores pueden ser un poco más confusos.

Los organismos reguladores han comenzado a intervenir e implementar protocolos más estrictos con respecto a la supervisión de proveedores y la gestión de riesgos de terceros. Un informe de 2022 de Venminder encontró que el 69 % de las organizaciones siente que han sido sometidas a un mayor escrutinio por parte de los reguladores y auditores en los últimos 12 meses.

Cuantos más proveedores con los que trabajes y compartas información sensible, más expuesta estará tu organización a los hackers. Y cuando un tercero está involucrado, las violaciones de datos tienden a costar más.

Un estudio del Instituto Ponemon e IBM encontró que el costo de una violación de datos de terceros aumenta en más de $370,000, para un costo total ajustado promedio de $4.29 millones.

Ya sea que trabajes con un solo proveedor o con docenas, no tener una política de gestión de proveedores pone a tu organización en una posición vulnerable.

Cómo crear una política de gestión de proveedores

Para comenzar a crear una política de gestión de proveedores, primero debes formar un equipo que lidere el proceso de creación de la política.

Este debe ser un equipo integral que reúna diferentes puntos de vista de toda la organización.

Aquí tienes miembros del equipo que puedes considerar incluir:

• Miembro del departamento de TI
• Un representante legal
• Miembro de la alta dirección
• Miembros del equipo que se comuniquen con los proveedores a diario
• Expertos en la materia
• Alguien que represente la unidad de negocios
• Auditores internos

Una vez que hayas reunido a tu equipo de políticas de gestión de proveedores, asigna roles y responsabilidades para que se hagan cargo de las diferentes secciones del proceso.

A continuación, reúne tu lista de proveedores. Esta debe ser una lista detallada que contenga todos los proveedores externos, contratistas, socios y asociados con los que trabajas.

Presta especial atención a aquellos proveedores que:

• Tienen acceso a datos confidenciales o Información de Identificación Personal (PII).
• Tienen acceso a tu red interna.
• Tu organización depende de ellos para realizar funciones comerciales críticas.

Los proveedores que cumplan con cualquiera de los criterios anteriores deben ser considerados proveedores críticos debido al nivel de información al que pueden acceder.

Esta lista maestra servirá como un plano para ayudarte a priorizar los proveedores en función del riesgo que representan.

¿Qué debería incluir una política de gestión de proveedores?

No existe un enfoque único para crear una política de gestión de proveedores.

Cada organización tiene su propio conjunto único de proveedores y información que proteger.

Ya sea que estés creando una política de gestión de proveedores por primera vez o buscando fortalecer tu política actual, aquí hay algunas secciones que te ayudarán a construir una base sólida para gestionar las relaciones con los proveedores.

Propósito

La sección de propósito de tu política de gestión de proveedores es una visión general de lo que la política implicará. Puedes pensar en esto como una declaración de tesis que introduce las muchas secciones que seguirán.

Aquí hay un ejemplo de cómo podría verse una declaración de propósito:

• (EMPRESA) utiliza productos y servicios de terceros para apoyar nuestra misión y objetivos. Esta Política de Gestión de Proveedores contiene los requisitos de cómo (EMPRESA) preservará y protegerá la información al utilizar productos y servicios de terceros.

Audiencia y alcance

Las secciones de audiencia y alcance definirán a quién se aplica exactamente la política. Aquí es donde la consideración cuidadosa al crear la lista maestra de proveedores resulta útil.

Hacer tu debida diligencia en la identificación de tus proveedores ayuda a garantizar que ninguno se quede fuera y que puedas monitorear y rastrear adecuadamente a cada proveedor que represente un riesgo.

Algunas áreas de proveedores a considerar incluir en tu política de gestión de proveedores son:

• Seguridad de recursos humanos
• Seguridad física y ambiental
• Seguridad de redes y sistemas
• Seguridad de datos
• Control de acceso
• Adquisición y mantenimiento de TI
• Proveedores de cuarta parte
• Gestión de incidentes
• Continuidad del negocio/recuperación ante desastres
• Cumplimiento

Roles y responsabilidades

Cada persona que desempeñe un papel significativo en tu proceso de gestión de proveedores debe estar incluida dentro de la política de gestión de proveedores. Incluye sus responsabilidades específicas en relación con la gestión de proveedores.

Describe cada rol dentro de tu organización que maneje tareas clave de gestión de proveedores, como un gerente de proveedores. Enumera las responsabilidades específicas bajo cada rol dentro de esta sección.

Algunos aspectos clave a incluir son:

• El rol (o roles) responsable de hacer cumplir la política de gestión de proveedores
• El rol (o roles) responsable de revisar y actualizar la política

Definiciones

Lista y define algunos de los términos comunes utilizados dentro de la política. Esta es una oportunidad para establecer una terminología común que será fácilmente entendida por cualquier persona que necesite revisar tu política de gestión de proveedores.

Por ejemplo, es posible que desees definir claramente qué es un proveedor o el tipo de datos a los que te referirás dentro del documento.

Sin embargo, recuerda que tu política de gestión de proveedores debe ser un documento de alto nivel destinado a describir en términos básicos pero amplios cómo la organización llevará a cabo la gestión de terceros.

Evaluaciones

La sección de evaluaciones debe incluir todas las formas en que los proveedores serán evaluados antes de ser completamente operativos.

Aunque esta sección será diferente para cada empresa, muchas organizaciones incluyen información sobre:

• Acuerdos de confidencialidad o acuerdos de asociación comercial
• Cuándo los proveedores pueden tener acceso a los datos (como después de que se firme el acuerdo de confidencialidad o tras una evaluación de riesgos)
• Qué hacer si se identifican hallazgos de alto riesgo en las evaluaciones de riesgos
• La frecuencia con la que se realizarán las evaluaciones de riesgos de los proveedores
• Cualquier regulación como PCI DSS o HIPAA con las que un proveedor debe cumplir

Procesos de gestión

Esta sección explicará los procesos de gestión que la organización seguirá para asegurarse de que los proveedores sean evaluados y rendirles cuentas.

Dentro de esta sección, asegúrese de especificar qué deben incluir los acuerdos y contratos con proveedores.

Por ejemplo, puede que desee incluir verborrea sobre requisitos mínimos de información, instrucciones para la destrucción o eliminación de la información de la organización y requisitos de respuesta a incidentes.

Esta sección también debería detallar el proceso de gestión del ciclo de vida del proveedor. Incluya información para la incorporación de un nuevo proveedor, así como para la gestión y desvinculación de los proveedores actuales.

Aplicación

Después de establecer todos los requisitos para los proveedores, también debe incluir una sección sobre cómo se va a hacer cumplir la política.

Esta sección debe establecer claramente las consecuencias que enfrentará un proveedor si no cumple con la política. Esto puede incluir la terminación del contrato, la eliminación de los derechos de acceso o las sanciones civiles o penales relacionadas.

Cómo evaluar nuevos proveedores

Antes de firmar un contrato con un posible nuevo proveedor, las organizaciones pueden calificar a los proveedores en función de los controles de gestión de proveedores para determinar una calificación de seguridad.

Esa calificación puede usarse para determinar si la organización debe trabajar con el proveedor. También puede servir como un punto de referencia para evaluar el rendimiento de la seguridad a lo largo del tiempo.

Mejores prácticas para la política de gestión de proveedores

Las políticas de gestión de proveedores variarán de una organización a otra. Sin embargo, aquí hay algunos consejos importantes a tener en cuenta a medida que crea o mejora su política de gestión de proveedores:

• Tenga un plan para las fallas del servicio del proveedor: Sea proactivo documentando qué áreas del negocio se verían afectadas en caso de una falla en el servicio del proveedor. Cree un plan de respuesta interno para cada proveedor y asigne roles específicos a su equipo de gestión de proveedores.
• Tenga un gerente de proveedores dedicado: Al crear su equipo de gestión de proveedores, puede ser útil asignar un gerente de proveedores específico para cada uno de sus proveedores.
• Sujete a todos los proveedores a los mismos estándares: Aunque los proveedores que representan un riesgo crítico a menudo ocupan la mayor parte de los esfuerzos de gestión de proveedores, es importante que todos los proveedores estén obligados a seguir el mismo conjunto de requisitos y mantener las mismas expectativas.
• Mantenga su política breve y concisa: Una política de gestión de proveedores debe servir como un panorama general de cómo planea abordar la gestión de proveedores. Apunte a 5-7 páginas.
• Revise su VMP anualmente y haga ajustes según sea necesario: Como hemos dicho antes, la política de gestión de proveedores es solo el comienzo de su viaje de gestión de riesgos de proveedores. A medida que se adquieren lecciones y cambian los procesos internos, asegúrese de que su política de gestión de proveedores se actualice al menos una vez al año.
• Cubra los seis pilares de la gestión de proveedores en su política: Para asegurar una política hermética, querrá incluir información sobre la selección de un proveedor, la evaluación de riesgos, la diligencia debida, los estándares contractuales, los requisitos de informes y el monitoreo continuo.

Plantilla de política de gestión de proveedores

¿Todavía no está seguro de cómo debería ser su política de gestión de proveedores? Hemos creado una plantilla que puede usar como base para construir la suya propia.

Cómo Secureframe puede ayudarle a gestionar el riesgo de proveedores

El monitoreo continuo es esencial para los programas de gestión de proveedores, pero puede ser una tarea ardua para su equipo.

Herramientas como Secureframe ayudan a las empresas a monitorizar y calificar automáticamente el rendimiento de seguridad de sus proveedores y automatizar cuestionarios de seguridad que hacen que el proceso de gestión de proveedores sea mucho más manejable.

Con Secureframe, tendrá acceso a cuestionarios de seguridad certificados por auditores para ayudar a evaluar a los posibles proveedores sin problemas. Secureframe también ofrece informes de seguridad actualizados de cada proveedor con niveles de riesgo y descripciones detalladas.

¿Busca proteger sus relaciones con proveedores y gestionar mejor su seguridad? Programe una demostración con nuestro equipo hoy para ver cómo podemos satisfacer sus necesidades exactas.