En un análisis del Instituto Cyentia, la empresa promedio tenía alrededor de 10 relaciones con terceros y casi todas las empresas (98%) tenían al menos un socio externo que había sufrido una brecha de seguridad.

Es por eso que la gestión efectiva de riesgos de terceros es tan crucial en el panorama empresarial interconectado de hoy. La mayoría de las organizaciones dependen de una red de socios externos para suministrar y entregar productos y servicios, lo que introduce dependencias y exposiciones.

En este artículo, cubriremos lo que puede hacer para proteger su organización contra los riesgos inherentes a las relaciones con terceros.

¿Qué es la gestión de riesgos de terceros?

La gestión de riesgos de terceros (TPRM, por sus siglas en inglés) es un proceso que las organizaciones usan para identificar, evaluar, mitigar, monitorear y resolver los riesgos asociados con sus relaciones con terceros. Los terceros incluyen proveedores, suministradores, contratistas, socios, proveedores de software, proyectos de código abierto y otras entidades externas.

Debido a que estas entidades externas a menudo tienen acceso a los sistemas, datos, procesos o instalaciones de una organización, estas relaciones introducen diversos tipos de riesgos que pueden afectar la seguridad, las operaciones, la reputación y el cumplimiento normativo de la organización.

No gestionar estos riesgos puede resultar en brechas de datos, violaciones regulatorias, pérdidas financieras, daños a la reputación y responsabilidades legales.

¿Por qué es importante la gestión de riesgos de terceros?

La gestión de riesgos de terceros es importante para proteger las operaciones, activos, estado de cumplimiento, reputación y cadena de suministro de su organización. Veamos más de cerca estas razones clave a continuación.

1. Seguridad y privacidad de los datos

Los terceros pueden tener acceso a los datos y sistemas sensibles de su organización. Si no cuentan con medidas de seguridad adecuadas, usted estará vulnerable a brechas de datos que pueden exponer información valiosa sobre su organización, empleados, clientes o socios.

Las brechas de datos causadas por terceros también son más costosas, según una investigación de IBM. En 2022, las brechas de datos costaron a las organizaciones un promedio de $4.35 millones, pero las brechas de datos causadas por terceros costaron en promedio $4.37 millones, o $247,624 adicionales para ser exactos.

Por lo tanto, la gestión de riesgos de terceros puede reducir la probabilidad y los costos de las brechas de datos de terceros.

2. Gestión de la reputación

Las brechas de datos, violaciones de cumplimiento, prácticas poco éticas y otros problemas causados por terceros pueden dañar la reputación de su organización y erosionar la confianza y la confianza de los clientes en su marca. La gestión de riesgos de terceros puede ayudar a prevenir o mitigar estas consecuencias negativas.

3. Cumplimiento de leyes y regulaciones

Si su organización está sujeta a requisitos regulatorios sobre privacidad y seguridad de datos, entonces también puede ser responsable de garantizar que sus socios externos cumplan con estos requisitos. Por ejemplo, PCI DSS requiere que todos los proveedores de servicios externos demuestren el cumplimiento de PCI DSS mediante evaluaciones de riesgos regulares.

La gestión de riesgos de terceros puede ayudarlo a identificar y gestionar los riesgos de cumplimiento inherentes a las relaciones con terceros.

4. Continuidad del negocio.

Depender de terceros para servicios o suministros críticos significa que cualquier interrupción en sus operaciones podría afectar la capacidad de su organización para operar. Una gestión de riesgos efectiva, una planificación de continuidad del negocio y garantizar la notificación del personal adecuado pueden ayudar a prevenir estas interrupciones o asegurar que su organización pueda reanudar operaciones durante y después de las interrupciones si ocurren.

5. Resiliencia de la cadena de suministro

De manera similar, la gestión de riesgos de terceros puede ayudarle a identificar y gestionar riesgos y vulnerabilidades en toda su cadena de suministro para mejorar su resiliencia. Esto es particularmente importante a medida que las cadenas de suministro se vuelven más complejas y globales, introduciendo nuevos riesgos ambientales, estratégicos y operacionales, entre otros.

Marco de Gestión de Riesgos de Terceros

Tener un marco integral de gestión de riesgos de terceros puede ayudarle a capturar el ciclo de vida completo y la gama de relaciones con terceros.

Este marco debe:

Mejores Prácticas de Gestión de Riesgos de Terceros

Implementar una gestión efectiva de riesgos de terceros implica seguir un conjunto de mejores prácticas para identificar, evaluar, mitigar y monitorear los riesgos asociados con terceros. A continuación, cubriremos algunas de esas mejores prácticas.

  • Identificar y categorizar los riesgos de terceros: Mantener un inventario completo de todas las relaciones con terceros y categorizarlas según la criticidad de sus servicios y la sensibilidad de los datos a los que acceden. Deben ser separadas en tres niveles de riesgo: Alto, Medio y Bajo.
  • Establecer criterios para la selección de proveedores y realizar la debida diligencia: Establecer criterios claros para la selección de proveedores y realizar una diligencia debida exhaustiva antes de firmar contratos con terceros. La diligencia debida puede implicar evaluar su estabilidad financiera, controles de seguridad, historial de cumplimiento y reputación.
  • Especificar los requisitos en el contrato: Los contratos deben detallar los estándares y controles mínimos de seguridad y cualquier requisito de cumplimiento que los terceros deben adherir. Estos deben basarse en la tolerancia al riesgo de su organización y las políticas de seguridad y privacidad de datos. Los contratos también deben definir claramente los roles y responsabilidades de ambas partes con respecto a la gestión de riesgos.
  • Realizar evaluaciones de riesgos: Las evaluaciones de riesgos deben realizarse para todos los terceros de alto riesgo. Estas deben considerar si el proveedor está orientado al cliente, recibe o almacena datos confidenciales, presenta un riesgo en la cadena de suministro, tiene controles y medidas de seguridad implementados y ha sido sometido a auditorías de terceros, entre otros factores.
  • Establecer métricas de rendimiento: Establecer indicadores clave de rendimiento (KPI) para terceros y revisar y evaluar regularmente su rendimiento en comparación con estas métricas. Estos pueden estar relacionados con la prestación de servicios, el riesgo, la seguridad, el cumplimiento y más.
  • Desarrollar una estrategia de salida: Desarrollar procedimientos para terminar una relación con un tercero. Estos procedimientos deben asegurar una transferencia o eliminación de datos adecuada y minimizar riesgos, y estar documentados en contratos con terceros.
  • Involucrar a las partes interesadas clave: Los procesos efectivos de gestión de riesgos de terceros involucran a las partes interesadas internas de toda la organización. Por ejemplo, las partes interesadas de los departamentos legales, de cumplimiento y de TI deben estar alineadas y coordinarse en actividades de gestión de riesgos.
  • Documentar todo lo anterior: Documentar todas las evaluaciones, la debida diligencia, los contratos, la comunicación y las actividades de mitigación de riesgos relacionadas con terceros. Esta documentación servirá como evidencia de los esfuerzos de cumplimiento.
  • Establecer un proceso de monitoreo continuo: Implementar un proceso de monitoreo continuo de terceros para detectar cualquier cambio en los factores de riesgo o el rendimiento. Esto te permitirá reevaluar riesgos, cambiar estrategias de mitigación y terminar relaciones si es necesario.
  • Usar automatización: La gestión de riesgos de terceros puede ser manualmente intensiva, pero no tiene por qué ser así. La automatización puede ayudar a reducir el tiempo y los recursos necesarios para la recolección de datos, evaluación de riesgos, gestión de personal, monitoreo continuo y otras actividades relacionadas con la gestión de riesgos de terceros.

Al implementar estas mejores prácticas como parte de tu programa de gestión de riesgos de terceros, puedes ayudar a proteger los datos, las operaciones, la reputación y la postura de seguridad y cumplimiento de tu organización, mientras mantienes tus relaciones con entidades externas.

Ciclo de vida de la gestión de riesgos de terceros

1. Identificación de terceros existentes y nuevos

Identificar a todos los terceros existentes con los que la organización tiene una relación comercial. Esto incluye proveedores, suministradores, prestadores de servicios, contratistas, consultores y otras entidades externas.

2. Evaluación y selección de nuevos terceros

Cualquier nueva entidad debe ser evaluada antes de proceder al siguiente paso. Tu organización puede utilizar solicitudes de propuestas o cuestionarios de seguridad si está evaluando múltiples entidades para el mismo servicio. La decisión de proceder con un tercero puede basarse en un rango de factores que alinean con las necesidades de la organización, como el costo.

3. Evaluación de riesgos y debida diligencia

Después, realizar una evaluación de riesgos y la debida diligencia antes de firmar o extender un contrato con terceros y conceder acceso a tus sistemas. Estas deben realizarse para determinar el posible riesgo e impacto que cada relación con terceros supone para tu organización.

Esta evaluación y debida diligencia deben responder las siguientes preguntas:

  • ¿Es el tercero de naturaleza orientada al cliente?
  • ¿Estará el tercero involucrado en la recepción y almacenamiento de datos confidenciales (por ejemplo, datos de clientes, datos de empleados, datos regulatorios o datos financieros)? Si es así, ¿dónde utiliza, accede y almacena dichos datos el tercero?
  • ¿Qué controles y medidas de seguridad tiene el tercero implementados?
  • ¿Qué políticas de seguridad tiene el tercero establecidas? Solicita revisarlas.
  • ¿Ha sido sometido el tercero a auditorías de terceros (como SOC 2®, HITRUST, ISO 27001)? Solicite revisar los informes.
  • ¿Existe riesgo de escrutinio regulatorio y daño al cliente asociado con el tercero?
  • ¿Cuál es la dependencia operativa del tercero?
  • ¿Presenta el tercero riesgo en la cadena de suministro?

4. Revisión de contratos y adquisiciones

A continuación, establezca acuerdos contractuales que definan responsabilidades y expectativas sobre controles de seguridad, protección de datos, cumplimiento y respuesta a incidentes. Estas responsabilidades y expectativas deben aplicarse tanto a su organización como al tercero. Someta estos acuerdos al tercero para su revisión y firma.

5. Mitigación de riesgos

La mitigación de riesgos puede ocurrir junto con la revisión de contratos y adquisiciones. Después de realizar evaluaciones de riesgos, puede comenzar a mitigar los riesgos que ha identificado y asumido al establecer relaciones con terceros. Esta etapa podría involucrar la cuantificación o evaluación de riesgos, el tratamiento de riesgos y el monitoreo de riesgos.

6. Monitoreo continuo

Las relaciones con terceros deben ser monitoreadas continuamente para asegurar razonablemente que los terceros cumplen con las leyes estatales y federales y que los servicios se están proporcionando según lo previsto. Esto implica realizar revisiones de proveedores al menos anualmente, las cuales deben ser documentadas y conservadas para fines de auditoría.

Las revisiones anuales pueden incluir la recopilación de informes de cumplimiento aplicables, como SOC 2, PCI DSS, HITRUST, e ISO 27001, u otras evidencias de cumplimiento de seguridad.

Los resultados de estas revisiones deben compararse con los acuerdos y/o LAE vigentes. Si se encuentra que los terceros han violado algún acuerdo ejecutado, se pueden iniciar planes de acción y procesos para solucionar el/los problema(s) o se puede retirar inmediatamente el acceso a los sistemas de su empresa.

7. Desincorporación de terceros

La etapa final del ciclo de vida de gestión de riesgos de terceros es la desincorporación o terminación. Si finaliza una relación comercial con un tercero, debe tener procedimientos en marcha para asegurar que los datos se transfieran o eliminen de manera segura y que los riesgos potenciales se minimicen durante la transición.

Plantilla de política de gestión de riesgos de terceros

Ya sea que esté creando una política de gestión de riesgos de terceros por primera vez o busque fortalecer su política actual, use esta plantilla para ayudar a construir una base sólida para gestionar sus relaciones con terceros.

Software de gestión de riesgos de terceros

El software de gestión de riesgos de terceros puede ayudar a simplificar y agilizar las siguientes tareas:

  • Revisiones de terceros: Una plataforma de automatización puede permitirle almacenar y revisar documentación fácilmente para asegurarse de que sus terceros cumplan con las normativas.
  • Evaluaciones de riesgos de proveedores: Algunas plataformas de automatización pueden proporcionar recomendaciones de riesgos basadas en la información de evaluación de terceros que proporcione para ayudar a simplificar el proceso de evaluación de riesgos.
  • Seguimiento del acceso del personal externo: Puede monitorear y rastrear fácilmente el acceso al sistema del personal externo usando una plataforma de automatización.
  • Monitoreo continuo: Una plataforma de automatización puede monitorear continuamente la postura de seguridad de sus terceros y su cumplimiento con marcos regulatorios e industriales.

Al evaluar el software de gestión de riesgos de terceros, busque uno que ofrezca una plataforma fácil de usar, además de un equipo de expertos en seguridad y cumplimiento para guiar a su organización en cada paso del proceso de gestión de riesgos de terceros.

Cómo Secureframe puede ayudarlo a gestionar el riesgo de terceros

Secureframe ayuda a las empresas a monitorear y calificar automáticamente el rendimiento de seguridad de sus socios externos y automatizar cuestionarios de seguridad que hacen que el proceso de gestión de riesgos de terceros sea mucho más manejable. Secureframe también ofrece informes de seguridad actualizados de cada tercero con niveles de riesgo y descripciones detalladas.

¿Desea proteger sus relaciones con terceros y gestionar mejor su seguridad? Programe una demostración con nuestro equipo hoy para ver cómo podemos satisfacer sus necesidades exactas.

Use la confianza para acelerar el crecimiento

Solicitar una demostraciónangle-right
cta-bg

SOC 1®, SOC 2® y SOC 3® son marcas registradas del Instituto Americano de Contadores Públicos Certificados en los Estados Unidos. Los Criterios de Servicios de Confianza en Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad de la AICPA® están protegidos por derechos de autor de la Asociación de Contadores Profesionales Internacionales Certificados. Todos los derechos reservados.