¿Qué es la gestión de riesgos de terceros?

La gestión de riesgos de terceros (TPRM) es un tipo de gestión de riesgos que se centra en identificar y mitigar los riesgos asociados con el uso de proveedores externos (a veces denominados,proveedores, socios, contratistas o proveedores de servicios). La gestión de riesgos de terceros ayuda a las empresas a controlar y analizar el riesgo que plantean los terceros para determinar cuándo supera el umbral de riesgo de la organización.

Por ejemplo, suponga que trata de cerca con una agencia de envíos que tiene acceso a toda la información de sus clientes. Al otorgar ese acceso a esta agencia naviera, es posible que haya acelerado sus operaciones, pero también ha creado posibles peligros provenientes de esta conexión de terceros. (Por ejemplo, el agente podría publicar por error los datos de su cliente en línea).

Trabajar con un tercero podría poner en peligro a su empresa. Si tienen acceso a datos confidenciales, pueden representar un riesgo para la seguridad ; si proporcionan un componente o servicio crítico para su empresa, pueden proporcionar un riesgo operativo, etc. Esto ayuda a las empresas a tomar decisiones informadas sobre el riesgo y limitar el riesgo proporcionado por los proveedores a un nivel aceptable.

 

 

¿Cuáles son las principales mejores prácticas de gestión de riesgos de terceros?

Varias mejores prácticas de gestión de riesgos de terceros pueden ayudarlo a desarrollar un programa más sólido, ya sea que recién esté comenzando con TPRM o desee comprender dónde se podría mejorar su programa actual.

1- Se debe dedicar tiempo a los elementos fundamentales

Cuando las empresas deciden evaluar a los proveedores, con frecuencia se apresuran a preparar un cuestionario y realizar evaluaciones sin antes sentar las bases. Las piezas centrales de un programa exitoso (políticas, procesos, un inventario detallado de proveedores y el método de contratación adecuado) deben estar bien establecidas.

Las partes interesadas pertinentes deben participar para lograr esto. Los proveedores son socios de la unidad de negocio, y el grupo encargado de la evaluación de riesgos debe considerarlos como tales. Los proveedores deben sentirse cómodos con el proceso, comprender lo que se debe hacer y ayudar a determinar qué sucederá si no se descubre que existen controles.

2- Monitorea a tus proveedores continuamente

Los cuestionarios y las encuestas son instantáneas del tiempo. Estas herramientas son estáticas y solo le brindan una imagen parcial de la postura de seguridad de un proveedor. No hay forma de verificar la integridad de la encuesta en muchas circunstancias, por lo que es posible que deba confiar en la palabra de alguien que cumple.

Puede evitar todos estos problemas mediante el uso de herramientas que le permiten monitorear continuamente la postura de seguridad de sus proveedores, recibir notificaciones cada vez que un proveedor no cumple y buscar problemas de los que el proveedor no esté al tanto, como Amazon Web Services. depósito que se ha configurado incorrectamente, conversaciones en la web oscura sobre activos violados u otros activos que se han dejado sin proteger.

3- Utilizar la automatización siempre que sea posible

Cuando las operaciones son uniformes y repetibles, se desarrollan eficiencias. La automatización es útil en varios aspectos del ciclo de vida de la gestión de riesgos de terceros .

Dado que cada programa de gestión de riesgos de terceros es único, comience por buscar internamente actividades repetibles que puedan automatizarse. Comience poco a poco y realice esfuerzos prácticos para automatizar las tareas críticas desde allí. Esta modesta automatización se acumulará con el tiempo, ahorrando tiempo, dinero y recursos a su equipo.

4- Míralo como un ciclo de vida

Las organizaciones tienen suposiciones erróneas con respecto a la amplitud de los esfuerzos de riesgo de terceros de vez en cuando. Desarrolle su programa para asegurarse de cubrir toda la vida de sus relaciones con los proveedores, desde la selección hasta la incorporación, la gestión y la terminación, y que considere cuidadosamente el costo y el trabajo asociado con cada fase.

¿Qué es el ciclo de vida de la gestión de riesgos de terceros?

El ciclo de vida de la gestión de riesgos de terceros es un concepto que describe las muchas etapas de riesgo que debe gestionar con sus terceros a lo largo de su asociación. Las empresas rara vez tienen un control total sobre sus cadenas de suministro; por lo tanto, confían en terceros para cerrar las brechas de experiencia, tiempo y finanzas.

Sin embargo, conseguir ayuda externa tiene un mayor nivel de peligro. Los terceros han demostrado ser particularmente útiles en ciberseguridad para realizar auditorías de seguridad, monitorear redes y aumentar los servicios suministrados. Por otro lado, establecer una colaboración de terceros no ocurre rápidamente.

0- Alcance

Tenga una definición clara de lo que debe pasar por el proceso del ciclo de vida y lo que no. Esta situación incluye aclarar qué significa un vendedor, un proveedor de servicios o un tercero para su empresa. Los clientes, los clientes y tal vez ciertos tipos de socios deben mantenerse fuera de este proceso.

1- Valoración del riesgo hereditario y criticidad

La primera etapa en el compromiso del proveedor es determinar el riesgo subyacente y la criticidad, ya que esto sienta las bases para una diligencia debida adecuada y basada en el riesgo. Ayuda a determinar el nivel máximo de riesgo que el compromiso puede traer a su negocio al evaluar qué tan dependiente será de este proveedor una vez que la conexión esté en funcionamiento.

La evaluación del riesgo basada únicamente en la naturaleza del enlace, es decir, sin ningún tipo de precaución o control, se conoce como ' riesgo inherente '. Con frecuencia se clasifica utilizando un método de tres niveles, siendo los riesgos bajo, moderado y alto los más comunes.
Un juicio sobre el efecto comercial de un compromiso o si un servicio específico sería o no vital para sus operaciones internas se conoce como criticidad. Este proveedor generalmente se clasifica como crítico o no crítico.

2- Diligencia y Determinación del Riesgo Residual

Descubrirá la mejor estrategia para garantizar que el riesgo subyacente se minimice de manera eficiente y adecuada. El procedimiento para hacerlo incluye recopilar y confirmar información de y sobre el proveedor e incorporar controles que mitiguen o reduzcan el riesgo inherente.

Puede confirmar lo siguiente mediante la documentación del proveedor de recolección debido a la diligencia:
La confiabilidad y reputación del proveedor.
La eficiencia con la que funcionan los controles de mitigación
El riesgo que queda

3- Selección de proveedores y gestión de contratos

La gestión de contratos de proveedores es la administración de acuerdos escritos con terceros que proporcionan productos o servicios a su empresa. Un contrato bien redactado es la protección más satisfactoria contra dificultades imprevistas, ahorrando dinero, tiempo, gastos e inconvenientes innecesarios. En la gestión de contratos, no se olvide de los SLA.

Si son rastreados e informados de manera efectiva, son de gran ayuda para responsabilizar a ambas partes.

La gestión de contratos desarrolla expectativas para proteger a su empresa de todo tipo de riesgo de proveedores al:

Disponer de un sistema de estrategia, negociación, creación, redacción, aprobación, ejecución, almacenamiento y gestión de contratos internos.
Incluyendo los controles necesarios
Configuración de acuerdos de nivel de servicio (SLA)
Hacer un seguimiento de las fechas contractuales críticas

4- Monitoreo Continuo

Después de firmar un contrato, es fundamental vigilar a sus proveedores para asegurarse de estar al tanto de cualquier riesgo nuevo . Quiere estar en condiciones de estar preparado si las cosas empiezan a salir mal, por ejemplo, si no se cumplen los SLA o si se produce una filtración de datos o un incidente. Debe tener toda la información y las notificaciones relevantes para solucionar el problema rápidamente.

Es beneficioso seguir los siguientes pasos para establecer una práctica saludable de monitoreo continuo:

Ejecute informes periódicamente.
Llevar a cabo evaluaciones periódicas de riesgos.
Configure un sistema de seguimiento de SLA.
Utilice un programa de monitoreo de código abierto.
Los calendarios de revisión deben basarse en el nivel de riesgo que existe.
Establezca un estándar para el monitoreo regular.
Siga la política de gestión de riesgos de terceros de su empresa .

5- Terminación

Finalmente, una relación debe llegar a su fin en algún momento. Ya sea que se deba a la incapacidad de un proveedor para cumplir, el término de un contrato o simplemente la necesidad de pasar a cosas más grandes y mejores, siempre se deben considerar los procesos de terminación para cada proveedor determinado.

 

Con

socradar

Obtienes 

1. Gestión de la superficie de ataque externa. 

2. Inteligencia extendida sobre ciber-amenazas. 

3. Servicio de protección de riesgos digitales.

Comunícate con nosotros para obtener esta y mas soluciones para tus dispositivos

¡Adquiere una demo gratuita!

logo HD página

 

Compártenos tus datos de contacto y un ejecutivo de cuenta le brindará la atención