¿Qué es la gestión de riesgos de terceros?

La gestión de riesgos de terceros es una disciplina de gestión de riesgos que se centra en identificar y mitigar los riesgos asociados con los proveedores. La gestión de riesgos de terceros proporciona visibilidad a las empresas sobre sus proveedores, cómo colaboran entre sí y qué proveedores han implementado suficientes controles de seguridad.

Como disciplina, la gestión de riesgos de terceros está evolucionando rápidamente. Cada día, las empresas experimentan nuevos desafíos de seguridad, privacidad, cumplimiento normativo y continuidad del negocio en relación con sus proveedores. Con la transición hacia el trabajo desde casa, la transformación digital está aumentando rápidamente la dependencia de los proveedores (principalmente, de los proveedores en la nube), lo que hace que la gestión de riesgos de terceros sea una preocupación permanente para las juntas directivas. Los objetivos de los programas de gestión de riesgos de terceros varían de modo significativo según el tamaño de la empresa, su jurisdicción, la legislación aplicable, su sector, etc. Dicho esto, hay muchas prácticas recomendadas de gestión de riesgos de terceros para cada tipo de negocio. A lo largo de este artículo, hablaremos sobre estos aspectos con más detalle.
 

¿Cuál es la diferencia entre un proveedor, un tercero, un suministrador y un proveedor de servicios?

Al hablar sobre la gestión de riesgos de terceros, es importante tener en cuenta que muchas empresas utilizan una terminología diferente al referirse a los proveedores. En algunos casos, el término «proveedor» se utiliza indistintamente junto con «tercero», «suministrador» o proveedor del servicio. Sin embargo, en muchos casos, estos términos conllevan diferencias muy sutiles.

Por ejemplo, el término «suministrador» a menudo se utiliza en relación con bienes físicos, mientras que los proveedores y proveedores de servicios son términos que se utilizan más con respecto a equipos de tecnología de la información (TI). Por su parte, el término «tercero» suele considerarse como el más general y puede abarcar todos los términos que se mencionan arriba. Aun así, para muchas personas, la gestión de riesgos de terceros y la gestión de riesgos de proveedores son básicamente sinónimos.
 

¿Por qué es tan importante la gestión de riesgos de terceros?

Las empresas están subcontratando cada vez más tareas críticas a sus proveedores, lo que a su vez conlleva tanto beneficios como riesgos potenciales. Aunque trabajar con un tercero puede ahorrar costes y ayudar a operar de forma más eficiente, también genera vulnerabilidades. Sucesos recientes —como la pandemia de Covid-19, el ciberataque a SolarWinds y el ataque contra Colonial Pipeline, entre muchas otras brechas causadas por ransomware— han dejado muy claro el riesgo que puede conllevar cualquier proveedor. Sucesos como estos han afectado a millones de empresas y a sus terceros, independientemente de su sector, tamaño o el país de sus operaciones.

A continuación, se muestran algunos ejemplos hipotéticos para ilustrar por qué la gestión de riesgos de terceros es tan importante. 

Supongamos que tu empresa confía en los servicios de Google Cloud para ejecutar su aplicación móvil. Si Google Cloud sufriera una interrupción, es posible que tus clientes no pudieran acceder a tu aplicación. Otro ejemplo podría ser un servicio de transporte, como Uber, y su dependencia en torno a los conductores que utilizan su aplicación. Si los conductores de Uber comenzasen una huelga, esta situación podría causar grandes desafíos y perjudicar los resultados de la empresa.

Aun así, la subcontratación es un aspecto imprescindible a la hora de dirigir cualquier negocio moderno. No solo sirve para ahorrar costes, sino que también es una forma sencilla de sacar partido de una experiencia acumulada de la que la organización subcontratante podría carecer en un momento dado. En cambio, la desventaja es que si no se aplica un programa de gestión de riesgos de terceros adecuado, depender de terceras empresas podría conllevar vulnerabilidades para tu negocio.

Dicho esto, un programa de gestión de riesgos de terceros efectivo puede reducir el impacto de cualquier evento disruptivo y reducir la exposición al riesgo de una empresa en líneas generales. Sin embargo, la gestión de riesgos de terceros ofrece muchas más ventajas que el mero hecho de únicamente reducir los riesgos. Por ejemplo, las empresas que han implementado un programa de gestión de riesgos de terceros pueden evaluar e incorporar nuevos proveedores de forma más eficiente al poner las herramientas adecuadas en manos de las personas adecuadas y de manera más rápida. Además, un programa de riesgos de terceros puede ofrecer a las organizaciones la posibilidad de monitorizar las relaciones con sus proveedores a lo largo del tiempo e identificar nuevos riesgos a medida que van surgiendo, además de medir el rendimiento del proveedor. Por último, existen muchas otras razones por las que la gestión de riesgos de terceros es de una importancia clave, entre las que se incluyen:

• Exigir la parte de responsabilidad correspondiente del proveedor dentro del contrato 
• Reducir gastos al identificar terceros redundantes 
• Cumplir con las normativas globales y los requisitos del sector 
• Comprender cómo fluyen los datos y quién tiene acceso a ellos 
• Llevar un seguimiento de los controles de seguridad y gestionar los esfuerzos de mitigación de riesgos 
• Rescindir proveedores y llevar registros de cara al cumplimiento normativo
   

¿Cómo gestionan las empresas los riesgos de terceros?

No existe un enfoque único a la hora de gestionar el riesgo de terceros. Cada empresa es diferente. Aun así, existen medidas comunes que todas las empresas con un sólido programa de gestión de riesgos de terceros deben implementar. Algunos ejemplos de este tipo de medidas son:

1. Definir tu apetito de riesgo desarrollando una declaración de apetito de riesgo  
2. Gestionar riesgos a nivel de producto o servicio individual del proveedor 
3. Elegir tu marco de control y normas de evaluación 
4. Identificar los tipos de riesgo que son más importantes para tu organización 
5. Crear un inventario de proveedores y llevar un seguimiento de los atributos críticos que defina tu negocio 
6. Clasificar a tus proveedores en función de su nivel crítico 
7. Realizar evaluaciones del riesgo de proveedores y tomar medidas de mitigación 
8. Llevar un seguimiento de los términos clave en los contratos con los proveedores
9. Generar informes sobre métricas clave que estén relacionadas con los proveedores 
10. Monitorizar los riesgos y el rendimiento de los proveedores a lo largo del tiempo
     

¿Cómo se implementa un programa de gestión de riesgos de terceros?

La implementación de un programa de gestión de riesgos de terceros depende en gran medida del tamaño de tu organización y de la escala de tu programa de gestión de proveedores. Dicho esto, la implementación de muchos programas sigue una metodología común.

Paso 1: Selecciona el software

Comprende tu caso práctico y los requisitos del software. 

Paso 2: Forma a tu equipo

Revisa la funcionalidad principal del software y comprende cómo puede cumplir tus objetivos el software. 

Paso 3: Crea tu inventario de proveedores

Importa una lista de proveedores existente (si ya tuvieras una) y configura los atributos que quieras rastrear para cada proveedor. Si no dispones de una lista de proveedores, puedes utilizar ciertos métodos para identificar e incorporar proveedores como, p. ej., realizar evaluaciones de localización de proveedores o sacar partido de un portal de autoservicio para usuarios de empresa.

Paso 4: Clasifica a tus proveedores

Con docenas, cientos o incluso miles de proveedores, resulta muy difícil saber cuáles son los más importantes. Lo que hace la mayoría de los equipos de riesgo de proveedores para resolver este problema es clasificar a sus proveedores en diferentes niveles. De hecho, los niveles que se aplican con mayor frecuencia son:

• Proveedores de nivel 3: riesgo bajo, carácter crítico bajo
• Proveedores de nivel 2: riesgo medio, carácter crítico medio
• Proveedores de nivel 1: riesgo alto, carácter crítico alto

Paso 5: Elige el marco de tu evaluación

Hay muchas normas o marcos de evaluación entre los que puedes elegir. No hay ninguna evaluación «correcta» que funcione para todos. Sin embargo, es probable que sí exista un marco de evaluación «adecuado» que funcione bien para tu empresa y sector. Entre las normas de evaluación más comunes del sector se incluyen:

• ISO 27001 
  
• ISO 27701
• Publicación extraordinaria 800-53 del NIST
• Evaluación de recopilación de información estandarizada (versión ligera y completa)
• Cuestionario de iniciativa de evaluación de consenso de la CSA

También existen normas para sectores específicos, entre las que se incluyen: 

• HITRUST (atención sanitaria) 
• HECVAT (educación superior) 

Más adelante, exploraremos estas normas y marcos en más detalle. 

Paso 6: Desarrolla tu metodología de evaluación

• Al desarrollar tus procesos de evaluación, es importante tener en cuenta las siguientes preguntas: 
• ¿Cómo sabes cuándo se requiere una nueva evaluación de proveedor? 
• ¿Quién debería poder iniciar una evaluación de proveedor? 
• ¿Quién revisa las evaluaciones? 
• ¿Cuánto esfuerzo quieres dedicar para la validación de las respuestas de la evaluación? 
• ¿Qué preguntas de la evaluación generan riesgos? 
• ¿Cómo se agregan y se notifican los riesgos que se hayan marcado? 
• ¿Se necesitan evaluaciones de seguimiento en función de las respuestas de la evaluación inicial? 
• ¿Con qué frecuencia tienes que reevaluar a tus proveedores? 
• ¿Realizarás las evaluaciones tú mismo o te viene bien un intercambio de evaluaciones? 

Al considerar cómo quieres validar las respuestas de la evaluación, es importante que comprendas cuáles son tus opciones. Para los proveedores de bajo riesgo, muchas empresas aceptarán un proveedor atestado (donde el propio proveedor ateste la exactitud de sus respuestas). En lo respectivo a los proveedores de riesgo medio a alto, las empresas adoptarán un enfoque de validación más intensivo como, p. ej., una auditoría in situ. Sin embargo, a medida que la transformación digital continúa a toda velocidad y el trabajo desde casa se ha convertido en parte de las actividades diarias, muchas organizaciones optan por auditorías en remoto en lugar de desplazarse a las instalaciones. Dicho esto, es importante que tu empresa esté preparada para ambos tipos de auditorías.

Paso 7: Define tu metodología de riesgo y marco de control

Todos los programas de gestión de riesgos de terceros necesitan una forma de calcular los riesgos. Tu metodología de riesgo, junto con el marco de control que hayas elegido, deberá definirse de modo interno por tu organización. Muchas empresas utilizan una matriz de riesgos que tienen el impacto y la probabilidad como ejes.

Por su parte, las metodologías alternativas pueden ser tan simples como marcar los riesgos como altos, medios o bajos.

Paso 8: Crea flujos de trabajo y desencadenadores de automatización

A medida que describes diferentes flujos de trabajo de gestión de riesgos de terceros, considera dónde puedes automatizar procesos con el fin de ahorrar tiempo. Muchos profesionales de la gestión de proveedores implementan automatizaciones cuando:

• Agregan e incorporan nuevos proveedores 
• Miden el riesgo inherente y clasifican por niveles a los proveedores 
• Asignan responsables del riesgo y delegan las acciones de mitigación necesarias 
• Desencadenan el rendimiento del proveedor o revisiones de renovación 
• Desencadenan reevaluaciones de proveedores cada año 
• Envían notificaciones a las partes interesadas clave 
• Programan, ejecutan y comparten informes 

Cada empresa tiene sus flujos específicos de trabajo de gestión de riesgos de terceros. Para simplificar estos flujos de trabajo, céntrate en identificar los procesos y las tareas que más se repitan. A continuación, comienza a configurar la automatización adecuada para estos aspectos específicos de tus flujos de trabajo. A medida que se va agregando cada automatización, la eficiencia se irá multiplicando y tu equipo obtendrá beneficios que ayudarán a ahorrar tiempo.

Paso 9: Crea tus informes y paneles de información

Todos los profesionales de riesgo de terceros tienen su lista con los informes y los análisis a los que les gustaría tener acceso. No hay mejor momento para hacer que estos datos sean accesibles que durante la implementación del programa de gestión de riesgos de terceros.

Por tanto, pregúntate cuáles son los requisitos actuales para tus informes. Y qué información sería útil mostrar en tu panel de información.

Entre las métricas más directas que se suelen rastrear se incluyen: 

• El número total de proveedores
  
• Los proveedores de acuerdo con su calificación o nivel de riesgo 
• El estado de todas las evaluaciones de riesgo de terceros 
• El número de contratos que están por vencer o ya han vencido 
• Los riesgos agrupados por nivel (alto, medio, bajo) 
• Los riesgos según su fase dentro del flujo de trabajo de corrección de riesgos 
• Los riesgos para tu organización principal y los riesgos para tus filiales 
• El historial de riesgos a lo largo del tiempo 

Paso 10: Perfecciona tu programa con el paso del tiempo

La gestión de riesgos de terceros no es una disciplina estática. Nunca dejan de surgir nuevas amenazas y requisitos. Por ello, es esencial parar de vez en cuando para determinar si tu programa continúa siendo el adecuado para el momento actual. Si no fuera así, ¿a qué se debe y qué puedes hacer para remediarlo?
 

¿Cuál es el ciclo de vida de la gestión de riesgos de terceros?

El ciclo de vida de la gestión de riesgos de terceros hace referencia a cómo evoluciona la relación con un proveedor a lo largo del tiempo. En algunos casos, a la gestión de riesgos de terceros se la denomina «gestión de relaciones de proveedores», lo que describe los acuerdos que tienen en marcha las empresas con sus proveedores. Asimismo, el ciclo de vida de la gestión de riesgos de terceros consta de las siguientes fases:

• Identificación del proveedor 
• Evaluación y selección 
• Evaluación de riesgos 
• Mitigación de riesgos 
• Contratación de servicios 
• Generación de informes y registros 
• Monitorización continua 
• Rescisión de proveedores 

Por último, también cabe tomar en cuenta que al ciclo de vida de la gestión de riesgos de terceros a veces también se le denomina «ciclo de vida de la gestión de riesgos de terceros».

¿Cómo puedo realizar mejores evaluaciones de riesgos de terceros?

La evaluación de riesgos de proveedores (o de terceros) se trata de un cuestionario que utilizan las empresas para evaluar y decidir si confían o no en sus proveedores actuales y potenciales. 

El proceso de evaluación de riesgos está diseñado para identificar y evaluar los posibles riesgos de trabajar con un proveedor. Esto se hace evaluando los controles de seguridad, valores, objetivos, políticas, procedimientos y otros factores clave del proveedor. Así, las empresas pueden determinar si los beneficios superan a los riesgos de trabajar con dicho tercero.

Efectuar evaluaciones exhaustivas de riesgos es fundamental para el éxito de tu programa de gestión de riesgos de terceros. Entonces, ¿qué prácticas recomendadas puedes implementar para mejorar la probabilidad de éxito de tu evaluación de riesgos? A continuación, te mostramos 5 consejos que te ayudarán a mejorar tu proceso de evaluación.

Consejo 1: Determina los riesgos que te interesan

Antes de evaluar a tus proveedores, es importante parar un momento y reflexionar sobre cuáles son los riesgos más importantes para tu organización. Estos riesgos pueden presentarse de muchas formas diferentes y, p. ej., pueden incluir:

• Riesgos estratégicos (¿cómo se ajusta la estrategia del proveedor con la tuya?) 
• Riesgos de ciberseguridad 
• Riesgos financieros 
• Riesgos de cumplimiento normativo 
• Riesgos geográficos 
• Riesgos de partes o proveedores ulteriores 
• Riesgos de sustitución (¿es difícil reemplazar al proveedor?) 
• Riesgos operativos 
• Riesgos de privacidad  
• Riesgos para la reputación 
• Riesgos de continuidad del negocio 
• Riesgos de rendimiento 
• Riesgos medioambientales 
• Riesgos de sobreconcentración (¿hasta qué punto dependes de un proveedor concreto?) 

Los riesgos específicos sobre los que quieras llevar un seguimiento dependerán de tu organización y de los objetivos de tu programa de gestión de riesgos de terceros. Muchas empresas no realizan un seguimiento de todos los riesgos que se han mencionado anteriormente. De hecho, la mayoría seleccionará las 4 o 5 categorías de riesgo principales que sean más importantes para su negocio. Medir demasiados tipos de riesgos podría resultar abrumador. Dicho esto, los programas de gestión de riesgos de terceros más maduros pueden presentar un gran nivel de detalle con respecto a los tipos de riesgo sobre los que lleven un seguimiento, y a su vez, tendrán una mayor comprensión sobre la exposición general al riesgo de su empresa en relación con los terceros.

Consejo 2: Evalúa los productos y servicios de tus proveedores

La mayoría de los proveedores con los que trabajas cuentan con una serie de productos o servicios diferentes. Cada uno de estos productos o servicios a título individual puede estar sujeto a diferentes medidas de seguridad, lo que hace que su riesgo tenga un carácter único (incluso si se trata del mismo proveedor).

Por ejemplo, Salesforce CRM y Salesforce Pardot son dos productos independientes que ofrece Salesforce. Por tanto, Salesforce es el proveedor, pero cada uno de sus productos (en este caso, CRM y Pardot) cuenta con sus propias certificaciones de cumplimiento normativo por separado y con un conjunto diferente de controles de seguridad implementados.

Además, la forma en que utilizas un servicio podría ser completamente diferente a la forma en que utilizas el otro. Por ejemplo, puedes utilizar Amazon para aprovisionar tu negocio. En tal caso, Amazon podría considerarse un proveedor de bajo riesgo. Por otro lado, también podrías confiar en Amazon Web Services para alojar tu aplicación basada en la nube, lo que podría suponer un riesgo mucho mayor.

Consejo 3: Automatiza el proceso de evaluación de proveedores

Al igual que cualquier proceso repetitivo, puedes automatizar las acciones que estén involucradas en la realización de evaluaciones. Revisa los procedimientos internos para identificar los aspectos del flujo de trabajo de evaluación que se puedan realizar de forma automática. Los ejemplos de automatización incluyen la señalización automática de riesgos, la asignación de responsables de los riesgos y desencadenar reevaluaciones según riesgos recién identificados o contratos que vayan a vencer.

Consejo 4: Haz que responder a las evaluaciones sea fácil para tus proveedores

Lograr que un proveedor responda a una evaluación puede llegar a ser un proceso complicado. Piensa en el modo de facilitarle el proceso a tus proveedores. Por ejemplo, facilítale el trabajo a los encuestados con herramientas de automatización para la respuesta a cuestionarios gratuitas o anímalos a que participen en el Exchange de riesgos.

Consejo 5: Monitoriza a los proveedores para su reevaluación

Los riesgos pueden cambiar con el paso del tiempo. Por tanto, ¿qué tipo de sucesos podrían ocasionar que hubiera que reevaluar al proveedor? A menudo, suelen surgir nuevos riesgos a raíz de este tipo de situaciones:

• Fusiones, adquisiciones o desinversiones 
• Modificaciones de procesos internos 
• Noticias negativas o acciones poco éticas 
• Desastres naturales y otros sucesos que puedan comprometer la contuinidad del negocio 
• Actualizaciones de productos 
• Nuevas normativas 
• Reducciones de plantilla
  
  

¿Qué son los exchanges de riesgos y cómo pueden ayudarme con la evaluación de riesgos de mis proveedores?

El Exchange de riesgos de terceros facilita el «intercambio» de evaluaciones de riesgos de proveedores, además de documentación y evidencias adicionales.

Con el Exchange, puedes acceder a las evaluaciones de riesgos que un proveedor haya completado con anterioridad. Asimismo, estas evaluaciones suelen basarse en normas del sector como, p. ej., las del NIST, la ISO o la SIG Lite (evaluación de recopilación de información estandarizada).

El Exchange de riesgos de terceros puede mejorar tu programa de gestión de riesgos de terceros al permitir que puedas efectuar tus evaluaciones de proveedores con mayor rapidez, así como eliminar el trabajo más mecánico de las evaluaciones que ralentiza a tu equipo y desvía recursos de otros proyectos estratégicos.

En cuanto a tus proveedores, los intercambios de riesgos les ahorran una cantidad de tiempo significativa al permitirles reutilizar los cuestionarios que ya hayan completado todas las veces que quieran. A través de este intercambio, pueden compartir la misma evaluación con docenas de empresas al mismo tiempo.

En última instancia, los intercambios de riesgos permiten que tanto tus proveedores como tú podáis trabajar conjuntamente con el fin de mejorar de manera colectiva el proceso de evaluación de riesgos de proveedores para todas las partes involucradas.

¿Cuáles son las ventajas del software de gestión de riesgos de terceros?

El software de gestión de riesgos de terceros ayuda a que las organizaciones puedan crear y automatizar su programa de gestión de riesgos de proveedores. En última instancia, el software de riesgos de proveedores te ayuda a incorporar a terceros, evaluarlos, identificar y mitigar sus riesgos, monitorizar los cambios de proveedores a lo largo del tiempo y rescindir a cualquier tercero cuando sea necesario, y todo ello mientras conservas los registros adecuados para demostrar el cumplimiento normativo. Al sacar partido del software de gestión de riesgos de terceros, la automatización puede aportar un retorno de la inversión (ROI) bastante rápido. Dicho esto, abajo te mostramos una lista de ventajas adicionales del software de gestión de riesgos de terceros:

• Mayor seguridad 
• Mayor confianza del consumidor 
• Mayor ahorro de tiempo y costes 
• Reducción del trabajo repetitivo 
• Mejor visibilidad sobre los proveedores 
• Evaluación e incorporación de proveedores simplificada 
• Evaluaciones de riesgos más rápidas 
• Informes y análisis mejorados 
• Mantenimiento de registros simplificado 
• Menor cantidad de riesgos asociados con los proveedores 
• Relaciones y rendimiento de los proveedores mejorados 
• Menos tiempo dedicado a hojas de cálculo
  
  

¿Cómo puede ayudarte OneTrust?

La plataforma OneTrust saca partido de nuestra enorme experiencia en GRC gracias a nuestra especialización en gestión de riesgos de terceros, privacidad y gestión de incidentes, entre muchas otras categorías, para ofrecer una experiencia inmersiva de gestión de la privacidad y la seguridad. Reduce tus riesgos de terceros y proveedores con el software Third-Party Management y Third-Party Risk Exchange de OneTrust. Este software permite que puedas ejecutar comprobaciones de cumplimiento normativo y verificar a los proveedores. Además, nuestro software permite que las organizaciones puedan realizar evaluaciones de riesgos de proveedores y mitigar los riesgos a través de una automatización de los flujos de trabajo muy personalizable. OneTrust Third-Party Risk Exchange permite que las empresas puedan acceder a análisis de riesgos e informes sobre lagunas en los controles de proveedores, además de que proporciona a los proveedores la oportunidad de centralizar su información de cumplimiento normativo y promocionarla entre miles de clientes de OneTrust para que se pueda compartir con facilidad.