Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

La Importancia de la Administración de Riesgos de Terceros

Inicio Glosario La Importancia de la Administración de Riesgos de Terceros

Ya seas una pequeña empresa de cuatro personas o una empresa Fortune 500, la administración de riesgos de terceros es un asunto de seguridad que no debe pasarse por alto.

¿Qué es el riesgo de terceros? El riesgo de terceros ocurre cuando una empresa comienza a trabajar con una empresa externa que tiene acceso a información confidencial, como información financiera. Esto crea un riesgo potencial de que la información sea expuesta a través del tercero.

La Importancia de la Administración de Riesgos de Terceros

¿Qué Son los Proveedores de Terceros y Cómo Están Moldeando la Administración de Riesgos?

Las operaciones empresariales modernas son cada vez más complejas, extendiéndose a través de diferentes infraestructuras tecnológicas, entornos en la nube, personal, servicios e industrias. La mayoría de las empresas impulsadas por datos encuentran que delegar funciones empresariales específicas a socios les ayuda a optimizar sus propias operaciones, mejorar sus capacidades logísticas y centrarse en productos y servicios principales.

El mercado en expansión de contratistas y proveedores de terceros proporciona a las empresas escala y recursos adicionales. Proveedores de servicios gestionados, en industrias como la ciberseguridad, la computación en la nube y el procesamiento de pagos, permiten a las empresas ampliar sus ofertas sin gestionar cada aspecto de sus operaciones internamente.

El Desafío de la Gestión de Terceros

Sin embargo, trabajar con proveedores de terceros introduce un cierto nivel de riesgo. Esto requiere un cierto nivel de diligencia debida, confianza y administración de riesgos.

Ahí radica el problema. Gestionar docenas de proveedores con capacidades cada vez más esotéricas y de nicho es críticamente desafiante, y las empresas deben incorporar estos proveedores en su perfil de riesgo. Las interacciones de varias funciones de proveedores y capacidades empresariales internas pueden introducir riesgos y vulnerabilidades que podrían desestabilizar un negocio en varias áreas de enfoque.

Muchas empresas, por lo tanto, están recurriendo a la práctica de la administración de riesgos de terceros (TPRM) para ayudarlas a trabajar mejor y de manera más segura con sus proveedores.

Niveles de Madurez en la Administración de Riesgos de Proveedores

Los Niveles de Madurez en la Administración de Riesgos de Proveedores son una forma de medir las capacidades de una organización en términos de su habilidad para gestionar los riesgos asociados con la subcontratación de servicios y proveedores. El propósito es evaluar la madurez de una organización en los procesos y procedimientos de administración de riesgos de proveedores para identificar áreas de mejora y mayor eficiencia.

Esto incluye procesos desde la incorporación y monitoreo de proveedores, hasta el manejo de cualquier problema que surja, incluyendo seguridad y privacidad. Es un paso importante para que las organizaciones aseguren que pueden gestionar de manera adecuada y eficiente sus relaciones con los proveedores y proteger a la organización de cualquier riesgo potencial asociado con estas relaciones.

¿Qué Riesgos Introducen los Terceros a un Negocio?

La administración de riesgos de proveedores es desafiante porque el potencial de vulnerabilidades o impacto negativo en el negocio es constante en múltiples áreas de impacto.

Estas áreas de impacto incluyen:

  • Riesgo de Ciberseguridad: La forma más común de riesgo de los proveedores de terceros involucra la seguridad de la información. Los proveedores de terceros son susceptibles a ataques a la cadena de suministro y vulnerabilidades, que luego pueden afectar a las organizaciones con las que trabajan. Dependiendo del nivel de integración entre el proveedor y el cliente, los ataques pueden plantar amenazas persistentes avanzadas en el software del proveedor que fácilmente se infiltran en los sistemas del cliente.
  • Riesgo de Cumplimiento: El cumplimiento es difícil por sí solo. Agregar la complejidad de la tecnología de los proveedores puede hacer que el cumplimiento sea más complicado. Por ejemplo, el cumplimiento de HIPAA requiere que cualquier proveedor que maneje datos de pacientes debe adherirse a las regulaciones. No hacerlo tendrá consecuencias importantes para ese proveedor y cualquier empresa con la que trabajen.
  • Riesgo Operacional: Contratar y trabajar con un proveedor es una decisión tomada con la confianza de que el proveedor puede y proporcionará los servicios que afirma proporcionar. Si, en algún momento, un proveedor no puede realizar sus tareas, puede impactar significativamente a una empresa cliente. Un procesador de pagos que no maneja un alto volumen de transacciones con tarjetas de crédito puede limitar cuánto puede crecer una empresa. Asimismo, los problemas en aplicaciones en la nube pueden dejar a toda una oficina sin poder trabajar durante horas.
  • Riesgo Reputacional: Una empresa no puede controlar las acciones de sus proveedores. Brechas importantes, problemas técnicos, malas prácticas empresariales o mensajes incorrectos pueden arrojar una luz negativa sobre un proveedor, lo que también afecta negativamente a todos los trabajadores del proveedor. Además, una brecha de un proveedor de terceros puede impactar la reputación de una empresa y hacer que sus clientes vean el negocio como inseguro o poco confiable.

En respuesta, la administración de riesgos de terceros aborda el riesgo en todas estas áreas potenciales.

Comprender y Minimizar el Riesgo de Terceros en el Sector de la Salud

La forma principal de comprender y minimizar el riesgo de terceros en el sector de la salud en relación con HIPAA es asegurarse de que todos los proveedores que brindan servicios a cualquier entidad cubierta, como un hospital, clínica o consultorio médico, deben cumplir con la Regla de Seguridad de HIPAA. Esto requiere que las organizaciones realicen una diligencia debida cuidadosa al trabajar con proveedores de terceros y realicen un análisis exhaustivo de riesgos de seguridad antes de comprometerse con ellos.

Las organizaciones también deben asegurarse de que todos los proveedores de terceros cumplan con los requisitos de la Regla de Seguridad de HIPAA firmando un Acuerdo de Asociación Comercial (BAA) que detalle sus responsabilidades y proporcione estándares claros de privacidad y seguridad que deben seguirse. El BAA también debe señalar las medidas de seguridad de la organización y documentar cualquier cambio en estas medidas. El BAA debe actualizarse regularmente para mantenerse al día con los cambios en las regulaciones y tecnologías.

Las organizaciones también deben realizar revisiones de seguridad regulares de sus proveedores de terceros para verificar que sigan cumpliendo con los requisitos de la Regla de Seguridad de HIPAA. Esto incluye revisiones periódicas de sus políticas y procedimientos de seguridad de datos y privacidad, acceso al sistema y otras medidas de seguridad.

¿Qué Es un Marco de Administración de Riesgos de Terceros?

Con tantas áreas potenciales de riesgo, cualquier organización que trabaje con proveedores de terceros se beneficiará al abordar problemas en estas diferentes áreas. Para promover un enfoque holístico de la gestión, es importante desarrollar lo que se conoce como un marco TPRM.

Un marco TPRM ayuda a las organizaciones empresariales a desarrollar esfuerzos de gestión integrales en torno a sus relaciones con proveedores de terceros. Esto se hace a través de lo que se conoce como el ciclo de vida de la gestión de terceros.

Este ciclo de vida incluye algunas de las siguientes etapas:

  1. Perfilado y Clasificación de Riesgos: En esta etapa, una empresa identifica sus desafíos de terceros, incluyendo la creación de un perfil TPRM y una clasificación de diferentes niveles de riesgo basados en criterios relacionados con el cumplimiento, la seguridad y las operaciones empresariales. En esta etapa, una organización diseña e implementa requisitos empresariales para la relación, identifica a las partes interesadas relevantes y determina quién será responsable de la administración de riesgos de proveedores.
  1. Selección: En esta etapa, la empresa trabaja con expertos en la materia de ambas organizaciones, evalúa el riesgo basado en estas entrevistas, desarrolla controles y evaluaciones, y hace selecciones finales sobre los proveedores adecuados. En esta etapa, la organización busca implementar controles de seguridad y posicionar a expertos internos para estructurar una relación con el proveedor. Los gerentes de TI y los directores de seguridad de la información juegan un papel importante en esta etapa y a lo largo del proceso de gestión de proveedores.
  1. Incorporación: En esta etapa, la empresa negocia contratos y realiza revisiones para una incorporación adecuada. En esta etapa, las organizaciones empresariales que llevan a cabo marcos TPRM exhaustivos utilizarán la información y el conocimiento recopilados durante las fases de selección e incorporación para construir requisitos de gestión y minimización de riesgos en los contratos de proveedores. 
  1. Monitoreo Continuo: En esta etapa continua, la empresa monitoreará al proveedor, su desempeño, su infraestructura técnica y la relación entre el proveedor y el cliente. Durante esta etapa, el contrato puede, y a menudo lo hace, ser renegociado basado en factores y desempeño.

Durante este proceso, la empresa cliente evaluará continuamente al proveedor por sus riesgos potenciales en seguridad, reputación, operaciones y cumplimiento.

Marco de Administración de Riesgos de Terceros (RMF) 800-37 Revisión 2 de NIST

El Marco de Administración de Riesgos (RMF) 800-37 Revisión 2 de NIST proporciona orientación para que las organizaciones implementen un programa efectivo de administración de riesgos. El marco establece un estándar para que las organizaciones planifiquen, implementen, evalúen y monitoreen controles de seguridad para proteger los sistemas de información a lo largo del ciclo de vida del sistema. Describe el proceso de seis pasos para implementar controles de seguridad, incluyendo categorización, selección, implementación, evaluación, autorización y monitoreo continuo. Además, el marco describe los roles y responsabilidades de cada parte involucrada en el proceso de control de seguridad y enfatiza la importancia de la toma de decisiones basada en riesgos.

¿Qué Son las Plataformas de Servicios de TPRM Gestionadas?

Dado que la implementación del marco TPRM es tan desafiante, muchas empresas aprovechan los proveedores de servicios y plataformas de TPRM para ayudarles a gestionar el riesgo de terceros.

Un proveedor de gestión dedicado puede centrarse exclusivamente en TPRM para un negocio. Estos proveedores y plataformas deben incluir algunas características clave:

  • Soporte Gestión del Ciclo de Vida del Contrato: En TPRM, los contratos no son un evento único. Las empresas deben revisar y evaluar continuamente los contratos a la luz del desempeño y la seguridad, e incorporar evaluaciones de riesgos y renegociaciones en esos contratos.
  • Gestionar Flujos de Trabajo de Evaluación de Riesgos: Estos proveedores deben estar listos para optimizar flujos de trabajo críticos en torno a evaluaciones, auditorías y cualquier evento relacionado con la respuesta a actividades de proveedores.
  • Gestionar Perfiles de Riesgo: Un buen proveedor o plataforma de TPRM debe dar a sus clientes la capacidad de construir, crear y revisar perfiles en base a cada proveedor.
  • Monitoreo y Evaluaciones Continuas: El monitoreo es una parte crítica de TPRM, y un proveedor o plataforma debe proporcionar herramientas clave para monitorear a los proveedores en cuanto a cumplimiento, reputación o problemas operativos. En este punto, el proveedor debe poder colaborar con la empresa cliente para realizar evaluaciones de sus proveedores. Estas evaluaciones deben incluir informes continuos y reuniones.
  • Automatización: Aunque no parece muy intuitivo, muchos aspectos de TPRM pueden ser automatizados en un sistema de Software como Servicio (SaaS). Evaluaciones, desencadenantes de eventos y evaluaciones de contratos; cada uno puede mapearse a métricas dentro de un sistema en la nube para optimizar TPRM.

Lista de Verificación para la Administración de Riesgos de Terceros o Proveedores

Una lista de verificación para la administración de riesgos de terceros ayuda a las organizaciones a identificar y gestionar los riesgos de terceros. Proporciona una lista completa de riesgos que las organizaciones deben considerar al comprometerse o entrar en acuerdos contractuales con proveedores de terceros.

  1. Revisar las políticas y procedimientos de cumplimiento del proveedor: Examina todas las políticas y procedimientos de cumplimiento del proveedor para asegurarte de que cumplan con los estándares de tu organización y comprende el proceso para monitorear el cumplimiento.
  2. Establecer un programa de auditoría: Desarrolla un programa formal de auditoría para evaluar el riesgo y el desempeño del proveedor, incluyendo la frecuencia de revisión y métricas para la evaluación.
  3. Evaluar la salud financiera: Evalúa la salud financiera de los proveedores y considera el impacto financiero de cualquier terminación de servicios.
  4. Realizar diligencia debida: Comprende el historial, capacidades y trayectoria de servicio del proveedor para evaluar su idoneidad para tu organización.
  5. Considerar soluciones alternativas: Analiza el costo-beneficio de usar proveedores alternativos.
  6. Desarrollar criterios de evaluación: Establece criterios para seleccionar y evaluar el desempeño del proveedor.
  7. Evaluar las medidas de seguridad: Evalúa las medidas de seguridad tomadas por el proveedor para proteger la confidencialidad e integridad de tus datos.
  8. Monitorear el desempeño regularmente: Monitorea el desempeño del proveedor de manera continua y asegúrate de que el proveedor esté cumpliendo con los niveles de servicio acordados.
  9. Revisar contratos: Revisa minuciosamente todos los contratos y acuerdos de nivel de servicio para asegurarte de que los términos sean apropiados y ejecutables.
  10. Desarrollar un plan de emergencia: Crea un plan para responder a la falta de cumplimiento de un proveedor con sus obligaciones.
  11. Documentar la gestión de riesgos: Documenta todos los procesos y acciones de gestión de riesgos, incluyendo la evaluación regular de los proveedores.

No Des por Sentado el Riesgo de Terceros

Con relaciones de proveedores cada vez más complejas en muchas industrias, la gestión de riesgos es crítica. Este tipo de gestión no es una prioridad terciaria. Sin embargo, debe convertirse en una prioridad principal, especialmente donde el cumplimiento, la seguridad o la reputación están involucrados. La gestión de terceros y los marcos TPRM pueden ayudar a las empresas a mantenerse receptivas, flexibles y escalables en la economía empresarial moderna.

Cómo se comparte el contenido sensible con terceros tiene repercusiones críticas en la gobernanza, el cumplimiento y la seguridad. Aprende cómo Kiteworks unifica, rastrea, controla y asegura el contenido sensible que se mueve dentro, hacia y fuera de una organización programando una demostración personalizada.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks