Las organizaciones actuales son redes interconectadas de proveedores terceros que incluyen no sólo a tus proveedores directos, sino a los proveedores de tus proveedores e incluso a los proveedores de sus proveedores. Si no tienes cuidado, un problema con cualquiera de estos proveedores podría acabar perjudicando a tu organización. De hecho, una encuesta reciente reveló que casi la mitad (44%) de los encuestados ha sufrido una violación de datos importante que ha alterado su negocio, causada por un tercero. A los clientes no les importa si un problema como una violación de datos se originó contigo o con un proveedor. A sus ojos, es lo mismo, y la culpa es tuya. Para gestionar eficazmente el riesgo de terceros, debes comprender tus riesgos de forma holística y gestionar tu exposición en toda la empresa con una sólida estrategia de gestión del riesgo de terceros (GTRP).

He aquí cinco pilares de una sólida GTPR que te ayudarán a proteger tu organización.

  1. Identifica a tus proveedores.
    El primer paso para el éxito de cualquier programa de GTPR es saber quiénes son tus proveedores, qué servicios prestan y a qué información tienen acceso. Actúa con la debida diligencia por adelantado y contrata a proveedores externos que cumplan tus normas y requisitos, y que actúen de forma coherente con tu forma de hacer negocios. Mantén actualizada tu lista de proveedores y contratistas. No puedes protegerte de terceros a los que no conoces.
  2. Evalúa los riesgos.
    Evaluar la situación -financiera, operativa, de seguridad, normativa, etc.- de cada proveedor con el que trabajas es absolutamente fundamental para una buena estrategia de TPRM. – de cada proveedor con el que trabajes es absolutamente fundamental para una buena estrategia de GTPR. Tienes que saber cuáles son sus puntos débiles, para que no te pillen desprevenido en el futuro.
    Envía cuestionarios personalizados a cada proveedor para recopilar datos críticos, como acuerdos, contactos, políticas, credenciales de acceso, etc. A continuación, el software puede puntuar y calificar automáticamente las respuestas, hacer un seguimiento de los problemas pendientes y verificar su resolución. También puedes complementar la información proporcionada por los propios proveedores con datos procedentes de expertos externos en la puntuación de riesgos como los financieros y cibernéticos. El uso de diversos métodos de evaluación te dará una visión clara y de 360 grados de la exposición al riesgo de cada relación con terceros, para que no acabes contratando a un nuevo proveedor, por ejemplo, sólo para descubrir que no tiene los recursos financieros para entregar un componente crítico prometido.
  3. Prioriza tus acciones.
    Una vez que hayas evaluado y puntuado los riesgos de tus proveedores externos, clasifica a cada uno en categorías -por ejemplo, riesgo alto, medio y bajo- para que puedas priorizar tus esfuerzos en función de los riesgos que supongan para tu empresa.
    Los terceros que tienen acceso a información sensible, gestionan transacciones financieras o realizan funciones críticas para tus operaciones suelen considerarse de alto riesgo. Los proveedores de riesgo medio podrían ser los que tienen acceso limitado a tus sistemas, y los de riesgo bajo serían los que no interactúan con sistemas o datos críticos.
    Cuanto más alto sea el nivel de riesgo, más frecuentemente querrás reevaluar la capacidad de tus terceros para cumplir sus obligaciones contractuales. Asegúrate de que tienes planes completos de continuidad de negocio de cualquier proveedor clasificado como de alto riesgo o superior.
  4. Resuelve las cuestiones pendientes, e insiste en la documentación.
    Podrías tener que rendir cuentas si un proveedor infringe alguna ley, norma o reglamento gubernamental o del sector. Asegúrate de que dispones de los procesos adecuados para evaluar y supervisar el cumplimiento continuo de la normativa legal correspondiente. Y mantén una pista de auditoría detallada de toda la documentación. Para facilitar la identificación de problemas urgentes y priorizar las estrategias de reparación, considera la posibilidad de clasificar los problemas de terceros en categorías, como crítico (máximo de 3 días para resolverlo), alto (máximo de 30 días para resolverlo), medio (máximo de 120 días para resolverlo) y bajo (máximo de 160 días para resolverlo).
    El software TPRM también puede enviar automáticamente alertas de documentos que caducan. De este modo, si algo incumple la normativa, lo sabrás inmediatamente y podrás actuar con rapidez.
  5. Vigila los cambios.
    Una buena gestión del riesgo de terceros no termina con la incorporación. Requiere una supervisión continua a lo largo de la relación para mantenerse al día de las condiciones cambiantes de cada proveedor, de tus propias prioridades y del mundo en general. Reevalúa periódicamente a los terceros para identificar cualquier impedimento a su capacidad de cumplir sus obligaciones contractuales y para asegurarte de que la asociación sigue alineada con las metas y objetivos empresariales de tu organización. Por supuesto, la supervisión sólo llega hasta cierto punto. Ten preparado un plan de corrección para cualquier riesgo crítico y vulnerabilidad que surja.

Los problemas de los proveedores acaban convirtiéndose en tus problemas, pero con una estrategia, unos procesos y un software eficaces de GTPR, tendrás una base sólida para proteger a tu organización de los pasos en falso de terceros

Para una visión práctica de la gestión eficaz del riesgo de terceros, echa un vistazo a cómo Stanley Steemer actualizó su programa de TPRM para ampliar sus ingresos.

Si estás listo para redactar una RFP para una solución de gestión de riesgos de terceros, descarga esta lista de las preguntas más críticas relacionadas con la GTRP, que puede modificarse fácilmente para adaptarla a tus necesidades.