La gestión de riesgos de terceros implica a múltiples partes interesadas como lo son el equipo de InfoSec, privacidad, adquisiciones, finanzas, jurídico y muchos otros, que pueden necesitar interactuar con terceros de manera regular. Esto hace que sea aún más importante crear un programa de gestión de riesgos de terceros que ponga el foco sobre el usuario y sea fácil de implementar.

En palabras de Ruo Xie, vicepresidente de S2P en OneTrust: «he estado en empresas donde diferentes equipos, ya fuera el jurídico, de privacidad o de seguridad, crearon un proceso que cubría todas sus necesidades y funcionaba bien. Sin embargo, no pensaron en la experiencia del usuario; es decir, en el empleado, el equipo de adquisiciones o quienquiera que tuviera que participar en el proceso, y el resultado fue un proceso muy enrevesado y confuso que la gente no quería utilizar. Dicho de forma clara, el proceso tiene que ser claro para el usuario final. Tiene que tratarse de una solución que los usuarios quieran usar».

En este artículo, te ofrecemos consejos de seis líderes de InfoSec y riesgo de terceros de OneTrust y empresas Fortune Global 500 sobre cómo implementar un programa de gestión de riesgos de terceros dentro de tu organización. Esta es la tercera publicación de nuestra serie sobre cómo crear un programa de gestión de riesgos de terceros.

Descarga la guía de gestión de riesgos de terceros, y descubre cómo optimizar las relaciones con terceros y los errores más comunes que debes evitar.

¿Qué herramientas necesitas para iniciar un programa de gestión de riesgos de terceros?

Las organizaciones con programas de GRC existentes a menudo no necesitan una gran inversión para iniciar su programa de gestión de riesgos de terceros. En muchos casos, las herramientas y recursos existentes pueden aprovecharse para gestionar los riesgos de terceros.

Por ejemplo, puedes comenzar con tu plataforma de GRC y crear parte de las funciones tú mismo o utilizar una solución de gestión de riesgos para facilitar la calificación de terceros. Aunque estos no ofrecerán todas las funciones necesarias comparado con los programas de gestión de riesgos de terceros más maduros, sí que pueden prerrellenar algunos de los datos que necesitas para iniciar tu programa de gestión de riesgos de terceros.

Matthew Solomon, vicepresidente de tecnología y ciberseguridad en Humana, nos explica lo siguiente: «si tu objetivo es desarrollar estas funciones desde cero y dispones de recursos limitados, tan solo tienes que incorporarte utilizando lo que ya está disponible en el entorno actual». 

Y continúa añadiendo: «sin embargo, si tu objetivo es crear funciones realmente sólidas y muchas de las decisiones de adquisición de la organización dependen de la calificación de riesgo cibernético del proveedor, entonces probablemente necesites funciones nuevas o complementarias para tus herramientas existentes que puedan recopilar de forma fluida los datos de riesgos de los proveedores que sean necesarios, con el fin de analizarlos y luego informar sobre los resultados de una manera que ayude al responsable final de la toma de decisiones».

El retorno de la inversión es otro aspecto a tener en cuenta cuando se trata de herramientas de gestión de riesgos de terceros. ¿Se puede hacer el trabajo con una sola persona o hace falta más gente? A medida que se van incorporando más terceros, una herramienta centralizada podría reducir los costes de dotación de personal y hacer que el proceso de gestión de riesgos de terceros fuera más sencillo, rápido y escalable a largo plazo. Los equipos tampoco necesitarán tanta formación porque podrán sacar partido de la orientación dentro de la herramienta.

Dicho esto, Xie agrega: «si podemos automatizar lo que se necesita desde una perspectiva de seguridad o privacidad, no deberíamos necesitar un humano para revisarlo. Solo se debería necesitar la intervención humana si se produjera un desvío en cuanto a los requisitos o hiciera falta tomar una decisión empresarial. La automatización ahorra tiempo y permite que el equipo de seguridad pueda centrarse en las revisiones de proveedores más complejas y arriesgadas».

¿Necesitas un equipo que se dedique exclusivamente a la gestión de riesgos de terceros?

La seguridad tan solo es una parte de todo el proceso de gestión de terceros. Los programas de gestión de riesgos de terceros también tratan con revisiones de contratos, evaluaciones y otras actividades de diligencia debida.

En palabras de Tim Mullen, delegado jefe de seguridad de la información en OneTrust: «muchos profesionales del riesgo disponen de una “navaja suiza”; es decir, de una amplia gama de conocimientos en materia de seguridad. No cuentan con un conocimiento excesivamente profundo en estas áreas de manera específica porque su trabajo es juntar todas las piezas; saben lo suficiente como para hacer las preguntas adecuadas».

A esto le suma: «si hay ciertas preguntas, por ejemplo, sobre claves API o datos personales, esto implicará una revisión más formal que involucrará a nuestro equipo de arquitectura. Así que no solo se necesitan personas con formación en materia de riesgos, sino que a veces se necesitan técnicos para tener esas conversaciones más profundas».

Las organizaciones pueden optar por uno de estos dos caminos: Crear asociaciones y asignar recursos de equipos existentes, o contratar a nuevo personal que se dedique a la gestión de riesgos de terceros.

Según aconseja Solomon: «si tu objetivo es interactuar a fondo con tus proveedores para comprender y remediar los riesgos relacionados, entonces tu enfoque en cuanto a recursos probablemente implique contratar a personas con aptitudes de contratación y negociación con el fin de ayudar a desarrollar un acuerdo de seguridad de la información. Alguien con una amplia experiencia en ciberseguridad que pueda examinar los controles de los proveedores y sacar conclusiones útiles sobre si estos son o no adecuados. Alguien con experiencia en gestión de programas o comunicación que pueda realmente afectar el resultado de las relaciones con los proveedores de forma que se puedan gestionar los riesgos con eficacia».

Y finaliza con lo siguiente: «en última instancia, el éxito a la hora de dotarte de recursos depende de tu capacidad para presentar toda la información de la forma correcta con el fin de obtener la financiación adecuada y poder competir por el escaso personal cualificado que puede efectuar el trabajo de manera efectiva».

¿Cómo puedes implementar un programa de gestión de riesgos de terceros en toda tu organización?

La implementación de un programa de gestión de riesgos de terceros es una experiencia diferente en cada organización. Depende de los tipos de terceros que se contraten, de su acceso a datos internos, de cualquier requisito jurídico o regulatorio, y de lo diferente que sea el nuevo programa de cualquier gestión de terceros existente.

«Yo me fijo en la experencia global. ¿Qué experimentan los empleados cuando pasan por este proceso? ¿Y qué tenemos que hacer, desde el punto de vista profesional de la seguridad, para proteger a OneTrust? —explica Xie—. Por último, ¿cuánto podemos automatizar para lograr esas dos cosas con el menor número de puntos de contacto posible para el empleado y para los equipos de seguridad, privacidad y cumplimiento normativo?».

Aparte de crear un proceso automatizado e intuitivo que solo involucre a los equipos cuando sea necesario, proporcionar la documentación y formación adecuadas también es fundamental para el éxito de la gestión de riesgos de terceros. 

Según Xie: «realizamos presentaciones itinerantes, tenemos una lista de distribución para emails y disponemos de diferentes canales de asistencia: un canal general, un canal de asistencia para adquisiciones, un canal de cuentas por pagar, etc. También, hemos creado una página de inicio para guiar a las personas a través del proceso de gestión de riesgos de terceros, que incluye enlaces importantes y comparte nuestras políticas de adquisición para dar un poco más de cobertura. Para los equipos que trabajan mucho con los proveedores, proporcionamos formación sobre cómo atravesar el proceso, qué esperar y a quién contactar».

El camino para gestionar los riesgos de terceros

Incluso el mejor plan de gestión de riesgos de terceros puede fallar sin una implementación adecuada. A la hora de ayudar a incorporar a tu organización a un nuevo programa de gestión de riesgos de terceros, es importante reunir los recursos necesarios, reunir un equipo dedicado y brindar la formación suficiente para que todas las partes interesadas puedan ayudar a protegerse contra el riesgo de terceros.

Reduce el riesgo, genera confianza y mejora la resiliencia empresarial unificando la gestión de terceros en materia de privacidad y seguridad. Programa una demostración hoy mismo.