No puedes implementar un programa de gestión de riesgos de terceros y esperar que proteja a tu organización para siempre. Cada día surgen nuevos riesgos de ciberseguridad, además de que tu ecosistema y las relaciones con tus terceros también van evolucionando.

Para 2025, Gartner estima que el 45 % de las organizaciones a nivel mundial habrá experimentado algún ataque en sus cadenas de suministro digitales, por lo que, para protegerse contra estos ataques, las organizaciones necesitan medidas de seguridad eficaces que se vayan actualizando de acuerdo con los cambios que se vayan produciendo en lo que respecta a las amenazas.

En cuanto a los programas de gestión de riesgos de terceros, el mantenimiento es tan importante como su propio desarrollo. Al mantener actualizados los procesos de sus terceros, las organizaciones pueden adelantarse ante posibles incidencias y minimizar cualquier impacto negativo que pudiera producirse.

En este respecto, hemos preguntado a seis empresas líderes en materia de InfoSec y riesgo de terceros que colaboran con OneTrust y forman parte del grupo Fortune Global 500 sobre sus métodos preferidos a la hora de mantener el programa de gestión de riesgos de terceros, así como sobre la forma más usual que tienen de informar sobre los hallazgos a la dirección. Esta es la última publicación de nuestra serie sobre cómo crear un programa de gestión de riesgos de terceros.

Descarga la guía sobre gestión de riesgos de terceros de nuestro equipo de InfoSec, que cubre todos los pasos a la hora de establecer tu programa de gestión de riesgos de terceros, desde la planificación a la monitorización y generación de informes.

¿Cómo monitorizar el riesgo de terceros?

La mayoría de los terceros se encuentran en la fase de monitorización continua del ciclo de vida de la gestión de riesgos de terceros. Incluso si aprueban la evaluación inicial con resultados muy positivos, esto no es más que una instantánea puntual del estado actual del tercero, por lo que la monitorización continua sigue siendo necesaria para mitigar el riesgo a lo largo de toda la relación.

La monitorización de terceros normalmente se realiza con ayuda de una herramienta de monitorización de riesgos automatizada, que debe incluir un plan por pasos que pueda abordar cualquier alerta de seguridad y determinar las acciones necesarias para cada incidencia. 

«Incluso después de incorporar a un proveedor, se debe planificar el proceso y flujo de trabajo de monitorización para estar preparado frente a cualquier problema. Por ejemplo, imagínate que fallara algo en el ámbito ASG, ¿quién se encargará de ello? No se trata de una incidencia de seguridad, pero si defines los roles y las responsabilidades de antemano, podrás seguir los pasos adecuados» —nos explica Kevin Liu, director sénior de seguridad de la información en OneTrust.

«Cuando detecto una alerta, me aseguro de evaluarla y comprenderla primero porque no todas son iguales. Revisa la lista de lo que estás monitorizando: la postura de seguridad, el aspecto de gobernanza social, la salud financiera en ciertos casos, etc.».

Si fuera necesario abordar la alerta, los equipos deberán ponerse en contacto con el tercero para investigar más a fondo y limitar cualquier amenaza potencial. Esto podría implicar desactivar el acceso del tercero y requerir actualizaciones de estado a medida que se vaya trabajando en el plan de corrección. Por tanto, solo cuando el tercero pueda aportar pruebas de que la incidencia se ha solucionado, la organización deberá volver a conceder acceso a sus sistemas internos.

Mantener el programa de gestión de riesgos de terceros

La clave a la hora de mantener el programa de gestión de riesgos de terceros es reaccionar ante cualquier cambio en tu entorno de terceros o del panorama de riesgos.

«Si tus negocios siguen igual que el año pasado y realmente no ha cambiado nada, puede que no tengas que efectuar ningún tipo de mantenimiento activo» —explica Tim Mullen, delegado jefe de seguridad de la información de OneTrust. «Aunque lo que está claro es que si hubiera alguna novedad en el mercado, como una nueva amenaza, una vulnerabilidad de día cero, cualquier aspecto importante a tener en cuenta, esta situación podría desencadenar cambios».

Dicho esto, estas preguntas pueden ayudarte a orientar tu proceso de mantenimiento rutinario: 

• ¿Has firmado algún contrato con un nuevo proveedor? 
• ¿Estás compartiendo diferentes tipos de datos? 
• ¿Existen riesgos potenciales nuevos que haya identificado la organización?
• ¿Has puesto en marcha una nueva línea de negocio? 
• ¿Has participado en alguna fusión o adquisición, o en alguna venta de activos?  

«Otro caso habitual es cuando firmas un contrato con un proveedor y luego cambia el alcance. Por ejemplo, podrías implementar una nueva funcionalidad y, luego, de repente, un proveedor que antes suponía un riesgo bajo ahora tiene acceso a datos altamente confidenciales» —comenta José Costa, director sénior de GRC Labs & Research en OneTrust. «Hasta los pequeños cambios en las relaciones con los proveedores deben pasar por otro proceso de evaluación».

En la mayoría de los casos, debes volver a analizar tu programa de gestión de riesgos de terceros una vez al año. El objetivo de reevaluar los procesos de gestión de riesgos de terceros no se trata de solo mantener la seguridad, sino también de continuar madurando tu programa.

«No te limites a evaluar la gestión de riesgos de terceros: evalúa todo lo que se solape con esta. ¿Cuál es tu política en relación con la gestión de proveedores? ¿Hay problemas que la organización haya identificado que estén relacionados con este proveedor o incluso con otro proveedor de la misma categoría? Reúne cualquier información relevante y evalúa tu programa de gestión de riesgos de terceros de modo integral para ver cómo puedes seguir avanzando» —apunta Liu.

Informar sobre el rendimiento del programa de gestión de riesgos de terceros a la dirección

Informar sobre el rendimiento de tu programa de gestión de riesgos de terceros es un proceso diferente para cada organización. 

Según la madurez de tu programa y los aspectos clave para la dirección, se podrán incluir cualquiera de estas métricas:  

• Número total de terceros evaluados
• Cuánto tiempo se tarda en evaluar a los terceros
• Distribución de los terceros en niveles bajos, medios y críticos
• Nivel general de exposición al riesgo que generan los terceros
• Volumen de incidencias que están asociadas con los terceros (durante un período de tiempo)
• Período medio de corrección
• Cualquier actividad de mitigación de riesgos que haya superado su fecha de vencimiento

«Si acabas de empezar a implementar tu programa de gestión de riesgos de terceros, puedes informar sobre cuántos proveedores han pasado por el proceso, cuántos cumplen con los requisitos, etc. O puedes informar sobre los principales riesgos que has evaluado, cómo los has mitigado y cómo planeas evaluarlos con regularidad» —apunta Costa. «Todo depende de lo que quiera recabar la dirección, aunque yo mantendría un nivel alto y me aseguraría de que el 100 % de mis proveedores, independientemente de su tamaño y complejidad, pasan por el proceso y de que el proceso en sí funciona adecuadamente».

A medida que el programa va madurando, la dirección querrá visualizar el impacto real de tus esfuerzos en gestión de riesgos de terceros y cómo estos conducen a la reducción del riesgo. Esto requiere encontrar formas de cuantificar de modo significativo cualquier cambio en el nivel de riesgo de los terceros y resaltar este aspecto en tus informes.

«En el ámbito de la seguridad de la información, las estimaciones de riesgo real no suelen ser precisas. Por tanto, tenemos que buscar indicadores de riesgo, indicadores indirectos de riesgo o incluso señales retardadas del número concreto de incidentes» —aclara Matthew Solomon, vicepresidente de gestión de riesgos cibernéticos y tecnología de Humana. «En lo que respecta a mostrar el impacto real del programa, el truco está en obtener la mejor estimación posible a la hora de cuantificar tu nivel de riesgo y en explicar cómo lo estás reduciendo».

Niveles de riesgo más bajos con la gestión de riesgos de terceros

Sin importar en qué fase de la gestión de riesgos de terceros te encuentres, el objetivo final es reducir el riesgo en toda tu organización. Esto se puede lograr monitorizando las alertas de seguridad de manera activa, abordando cualquier incidencia potencial y revisando periódicamente tu programa en busca de cualquier actualización o cambio significativo. Por último, deberás mostrar los resultados del trabajo de tu equipo cuantificando los niveles de riesgo de los terceros y destacando el impacto real sobre el riesgo que tiene tu trabajo.

Reduce el riesgo, genera confianza y mejora la resiliencia empresarial unificando la gestión de terceros en materia de privacidad, seguridad, ética y ASG. Programa una demostración hoy mismo.