Buenas prácticas para la gestión de riesgos de terceros

La gestión de riesgos de terceros es un proceso que se centra en identificar, evaluar y gestionar los riesgos que pueden surgir debido a la relación de una organización con terceros, como proveedores, socios, inversores, concesionarios, contratistas, entre otros que formen parte de la cadena de suministro de la organización. 

Estos terceros pueden tener acceso a datos confidenciales, proporcionar un componente o servicio esencial para tu empresa, lo que introduce nuevos riesgos operativos, de seguridad, legales, entre otros. La gestión de riesgos de terceros permite a las organizaciones monitorear y evaluar el riesgo que representan las terceras partes para identificar dónde excede el umbral establecido por la empresa y solicitar al tercero las medidas de gestión adecuadas.

Este proceso es crucial para la postura de riesgo, resiliencia y reputación de la empresa que utiliza los servicios o productos del tercero. Puede ser muy costoso y difícil lidiar con un incidente de terceros, con consecuencias que pueden incluir medidas reglamentarias, daño a la reputación y pérdida de ingresos.

De acuerdo con GARP (Global Association of Risk Profesionals), el 64% de las grandes empresas subcontratan al menos el 26% de sus tareas diarias de negocio, lo que requiere que permitan el acceso de terceros a sus datos.

Las empresas pueden llevar a cabo la evaluación de riesgos de terceros mediante algunos pasos importantes:

1. Crear un programa de gestión de riesgo de terceros
2. Implementar un esquema de evaluación exhaustivo
3. Compartir los resultados de las evaluaciones con los terceros correspondientes
4. Exigir a los terceros el seguimiento de los riesgos identificados
5. Evaluar los riesgos implicados al menos una vez en el año

En el caso de las organizaciones certificadas en PCI-DSS, este estándar contempla varios controles que se deben implementar en la gestión de riesgos de terceros, entre ellos:

• 6.3.2 A fin de facilitar la gestión de vulnerabilidades y parches se mantiene un inventario del software a medida y personalizado y de los componentes del software de terceros incorporados en el software a medida y personalizado.
• 12.8 Gestión del riesgo para los activos de información asociados a las relaciones con proveedores de servicios de terceros (TPSP).
• 12.9 Los proveedores de servicios de terceros (TPSP) respaldan el cumplimiento de sus clientes con PCI DSS.

Mas información en:

• 6 best practices for third-party risk management | CSO Online
• 6 Best Practices for Third Party Risk Management | Living Security
• Best-Practices Guidance for Third-Party Risk (garp.org)