Buenas prácticas para la gestión de riesgos de terceros
La gestión de riesgos de terceros es un proceso que se centra en identificar, evaluar y gestionar los riesgos que pueden surgir debido a la relación de una organización con terceros, como proveedores, socios, inversores, concesionarios, contratistas, entre otros que formen parte de la cadena de suministro de la organización.
Estos terceros pueden tener acceso a datos confidenciales, proporcionar un componente o servicio esencial para tu empresa, lo que introduce nuevos riesgos operativos, de seguridad, legales, entre otros. La gestión de riesgos de terceros permite a las organizaciones monitorear y evaluar el riesgo que representan las terceras partes para identificar dónde excede el umbral establecido por la empresa y solicitar al tercero las medidas de gestión adecuadas.
Este proceso es crucial para la postura de riesgo, resiliencia y reputación de la empresa que utiliza los servicios o productos del tercero. Puede ser muy costoso y difícil lidiar con un incidente de terceros, con consecuencias que pueden incluir medidas reglamentarias, daño a la reputación y pérdida de ingresos.
De acuerdo con GARP (Global Association of Risk Profesionals), el 64% de las grandes empresas subcontratan al menos el 26% de sus tareas diarias de negocio, lo que requiere que permitan el acceso de terceros a sus datos.
Las empresas pueden llevar a cabo la evaluación de riesgos de terceros mediante algunos pasos importantes:
- Crear un programa de gestión de riesgo de terceros
- Implementar un esquema de evaluación exhaustivo
- Compartir los resultados de las evaluaciones con los terceros correspondientes
- Exigir a los terceros el seguimiento de los riesgos identificados
- Evaluar los riesgos implicados al menos una vez en el año
- 6.3.2 A fin de facilitar la gestión de vulnerabilidades y parches se mantiene un inventario del software a medida y personalizado y de los componentes del software de terceros incorporados en el software a medida y personalizado.
- 12.8 Gestión del riesgo para los activos de información asociados a las relaciones con proveedores de servicios de terceros (TPSP).
- 12.9 Los proveedores de servicios de terceros (TPSP) respaldan el cumplimiento de sus clientes con PCI DSS.
Mas información en:
Comentarios
Publicar un comentario