Contacto
Financiamiento

Claves para gestionar el riesgo de los proveedores en servicios de tecnología.

Por 30 mayo, 2019Tecnología

Los terceros son parte integral de la cadena de valor para cualquier empresa, cualquier organización determinada puede tener hasta cientos de proveedores, dependiendo de su tamaño.

Junto con el proceso de negocios, el ancho de banda de TI y la funcionalidad de la aplicación, los datos también fluyen a través de esa cadena.

Si bien puedes subcontratar sistemas y servicios, no puedes subcontratar el riesgo asociado con esos datos y la forma en que se administran.

Los reguladores han estado dando ese mensaje de manera consistente y clara durante años, por escrito y en la práctica.

Por ejemplo, la Corporación Federal de Seguros de Depósitos (FDIC, por sus siglas en inglés) emitió esta guía formal en 2008:

 

“ La junta directiva y el liderazgo de una institución son los responsables finales de administrar las actividades realizadas a través de relaciones con terceros, e identificar y controlar los riesgos que surgen de dichas relaciones, en la misma medida que si la actividad fuera manejada dentro de la institución ” ( www.fdic.gov) . Esa es una directriz bastante clara.

 

Estos reguladores saben que una buena gestión de riesgos requiere una transparencia total, lo que permite la rendición de cuentas y la aplicación de esta a través de una colaboración constructiva.

Pero lograr una profunda transparencia de terceros es un desafío; estas empresas simplemente no forman parte de tu propia organización, por lo que no están sujetas a tu supervisión directa.

La práctica común de usar cuestionarios de riesgo es útil para evaluar periódicamente las inversiones que sus proveedores de servicios pueden haber hecho en la gestión de su riesgo de ciberseguridad.

Desafortunadamente, los cuestionarios no te dicen qué tan bien implementan y operan sus programas.

Pero controlar tu riesgo de terceros es más importante que nunca.

El Reglamento general de protección de datos de la Unión Europea es un cambio de juego que probablemente tendrá repercusiones en todo el mundo.

La conclusión: es hora de mejorar tu esquema de gestión de riesgos de terceros proveedores de servicios.

La subcontratación de fondos de cobertura no es una tendencia nueva para salvaguardar el riesgo de utilizar a un tercero, ya que las empresas han dispersado durante mucho tiempo la responsabilidad de muchas funciones a proveedores de servicios de terceros más expertos.

La tecnología, por ejemplo, es un área en la que muchas empresas eligen aprovechar proveedores externos para administrar infraestructuras completas o parciales, proyectos de soporte o para complementar el personal de TI propio.

Los beneficios de la subcontratación son numerosos, pero la verdadera medida de una relación exitosa con un proveedor de servicios se produce cuando el nivel de riesgo en el uso de ese proveedor es bajo.

La gestión exitosa del riesgo asociado con las relaciones con proveedores de servicios externos es un trabajo de tiempo completo, especialmente para las empresas de servicios financieros que trabajan con docenas de diferentes proveedores.

Estos son algunos consejos para ayudar a tu empresa a administrar adecuadamente los riesgos de los proveedores de servicios de terceros:

Te invitamos a leer lo siguiente: Cómo acelerar el proceso para modernizar a tu empresa en el área de tecnología

Riesgo del proveedor de servicios

 

  1. Comprende la amplitud / profundidad de las relaciones que ha establecido tu empresa con terceros.

Las firmas más pequeñas solo pueden tratar con algunas partes subcontratadas, pero es probable que las firmas de inversión más grandes y más establecidas estén involucradas con una gran cantidad de proveedores de servicios que gestionan las necesidades de los departamentos de operaciones, finanzas y tecnología.

Antes de poder administrar estas relaciones de manera efectiva, necesitas un entendimiento completo de quiénes son tus proveedores subcontratados, qué servicios / funciones brindan y qué nivel de acceso tienen a los datos / sistemas de tu empresa.

Aquí hay una lista rápida de posibles terceros con los que su firma puede estar involucrada hoy:

  • Infraestructura de TI / proveedor de nube / servicio de seguridad administrado
  • Administrador de fondos subcontratados
  • Consultor jurídico (s)
  • Consultor (es) de cumplimiento
  • Auditoría / firma fiscal
  • Proveedores de aplicaciones: gestión de pedidos, contabilidad de cartera, etc.
  • Contratistas externos

 

  1. Calcula riesgos potenciales y vulnerabilidades.

Ya sabemos que este es un paso importante en el frente de la ciberseguridad, pero comprender los riesgos y las exposiciones de tu empresa.

Es fundamental, independientemente de los beneficios del proveedor de servicios te está brindando.

Si el proveedor tiene acceso a los datos, sistemas, finanzas u otros datos de tu fondo de cobertura, su riesgo es inherentemente alto.

Completar una evaluación de riesgos del proveedor de servicios proporcionará información sobre el nivel de acceso que tiene y, por lo tanto, cualquier posible vulnerabilidad que pueda surgir.

 

  1. Realiza una investigación a fondo antes de que comience la relación.

El mejor momento para realizar las evaluaciones de los proveedores de servicios es durante el período de evaluación inicial

Pero, por supuesto, para las empresas que ya operan, ese tiempo ya ha pasado para muchos de sus proveedores.

Revisa como podemos financiar tu proyecto de TI  AQUÍ

  1. Continúa realizando la investigación adecuada a lo largo del curso de la relación.

 

El riesgo del proveedor de servicios no es una amenaza o posibilidad única.

Al igual que con cualquier relación, debe evaluarse y monitorearse continuamente para garantizar que ambas partes alcancen sus objetivos finales y cumplan con las expectativas.

Se recomienda la supervisión general de las prácticas y el rendimiento del proveedor de servicios, aunque la frecuencia puede variar.

Por ejemplo, los servicios con niveles de riesgo más altos (por ejemplo, tecnología, seguridad, etc.) pueden justificar evaluaciones más frecuentes o evaluaciones de riesgo exhaustivas.

Finalmente, debes elaborar planes de contingencia para rescindir contratos de proveedores.

Una cláusula que ha menudo se pasa por alto en el riesgo del proveedor de servicios es la rescisión del contrato.

Los riesgos pueden variar según el nivel de acceso que el proveedor de servicios tenga a los datos de tu empresa.

Asegurate de buscar cualquier laguna contractual y prácticas operativas que puedan afectar los planes de migración o la seguridad de tu empresa.

Obtén una consulta para modernizar tu empresa Aquí, en Avantek trabajamos día con día en la innovación tecnología para el crecimiento de las empresas, trabaja de la mano con tu mejor socio de negocio.