Fase 1: Entrada
La primera fase tiene por objeto centralizar la recopilación de toda la información de terceros, lo que elimina múltiples puntos de entrada y los posibles puntos ciegos más adelante.
Esta centralización se puede lograr a través de un único portal de autoservicio, donde los empleados puedan solicitar que se agreguen proveedores u otras partes, o como parte de una herramienta de planificación de recursos o gestión del ciclo de vida de los contratos.
La implementación de un proceso de entrada de autoservicio proporciona a las organizaciones una ventaja a la hora de recopilar información crítica de terceros, incluidas certificaciones de privacidad, ámbito del servicio y tipos de datos. Esto ayuda a clasificar y priorizar a los terceros desde el principio, en función de su riesgo inherente para la organización.
Fase 2: Verificación
La segunda fase consiste en verificar y efectuar comprobaciones de diligencia debida sobre posibles terceros. Algunas preguntas que se deben hacer durante este paso serían:
- ¿Cómo verificamos que este posible tercero no tenga una exposición política?
- ¿Cómo comprobamos los casos de blanqueo de capitales, anticorrupción o soborno?
Para responder a estas preguntas, las organizaciones suelen comprobar a los terceros frente a listas de sanciones, listas de seguimiento o incluso fuentes de medios de comunicación con el fin de identificar cualquier problema que pudiera suponer una relación de riesgo elevado.
En la mayoría de los casos, la gestión de riesgos de terceros va más allá de la privacidad y la seguridad de los datos. Es importante tener en cuenta todos los demás tipos de riesgos como, p. ej., el cumplimiento normativo, la ética, ASG, la geopolítica, etc., puesto que estos factores pueden tener un impacto potencial en tus actividades.
El objetivo de esta fase es descubrir cualquier riesgo que esté asociado con el tercero y, si tu organización aun así decidiera continuar con la relación, diseñar un enfoque de evaluación y mitigación adecuado.
Fase 3: Evaluación
De todo el ciclo de vida de la gestión de terceros, la fase de evaluación es la que requiere más tiempo y recursos. También es donde la gestión de riesgos se puede combinar con evaluaciones de privacidad y otras preocupaciones de cumplimiento normativo para una evaluación más integral.
Simplifica las evaluaciones sacando partido de herramientas dedicadas con plantillas integradas con el fin de abordar diversos dominios de riesgo, incluidos la privacidad y el cumplimiento normativo, la protección de datos y el riesgo cibernético, entre otros.
Un Exchange de riesgos de terceros también puede brindar información prevalidada para ayudar a verificar la información que el tercero haya proporcionado.
Fase 4: Revisión
Ahora es el momento de revisar toda la información clave sobre los terceros que se haya recopilado durante las fases anteriores.
Por ejemplo, digamos que un tercero que se está revisando demuestra una postura de seguridad madura, aunque está iniciando su programa de privacidad. No puede definir de quién son los datos que está recopilando, los elementos de datos que se están recopilando ni el propósito del tratamiento de los datos. Esto supone un riesgo significativo para la privacidad de tu organización.
En función de estos hallazgos, las partes interesadas ahora pueden asignar una calificación de riesgo y un nivel de criticidad adecuados, y determinar el enfoque más adecuado para gestionar al tercero correspondiente.
Fase 5: Monitorización
A medida que surgen nuevos riesgos y regulaciones, y evoluciona el ámbito del servicio de un tercero, la monitorización continua resulta fundamental a la hora de mantener una relación saludable.
La monitorización eficaz de terceros suele:
- Evaluar las áreas de riesgo específicas.
- Establecer una frecuencia de evaluación recomendada.
- Determinar qué debe incluirse en el cuestionario que se envíe a cada tercero (en función de los dominios específicos, ámbitos de negocio, y cumplimiento normativo en privacidad y seguridad).
En palabras de Paterson: «de acuerdo con mi experiencia, esta fase es donde muchas organizaciones tienen una gran oportunidad para mejorar la eficiencia al automatizar la monitorización continua de terceros».
5 consejos para reducir la exposición al riesgo de terceros
A medida que tu organización continúa ampliando su red de terceros, es necesario establecer un proceso de confianza que identifique los riesgos y reduzca su exposición en todos los dominios.
Estos son algunos de los consejos más útiles para mantener el cumplimiento normativo en materia de privacidad y seguridad en cada paso del ciclo de vida de la gestión de terceros:
Consejo 1: Entiende adónde van tus datos
Es posible que una organización ya gestione cientos o miles de terceros. Sin embargo, cuando se trata de datos personales, no basta con el mero control de los procesos de estos terceros. Debes realizar un seguimiento de cómo se mueven los datos desde los terceros a las cuartas partes, a las partes ulteriores, etc.
Para obtener una comprensión completa de hacia dónde van tus datos, pregunta a los posibles terceros sobre qué otras partes utilizan en sus procesos. Especialmente, esto es clave cuando se trata de operaciones complejas, tales como:
- Transferencias transfronterizas de datos, que a menudo implican requisitos de cumplimiento normativo adicionales.
- Terceros con un ámbito amplio de múltiples servicios, puesto que cada servicio puede involucrar diferentes tipos de datos.
- Cualquier cosa que se agregue o cambie en lo que respecta al ámbito de un tercero requiere actualizaciones de contratos y evaluaciones.
Crea un modelo que pueda ayudar a los equipos a visualizar cada paso que den tus datos a medida que se desplacen entre las partes (tal y como se muestra abajo).