Skip to main content

Seminario web bajo demanda disponible próximamente

Blog

¿Qué tipos de riesgos de terceros deben gestionarse?

No todos los riesgos de terceros son los mismos y tu programa de gestión debe abordarlo todo.

Katrina Dalao
Especialista sénior en marketing de contenido, CIPM
29 de junio de 2023

Dos compañeros discuten sobre un proyecto de trabajo con sus móviles.

En el momento de comenzar a trabajar con un tercero, tu organización se expone a riesgos. La clave es comprender el tipo de riesgo que plantea la relación con cada tercero y establecer las garantías adecuadas.

Cuando se trata de la gestión de riesgos de terceros, las organizaciones suelen analizar los riesgos de ciberseguridad o InfoSec. Sin embargo, existen muchos más riesgos que surgen al trabajar con terceros.

Este artículo, el segundo de nuestra serie sobre cómo crear un programa de gestión de riesgos de terceros, analiza todos los tipos de riesgos que un tercero puede plantearle a tu organización. También hemos hablado con seis expertos en InfoSec y en riesgos de terceros tanto de OneTrust como de empresas del Fortune Global 500 sobre los dominios de riesgo de terceros que deben conocerse y los riesgos que van más allá de los terceros.

Descarga nuestra guía de gestión de riesgos de terceros de InfoSec, que cubre todas las fases a la hora de configurar un programa de gestión de riesgos de terceros, desde la planificación hasta la monitorización y la generación de informes.
 

¿Qué son los riesgos de terceros?

Los riesgos de terceros son riesgos potenciales que asume toda organización cuando contrata a un tercero para que le proporcione productos o servicios. Entre estas partes externas, se incluyen contratistas, socios, proveedores de servicios, proveedores, vendedores o cualquier otro tipo de tercero.

Aunque las organizaciones tengan sus propios estándares de seguridad, no hay ninguna garantía de que los terceros tengan implementadas estas mismas medidas. Con cada tercero que tenga acceso a los sistemas internos de la empresa o datos confidenciales, aumenta la exposición de la organización frente a posibles riesgos y amenazas.

En palabras de Ruo Xie, vicepresidente de aprovisionamiento y pagos en OneTrust: «el riesgo de terceros no es solo el riesgo de compartir datos o integrar varios sistemas. Estos son riesgos muy importantes que hay que tener en cuenta, pero también hay riesgos de cumplimiento normativo y pagos, que son el núcleo de la salud financiera del proveedor, además de otros muchos riesgos que no son únicamente parte de la seguridad».
 

¿Qué tipos de riesgos de terceros hay?

A medida que el uso de terceros continúa aumentando, también lo hacen los tipos de riesgos que estos plantean a las organizaciones. El tipo exacto de exposición al riesgo difiere según la organización en función del servicio del tercero que se esté prestando.

Por ejemplo, digamos que tu organización contrata a un tercero para que preste servicios de atención al cliente en línea. Si el tercero no mantuviera actualizados los planes de continuidad o recuperación del negocio, no podría prestar los servicios contratados en caso de brechas de datos, ciberataques, interrupciones energéticas, desastres naturales u otras circunstancias inesperadas. Todos estos, a su vez, se convierten en tipos de riesgos de terceros para tu organización; es decir, riesgos operativos, financieros y de reputación.

Estos son siete riesgos comunes de terceros a tener en cuenta:
 

Riesgo de ciberseguridad o InfoSec

Los riesgos de ciberseguridad o InfoSec surgen cuando los datos de una organización pueden vulnerarse, comprometerse, exponerse o perderse debido a deficiencias en los controles de seguridad del tercero. Es más probable que esto ocurra cuando los proveedores de servicios tienen acceso a los sistemas internos o datos sensibles de una organización, lo que destaca la importancia de realizar la diligencia debida de terceros y una monitorización continua.
 

Riesgo operativo

El riesgo operativo se crea cuando un tercero no es capaz de entregar el producto o servicio esperado, lo que provoca una interrupción en las operaciones rutinarias de la organización. Sin importar el motivo del incumplimiento (p. ej., ciberataques, desastres naturales, errores humanos), este riesgo debe abordarse en el contrato o el acuerdo de nivel de servicio. La organización también podría optar por tener un proveedor de respaldo como parte de su propio plan de continuidad del negocio.
 

Riesgo financiero

El riesgo financiero se produce cuando la salud financiera de un tercero afecta de modo negativo a las finanzas de tu propia organización. Por ejemplo, si un tercero carece de recursos o financiación, podría comenzar a prestar servicios y productos deficientes, lo que resultaría en clientes decepcionados y la pérdida de ventas. Otras formas de riesgos financieros incluyen multas y costes de compensación o reparación. Para mitigar este riesgo, identifica a los terceros que tengan mayor impacto sobre tu rendimiento financiero y audita tus operaciones de forma periódica.
 

Riesgo jurídico y de cumplimiento normativo

El cumplimiento normativo y los riesgos jurídicos afectan a las organizaciones que tienen que cumplir con las normativas vigentes (p. ej., el RGPD o la DORA) pero que también interactúan con terceros que podrían no tener que cumplir con los mismos estándares. Si no se demuestra el cumplimiento normativo, o peor aún, se produce un ciberataque o una brecha de datos, la organización será responsable de cualquier infracción. Antes de establecer relaciones con un tercero, solicita las certificaciones pertinentes e incluye los requisitos de cumplimiento normativo en tu contrato.
 

Riesgo estratégico

El riesgo estratégico está presente cuando un tercero impide que una organización pueda cumplir con sus objetivos estratégicos. Aunque esto depende del objetivo concreto, este riesgo suele mitigarse mediante un mejor ajuste y comunicación con el tercero. Inicia el servicio estableciendo los objetivos de ambas partes, así como las métricas clave que se utilizarán para realizar un seguimiento del rendimiento.
 

Riesgo geopolítico

El riesgo geopolítico es el riesgo que supone un proveedor en función de su ubicación o la ubicación donde se presta el servicio. Esto se está convirtiendo en un riesgo cada vez mayor, puesto que los países siguen actualizando sus legislaciones y normativas, y puede ser casi imposible predecir la estabilidad económica o política de otro país. Para mitigar el riesgo geopolítico todo lo posible, haz balance del número de regulaciones relevantes para el tercero correspondiente. Asimismo, también debes considerar los factores históricos y macroeconómicos de la región: ¿ha habido cambios políticos recientes, interrupciones en la cadena de suministros o sucesos similares?
 

Riesgo para la reputación

El riesgo para la reputación se produce cuando las acciones que toma un tercero pueden perjudicar de forma potencial la reputación de tu organización. Puede tratarse de una brecha de datos, una demanda o una opinión pública negativa sobre las prácticas de la empresa que salte a los medios. En la mayoría de los casos, los clientes asociarán cualquier noticia asociada con terceros con tu organización. Aunque no puedes prever todos los posibles riesgos que puedan afectar a tu reputación, realizar evaluaciones exhaustivas de terceros y efectuar las diligencias debidas puede ayudar a proteger la reputación de tu organización.

Según José Costa, director sénior de GRC Labs en OneTrust: «también existe un riesgo ético, que al principio podría no ser la principal preocupación del director de seguridad de la información, pero que sí que es algo a tener en cuenta. Por ejemplo, un socio o inversor de capital riesgo podría requerir que solo hagas negocios con empresas éticas. Y, por supuesto, existe el riesgo de vulnerar la confianza de tus clientes, que puede ser el aspecto más complejo porque esto es algo verdaderamente difícil de revertir».
 

Protege toda tu cadena de suministros

No solo asumes riesgos a raíz de tus terceros, sino que también existen riesgos similares que provienen de sus terceros (cuartas partes o subcontratistas) que también pueden afectar a tu organización. 

Según afirma Mullen: «tienes que pensar en toda la cadena, de principio a fin. Si cuentas con 500 socios con los que haces negocios, estos socios también podrían tener miles de terceros con los que ellos también hagan negocios. Por ahí también puede verse comprometida toda la cadena de suministros».

Una encuesta reciente revela que el impacto financiero a raíz de los incidentes de riesgo de terceros o subcontratistas como mínimo se ha duplicado en los últimos cinco años. A pesar de esto, tan solo el 20 % de las organizaciones pueden monitorizar a sus subcontratistas de forma efectiva. Esto se debe a varios factores: Las organizaciones carecen de información sobre sus subcontratistas y los riesgos asociados, carecen de recursos y asumen que sus terceros ya están supervisando a sus subcontratistas.

Esta brecha en el ecosistema de terceros presenta una oportunidad clave. Al aumentar la visibilidad en toda la cadena de suministros, la organización pertinente puede comprender y gestionar mejor los riesgos críticos del subcontratista.

Según comenta Costa: «al fin y al cabo, tienes que entender que incluso si se trata de un tercero que hace algo mal, el problema afecta a tus datos. Tú eres el último responsable y tendrás que enfrentarte a las preguntas de los medios».

Reduce el riesgo, genera confianza y mejora la resiliencia empresarial unificando la gestión de terceros en materia de privacidad, seguridad, ética y ASG. Programa una demostración hoy mismo.


También podría interesarte:

Seminario web

Riesgos de terceros

Live Demo: Desarrollando un programa integral para la gestión de riesgos de terceros

¿Te resulta difícil mantenerte a la vanguardia en el siempre cambiante panorama de la gestión de riesgos de terceros (TPRM)? ¿Te gustaría automatizar tareas tediosas, ahorrar tiempo y reducir costes, todo mientras mejoras tu programa de TPRM? No estás solo. En el entorno empresarial actual, gestionar el riesgo de terceros es más crítico que nunca. Con tantas herramientas y procesos disponibles, saber por dónde empezar puede ser abrumador.  

enero 16, 2025

Aprende más

Seminario web

GRC y garantía de seguridad

Cumplimiento de NIS2: cómo resolver los retos de la normativa con una demostración práctica

Acompáñanos en esta sesión dónde repasaremos los principales requisitos de la normativa NIS2 y su impacto. Además, podrás asistir a una demostración práctica y conocer cómo OneTrust te ayuda a resolver los retos de gobernanza, gestión de riesgos y terceros, gestión de incidentes y cumplimiento asociados a la normativa.

noviembre 26, 2024

Aprende más

Informe

Automatización de la privacidad

Definiendo la nueva dirección que están tomando los datos

Aunque la IA continúa ofreciendo oportunidades inigualables para la innovación empresarial, también presenta riesgos de los que las organizaciones deben ocuparse de manera proactiva a través de programas de gobernanza escalables que abarquen múltiples fuentes de datos. Hay seis tendencias clave que definen estos desafíos.

noviembre 13, 2024

Aprende más

Libro electrónico

Riesgos de terceros

Cómo simplificar la gestión de riesgos de terceros

Simplifica las relaciones con terceros y evita los errores más comunes en el proceso.

octubre 03, 2024

Aprende más

Seminario web

Riesgos de terceros

DORA y sus estándares: una sesión práctica con OneTrust y Deloitte

Acompáñanos el próximo 24 de abril a esta sesión y descubre como OneTrust y Deloitte facilitan la adopción de DORA y sus estándares asociados en una sesión práctica donde veremos desde la Gestión de Riesgos y la Gestión de Incidentes, hasta el Registro de Información de la cadena de suministro.

abril 24, 2024

Aprende más

Seminario web

Riesgos de terceros

Secretos del éxito en la gestión de terceros: controlar la diligencia debida y la gestión de riesgos

Dominar el arte de la diligencia debida y la gestión de riesgos y cómo armonizarlos para maximizar su eficacia. 

junio 08, 2023

Aprende más

Blog

Inteligencia para la confianza

OneTrust presenta innovaciones para habilitar el uso responsable de los datos y el trust intelligence a gran escala

OneTrust anuncia nuevas innovaciones dentro de su plataforma de Trust Intelligence para ayudar a las empresas a utilizar los datos de forma responsable y desarrollar inteligencia de confianza a escala.

mayo 23, 2023 5 minutos de lectura

Aprende más

Blog

Riesgos de terceros

¿Por qué elegir OneTrust para la gestión de terceros?

abril 13, 2023 6 minutos de lectura

Aprende más

Seminario web

Riesgos de terceros

Academia RGPD: Los riesgos de terceros

En la tercera sesión de la Academia RGPD hablaremos sobre los riesgos de proveedores (y empleados), crítico en los programas de privacidad. 

diciembre 22, 2022

Aprende más

Testimonio de cliente

Riesgos de terceros

PUMA optimiza el cumplimiento normativo con la gestión ágil de riesgos de terceros

La marca deportiva internacional reinventa la gestión de riesgos de terceros con un enfoque colaborativo en toda la organización.

Aprende más