A medida que el panorama de la seguridad ha ido evolucionando, las organizaciones se han abierto a más vectores de riesgo que nunca, y este número no hará más que aumentar. Tradicionalmente, el ecosistema de proveedores corporativos y la comunidad de terceros con los que una empresa comparte información se ha analizado bajo la lente de la gestión de riesgos de terceros. De manera más reciente, la comunidad de riesgos de terceros ha experimentado un cambio profundo con el fin de aumentar el carácter crítico de los aspectos éticos y de ASG, lo que ha impulsado a los profesionales de riesgo y seguridad a reconsiderar la forma en que se gestionan las implementaciones.

Como resultado, se ha iniciado un cambio profundo para pasar de la gestión de riesgos de terceros a la gestión de terceros.

¿Qué es la gestión de la confianza de terceros?

La gestión de terceros con el foco en la confianza es el siguiente paso evolutivo del riesgo de terceros y se trata de una estrategia clave de confianza de la empresa. Va más allá de la ciberseguridad y se centra en forjar relaciones de terceros fiables y duraderas en los principales dominios de riesgo crítico: seguridad, privacidad, ética, cumplimiento normativo y ASG. En concreto, la gestión de terceros es una disciplina de confianza empresarial que se centra en el impacto que tiene un tercero sobre una organización en lo que respecta a cada pilar.

Descarga el libro electrónico para saber más sobre cómo simplificar la gestión de riesgos de terceros.

Definición de los pilares de la confianza de terceros

Al ir evolucionando los deseos de los consumidores, las necesidades de las partes interesadas y las expectativas de diligencia debida para las empresas, el riesgo de terceros actual debe tener en cuenta a la ética y ASG como dominios de riesgo clave, además de la seguridad y la privacidad. Abajo, se muestra cada categoría que forma parte de la gestión de terceros:

• Seguridad. La seguridad abarca dos áreas clave: el GRC (gobernanza, riesgo y cumplimiento normativo) y la gestión de riesgos de proveedores. En la gestión de terceros, las cuestiones de seguridad se centran en la identificación, el análisis y la mitigación de los riesgos de ciberseguridad en relación con los terceros.
• ASG. Los programas de ASG y ética están consolidándose como componentes clave de la estrategia interorganizativa. En la gestión de terceros, las cuestiones de ASG se centran en analizar el riesgo para la reputación que podría suponer trabajar con un tercero en lo que respecta a las preocupaciones medioambientales, sociales y de gobernanza.
• Ética. La ética, como la ASG, está consolidándose como un aspecto clave de la estrategia empresarial. En la gestión de terceros, las cuestiones éticas se centran en realizar comprobaciones de cumplimiento normativo y en verificar a los terceros, así como en supervisarlos de forma continua para detectar cualquier problema relacionado con medios adversos, corrupción, personas del ámbito político, listas de sanciones y el control efectivo de la entidad.
• Privacidad. La privacidad abarca una amplia gama de temas pero pone el foco en la gestión de preferencias y consentimientos, y la gobernanza de datos. En la gestión de terceros, las cuestiones de privacidad se centran en la protección de los datos personales y en demostrar el cumplimiento normativo en lo que respecta a la información personal con los terceros de la organización. Principalmente, la gestión de terceros consiste en reunir estos pilares para obtener una comprensión integral de todos los riesgos y oportunidades que están relacionados con un tercero.

Herramientas para la gestión de la confianza de terceros

Aunque la gestión de terceros se centra en eliminar los silos y ajustar los flujos de trabajo entre equipos, es importante tener en cuenta que el análisis de seguridad y privacidad de terceros puede requerir un conjunto de funcionalidades diferente a las que se centran en analizar el riesgo ético o de ASG que esté relacionado con un tercero. Además, los programas de gestión de terceros requieren soluciones que se ajusten a las necesidades individuales de las partes interesadas involucradas, a la vez que permiten compartir datos y colaborar de manera fluida. La gestión de terceros considera las siguientes herramientas como aspectos clave para un software de gestión de la confianza más amplio:

• Software de gestión de riesgos de terceros: el software de gestión de riesgos de terceros permite la reevaluación y la monitorización de riesgos al centrarse en reducir los riesgos de seguridad y privacidad, resolver desafíos como automatizar las evaluaciones de seguridad y privacidad del proveedor, gestionar y supervisar tu inventario de proveedores y agilizar la mitigación de riesgos. El software de gestión de riesgos de terceros permite que las empresas puedan realizar evaluaciones de riesgos, implementar el autocompletado de cuestionarios de IA, simplificar los flujos de trabajo de mitigación de riesgos y automatizar el mantenimiento de registros para satisfacer las necesidades de los profesionales de seguridad y privacidad en toda la empresa.
• Software de diligencia debida de terceros: el software de diligencia debida de terceros permite la supervisión de la diligencia debida al centrarse en los riesgos de ética y cumplimiento normativo, lo que ayuda a automatizar el proceso de incorporación, realizar comprobaciones y revisiones de cumplimiento normativo, analizar riesgos, ofrecer planes de tratamiento y mantener la supervisión continua al monitorizar las preocupaciones clave, como los medios adversos. El software de diligencia debida de terceros permite que las empresas puedan poner en marcha soluciones de automatización del proceso de incorporación, verificaciones de cumplimiento normativo, verificación de proveedores, análisis de riesgos, planes de tratamiento y alertas contextuales para satisfacer las necesidades de los profesionales de ética en toda la empresa.
• Sostenibilidad y responsabilidad de los proveedores: el software de sostenibilidad y responsabilidad de los proveedores permite la supervisión en materia ASG de los proveedores al centrarse en señalar los riesgos ASG, al ayudar a las organizaciones a comprender y monitorizar las iniciativas de sostenibilidad y responsabilidad de sus proveedores con el fin de informar sobre las métricas internas del programa ASG, y al generar informes ASG de carácter público. Tener visibilidad sobre la sostenibilidad y la responsabilidad de los proveedores permite que la empresa pueda validar la tecnología de evaluación de ASG, comprender y realizar un seguimiento de las normas del sector, realizar un análisis de riesgos con respecto a la reputación e implementar objetivos y tarjetas de calificación para satisfacer las necesidades de los profesionales de ASG en toda la empresa.

En la actualidad, las herramientas de gestión de riesgos de terceros están aisladas y son estáticas, por lo que funcionan independientemente unas de otras y a través de procesos manuales. Además, la gestión de terceros se centra en el valor de un flujo de trabajo concreto en toda la empresa y fomenta la implementación de un enfoque integral, lo que anima a las empresas a la hora de alejarse del trabajo basado en hojas de cálculo. La gestión de terceros también requiere la centralización y personalización de los flujos de trabajo para que cada equipo pueda acceder a la información específica que necesita con el fin de ejecutar tareas específicas de roles de manera eficiente.

¿Para quién es imporante la gestión de la confianza de terceros?

Tus terceros son un reflejo del valor de tu organización. Como resultado, la gestión de terceros tiene implicaciones muy diversas.

• Consumidores: los consumidores son cada vez más escépticos con respecto a las marcas con las que interactúan. Especialmente, en lo que se refiere a los bienes comercializados, ser una marca de confianza te da una ventaja competitiva entre los consumidores al aumentar su confianza en el modo en que tratas sus datos, su privacidad, sus comunidades y el medio ambiente.
• Empleados: los empleados tienen más opciones que nunca sobre cómo, dónde y en qué trabajan, lo que permite que el personal pueda ser cada vez más selectivo sobre las marcas que representan. Esto se debe a que los individuos hoy en día ponen más énfasis en su marca personal, y esto no solo influye en dónde compran, sino también en las empresas para las que trabajan, lo que significa que estos buscarán marcas que comprendan el impacto tanto de sus acciones internas como del impacto que los terceros y los socios de una marca tienen sobre su comunidad.
• Inversores y socios: a medida que la confianza va adquiriendo mayor relevancia y la reputación de la marca continúa siendo un factor clave en la valoración de mercado, los socios e inversores están exigiendo a las marcas con las que trabajan un estándar y unos niveles de responsabilidad más altos si se compara con el pasado. Las tendencias a la hora de invertir muestran que se superarán las expectativas en el ámbito de la privacidad y la seguridad, lo que también se reflejará en el ámbito de la confianza.

Prácticas recomendadas para la gestión de la confianza de terceros

Al aplicar la gestión de terceros en toda la empresa, hay 5 pasos importantes que deben tenerse en cuenta:

1. Define lo que significa la confianza para tu negocio: ¿Qué es aceptable para tu negocio? Define tus necesidades empresariales y tus expectativas en materia de confianza. ¿Necesitas un comité o proceso formal que revise a los terceros a lo largo de numerosos dominios de riesgo? ¿Entiendes cómo se comporta el riesgo a lo largo de todo el ciclo de vida de los terceros? ¿Los contratos con tus proveedores tienen en cuenta las métricas de confianza que son importantes para ti, como la sostenibilidad o la ética? Y lo más importante: ¿la organización se ajusta a las respuestas de estas preguntas?
2. Define tu apetito de riesgo en todos los dominios: ¿Cuáles son las prioridades de tu empresa en materia de confianza y qué es lo más importante para tu comprador ideal? ¿Cuál es tu escala ponderada en los dominios de seguridad, privacidad, ASG y ética? ¿Cómo implementas y mides esto de forma efectiva?
3. Clasifica a tus terceros: cualquier organización clasifica a sus terceros en tres categorías: riesgo bajo, riesgo moderado y riesgo elevado, a partir de una serie de factores como:
   • ¿Estás compartiendo información comercial confidencial o de propiedad exclusiva con el proveedor?
   • ¿Estás compartiendo datos personales con el tercero?
   • ¿Estás compartiendo datos personales de carácter sensible con el tercero?
   • ¿Estás compartiendo datos personales fuera de las fronteras? ¿El proveedor presta servicios a funciones críticas de tu empresa?
   • ¿Cuáles son los posibles efectos para tu organización en caso de que se produjera una divulgación no autorizada de la información?
   • ¿Cuáles son los posibles efectos para tu organización en caso de que se produjera una modificación o la destrucción no autorizada de la información?
   • ¿Cuáles son los posibles efectos para tu organización en caso de que el tercero sufriera una interrupción del acceso o no pudiera estar disponible?
   • ¿Cuáles son los posibles impactos en materia ASG al trabajar con el tercero?
   • ¿Cuáles son los posibles impactos éticos o para la reputación al trabajar con el tercero?
4. Establece procesos y automatiza flujos de trabajo: los flujos de trabajo deben ser personalizables, pueden variar según el tercero y son posibles gracias a la tecnología. Evitar los procesos manuales y estáticos es la mejor manera de optimizar tu proceso de gestión de terceros en todos los dominios y las partes interesadas que se tengan en cuenta.
5. Varía la profundidad de tu evaluación: garantizar que hay variaciones en la profundidad de tu evaluación es clave a la hora de implementar una estrategia de gestión de terceros integral. Las evaluaciones únicas consumen muchos recursos y, a menudo, excluyen información clave al aplicarse en diferentes dominios. Automatizar tus flujos de trabajo permitirá que tu organización pueda reducir la repetitividad y personalizar las evaluaciones por dominio de riesgo, lo que garantiza que se alcanza la profundidad correcta en función de cómo responda el proveedor.

Ejemplos de automatización de flujos de trabajo de gestión de la confianza de terceros

¿Cómo puede OneTrust ayudar con la gestión de la confianza de terceros?

La gestión de la confianza de terceros es el siguiente paso evolutivo de la gestión de riesgos de terceros. Va más allá de la ciberseguridad y pon el foco en generar confianza y forjar relaciones duraderas con los terceros a lo largo de los dominios de riesgo críticos: seguridad, privacidad, ética y cumplimiento normativo y ASG. OneTrust aporta una tecnología que permite que las organizaciones puedan crear programas de confianza de terceros de calidad al reunir a múltiples partes interesadas en torno a diferentes disciplinas para simplificar los flujos de trabajo, reducir el tiempo que involucran los procesos manuales y repetitivos y generar confianza con los terceros. Para ello, la plataforma OneTrust saca partido de nuestra enorme experiencia en privacidad y gobierno de datos, cumplimiento normativo, GRC y seguridad.