Vendor Risk Management

INTRODUCCIÓN

En el tejido empresarial actual, la subcontratación de servicios juega un papel esencial, permitiendo que las entidades tengan acceso a todo tipo de servicios, desde servicios sencillos de almacenamiento de información a complejos servicios de tratamientos de datos

No se duda que la subcontratación permite a las entidades centrar sus esfuerzos en su negocio Core obteniendo el conocimiento experto y la tecnología del proveedor sin tener que invertir en su desarrollo y mantenimiento.

No obstante, no son pocos los casos en los que una entidad se ve afectada por incidentes en sus proveedores ya sean de seguridad de la información, de privacidad o de continuidad. Por ello la subcontratación conlleva la responsabilidad de gestionar los riesgos asociados a la externalización de servicios, lo que resulta complejo al tener menor control directo sobre el riesgo, los activos y la operativa del proveedor (conectividad, plataformas, tecnología, datos accedidos, personal, ubicación, subcontrataciones, etc.).

Como solución para el control de estos riesgos, BDO propone un modelo de Vendor Risk Management for information security, privacy and business continuity (en adelante VRM) que identifique, categorice, valore, monitorice y gestione los riesgos de seguridad, de privacidad y de continuidad de la subcontratación a lo largo de todo el ciclo de vida del proveedor (evaluación del servicio a externalizar, valoración de riesgo de proveedores propuestos, establecimiento de la contratación, prestación del servicio y devolución del servicio).

Cada entidad tiene sus particularidades y tipología de proveedores por lo que el modelo de VRM debe ser adaptado a la casuística específica de la entidad. Para ello BDO proporciona soporte en todas las fases del modelo, desde su definición e implantación (metodología, modelo, análisis y valoración de servicios y proveedores), su mantenimiento (gestión de riesgo de proveedores existentes y nuevos proveedores) y su aplicación a herramientas VRM (selección y alimentación de la misma).

Desde BDO creemos que la subcontratación de servicios proporciona gran cantidad de ventajas a las entidades que pueden aprovecharse siempre que se controlen sus riesgos adecuadamente para proteger a la entidad y sus clientes.


NUESTROS SERVICIOS

Definición e implantación del modelo

  • Definición de metodología y modelo.
  • Identificación de servicios y proveedores existentes.
  • Categorización de servicios de proveedores existentes.
  • Valoración de proveedores existentes.
  • Auditoría de proveedores existentes.

Mantenimiento del modelo

  • Soporte a la gestión del modelo.
  • Categorización de nuevos proveedores.
  • Valoración de nuevos proveedores y revaloración de existentes.
  • Auditoría de nuevos proveedores y revaloración de existentes.

Evaluación y análisis GAP de modelo VRM existente

  • Evaluación y análisis GAP del modelo VRM existente.
  • Actualización y mejora del modelo existente.

Soporte del modelo en herramientas de VRM

  • Soporte en la selección de la herramienta.
  • Adaptación de metodología a capacidades de herramienta.
  • Soporte en la alimentación de la herramienta.

PARTNERS

PUBLICACIONES

ARTÍCULOS

EVENTOS

Jornadas de Auditoría Interna


ORGANIZACIONES DE REFERENCIA

ISACA, ISMS FORUM, Instituto de Auditores Internos, ENISA

Enric Doménech

Enric Doménech

Socio responsable en el área de Risk Advisory Services
personView bio