Enric Doménech
Socio responsable en el área de Risk Advisory Services
INTRODUCCIÓN
En el tejido empresarial actual, la subcontratación de servicios juega un papel esencial, permitiendo que las entidades tengan acceso a todo tipo de servicios, desde servicios sencillos de almacenamiento de información a complejos servicios de tratamientos de datos
No se duda que la subcontratación permite a las entidades centrar sus esfuerzos en su negocio Core obteniendo el conocimiento experto y la tecnología del proveedor sin tener que invertir en su desarrollo y mantenimiento.
No obstante, no son pocos los casos en los que una entidad se ve afectada por incidentes en sus proveedores ya sean de seguridad de la información, de privacidad o de continuidad. Por ello la subcontratación conlleva la responsabilidad de gestionar los riesgos asociados a la externalización de servicios, lo que resulta complejo al tener menor control directo sobre el riesgo, los activos y la operativa del proveedor (conectividad, plataformas, tecnología, datos accedidos, personal, ubicación, subcontrataciones, etc.).
Como solución para el control de estos riesgos, BDO propone un modelo de Vendor Risk Management for information security, privacy and business continuity (en adelante VRM) que identifique, categorice, valore, monitorice y gestione los riesgos de seguridad, de privacidad y de continuidad de la subcontratación a lo largo de todo el ciclo de vida del proveedor (evaluación del servicio a externalizar, valoración de riesgo de proveedores propuestos, establecimiento de la contratación, prestación del servicio y devolución del servicio).
Cada entidad tiene sus particularidades y tipología de proveedores por lo que el modelo de VRM debe ser adaptado a la casuística específica de la entidad. Para ello BDO proporciona soporte en todas las fases del modelo, desde su definición e implantación (metodología, modelo, análisis y valoración de servicios y proveedores), su mantenimiento (gestión de riesgo de proveedores existentes y nuevos proveedores) y su aplicación a herramientas VRM (selección y alimentación de la misma).
Desde BDO creemos que la subcontratación de servicios proporciona gran cantidad de ventajas a las entidades que pueden aprovecharse siempre que se controlen sus riesgos adecuadamente para proteger a la entidad y sus clientes.
View bio
NUESTROS SERVICIOS
Definición e implantación del modelo
- Definición de metodología y modelo.
- Identificación de servicios y proveedores existentes.
- Categorización de servicios de proveedores existentes.
- Valoración de proveedores existentes.
- Auditoría de proveedores existentes.
Mantenimiento del modelo
- Soporte a la gestión del modelo.
- Categorización de nuevos proveedores.
- Valoración de nuevos proveedores y revaloración de existentes.
- Auditoría de nuevos proveedores y revaloración de existentes.
Evaluación y análisis GAP de modelo VRM existente
- Evaluación y análisis GAP del modelo VRM existente.
- Actualización y mejora del modelo existente.
Soporte del modelo en herramientas de VRM
- Soporte en la selección de la herramienta.
- Adaptación de metodología a capacidades de herramienta.
- Soporte en la alimentación de la herramienta.
PARTNERS
- GlobalSUIT® | Noticia destacada BDO firma una alianza con GlobalSUITE®
- OneTrust
PUBLICACIONES
ARTÍCULOS
- Ciberataques en proveedores: El caso Accellion
- ¿Dependemos de proveedores sin gestionar el riesgo que eso implica?
- VRM y certificaciones para gestión de riesgo en proveedores
- ¿Que hacen con nuestros datos?
EVENTOS
Jornadas de Auditoría Interna
- BDO presentó en las jornadas de Auditoría Interna su modelo Vendor Risk Management for security
- Vendor Risk Management: Sistemas para el control y seguimiento de los procesos y servicios externalizados
ORGANIZACIONES DE REFERENCIA
ISACA, ISMS FORUM, Instituto de Auditores Internos, ENISA