Aprenda a crear un cuadro de mando de evaluación de proveedores, automatizar cuestionarios de aseguramiento y detectar áreas de riesgo para la organización causadas por un proveedor.
La validación de proveedores externos se ha convertido en una parte integral de las estrategias de ciberseguridad, aprovisionamiento, cumplimiento y cadena de suministro. Anteriormente, discutimos las prácticas generales detrás del cuadro de mando de evaluación; en este artículo, discutiremos la creación de un cuadro de mando de evaluación de proveedores, utilizando la gestión de riesgos de proveedores como ejemplo.
Vendor Risk Management Scorecard. Demostraremos cómo:
- Definir criterios de evaluación,
- Calcular el puntaje de seguridad general,
- Recopilar la evidencia requerida,
- Rastrear los puntajes de seguridad dinámicamente, y
- Alinear los resultados con otros cuadros de mando funcionales.
Defina el conjunto de criterios de evaluación
Siga las mejores prácticas actuales para definir el conjunto de criterios de evaluación para el cuadro de mando de riesgos del proveedor.
Esto puede incluir:
Existencia de un programa formal de ciberseguridad
Implementación de autenticación multifactor
Pruebas regulares de vulnerabilidad
Adopción de la práctica de ‘Menor Privilegio’
Cumplimiento SOC 2 del centro de datos
Cifrado de datos en tránsito y en reposo
Seguro de ciberseguridad
Sistemas de prevención y detección de intrusiones
Capacitación en concienciación sobre ciberseguridad
Violaciones de datos reportadas
El número de violaciones de datos reportadas
Dependiendo del tipo de criterio, se puede configurar como:
- Binario – con estados posibles «sí» o «no».
- Cuantitativo (por ejemplo, medido en %) o cualitativo (elección natural o escala de Likert).
- Los criterios se pueden optimizar para maximización (como el % de empleados que aprobaron la capacitación en concienciación sobre ciberseguridad) o minimización (como el número de violaciones de datos).
Aprenda más sobre las mejores prácticas para gestionar el cuadro de mando de evaluación.
En BSC Designer:
- Cambie al Espacio de Trabajo de Estrategia.
- Navegue a Nuevo > Nuevo Cuadro de Mando > Más plantillas…
- Utilice la plantilla de cuadro de mando «Gestión de Riesgos del Proveedor».
Asignar peso dependiendo de los perfiles de riesgo
Pese los criterios de evaluación según el perfil de riesgo del proveedor.
Por ejemplo:
- Los proveedores con acceso a información sensible tendrán un peso alto para criterios como «Seguro de ciberseguridad» o «Incidentes de violación de datos reportados», mientras que
- Los proveedores sin acceso a información sensible tendrán un peso alto para criterios más comunes como «Autenticación multifactor» e implementación de la práctica de «Menor privilegio».
En BSC Designer:
- Seleccione un criterio de evaluación.
- Cambie a la pestaña Rendimiento.
- Ajuste el peso relevante en la propiedad Peso.
Construya la jerarquía de proveedores
Agrupe a los proveedores en una jerarquía según el nivel del proveedor. Propague los criterios de evaluación para cada proveedor.
En BSC Designer:
- Cree grupos usando el botón «Agregar»,
- Copie y pegue un conjunto de criterios de evaluación en cada grupo, y
- Cambie el nombre del conjunto para que coincida con el nombre del proveedor.
Al copiar y pegar, considere usar la opción «Pegar y Sincronizar» para asegurar que las réplicas de los criterios de evaluación se mantengan sincronizadas con la plantilla original. Cualquier cambio en la plantilla se propagará automáticamente a los criterios de evaluación para proveedores específicos.
Crear y distribuir cuestionarios
Prepare y distribuya cuestionarios de seguridad a los proveedores, y luego importe los resultados de nuevo en el cuadro de mando de gestión de riesgos del proveedor.
Para preparar un cuestionario:
- Abra un cuadro de mando.
- Seleccione un conjunto de criterios.
- Seleccione Herramientas > Exportar datos.
- Marque las casillas: «Exportar solo el elemento actual» e «Incluir elementos secundarios».
- Utilice la opción «Exportar como plantilla».
- Haga clic en «Siguiente» para finalizar la exportación.
Siéntase libre de adaptar la plantilla resultante a sus necesidades. Por ejemplo, renombrar la columna «Valor» a «Respuesta» y proporcionar cualquier recomendación relevante para los encuestados del cuestionario.
Iniciar evaluación de proveedores
Evalúe a los proveedores basándose en los criterios de evaluación para identificar vulnerabilidades relevantes.
- Ingrese las puntuaciones de evaluación manualmente en el cuadro de mando o
- Impórtelas desde una hoja de cálculo de Excel para el cuestionario de autoevaluación por parte del proveedor.
Adjunte las evidencias relevantes proporcionadas por el proveedor, como certificaciones y políticas en práctica.
En BSC Designer:
- Actualice las puntuaciones manualmente a través de la pestaña de Datos.
- Use Herramientas > Exportar datos para exportar los criterios de evaluación a Excel para la autoevaluación del proveedor.
- Adjunte evidencias a los criterios de evaluación o a los planes de mitigación articulados a través del diálogo de Iniciativas.
Evaluación de riesgo del proveedor
Podemos usar los datos de evaluación del proveedor para estimar el riesgo de brechas de ciberseguridad para el proveedor.
En este caso:
- La puntuación total de la evaluación del proveedor contribuirá a la Probabilidad del riesgo.
- El Impacto del riesgo puede estimarse según el rol del proveedor en la cadena de suministro.
Para configurarlo en BSC Designer:
- Haga clic en Añadir – Añadir Riesgo.
- Haga clic en el botón Fuente de Datos para el indicador de Probabilidad.
- Cambie la fórmula a: 100-%[Proveedor 1] (cuanto mayor sea el progreso del proveedor según el cuadro de mando, menor será la probabilidad del riesgo).
Añada el diagrama de riesgo al panel de control para visualizar el panorama general de riesgos:
Monitoreo continuo de riesgos
Haga un seguimiento de los cambios en las puntuaciones de evaluación de proveedores a lo largo del tiempo, como los cambios en certificaciones relevantes o el número de violaciones de datos.
- Defina el período de revisión para cada criterio de evaluación
- Monitoree problemas relevantes para los criterios de evaluación.
- Planifique la mejora de las puntuaciones de evaluación de proveedores.
- Planifique la desincorporación de proveedores.
Evaluation Scorecard. En BSC Designer:
- Configurar Intervalo de Actualización para un indicador a través del Editor de Valores
- Utilice el Editor de Valores para asignar puntuaciones a fechas específicas.
- Utilice columnas Dinámicas para ver cómo cambia la puntuación a lo largo del tiempo.
- Utilice Iniciativas para rastrear violaciones de datos y acciones de mitigación: actualice el estado y el período de tiempo.
- Utilice comentarios para la puntuación para rastrear problemas e Iniciativas para mapear planes de mejora.
Alineación con la estrategia
Alinee el cuadro de mando de evaluación de riesgos del proveedor con otros cuadros de mando de estrategia y función, como los cuadros de mando de gobernanza o de cumplimiento.
- Use la puntuación general de riesgo del portafolio de proveedores.
- Use las puntuaciones de riesgo de proveedores específicos.
- Vincule iniciativas de varios cuadros de mando.
Un buen ejemplo de la necesidad de alineación estratégica es la IA. Incluso si su organización no planea implementar tecnologías de IA, lo más probable es que se vea afectada por su uso a través de proveedores externos y la cadena de suministro. Un cuadro de mando de proveedores necesita estar alineado con el cuadro de mando funcional de gobernanza de IA.
En BSC Designer:
- Copie el elemento de puntuación del proveedor y péguelo en el cuadro de mando relevante.
- Seleccione la opción «Vincular por datos» o «Vincular por contexto».
Sesión de formación: 'Gestión de cuadros de mando de evaluación con BSC Designer' se ofrece como parte de nuestro programa de aprendizaje continuo e incluido con una suscripción a BSC Designer.
Las sesiones de formación se imparten semanalmente a través de Zoom, proporcionando conocimientos prácticos y orientación personalizada. Al finalizar, los participantes reciben un certificado de asistencia. Explore todas las sesiones de formación disponibles aquí.
Conclusiones
En este artículo, discutimos los pasos para crear un cuadro de mando de gestión de riesgos de proveedores:
- Definición de criterios de evaluación
- Asignación de pesos según el perfil de riesgo del proveedor
- Monitoreo continuo de riesgos
- Alineación de la puntuación de riesgo del proveedor con otros cuadros de mando
Aprenda más sobre las mecánicas más específicas de los cuadros de mando de evaluación.
Use la plantilla Cuadro de Mando de Gestión de Riesgos de Proveedores
BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:
- Regístrese para un plan gratuito en la plataforma.
- Use la plantilla
Cuadro de Mando de Gestión de Riesgos de Proveedores como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas. - Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.
¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!
Alexis es un Consultor Senior de Estrategia y CEO en BSC Designer, con más de 20 años de experiencia en planificación estratégica. Alexis desarrolló el «Sistema de Implementación de Estrategias en 5 Pasos» que ayuda a las empresas con la implementación práctica de sus estrategias. Es un orador habitual en conferencias de la industria y ha publicado más de 100 artículos sobre estrategia y gestión del rendimiento, incluyendo el libro «Sistema KPI de 10 Pasos». Su trabajo es frecuentemente citado en investigaciones académicas.