Cuadro de Mando de Gestión de Riesgos de Proveedores (VRM)

La validación de proveedores externos se ha convertido en una parte integral de las estrategias de ciberseguridad, adquisición, cumplimiento y cadena de suministro. Anteriormente, discutimos las prácticas generales detrás del cuadro de mando de evaluación; en este artículo, discutiremos la creación de un cuadro de mando de evaluación de proveedores, utilizando la gestión de riesgos de proveedores como ejemplo.

Una plantilla para el cuadro de mando de riesgo de proveedores en BSC Designer
Un panel de control que visualiza los riesgos de todos los proveedores en un mapa de calor de riesgos
Una plantilla para un cuadro de mando de riesgo de proveedores en BSC Designer Fuente: Ver Cuadro de Mando de Gestión de Riesgo de Proveedores en BSC Designer Cuadro de Mando de Gestión de Riesgo de Proveedores.

Demostraremos cómo:

  • Calcular la puntuación de seguridad general,
  • Recopilar las pruebas necesarias,
  • Rastrear las puntuaciones de seguridad dinámicamente, y
  • Alinear los resultados con otros cuadros de mando funcionales.

Definir el Conjunto de Criterios de Evaluación

Siga las mejores prácticas actuales para definir el conjunto de criterios de evaluación para el cuadro de mando de riesgo de proveedores. Esto puede incluir:
KPI Existencia de un programa formal de ciberseguridad
KPI Implementación de autenticación multifactor
KPI Pruebas de vulnerabilidad regulares
KPI Adopción de la práctica de ‘Privilegio Mínimo’
KPI Cumplimiento SOC 2 del centro de datos
KPI Cifrado de datos en tránsito y en reposo
KPI Seguro de ciberseguridad
KPI Sistemas de prevención y detección de intrusiones
KPI Capacitación en concienciación sobre ciberseguridad
KPI Incidentes de violaciones de datos reportados
KPI Número de violaciones de datos reportadas

Dependiendo del tipo de criterio, puede configurarse como:

  • Binario – con posibles estados «sí» o «no».
  • Cuantitativo (por ejemplo, medido en %) o cualitativo (elección natural o escala Likert).
  • Los criterios pueden optimizarse para maximización (como el % de empleados que aprobaron la capacitación en concienciación sobre ciberseguridad) o minimización (como el número de violaciones de datos).

Definir criterios de evaluación, calcular la puntuación general, alinear el cuadro de mando de evaluación con otros cuadros de mando de estrategia y función.

Aprenda más sobre las mejores prácticas para gestionar el cuadro de mando de evaluación.

En BSC Designer:

  1. Cambie al Espacio de Trabajo de Estrategia.
  2. Navegue a Nuevo > Nuevo Cuadro de Mando > Más plantillas…
  3. Utilice la plantilla «Gestión de Riesgo de Proveedores».

Asignar Peso Según los Perfiles de Riesgo

Pondere los criterios de evaluación según el perfil de riesgo del proveedor.

Por ejemplo:

  • Los proveedores con acceso a información sensible tendrán un alto peso para criterios como «Seguro de Ciberseguridad» o «Violaciones de datos reportadas», mientras que
  • Los proveedores sin acceso a información sensible tendrán un alto peso para criterios más comunes como «Autenticación Multifactor» y la implementación de la práctica de «Privilegio Mínimo».

Asignar el peso a los factores de evaluación.
En BSC Designer:

  • Seleccione un criterio de evaluación.
  • Cambie a la pestaña Rendimiento.
  • Ajuste el peso relevante en la propiedad Peso.

Construir la Jerarquía de Proveedores

Agrupe a los proveedores en una jerarquía basada en el nivel del proveedor. Propague los criterios de evaluación para cada proveedor.

En BSC Designer:

  • Cree grupos usando el botón «Agregar»,
  • Copie y pegue un conjunto de criterios de evaluación en cada grupo, y
  • Renombre el conjunto para que coincida con el nombre del proveedor.

Iniciar la Evaluación de Proveedores

Evalúe a los proveedores según los criterios de evaluación para identificar vulnerabilidades relevantes.

  • Ingrese las puntuaciones de evaluación manualmente en el cuadro de mando o
  • Impórtelas desde una hoja de cálculo de Excel para la autoevaluación del proveedor.

Adjunte las pruebas relevantes proporcionadas por el proveedor, como certificaciones y políticas en práctica.

En BSC Designer:

  • Actualice las puntuaciones manualmente a través de la pestaña Datos.
  • Utilice Herramientas > Exportar datos para exportar los criterios de evaluación a Excel para la autoevaluación del proveedor.
  • Adjunte pruebas a los criterios de evaluación o a los planes de mitigación articulados a través del diálogo de Iniciativas.

Evaluación del Riesgo del Proveedor

Podemos usar los datos de evaluación del proveedor para estimar el riesgo de violaciones de ciberseguridad para el proveedor.

En este caso:

  • La puntuación total de la evaluación del proveedor contribuirá a la Probabilidad del riesgo.
  • El Impacto del riesgo puede estimarse según el rol del proveedor en la cadena de suministro.

Para configurar esto en BSC Designer:

  1. Haga clic en Agregar – Agregar Riesgo.
  2. Haga clic en el botón Fuente de Datos para el indicador de Probabilidad.
  3. Cambie la fórmula a: 100-%[Proveedor 1] (cuanto mayor sea el progreso del proveedor según el cuadro de mando, menor será la probabilidad del riesgo).

Probabilidad de riesgo del proveedor calculada usando la puntuación de ciberseguridad del proveedor

Agregue el diagrama de riesgos al panel de control para visualizar el panorama general de riesgos:

Un panel de control que visualiza los riesgos de todos los proveedores en un mapa de calor de riesgos

Monitoreo Continuo de Riesgos

Rastree los cambios en las puntuaciones de evaluación de los proveedores a lo largo del tiempo, como cambios en certificaciones relevantes o el número de violaciones de datos.

  • Defina el período de revisión para cada criterio de evaluación
  • Monitoree problemas

    relevantes para los criterios de evaluación.

  • Planifique la mejora de las puntuaciones de evaluación de los proveedores.
  • Planifique la desvinculación de proveedores.

Una plantilla para un cuadro de mando de evaluación en BSC Designer.

Una plantilla para un cuadro de mando de evaluación en BSC Designer. Fuente: Ver Cuadro de Mando de Evaluación en BSC Designer Cuadro de Mando de Evaluación.

En BSC Designer:

  • Configurar el Intervalo de Actualización para un indicador a través del Editor de Valores
  • Utilizar el Editor de Valores para asignar puntuaciones a fechas específicas.
  • Utilizar columnas Dinámicas para ver cómo cambia la puntuación a lo largo del tiempo.
  • Utilizar Iniciativas para rastrear violaciones de datos y acciones de mitigación: actualizar el estado y la duración.
  • Utilizar comentarios para la puntuación para rastrear problemas e Iniciativas para mapear planes de mejora.

Alineación con la Estrategia

Alinee el cuadro de mando de evaluación de riesgos de proveedores con otros cuadros de mando de estrategia y función, como los cuadros de mando de gobernanza o de cumplimiento.

  • Utilice la puntuación general de riesgo de la cartera de proveedores.
  • Utilice las puntuaciones de riesgo de proveedores específicos.
  • Vincule iniciativas de varios cuadros de mando.

Un buen ejemplo de la necesidad de alineación estratégica es la IA. Incluso si su organización no planea implementar tecnologías de IA, es muy probable que se vea afectada por su uso a través de proveedores externos y la cadena de suministro. Un cuadro de mando de proveedores debe alinearse con el cuadro de mando funcional de gobernanza de IA.

Método de Cascada 4: Alineación por Contexto

En BSC Designer:

  • Copie el elemento de puntuación del Proveedor y péguelo en el cuadro de mando relevante.
  • Seleccione la opción «Vincular por datos» o «Vincular por contexto».

Conclusiones

En este artículo, discutimos los pasos para crear un cuadro de mando de gestión de riesgos de proveedores:

  1. Definición de criterios de evaluación
  2. Asignación de pesos según el perfil de riesgo del proveedor
  3. Monitoreo continuo de riesgos
  4. Alineación de la puntuación de riesgo del proveedor con otros cuadros de mando

Aprenda más sobre las mecánicas específicas de los cuadros de mando de evaluación.

CMI Desde Plantilla ¿Qué sigue?

Más ejemplos del Cuadro de Mando Integral

CMI y Indicadores para Servicio al Cliente
8 pasos para crear un mapa estratégico con BSC Designer
KPIs del panel de gestion corporativa
Cita: Alexis Savkín, "Cuadro de Mando de Gestión de Riesgos de Proveedores (VRM)", BSC Designer, 12 junio, 2024, https://bscdesigner.com/es/cuadro-de-mando-de-proveedores.htm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.