La validación de proveedores externos se ha convertido en una parte integral de las estrategias de ciberseguridad, adquisición, cumplimiento y cadena de suministro. Anteriormente, discutimos las prácticas generales detrás del cuadro de mando de evaluación; en este artículo, discutiremos la creación de un cuadro de mando de evaluación de proveedores, utilizando la gestión de riesgos de proveedores como ejemplo.
Demostraremos cómo:
- Calcular la puntuación de seguridad general,
- Recopilar las pruebas necesarias,
- Rastrear las puntuaciones de seguridad dinámicamente, y
- Alinear los resultados con otros cuadros de mando funcionales.
Definir el Conjunto de Criterios de Evaluación
Siga las mejores prácticas actuales para definir el conjunto de criterios de evaluación para el cuadro de mando de riesgo de proveedores. Esto puede incluir:
Existencia de un programa formal de ciberseguridad
Implementación de autenticación multifactor
Pruebas de vulnerabilidad regulares
Adopción de la práctica de ‘Privilegio Mínimo’
Cumplimiento SOC 2 del centro de datos
Cifrado de datos en tránsito y en reposo
Seguro de ciberseguridad
Sistemas de prevención y detección de intrusiones
Capacitación en concienciación sobre ciberseguridad
Incidentes de violaciones de datos reportados
Número de violaciones de datos reportadas
Dependiendo del tipo de criterio, puede configurarse como:
- Binario – con posibles estados «sí» o «no».
- Cuantitativo (por ejemplo, medido en %) o cualitativo (elección natural o escala Likert).
- Los criterios pueden optimizarse para maximización (como el % de empleados que aprobaron la capacitación en concienciación sobre ciberseguridad) o minimización (como el número de violaciones de datos).
Aprenda más sobre las mejores prácticas para gestionar el cuadro de mando de evaluación.
En BSC Designer:
- Cambie al Espacio de Trabajo de Estrategia.
- Navegue a Nuevo > Nuevo Cuadro de Mando > Más plantillas…
- Utilice la plantilla «Gestión de Riesgo de Proveedores».
Asignar Peso Según los Perfiles de Riesgo
Pondere los criterios de evaluación según el perfil de riesgo del proveedor.
Por ejemplo:
- Los proveedores con acceso a información sensible tendrán un alto peso para criterios como «Seguro de Ciberseguridad» o «Violaciones de datos reportadas», mientras que
- Los proveedores sin acceso a información sensible tendrán un alto peso para criterios más comunes como «Autenticación Multifactor» y la implementación de la práctica de «Privilegio Mínimo».
En BSC Designer:
- Seleccione un criterio de evaluación.
- Cambie a la pestaña Rendimiento.
- Ajuste el peso relevante en la propiedad Peso.
Construir la Jerarquía de Proveedores
Agrupe a los proveedores en una jerarquía basada en el nivel del proveedor. Propague los criterios de evaluación para cada proveedor.
En BSC Designer:
- Cree grupos usando el botón «Agregar»,
- Copie y pegue un conjunto de criterios de evaluación en cada grupo, y
- Renombre el conjunto para que coincida con el nombre del proveedor.
Iniciar la Evaluación de Proveedores
Evalúe a los proveedores según los criterios de evaluación para identificar vulnerabilidades relevantes.
- Ingrese las puntuaciones de evaluación manualmente en el cuadro de mando o
- Impórtelas desde una hoja de cálculo de Excel para la autoevaluación del proveedor.
Adjunte las pruebas relevantes proporcionadas por el proveedor, como certificaciones y políticas en práctica.
En BSC Designer:
- Actualice las puntuaciones manualmente a través de la pestaña Datos.
- Utilice Herramientas > Exportar datos para exportar los criterios de evaluación a Excel para la autoevaluación del proveedor.
- Adjunte pruebas a los criterios de evaluación o a los planes de mitigación articulados a través del diálogo de Iniciativas.
Evaluación del Riesgo del Proveedor
Podemos usar los datos de evaluación del proveedor para estimar el riesgo de violaciones de ciberseguridad para el proveedor.
En este caso:
- La puntuación total de la evaluación del proveedor contribuirá a la Probabilidad del riesgo.
- El Impacto del riesgo puede estimarse según el rol del proveedor en la cadena de suministro.
Para configurar esto en BSC Designer:
- Haga clic en Agregar – Agregar Riesgo.
- Haga clic en el botón Fuente de Datos para el indicador de Probabilidad.
- Cambie la fórmula a: 100-%[Proveedor 1] (cuanto mayor sea el progreso del proveedor según el cuadro de mando, menor será la probabilidad del riesgo).
Agregue el diagrama de riesgos al panel de control para visualizar el panorama general de riesgos:
Monitoreo Continuo de Riesgos
Rastree los cambios en las puntuaciones de evaluación de los proveedores a lo largo del tiempo, como cambios en certificaciones relevantes o el número de violaciones de datos.
- Defina el período de revisión para cada criterio de evaluación
- Monitoree problemas relevantes para los criterios de evaluación.
- Planifique la mejora de las puntuaciones de evaluación de los proveedores.
- Planifique la desvinculación de proveedores.
En BSC Designer:
- Configurar el Intervalo de Actualización para un indicador a través del Editor de Valores
- Utilizar el Editor de Valores para asignar puntuaciones a fechas específicas.
- Utilizar columnas Dinámicas para ver cómo cambia la puntuación a lo largo del tiempo.
- Utilizar Iniciativas para rastrear violaciones de datos y acciones de mitigación: actualizar el estado y la duración.
- Utilizar comentarios para la puntuación para rastrear problemas e Iniciativas para mapear planes de mejora.
Alineación con la Estrategia
Alinee el cuadro de mando de evaluación de riesgos de proveedores con otros cuadros de mando de estrategia y función, como los cuadros de mando de gobernanza o de cumplimiento.
- Utilice la puntuación general de riesgo de la cartera de proveedores.
- Utilice las puntuaciones de riesgo de proveedores específicos.
- Vincule iniciativas de varios cuadros de mando.
Un buen ejemplo de la necesidad de alineación estratégica es la IA. Incluso si su organización no planea implementar tecnologías de IA, es muy probable que se vea afectada por su uso a través de proveedores externos y la cadena de suministro. Un cuadro de mando de proveedores debe alinearse con el cuadro de mando funcional de gobernanza de IA.
En BSC Designer:
- Copie el elemento de puntuación del Proveedor y péguelo en el cuadro de mando relevante.
- Seleccione la opción «Vincular por datos» o «Vincular por contexto».
Conclusiones
En este artículo, discutimos los pasos para crear un cuadro de mando de gestión de riesgos de proveedores:
- Definición de criterios de evaluación
- Asignación de pesos según el perfil de riesgo del proveedor
- Monitoreo continuo de riesgos
- Alineación de la puntuación de riesgo del proveedor con otros cuadros de mando
Aprenda más sobre las mecánicas específicas de los cuadros de mando de evaluación.
- Plantillas de CMI. Regístrese con un plan gratuito de BSC Designer y tenga acceso inmediato a 31 plantillas de cuadro de mando, incluyendo el Cuadro de Mando de Gestión de Riesgo de Proveedores discutido en este artículo.
- Domine habilidades. Aprenda a desglosar objetivos ambiguos como "mejorar la calidad" y "aumentar la resiliencia" en estrategias específicas.
- Automatice. Aprenda qué es el software de Cuadro de Mando Integral y cómo puede facilitarle la vida al automatizar la ejecución de la estrategia, los KPIs y los mapas estratégicos.
Más ejemplos del Cuadro de Mando Integral
Alexis es el CEO de BSC Designer con más de 20 años de experiencia en planificación estratégica. Tiene una formación académica en matemáticas aplicadas y ciencias de la computación. Alexis es autor del «Sistema de Despliegue de Estrategia en 5 Pasos», del libro «Sistema de KPI en 10 Pasos», y «Tu Guía para el Cuadro de Mando Integral». Es orador habitual en conferencias de la industria y ha escrito más de 100 artículos sobre estrategia y medición del rendimiento. Su trabajo es citado con frecuencia en investigaciones académicas y por profesionales de la industria.