Sign up to save your podcasts
Or
Share Capitulo 21 - Gestión de proveedores y la cadena de valor
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Capitulo 21 - Gestión de proveedores y la cadena de valor
Tema: Gobernanza de seguridad de la información
Capitulo 21 - Gestión de proveedores y la cadena de valor
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
1. Política TPRM
Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.
Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:
CISO: define seguridad y excepciones.
Legal: revisa contratos.
Compras: asegura cláusulas de riesgo.
Operaciones: supervisa desempeño diario.
Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.
2. Comité de Proveedores
Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.
Participan responsables de Riesgos, Finanzas y Operaciones.
Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.
3. Alcance de Cadena de Valor
La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.
Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).
Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.
INVENTARIO Y CLASIFICACIÓN
Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).
Clasificación por criticidad:
Tier 1: impacto alto (interrupción clave).
Tier 2: impacto medio (soporte).
Tier 3: impacto bajo (servicios auxiliares).
Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.
DUE DILIGENCE Y SELECCIÓN
Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.
Reputación y legal: listas de sanciones, litigios, antecedentes.
Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.
Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.
Resumen clave:
El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasTema: Gobernanza de seguridad de la información
Capitulo 21 - Gestión de proveedores y la cadena de valor
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
1. Política TPRM
Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.
Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:
CISO: define seguridad y excepciones.
Legal: revisa contratos.
Compras: asegura cláusulas de riesgo.
Operaciones: supervisa desempeño diario.
Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.
2. Comité de Proveedores
Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.
Participan responsables de Riesgos, Finanzas y Operaciones.
Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.
3. Alcance de Cadena de Valor
La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.
Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).
Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.
INVENTARIO Y CLASIFICACIÓN
Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).
Clasificación por criticidad:
Tier 1: impacto alto (interrupción clave).
Tier 2: impacto medio (soporte).
Tier 3: impacto bajo (servicios auxiliares).
Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.
DUE DILIGENCE Y SELECCIÓN
Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.
Reputación y legal: listas de sanciones, litigios, antecedentes.
Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.
Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.
Resumen clave:
El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.
Hosted on Acast. See acast.com/privacy for more information.