Introduccion a la plataforma y al rol del analista
El analista es el usuario central de NV TPRM. Usted gestiona proveedores, crea y envia evaluaciones, revisa respuestas, calcula scores de riesgo, genera planes de mejora, solicita aprobaciones y produce reportes. Esta guia cubre cada una de estas funciones en detalle.
Registro y gestion del inventario de terceros, perfil de riesgo inherente, niveles de criticidad y estados de ciclo de vida.
Creacion, envio, seguimiento y revision de cuestionarios de seguridad enviados a los proveedores.
Biblioteca de 17 plantillas especializadas y editor de formularios con importacion/exportacion JSON.
Creacion de planes de remediacion con tareas, seguimiento de progreso, evidencias y recalculo de score.
Sistema manual de solicitudes de aprobacion con flujo por email, urgencias y escalamiento.
Dashboards ejecutivos, comparativos, historicos, de cumplimiento y constructor personalizado de reportes.
Registro, perfil de riesgo y clasificacion de terceros
Indique si el proveedor accede, procesa o almacena datos personales, financieros, de salud u otra informacion sensible de la organizacion.
Defina si el proveedor tiene acceso a redes internas, sistemas criticos, APIs, VPNs, entornos cloud u otros recursos tecnologicos.
Evalue el impacto potencial ante una falla del proveedor: operacional, reputacional, regulatorio, financiero o de continuidad de negocio.
La plataforma sugiere automaticamente el nivel de criticidad basandose en las respuestas del perfil de riesgo. El analista puede ajustar el valor.
| Nivel | Descripcion | Accion recomendada |
|---|---|---|
| Bajo | Proveedor con minimo acceso a datos y sistemas. Impacto limitado. | Evaluacion simplificada, ciclo anual |
| Medio | Acceso moderado a informacion o sistemas no criticos. | Evaluacion estandar, ciclo semestral |
| Alto | Acceso significativo a datos sensibles o sistemas criticos. | Evaluacion critica, monitoreo continuo |
| Critico | Proveedor esencial con acceso total. Falla causa impacto severo. | Evaluacion critica + aprobacion ejecutiva |
Activo Proveedor en relacion vigente.
Inactivo Proveedor dado de baja o sin relacion actual.
Cargue multiples proveedores desde un archivo Excel (.xlsx). La plataforma valida los campos obligatorios y reporta errores por fila.
Proceso de 5 pasos para enviar un cuestionario al proveedor
Elija uno o mas proveedores activos del inventario. Puede seleccionar multiples proveedores para evaluaciones en lote.
Elija el formulario adecuado de la biblioteca de 17 plantillas segun el tipo de proveedor y nivel de criticidad.
Defina que analista sera el responsable de revisar las respuestas. Puede autoasignarse o designar a un colega.
Configure el plazo maximo para que el proveedor complete el cuestionario. Los recordatorios se activan automaticamente.
Agregue destinatarios en copia si lo desea. Al confirmar, se genera un token unico y se envia el email al proveedor con el enlace al cuestionario.
| Estado | Descripcion | Accion del analista |
|---|---|---|
| no_iniciado | El proveedor aun no abrio el cuestionario | Esperar o enviar recordatorio |
| en_progreso | El proveedor comenzo a responder | Monitorear avance |
| en_revision | El proveedor envio las respuestas completas | Revisar respuestas y evidencias |
| completado | La revision del analista fue finalizada | Generar plan de mejora si aplica |
| en_aclaracion | Se solicitaron aclaraciones al proveedor | Esperar respuesta del proveedor |
| atrasado | La fecha limite fue superada sin respuesta | Contactar proveedor, reenviar |
| archivado | Evaluacion cerrada o descartada | Solo consulta historica |
Analisis de cuestionarios, evidencias y flujo de aclaraciones
sin_revisar
Estado inicial. El analista aun no evaluo la respuesta del proveedor.
requiere_revision
La respuesta es insuficiente o la evidencia es incompleta. Se solicita aclaracion.
aceptada
La respuesta y la evidencia son satisfactorias. No se requiere accion adicional.
Marque las preguntas que requieren aclaracion del proveedor. Puede seleccionar multiples a la vez.
Para cada pregunta seleccionada, escriba un comentario explicando que informacion adicional necesita.
Las preguntas quedan marcadas como requiere_revision y el proveedor recibe un email con las preguntas a aclarar.
Calculo automatico de puntajes y niveles de madurez
Cada pregunta del formulario esta mapeada a un dominio y subdominio NIST CSF 2.0. Las respuestas se valoran con pesos asignados en la configuracion del formulario.
Formula de calculo por dominio:
El score global es el promedio ponderado de los 6 dominios. Los pesos de cada dominio son configurables por formulario.
| Respuesta | Valor asignado | Descripcion |
|---|---|---|
| Si | 100% del puntaje de la pregunta | Control implementado completamente |
| No | 0% (cero puntos) | Control no implementado |
| Parcial | 50% del puntaje de la pregunta | Control parcialmente implementado |
| N/A | Excluido del calculo | Pregunta no aplica al proveedor, se excluye del denominador |
Controles maduros y operativos. Riesgo residual bajo.
Controles en desarrollo. Se recomienda plan de mejora.
Controles insuficientes. Requiere remediacion urgente o aprobacion ejecutiva.
Creacion, seguimiento y gestion de planes de remediacion
Progreso general del plan en porcentaje. Indicador visual tipo velocimetro.
Comparativa de tareas por estado: pendientes, aprobadas, rechazadas.
Vista multidimensional del avance por dominio o categoria de control.
Agregue observaciones sobre la tarea. Los comentarios son visibles para el proveedor y quedan en el historial de auditoria.
Pida al proveedor que adjunte documentacion que demuestre la implementacion del control o la remediacion realizada.
Marque la tarea como aprobada cuando la evidencia y la implementacion sean satisfactorias.
Rechace la tarea si la evidencia es insuficiente. Agregue un comentario explicando los motivos y que se espera.
Cambie una tarea previamente aprobada o rechazada a estado pendiente si es necesario reevaluarla.
Seleccione multiples tareas para aprobar, rechazar o comentar en lote, optimizando la gestion de planes extensos.
Sistema MANUAL de solicitudes de aprobacion creadas por el analista
| Nivel | Indicador | Uso recomendado |
|---|---|---|
| Low | Baja prioridad | Aprobaciones de rutina, proveedores de bajo riesgo |
| Medium | Prioridad normal | Evaluaciones estandar que requieren decision |
| High | Alta prioridad | Proveedores criticos o hallazgos significativos |
| Critical | Urgente | Incidentes activos, decisiones inmediatas requeridas |
Solicitud enviada, esperando decision del aprobador. El aprobador recibe email con botones de accion.
El aprobador acepto la solicitud. El analista es notificado y puede continuar con el proceso.
El aprobador rechazo la solicitud. Revise los comentarios del aprobador y tome acciones correctivas.
La solicitud fue escalada a un aprobador de mayor nivel. El analista puede seguir el estado desde la plataforma.
Visualizaciones y exportaciones para analisis y presentaciones
Vision global del programa TPRM: total de proveedores, distribucion por criticidad, scores promedio, evaluaciones en curso y tendencias generales.
Perfil completo de un proveedor: score actual, historico de evaluaciones, estado de planes de mejora, hallazgos abiertos y cerrados.
Seguimiento temporal de la evolucion de scores y madurez. Graficos de tendencia para demostrar mejoras o detectar deterioros en el tiempo.
Compare multiples proveedores lado a lado: scores por dominio, niveles de madurez, cumplimiento por categoria. Ideal para benchmarking interno.
Vista enfocada en cumplimiento contra frameworks especificos (NIST CSF, ISO 27001, etc.). Muestra gaps por dominio y subcategoria con detalle granular.
Herramienta de creacion personalizada. Seleccione metricas, proveedores, periodos y formatos de visualizacion para generar reportes a medida.
Todos los dashboards y reportes permiten exportar los datos subyacentes en formato CSV para analisis externo en hojas de calculo, herramientas de BI o documentacion de auditorias.
Biblioteca de 17 plantillas organizadas en 3 niveles
Cuestionario rapido de triaje para determinar el nivel de riesgo inherente de un nuevo proveedor antes de una evaluacion completa.
Evaluacion estandar de seguridad para proveedores de riesgo medio. Cubre controles basicos de seguridad, privacidad y continuidad.
Evaluacion exhaustiva para proveedores de alto riesgo o criticos. Incluye controles avanzados, gobernanza, gestion de incidentes, continuidad de negocio y cumplimiento normativo detallado.
Proveedores de servicios en la nube y SaaS
Sistemas de control industrial y OT
Proveedores de desarrollo de software
Proveedores de servicios gestionados de seguridad
Evaluacion de privacidad y proteccion de datos
Alineado a controles ISO 27001
Framework NIST Cybersecurity 2.0
Regulaciones del sector financiero
Preparacion contra ransomware
Riesgos de inteligencia artificial
Continuidad de negocio y recuperacion
Directiva europea NIS2
Evaluacion de salida de proveedor
Actualizacion anual de evaluacion
Seguimiento activo de evaluaciones, plazos y notificaciones
Evaluaciones cuya fecha limite esta proxima. Requieren atencion inmediata o envio de recordatorio.
Recordatorios enviados en el periodo actual. Monitoree la efectividad de las notificaciones.
Planes de mejora activos esperando respuesta del proveedor o revision del analista.
La plataforma envia recordatorios automaticos a los proveedores cuando se acercan las fechas limite de evaluaciones y planes de mejora. La frecuencia es configurable.
El analista puede enviar recordatorios adicionales en cualquier momento desde la vista de detalle de la evaluacion o del plan de mejora.
Si un proveedor solicita una extension o hay una razon valida, el analista puede pausar temporalmente los recordatorios automaticos para esa evaluacion.
El analista recibe notificaciones internas cuando un proveedor completa una evaluacion, responde aclaraciones o actualiza tareas de un plan de mejora.
Cada accion en la plataforma queda registrada con informacion detallada para auditoria:
Ciclo de vida completo, tablas de estados y contacto
| Estado | Significado | Siguiente paso |
|---|---|---|
| no_iniciado | Proveedor no abrio el cuestionario | Enviar recordatorio |
| en_progreso | Proveedor respondiendo | Monitorear |
| en_revision | Respuestas enviadas, pendiente de revision | Revisar respuestas |
| en_aclaracion | Se pidieron aclaraciones al proveedor | Esperar respuesta |
| atrasado | Vencida sin respuesta | Contactar proveedor |
| completado | Evaluacion finalizada | Plan de mejora / Reporte |
| archivado | Cerrada o descartada | Solo consulta |
| Estado | Significado | Siguiente paso |
|---|---|---|
| borrador | Plan en preparacion, no enviado | Completar y enviar al proveedor |
| enviado_proveedor | Plan enviado, proveedor notificado | Esperar inicio de tareas |
| en_progreso | Proveedor trabajando en las tareas | Revisar avances y evidencias |
| completado | Todas las tareas aprobadas | Score recalculado automaticamente |