El documento operativo que gobierna la gestión de riesgo de terceros
Establece criterios objetivos para decidir si un proveedor es aceptable, necesita mejoras o debe ser rechazado.
Garantiza que todos los proveedores sean evaluados bajo los mismos estándares, eliminando subjetividad.
Documenta las políticas de gestión de riesgo de terceros, facilitando auditorías y regulaciones (ISO, NIST, DORA).
Permite versionar y evolucionar el programa a medida que cambian los requerimientos del negocio.
Definir qué programa estamos operando
Nombre identificador del programa. Ejemplo: "Programa de Gestión de Riesgo de Terceros 2026", "TPRM Oldelval".
Activo El programa está publicado y es el vigente. En revisión El programa está en modo borrador, aún no está operativo.
Describa brevemente el alcance general y el contexto del programa. Ejemplo: "Programa que establece los lineamientos para la evaluación de seguridad de todos los proveedores tecnológicos y de servicios de la organización."
Defina el objetivo principal. Ejemplo: "Minimizar el riesgo de seguridad asociado a proveedores garantizando estándares mínimos de ciberseguridad antes del onboarding."
Notas internas opcionales sobre el programa. Pueden incluir referencias a políticas corporativas, normativas aplicables o contexto adicional.
Definir qué terceros entran al programa y cuáles no
Seleccione los tipos de terceros que serán evaluados por el programa. Puede seleccionar múltiples opciones:
Software, hardware, cloud, SaaS, infraestructura IT, telecomunicaciones, hosting y servicios digitales.
Consultoría, outsourcing, mantenimiento, soporte técnico, limpieza de datos, procesamiento.
Socios de negocio con integración profunda, joint ventures, alianzas con acceso a sistemas o datos.
Cualquier tercero que acceda, procese, almacene o transmita datos de la organización o sus clientes.
También puede especificar otros tipos personalizados en el campo "Otros".
Defina qué terceros quedan fuera del programa. Opciones predefinidas:
Proveedores que no acceden a ningún sistema ni dato de la organización (ej: catering, limpieza física).
Puede excluir proveedores clasificados como Bajo Medio o Alto según los criterios que defina en el Paso 3.
Estandarizar qué significa cada nivel de criticidad y qué implica
| Nivel | Accesos del proveedor | Impactos potenciales |
|---|---|---|
| Baja | Sin acceso a datos sensibles, sistemas críticos ni procesos core. | Impacto mínimo o nulo en la operación. |
| Media | Acceso limitado a datos no sensibles o sistemas no críticos. | Impacto operacional menor, sin repercusiones legales. |
| Alta | Acceso a datos sensibles y/o sistemas críticos. | Impacto operacional, legal/regulatorio y/o reputacional. |
| Crítica | Acceso a datos sensibles, sistemas críticos Y procesos core. | Impacto operacional, legal, reputacional y financiero. |
Seleccione qué tipo de acceso tiene el proveedor en este nivel:
Indique qué impactos tendría un incidente con este proveedor:
Definir cómo se interpreta la madurez del tercero
Criterios típicos que indican madurez baja:
Criterios típicos que indican madurez media:
Criterios típicos que indican madurez alta:
Definir la decisión según la combinación de criticidad y madurez
| Criticidad ↓ / Madurez → | Bajo | Medio | Alto |
|---|---|---|---|
| Baja | Aprobado con excepción | Aprobado | Aprobado |
| Media | Aprobado con excepción | Aprobado con excepción | Aprobado |
| Alta | Rechazado | Aprobado con excepción | Aprobado |
| Crítica | Rechazado | Rechazado | Aprobado con excepción |
* Ejemplo ilustrativo. Usted configura cada celda según las políticas de su organización.
Se aprueba el onboarding del proveedor sin acciones adicionales. El proveedor cumple con los estándares mínimos requeridos para su nivel de criticidad.
Se aprueba condicionado a un plan de seguimiento. El proveedor puede operar pero debe remediar hallazgos dentro de un plazo definido. Requiere aprobación de un nivel superior.
Se bloquea el onboarding hasta nuevo análisis. El proveedor no cumple con los requisitos mínimos y representa un riesgo inaceptable para la organización.
Definir cada cuánto se reevalúa según el nivel de riesgo
Para cada nivel de criticidad, seleccione con qué frecuencia se debe reevaluar al proveedor:
| Frecuencia | Descripción | Recomendado para |
|---|---|---|
| Trimestral | Cada 3 meses | Proveedores críticos con acceso a datos sensibles |
| Semestral | Cada 6 meses | Proveedores de criticidad alta |
| Anual | Cada 12 meses | Proveedores de criticidad media o baja |
| Ad-hoc | Bajo demanda | Proveedores de bajo riesgo o evaluaciones puntuales |
Seleccione qué eventos deben gatillar una reevaluación fuera del calendario normal:
Si el proveedor cambia de nivel de criticidad (ej: de media a alta), se debe reevaluar con los nuevos criterios.
Si la madurez del proveedor cambia significativamente, aplica una reevaluación para actualizar la decisión.
Cualquier incidente de seguridad reportado en el proveedor dispara una reevaluación inmediata.
Noticias, reportes de industria o alertas de vulnerabilidades que afecten al proveedor.
Cambios en normativas (GDPR, DORA, NIS2, regulaciones locales) que requieran una revisión del proveedor.
Formalizar quién puede aceptar riesgo y en qué casos
Seleccione las situaciones que deben escalar a un aprobador de nivel superior:
Un proveedor de alto riesgo que no tiene controles maduros representa un riesgo significativo que requiere decisión ejecutiva.
Cuando un proveedor acumula múltiples excepciones sin resolver, el caso debe ser revisado por un nivel superior.
Toda decisión sobre un proveedor clasificado como crítico requiere aprobación formal.
Si un proveedor tiene un incidente de seguridad activo, se requiere decisión inmediata sobre la continuidad.
Puede aprobar proveedores de riesgo bajo a medio. Primer nivel de decisión.
Aprueba excepciones y casos de riesgo alto. Segundo nivel de decisión.
Aprueba casos críticos y excepciones reiteradas. Máximo nivel de decisión.
Participa cuando la decisión tiene impacto directo en operaciones del negocio.
Configure cuánto tiempo máximo puede durar una excepción antes de requerir nueva revisión: 3 meses, 6 meses o 12 meses.
Aquí también se configuran los workflows de aprobación del sistema: quién aprueba cada tipo de solicitud (evaluaciones, excepciones, planes).
Revisar todo y cerrar conscientemente el programa
Nombre, estado, descripción y objetivo del programa.
Tipos de terceros incluidos y exclusiones configuradas.
Niveles definidos con sus accesos, impactos y criterios de madurez.
Matriz de decisión, frecuencias de reevaluación y disparadores extraordinarios.
Casos de escalamiento, aprobadores autorizados, duración de excepciones y workflows.
Una vez confirmado el resumen, puede activar el programa para que entre en vigencia. Solo un programa puede estar activo a la vez.
Puede duplicar un programa existente para crear una nueva versión sin perder la configuración anterior. Ideal para iteraciones anuales.
Si necesita hacer cambios, puede pasar a borrador el programa activo para editarlo y luego reactivarlo.
Puede generar un reporte PDF del programa completo desde el botón de impresión, ideal para auditorías y documentación formal.
Use esta lista para verificar que todo está configurado correctamente
| Paso | Sección | Qué verificar | |
|---|---|---|---|
| 1 | Info General | Nombre del programa completado, descripción y objetivo documentados | |
| 2 | Alcance | Al menos un tipo de tercero incluido, exclusiones documentadas con justificación | |
| 3 | Criticidad | Cada nivel tiene accesos e impactos configurados, descripciones claras | |
| 4 | Madurez | Criterios seleccionados para los 3 niveles (bajo, medio, alto) | |
| 5 | Reglas | Toda la matriz Criticidad × Madurez completada (todas las celdas con decisión) | |
| 6 | Periodicidad | Frecuencia asignada a cada nivel de criticidad, disparadores seleccionados | |
| 7 | Escalamiento | Casos de escalamiento definidos, aprobadores asignados, duración de excepciones, workflows configurados | |
| 8 | Resumen | Revisión completa, confirmación del programa, decisión de activar o mantener en borrador |
Desde la definición hasta la operación
El cliente, junto con el equipo de seguridad, completa los 8 pasos del wizard: información general, alcance, criticidad, madurez, reglas, periodicidad y escalamiento.
Se revisa el resumen completo y se activa el programa. A partir de este momento, los analistas operan bajo estas reglas.
Los analistas registran proveedores en el sistema, configurando su perfil de riesgo y asignando la criticidad según los criterios del programa.
Se envían cuestionarios de evaluación a los proveedores. El motor de scoring calcula un puntaje por dominio y un nivel de madurez.
Según la criticidad del proveedor y su madurez, la matriz de reglas determina si es: aprobado, aprobado con excepción o rechazado.
Los proveedores con hallazgos reciben planes de mejora. Los casos que requieren escalamiento se envían a los aprobadores configurados.
Según las frecuencias definidas en el programa, los proveedores se reevalúan periódicamente o ante eventos extraordinarios (incidentes, cambios regulatorios).
¿Necesita ayuda configurando su programa?
Contacte al equipo de NV TPRM para asistencia en la definición y configuración de su programa de gestión de riesgo de terceros.