Capitulo 21 - Gestión de proveedores y la cadena de valor

https://is1-ssl.mzstatic.com/image/thumb/Podcasts221/v4/9a/05/4a/9a054a85-5852-86cf-483a-ed14411d5d2d/mza_3811610359591409927.jpeg/600x600bb.jpg

blue team sin morir en el intento

Jose Rojas

33 episodes

2 weeks ago

Este es un espacio dedicado al Blue Team, donde exploraremos estrategias, experiencias, métodos e iniciativas para fortalecer tu postura de seguridad y ampliar tu conocimiento en el tema. Disfruta de entrevistas, consejos y recomendaciones de expertos.

Hosted on Acast. See acast.com/privacy for more information.

All content for blue team sin morir en el intento is the property of Jose Rojas and is served directly from their servers with no modification, redirects, or rehosting. The podcast is not affiliated with or endorsed by Podjoint in any way.

Hosted on Acast. See acast.com/privacy for more information.

Capitulo 21 - Gestión de proveedores y la cadena de valor

blue team sin morir en el intento

45 minutes 55 seconds

4 months ago

Capitulo 21 - Gestión de proveedores y la cadena de valor

Tema: Gobernanza de seguridad de la información

Capitulo 21 - Gestión de proveedores y la cadena de valor

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

1. Política TPRM

Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.

Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:

CISO: define seguridad y excepciones.

Legal: revisa contratos.

Compras: asegura cláusulas de riesgo.

Operaciones: supervisa desempeño diario.

Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.

2. Comité de Proveedores

Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.

Participan responsables de Riesgos, Finanzas y Operaciones.

Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.

3. Alcance de Cadena de Valor

La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.

Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).

Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.

INVENTARIO Y CLASIFICACIÓN

Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).

Clasificación por criticidad:

Tier 1: impacto alto (interrupción clave).

Tier 2: impacto medio (soporte).

Tier 3: impacto bajo (servicios auxiliares).

Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.

DUE DILIGENCE Y SELECCIÓN

Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.

Reputación y legal: listas de sanciones, litigios, antecedentes.

Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.

Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.

Resumen clave:

El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.

Hosted on Acast. See acast.com/privacy for more information.