{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/68683f8cf4d7f416bfa16c18?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"Capitulo 21 - Gestión de proveedores y la cadena de valor","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1751662126609-884edeb2-7ab8-473c-9261-d94d0233f045.jpeg?height=200","description":"<p>Tema: Gobernanza de seguridad de la información</p><p>Capitulo 21 - Gestión de proveedores y la cadena de valor</p><p><br></p><p>1. Política TPRM</p><p>Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.</p><p>Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:</p><p>CISO: define seguridad y excepciones.</p><p>Legal: revisa contratos.</p><p>Compras: asegura cláusulas de riesgo.</p><p>Operaciones: supervisa desempeño diario.</p><p>Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.</p><p><br></p><p>2. Comité de Proveedores</p><p>Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.</p><p>Participan responsables de Riesgos, Finanzas y Operaciones.</p><p>Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.</p><p><br></p><p>3. Alcance de Cadena de Valor</p><p>La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.</p><p>Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).</p><p>Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.</p><p><br></p><p>INVENTARIO Y CLASIFICACIÓN</p><p>Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).</p><p>Clasificación por criticidad:</p><p>Tier 1: impacto alto (interrupción clave).</p><p>Tier 2: impacto medio (soporte).</p><p>Tier 3: impacto bajo (servicios auxiliares).</p><p>Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.</p><p><br></p><p>DUE DILIGENCE Y SELECCIÓN</p><p>Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.</p><p>Reputación y legal: listas de sanciones, litigios, antecedentes.</p><p>Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.</p><p>Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.</p><p><br></p><p>Resumen clave:</p><p>El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.</p>","author_name":"Jose Rojas"}