Gestión de riesgos de terceros (TPRM)
¿Qué es Gestión de riesgos de terceros (TPRM)?
Gestión de riesgos de terceros (TPRM)Disciplina integral de identificar, evaluar, contratar, monitorizar y desvincular terceros para que los riesgos ciber, operativos y de cumplimiento que aportan se mantengan dentro del apetito.
TPRM abarca toda relación en la que la organización depende de un tercero —proveedores, prestadores de servicios, plataformas cloud, socios fintech, n-ésimos proveedores— para entregar resultados de negocio. Un ciclo típico incluye categorización por riesgo inherente, due diligence (cuestionarios de seguridad, SOC 2, ISO 27001, auditorías in situ), salvaguardas contractuales (derecho de auditoría, notificación de brechas, cláusulas de datos), monitorización continua (ratings, inteligencia de amenazas, atestaciones), gestión de incidentes y desvinculación. Reguladores financieros (DORA, OCC, FFIEC), sanitarios (HIPAA) y de privacidad (RGPD) imponen exigencias cada vez más prescriptivas. Los programas modernos integran TPRM con ERM, compras, legal y operaciones de ciberseguridad y prestan especial atención a la concentración y a la cadena de suministro.
● Ejemplos
- 01
Programa TPRM por tramos con due diligence más estricta para proveedores que tratan datos regulados.
- 02
Monitorización continua de SaaS críticos mediante ratings de seguridad e informes SOC.
● Preguntas frecuentes
¿Qué es Gestión de riesgos de terceros (TPRM)?
Disciplina integral de identificar, evaluar, contratar, monitorizar y desvincular terceros para que los riesgos ciber, operativos y de cumplimiento que aportan se mantengan dentro del apetito. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Gestión de riesgos de terceros (TPRM)?
Disciplina integral de identificar, evaluar, contratar, monitorizar y desvincular terceros para que los riesgos ciber, operativos y de cumplimiento que aportan se mantengan dentro del apetito.
¿Cómo funciona Gestión de riesgos de terceros (TPRM)?
TPRM abarca toda relación en la que la organización depende de un tercero —proveedores, prestadores de servicios, plataformas cloud, socios fintech, n-ésimos proveedores— para entregar resultados de negocio. Un ciclo típico incluye categorización por riesgo inherente, due diligence (cuestionarios de seguridad, SOC 2, ISO 27001, auditorías in situ), salvaguardas contractuales (derecho de auditoría, notificación de brechas, cláusulas de datos), monitorización continua (ratings, inteligencia de amenazas, atestaciones), gestión de incidentes y desvinculación. Reguladores financieros (DORA, OCC, FFIEC), sanitarios (HIPAA) y de privacidad (RGPD) imponen exigencias cada vez más prescriptivas. Los programas modernos integran TPRM con ERM, compras, legal y operaciones de ciberseguridad y prestan especial atención a la concentración y a la cadena de suministro.
¿Cómo defenderse de Gestión de riesgos de terceros (TPRM)?
Las defensas contra Gestión de riesgos de terceros (TPRM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Gestión de riesgos de terceros (TPRM)?
Nombres alternativos comunes: TPRM, Riesgo ciber de terceros.
● Términos relacionados
- compliance№ 1199
Gestión de riesgos de proveedores
Subconjunto del TPRM centrado en evaluar y supervisar a los proveedores directos, en particular sus prácticas de seguridad, privacidad y resiliencia operativa.
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 383
Gestión de riesgos empresariales (ERM)
Enfoque integrado y transversal para identificar, gobernar y tratar riesgos estratégicos, financieros, operativos, de cumplimiento y cibernéticos en línea con los objetivos del negocio.
- compliance№ 1063
SOC 2
Estándar de atestación del AICPA en el que un auditor independiente evalúa los controles de una organización de servicios frente a los Trust Services Criteria.
- compliance№ 557
ISO/IEC 27001
Norma internacional que establece los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI) y permite la certificación formal de las organizaciones.
● Véase también
- № 351DORA