Gestión de riesgos de proveedores.

Subconjunto del TPRM centrado en evaluar y supervisar a los proveedores directos, en particular sus prácticas de seguridad, privacidad y resiliencia operativa. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.

Subconjunto del TPRM centrado en evaluar y supervisar a los proveedores directos, en particular sus prácticas de seguridad, privacidad y resiliencia operativa.

La gestión de riesgos de proveedores (VRM) es el núcleo operativo del TPRM aplicado a los proveedores con los que la organización contrata directamente. Suele combinar inventario de proveedores, clasificación por riesgo inherente (sensibilidad del dato, criticidad, alcance de accesos), evaluaciones precontractuales, obligaciones contractuales, reevaluaciones periódicas y gestión de incidentes. Las herramientas incluyen cuestionarios de seguridad (SIG, CAIQ), revisiones de SOC 2 / ISO 27001, ratings de seguridad y auditorías presenciales o remotas. La VRM contribuye a la resiliencia reduciendo el riesgo de concentración, asegurando cláusulas de notificación de brechas y verificando que el proveedor cumpla requisitos de privacidad, financieros y regulatorios. Mientras que el TPRM es más amplio (incluye n-ésimos proveedores y entidades del grupo), la VRM concentra la mayor parte de la actividad operativa de compras.

Las defensas contra Gestión de riesgos de proveedores combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: VRM, Gestión de proveedores.