Third party compliance: Gestión de la Cadena de Suministro en Seguridad de la Información y Continuidad de Negocio
M-85
En cualquier organización resulta esencial establecer procesos eficaces de evaluación y gestión de riesgos. Uno de los principales riesgos contemplados en los distintos marcos de cumplimiento normativo y estándares internacionales se encuentra en la gestión de terceros y proveedores.
La diligencia debida en la contratación de terceros implica verificar, antes de su contratación, que el proveedor cumple con los requisitos establecidos por la organización en materia de seguridad de la información, continuidad de negocio y resiliencia operativa. Asimismo, resulta necesario garantizar, durante toda la relación contractual, que los proveedores mantienen dichos estándares y gestionan adecuadamente los riesgos asociados a su actividad.
En este curso se aborda la gestión de la cadena de suministro desde una perspectiva integral, incorporando tanto la seguridad de la información como la continuidad de negocio y la resiliencia operativa. Se analizan también los requerimientos regulatorios aplicables, especialmente los derivados de la Directiva NIS2 y el Digital Operational Resilience Act (Reglamento DORA), así como su impacto en la gestión de proveedores y terceros.
Dirigido a
Este programa está dirigido a:
- Personal directivo y responsables de control de proveedores y la responsabilidad corporativa.
- Responsables de seguridad, CISOs y equipos técnicos de seguridad.
- Responsables de cumplimiento y personal técnico de cumplimiento.
- Personal de áreas de proveedores y compras.
Promoción especial
Objetivos
Capacitar a los participantes para seleccionar y gestionar proveedores que ofrezcan garantías suficientes en materia de seguridad de la información, continuidad de negocio y resiliencia operativa, identificando y controlando los riesgos asociados a terceros a lo largo de toda la relación contractual.
Contenido
1. Introducción a la gestión de la cadena de suministro
• Concepto y alcance de la gestión de terceros y cadena de suministro.
• Evolución del riesgo de terceros en el contexto digital.
• Impacto de la externalización y la dependencia tecnológica.
• Marco normativo y regulatorio aplicable.
• Principales estándares y buenas prácticas: ISO/IEC 27001, ISO 22301 y ENS y marcos de resiliencia organizativa.
• Principales amenazas y tendencias en la cadena de suministro.
2. Integración de seguridad de la información y continuidad de negocio en la cadena de suministro
• Requisitos de seguridad y continuidad en la contratación de proveedores.
• Proceso de homologación de proveedores: evaluación previa, diligencia debida y clasificación de proveedores críticos.
• Integración de requisitos de continuidad de negocio: RTO y RPO en servicios externalizados y dependencias críticas.
• Gestión contractual de proveedores: cláusulas de seguridad, cláusulas de continuidad de negocio y SLAs.
• Caso práctico: proceso de homologación y evaluación de proveedores.
3. Gestión de riesgos en la cadena de suministro
• Identificación y evaluación de riesgos
• Estrategias de mitigación de riesgos.
• Identificación de riesgos asociados a terceros: ciberseguridad, interrupción del servicio, dependencia tecnológica y riesgos regulatorios.
• Metodologías de evaluación de riesgos aplicadas a terceros.
• Análisis de criticidad de proveedores.
• Estrategias de tratamiento y mitigación del riesgo: diversificación de proveedores, planes de contingencia y sustitución de proveedores críticos.
4. Continuidad de negocio en proveedores y terceros
• Impacto de proveedores en los procesos críticos de la organización.
• Evaluación de la capacidad de continuidad del proveedor.
• Revisión de planes de continuidad y recuperación del proveedor.
• Gestión de dependencias críticas y proveedores únicos
• Estrategias de resiliencia de la cadena de suministro.
• Caso práctico: análisis de impacto de proveedores en el BIA.
5. Auditoría de la cadena de suministro
• Indicadores y métricas de rendimiento y resiliencia.
• Auditorías de proveedores: auditorías documentales, auditorías in situ y certificaciones y evidencias.
• Gestión de incidentes en proveedores.
• Evaluación continua y mejora del control de terceros.
• Caso práctico: checklist de auditoría de proveedores.
6. Requerimientos regulatorios: NIS2 y DORA
• Principales obligaciones en gestión de terceros derivadas de: NIS2 Directive y Digital Operational Resilience Act.
• Gestión del riesgo de terceros en entornos regulados.
• Supervisión y reporting regulatorio.
• Impacto en procesos de contratación y seguimiento de proveedores.
7. Taller práctico
• Evaluación y análisis de riesgos de un proveedor crítico.
• Definición de controles y plan de seguimiento del proveedor.
8. Conclusiones y recomendaciones
• Factores clave para una gestión eficaz de terceros.
• Buenas prácticas para mejorar la resiliencia de la cadena de suministro.
Próximas convocatorias
Third party compliance: Gestión de la Cadena de Suministro en Seguridad de la Información y Continuidad de Negocio
Información de la convocatoria
Cursos que podrían interesarte
Píldora formativa: Conoce la Norma ISO 37301 Sistemas de Gestión del Compliance
Implantación de un Sistema de Gestión de Compliance ISO 37301
PREGUNTAS FRECUENTES
¿Tienes alguna duda sobre nuestros cursos?
¿Cómo me matriculo en un curso de AENOR?
Inscribirte en un curso de AENOR es muy fácil. Solo tienes que seguir estos pasos:
- Elige el curso que más te interesa
- Dentro de la página del curso, verás el cuadro con las diferentes modalidades y fechas de inicio
- Selecciona la opción que mejor se adapte a ti y haz clic en "Reservar plaza"
- Se abrirá el formulario de preinscripción, donde deberás completar tus datos y, si eres responsable de formación de tu empresa, también los de los asistentes al curso.
Y listo, ¡Ya estarás en camino para formarte con los mejores!
¿Qué modalidades de formación ofrece AENOR?
En AENOR sabemos que cada persona tiene necesidades diferentes, por eso ofrecemos cuatro modalidades de formación:
- Live Training (en directo/streaming): Formación en tiempo real con profesores expertos.
- 100% Online: Aprende a tu ritmo con acceso a materiales y recursos digitales
- Presencial: Formación en nuestras instalaciones, con interacción directa con docentes y compañeros.
- Formación a medida para empresas: Diseñamos cursos personalizados para equipos, adaptándonos a sus necesidades y en sus propias instalaciones.
Dentro de cada curso, en el cuadro de convocatorias, podrás ver qué modalidades están disponibles para esa formación.
¿Los cursos de AENOR son bonificables?
Sí, casi todos los cursos AENOR pueden bonificarse a través del sistema de la Fundación Estatal para la Formación en el Empleo (FUNDAE), siempre que se cumplan los requisitos de la Ley 30/2015 y el Real Decreto 694/2017.
Además, te lo ponemos fácil: en AENOR gestionamos gratuitamente la bonificación, para que tu empresa pueda aprovechar el crédito de formación disponible. Solo tienes que solicitarlo durante el proceso de inscripción.
Para más información, consulta nuestra sección de Cursos Bonificados AENOR.
¿Cuándo recibiré mi certificado?
Una vez finalices el curso, podrás descargar tu certificado directamente desde nuestro Campus Virtual.
Si has realizado una formación con examen para la obtención de la Titulación Propia de AENOR, el certificado y la titulación estarán disponibles tras verificar que has superado la evalución final.
¿Puedo inscribir a varios trabajadores en un curso?
¡Por supuesto! Si eres empresa y quieres inscribir a varios empleados en un curso, puedes hacerlo en un solo proceso de inscripción:
- Al iniciar el registro, selecciona la opción "Soy una empresa".
- Rellena los datos de la empresa y de la persona responsable.
- Acepta el Contrato de Encargado del Tratamiento.
- En la sección "Añadir alumnado", introduce los datos de todos los trabajadores de tu empresa que participarán en la formación.
Beneficio extra: Si inscribes a más de un trabajador en la misma convocatoria, tu empresa recibirá un 15% de descuento a partir de la segunda inscripción.