Ir al contenido principal

43. Matriz de Evaluación de Proveedores

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 27001 en su versión 2013: A.15.1.3, A.15.2.1

  • ISO 27001 en su versión 2022: 5.21, 5.22

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para evaluar periódicamente los servicios y/o productos que te prestan los proveedores alcanzados por tu SGSI o programa de seguridad, con respecto a criterios previamente establecidos por tu organización. El uso de esta matriz te ayudará a contratar y mantener a los proveedores que sí te brinden la mejor calidad, y además funge como evidencia durante auditorías.

💡 Esta actividad está ligada al Procedimiento de Revisión y Contratación de Proveedores.

¿Qué tengo que hacer? 🚀

Para comenzar esta actividad debes enlistar todos los proveedores alcanzados por tu SGSI o programa de seguridad, incluyendo aplicaciones, sistemas o cualquier servicio tercerizado. Así como también puedes considerar aquellos proveedores que estás pensando contratar, para asegurarte de que sean los más adecuados para cubrir las necesidades de tu empresa.

Nuestro template cuenta con los criterios mínimos a evaluar, que son los siguientes:

  • Seguridad: Evalúa las medidas de seguridad con las que cuenta el proveedor para proteger la información, activos, recursos, procesos o cualquier elemento al que tengan acceso de tu empresa.

  • Capacidad - SLA: Evalúa los acuerdos de niveles de servicio y tiempos de respuesta (SLAs) que brinda el proveedor para asegurar que puede responder y entregar el servicio en el tiempo esperado y con la calidad necesaria para que tus operaciones sean eficientes.

  • Cumplimiento normativo / regulatorio: Valida que el proveedor realice auditorías y/o revisiones independientes, que mantienen en cumplimiento sus certificaciones y regulaciones de la industria a la que pertenecen.

Puedes añadir más criterios para que la evaluación sea lo más alineada al contexto y necesidades de tu empresa, y con ello, puedas tomar las mejores decisiones en cuanto a la relación con tus proveedores 🚀.

Además, dentro de nuestro template te proporcionamos un parámetro de valorización para cada uno de los criterios que consta del 1 al 3. Con esto se calcula un promedio que define como resultado final el nivel de calidad con el que medirás a tus proveedores.

Los resultados te ayudarán a verificar si tus proveedores son confiables y apropiados a tus necesidades, y de no ser así, te recomendamos buscar nuevos proveedores, productos y/o servicios que te garanticen el cumplimiento de los requisitos de seguridad normativos y los establecidos por tu empresa.

📝 Por ejemplo, nuestra empresa tiene AWS como proveedor de servicios de nube, tiene JIRA como proveedor de gestor de tareas, tiene Slack como proveedor de servicios de comunicación y tiene un “sistema nuevo de repositorios” para documentos. La evaluación de estos proveedores dentro de la matriz se vería de la siguiente forma:

Nota: La imagen es a modo de ejemplo y la matriz se muestra con un formato genérico (es decir, los colores, la información colocada, etcétera).

Siguiendo el ejemplo podemos decir que nuestra empresa seguirá trabajando con los tres primeros proveedores ya que obtuvieron un resultado “Alto” respecto a la valorización que se les dio.

Sin embargo, el “sistema nuevo de repositorios” obtuvo un resultado “Bajo” y su valorización no cumple en ningún criterio, por lo que tomaremos la decisión de buscar un nuevo proveedor (como bien lo menciona la columna de “Acción recomendada” en el extremo derecho, que es parte de nuestro template y se muestra en la imagen anterior).

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Como buena práctica, puedes evaluar a todos tus proveedores y no solo aquellos alcanzados por tu SGSI.

  • Realiza esta evaluación de forma periódica, por lo menos una vez al año para que puedas asegurarte de que siempre estén alineados a los requisitos de seguridad y los de la organización.

  • Analiza e implementa todos los criterios de evaluación que consideres pertinentes.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
44. Matriz de Evaluación de Requisitos Legales y Contractuales
Procedimiento de Revisión y Contratación de Proveedores
Matriz de Evaluación de Proveedores (del SGIA)
Procedimiento de Revisión y Contratación de Proveedores
Matriz de Evaluación de Proveedores
¿Ha quedado contestada tu pregunta?