Comprensión de la calificación de la evaluación para activos de terceros
Los niveles de criticidad y las evaluaciones de riesgo son una parte integral del marco de TPRM. Estas calificaciones pueden ayudarle a categorizar y cuantificar si un tercero es apto para asociarse. Este tema explica cómo se calculan los niveles de criticidad y las calificaciones de riesgo a partir de las respuestas de la evaluación.
Nota
Debido a que las ponderaciones de las respuestas y los límites del nivel de impacto son configurables, es posible que los ejemplos de esta sección no coincidan con los cálculos que ve en su organización. Si desea obtener más información, consulte Vista de los cálculos de su organización en Robots.
Niveles de criticidad
La mayoría de las organizaciones tienen sus propias medidas para evaluar los niveles de criticidad de los terceros. Esto puede depender de varios factores, como el impacto comercial, los requisitos reglamentarios, el cumplimiento de la seguridad y la responsabilidad financiera. La identificación del nivel de criticidad sirve para una categorización inicial de los terceros.
Si utiliza la evaluación de categorización para determinar los niveles de criticidad, Gestión de riesgos de terceros (anteriormente, ThirdPartyBond) aplica un cálculo de la calificación para determinar los niveles de criticidad de los activos de terceros, según las respuestas de evaluación correspondientes.
¿Qué es una evaluación de categorización?
Una evaluación de categorización comprende varias preguntas de opción múltiple que responde el propietario de un negocio o un tercero. Gestión de riesgos de terceros (anteriormente, ThirdPartyBond) lo utiliza para calcular el nivel de criticidad general de cada activo.
Cálculo de niveles de criticidad
Después de que un encuestado envía sus respuestas, el robot de flujo de trabajo Categorización de terceros utiliza las calificaciones individuales para calcular un valor porcentual, que luego compara con los rangos especificados para cada nivel de criticidad. Luego, asigna al tercero un nivel de criticidad que se corresponde con el rango en el que se encuentra el valor.
1. Cálculo de las calificaciones de categorización
Cada respuesta en el cuestionario de evaluación de la criticidad tiene asignada una ponderación. Los administradores del sistema con suscripciones de usuario profesional pueden personalizar cada ponderación de las respuestas en el robot de flujo de trabajo Categorización de terceros.
Este robot calcula una calificación para el cuestionario en función de la calificación más alta posible para cada pregunta:
- Para las preguntas que solo permiten una respuesta única, la calificación más alta posible es la ponderación más alta de todas las respuestas posibles a la pregunta.
- Para las preguntas que permiten múltiples respuestas, la calificación más alta posible es la suma de todas las ponderaciones de todas las posibles respuestas a la pregunta.
Muéstreme un ejemplo del efecto de una pregunta en una calificación de categorización
Ejemplo
El encuestado responde a esta pregunta: ¿Qué tipo de datos serán almacenados, procesados o transmitidos por este tercero? La pregunta acepta múltiples respuestas.
Las respuestas disponibles y sus respectivas ponderaciones son las siguientes:
| Respuesta | Ponderación |
|---|---|
| Información de los empleados (Información de identificación personal, PII, por sus siglas en inglés) | 3 |
| Información del cliente (PII) | 3 |
| Información financiera | 1 |
| Información del propietario | 1 |
| Información de la infraestructura de sistemas: confidencial | 3 |
| Información de la infraestructura de sistemas: cifrada | 1 |
| No se aplica ninguno de estos tipos de datos | 0 |
El encuestado selecciona Información financiera e Información de la infraestructura de sistemas - Confidencial.
- La calificación total de esta pregunta es 4 ( 1 + 3 = 4 ).
- La ponderación más alta posible de respuesta para esta pregunta es 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 ).
2. Asignación de un nivel de impacto
Gestión de riesgos de terceros (anteriormente, ThirdPartyBond) calcula la calificación final del cuestionario de la siguiente manera: calificación de la categorización = (suma de todas las ponderaciones de todas las respuestas/suma de todas las calificaciones más altas posibles de las preguntas) * 100 %.
Por último, el robot de flujo de trabajo toma esa calificación porcentual y la compara con los límites del nivel de impacto definidos para su organización, que puede personalizar en el robot. El nivel de impacto correspondiente al rango en el que se encuentra la calificación porcentual aparece en su activo.
Muéstreme un ejemplo de asignación de un nivel de impacto
Ejemplo
Después de completar el cuestionario:
- La suma de las ponderaciones de las respuestas que seleccionó el encuestado es 41.
- La suma de las calificaciones más altas posibles para todas las preguntas es 110.
La calificación final del cuestionario es 37% ( ( 41 / 110 ) * 100 = 37,27).
En su organización, a las calificaciones entre el 20 % y el 40 % se les asigna el nivel de criticidad Bajo. Por lo tanto, Bajo aparece en el campo Nivel de criticidad para el activo de terceros.
Calificaciones de riesgo
¿Qué es una evaluación del riesgo?
Una evaluación del riesgo comprende varias preguntas de opción múltiple que responde un tercero propietario. Puede elegir entre los cuestionarios SIG Lite y CAIQ Lite para clasificar sus activos. Por lo general, un propietario del negocio puede asignarla al tercero propietario o a cualquier otro usuario externo que pueda responder a todas las preguntas.
Determinación de la calificación y el nivel de riesgo
Al igual que con los cuestionarios de categorización, a cada respuesta en la evaluación del riesgo se le asigna una calificación. Una vez que un encuestado envía las respuestas, Diligent One utiliza las calificaciones individuales para calcular un valor porcentual. Este valor porcentual se completa en el campo de calificación de riesgo.
Diligent One determina un nivel de riesgo después de comparar la calificación de riesgo con los rangos especificados para los diferentes niveles de riesgo definidos.
1. Cálculo de calificaciones de riesgo
Cada respuesta del cuestionario de evaluación del riesgo tiene asignada una ponderación. Los administradores del sistema con suscripciones de usuario profesional pueden personalizar cada ponderación de las respuestas en los robots de flujo de trabajo SIG Lite o CAIQ Lite.
Dependiendo de la evaluación que haya seleccionado, una calificación para el cuestionario basada en la calificación más alta posible para cada pregunta: De forma predeterminada, todas las preguntas de calificación de riesgo tienen las siguientes respuestas disponibles y las ponderaciones correspondientes:
| Respuesta | Ponderación |
|---|---|
| Sí | 0 |
| No | 1 |
|
N/C: Por favor, proporcione una explicación Nota Cuando selecciona esta opción, la explicación que proporciona no se tiene en cuenta en la ponderación de la respuesta. |
0 |
Debido a que solo puede elegir una de las respuestas anteriores, la calificación más alta posible es la ponderación de respuesta más alta de todas las respuestas posibles a la pregunta (en este caso, 1).
Estos cuestionarios también pueden incluir preguntas informativas que tienen diferentes respuestas disponibles, pero esas preguntas no afectan los cálculos de la calificación de riesgo.
Muéstreme un ejemplo del efecto de una pregunta en una calificación de riesgo
Ejemplo
El encuestado está respondiendo esta pregunta en el cuestionario CAIQ Lite: ¿Utiliza una herramienta de análisis de código fuente automatizado para detectar defectos de seguridad en el código antes de pasar a producción?
El encuestado selecciona Sí. La ponderación de la respuesta para esta pregunta es 0.
La ponderación de respuesta más alta posible para esta pregunta es1.
2. Asignación de un nivel de riesgo
Gestión de riesgos de terceros (previously, ThirdPartyBond) calcula la calificación final del cuestionario de la siguiente manera: calificación de la categorización = (suma de todas las ponderaciones de todas las respuestas/suma de todas las calificaciones más altas posibles de las preguntas) * 100 %.
Por último, el robot de flujo de trabajo toma esa calificación porcentual y la compara con los límites del nivel de riesgo definidos para su organización, que puede personalizar en el robot. El nivel de riesgo correspondiente al rango en el que se encuentra la calificación porcentual aparece en su activo.
Muéstreme un ejemplo de asignación de un nivel de riesgo
Ejemplo
Después de completar el cuestionario CAIQ Lite:
- La suma de las ponderaciones de las respuestas que seleccionó el encuestado es 22.
- La suma de las calificaciones más altas posibles para todas las preguntas es 73.
La calificación final del cuestionario es 30 % ( 22 / 73 ) * 100 = 30,14).
En su organización, a las calificaciones entre 0 % y 40 % se les asigna el nivel de criticidad Bajo. Por lo tanto, aparece Bajo en el campo Nivel de riesgo de CAIQ Lite y 30 aparece en el campo Calificación de riesgo de CAIQ Lite para el activo de terceros.
Vista de los cálculos de su organización en Robots
Los administradores del sistema con suscripciones de usuario profesional pueden ver las ponderaciones de las respuestas y los límites del nivel de impacto que utiliza su organización para calcular las calificaciones anteriores mediante estos pasos:
- Abra la aplicación Robots.
- En el tablero de mando de Robots, seleccione la ficha Robots de flujo de trabajo.
- Haga clic en el robot que contiene el script que desea ver.
- En la esquina superior derecha del robot, haga clic en Desarrollo para cambiar al Modo desarrollo.
- En la ficha Versiones del script, seleccione la versión del script que desea ver.
-
Haga clic en Editar script.
Resultado El editor de scripts de Robots se abre con el script. Si desea obtener más información, consulte Creación de scripts Python y HCL en Robots.
Si necesita ayuda para encontrar los robots que contienen sus personalizaciones o personalizar los cálculos de su organización para satisfacer sus necesidades, comuníquese con el soporte o con su representante de Diligent.
