Vendor management — Definición IT
Gestión estructurada del ciclo de vida de los proveedores de TI: selección, contractualización, pilotaje del rendimiento, gestión de los riesgos, renovación y salida.
El vendor management (gestión de los proveedores de TI) es la práctica estructurada de pilotaje del ciclo de vida de los proveedores de TI de una organización: selección, contractualización, pilotaje del rendimiento, gestión de los riesgos, renovación y plan de salida.
El tema ha tomado una importancia estratégica con la generalización del SaaS, con la presión regulatoria (DORA y NIS2) y con la explosión de los ataques de la supply chain.
Las seis etapas del vendor management
### 1. Selección (sourcing)
- •Definición de las necesidades.
- •Estudio de mercado, RFI/RFP.
- •Evaluación comparativa.
- •Pilotaje POC / piloto.
- •Decisión.
### 2. Contractualización
- •Negociación de los términos contractuales.
- •Cláusulas obligatorias: SLA, DPA RGPD, auditoría, salida, subcontratación.
### 3. Onboarding
### 4. Pilotaje operativo
### 5. Renovación
### 6. Salida
Vendor risk management (VRM)
- •Riesgo cyber: .
- •Riesgo de continuidad: .
- •Riesgo financiero: .
- •Riesgo de conformidad: .
- •Riesgo geopolítico: .
- •Riesgo de concentración: .
- •Riesgo de salida (vendor lock-in): .
Tiering de los proveedores
- •Tier 1 — Críticos: .
- •Tier 2 — Importantes: .
- •Tier 3 — Estándar: .
- •Tier 4 — Accesorios: .
Vendor management y FinOps
- •Renegociación: .
- •Consolidación: .
- •Asignación de los costos: chargeback.
- •Rightsizing: de los compromisos.
- •Anticipación: de las renovaciones.
Vendor management y conformidad regulatoria
- •[DORA](/es/glossary/dora): (artículo 28).
- •[NIS2](/es/glossary/nis2): .
- •RGPD: .
- •[ISO 42001](/es/glossary/iso-42001): .
Vendor management y cartografía
Kabeen cruza automáticamente aplicaciones, proveedores, contratos y usos.
Preguntas frecuentes
¿Qué es el vendor management?
+
El vendor management es la práctica estructurada de pilotaje del ciclo de vida de los proveedores de TI: selección, contractualización, pilotaje del rendimiento, gestión de los riesgos, renovación y plan de salida. Es una disciplina transversal que combina compras, jurídico, gobernanza SI, ciberseguridad y FinOps.
¿Qué cláusulas contractuales se han vuelto obligatorias?
+
Con DORA (artículo 30) y NIS2, varias cláusulas se han vuelto obligatorias para los proveedores de TI críticos: SLAs documentados, DPA RGPD, derecho de auditoría (incluyendo en sitio), plan de salida formalizado, restricciones de subcontratación, localización de los datos, notificación de incidentes en plazos cortos (24-72h), conformidad con los estándares (ISO 27001, SOC 2).
¿Cómo clasificar los proveedores de TI (tiering)?
+
Cuatro tiers según la criticidad: Tier 1 críticos (su fallo detiene la actividad, seguimiento mensual, auditoría anual, plan de salida obligatorio), Tier 2 importantes (degradan significativamente la actividad, seguimiento trimestral), Tier 3 estándar (impacto limitado, seguimiento anual), Tier 4 accesorios (commodity, revisión mínima).
¿Cuáles son los riesgos vinculados a los proveedores de TI?
+
Siete riesgos estructurantes: (1) riesgo cyber (postura seguridad del proveedor), (2) riesgo de continuidad, (3) riesgo financiero, (4) riesgo de conformidad, (5) riesgo geopolítico (Cloud Act, soberanía), (6) riesgo de concentración, (7) riesgo de vendor lock-in. DORA impone una evaluación anual de estos riesgos para los proveedores críticos.
Todos los términos
Método de las 5R
Una estrategia utilizada durante la racionalización de aplicaciones para determinar el mejor enfoque de gestión.
Método de las 8R
Una versión extendida del método 5R utilizada en la gestión del portafolio de aplicaciones y estrategias de migración.
Aplicación
Un programa informático o conjunto de programas diseñados para agilizar las operaciones comerciales.
Arquitectura
Se refiere a la estructura y comportamiento de los sistemas de TI, procesos e infraestructura dentro de una organización.
¿Necesita ayuda para mapear su panorama TI?
Kabeen le ayuda a inventariar, analizar y optimizar su portafolio de aplicaciones.