Hoy en día, las organizaciones trabajan con una media de más de 3.000 vendedores, proveedores y socios externos, según el estudio 2024 Third Party Risk Management Study. Desafortunadamente, la preponderancia de los enfoques manuales para las evaluaciones de riesgos de terceros significa que la mayoría de las organizaciones sólo pueden gestionar un tercio de sus proveedores. Entre la expansión de los ecosistemas de proveedores, la omnipresencia de las amenazas de filtración de datos de terceros y una supervisión normativa cada vez más agresiva, la gestión de los riesgos de terceros es ahora una función crítica para las organizaciones de todos los sectores.
La complejidad y el volumen de las relaciones con terceros requieren soluciones sólidas para mitigar los riesgos potenciales. Sin embargo, con tantas opciones de gestión de riesgos de terceros disponibles, ¿cómo saber cuál es la mejor para su organización?
Este post explora y compara los enfoques de gestión de riesgos de terceros de cuatro tipos de soluciones, de menos a más completas: hojas de cálculo, herramientas de calificación de riesgos de ciberseguridad, suites "de origen a pago" y plataformas dedicadas de gestión de riesgos de terceros. Para ello, examinamos los pros y los contras y recomendamos un ajuste ideal para cada enfoque.
Hojas de cálculo
Las hojas de cálculo son innegablemente populares para la gestión de riesgos de terceros. La mitad de las empresas -especialmente las pequeñas y medianas- las utilizan sistemáticamente. Sin embargo, este enfoque tiene su propio conjunto de ventajas y desventajas. Las hojas de cálculo ofrecen una solución económica, flexible y familiar para gestionar las evaluaciones de riesgos de terceros basadas en cuestionarios. Sin embargo, también tienen limitaciones significativas en cuanto a escalabilidad, integridad de los datos, colaboración, seguridad y funcionalidad avanzada, que impiden su eficacia en la gestión de riesgos.
| Ventajas de utilizar hojas de cálculo para la gestión de riesgos de terceros | Contras del uso de hojas de cálculo para la gestión de riesgos de terceros |
|---|---|
| Rentabilidad Las hojas de cálculo suelen formar parte de paquetes de programas ofimáticos, que muchas organizaciones ya poseen y pagan con cargo al presupuesto de TI. Esto las convierte en una opción rentable para los equipos de GTPR, o al menos con un bajo coste inicial que evita la necesidad de adquirir e implantar herramientas especializadas de gestión de riesgos. | Escalabilidad Las hojas de cálculo pueden convertirse fácilmente en algo engorroso y difícil de gestionar, especialmente con grandes poblaciones de proveedores. Los grandes conjuntos de datos pueden ralentizar el rendimiento de las hojas de cálculo, lo que provoca ineficiencias. |
| Flexibilidad y personalización Las hojas de cálculo se personalizan fácilmente para adaptarlas a procesos y plantillas específicos de gestión de riesgos. Casi todo el mundo puede ajustarlas y modificarlas para adaptarlas a las necesidades cambiantes y a los nuevos puntos de datos. | Integridad y precisión de los datos Las hojas de cálculo son propensas a errores humanos como la introducción incorrecta de datos, errores de fórmula y alteraciones involuntarias. Además, las hojas de cálculo carecen de mecanismos sólidos de validación de datos, lo que aumenta el riesgo de que éstos sean inexactos o incompletos. |
| Facilidad de uso La mayoría de los usuarios saben utilizar hojas de cálculo, así que no hay curva de aprendizaje. Compartir información también es más fácil porque las partes interesadas están familiarizadas con la herramienta. Las herramientas básicas de visualización de datos, como tablas y gráficos, ayudan a ilustrar los datos de riesgo. | Falta de funciones avanzadas Las hojas de cálculo ofrecen una automatización mínima, lo que lleva a procesos manuales que consumen mucho tiempo. No ofrecen [supervisión en tiempo real ni alertas de cambios en la situación de riesgo de terceros](/blog/third-party-monitoring/), lo que limita su uso a las evaluaciones basadas en cuestionarios. |
| Fácil acceso Las hojas de cálculo pueden compartirse y consultarse fácilmente desde distintos dispositivos y plataformas, garantizando que todas las partes interesadas puedan ver y editar los datos. | Retos de colaboración (por ejemplo, control de versiones) La gestión de varias versiones de una hoja de cálculo puede generar confusión, discrepancias y problemas de control de versiones. Un soporte limitado para la colaboración multiusuario en tiempo real (especialmente con personas ajenas a la organización) puede dificultar la eficacia y la coordinación del programa. |
| Problemas de seguridad Las hojas de cálculo suelen carecer de funciones de seguridad avanzadas, lo que hace que los datos sensibles de riesgo sean vulnerables a accesos no autorizados y a infracciones, especialmente cuando se comparten con terceros. Implantar y gestionar controles de acceso puede resultar complicado, sobre todo en las grandes organizaciones. | |
| Informes estáticos Generar informes exhaustivos sobre el riesgo de terceros a partir de hojas de cálculo puede requerir mucho trabajo y tiempo. A medida que las organizaciones crecen y su panorama de riesgos de terceros se vuelve más complejo, puede ser una buena idea adoptar soluciones de gestión de riesgos de terceros más robustas y especializadas que proporcionen capacidades mejoradas, automatización y monitoreo en tiempo real para mitigar los riesgos de manera efectiva. El resto de este blog examina algunas opciones. |
Herramientas de calificación de riesgos de ciberseguridad
Las herramientas de puntuación, las más comunes de las cuales son los servicios de calificación de riesgos de ciberseguridad, se centran en cuantificar la postura de ciberseguridad de terceros utilizando datos identificables externamente, como vulnerabilidades, exploits, controles de aplicaciones web y otra información de cara al público. Estas herramientas proporcionan información sobre los riesgos cibernéticos potenciales que plantean los proveedores y socios externos y presentan los resultados como una puntuación numérica de riesgo o una calificación.
Aunque son un medio popular de evaluar el riesgo de terceros, los servicios de calificación de riesgos de ciberseguridad no pueden realizar evaluaciones detalladas de los controles internos. Las herramientas de calificación también están aisladas por tipo de riesgo (cibernético, ESG, financiero, operativo, de cumplimiento, de reputación, etc.). - lo que obliga a las organizaciones a adquirir diferentes fuentes de datos e integrarlas para obtener una imagen completa del riesgo de terceros.
Las herramientas de calificación de riesgos de ciberseguridad están pensadas para organizaciones que sólo se ocupan de vigilar los riesgos cibernéticos, o que disponen de los recursos necesarios para reunir múltiples fuentes de vigilancia para abordar otros tipos de riesgos. Estas herramientas también se quedan cortas para las organizaciones que deben cumplir los requisitos normativos para comprender la eficacia de los controles internos de seguridad informática de terceros. Por eso, las herramientas de calificación de riesgos de ciberseguridad suelen complementar soluciones más completas para evaluar el riesgo de terceros.
| Ventajas de utilizar herramientas de scoring para la gestión de riesgos de terceros | Contras del uso de herramientas de scoring para la gestión de riesgos de terceros |
|---|---|
| Especialistas en ciberriesgos Estas herramientas utilizan diversas fuentes de datos (algunas propias y otras bajo licencia) y metodologías para evaluar la solidez de la ciberseguridad de terceros, asignando puntuaciones en función de sus conclusiones. | Sólo ciberseguridad Las herramientas de calificación del riesgo de ciberseguridad se limitan únicamente al riesgo cibernético, careciendo de una supervisión del riesgo más amplia para los problemas empresariales y financieros, los hallazgos ESG, las infracciones de cumplimiento y sanciones, y las interrupciones operativas. |
| Supervisión y alerta continuas Las herramientas de calificación de riesgos de ciberseguridad ofrecen una supervisión continua de las prácticas de ciberseguridad de terceros y alertan a las organizaciones de los cambios en los niveles de riesgo. | Evaluación limitada basada en cuestionarios La mayoría de las herramientas de clasificación de riesgos de ciberseguridad son incapaces de realizar evaluaciones de controles internos basadas en cuestionarios o tratan las evaluaciones como una ocurrencia posterior a la supervisión, dejando riesgos sin remediar. Se trata de un enfoque no estándar, ya que la mayoría de las organizaciones prefieren realizar primero evaluaciones de los controles internos y luego utilizar soluciones de supervisión externas para validar los datos comunicados por el proveedor. |
| Información basada en datos Las herramientas de puntuación cibernética aprovechan los macrodatos y el aprendizaje automático para proporcionar información práctica y análisis predictivos. | Falsos positivos Las herramientas de clasificación de riesgos de ciberseguridad son conocidas por devolver falsos positivos. Esto puede dificultar que los equipos de riesgos de terceros comprendan adecuadamente los verdaderos riesgos a los que se enfrentan y requerir un tiempo de investigación significativo, distrayendo de importantes actividades de mitigación de riesgos. |
Suites de pago en origen
Las suites Source-to-pay (S2P) abarcan todo el proceso de adquisición, desde la contratación de productos y servicios directos e indirectos hasta el pago. Suelen incluir módulos de gestión de riesgos de terceros como parte de sus amplias capacidades de contratación, junto con funciones de gestión de RFx, gestión del ciclo de vida de los contratos, etc.
| Ventajas del uso de suites Source-to-Pay para la gestión de riesgos de terceros | Contras del uso de suites "Source-to-Pay" para la gestión de riesgos de terceros |
|---|---|
| Aprovisionamiento y gestión de riesgos integrados Las suites S2P integran la gestión de riesgos en el ciclo de vida de la contratación, garantizando que las consideraciones de riesgo se tengan en cuenta en las decisiones de contratación. | Falta de enfoque en terceros Muchas suites S2P ofrecen un módulo complementario para el riesgo de terceros (normalmente adquirido e integrado) y, por lo tanto, suelen carecer de especialización y conocimientos profundos en TPRM, especialmente desde la perspectiva de los riesgos de ciberseguridad. |
| Evaluación e incorporación de proveedores Las suites S2P ofrecen herramientas para evaluar e incorporar proveedores, incluidas evaluaciones de riesgos y comprobaciones de conformidad. | Centradas en las primeras etapas Debido a su uso por parte de los profesionales de compras, las suites S2P a menudo pasan por alto aspectos de riesgo más amplios al centrarse en la contratación, la evaluación inicial y la incorporación de proveedores. Se presta menos atención a otras etapas importantes del ciclo de vida del riesgo de terceros o a las preocupaciones específicas de los equipos de seguridad informática. |
| Gestión de contratos y rendimiento Las suites Source-to-pay ayudan a gestionar los contratos y el rendimiento de los proveedores, incorporando métricas de riesgo y supervisión. | Evaluación de riesgos limitada Las suites S2P ofrecen información sobre riesgos a través de asociaciones con proveedores de datos e inteligencia de riesgos, con la intención de puntuar el riesgo de los proveedores y permitir una mejor toma de decisiones. Sin embargo, el nivel de análisis de riesgos que suelen incluir la mayoría de las suites S2P es insuficiente para la gestión continua de riesgos. |
Las suites S2P son para grandes organizaciones con grandes presupuestos de compras y un enfoque dirigido a las compras que deben gestionar múltiples relaciones con vendedores y proveedores, pero se centran menos en el riesgo.
Plataformas especializadas de gestión de riesgos de terceros
Las plataformas dedicadas a la gestión de riesgos de terceros se especializan en la gestión de riesgos de vendedores y proveedores. Estos proveedores se centran en ofrecer soluciones integrales diseñadas para identificar, evaluar, mitigar y supervisar los riesgos asociados a las relaciones con terceros. Las plataformas TPRM también suelen formar parte de conjuntos más amplios de gobernanza, gestión de riesgos y cumplimiento (GRC) o soluciones de gestión de riesgos empresariales que abordan un amplio conjunto de riesgos tanto dentro como fuera de la empresa.
| Ventajas de utilizar plataformas TPRM para la gestión de riesgos de terceros | Contras del uso de plataformas TPRM para la gestión de riesgos de terceros |
|---|---|
| Especialización El enfoque centrado en el láser de una plataforma TPRM permite una experiencia en profundidad y funcionalidades avanzadas adaptadas a la gestión de riesgos de terceros. | Integración Las plataformas TPRM dedicadas están diseñadas específicamente para gestionar riesgos de terceros, lo que puede requerir la integración con otras herramientas de gestión de riesgos, como suites S2P, plataformas de informes, etc. Consejo: busque soluciones TPRM que cuenten con unabiblioteca de integraciones preintegradas, una API abierta o que formen parte de una solución GRC o ERM más amplia que aborde un conjunto completo de riesgos. |
| Evaluación integral de riesgos Las plataformas TPRM ofrecen amplias capacidades de evaluación de riesgos, incluidas evaluaciones de riesgos de ciberseguridad, financieros, operativos, normativos y de reputación. | Evaluaciones propias o no estandarizadas Tenga cuidado con la personalización excesiva de las evaluaciones de riesgos; esto puede hacer que la comparación y la puntuación de los proveedores sean menos coherentes.Consejo: Busque soluciones TPRM que ofrezcan una amplia biblioteca de plantillas de evaluación estandarizadas. |
| Supervisión continua Los proveedores de TPRM suelen ofrecer mecanismos de supervisión y alerta en tiempo real para realizar un seguimiento del estado del riesgo de terceros y de los cambios entre las evaluaciones periódicas. | Herramientas de supervisión aisladas Algunas plataformas TPRM dedicadas carecen de una supervisión exhaustiva y continua de múltiples tipos de riesgos, además de las amenazas a la ciberseguridad.Consejo: Investigue plataformas totalmente integradas que ofrezcan una integración perfecta entre los resultados de las evaluaciones y los resultados de la supervisión continua. |
| Cobertura del ciclo de vida Las plataformas TPRM suelen especializarse en la evaluación y mitigación de riesgos a lo largo del ciclo de vida de la relación con terceros, desde la contratación y selección hasta la salida y finalización. | Flexibilidad de recursos Para dar cabida a un número creciente de terceros a los que evaluar, las organizaciones pueden necesitar asignar los recursos adecuados.Consejo: Examine las opciones de servicios gestionados o redes de evaluaciones de riesgos completadas para aliviar las limitaciones de recursos. |
Las plataformas TPRM son ideales para organizaciones con múltiples equipos implicados en la gestión de riesgos de terceros. Pueden beneficiarse de inteligencia de riesgos unificada, corrección de riesgos basada en el ciclo de vida y soporte integral para múltiples tipos de riesgo.
Próximos pasos: Elegir el enfoque adecuado para gestionar los riesgos de terceros
La selección del enfoque adecuado de gestión de riesgos de terceros depende de las necesidades específicas de una organización, del panorama de riesgos y de la disponibilidad de recursos.
- Las hojas de cálculo suelen ser fáciles de usar, pero no son escalables ni ofrecen las capacidades analíticas necesarias para evaluar, puntuar o remediar los riesgos de terceros.
- Las herramientas de calificación del riesgo de ciberseguridad se utilizan para priorizar el riesgo de ciberseguridad sobre otras categorías de riesgo.
- Las suites Source-to-pay ofrecen una solución para quienes desean incorporar la gestión de riesgos a sus procesos de contratación.
- Los proveedores dedicados a la gestión del riesgo de terceros ofrecen soluciones especializadas y avanzadas, ideales para organizaciones con una exposición significativa al riesgo de terceros, y a menudo forman parte de soluciones integrales de gestión del riesgo empresarial.
Al comprender los puntos fuertes y las limitaciones de cada enfoque, su organización puede tomar decisiones informadas para gestionar eficazmente sus riesgos de terceros y salvaguardar las operaciones empresariales.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a deshacerse de las hojas de cálculo de una vez por todas e implementar un programa TPRM ágil y completo, descargue nuestra guía inicial 10 pasos para crear un programa de gestión de riesgos de terceros exitoso, o solicite una demostración hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
