Renovación de la gestión de riesgos de terceros en 2021: Parte I

Si tuviéramos que describir el año 2020 con una sola palabra, esa palabra sería «imprevisible». Sin duda, este ha sido el caso de la gestión de riesgos de terceros, donde muchas estrategias probadas y comprobadas se han quedado obsoletas de repente. A continuación, le mostramos cómo puede aprovechar las lecciones aprendidas durante el año pasado para trazar un mejor rumbo en 2021.

Personal de Mitratech
Personal de Mitratech 11 de diciembre de 2020 7 min leer

Cuando recopilamos nuestras predicciones sobre la gestión de riesgos de terceros para 2020, no se mencionaban las pandemias, la resiliencia empresarial, los fallos en la cadena de suministro ni siquiera el distanciamiento social. Nuestra bola de cristal nos falló.

Sin duda, el año 2020 cambió la forma en que los profesionales de la gestión de riesgos de terceros realizaban su trabajo. Y no necesitamos una bola de cristal para saber que la pandemia seguirá afectando a las cadenas de suministro durante el próximo año. Si su actual manual de TPRM no se centra en la resiliencia de la cadena de suministro, tal vez sea el momento de desecharlo y redactar uno nuevo.

Nuestros expertos se han reunido para elaborar ocho predicciones que le ayudarán a adelantarse a los acontecimientos. Comenzaremos con las cuatro primeras en esta publicación y completaremos la lista con la segunda parte la semana que viene.

#1. La inteligencia de terceros revelará los riesgos a lo largo del ciclo de vida del proveedor.

El año 2020 fue testigo de una serie de fallos en la cadena de suministro provocados por acontecimientos impredecibles. Estos incidentes pusieron de manifiesto que las empresas deben comprender los riesgos en todas las etapas del ciclo de vida de los proveedores, desde la contratación hasta la salida, pasando por todas las fases intermedias.

En 2021, los profesionales del riesgo de terceros deberán ampliar su visibilidad buscando información sobre el riesgo en varios hitos clave a lo largo de la relación con el proveedor:

  • Abastecimiento y selección: comprobar la reputación y el historial crediticio de un posible proveedor puede revelar si cumple con sus compromisos financieros y con sus clientes. Esta información también puede indicar si será capaz de hacer frente a cambios repentinos en la demanda y si tiene la capacidad financiera necesaria para superar las crisis económicas.
  • Admisión e incorporación: incorporar a un proveedor requiere analizar aún más a fondo su riesgo potencial. Por eso, los programas sólidos de TPRM crean perfiles de riesgo completos que incluyen cuestiones de ciberseguridad, legales, sanciones y/o cumplimiento normativo para cada proveedor. La clave aquí es ser proactivo y empezar a medir el riesgo desde el primer día de la relación con el proveedor.
  • Priorización y puntuación: los diferentes tipos de proveedores conllevan diferentes niveles de riesgo, por lo que una clasificación y categorización eficaz de los proveedores puede ser la clave para crear un programa de TPRM sostenible. Las métricas de riesgo inherente pueden ayudarle no solo a evaluar la probabilidad y el impacto de los incidentes de seguridad y cumplimiento, sino también a determinar el nivel de diligencia debida requerido para cada uno de sus proveedores.
  • Evaluación y supervisión: al realizar evaluaciones de controles internos, puede arrojar luz sobre las prácticas de ciberseguridad y gobernanza de los proveedores y activar medidas correctivas cuando sea necesario. Pero las evaluaciones internas solo muestran la mitad de la historia. Aún es necesario validar las respuestas de los proveedores, verificar las medidas correctivas y descubrir los riesgos entre evaluaciones. Ahí es donde la supervisión continua de riesgos puede ayudar. Las soluciones que combinan la supervisión cibernética de la web pública, privada y oscura con la supervisión empresarial y financiera proporcionarán la información más completa sobre los riesgos de los proveedores.
  • Informes y gestión: la información de terceros solo tiene valor si se puede comprender y actuar en consecuencia para reducir el riesgo y fortalecer las relaciones con los proveedores. La elaboración de informes eficaces permite a múltiples partes interesadas colaborar para reducir la exposición y garantizar el cumplimiento. También puede proporcionar información sobre el rendimiento de los proveedores y el cumplimiento de los contratos para informar las negociaciones de adquisición y renovación. Las mejores soluciones de TPRM ofrecen todo esto a través de un único panel.

#2. La medición del riesgo de los proveedores se ampliará más allá de la ciberseguridad.

El riesgo de los proveedores no se limita a las amenazas de ciberseguridad, sino que existen otros factores de riesgo que afectan a la capacidad de un proveedor para suministrar sus productos y servicios.

Por ejemplo, ¿tus proveedores son estables financieramente? ¿Pagan sus facturas a tiempo? ¿Cómo manejan las interrupciones operativas causadas por desastres naturales y emergencias sanitarias? ¿Cómo podrían sus violaciones éticas o de sostenibilidad amenazar la marca o la reputación de tu organización?

Para realizar un análisis más completo del riesgo de los proveedores, le recomendamos que añada estas clases de riesgo a sus iniciativas de supervisión en 2021:

  • Riesgo operativo: los cambios en el liderazgo, la reestructuración y las actividades de fusiones y adquisiciones pueden indicar cambios estratégicos, mientras que las actualizaciones de socios/fabricantes de equipos originales pueden indicar aumentos de precios y otros cambios.
  • Riesgo de marca: Las retiradas de productos, las violaciones de datos y otros incidentes pueden dar lugar a relaciones públicas negativas.
  • Riesgo normativo y jurídico: Las sanciones internacionales, las demandas colectivas y las infracciones de las normas reglamentarias pueden provocar retrasos considerables en la entrega de productos y servicios.
  • Riesgo financiero : Los procedimientos de quiebra y la pérdida de ingresos pueden dar lugar a la reestructuración y la interrupción de las ofertas de determinados proveedores.

Una plataforma TPRM unificada puede ayudar a normalizar, correlacionar y analizar estos datos de supervisión con los resultados de las evaluaciones de ciberseguridad.

#3. El aprendizaje automático y el análisis del comportamiento finalmente estarán a la altura de las expectativas.

Es esencial disponer de más datos para respaldar la toma de decisiones, pero ¿qué se hace con todos esos datos? ¿Cómo se priorizan para obtener información significativa? Ahí es donde entran en juego el aprendizaje automático y el análisis del comportamiento. El análisis del comportamiento combina el aprendizaje automático con la detección de anomalías para predecir, identificar y gestionar eventos de baja probabilidad y alto impacto, como comportamientos poco éticos o fraudulentos.

En 2021, se convertirá en la norma consolidar grandes cantidades de datos en vistas únicas. El resultado serán fuentes de inteligencia que permitirán tomar medidas más significativas y fundamentadas. Una de las aplicaciones será aprovechar el análisis del comportamiento para detectar riesgos atípicos. Por ejemplo, los equipos de seguridad y riesgos podrían utilizar los conocimientos obtenidos mediante el aprendizaje automático para asociar los anuncios de despidos de proveedores con un mayor riesgo interno, o correlacionar las bajas puntuaciones financieras con menores inversiones en ciberseguridad. Este tipo de análisis contextual permitirá a las organizaciones anticiparse y abordar las amenazas de forma más proactiva.

#4. Las ventajas de la gestión de riesgos de terceros se extenderán a toda la empresa.

La gestión de riesgos de terceros va más allá de las evaluaciones de ciberseguridad, y el TPRM puede beneficiar a varios equipos fuera del ámbito de la seguridad informática. Por ejemplo, según la encuesta global de EY sobre TPRM 2019-20, el 26 % de los encuestados indicó que el departamento de compras tiene la responsabilidad principal sobre la gestión de riesgos de terceros.

Estas son algunas de las funciones que se beneficiarán de la gestión de riesgos de terceros en 2021:

  • Los responsables de compras pueden reforzar la diligencia debida previa a la contratación con información sobre las prácticas de seguridad, cumplimiento normativo, ética y sostenibilidad de los proveedores. También pueden aportar datos para las negociaciones de renovación con información sobre los acuerdos de nivel de servicio (SLA) y métricas de rendimiento. Al centralizar todos los datos de los proveedores, las plataformas TPRM también facilitan la gestión, renovación y rescisión de contratos.
  • La seguridad informática puede determinar si los proveedores mantienen los controles y procesos necesarios para mitigar los riesgos de violación de datos.
  • Los gestores de riesgos pueden correlacionar y analizar datos sobre riesgos de proveedores procedentes de diversas fuentes, al tiempo que coordinan iniciativas de reducción de riesgos entre los distintos departamentos internos.
  • Los equipos jurídicos pueden revisar los datos de supervisión y rendimiento para informar sobre los términos del contrato, al tiempo que obtienen los informes que necesitan para demostrar el cumplimiento normativo.
  • Los auditores pueden garantizar que la empresa funcione de manera eficaz y con integridad, incluso en sus relaciones con terceros.
  • Los ejecutivos obtienen análisis y reportes claros que les ayudan a tomar decisiones mejor informadas y basadas en el riesgo para asegurar la continuidad del negocio.

La solución TPRM adecuada puede unir a estos equipos al proporcionar un lugar centralizado para crear y gestionar perfiles de proveedores, acceder a información correlacionada sobre riesgos cibernéticos, comerciales y financieros, y colaborar con los proveedores para reducir el riesgo en cada etapa.

Próximos pasos para la planificación del TPRM de 2021

Estén atentos a las cuatro predicciones adicionales que se publicarán la próxima semana. Mientras tanto, adelántese en su plan de TPRM para 2021 con nuestra guía de mejores prácticas, Navegando por el ciclo de vida del riesgo de los proveedores: claves para el éxito en cada etapa, o evalúe su programa utilizando nuestra calculadora de evaluación de riesgos en línea.

¿Quiere saber cómo Prevalent puede ayudarle a abordar sus retos específicos en materia de TPRM? Solicite una demostración personalizada.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.