Nota del editor: La siguiente entrevista con Brad Hibbert, de Prevalent, se publicó originalmente en el TAG Cyber 2022 Security Annual - 3rd Quarter y se reproduce aquí con autorización.
Han surgido importantes retos de ciberseguridad para los equipos de las empresas, que incluyen preocupaciones operativas y problemas de cumplimiento. Un problema fundamental es que las empresas no pueden esperar una visibilidad perfecta del ecosistema de seguridad de proveedores y socios, lo que genera riesgos para los datos, sistemas y
recursos compartidos.
Prevalent es líder en el suministro de soluciones comerciales para la gestión de riesgos de terceros en materia de seguridad y cumplimiento normativo. TAG Cyber quería saber más sobre cómo esta capacidad de seguridad de terceros podría desplegarse para reducir el riesgo cibernético.
¿Cuáles son algunos de los principales riesgos que experimentan los equipos empresariales con terceros vendedores, proveedores y socios?
Nuestros clientes ven riesgos en seis grandes categorías. En primer lugar, está la ciberseguridad, que incluye los riesgos para los datos y sistemas por intrusiones externas a través de un tercero. A continuación están los riesgos empresariales, como la falta de resistencia de un tercero ante problemas operativos o interrupciones debidas a pandemias o catástrofes naturales. Los riesgos financieros se dan cuando los vendedores y proveedores de terceros experimentan problemas financieros, quiebran o tienen una mala calificación crediticia. Ejemplos de riesgos medioambientales, sociales y de gobernanza (ESG ) son que un proveedor tenga un mal historial medioambiental, sea acusado de utilizar mano de obra ilegal o no practique una gobernanza corporativa eficaz en general. Los riesgos de reputación -comonoticias negativas, retirada de productos, mala conducta de directivos y sanciones- también pueden ser motivo de preocupación. Por último, los riesgos de cumplimiento abarcan aspectos como las conclusiones del GDPR, las auditorías fallidas, el soborno, la corrupción o los problemas éticos. Aunque los riesgos de ciberseguridad y protección de datos son los que más atención suscitan, muchos de los demás tipos de riesgo también tienen un peso normativo.
¿Cómo funciona su plataforma durante el ciclo de vida de la gestión de riesgos de terceros?
Empezamos automatizando el proceso de solicitud de propuestas añadiendo información demográfica, de cuarta parte, ESG, empresarial, de reputación y financiera para ayudar a los equipos de contratación a incorporar inteligencia de riesgos a las decisiones de selección de proveedores y a la diligencia debida previa a la contratación. A continuación, automatizamos la migración de un proveedor seleccionado a la contratación mediante el seguimiento centralizado de todos los contratos y atributos con flujo de trabajo y control de versiones. Una vez seleccionado y contratado un proveedor, emitimos evaluaciones de perfiles y niveles para calcular las puntuaciones de riesgo inherentes. Con estos datos, las empresas pueden clasificar a los proveedores y tomar decisiones sobre el alcance de la diligencia debida adicional.
También ofrecemos una biblioteca con más de 100 plantillas de cuestionarios y encuestas personalizadas para evaluar a terceros en una amplia gama de criterios, desde la seguridad de la información y la privacidad de los datos hasta la solvencia financiera y la ASG. Tomamos las respuestas de estas encuestas y rellenamos un registro central de riesgos que puede utilizarse para ver los riesgos y actuar en consecuencia. También proporcionamos informes por normativa y marcos para simplificar la presentación de los datos, así como gestionar las correcciones hasta un nivel aceptable de riesgo residual.
Dado que pueden ocurrir muchas cosas entre las evaluaciones periódicas, realizamos un seguimiento y análisis continuos de las amenazas observables externamente a proveedores y otros terceros. Ayudamos a las organizaciones mediante cuadros de mando centralizados que gestionan y realizan un seguimiento del cumplimiento de los requisitos contractuales por parte de terceros. Por último, automatizamos las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de una organización de exposición posterior al contrato.
¿Qué papel desempeña la visibilidad en la gestión del riesgo de terceros y cómo optimiza su plataforma dicha visibilidad?
La vieja máxima es cierta: no se puede gestionar lo que no se puede medir. Y yo añadiría: No se puede medir lo que no se puede ver. La visibilidad del riesgo empresarial es el núcleo de nuestra plataforma. Comienza con las adquisiciones -obteniendovisibilidad previa al contrato de riesgos como las finanzas de los proveedores, las violaciones de datos o los problemas de cumplimiento- y se extiende para ofrecer una única plataforma basada en roles que múltiples equipos empresariales pueden utilizar para ver los riesgos que les importan. Lo hacemos a través de paneles e informes personalizados y específicos para cada función.
Díganos más sobre cómo apoya la GTPR mediante el uso de su red de riesgo de proveedores.
Nuestras redes son bibliotecas bajo demanda que contienen miles de informes de riesgo de proveedores que se actualizan continuamente y están respaldados por pruebas. Los clientes utilizan las redes -Exchange, Legal Vendor Network y Healthcare Vendor Network- para dar un impulso a su proceso de diligencia debida con los proveedores, obteniendo acceso inmediato a evaluaciones completas, lo que les ayuda a ampliar sus programas para que puedan dedicar su tiempo y energía a identificar y corregir los riesgos en lugar de acosar a los proveedores.
¿Podría compartir con nosotros algunas ideas sobre el futuro de TPRM en los próximos años?
Vemos que la GTPR avanza hacia mayores niveles de externalización, implicando a más equipos empresariales y tipos de riesgo, así como evolucionando hacia un modelo más continuo y profundizando en determinados sectores verticales. En primer lugar, las empresas dependen de una red cada vez más amplia de terceros, al tiempo que se enfrentan a una creciente red de riesgos geopolíticos, requisitos reglamentarios y amenazas a la ciberseguridad. Por desgracia, la mayoría de las empresas gestionan estos riesgos mediante procesos manuales que ponen más énfasis en la identificación de riesgos que en su corrección. En los próximos años, las organizaciones que traten de ampliar sus programas de gestión de riesgos de las relaciones con terceros se toparán con un obstáculo, lo que les obligará a adoptar enfoques más automatizados y proactivos, como recurrir a empresas externas de externalización de procesos empresariales o a software de gestión de riesgos de las relaciones con terceros específico.
A continuación, las empresas están siendo presionadas por una serie de partes interesadas -incluidos reguladores, inversores y consumidores- para mejorar la visibilidad y la supervisión de su exposición al riesgo de terceros. Aunque las organizaciones pueden empezar centrándose principalmente en las amenazas cibernéticas, verán la necesidad de permitir decisiones basadas en el riesgo mediante la evaluación y supervisión proactivas de un perfil de riesgo más completo en toda la relación con terceros. Esto requerirá la racionalización y armonización de la tecnología, los procesos (flujo de trabajo) y las personas.
Los departamentos y equipos tendrán que tener en cuenta el riesgo en todas las actividades y toma de decisiones, incluidas las actividades que actualmente se centran más en la eficiencia operativa. Los equipos responsables de todo, desde la contratación y la incorporación de nuevos proveedores hasta la gestión de su rendimiento a lo largo del tiempo, seguirán consumiendo información sobre riesgos procedente de fuentes de datos similares (por ejemplo, un perfil de riesgo completo) y empezarán a aprovechar la información de sus homólogos para apoyar las negociaciones de contratos y los debates relacionados con sus respectivas líneas de trabajo.
Las empresas también seguirán mejorando los programas de terceros utilizando la integración, la automatización, las redes de inteligencia y los análisis para evaluar y supervisar continuamente sus cadenas de suministro ampliadas de forma más estrecha. Por último, las empresas de determinados sectores verticales seguirán adoptando redes compartidas para acelerar la identificación de riesgos y centrarse más en su corrección. Estas redes de intercambio evolucionarán más allá del intercambio de evaluaciones hacia el intercambio de inteligencia a medida que las empresas y terceros diseñen, adopten y apliquen una comunicación abierta para compartir de forma proactiva información relacionada con la cibernética, el cumplimiento, los incidentes, el rendimiento y más.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
