La semana pasada compartimos el primer lote de seis predicciones para 2020 de nuestro equipo de expertos en gestión de riesgos de terceros: Brad Hibbert, director de operaciones y director de seguridad; Alastair Parr, vicepresidente sénior de productos y entrega globales, y Brenda Ferraro, vicepresidenta de riesgos de terceros. No se pierda esa publicación para conocer los peligros de la financiación; el papel en constante cambio del gestor de proveedores; la evolución más allá del cumplimiento normativo y las evaluaciones puntuales; el auge de la analítica avanzada; y la mercantilización de las herramientas de servicios de calificación de seguridad.
¿Qué más nos depara el futuro? ¡Sigue leyendo para conocer las predicciones 7-12!
7. ¡Privacidad, privacidad, privacidad!
El año 2020 traerá consigo una mayor atención a la privacidad de los datos, especialmente en los Estados Unidos, donde existe la posibilidad de que se aprueben más de 50 leyes diferentes similares al RGPD, lo que creará un complejo mosaico de requisitos normativos con los que deberán lidiar las organizaciones y sus terceros. El RGPD tendrá un segundo año completo para asimilarse. La CCPA entrará en vigor el 1 de enero. Además, existe la NY SHIELD y, a principios de este año, se publicó una ampliación de las normas ISO 27001 e ISO 27002 para abordar específicamente los riesgos asociados a la privacidad. La creciente complejidad empujará a los reguladores federales y al Congreso a redactar un marco consensuado para abordar la privacidad y la protección de datos en todo el país. Nuestra predicción es que lo que hizo el NIST con el Marco de Ciberseguridad (es decir, aprovechar las mejores prácticas existentes para crear una nueva norma de ciberseguridad) lo volverá a hacer para la privacidad y la protección de los datos. Un cambio de administración podría ayudar a que esto avance más rápidamente.
8. El intercambio de pruebas avanza hacia un verdadero modelo comunitario
El concepto de intercambio de pruebas no es nuevo. Implica permitir a los profesionales del riesgo centrar los recursos en remediar los problemas de riesgo y cumplimiento aprovechando un repositorio de cuestionarios completados por los proveedores y una supervisión continua. Este concepto de «recopilar una vez, compartir muchas veces» permite a los programas de riesgo agilizar los procesos y ampliar la cobertura del programa. Hoy en día, muchas redes se centran en la recopilación de pruebas iniciada por clientes que desean evaluar a sus proveedores con reevaluaciones realizadas anualmente. Durante los próximos 24 meses, esperamos observar la siguiente actividad entre las comunidades de redes compartidas:
- Los beneficios obtenidos gracias a las redes de intercambio de información, junto con las organizaciones y comunidades que ensalzan dichos beneficios, seguirán impulsando la adhesión de nuevos miembros.
- La adopción de redes verticalizadas seguirá expandiéndose, proporcionando información específica del sector en términos de evaluaciones basadas en controles específicos y participación específica de miembros/proveedores.
- Las redes de intercambio madurarán más allá del intercambio de datos de evaluación completos para incluir el intercambio proactivo de información sobre el rendimiento de los proveedores, eventos, satisfacción y otros datos relevantes que puedan beneficiar a otros miembros.
- Las redes de intercambio comenzarán a proporcionar más información agregada, comparativa y analítica para automatizar y optimizar los procesos de riesgo de los proveedores.
- Las redes de intercambio buscarán pasar de evaluaciones puntuales a un modelo de intercambio más proactivo y gradual que facilite las interacciones continuas tanto entre los miembros como entre estos y los proveedores participantes.
9. Los proveedores pasan a la ofensiva
Las organizaciones comenzarán gradualmente a trabajar juntas para mejorar la eficiencia y reducir los costes, ya sea internamente a lo largo de la cadena del ciclo de vida de terceros, o externamente con sus homólogos en sectores verticales para combatir la mentalidad de «nosotros contra ellos». El riesgo y la gobernanza de terceros seguirán estando segmentados entre las organizaciones que intentan hacer mella en sus engorrosas cadenas de suministro y las que presionan para lograr una mayor madurez e integración.
Las herramientas y capacidades para recopilar datos cuantitativos de terceros seguirán proliferando, con la facilidad de uso y la automatización a la vanguardia. Esto dará lugar a un aumento de las organizaciones que solicitan y recopilan información sobre riesgos de terceros a través de la tecnología. Esto supondrá un reto logístico cada vez mayor para los terceros, que presentan la misma información de diferentes maneras en distintas plataformas a lo largo del año.
Los proveedores responden a estas docenas, o incluso cientos, de evaluaciones cada año. Aunque muchas organizaciones pueden contar con un programa de gestión de riesgos de terceros para sus proveedores, la mayoría realiza sus propias evaluaciones de forma ad hoc y manual. De hecho, muchos proveedores responden a las encuestas, pero no disponen de las herramientas ni la visibilidad necesarias para comprender cómo las evaluaciones pueden ayudarles a priorizar de forma proactiva sus propias actividades de corrección internas para reforzar su postura en materia de seguridad y cumplimiento.
Cada vez más, vemos que los proveedores solicitan subir sus pruebas de forma proactiva. Quieren subir, publicar y actualizar sus pruebas en un solo lugar que luego puedan compartir con todos sus clientes. Esperamos que la adopción y la madurez de los portales de proveedores sigan aumentando durante los próximos 12-24 meses, lo que permitirá tanto a los clientes como a los proveedores agilizar los procesos y, en última instancia, compartir los costes del programa.
10. Un poco de personalización puede dar muy buenos resultados.
El año que viene, las organizaciones de gestión de riesgos de terceros seguirán reaccionando ofreciendo servicios basados en redes dirigidos a terceros, pero recibirán críticas por parte de los auditores y los responsables de riesgos, que entienden que una evaluación o un perfil fijos aportan un valor limitado. Por lo tanto, veremos cómo las organizaciones y los proveedores avanzan hacia un modelo híbrido, aprovechando el contenido preconfigurado y las adiciones personalizadas para ofrecer cierta eficiencia.
11. Mayor uso de datos de perfiles (más fuentes de más aplicaciones significa mejor inteligencia)
En el caso de las organizaciones que han establecido procesos y una buena visibilidad de sus activos de terceros, ya sea por obligaciones normativas o por una buena planificación y ejecución, veremos una ampliación de los datos de perfilado y la capacidad de generación de informes. Las organizaciones maduras aprovecharán las fuentes de múltiples sistemas y capacidades para enriquecer sus perfiles de terceros, cubriendo toda la gama de supervisión de amenazas, datos de evaluación, datos de riesgo empresarial y cumplimiento legal. Esto respaldará al equipo más amplio dedicado al ciclo de vida del riesgo de terceros y permitirá obtener respuestas más informadas. Además, las organizaciones maduras tratarán de obtener una mayor comprensión de los enormes volúmenes de datos que han agregado con herramientas de generación de informes inteligentes más alineadas con el análisis de big data.
12. Del riesgo parcial conocido al riesgo real
¡El riesgo real no significa que no hayamos identificado los riesgos ni aplicado las prácticas adecuadas de mitigación de riesgos al utilizar un enfoque de confianza y verificación! Sin embargo, muchos profesionales han redactado sus políticas de gestión de terceros para centrar la comprensión del riesgo en la evaluación de los estándares de control cumplidos o incumplidos. Por lo tanto, el enfoque en la corrección de riesgos se ha dedicado históricamente a mitigar los estándares de control incumplidos, lo que puede centrar la atención en lo que se denomina riesgo parcialmente conocido.
Por ejemplo, cuando se utiliza un informe de inteligencia sobre amenazas para identificar factores de riesgo de inteligencia de código abierto, es fundamental configurar umbrales contextuales y definir el alcance de la participación para comprender mejor los riesgos que importan. Cuando se utilizan cuestionarios y documentos oficiales para identificar riesgos, la evaluación requiere que se preste atención tanto a las respuestas afirmativas como a las negativas.
El riesgo real se da cuando la técnica de evaluación presta atención tanto a las respuestas afirmativas como a las negativas y se identifica el nivel de madurez de la concienciación sobre el riesgo en cada respuesta afirmativa. Al fin y al cabo, no todas las respuestas afirmativas son iguales. Aplicar la disposición al riesgo sobre una concienciación parcial del riesgo puede dejar a las empresas en una situación vulnerable al confiar en la postura de madurez estándar del control con una simple respuesta afirmativa. En 2020 se observará un cambio notable, pasando de centrarse en remediar las respuestas negativas a identificar la madurez de las respuestas afirmativas para el riesgo real y una mayor madurez en materia de resiliencia.
Póngase en contacto con nosotros hoy mismo para obtener más información sobre cómo Prevalent puede ayudarle a desarrollar y madurar su programa de gestión de riesgos de terceros.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
