Interrupciones continuas de la cadena de suministro relacionadas con pandemias. Un número creciente de violaciones de datos dirigidas a terceros. Mayor escrutinio normativo sobre la gobernanza empresarial. Si algo nos han enseñado los últimos 18 meses es que la resistencia y la agilidad son algunas de las cualidades empresariales -y personales- más valoradas. Por lo tanto, dado que muchas organizaciones están planificando actualmente para 2022, ahora es una gran oportunidad para mirar hacia atrás en lo que aprendimos en 2021 para mejorar aún más la agilidad y la resistencia de su programa de gestión de riesgos de terceros.
Basándonos en cientos de conversaciones con clientes y con el sector que hemos mantenido en el último año, a continuación le indicamos lo que creemos que debe esperar en los próximos 12 meses y cómo adaptar sus programas en consecuencia.
Nota del editor: Cinco de las siguientes predicciones se publicaron originalmente en un artículo de VMBlog.com, del que también es autor Brad Hibbert, de Prevalent.
1. El ransomware se convertirá en la principal táctica utilizada en los ataques a la cadena de suministro de software y las violaciones de datos de terceros en 2022.
Después de un año excepcional de ataques de ransomware de alto perfil originados por proveedores de terceros (por ejemplo, Kaseya
y otros), en 2022 habrá más, ya que los ciberdelincuentes siguen perfeccionando sus métodos de ataque, aumentando su sofisticación y siguiendo el dinero. Los principales objetivos incluirán a terceros que suministran bienes y servicios a los sectores de la automoción, la banca mediana y el comercio minorista.
debido al volumen y la importancia de los datos y sistemas a los que tienen acceso.
Las organizaciones harían bien en implantar cadencias proactivas de evaluación de riesgos de eventos y desplegar una cibervigilancia continua y una supervisión de infracciones en 2022 para obtener una imagen de alerta temprana de posibles ataques contra sus ecosistemas de terceros.
Predicción extra: A pesar del aumento de los ataques de ransomware contra organizaciones sanitarias, los ciberdelincuentes adquirirán conciencia en 2022 y dejarán de atacar hospitales debido al riesgo de pérdida de vidas inocentes. Después de todo, hay honor entre ladrones.
2. La gestión del riesgo de terceros va más allá de una casilla de verificación, a pesar de que el cumplimiento es el principal motor organizativo
Aunque muchas organizaciones intentan implantar programas de gestión de riesgos de terceros más sólidos debido a los requisitos de cumplimiento de la seguridad de la información y la privacidad de los datos, todos sabemos que el cumplimiento es solo un umbral mínimo. Las organizaciones pueden cumplir una miríada de normas de ciberseguridad pero seguir expuestas a la resiliencia empresarial y a los riesgos medioambientales, sociales y de gobernanza (ASG), por ejemplo.
Sin embargo, las organizaciones reacias al riesgo irán más allá del cumplimiento de las normas e invertirán en una reducción tangible del riesgo. Los principales factores que impulsarán esta tendencia serán la diferenciación entre sus homólogos a la hora de competir por nuevos negocios y proteger los existentes.
Como muchas normas y marcos de cumplimiento dejan margen para la interpretación y la alineación, los clientes serán cada vez más conscientes de que un certificado no significa estar libre de riesgos y, a su vez, exigirán una mayor comprensión y claridad de las actividades de mitigación de riesgos. Intente ampliar sus esfuerzos de cumplimiento para incluir nuevas áreas de dominio, centrándose no sólo en cumplir el requisito, sino en demostrar la reducción real del riesgo a lo largo del tiempo.
3. Una mayor concienciación de los consejos de administración y de los ejecutivos sobre la gestión de riesgos de terceros significa que se necesitarán mejores indicadores.
Tal vez debido al aumento del número de filtraciones de datos de terceros, a las continuas interrupciones de la cadena de suministro relacionadas con pandemias y a la nueva visibilidad reguladora en ESG, la gestión del riesgo de terceros ha sido un tema común entre ejecutivos y consejos de administración.
De cara a 2022, los directivos buscarán mejoras demostrables centradas en la reducción del riesgo para justificar continuamente el gasto de la gestión del riesgo de terceros. Esto significará un enfoque renovado en las métricas que describen una imagen significativa del riesgo de terceros. Los programas de terceros se medirán en función de su capacidad para demostrar la corrección de riesgos y el progreso ético sin obstaculizar las operaciones comerciales estándar, al tiempo que demuestran el control de costes y la eficiencia. Esto requerirá que sus informes evolucionen más allá de cuántas evaluaciones ha completado hasta cuánto riesgo ha eliminado del negocio.
4. Algunas actividades relacionadas con terceros realizadas por los departamentos de compras, jurídico, de gestión de riesgos y de seguridad de la información convergerán hacia la gestión del ciclo de vida de los proveedores.
A lo largo de 2021, hemos asistido a una convergencia gradual pero constante de los equipos relacionados con terceros en un flujo de trabajo consolidado. Estos equipos, responsables de todo, desde la contratación
e incorporación
Estos equipos -responsables de todo, desde la contratación e incorporación de nuevos proveedores hasta la gestión de su rendimiento a lo largo del tiempo- seguirán consumiendo información sobre riesgos de fuentes de datos similares y empezarán a aprovechar la información de sus homólogos para apoyar las negociaciones de contratos y los debates relacionados con sus respectivos flujos de trabajo. Cada equipo seguirá desempeñando un papel clave en el ciclo de vida de los terceros, y la conectividad entre los sistemas agilizará el proceso para apoyar una incorporación y exclusión eficientes.
Esto dará sus frutos en 2022, ya que tanto los terceros como la empresa se beneficiarán de un proceso simplificado y unificado con menos repeticiones. Para adaptarse a esta tendencia, examine sus flujos de trabajo y datos existentes para determinar si pueden ser utilizados por múltiples partes interesadas.
y datos existentes para determinar si pueden ser utilizados por múltiples partes interesadas.
5. Mayor atención a la selección de proveedores y a la diligencia precontractual
Los programas de gestión de riesgos de terceros siguen tratando de ponerse al día con los contratos heredados que no cuentan con suficientes cláusulas basadas en el riesgo ni con la debida diligencia sobre su postura de riesgo antes de la firma. En lugar de apresurarse reactivamente a subsanar las deficiencias, en 2022 se adoptará un enfoque más pragmático para determinar de antemano el riesgo planteado por un tercero y, lo que es más importante, para situar la corrección y la resolución como obligaciones necesarias para garantizar un contrato.
La información de fácil acceso sobre el rendimiento de terceros a través del ciberescaneo pasivo, la correlación de eventos empresariales, los eventos de infracción, las comparaciones ESG y las puntuaciones financieras ofrecerán una imagen significativa incluso antes de enviar una evaluación de terceros y seguirán justificando el gasto en el proceso de negociación. Examine cómo está realizando la diligencia debida previa al contrato, haga un inventario de sus fuentes de datos y considere cómo va a cerrar esas brechas de inteligencia.
6. Mayor atención a las dimensiones de riesgo no relacionadas con la seguridad informática, incluidas la ASG, la salud y la seguridad, la diversidad y la ética.
Aunque los aspectos ASG y éticos han sido a menudo adiciones a los contratos (de hecho, menos de la mitad de las empresas hacen un seguimiento activo de estos riesgos), la mayor disponibilidad de conjuntos de datos e informes está permitiendo a las organizaciones responsabilizar más a terceros en estos ámbitos. A medida que el renovado interés de los consumidores y los pares impulsa el aprovisionamiento ético, los ejecutivos esperan cada vez más un proceso más sólido con métricas significativas para demostrar el progreso.
De cara a 2022, el aprovisionamiento ético se integrará cada vez más en el flujo de trabajo de evaluación y revisión, en lugar de tomarse al pie de la letra. Los terceros desempeñan un papel notable a la hora de demostrar un cambio factible en la ética de la empresa, lo que será una herramienta cada vez más comercializable. Para abordar esta tendencia en 2022, eche un vistazo a cómo está evaluando a sus terceros. ¿Puede el valor de la marca de su empresa resistir un golpe a su reputación si un proveedor incumple sus obligaciones éticas?
7. Mayor énfasis en el seguimiento y el cumplimiento de las obligaciones posteriores al contrato (por ejemplo, KRI y SLA).
Como complemento a nuestra predicción anterior sobre el aumento de la diligencia debida previa al contrato, en 2022 se hará mayor hincapié en el rendimiento posterior al contrato. La gestión de las relaciones con los proveedores a lo largo del ciclo de vida de un proveedor ha estado históricamente asociada a los equipos de proyecto y a los patrocinadores empresariales, que a menudo están demasiado ocupados para consolidar los hallazgos y las preocupaciones en una ubicación centralizada. Esto da lugar a que el "conocimiento tribal" del rendimiento de terceros se disperse por toda la empresa y se pierda a medida que los equipos migran.
En 2022 se prestará más atención a la coherencia y la centralización de la gestión iterativa del rendimiento de los proveedores. Esto se verá impulsado por las ventajas que proporciona, como herramientas y palancas de negociación eficaces, así como la visibilidad del riesgo de resiliencia/seguridad asociada a los hallazgos. En general, las organizaciones deben adaptar sus programas de gestión de riesgos de terceros para abordar el riesgo en cada etapa del ciclo de vida del proveedor, no sólo en la incorporación o una vez al año en la renovación.
8. Mayor apertura al uso de servicios gestionados para aumentar los equipos internos y permitir la ampliación más allá de los proveedores de TI de primer nivel.
A medida que las expectativas de los programas de gestión de riesgos de terceros evolucionan con la convergencia de múltiples audiencias y criterios de riesgo organizativo que gestionar, el esfuerzo asociado aumenta y la experiencia en la materia se vuelve más escasa. Los nuevos riesgos implican que la seguridad de la información ya no es el único juego en la ciudad. Sin embargo, esta experiencia no siempre está disponible en la empresa, ni tampoco los mecanismos o recursos para capturar y documentar adecuadamente los riesgos. En consecuencia, cada vez más equipos de gestión de riesgos de terceros están identificando con sensatez sus lagunas de conocimientos y recursos, y considerarán la posibilidad de contratar más servicios externos para enriquecer sus programas.
De cara a 2022, realice una evaluación interna de competencias y recursos para determinar si la externalización de parte de su programa de gestión de riesgos de terceros permitirá a su equipo acelerar sus esfuerzos de reducción de riesgos. Los clientes de Prevalent, por ejemplo, afirman haber reducido su trabajo manual en un 50 %, acelerado la identificación de riesgos en un 44 % y mejorado la productividad de su equipo entre 3 y 4 veces al aprovechar los servicios gestionados.
9. Será necesario un análisis más profundo para determinar las necesidades de evaluación de riesgos de la organización.
A medida que los proveedores sigan enfrentándose al molesto requisito de articular la misma información de diferentes maneras, los que se puedan permitir el lujo de negarse lo harán cada vez más. En su lugar, los terceros ofrecerán materiales precumplimentados, como informes ISO o SOC II, que presionarán a las organizaciones para que realicen análisis más profundos y los adapten a sus necesidades internas.
Si bien esto puede parecer perjudicial si no se alinea con su programa de gestión de riesgos de terceros, hay una ventaja oculta en que el tercero probablemente ha invertido proporcionalmente más esfuerzo en la creación de respuestas y artefactos de calidad. El reto en 2022, por tanto, será traducir estos materiales más sólidos a la estructura preferida para permitir un verdadero análisis de los controles. Busque soluciones que permitan mapeos automatizados de controles de riesgo para satisfacer múltiples requisitos.
10. Algunas organizaciones ampliarán sus programas de GTPR para incluir los riesgos de la 4ª y la 5ª parte.
A medida que los programas de gestión de riesgos de terceros siguen luchando por el control de sus patrimonios de terceros, algunas organizaciones están empezando a ir más allá de los terceros al considerar los riesgos que plantean sus terceros. Esta evolución requerirá un cambio de una visión centrada en el cumplimiento a otra más orientada al riesgo.
En 2022, las mejoras tecnológicas y la mayor confianza y concienciación sobre la cadena de suministro en sentido amplio significan que se convertirá en norma evaluar a las cuartas partes anteriores y, como mínimo, considerar su posible impacto si se produjera una interrupción. Las organizaciones deben estar preparadas para construir un mapa de relaciones que muestre visualmente las interconexiones y los flujos de datos en sus ecosistemas de proveedores.
Prepare su programa PMRT para 2022
Investigar estas 10 tendencias principales situará su programa TPRM sobre una base sólida para 2022 y más allá, y le garantizará que se mantiene ágil y preparado para lo que viene. Para empezar, regístrese para una evaluación gratuita de la madurez del programa TPRM. El resultado de esta evaluación le indicará los pasos que debe dar para mejorar su programa. O póngase en contacto con nosotros para una sesión estratégica hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
