Las relaciones con terceros son cada vez más noticia. Y no por buenas razones. Aumentan las filtraciones de datos relacionados con terceros, las cadenas de suministro siguen tensionadas por cuestiones geopolíticas y laborales, y sigue habiendo problemas para retener al personal que satisfaga las necesidades de la organización.
Mientras cerramos 2023 en un clima económico complicado, es vital que los equipos de gestión de riesgos de terceros planifiquen cómo abordar sus riesgos más significativos. Según nuestro análisis, los riesgos más importantes de los que preocuparse en el nuevo año son:
- Riesgo de ciberseguridad
- Riesgo para la reputación
- Riesgo de continuidad de la actividad
- Riesgo de seguridad y fiabilidad
- Riesgo medioambiental, social y de gobernanza
- Soborno y corrupción
Esta entrada del blog tratará sobre estos riesgos principales para terceros y proporcionará contexto sobre por qué son importantes, especialmente ahora que entramos en el nuevo año.
Riesgo de ciberseguridad de los proveedores
El riesgo de ciberseguridad de terceros se define como una exposición potencial a la confidencialidad, integridad o disponibilidad de la infraestructura y los datos de TI que una organización asume por trabajar con terceros, ya sean vendedores, proveedores u otros socios comerciales. A menudo se confunde con la gestión de riesgos de proveedores de TI -que suele "pertenecer" al equipo de seguridad de la información-, pero está empezando a considerarse un riesgo empresarial más estratégico y está ganando atención más allá de los equipos de TI y seguridad. De hecho, según Proofpoint, los miembros de los consejos de administración prestan más atención que nunca a la ciberseguridad.
Algunos de los riesgos más importantes a los que se enfrentan las cadenas de suministro del siglo XXI son las violaciones de datos y otros incidentes cibernéticos. Estos incidentes pueden poner en peligro a los proveedores, a sus clientes e incluso a los clientes de sus clientes. En muchos casos, las grandes empresas cuentan con sólidos programas de ciberseguridad, pero éstos no siempre se extienden a las organizaciones de terceros que pueden tener conocimientos y capacidades de ciberseguridad sustancialmente menores. Por lo tanto, las empresas más grandes con los programas de seguridad más sólidos seguirán enfrentándose a posibles riesgos de proveedores más pequeños que probablemente no dispongan de los mismos recursos para dedicar a la protección de datos críticos.
Nuestro reciente estudio valida el riesgo de ciberseguridad inherente a la cadena de suministro, ya que el 41% de las empresas experimentaron una violación de datos de terceros impactante en los últimos 12 meses. El hackeo de la transferencia de archivos MOVEit es un ejemplo de ello. La vulnerabilidad se reveló por primera vez en mayo de 2023, y más de 1.000 empresas y más de 60 millones de personas se vieron afectadas a finales de septiembre. El impacto total de las violaciones de datos resultantes de esta vulnerabilidad aún no se conoce realmente, y probablemente no se conocerá hasta dentro de varios meses. A pesar de ello, nunca se insistirá lo suficiente en el número de organizaciones que se han visto afectadas por esta vulnerabilidad.
El riesgo de ciberseguridad de terceros no solo implica violaciones de datos. También hay ataques a la cadena de suministro de software, como la vulnerabilidad Log4Shell de diciembre de 2021, que desencadenó un esfuerzo masivo de aplicación de parches en todos los sectores, y la brecha de SolarWinds de 2020, en la que los piratas informáticos comprometieron la base de código de la empresa para instalar puertas traseras en miles de organizaciones. Más recientemente, el día cero de Citrix NetScaler tuvo el potencial de afectar a miles de organizaciones con un fallo de ejecución remota de código.
Otros riesgos de ciberseguridad a tener en cuenta en 2024 son:
- Credenciales robadas : en muchos casos, los ciberdelincuentes no roban datos directamente cuando explotan las cuentas de correo electrónico o las redes de una empresa. En su lugar, venden nombres de usuario y contraseñas comprometidos en la red oscura a cambio de Bitcoin u otra criptomoneda. Según algunas estimaciones, hay más de 24.000 millones de credenciales robadas disponibles en la red oscura. El robo de credenciales reduce el riesgo para los ciberdelincuentes, ya que pueden monetizar inmediatamente los datos extraídos sin necesidad de entrar en cuentas individuales. Para los grupos que actúan como intermediarios de acceso inicial, la filtración de nombres de usuario y contraseñas es la forma de ganar dinero.
- Acceso virtual a TI : las organizaciones suelen proporcionar a los proveedores acceso a determinados sistemas para facilitar servicios o transacciones. Esto es común no sólo para los proveedores de servicios gestionados y otros subcontratistas de procesos empresariales, sino también para los proveedores que desean utilizar el sistema de cuentas por pagar para presentar facturas. También es uno de los puntos de entrada más deseables para los actores de amenazas y es probable que esté detrás de un reciente aumento de los ataques contra proveedores de servicios gestionados.
- Complejidad normativa y de cumplimiento - Según un estudio reciente de Prevalent, el 60% de las organizaciones se enfrentan a un mayor escrutinio normativo. Numerosos requisitos de cumplimiento abordan el riesgo de ciberseguridad de terceros. Regulaciones como HIPAA, CMMC, GDPR, CCPA y otras crean controles directos sobre cómo las organizaciones pueden compartir datos o proporcionar acceso de terceros a los datos. No entender y cumplir con los requisitos de cumplimiento puede causar enormes problemas legales, regulatorios y de relaciones públicas para las organizaciones.
En 2024, las organizaciones que buscan mitigar los riesgos de ciberseguridad deben revisar qué proveedores tienen acceso a sus sistemas y qué nivel de acceso tienen esos terceros. El principio del menor privilegio se aplica muy bien aquí en términos de proveedores y prestadores de servicios; limitar el acceso solo a lo estrictamente necesario a menudo puede crear suficientes obstáculos para frustrar a los atacantes. Las empresas también deben comprender el riesgo de exposición de sus proveedores con un análisis sólido de sus activos expuestos a Internet. Esto se suma a la comprensión de las políticas de seguridad de sus proveedores y el grado de seguridad de los datos críticos mientras se comparten entre las partes.
Además, las organizaciones deben revisar sus necesidades de cumplimiento normativo y las de sus proveedores para asegurarse de que todos están de acuerdo en qué normativas deben cumplir. El seguimiento de esas normativas y la realización de evaluaciones de riesgos de proveedores con una solución como la que ofrece Prevalent pueden ayudar mucho a comprender con precisión qué nivel de riesgo presenta cada proveedor. A medida que los incidentes de seguridad de terceros continúan, una contabilidad completa del riesgo de ciberseguridad en la cadena de suministro se vuelve cada vez más crítica.
Riesgo para la reputación en la cadena de suministro
Los riesgos para la reputación engloban las amenazas para el nombre, el fondo de comercio o la credibilidad de una empresa que, en última instancia, pueden afectar a sus ingresos. Aunque el riesgo reputacional es difícil de cuantificar y adopta muchas formas -ya sea autoinfligido o procedente de asociaciones empresariales de terceros-, puede provocar interrupciones de la actividad empresarial, multas, sanciones y pérdidas de ingresos tan graves como los riesgos más tangibles.
Los riesgos para la reputación de los proveedores incluyen:
- Fallos en la conducta ética o conclusiones legales y reglamentarias, como cuando se sanciona a un proveedor por utilizar mano de obra infantil ilegal o forzada para producir bienes.
- Hacer negocios con empresas o personas sancionadas, como las que figuran enla lista de la Oficina de Control de Activos Extranjeros (OFAC)del Departamento del Tesoro de Estados Unidos o enla lista de sanciones del Reino Unido.
- Trabajar con una empresa estatal en un país sospechoso de patrocinar el terrorismo, o donde el soborno o la corrupción son habituales.
- Cuando una persona políticamente expuesta (o PEP) que trabaja para un proveedor se ha visto comprometida.
Las noticias negativas o la cobertura adversa en los medios de comunicación de prácticas de contratación poco éticas, problemas de calidad de los productos, actividades delictivas y desastres medioambientales también cuentan como riesgo para la reputación. Estos acontecimientos adversos pueden desencadenar campañas de presión sobre las organizaciones que hacen negocios con el proveedor. El problema es que el riesgo reputacional es nebuloso de controlar y contabilizar, además de difícil de detectar. Además, el impacto de la prensa negativa puede ser difícil de cuantificar en la empresa. A pesar de ello, la reputación de las marcas ha cobrado importancia en los últimos años como reflejo del éxito empresarial.
En respuesta a estos riesgos para la reputación, las organizaciones deben realizar una preselección exhaustiva de los socios de la cadena de suministro que incluya información relacionada con los derechos humanos, la lucha contra el soborno y las prácticas medioambientales. Además de la preselección, deben realizarse evaluaciones periódicas de las mejores prácticas y normativas del sector.
En 2024, las organizaciones también deben considerar la supervisión continua de la reputación. Las fuentes de supervisión deben incluir noticias de proveedores, datos financieros, sanciones, personas políticamente expuestas (PEP), empresas estatales, etc., y ayudarán a detectar acontecimientos importantes. Además, las organizaciones deben ser conscientes de sus"Nth parties". El riesgo no termina con los proveedores. Por eso es importante identificar y visualizar las relaciones entre su organización y las terceras, cuartas y enésimas partes para descubrir dependencias y riesgos.
Por último, es necesario simplificar los informes de cumplimiento. Muchos regímenes normativos exigen que las organizaciones supervisen la actividad en sus cadenas de suministro. El enfoque más rápido y menos complejo para la elaboración de informes de auditoría consiste en asignar automáticamente cualquier evaluación de riesgos de proveedores a cualquier normativa o marco.
Riesgo de continuidad de negocio asociado a terceros
Los riesgos para la continuidad de la cadena de suministro pueden adoptar muchas formas. Por ejemplo, un proveedor clave podría declararse en quiebra y ser incapaz de cumplir sus contratos. De hecho, algunos estudios muestran que el 25% de las empresas se han visto afectadas por la quiebra financiera de un proveedor en el último año.
Las fusiones y adquisiciones también pueden indicar un cambio de estrategia o una consolidación del mercado que podría afectar a la prestación de servicios, los precios o las condiciones contractuales. Además, la rotación de directivos o los problemas legales pueden afectar a la cultura, la estrategia y la capacidad de una organización para cumplir sus objetivos.
Al evaluar a los posibles proveedores, es fundamental conocer la situación financiera de la organización, las obligaciones contractuales existentes y otros factores que podrían impedirles ejecutar eficazmente su contrato. Cuantas menos diligencias debidas se realicen antes de contratar a un proveedor, más probabilidades habrá de que se produzca una interrupción significativa de la actividad empresarial.
Implemente un plan formal y documentado de resiliencia y continuidad del negocio de terceros para gestionar estos riesgos. Los proveedores deben ser evaluados de manera uniforme sobre la base de un conjunto predeterminado de métricas que faciliten la comparación entre proveedores competidores y la identificación de posibles proveedores que puedan tener dificultades para cumplir sus obligaciones contractuales.
Riesgos de seguridad y fiabilidad para terceros
La seguridad y la fiabilidad son dos aspectos importantes de la gestión de riesgos que tratan de la prevención y mitigación de posibles peligros y fallos que puedan afectar al rendimiento, la calidad o la funcionalidad de un producto, sistema o proceso. La seguridad y la fiabilidad suelen ser conceptos relacionados, pero no idénticos. La seguridad se centra en la protección de las personas, los bienes y el medio ambiente frente a posibles daños, mientras que la fiabilidad se centra en la probabilidad de que un producto, sistema o proceso cumpla su función prevista en condiciones especificadas durante un periodo determinado.
La seguridad y la fiabilidad pueden considerarse una categoría de riesgo a la hora de evaluar las posibles consecuencias y la probabilidad de que se produzcan acontecimientos adversos debido a fallos, errores, defectos o mal funcionamiento de un producto, sistema o proceso. Los riesgos de seguridad y fiabilidad pueden tener un impacto significativo en la satisfacción del cliente, la reputación, el cumplimiento y la rentabilidad de una organización. Por lo tanto, es esencial identificar, evaluar y gestionar los riesgos de seguridad y fiabilidad a lo largo de todo el ciclo de vida del producto, desde el diseño hasta el funcionamiento y la eliminación.
Una de las normas que proporciona un marco para la gestión de riesgos de seguridad y fiabilidad es la ISO 13849-1, que define categorías de seguridad y niveles de rendimiento para las partes de un sistema de control relacionadas con la seguridad. Las categorías de seguridad se basan en la disposición estructural y la fiabilidad de los componentes, mientras que los niveles de rendimiento se basan en la probabilidad de fallos peligrosos y la cobertura de diagnóstico del sistema.
Otra norma que aborda la gestión de riesgos de seguridad y fiabilidad es la IEC 61508, que define los niveles de integridad de seguridad para la seguridad funcional de sistemas eléctricos, electrónicos y electrónicos programables. Los niveles de integridad de la seguridad se basan en la probabilidad de fallo bajo demanda y en la frecuencia media de fallos peligrosos del sistema.
Para los equipos de gestión de riesgos de terceros, esto puede significar hacer preguntas sobre las prácticas generales de seguridad y los programas de mantenimiento de los proveedores clave. Es especialmente importante conocer los riesgos de seguridad en industrias pesadas, como la fabricación, o en el sector de la extracción de recursos, como la minería o el petróleo y el gas. La fiabilidad de la maquinaria también es un factor a tener en cuenta, por lo que es crucial conocer las prácticas de mantenimiento. Comprender estas prácticas entre los proveedores puede ayudar a las organizaciones a crear planes de contingencia en su flujo de trabajo en caso de que se produzca un evento de seguridad o fiabilidad y se corra el riesgo de interrumpir la cadena de suministro.
Riesgos medioambientales, sociales y de gobernanza (ASG) de los proveedores
Los riesgos medioambientales, sociales y de gobernanza están relacionados con un amplio espectro de conductas empresariales. A menudo, pueden ser difíciles de detectar hasta que llegan a las portadas de los principales sitios de noticias. Para entonces, la reputación de la empresa puede estar ya empañada o en peligro de empañarse. Típicamente denominada "ESG", esta categoría de riesgo incluye:
- E = Medioambiental:Mide e informa sobre los valores y compromisos de la organización en relación con la gestión del mundo natural y el medio ambiente. Incluye la elaboración de informes y el seguimiento de las iniciativas medioambientales de la organización en materia de cambio climático, gestión de residuos, contaminación, uso y agotamiento de recursos, gases de efecto invernadero, etc.
- S = Social:Mide e informa sobre los valores y compromisos de la organización en relación con el trato a las personas. Esto incluye las relaciones con empleados y clientes/socios, los derechos humanos (por ejemplo, la lucha contra la esclavitud), la diversidad y la inclusión, la lucha contra el acoso y la discriminación, la privacidad de las personas (tanto empleados como terceros), las condiciones de trabajo y las normas laborales (por ejemplo, el trabajo infantil, el trabajo forzado, la salud y la seguridad), y la forma en que la empresa participa y retribuye a la sociedad y a las comunidades en las que opera.
- G = Gobernanza: Mide e informa sobre la cultura y los comportamientos de la organización en contexto y alineación con sus valores y compromiso. Esto incluye estrategias financieras y fiscales, denuncia de irregularidades y notificación de problemas, resistencia, lucha contra el soborno y la corrupción, seguridad, diversidad y estructura del consejo de administración/ejecutivo, y transparencia y rendición de cuentas en general.
Los riesgos ASG están aumentando a medida que las empresas se enfrentan a un mayor escrutinio por parte de reguladores, auditores y consumidores. Los riesgos medioambientales incluyen el cambio climático y la forma en que las empresas planean tener en cuenta los cambios en los patrones meteorológicos y las catástrofes naturales. También se presta más atención a las "sustancias químicas para siempre", como los PFAS, además de otros riesgos relacionados con el clima.
La gestión de los ASG va unida al riesgo y al cumplimiento. Una supervisión adecuada de los ASG requiere experiencia en la gestión de riesgos de terceros y el cumplimiento de la normativa asociada. Las responsabilidades ASG de las empresas y la gestión del riesgo de terceros se entrecruzan en gran medida debido a la complejidad de las cadenas de suministro modernas.
La presión reguladora también va en aumento. La Comisión del Mercado de Valores de Estados Unidos (SEC)propuso normasque exigen "determinada información relacionada con el clima en sus declaraciones de registro e informes anuales", incluidas "las cadenas de valor ascendentes y descendentes". El Parlamento de la Unión Europea (UE)presentó mandatospara que las empresas de la UE "identifiquen y, cuando sea necesario, prevengan, pongan fin o mitiguen los impactos adversos de sus actividades sobre los derechos humanos, como el trabajo infantil y la explotación de los trabajadores, y sobre el medio ambiente, por ejemplo la contaminación y la pérdida de biodiversidad".
Los riesgos ASGpueden ser difíciles de mitigar debido a la naturaleza polifacética de la categoría. Al igual que con el riesgo financiero, es importante incluir revisiones ASG durante el proceso inicial de diligencia debida para los posibles proveedores, antes de firmar cualquier contrato. Dado que múltiples normativas centradas en los ASG exigen ahora responsabilidades a las empresas por cuestiones como el soborno y la esclavitud en sus cadenas de suministro, es fundamental realizar un mapeo de las relaciones y un análisis de riesgos de la 4ª y la 5ª parte para descubrir cualquier posible problema en la cadena de suministro que pudiera arrojar luz negativa sobre su organización.
- No pase por alto las ASG durante la contratación:Para una comprobación rápida del riesgo ASG de los posibles proveedores (o para ponerse al día sobre los proveedores existentes), considere la posibilidad de suscribirse a unared de inteligencia de riesgos de proveedores. Las redes son depósitos de informes sobre el riesgo de los proveedores a petición, compilados a partir de evaluaciones completas y datos de supervisión externa. Una buena red proporcionará información sobre varios tipos de riesgos, incluidos los ASG.
- Incluya preguntas ASG en las evaluaciones periódicas de riesgos:Para obtener una visión más personalizada del riesgo ASG en sus proveedores actuales, puede realizarevaluaciones de riesgo de proveedores basadas en cuestionarios. Con la plataforma TPRM adecuada, puede asignar automáticamente las respuestas de la evaluación a sus requisitos empresariales, así como a varias normativas sectoriales y gubernamentales.
- Reconozca que los riesgos ASG pueden surgir en cualquier momento: Manténgase al tanto de los eventos relacionados con ASG a medida que surgen mediante lasupervisióncontinuade riesgos de tercerosen todo su ecosistema de proveedores.Las soluciones de control de riesgospueden correlacionar la investigación de miles de fuentes para identificar todo, desde la prensa negativa hasta las infracciones de cumplimiento que afectan a sus proveedores.
En 2024, estos riesgos parecen aún más agudos. El cambio climático es una categoría de riesgo creciente ante los múltiples fenómenos meteorológicos extremos, como los incendios forestales de junio de 2023 en Canadá, las tormentas de hielo en Texas en febrero y las olas de calor poco comunes en Australia en septiembre. Esto hace necesario examinar más detenidamente los riesgos medioambientales, especialmente en lo que se refiere a la resistencia de la cadena de suministro.
Además, los riesgos de responsabilidad social parecen ir en aumento. Las normativas sobre la esclavitud moderna y el trabajo infantil, como ya se ha mencionado, están aumentando en todo el mundo. Los gobiernos de Europa, Norteamérica y Asia-Pacífico han empezado a prestar más atención a las condiciones de trabajo en las fábricas de todo el mundo. A medida que aumenta el número de consumidores que toman decisiones de compra con conciencia social, las empresas deben prestar más atención a sus políticas de responsabilidad social corporativa y a la rendición de cuentas de sus proveedores.
Riesgos de soborno y corrupción en las relaciones con terceros
El riesgo de soborno y corrupción seguirá siendo un reto en 2024. La Ley estadounidense de Prácticas Corruptas en el Extranjero (FCPA) sigue aplicándose estrictamente a las empresas que desean hacer negocios en Estados Unidos, y otras jurisdicciones también cuentan con legislación anticorrupción para las empresas locales y extranjeras. En conjunto, las relaciones con terceros representan uno de los riesgos de soborno y corrupción más importantes para las organizaciones.
Al analizar las acciones de aplicación de la FCPA por soborno y corrupción,la Stanford Law Schooldescubrió que más del 90% de los incidentes implican a un tercero intermediario. Todos los terceros que actúan como agentes de una empresa -como distribuidores, representantes de ventas, intermediarios, consultores, transitarios, grupos de presión- pueden exponer a la organización a responsabilidad por soborno y corrupción.
De hecho, una empresa puede ser considerada responsable de las acciones de sus terceros, incluso si la empresa afirma no tener conocimiento de un incidente. A menudo, todo lo que se necesita para una acusación es una "alta probabilidad" de soborno o pruebas de que una empresa estaba "voluntariamente ciega" a la corrupción de un tercero en su nombre.
La aplicación de las leyes ABAC se está ampliando. En el Reino Unido, laSerious Fraud Office (SFO) ha ampliado sus actividades de aplicación. Y laDirectiva de la Unión Europea sobre Diligencia Debida Obligatoria en Materia de Derechos Humanos, Medio Ambiente y BuenaGobernanza exigirá una diligencia debida significativa a las organizaciones que operen en países de la UE, y el ABAC entra dentro de la sección de Buena Gobernanza.
En 2024, la preocupación por el soborno y la corrupción seguirá creciendo entre las organizaciones de países con una aplicación agresiva. También es probable que continúe el largo brazo de la FCPA estadounidense, dada la importancia de Estados Unidos como mercado internacional y fuente de productos acabados. Las empresas bajo la jurisdicción de la FCPA y otras medidas anticorrupción harían bien en analizar la situación financiera de sus proveedores para asegurarse de que no se ven envueltos en actividades que puedan desencadenar una investigación por corrupción.
Riesgos de terceros ahora y en el futuro
Las empresas se enfrentan a un entorno de riesgo de terceros cada vez más problemático. El número y la variedad de riesgos en las categorías descritas anteriormente, incluyendo un ciberataque, el riesgo de continuidad, los problemas de reputación, y más, probablemente harán que la realización de negocios sea más difícil en 2024.
Corresponde a las organizaciones grandes y pequeñas examinar detenidamente sus estrategias de GTPR 2024, asegurándose de que tienen en cuenta la complejidad de su entorno de riesgo y cuantificando el impacto real de los riesgos descritos en este informe. Además, las organizaciones deberían priorizar estas categorías de riesgo en función de sus estrategias corporativas. La ciberseguridad podría ser una preocupación mayor que el riesgo reputacional en 2024, por ejemplo, lo que llevaría a los gestores de riesgos a hacer hincapié en vacunar a la organización contra las ciberamenazas. Del mismo modo, tal vez la continuidad del negocio sea una prioridad mayor. En última instancia, las organizaciones tienen que hacer esos juicios y centrarse en reducir o mitigar los riesgos que más preocupan a sus negocios.
Para obtener más información sobre cómo Prevalent puede ayudarle a gestionar su programa de riesgos de terceros, regístrese para una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
