PHOENIX, May 10, 2023 – Prevalent, Inc., the company that takes the pain out of third-party risk management (TPRM), today announced a new report, The 2023 Third Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?, which provides deep insights into current trends, challenges and initiatives impacting third-party risk management practitioners worldwide.
The findings clearly illustrate that 2022 was a turbulent year for the practice of third-party risk management (TPRM). Over the past year, organizations dealt with the fallout from the Russian invasion of Ukraine and resulting supply chain disruptions, damaging and widespread third-party breaches and security incidents (including LastPass, OpenSSL, Okta, Toyota, and several in healthcare), and emerging regulatory oversight in areas beyond IT security such as ESG. While organizations have matured their TPRM programs since last year’s study, there is still more work to do.
Las principales conclusiones del Estudio sobre la gestión de riesgos de terceros 2023 incluyen:
El 41% de las empresas han sufrido una infracción grave por parte de terceros en los últimos 12 meses, pero confían en herramientas y procesos manuales que se solapan, lo que ralentiza la respuesta a los incidentes.
Una abrumadora mayoría de empresas (71%) afirma que la principal preocupación en relación con el uso de terceros es una violación de datos u otro incidente de seguridad debido a las malas prácticas de seguridad de los proveedores. Sin embargo, aún persisten los métodos manuales, con un porcentaje decepcionantemente alto de empresas que utilizan hojas de cálculo y un porcentaje cada vez mayor que recurre a las noticias para conocer las infracciones. La buena noticia es que las empresas que no vigilan las violaciones de terceros descendieron del 12% al 4%.
Las violaciones de datos de terceros y los incidentes de seguridad están impulsando una mayor implicación de la seguridad de la información en la GTPR.
El 70% de los encuestados afirman que el departamento de Seguridad de la Información (InfoSec) está más implicado que nunca en la gestión de riesgos de terceros, y el 71% indica que InfoSec asume plenamente el programa TPRM. El 62% de los encuestados en el estudio de este año indicaron que las violaciones de datos de terceros y los incidentes de seguridad eran los principales impulsores de una mayor implicación en la gestión de riesgos de terceros.
Casi la mitad de las empresas siguen utilizando hojas de cálculo
En 2023 continúa una tendencia decepcionante, ya que un número creciente de organizaciones (48%) utiliza hojas de cálculo para evaluar a terceros. Este porcentaje es superior al de 2022 y 2021, donde el 45% y el 42% de las empresas, respectivamente, afirmaron que utilizaban hojas de cálculo. La buena noticia es que sólo el 4% de los encuestados indicaron que actualmente no están evaluando a terceros en absoluto, lo que continuó una tendencia a la baja desde 2021 (10%) y 2022 (8%).
Existe una enorme brecha entre el seguimiento y la corrección de los riesgos a lo largo del ciclo de vida y, por término medio, el 20% de las empresas no hace nada.
No es sorprendente que en la fase de incorporación y finalización del ciclo de vida de las relaciones con terceros se registre el porcentaje más bajo de empresas que realizan un seguimiento de los riesgos (47%) y los corrigen (38%), y el porcentaje más alto de empresas que no hacen nada en absoluto (39%). La gran diferencia entre el seguimiento y la corrección de los riesgos en las fases de evaluación inicial, contratación y diligencia debida precontractual es especialmente sorprendente, ya que estas son las fases principales para descubrir y corregir los riesgos antes de que afecten a la organización.
"Año tras año, seguimos observando un aumento significativo de las interrupciones de la cadena de suministro y de los incidentes generalizados de seguridad de terceros", declaró Brad Hibbert, director de estrategia de Prevalent. "Y aunque esta encuesta ilustra que las organizaciones están haciendo de los programas de gestión de riesgos de terceros una prioridad, con más personas involucradas en toda la organización y sólo el 4% informando de que no están supervisando a sus proveedores externos, todavía hay más por hacer. Las empresas necesitan abandonar definitivamente los procesos manuales y asociarse con una solución automatizada de TPRM para gestionar los riesgos en todo el ciclo de vida del riesgo de terceros."
Los resultados de este estudio demuestran que los equipos de GTPR están avanzando hacia un enfoque más estratégico de la GTPR, pero hay cuatro áreas que requieren mejoras adicionales para mantener a las empresas en el buen camino:
- Automate Incident Response to Reduce Costs and Risk Exposure: Shortening the gap between incident discovery and mitigation can reduce costs and limit the company’s risk exposure with automated incident response processes. Eliminate spreadsheets or overlapping tools that only tell part of the incident’s origin story.
- Construir una única fuente de la verdad para eliminar los silos y ampliar la visibilidad de los riesgos a toda la empresa: Los resultados de este estudio muestran que, aunque los riesgos de seguridad de la información se consideran los más importantes, varios equipos de la empresa participan en la gestión de riesgos de terceros, cada uno con sus propios objetivos, flujos de trabajo, procesos de evaluación y riesgos que revisar. Unifique todos los equipos internos con un único conjunto de flujos de trabajo, perfiles de riesgo de terceros, evaluaciones e informes.
- Do Away with Spreadsheets and Automate Assessment and Monitoring Processes Across the Lifecycle: Invest in a solution that centralizes contract lifecycle management to ensure key contractual provisions are tracked throughout the lifecycle; offers remediation guidance to ensure offboarded vendors meet company compliance and security requirements to an acceptable level of risk; and delivers a prescriptive process to address final tasks and report according to compliance requirements.
- Remediación: Los datos de este estudio muestran que existe una diferencia significativa entre el seguimiento de los riesgos y su corrección. Para corregir los riesgos hasta un nivel aceptable para la empresa (o exigir pruebas de controles compensatorios en lugar de correcciones específicas), aproveche una plataforma de gestión de riesgos de terceros con recomendaciones de corrección integradas.
Lea la entrada del blog y descargue el libro electrónico completo y la infografía para obtener estadísticas adicionales, contexto y recomendaciones para evaluar comparativamente las prácticas existentes de GPRT. Solicite una demostración para una sesión de estrategia con un experto en GPRT.
Acerca de Prevalent
Prevalent simplifica la gestión de riesgos de terceros (TPRM). Las empresas utilizan nuestro software y nuestros servicios para eliminar los riesgos de seguridad y cumplimiento que conlleva trabajar con vendedores y proveedores durante todo el ciclo de vida de la gestión de riesgos de terceros. Nuestros clientes se benefician de un enfoque flexible e híbrido de la TPRM, con el que no sólo obtienen soluciones adaptadas a sus necesidades, sino que también obtienen un rápido retorno de la inversión. Independientemente de por dónde empiecen, ayudamos a nuestros clientes a detener el dolor, tomar decisiones informadas y adaptar y madurar sus programas de TPRM a lo largo del tiempo.
Contacto con la prensa
Angelique Faul, Silver Jacket Communications, 513-633-0897, [email protected]
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
