PHOENIX, 10 de mayo de 2023 - Prevalent, Inc. la empresa que elimina las dificultades de la gestión de riesgos de terceros (TPRM), ha anunciado hoy un nuevo informe, The 2023 Third Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?, que proporciona una visión profunda de las tendencias, retos e iniciativas actuales que afectan a los profesionales de la gestión de riesgos de terceros en todo el mundo.
Los resultados ilustran claramente que 2022 fue un año turbulento para la práctica de la gestión de riesgos de terceros (GTRP). A lo largo del año pasado, las organizaciones tuvieron que hacer frente a las consecuencias de la invasión rusa de Ucrania y las consiguientes interrupciones de la cadena de suministro, a las graves y generalizadas infracciones e incidentes de seguridad de terceros (como LastPass, OpenSSL, Okta, Toyota y varios en el sector sanitario) y a la nueva supervisión normativa en áreas que van más allá de la seguridad informática, como ESG. Aunque las organizaciones han madurado sus programas de GTPR desde el estudio del año pasado, aún queda trabajo por hacer.
Las principales conclusiones del Estudio sobre la gestión de riesgos de terceros 2023 incluyen:
El 41% de las empresas han sufrido una infracción grave por parte de terceros en los últimos 12 meses, pero confían en herramientas y procesos manuales que se solapan, lo que ralentiza la respuesta a los incidentes.
Una abrumadora mayoría de empresas (71%) afirma que la principal preocupación en relación con el uso de terceros es una violación de datos u otro incidente de seguridad debido a las malas prácticas de seguridad de los proveedores. Sin embargo, aún persisten los métodos manuales, con un porcentaje decepcionantemente alto de empresas que utilizan hojas de cálculo y un porcentaje cada vez mayor que recurre a las noticias para conocer las infracciones. La buena noticia es que las empresas que no vigilan las violaciones de terceros descendieron del 12% al 4%.
Las violaciones de datos de terceros y los incidentes de seguridad están impulsando una mayor implicación de la seguridad de la información en la GTPR.
El 70% de los encuestados afirman que el departamento de Seguridad de la Información (InfoSec) está más implicado que nunca en la gestión de riesgos de terceros, y el 71% indica que InfoSec asume plenamente el programa TPRM. El 62% de los encuestados en el estudio de este año indicaron que las violaciones de datos de terceros y los incidentes de seguridad eran los principales impulsores de una mayor implicación en la gestión de riesgos de terceros.
Casi la mitad de las empresas siguen utilizando hojas de cálculo
En 2023 continúa una tendencia decepcionante, ya que un número creciente de organizaciones (48%) utiliza hojas de cálculo para evaluar a terceros. Este porcentaje es superior al de 2022 y 2021, donde el 45% y el 42% de las empresas, respectivamente, afirmaron que utilizaban hojas de cálculo. La buena noticia es que sólo el 4% de los encuestados indicaron que actualmente no están evaluando a terceros en absoluto, lo que continuó una tendencia a la baja desde 2021 (10%) y 2022 (8%).
Existe una enorme brecha entre el seguimiento y la corrección de los riesgos a lo largo del ciclo de vida y, por término medio, el 20% de las empresas no hace nada.
No es sorprendente que en la fase de incorporación y finalización del ciclo de vida de las relaciones con terceros se registre el porcentaje más bajo de empresas que realizan un seguimiento de los riesgos (47%) y los corrigen (38%), y el porcentaje más alto de empresas que no hacen nada en absoluto (39%). La gran diferencia entre el seguimiento y la corrección de los riesgos en las fases de evaluación inicial, contratación y diligencia debida precontractual es especialmente sorprendente, ya que estas son las fases principales para descubrir y corregir los riesgos antes de que afecten a la organización.
"Año tras año, seguimos observando un aumento significativo de las interrupciones de la cadena de suministro y de los incidentes generalizados de seguridad de terceros", declaró Brad Hibbert, director de estrategia de Prevalent. "Y aunque esta encuesta ilustra que las organizaciones están haciendo de los programas de gestión de riesgos de terceros una prioridad, con más personas involucradas en toda la organización y sólo el 4% informando de que no están supervisando a sus proveedores externos, todavía hay más por hacer. Las empresas necesitan abandonar definitivamente los procesos manuales y asociarse con una solución automatizada de TPRM para gestionar los riesgos en todo el ciclo de vida del riesgo de terceros."
Los resultados de este estudio demuestran que los equipos de GTPR están avanzando hacia un enfoque más estratégico de la GTPR, pero hay cuatro áreas que requieren mejoras adicionales para mantener a las empresas en el buen camino:
- Automatizar la respuesta a incidentes para reducir los costes y la exposición al riesgo: acortar la distancia entre el descubrimiento del incidente y su mitigación puede reducir los costes y limitar la exposición al riesgo de la empresa con procesos automatizados de respuesta a incidentes. Elimine las hojas de cálculo o las herramientas superpuestas que sólo cuentan parte de la historia del origen del incidente.
- Construir una única fuente de la verdad para eliminar los silos y ampliar la visibilidad de los riesgos a toda la empresa: Los resultados de este estudio muestran que, aunque los riesgos de seguridad de la información se consideran los más importantes, varios equipos de la empresa participan en la gestión de riesgos de terceros, cada uno con sus propios objetivos, flujos de trabajo, procesos de evaluación y riesgos que revisar. Unifique todos los equipos internos con un único conjunto de flujos de trabajo, perfiles de riesgo de terceros, evaluaciones e informes.
- Olvídese de las hojas de cálculo y automatice los procesos de evaluación y supervisión durante todo el ciclo de vida: Invierta en una solución que centralice la gestión del ciclo de vida de los contratos para garantizar el seguimiento de las disposiciones contractuales clave a lo largo de todo el ciclo de vida; que ofrezca orientación para garantizar que los proveedores desvinculados cumplen los requisitos de seguridad y conformidad de la empresa con un nivel de riesgo aceptable; y que ofrezca un proceso prescriptivo para abordar las tareas finales e informar de acuerdo con los requisitos de conformidad.
- Remediación: Los datos de este estudio muestran que existe una diferencia significativa entre el seguimiento de los riesgos y su corrección. Para corregir los riesgos hasta un nivel aceptable para la empresa (o exigir pruebas de controles compensatorios en lugar de correcciones específicas), aproveche una plataforma de gestión de riesgos de terceros con recomendaciones de corrección integradas.
Lea la entrada del blog y descargue el libro electrónico completo y la infografía para obtener estadísticas adicionales, contexto y recomendaciones para evaluar comparativamente las prácticas existentes de GPRT. Solicite una demostración para una sesión de estrategia con un experto en GPRT.
Acerca de Prevalent
Prevalent simplifica la gestión de riesgos de terceros (TPRM). Las empresas utilizan nuestro software y nuestros servicios para eliminar los riesgos de seguridad y cumplimiento que conlleva trabajar con vendedores y proveedores durante todo el ciclo de vida de la gestión de riesgos de terceros. Nuestros clientes se benefician de un enfoque flexible e híbrido de la TPRM, con el que no sólo obtienen soluciones adaptadas a sus necesidades, sino que también obtienen un rápido retorno de la inversión. Independientemente de por dónde empiecen, ayudamos a nuestros clientes a detener el dolor, tomar decisiones informadas y adaptar y madurar sus programas de TPRM a lo largo del tiempo.
Contacto con la prensa
Angelique Faul, Silver Jacket Communications, 513-633-0897, [email protected]
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
