Riesgo de terceros: te acecha desde todos los ángulos
Es probable que su organización consiga hoy más resultados que nunca con menos empleados internos. Esto se debe en gran parte al apoyo de proveedores externos, proveedores de servicios y otros terceros. Por supuesto, aunque la externalización aporta claras ventajas, también puede suponer un riesgo enorme para su negocio.
Un camino muy transitado para las infracciones... y las regulaciones
No es ningún secreto que cada tercero con el que trabajas aumenta tu exposición a violaciones de datos y privacidad. Cada día, empresas de todos los sectores descubren esto por las malas, entre ellas GE, Marriott, Target, Sprint y LabCorp
, por nombrar solo algunas. ¿El resultado? Pérdida de clientes, multas, sanciones, comisiones por supervisión crediticia... lo que se te ocurra. Y a medida que las víctimas denuncian más violaciones de seguridad por parte de terceros, los organismos reguladores del sector y del gobierno introducen más normativas. La CCPA, el RGPD, el CMMC y otras normativas exigen específicamente la evaluación y/o supervisión de los riesgos de terceros.
La pandemia plantea nuevas preguntas
Como si los retos relacionados con los datos, la privacidad y el cumplimiento normativo no fueran suficientes para quitarle el sueño, la pandemia del coronavirus ha puesto de manifiesto la vulnerabilidad de la cadena de suministro ante desastres naturales y otras interrupciones (a veces imprevistas) de una manera sin precedentes. Está obligando a todas las empresas a asimilar y adaptarse a la nueva realidad del teletrabajo, las medidas de emergencia, los riesgos para la salud, las interrupciones en el suministro y otros obstáculos. ¿Cómo están gestionando esto sus socios externos y qué impacto está teniendo en su negocio? ¿Cuáles son las posibles consecuencias? ¿Qué políticas y procedimientos tienen establecidos para hacer frente al próximo reto?
Entonces, con la creciente externalización y virtualización de las empresas, y la creciente incertidumbre del entorno global, ¿cómo se pueden prever y gestionar los riesgos de terceros con cierto grado de confianza?
La gestión de riesgos de terceros (TPRM) puede ser complicada
Haciéndolo por el camino difícil
En el pasado, la mayoría de las organizaciones adoptaban un enfoque manual para la gestión de riesgos de terceros. Era un proceso caótico, sangriento, un combate cuerpo a cuerpo. Armados únicamente con hojas de cálculo, los evaluadores tenían que bombardear a los proveedores con cuestionarios y luego perseguir sus respuestas. Si bien esto era malo para los evaluadores, era aún peor para los proveedores que tenían que atender estas solicitudes y responder a las mismas preguntas de diferentes clientes, una y otra y otra vez. No es de extrañar que el 34 % de las empresas afirmen que se tarda más de un mes en completar la evaluación de un proveedor de primer nivel.
Desafortunadamente, un estudio reciente reveló que el 50 % de las empresas están ancladas en el pasado y siguen dependiendo exclusivamente de hojas de cálculo para gestionar sus auditorías y controles. Dado que la mayoría de las empresas trabajan con cientos de proveedores, se necesitaría un ejército de evaluadores que utilizaran métodos manuales para recopilar datos completos, actualizados y útiles sobre los riesgos de terceros.
Lo hicimos de la manera difícil, pero aún queda mucho por hacer.
Y eso es solo el problema de la recopilación. Supongamos que consigue respuestas de sus proveedores más importantes. ¿Qué hace con los datos? ¿Cómo puntúa, prioriza y remedia los riesgos? ¿Cómo sabe si las respuestas son precisas? ¿Son coherentes con los datos históricos? ¿Se correlacionan entre sí? ¿Se correlacionan con las exposiciones de los proveedores que ya están en circulación (por ejemplo, violaciones de datos conocidas, datos de clientes en la web oscura, acciones legales, multas, etc.)? ¿Está preparado para responder a estas preguntas cuando la junta directiva, los reguladores y todas las demás personas que le quitan el sueño llamen a su puerta? ¡Solo escribir esto ya nos estresa!
Entonces, tal vez lograste recopilar datos sobre riesgos de tus proveedores, informarlos a todas las personas relevantes y, de hecho, tomar medidas al respecto. Pero eso no es todo. Todo cambia constantemente. Los proveedores van y vienen. La forma en que manejan tus datos cambia. Cada día surgen nuevos ciberataques y nuevas amenazas a la seguridad. Tu información ya está desactualizada. Tendrás que hacer esto de manera regular.
¿Qué pasa con Bob?
Por otro lado, quizá pienses: «No tengo por qué preocuparme por estas cosas. Es problema de [Bob], de [TI]». Por supuesto, envíaselo a Bob, pero el riesgo de terceros es un reto para varios departamentos en la mayoría de las organizaciones. Y la responsabilidad puede variar, dependiendo de a quién le preguntes. El 37 % de las empresas dice que es responsabilidad de la seguridad de la información, el 22 % dice que es responsabilidad de TI, el 14 % dice que es responsabilidad de la gestión de riesgos, el 9 % dice que es responsabilidad de la gestión de proveedores y el 6 % dice que es responsabilidad del departamento jurídico/de cumplimiento normativo. Con tantos departamentos involucrados, ¿quién es realmente responsable del problema? ¿Cómo se puede alinear a todos para lograr un progreso sustancial en la identificación y reducción del riesgo de los proveedores?
Lo entendemos: TPRM no es divertido.
En un mundo perfecto, no tendríamos que preocuparnos por el «lastre» que supone el riesgo de terceros. Los sistemas de información serían infalibles y perfectos. El personal de los proveedores sería robótico y leal. No existirían los delincuentes ni los Estados enemigos. Todo el mundo sería amigo.
No vivimos en un mundo perfecto. Es evidente que necesita a sus proveedores para hacer negocios, pero al mismo tiempo debe ser inteligente y consciente del riesgo. La realidad es que los ecosistemas de proveedores son orgánicos e impredecibles, al igual que el entorno global. Eso hace que la gestión de riesgos de terceros sea especialmente complicada. A veces es caótica y otras veces es simplemente agotadora.
Por eso existe Prevalent. Estamos aquí para hacer que la gestión de riesgos de terceros sea mucho menos complicada y mucho más productiva.
El enfoque predominante en materia de TPRM
Prevalent está aquí para revolucionar la forma en que usted aborda los riesgos de un mundo cada vez más interconectado, interdependiente e impredecible. Cada día, transformamos la forma en que nuestros clientes ven, gestionan y controlan sus relaciones con terceros. Lo hacemos ofreciendo redes comunitarias, servicios y productos que permiten a las empresas revelar, interpretar y reducir mejor los riesgos de terceros.
Redes: acceso instantáneo a información sobre riesgos de proveedores
Nuestros clientes tienen acceso a una amplia base de datos de inteligencia de riesgos bajo demanda para más de 10 000 proveedores. Estas bibliotecas aprovechan el poder de la comunidad Prevalent para ofrecer información histórica y en tiempo real sobre los riesgos cibernéticos y empresariales de más de 567 000 fuentes. Con Prevalent Vendor Risk Networks, nuestros clientes amplían rápidamente sus programas de TPRM con acceso instantáneo a las puntuaciones de riesgo de los proveedores y a los informes de apoyo. Para aquellos proveedores que aún no forman parte de las redes, Prevalent realizará nuevas evaluaciones a petición del cliente. También estamos incorporando nuevas funciones de autoservicio en nuestras plataformas, lo que permite a los proveedores completar y enviar autoevaluaciones que pueden compartir fácilmente con sus propios clientes.
Servicios: Hacemos el trabajo duro de TPRM por usted
En Prevalent, llevamos más de 15 años ayudando a nuestros clientes a identificar, comprender y reducir los riesgos asociados a terceros. Empezamos como un equipo de consultores dispuestos a plantear preguntas difíciles a los proveedores en nombre de los clientes. Hoy en día, ese equipo se ha convertido en un departamento de servicio completo formado por investigadores, auditores y profesionales dedicados al éxito de los clientes, cuyo objetivo es liberar a nuestros clientes de los aspectos más pesados de la gestión de riesgos de terceros. Nos encargamos de todo, desde la incorporación de proveedores y la realización de evaluaciones hasta la identificación de riesgos y el seguimiento de las medidas correctivas. Usted se ahorra el trabajo duro y obtiene la información y los informes que necesita para centrarse en la estrategia de proveedores y la reducción general de riesgos.
Productos: Unificación de la gestión, evaluación y supervisión de proveedores
Nuestros clientes cuentan con la plataforma de gestión de riesgos de terceros más automatizada e inteligente que existe en la actualidad. La plataforma Prevalent Third-Party Risk Management unifica la gestión de proveedores, la evaluación de riesgos y la supervisión de amenazas para ofrecer una visión de 360 grados del riesgo. La plataforma facilita la incorporación de proveedores, su evaluación mediante cuestionarios estandarizados y personalizados, la correlación de las evaluaciones con datos de amenazas externas, la revelación, priorización y notificación de los riesgos, y la facilitación del proceso de corrección. Los clientes pueden utilizar la plataforma para sus propias iniciativas de TPRM autogestionadas o en colaboración con nuestro equipo de servicios.
Póngase en el camino hacia la madurez del TPRM
Independientemente de dónde se encuentre hoy, Prevalent puede ayudarle a crear un programa de gestión de riesgos de terceros con una visibilidad, eficiencia y escala sin igual. Trabajaremos con usted para encontrar la combinación de servicios gestionados, membresía de red y/o acceso a la plataforma TPRM que mejor se adapte a su organización. Obtendrá un rápido retorno de la inversión, estará preparado para tomar decisiones basadas en la inteligencia y reducirá de forma cuantificable los riesgos relacionados con los proveedores, todo ello con menos dolores de cabeza para usted y su equipo.
Estos son solo algunos ejemplos de lo que han logrado nuestros clientes:
- Una de las mayores empresas farmacéuticas del mundo redujo en 550 horas sus evaluaciones, ahorró decenas de miles de dólares en externalización y redirigió personal y fondos a proyectos de gestión de riesgos más estratégicos.
- Una de las diez principales compañías de seguros del mundo redujo en un 50 % el tiempo dedicado a la incorporación de proveedores y la realización de evaluaciones.
- Una de las 20 principales compañías de seguros de EE. UU. aumentó las evaluaciones anuales de proveedores en un 233 %, sin aumentar la plantilla.
En general, los clientes de Prevalent han informado de una reducción media del 80 % en el tiempo de incorporación de proveedores, una escalabilidad cinco veces mayor en la evaluación de proveedores mediante nuestra plataforma y una escalabilidad ocho veces mayor en la evaluación de proveedores a través de servicios gestionados.
La gestión de riesgos de terceros no tiene por qué ser una marcha interminable y desmoralizante que no lleva a ninguna parte. Descubra lo que Prevalent puede hacer por usted. Solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
