Según el estudio «2024 Third Party Risk Management Study», las organizaciones actuales trabajan con una media de más de 3000 proveedores, distribuidores y socios externos. Desgraciadamente, el predominio de los enfoques manuales para la evaluación de riesgos de terceros significa que la mayoría de las organizaciones solo pueden gestionar un tercio de sus proveedores. Entre la expansión de los ecosistemas de proveedores, las amenazas generalizadas de violación de datos de terceros y la supervisión regulatoria cada vez más agresiva, la gestión de los riesgos de terceros es ahora una función crítica para las organizaciones de todos los sectores.
La complejidad y el volumen de las relaciones con terceros requieren soluciones sólidas para mitigar los riesgos potenciales. Sin embargo, con tantas opciones disponibles para la gestión de riesgos de terceros, ¿cómo saber cuál es la mejor para su organización?
En esta publicación se analizan y comparan los enfoques de gestión de riesgos de terceros de cuatro tipos de soluciones, de menos a más completos: hojas de cálculo, herramientas de calificación de riesgos de ciberseguridad, paquetes de soluciones de gestión del ciclo de compra y plataformas dedicadas a la gestión de riesgos de terceros. Para ello, examinamos las ventajas y desventajas y recomendamos la opción ideal para cada enfoque.
Hojas de cálculo
Las hojas de cálculo son indudablemente populares para la gestión de riesgos de terceros. La mitad de las empresas, especialmente las pequeñas y medianas, las utilizan de forma habitual. Sin embargo, este enfoque tiene sus propias ventajas e inconvenientes. Las hojas de cálculo ofrecen una solución económica, flexible y familiar para gestionar las evaluaciones de riesgos de terceros basadas en cuestionarios. Sin embargo, también tienen importantes limitaciones en cuanto a escalabilidad, integridad de los datos, colaboración, seguridad y funcionalidad avanzada, lo que dificulta su eficacia en la gestión de riesgos.
| Ventajas de utilizar hojas de cálculo para la gestión de riesgos de terceros | Desventajas del uso de hojas de cálculo para la gestión de riesgos de terceros |
|---|---|
rentable Las hojas de cálculo suelen formar parte de los paquetes de software ofimático, que muchas organizaciones ya poseen y pagan con cargo al presupuesto de TI. Esto las convierte en una opción rentable para los equipos de TPRM, o al menos en una opción con un bajo coste inicial que evita la necesidad de adquirir e implementar herramientas especializadas de gestión de riesgos. |
Escalabilidad Las hojas de cálculo pueden volverse fácilmente engorrosas y difíciles de gestionar, especialmente con un gran número de proveedores. Los conjuntos de datos de gran tamaño pueden ralentizar el rendimiento de las hojas de cálculo, lo que provoca ineficiencias. |
| Flexibilidad y personalización Las hojas de cálculo se pueden personalizar fácilmente para adaptarse a procesos y plantillas específicos de gestión de riesgos. Casi cualquier persona puede ajustarlas y modificarlas para adaptarlas a las necesidades cambiantes y a los nuevos puntos de datos. |
Integridad y precisión de los datos Las hojas de cálculo son propensas a errores humanos, como entradas de datos incorrectas, errores en las fórmulas y modificaciones involuntarias. Las hojas de cálculo también carecen de mecanismos sólidos de validación de datos, lo que aumenta el riesgo de que los datos sean inexactos o incompletos. |
| Facilidad de uso La mayoría de los usuarios saben cómo utilizar el software de hojas de cálculo, por lo que no hay curva de aprendizaje. Compartir información también es más fácil porque las partes interesadas están familiarizadas con la herramienta. Las herramientas básicas de visualización de datos, como los cuadros y gráficos, ayudan a ilustrar los datos de riesgo. |
Falta de funciones avanzadas Las hojas de cálculo ofrecen una automatización mínima, lo que conlleva procesos manuales que requieren mucho tiempo. No proporcionan [supervisión en tiempo real ni alertas sobre cambios en el estado de riesgo de terceros](/blog/third-party-monitoring/), lo que limita su uso a evaluaciones basadas en cuestionarios. |
de fácil acceso Las hojas de cálculo se pueden compartir y consultar fácilmente en diferentes dispositivos y plataformas, lo que garantiza que todas las partes interesadas puedan ver y editar los datos. |
Retos de colaboración (por ejemplo, control de versiones) La gestión de múltiples versiones de una hoja de cálculo puede dar lugar a confusión, discrepancias y problemas de control de versiones. El soporte limitado para la colaboración en tiempo real y entre múltiples usuarios (especialmente cuando se trata de personas ajenas a la organización) puede obstaculizar la eficiencia y la coordinación del programa. |
| Preocupaciones de seguridad Las hojas de cálculo suelen carecer de funciones de seguridad avanzadas, lo que hace que los datos confidenciales sobre riesgos sean vulnerables al acceso no autorizado y a las violaciones de seguridad, especialmente cuando se comparten con terceros. La implementación y la gestión de los controles de acceso pueden resultar difíciles, especialmente en organizaciones grandes. |
|
| Informes estáticos Generar informes completos sobre riesgos de terceros a partir de hojas de cálculo puede requerir mucho trabajo y tiempo. Los informes suelen ser estáticos y no proporcionan información dinámica y en tiempo real sobre los riesgos de terceros. A medida que las organizaciones crecen y el panorama de riesgos de terceros se vuelve más complejo, puede ser una buena idea adoptar soluciones de gestión de riesgos de terceros más sólidas y especializadas que proporcionen capacidades mejoradas, automatización y supervisión en tiempo real para mitigar eficazmente los riesgos. En el resto de este blog se examinan algunas opciones. |
Herramientas de calificación de riesgos de ciberseguridad
Las herramientas de puntuación, entre las que destacan los servicios de calificación de riesgos de ciberseguridad, se centran en cuantificar la postura de ciberseguridad de terceros utilizando datos identificables externamente, como vulnerabilidades, exploits, controles de aplicaciones web y otra información pública. Estas herramientas proporcionan información sobre los posibles riesgos cibernéticos que plantean los proveedores y socios externos, y presentan los resultados en forma de puntuación numérica o calificación alfabética.
Aunque son un medio popular para evaluar el riesgo de terceros, los servicios de calificación de riesgos de ciberseguridad no pueden realizar evaluaciones detalladas de los controles internos. Las herramientas de puntuación también están compartimentadas por tipo de riesgo (cibernético, ESG, financiero, operativo, de cumplimiento, reputacional, etc.), lo que obliga a las organizaciones a adquirir diferentes fuentes de datos e integrarlas para obtener una visión global del riesgo de terceros.
Las herramientas de calificación de riesgos de ciberseguridad están destinadas a organizaciones que solo se ocupan de supervisar los riesgos cibernéticos, o que cuentan con los recursos necesarios para combinar múltiples fuentes de supervisión con el fin de abordar otros tipos de riesgos. Estas herramientas también resultan insuficientes para las organizaciones que deben cumplir requisitos normativos para comprender la eficacia de los controles de seguridad informática internos de terceros. Por este motivo, las herramientas de calificación de riesgos de ciberseguridad suelen complementar soluciones más completas para evaluar los riesgos de terceros.
| Ventajas del uso de herramientas de puntuación para la gestión de riesgos de terceros | Inconvenientes del uso de herramientas de puntuación para la gestión de riesgos de terceros |
|---|---|
| Especialistas en riesgos cibernéticos Estas herramientas utilizan diversas fuentes de datos (algunas propias y otras con licencia) y metodologías para evaluar la solidez de la ciberseguridad de terceros, asignando puntuaciones basadas en sus conclusiones. |
Solo cibernético Las herramientas de calificación de riesgos de ciberseguridad se limitan únicamente a los riesgos de ciberseguridad, sin ofrecer una supervisión más amplia de los riesgos relacionados con problemas empresariales y financieros, conclusiones de ESG, incumplimientos de normativas y sanciones, y perturbaciones operativas. |
| Supervisión y alertas continuas Las herramientas de calificación de riesgos de ciberseguridad ofrecen una supervisión continua de las prácticas de ciberseguridad de terceros y alertan a las organizaciones sobre los cambios en los niveles de riesgo. |
Evaluación limitada basada en cuestionarios La mayoría de las herramientas de calificación de riesgos de ciberseguridad no pueden realizar evaluaciones de controles internos basadas en cuestionarios o tratan las evaluaciones como una reflexión posterior al monitoreo, lo que deja riesgos sin remediar. Este es un enfoque no estándar, ya que la mayoría de las organizaciones prefieren realizar primero evaluaciones de controles internos y luego utilizar soluciones de monitoreo externas para validar los datos reportados por los proveedores. |
| Información basada en datos Las herramientas de puntuación cibernética aprovechan el big data y el aprendizaje automático para proporcionar información útil y análisis predictivos. |
Falsos positivos Las herramientas de evaluación de riesgos de ciberseguridad son conocidas por generar falsos positivos. Esto puede dificultar que los equipos de riesgos externos comprendan adecuadamente los riesgos reales a los que se enfrentan y requiere un tiempo de investigación considerable, lo que distrae de importantes actividades de mitigación de riesgos. |
Paquetes de soluciones de gestión del ciclo de compra
Las suites de Source-to-Pay (S2P) abarcan todo el proceso de adquisición, desde el abastecimiento de productos y servicios directos e indirectos hasta el pago. A menudo incluyen módulos de gestión de riesgos de terceros como parte de sus capacidades de adquisición más amplias, junto con funciones para la gestión de RFx, la gestión del ciclo de vida de los contratos, etc.
| Ventajas de utilizar paquetes de soluciones Source-to-Pay para la gestión de riesgos de terceros | Inconvenientes del uso de paquetes de software Source-to-Pay para la gestión de riesgos de terceros |
|---|---|
| Gestión integrada de compras y riesgos Las suites S2P integran la gestión de riesgos en el ciclo de vida de las compras, lo que garantiza que las consideraciones de riesgo se tengan en cuenta en las decisiones de abastecimiento. |
Falta de enfoque en terceros Muchas suites S2P ofrecen un módulo complementario para el riesgo de terceros (normalmente adquirido e integrado) y, por lo tanto, suelen carecer de especialización y experiencia profunda en TPRM, especialmente desde la perspectiva de los riesgos de ciberseguridad. |
| Evaluación e incorporación de proveedores Las suites S2P ofrecen herramientas para evaluar e incorporar proveedores, incluyendo evaluaciones de riesgos y comprobaciones de cumplimiento. |
Centrado en las primeras etapas Debido a su uso por parte de los profesionales de adquisiciones, las suites S2P suelen pasar por alto aspectos de riesgo más amplios al centrarse en la búsqueda de proveedores, la evaluación inicial y la incorporación de los mismos. Se presta menos atención a otras etapas importantes del ciclo de vida del riesgo de terceros o a las preocupaciones específicas de los equipos de seguridad informática. |
| Gestión de contratos y rendimiento Las suites de gestión del ciclo de vida del proveedor ayudan a gestionar los contratos y el rendimiento de los proveedores, incorporando métricas de riesgo y supervisión. |
Evaluación de riesgos limitada Las suites S2P proporcionan información sobre los riesgos a través de asociaciones con proveedores de datos e inteligencia de riesgos, con el fin de puntuar el riesgo de los proveedores y permitir una mejor toma de decisiones. Sin embargo, el nivel de análisis de riesgos que suelen incluir la mayoría de las suites S2P es insuficiente para la gestión continua de los riesgos. |
Las suites S2P están destinadas a organizaciones más grandes con presupuestos de adquisición elevados y un enfoque centrado en las adquisiciones, que deben gestionar múltiples relaciones con proveedores y distribuidores, pero que se centran menos en el riesgo.
Plataformas dedicadas a la gestión de riesgos de terceros
Las plataformas dedicadas a la gestión de riesgos de terceros se especializan en gestionar los riesgos de proveedores y distribuidores. Estos proveedores se centran en ofrecer soluciones integrales diseñadas para identificar, evaluar, mitigar y supervisar los riesgos asociados a las relaciones con terceros. Las plataformas TPRM también suelen formar parte de paquetes más amplios de gobernanza, gestión de riesgos y cumplimiento normativo (GRC) o de soluciones de gestión de riesgos empresariales que abordan un conjunto completo de riesgos tanto dentro como fuera de la empresa.
| Ventajas de utilizar plataformas TPRM para la gestión de riesgos de terceros | Inconvenientes del uso de plataformas TPRM para la gestión de riesgos de terceros |
|---|---|
| Especialización El enfoque altamente especializado de una plataforma TPRM permite obtener conocimientos profundos y funcionalidades avanzadas adaptadas a la gestión de riesgos de terceros. |
Integración Las plataformas TPRM dedicadas están diseñadas específicamente para gestionar los riesgos de terceros, lo que puede requerir la integración con otras herramientas de gestión de riesgos, como suites S2P, plataformas de informes, etc. Consejo: Busque soluciones TPRM que cuenten con unabiblioteca de integraciones preconstruidas, una API abierta o que formen parte de una solución GRC o ERM más amplia que aborde un conjunto completo de riesgos. |
| Evaluación integral de riesgos Las plataformas TPRM ofrecen amplias capacidades de evaluación de riesgos, incluyendo evaluaciones de riesgos de ciberseguridad, financieros, operativos, normativos y de reputación. |
Evaluaciones propias o no estandarizadas Ten cuidado con personalizar demasiado las evaluaciones de riesgos; esto puede hacer que comparar y puntuar a los proveedores sea menos consistente. Consejo: Busca soluciones TPRM que ofrezcan una amplia biblioteca de plantillas de evaluación estandarizadas. |
| Supervisión continua Los proveedores de TPRM suelen ofrecer mecanismos de supervisión y alerta en tiempo real para realizar un seguimiento del estado de los riesgos de terceros y de los cambios que se producen entre las evaluaciones periódicas. |
Herramientas de supervisión aisladas Algunas plataformas TPRM especializadas carecen de una supervisión continua y exhaustiva de múltiples tipos de riesgos más allá de las amenazas de ciberseguridad. Consejo: Busque plataformas totalmente integradas que ofrezcan una integración perfecta entre los resultados de las evaluaciones y los resultados de la supervisión continua. |
| Cobertura del ciclo de vida Las plataformas TPRM suelen especializarse en evaluar y mitigar los riesgos a lo largo del ciclo de vida de la relación con terceros, desde la búsqueda y selección hasta la salida y la rescisión. |
Flexibilidad de recursos Para dar cabida al creciente número de terceros que deben realizar evaluaciones, es posible que las organizaciones tengan que asignar los recursos adecuados. Consejo: examine las opciones de servicios gestionados o las redes de evaluaciones de riesgos completadas para aliviar las limitaciones de recursos. |
Las plataformas TPRM son ideales para organizaciones con múltiples equipos involucrados en la gestión de riesgos de terceros. Pueden beneficiarse de la inteligencia de riesgos unificada, la corrección de riesgos basada en el ciclo de vida y el soporte integral para múltiples tipos de riesgos.
Próximos pasos: elegir el enfoque adecuado para gestionar los riesgos de terceros
La selección del enfoque adecuado para la gestión de riesgos de terceros depende de las necesidades específicas de la organización, el panorama de riesgos y la disponibilidad de recursos.
- Las hojas de cálculo suelen ser fáciles de usar, pero no se adaptan ni proporcionan las capacidades analíticas necesarias para evaluar, puntuar o remediar los riesgos de terceros.
- Las herramientas de clasificación de riesgos de ciberseguridad se utilizan para dar prioridad a los riesgos de ciberseguridad sobre otras categorías de riesgos.
- Las suites de gestión del ciclo de compra ofrecen una solución para aquellos que desean incorporar la gestión de riesgos en sus procesos de adquisición.
- Los proveedores especializados en gestión de riesgos de terceros ofrecen soluciones avanzadas y específicas, ideales para organizaciones con una exposición significativa a riesgos de terceros, y suelen formar parte de soluciones integrales de gestión de riesgos empresariales.
Al comprender las fortalezas y limitaciones de cada enfoque, su organización puede tomar decisiones informadas para gestionar de manera eficaz los riesgos de terceros y proteger las operaciones comerciales.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a deshacerse de las hojas de cálculo de una vez por todas e implementar un programa de TPRM ágil y completo, descargue nuestra guía de inicio «10 pasos para crear un programa eficaz de gestión de riesgos de terceros» o solicite una demostración hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
