La amenaza generalizada de ciberataques por parte de terceros merece una diligencia debida significativa a la hora de evaluar a los proveedores, socios y contratistas nuevos y existentes. Sin embargo, los profesionales de la seguridad y la gestión de riesgos no deben pasar por alto los riesgos significativos que existen fuera del ámbito de las tecnologías de la información, como los relacionados con la reputación, las finanzas, los aspectos legales, el cumplimiento normativo y las perturbaciones en materia de ESG.
Muchos de estos son riesgos «más leves» que carecen de directrices claras para evaluar a los proveedores, pero que pueden ser igualmente perjudiciales para la reputación, la marca, el valor y la capacidad de una empresa para cumplir sus compromisos contractuales. En esta publicación se analizan cinco de las categorías de riesgos no relacionados con la tecnología de la información más significativas.
5 riesgos no relacionados con la tecnología de la información que hay que vigilar
Las siguientes cinco categorías principales de riesgos no relacionados con la tecnología de la información pueden afectar a la capacidad de su empresa para cumplir con sus obligaciones.
1. Riesgo operativo: interrupciones en la cadena de suministro
La pandemia de COVID-19 y las consiguientes interrupciones en la cadena de suministro fueron una clara prueba de que las empresas pueden verse afectadas por acontecimientos ajenos a las tecnologías de la información. Por ejemplo, Armstrong Flooring y el gigante de los cosméticos Revlon citaron las interrupciones en la cadena de suministro en sus solicitudes de quiebra.
Los riesgos operativos seguirán existiendo en el mundo posterior a la COVID. En un entorno político inestable, el riesgo es rampante. Además de afectar al suministro de cereales, fertilizantes y gas natural, la invasión rusa de Ucrania detuvo la producción de dos empresas ucranianas responsables de entre el 45 % y el 54 % del suministro mundial de neón de grado semiconductor utilizado en la fabricación de chips. Los continuos ataques a los buques en el mar Rojo por parte de los rebeldes hutíes
amenazan con trastocar el transporte marítimo mundial. Además, los desastres inesperados pueden afectar significativamente a las operaciones de la cadena de suministro, como el
derrumbedel puente Francis Scott Key, que desvió efectivamente 80 millones de dólares en carga marítima y transporte por carretera desde uno de los puertos más grandes de Estados Unidos.
Para los profesionales de la gestión de riesgos, es fundamental comprender la resiliencia de su cadena de suministro. Esto incluye evaluaciones de la respuesta ante incidentes, la continuidad del negocio y los planes de recuperación ante desastres. Con una comprensión holística de las capacidades de sus proveedores, su organización puede prepararse mejor para reducir el riesgo operativo derivado de pandemias, desastres medioambientales y otras crisis potenciales.
2. Riesgo de incumplimiento normativo que da lugar a multas y demandas judiciales
Los marcos normativos se vuelven cada vez más complejos. La mayoría, incluidos HIPAA, PCI-DSS, GDPR, PDPA, el Ley del Sector Privado de Quebec, y CCPA/CPRA, se centran en proteger la información personal de los clientes y empleados. Un denominador común es que todas exigen a las organizaciones comprender dónde existen los riesgos (normalmente mediante una evaluación de riesgos), mantener un plan para mitigarlos e informar a los organismos reguladores. Esto se extiende a los riesgos que presentan los proveedores, socios comerciales, contratistas y colaboradores.
Perry Johnson & Associates (PJ&A), un proveedor de servicios de transcripción médica, sufrió una filtración en marzo de 2023 que expuso la información personal de más de 9 000 000 de personas, lo que llamó la atención del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos y dio lugar a demandas colectivas contra varios de sus clientes médicos y clientes perdidos. Aunque es casi seguro que existía un acuerdo de asociación comercial entre PJ&A y sus clientes, dicho acuerdo no protegió a la empresa de sufrir daños a su reputación y de enfrentarse a sus propios problemas legales.
A medida que las organizaciones continúan su transformación digital, los requisitos de cumplimiento se extienden a nuevos servicios y proveedores, incluidos los proveedores de alojamiento web, procesamiento de pagos y servicios en la nube. Para mitigar este riesgo, debe comprender qué normas reglamentarias
se aplican a su organización y a sus proveedores, pero también evaluar exhaustivamente las operaciones y los controles de sus proveedores. Después de todo, las sanciones y las demandas judiciales pueden ser costosas, interrumpir las operaciones y causar daños a la reputación.
3. Riesgo de responsabilidad social corporativa derivado de un comportamiento ESG deficiente
El concepto de ser un «buen ciudadano corporativo» existe desde hace tiempo, pero está evolucionando a medida que aumenta la concienciación. En un momento dado, las organizaciones podían cumplir con la definición de responsabilidad social corporativa (RSC) retribuyendo a la comunidad mediante donaciones de tiempo y dinero. Sin embargo, la RSC se asocia cada vez más con prácticas ambientales, sociales y de gobernanza (ESG). Estas incluyen los enfoques de su empresa en materia de sostenibilidad ambiental; sus relaciones con los clientes, los empleados y las comunidades; y cómo aborda la remuneración de los ejecutivos, los controles internos y los derechos de los accionistas.
Un problema cada vez más grave en varios sectores es el uso de esclavos y mano de obra infantil. Por ejemplo, las noticias sobre el uso de mano de obra infantil en la minería de cobalto para baterías pusieron el foco en las prácticas de la cadena de suministro de Apple, Microsoft, Tesla, Samsung y otras empresas. Además del daño a su reputación, varias empresas se enfrentaron a demandas judiciales por sus prácticas.
La presión regulatoria también está aumentando en áreas como el clima, la gobernanza y la lucha contra la corrupción. El Parlamento de la Unión Europea (UE) aprobó la Ley de Diligencia Debida Corporativa y la Directiva de Sostenibilidad Corporativa, que obligan a las empresas de la UE a «identificar y, cuando sea necesario, prevenir, poner fin o mitigar los impactos adversos de sus actividades sobre los derechos humanos, como el trabajo infantil y la explotación de los trabajadores, y sobre el medio ambiente, por ejemplo, la contaminación y la pérdida de biodiversidad». La Ley alemana de diligencia debida en la cadena de suministro exige garantías similares.
Navegar por los requisitos ESG puede resultar complicado para los ejecutivos de riesgos acostumbrados a centrarse únicamente en cuestiones relacionadas con las tecnologías de la información. Comprender las directrices normativas y sectoriales en materia de ESG puede ayudar a evaluar a los posibles proveedores, vendedores u otros terceros en función de las políticas de su organización y las expectativas de los clientes.
4. Riesgo financiero derivado de las preocupaciones sobre la viabilidad de los proveedores
La salud financiera de los proveedores y socios estratégicos es fundamental a la hora de evaluar el riesgo de terceros. Al fin y al cabo, un proveedor solo puede prestar apoyo a sus clientes si goza de solidez financiera, y puede que sea demasiado tarde para realizar ajustes una vez que se haya anunciado la declaración de quiebra. También puede surgir un riesgo financiero si uno de los competidores de su empresa adquiere un distribuidor o revendedor clave, lo que podría cerrar un mercado geográfico o vertical mientras se establecen canales alternativos.
Comprender el riesgo financiero de un proveedor va más allá de examinar el balance del año anterior. Por ejemplo, las pérdidas de clientes o socios de distribución, o la pérdida de ingresos, podrían dar lugar a una reestructuración o a la interrupción de ofertas específicas. Además, la pérdida de ejecutivos clave podría indicar una disminución de los ingresos o una próxima demanda judicial.
Aunque muchas organizaciones revisan el riesgo financiero antes de incorporar a un nuevo proveedor, los responsables de riesgos exigen una supervisión continua de sus proveedores y socios para mitigar y gestionar el riesgo a lo largo de toda la relación.
5. Riesgo reputacional por hacer negocios con empresas poco éticas
Sea justo o no, las organizaciones son juzgadas por las empresas con las que se relacionan. Por lo tanto, es lógico que prestes atención a las prácticas de tus socios. El daño a la reputación que supone trabajar con proveedores o distribuidores poco éticos puede perjudicar a tu negocio. La divulgación repentina de acciones poco éticas puede perturbar las cadenas de suministro, ya que los proveedores se trasladan o reconstruyen sus operaciones y emprenden acciones legales.
Los gestores de riesgos deben supervisar las fuentes públicas y privadas de información sobre reputación, demandas judiciales y sanciones inminentes, como la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos, la Lista de Sanciones del Reino Unido y la Lista Consolidada de Sanciones de la UE a lo largo del ciclo de vida empresarial.
Próximos pasos: Aprenda a gestionar los riesgos de terceros de forma integral
Los procesos de gestión de riesgos de terceros deben evolucionar para que las organizaciones puedan adelantarse eficazmente a las amenazas tanto informáticas como no informáticas. Descubra cómo obtener una visión global de los proveedores, distribuidores y socios a lo largo del ciclo de vida de los terceros en nuestro informe técnico «Cómo gestionar los riesgos informáticos y no informáticos de terceros». Este informe incluye orientación esencial sobre cómo:
- Asociar tipos de riesgos de terceros a dominios informáticos y no informáticos.
- Alinee a los equipos internos con los riesgos de terceros que más les importan.
- Asigne los tipos de riesgos de terceros y los equipos a cada etapa del ciclo de vida del proveedor.
Con esta guía completa, su organización puede controlar los riesgos de terceros relacionados con TI y ajenos a TI. ¿Le interesa saber cómo puede ayudarle Prevalent? Solicite una demostración y una llamada estratégica para hablar de su proyecto con uno de nuestros expertos.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
