Aunque actualmente no existe un consenso unánime sobre si la economía está entrando en recesión, muchos bancos centrales y responsables políticos recomiendan a los gobiernos y organizaciones de todo el mundo que tomen medidas proactivas para prepararse ante una posible recesión, como anticiparse a las restricciones laborales relacionadas con los salarios y ampliar sus bases de proveedores.
Sin embargo, la inestabilidad económica no es un fenómeno nuevo. En los últimos dos años, la economía mundial pasó de un auge a una crisis a corto plazo provocada por la COVID, y sigue inestable debido a las constantes interrupciones en el suministro y al mercado laboral más restrictivo en décadas. Esta agitación pone de relieve la necesidad de que las organizaciones se centren en la resiliencia empresarial y, para los profesionales de la gestión de riesgos de terceros, esto significa garantizar la resiliencia de los proveedores.
Ante tanta incertidumbre económica, ¿cómo pueden los equipos de seguridad, gestión de riesgos y adquisiciones
garantizar que sus organizaciones mantengan su enfoque en el riesgo y la resiliencia de terceros? Aquí hay tres recomendaciones:
1. Externalizar las tareas de gestión de riesgos de terceros para hacer frente a los retos laborales y al aumento de los costes.
Si su organización se enfrenta a retos derivados de presiones salariales, escasez de mano de obra o rotación y agotamiento de los empleados, considere la posibilidad de delegar algunas actividades de TPRM de menor nivel a un experto en la materia. Los servicios gestionados de gestión de riesgos de terceros pueden realizar tareas en nombre de sus equipos, entre las que se incluyen:
- Gestión de contratos: carga de contratos, extracción de atributos clave y configuración de recordatorios automáticos para el seguimiento.
- Gestión de proveedores: Creación de perfiles de proveedores, incorporación y salida de proveedores, mantenimiento de contactos y prestación de asistencia de primera línea.
- Gestión de evaluaciones: Creación y gestión de calendarios de evaluaciones
- Gestión de respuestas: Seguimiento y localización de respuestas; revisión de respuestas y notas en busca de señales de alerta, contradicciones, aplicabilidad y actualidad de las pruebas.
- Gestión de cuartos y enésimos socios: Identificación de cuartos socios y creación de mapas de relaciones basados en las dependencias y atributos empresariales.
- Supervisión continua de riesgos emergentes: identificación y revisión de incidentes cibernéticos, empresariales, reputacionales, financieros y de violación de datos, y escalado de incidentes críticos para su clasificación.
- Gestión de incidentes: Interactuar de manera proactiva con proveedores externos afectados por eventos cibernéticos específicos o eventos físicos disruptivos.
Externalizar las tareas diarias de gestión de las relaciones con terceros liberará a su equipo para que pueda centrarse en tareas de mayor valor, como la gestión de riesgos, en lugar de actualizar las listas de contactos de los proveedores. A su vez, esto hará que su organización sea más resistente frente a las interrupciones de los proveedores y distribuidores.
Los estudios demuestran que trasladar el trabajo diario de gestión de proveedores a un proveedor de servicios gestionados se traduce en un ahorro de tiempo, una mejora de la eficiencia y una detección y mitigación más rápidas de los riesgos. Con los servicios gestionados externalizados, los equipos de TPRM pueden centrarse en:
- Gestionar el rendimiento y el riesgo de los proveedores en función de los niveles de servicio, los KPI y los KRI acordados.
- Remediación de riesgos y problemas de cumplimiento hasta un nivel aceptable.
- Predecir los problemas con los proveedores mediante la obtención de visibilidad sobre todo el espectro de riesgos de terceros (por ejemplo, cibernéticos, comerciales, financieros, etc.) y comprender cómo contribuyen al riesgo empresarial.
En definitiva, un proceso sólido y automatizado de evaluación de riesgos de terceros puede reducir el coste, el impacto y la probabilidad de que se produzca una infracción.
Nota: Este modelo solo se aplica a las violaciones cibernéticas. La automatización de las evaluaciones de terceros también puede evitar los costes derivados de las interrupciones operativas, pero esas cifras pueden variar mucho según los diferentes escenarios.
Próximos pasos
Dado el número cada vez mayor de violaciones de datos de terceros y de interrupciones en el suministro, su organización no puede permitirse que las condiciones económicas le distraigan de garantizar la resiliencia de sus proveedores. Descargue la calculadora del valor de la evaluación de riesgos de terceros, evalúe a sus proveedores en función de los requisitos de resiliencia empresarial o póngase en contacto con nosotros hoy mismo para solicitar una demostración y descubrir cómo podemos ayudarle a reducir los costes de evaluación de riesgos gracias a nuestra experiencia en consolidación y servicios gestionados.
2. Consolidar conjuntos de herramientas superpuestas para reducir costes, mejorar la eficiencia y cerrar brechas de riesgo.
Los profesionales de la gestión de riesgos de proveedores entienden que los enfoques de evaluación de terceros puntuales no logran captar todos los riesgos de los proveedores de manera oportuna. Aunque las evaluaciones puntuales son esenciales para captar datos de controles internos, se requiere un enfoque continuo para supervisar los cambios en la postura cibernética, los eventos comerciales, la posición financiera y la reputación de un proveedor, a fin de obtener contexto adicional y llenar las brechas entre esas evaluaciones puntuales.
Sin embargo, las organizaciones suelen abordar este problema con una costosa y descoordinada mezcla de herramientas que no se pueden integrar ni proporcionan contexto para los resultados de la evaluación. Si su organización va a entrar en 2023 con presupuestos estables o reducidos, considere una estrategia de supervisión continua de riesgos de terceros que:
- Consolida la información externa sobre ciberseguridad, violaciones de datos, actualizaciones comerciales, reputación y riesgos financieros en una visión única de la postura de riesgo de un proveedor.
- Permite una acción coordinada en función de si los hallazgos validan los resultados de la evaluación.
- Incluye las mejores fuentes de datos para cada dimensión del riesgo.
- Ofrece la posibilidad de integrar fuentes de datos existentes en una plataforma central para obtener una visión única del riesgo.
Un enfoque de supervisión consolidado genera economías de escala mucho mejores, mejora la eficiencia y reduce las lagunas en la cobertura.
3. Comunicar el impacto financiero de una evaluación de riesgos de terceros para mantener la prioridad organizativa.
Las evaluaciones de riesgos de terceros pueden resultar agotadoras y costosas si se utilizan métodos manuales, como hojas de cálculo. La automatización puede ayudar, pero ¿cómo se cuantifica la reducción del riesgo que se consigue al automatizar el proceso de evaluación? Considere la posibilidad de calcular el valor del riesgo que se puede eliminar del negocio mediante la automatización de las evaluaciones de riesgos. He aquí un ejemplo:
- Comience por el número de proveedores y distribuidores externos de mayor riesgo con los que trabaja su organización. A modo de ejemplo, supongamos que ese número es 500.
- Tenga en cuenta el coste medio de una violación de datos por parte de terceros, que es de unos 4,59 millones de dólares según un estudio reciente del Ponemon Institute e IBM. Un enfoque fundamental para reducir los costes de las violaciones de datos es la automatización tecnológica, como la automatización de las evaluaciones de riesgos. Con la automatización, el coste medio de una violación de datos se reduce en un tercio, hasta unos 3 millones de dólares. En ambos casos, los costes reales de las violaciones variarán en función del tamaño de la empresa.
- Considere la probabilidad inherente de que se produzca una violación de datos en los próximos dos años. Según Ponemon, la probabilidad de que una organización sufra una violación de datos en los próximos dos años es de casi el 30 %. Con la automatización, esa cifra se reduce a la mitad, hasta el 15 %.
- Calcule la exposición total al riesgo multiplicando el coste medio de una infracción de terceros por la probabilidad de que se produzca dicha infracción. Sin automatización, el resultado es de aproximadamente 1,4 millones de dólares. Con automatización, se reduce a 450 000 dólares.
- Calcule la exposición al riesgo por proveedor dividiendo la exposición al riesgo entre el número de proveedores de mayor riesgo. En este ejemplo, eso equivale a 2754 dólares por proveedor sin automatización y 900 dólares por proveedor con automatización.
- Para calcular el valor de cada evaluación de riesgos automatizada realizada, basta con comparar las cifras calculadas en el paso 5. En este caso, el valor es de 1854 dólares en reducción de riesgos por evaluación.
En este ejemplo, eliminamos 1854 dólares en posibles costes por violación de datos por cada tercero evaluado. Multiplique esta cifra por 500 proveedores críticos y podrá reducir su riesgo potencial en casi un millón de dólares.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
