La semana pasada, cuando revelamos nuestro conjunto inicial de predicciones para la gestión de riesgos de terceros en 2021, reconocimos el impacto de la COVID-19 en las cadenas de suministro globales. Por desgracia, 2020 aún no ha terminado de enseñarnos lecciones sobre la importancia de la gestión de riesgos de terceros, ya que las consecuencias de la brecha de seguridad de SolarWinds siguen saliendo a la luz.
Si hay algo claro para el próximo año, es que su organización probablemente se centrará más que nunca en adelantarse a los riesgos de los proveedores. Estas son nuestras cuatro últimas predicciones para ayudarle a afrontar el reto.
#5. Las evaluaciones de riesgo de los proveedores serán más rápidas.
Las interrupciones en la cadena de suministro de 2020 pusieron de relieve no solo la necesidad de agilidad en la búsqueda de nuevos proveedores, sino también la importancia de evaluar el riesgo como parte del proceso de abastecimiento. Lamentablemente, muchas organizaciones han considerado tradicionalmente que estas dos cosas son incompatibles. No es de extrañar que la encuesta global de EY sobre gestión de riesgos de proveedores (TPRM) de 2019-2020 revelara que la mitad de los encuestados no cuenta con un proceso acelerado para la evaluación de riesgos previa a la contratación.
La necesidad de rapidez seguirá siendo fuerte en 2021, por lo que el mercado de TPRM se acelerará hacia el modelo de mercado en red. En el modelo en red, los miembros pueden buscar rápidamente en bibliotecas de posibles proveedores, ver puntuaciones de riesgo y consultar evaluaciones de riesgo completadas. Otros aspectos del modelo en red incluyen:
- Un enfoque basado en estándares que compara a todos los proveedores con los mismos criterios.
- Información en tiempo real sobre ciberseguridad, negocios y finanzas que mejora los resultados de las evaluaciones periódicas de los proveedores.
- Flexibilidad para solicitar evaluaciones sobre cuestiones de riesgo especializadas.
- Informes y análisis claros para medir el riesgo y el cumplimiento normativo.
- Gestión del flujo de trabajo para unir todo
Las mejores redes cuentan con el respaldo de equipos de servicios gestionados con amplia experiencia que se encargan de la incorporación, evaluación, gestión y presentación de informes de los proveedores en nombre de sus clientes.
#6. Los programas TPRM se extenderán más allá de los terceros
Considera este escenario: tu empresa subcontrata la fabricación a un proveedor cuyo proveedor de piezas se encuentra en una ubicación con una orden de confinamiento, y los productos del proveedor no se consideran «esenciales». Tu proveedor necesita encontrar rápidamente una alternativa, o no podrás realizar entregas a tus clientes.
Casi todas las cadenas de suministro tienen más de un «eslabón». Si sus evaluaciones de riesgos solo tienen en cuenta el círculo inmediato de proveedores de su organización, su visibilidad de las amenazas de la cadena de suministro será, en el mejor de los casos, difusa.
Y tampoco estás solo. Nuestro estudio de 2020, «The Third Rail of Security & Compliance» (El tercer carril de la seguridad y el cumplimiento), reveló que el 79 % de los encuestados no tenía en cuenta el riesgode terceros. Además, el estudio de EY mencionado anteriormente mostró que el 31 % de los encuestados se basa únicamente en los términos contractuales para hacer cumplir los problemas de terceros. Si cae una ficha de dominó, todas las demás caen también.
Todo esto tiene que ver con la visibilidad. El mapeo de terceros puede descubrir posibles deficiencias en lo más profundo del panorama de terceros. Esto cobrará mayor importancia en 2021, a medida que las empresas aprovechen las medidas de resiliencia operativa para predecir posibles interrupciones antes de que se conviertan en realidad.
#7. La respuesta al riesgo se automatizará cada vez más.
Muchas organizaciones se enfrentan a procesos de evaluación de proveedores basados en hojas de cálculo que requieren docenas de pasos manuales para comprender y actuar en función de los resultados. Este enfoque simplemente no es escalable en una época en la que la velocidad y la resiliencia son bienes tan valiosos.
En 2021, las organizaciones perfeccionarán sus programas de TPRM mediante el uso de reglas para analizar minuciosamente los flujos de información sobre los proveedores y activar actividades de respuesta al riesgo. Estas reglas automatizarán, simplificarán y agilizarán las tareas de incorporación, evaluación y revisión, como la actualización de los perfiles de los proveedores y los atributos de riesgo, el envío de notificaciones y/o la activación de flujos de trabajo.
La automatización basada en guías reducirá el tiempo necesario para realizar todas las tareas, desde la incorporación de proveedores y la emisión de evaluaciones hasta la correlación de los resultados y la activación de flujos de trabajo de corrección. En resumen, podrá automatizar los procesos de TPRM, lo que le permitirá detectar y solucionar los problemas más rápidamente.
#8. Estados Unidos promulgará una ley federal de protección de datos.
No faltan requisitos normativos que regulan el uso de terceros, pero Estados Unidos aún no cuenta con una ley de protección de datos unificada similar al RGPD. En su lugar, Estados Unidos se basa actualmente en un mosaico de leyes estatales sobre notificación de violaciones de datos y requisitos de protección de datos (por ejemplo, la CCPA y la CPRA en California).
El próximo año traerá una nueva administración a la Casa Blanca y mayorías más reducidas en el Congreso, lo que tal vez alivie en parte el estancamiento legislativo. Estos cambios, junto con la intensificación de las preocupaciones sobre la ciberseguridad a nivel nacional, pueden significar que 2021 sea el año en que Estados Unidos finalmente promulgue una ley única que regule el uso de los datos personales.
Las implicaciones de dicha ley son significativas si su organización trabaja con terceros que tienen acceso a los datos de sus clientes. A medida que Estados Unidos avanza hacia una ley única de privacidad de datos, debe estar preparado para responder a tres preguntas fundamentales y demostrar la prueba a los auditores:
- ¿Dónde se almacenan los datos confidenciales, quién tiene acceso a ellos y cómo se comparten?
- ¿Qué controles se han implementado para proteger los datos confidenciales que se encuentran en la empresa o en manos de terceros?
- ¿Cómo se relaciona su programa de privacidad con su programa de gestión de riesgos de terceros?
Por supuesto, garantizar la privacidad de los datos va más allá de la gestión de riesgos de terceros. Pero si no puede responder a estas preguntas básicas, es probable que su organización no cumpla con los nuevos requisitos.
Próximos pasos para la planificación del TPRM de 2021
Si se ha saltado alguna parte, no se pierda nuestras cuatro primeras predicciones para 2021. Si ya está al día, consulte nuestra guía de buenas prácticas, «Navegando por el ciclo de vida del riesgo de los proveedores: claves para el éxito en cada etapa», o evalúe su programa de TPRM utilizando nuestra calculadora de evaluación de riesgos en línea.
¿Quiere saber cómo Prevalent puede ayudarle a abordar sus retos específicos en materia de TPRM? Solicite una demostración personalizada.
¡Te deseamos un feliz y seguro 2021!
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
