Los retos de la cadena de suministro han sido un tema destacado en las noticias recientemente. Entre los incidentes más destacados se encuentran la filtración de datos de SolarWinds, el ataque de ransomware a Colonial Pipeline y la escasez mundial de chips. Como resultado, la mejora de la resistencia de la cadena de suministro y la reducción del riesgo de la cadena de suministro se han convertido en las principales preocupaciones de muchas organizaciones, desde Fortune 500 hasta pequeñas y medianas empresas.
Los gestores de riesgos tienen una difícil tarea por delante. Las cadenas de suministro actuales son increíblemente complejas y, en el caso de las grandes organizaciones, pueden estar formadas por miles de terceros, cuartos y enésimos proveedores. Por desgracia, muchas organizaciones carecen de visibilidad suficiente sobre sus propios proveedores, y mucho menos sobre los proveedores de sus proveedores.
Este artículo destaca el valor de la resistencia de la cadena de suministro y presenta cinco pasos que puede dar para reducir el riesgo de sufrir un fallo catastrófico en la cadena de suministro. Si le interesa saber más sobre cómo crear un sólido programa de gestión de riesgos en la cadena de suministro, consulte nuestro artículo sobre la gestión de riesgos en la SCRM.
¿Por qué es importante la resistencia de la cadena de suministro?
Las cadenas de suministro se han vuelto increíblemente complejas en las dos últimas décadas, a medida que se ha extendido la globalización. Como resultado, muchas organizaciones carecen de visibilidad de sus cadenas de suministro extendidas, lo que puede resultar increíblemente perjudicial. Por ejemplo, los responsables de la toma de decisiones clave en las organizaciones afectadas en última instancia por la brecha de K aseya pueden no haber sido conscientes de que sus MSP estaban utilizando la solución de Kaseya en primer lugar. Cuestiones como ésta pueden conducir a costosos retrasos cuando surgen violaciones de datos y otros incidentes de seguridad.
Además, los ataques a la cadena de suministro son cada vez más frecuentes. Los ataques se dirigen ahora a elementos fundamentales de la cadena de suministro mundial, como gasoductos y plantas de procesamiento de carne. Los atacantes han descubierto que comprometiendo los cuellos de botella críticos de la cadena de suministro, pueden extorsionar grandes pagos de ransomware con pocas complicaciones.
Ahora es más importante que nunca tomar medidas proactivas para mejorar la resistencia de su cadena de suministro, protegerse de los ciberataques provocados por los proveedores y comprender el nivel de riesgo al que se enfrenta su organización.
¿Cuáles son los elementos clave para construir una cadena de suministro resistente?
La verdad es que construir una cadena de suministro sólida y resistente es difícil. Hay que gestionar a las partes interesadas internas que tienen proveedores preferentes, así como a cientos o miles de proveedores externos, muchos de los cuales pueden plantear riesgos inaceptables para su organización. A continuación se indican los pasos que puede dar para comprender y mitigar los riesgos como parte de un plan de resistencia de la cadena de suministro.
Primer paso: centralice y controle a sus proveedores
Obtener visibilidad de su cadena de suministro es fundamental. Muchas organizaciones desconocen por completo con qué proveedores trabajan debido a estructuras departamentales aisladas y a la falta de organización. Por lo tanto, el primer paso y el más importante es centralizar los datos de los proveedores en un único lugar donde se pueda hacer un seguimiento de los proveedores, los perfiles de riesgo y los contratos.
La centralización de los datos de proveedores también permite a su equipo identificar de forma rápida y eficaz a los proveedores con un alto riesgo perfilado. La centralización de los datos de proveedores permite disponer de un único punto de referencia para las relaciones con los proveedores; le ayuda a realizar fácilmente un seguimiento en tiempo casi real del estado de los contratos, las posibles interrupciones y los posibles cambios en el riesgo inherente o perfilado.
Además de supervisar a los proveedores, también debe controlar el funcionamiento de su cadena de suministro en tiempo real. Asegúrese de implantar un sistema de seguimiento de los envíos entrantes y salientes, el cumplimiento de los contratos y otros datos críticos sobre los proveedores. Esto puede ayudar a alertarle de cualquier problema temprano que pueda causar interrupciones más adelante.
Segundo paso: identificar a los proveedores de misión crítica y planificar las dependencias
La resistencia de la cadena de suministro depende en gran medida de la identificación de los proveedores más importantes para su organización y de la reducción del riesgo a un nivel residual aceptable. Qué proveedores son críticos varía según el sector. Por ejemplo, las empresas manufactureras corren mucho más riesgo de sufrir interrupciones en el suministro de materias primas que las empresas de software. Una empresa de software como servicio puede depender por completo de un proveedor de servicios en la nube como AWS o Azure, pero también de una empresa de contratación externa. A la hora de planificar cómo reducir el riesgo, lo mejor sería que se centraran no solo en sitios de conmutación por error y copias de seguridad para los datos, sino también en asegurarse de que cuentan con un proceso de respaldo para contratar talento.
Durante esta etapa, también es crucial mapear las dependencias y entender a los vendedores de los vendedores. Mapee los flujos de datos y las dependencias entre proveedores para visualizar las dependencias de terceros. Las plataformas de gestión de riesgos de terceros suelen tener funciones integradas que facilitan el mapeo de dependencias. Sin embargo, también puede recopilar datos de dependencia como parte de un cuestionario de riesgos de terceros y trazar manualmente las relaciones de la cadena de suministro.
Otros riesgos pueden estar mucho más centralizados. Los fabricantes de automóviles sufren actualmente una grave escasez de chips debido a los paros de fabricación relacionados con COVID en China en 2020. Esto ha resultado desastroso, ya que incluso un pequeño repunte de los casos de COVID en un puñado de países puede dar lugar a una escasez de chips que se filtre por la economía y provoque una inflación extrema de los precios de los vehículos nuevos y usados.
Identificar a los proveedores sin los que su empresa no puede funcionar es un paso fundamental para desarrollar la resistencia de la cadena de suministro. Cuando conozca a sus proveedores críticos, tendrá que profundizar y comprender las cadenas de suministro de sus proveedores. La recopilación de esta información puede alertarle de problemas que pueden impedir que sus terceros funcionen en el futuro, a la vez que le permite comprender mejor la postura de riesgo de su cadena de suministro.
Como parte de la obtención de visibilidad en su cadena de suministro y cadena de suministro ampliada, considere la posibilidad de clasificar a sus proveedores en función de la criticidad del negocio. La clasificación por niveles implica, en primer lugar, conocer el perfil de riesgo de un proveedor y, a continuación, crear niveles de proveedores en función de su importancia para la empresa. Esto puede ayudar a determinar los controles apropiados que deben ponerse en práctica, así como a centrar sus esfuerzos de reducción de riesgos en los proveedores más críticos.
Tercer paso: Evitar los riesgos de concentración
Contar con un ecosistema de cadena de suministro diversificado puede redundar en una mayor redundancia y reducir el riesgo. Al incorporar nuevos proveedores, tenga en cuenta tanto el riesgo geográfico como el riesgo de cuarta parte. ¿Dependen varios proveedores del mismo tercero de alto riesgo? ¿Están sus proveedores concentrados en una zona geográfica?
Cuanto más diverso geográficamente sea el ecosistema de su cadena de suministro, mejor. Las catástrofes naturales pueden paralizar rápidamente una organización si se ven afectados varios proveedores de misión crítica. Del mismo modo, si alguna de sus terceras partes depende de una única cuarta parte, un solo desastre, incidente financiero o problema legal podría suponer un problema para su cadena de suministro.
A la hora de incorporar nuevos proveedores, conviene tener en cuenta lo siguiente:
-
¿Es su proveedor esencial para las operaciones de su empresa?
-
¿Podría sustituirse fácilmente al proveedor en caso de interrupción de su actividad o de la de terceros?
-
¿Dependen de los mismos proveedores que otros terceros con los que trabaja?
-
¿Contratar con ellos aumentaría o reduciría la resistencia de su cadena de suministro?
-
¿Tienes visibilidad de sus riesgos de terceros y cuartos?
Cuarto paso: Conozca su riesgo
Una vez que haya identificado a los proveedores críticos y tenga visibilidad de su cadena de suministro inmediata, debe empezar a trabajar para comprender su riesgo. La aplicación de una matriz de riesgo de proveedores puede ayudar a identificar rápidamente a los proveedores que plantean riesgos significativos para su organización. Una matriz de riesgos de proveedores puede permitir a su organización puntuar numérica y uniformemente a los proveedores en función de una serie de riesgos, eliminando muchas conjeturas e interpretaciones subjetivas. Los riesgos se clasifican en función de su probabilidad y gravedad, lo que le permite centrar sus esfuerzos en los riesgos que son probables y sustanciales.
La utilización de una matriz de riesgos de proveedores aporta coherencia a las comparaciones de proveedores durante el proceso de abastecimiento y selección.
Al evaluar el riesgo, también puede realizar evaluaciones básicas con respecto a las normas y marcos del sector. Por ejemplo, si está considerando contratar a un proveedor que va a manejar grandes cantidades de datos confidenciales, puede tener sentido evaluar su cumplimiento con el Marco de Ciberseguridad del NIST o la norma ISO 27001.
Los datos y la seguridad tampoco lo son todo. También hay que preocuparse por los riesgos financieros y de reputación. Si una organización utiliza mano de obra esclava en su cadena de suministro, corre graves riesgos éticos y de relaciones públicas. Otros riesgos ASG incluyen la destrucción del medio ambiente, el soborno, la corrupción y otros riesgos relacionados con prácticas empresariales desagradables que empañan la reputación de su organización.
También es crucial que investigue los riesgos financieros de los proveedores, sobre todo si tienen un perfil de riesgo elevado. Si su organización depende en gran medida de un proveedor con una estructura y unos resultados financieros deficientes, una quiebra o interrupción repentina podría hacer descarrilar rápidamente su cadena de suministro.
Consejo rápido: Cuando evalúe a los proveedores para determinar la resistencia de su cadena de suministro, asegúrese de tener en cuenta no sólo a los proveedores externos, sino también a las cuartas y enésimas partes. Un proveedor puede parecer sólido como una roca y tener un perfil de bajo riesgo, pero si depende de terceros con riesgos, puede suponer un riesgo considerable.
Quinto paso: Centrarse en los proveedores de alto riesgo
Algunos proveedores pueden tener un perfil de riesgo bajo, pero aún así representan un nivel sustancial de riesgo inherente. Por ejemplo, si trabaja con una empresa de calefacción, ventilación y aire acondicionado que accede regularmente a sus entornos informáticos internos, el riesgo puede ser considerable. Aunque a primera vista parezca que un proveedor de HVAC tiene un nivel de riesgo extremadamente bajo, es importante no pasar por alto su acceso y los servicios que presta.
Puede que un retraso en la instalación de un sistema de calefacción, ventilación y aire acondicionado no ponga en peligro su organización, pero que ese proveedor introduzca malware en su sistema de procesamiento de tarjetas de crédito supone un riesgo extremadamente alto. Este riesgo podría mitigarse regulando cuidadosamente su acceso a los equipos informáticos, empleando el principio del menor privilegio y asegurándose de que los proveedores son dados de baja y sus credenciales revocadas al finalizar el contrato.
Otros proveedores de alto riesgo serán más obvios. Volviendo al ejemplo de la empresa de SaaS, un proveedor de servicios en la nube podría hacer o deshacer una empresa de software en crecimiento. Como tal, tiene sentido que la empresa de software se comprometa con serias estrategias de mitigación de riesgos, como el empleo de copias de seguridad externas y una amplia planificación en caso de una interrupción prolongada. Al mitigar el riesgo, su objetivo debe ser reducir el riesgo y mejorar la resistencia de la cadena de suministro mediante el empleo de estrategias de mitigación y la reducción del riesgo a un nivel residual aceptable.
Paso extra: Practicar la mejora continua
Construir una cadena de suministro resistente no es un proceso de una sola vez. Debe centrarse en mejoras continuas tanto en la comprensión del riesgo que plantean los proveedores como en la mejora continua de sus estrategias de mitigación. A medida que avance hacia un programa completo de gestión de riesgos de terceros, querrá emplear cuestionarios de evaluación de riesgos de proveedores por niveles y, potencialmente, avanzar hacia una solución de software de gestión de riesgos de terceros.
Reflexiones finales sobre la resistencia de la cadena de suministro
Implantar con éxito la resiliencia de la cadena de suministro permite a su organización superar a sus competidores cuando surgen riesgos que afectan al mercado en general. Invertir en sistemas de gestión de riesgos para la cadena de suministro ofrece muchas ventajas. Las organizaciones que dan prioridad al desarrollo y la aplicación de una estrategia de gestión de riesgos para sus cadenas de suministro tienen más probabilidades de reducir sus riesgos que las que no lo hacen.
Las empresas que aplican estrategias de gestión de riesgos en sus cadenas de suministro obtienen una clara ventaja competitiva frente a otras de su sector. Las organizaciones que aplican el poder de una plataforma de gestión de riesgos de terceros dedicada a sus estrategias de mitigación de riesgos se benefician aún más.
Dé el siguiente paso hacia una cadena de suministro más resistente
¿Se pregunta cómo empezar? Obtenga más información sobre nuestras soluciones para la resistencia de la cadena de suministro o consulte nuestro seminario web a petición: Supply Chain Risk: Fourth Parties and Beyond. ¿Está interesado en saber si las soluciones y servicios de Prevalent pueden ser adecuados para su organización? Solicite una demostración.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
