Ya se conocen los resultados del estudio definitivo sobre gestión de riesgos de terceros de 2022, y hay mucho que analizar al revisar cómo están respondiendo las organizaciones al número récord de violaciones de datos de terceros, las interrupciones en la cadena de suministro debido a los continuos cierres por la pandemia e incluso la guerra en Ucrania.
El estudio de este año muestra que la gestión de riesgos de terceros (TPRM) se encuentra en una encrucijada, lo que demuestra que las empresas pueden elegir entre dos caminos: el camino actual y el camino mejor. Para ilustrarlo, consideremos las conclusiones del estudio:
| La ruta actual | El mejor camino |
|---|---|
| Las organizaciones están prestando más atención a los riesgos de seguridad ajenos a las tecnologías de la información... | ... pero debería hacer más en más áreas de riesgo. |
| La gestión de riesgos de terceros puede (¡por fin!) estar adquiriendo un carácter más estratégico... | ... pero las organizaciones deben esforzarse por eliminar los métodos manuales obsoletos para evaluar a terceros, que hacen que las auditorías sean más complejas y requieran más tiempo. |
| Las organizaciones están preocupadas, con razón, por los incidentes de seguridad de terceros cada vez más perjudiciales... | ... pero deben unificar su conjunto de herramientas dispares para reducir el tiempo necesario para detectar y responder a incidentes de terceros. En esta publicación, repasaremos las buenas (y malas) noticias y recomendaremos tres pasos que las organizaciones pueden seguir para mejorar sus procesos de TPRM y encaminarse hacia el éxito. |
| Las organizaciones están haciendo un buen trabajo a la hora de evaluar los riesgos de los proveedores durante las etapas más evidentes del ciclo de vida de los terceros... | ... pero se deben considerar más etapas para evitar que la disciplina del TPRM se vea afectada a medida que avanzan las relaciones con los proveedores. |
El 40 % de las organizaciones prestan más atención a los riesgos de seguridad no relacionados con las tecnologías de la información... pero aún no es suficiente.
Los programas de TPRM siguen centrándose principalmente en abordar los riesgos a los que se enfrentan al trabajar con proveedores de TI (45 %), pero un sorprendente 40 % de los encuestados en el estudio de este año afirma que se centra en gestionartantolos riesgos de los proveedores de TI como los de los proveedores que no son de TI.
Además, como se puede ver en el gráfico siguiente, cada vez más equipos se preocupan por los riesgos de TPRM más allá de la seguridad informática.
Sin embargo, los riesgos no relacionados con las tecnologías de la información con menor importancia fueronla esclavitud moderna, la lucha contra el blanqueo de capitales y la lucha contrael soborno y la corrupción. Siguiendo una línea similar a la dela encuesta Prevalent 2021 Third-Party Risk Management, las organizaciones siguen pasando por alto riesgos menos cuantificables que podrían dar lugar a incumplimientos normativos, multas o repercusiones negativas en su reputación. Por ejemplo, con lainvasión rusa de Ucrania, las empresas con proveedores externos en Rusia deben ahora considerar si están expuestas al soborno y al blanqueo de capitales como consecuencia de las sanciones.
La gestión de riesgos de terceros puede estar (¡por fin!) adquiriendo un carácter más estratégico... pero hay que deshacerse de esas molestas hojas de cálculo.
Dos tercios de los encuestados afirman que sus programas de TPRM tienen más visibilidad entre los ejecutivos y la junta directiva en comparación con el año pasado. ¡Es una gran noticia! El TPRM está empezando a considerarse estratégico. Sin embargo, para llegar a este punto han sido necesarios aumentos masivos en los problemas de ciberseguridad relacionados con proveedores externos, comoLog4j,la interrupción de la cadena de suministro de Toyota y elataque de ransomware a Kaseya.
Desafortunadamente, los procesos manuales siguen frenando a las organizaciones, y cada vez más empresas (45 %) afirman que utilizan hojas de cálculo para evaluar a sus terceros este año en comparación con 2021.
Estos procesos manuales añaden una complejidad y un tiempo innecesarios a las auditorías de riesgos de terceros, y el 32 % de los encuestados afirma que se tarda más de un mes (y en algunos casos más de 90 días) en elaborar los informes y las pruebas necesarias para cumplir con las auditorías reglamentarias.
Algo debe estar fallando en los enfoques actuales, ya que un alto porcentaje de los encuestados afirma que sus métodos actuales de evaluación de proveedores no permiten generar informes que demuestren el cumplimiento normativo (57 %), ser más proactivos en la respuesta a incidentes de terceros (50 %) ni evaluar los riesgos en todas las etapas del ciclo de vida del proveedor (48 %).
El 45 % de las organizaciones sufrió un incidente de seguridad relacionado con terceros durante el último año... pero utilizan herramientas dispares que alargan los plazos de respuesta ante incidentes.
La principal preocupación de las organizaciones con respecto al uso de terceros es la violación de datos (69 %), y el 45 % de los encuestados afirmó haber sufrido un incidente de seguridad en el último año, lo que supone un aumento con respecto al 21 % registrado en 2021.
Las principales herramientas de respuesta a incidentes que los encuestados indicaron tener a su disposición incluían la supervisión de violaciones de datos (51 %), la supervisión de la ciberseguridad/web oscura (45 %), las evaluaciones de proveedores (manuales/basadas en hojas de cálculo) (43 %) y la autoevaluación proactiva de proveedores (43 %). Sin embargo, solo el 38 % indicó tener acceso a evaluaciones automatizadas de proveedores.
La estadística más desalentadora de todas: el 8 % de las empresas no cuenta con ningún programa de respuesta a incidentes de terceros, mientras que el 23 % adopta un enfoque pasivo ante la respuesta a incidentes de terceros. Buena suerte cuando llegue el próximo SolarWinds.
El resultado: transcurren aproximadamente dos semanas y media entre el descubrimiento del incidente y su resolución, lo que supone una eternidad para una organización que se encuentra vulnerable a un posible ataque.
Menos de la mitad de las empresas realizan un seguimiento de los riesgos en las últimas etapas del ciclo de vida del proveedor.
Los riesgos contractuales y los riesgos en la fase de salida y rescisión de la relación no ocupan un lugar muy destacado entre los riesgos que las empresas controlan actualmente: 45 % y 43 %, respectivamente. De hecho, el porcentaje de clientes que controlan los riesgos disminuye a medida que madura el ciclo de vida de la relación, lo que indica que las empresas se centran más en los riesgos en las primeras etapas y menos a medida que la relación continúa. Teniendo en cuenta todos los riesgos que conlleva el incumplimiento de las expectativas contractuales, esto resulta sorprendente.
3 recomendaciones de mejores prácticas para mejorar su hoja de ruta de TPRM
Los resultados de este estudio demuestran que los equipos de TPRM están avanzando hacia un enfoque más estratégico de la TPRM, pero hay tres áreas que requieren mejoras adicionales.
1. Amplíe las evaluaciones más allá de la seguridad informática para unificar equipos bajo una única solución y simplificar las auditorías.
Si se analiza el riesgo de terceros únicamente desde el punto de vista de las tecnologías de la información, se pasarán por alto riesgos importantes. Por lo tanto, invierta en una solución que incluya plantillas de cuestionarios integradas e inteligencia complementaria para abordar áreas que abarquen desde riesgos empresariales/operativos,reputacionales y financieroshasta riesgosESGyde cumplimiento normativo.
Al unificar la inteligencia sobre riesgos no relacionados con la tecnología de la información con los resultados de las evaluaciones tradicionales de ciberseguridad yprivacidad de datos, usted puede:
- Mejora la visibilidad de los riesgos de los proveedores al tiempo que satisfaces las necesidades de varios departamentos.
- Aumente el valor estratégico de su programa de gestión de riesgos de terceros.
- Mejora la presentación de informes y elimina el uso persistente de hojas de cálculo para recopilar y analizar datos sobre riesgos de terceros.
Además, teniendo en cuenta que casi un tercio de las empresas afirman que necesitan más de 30 días (y algunas más de 90 días) para recopilar las pruebas necesarias para cumplir con las auditorías reglamentarias, reunir toda esta información en una única plataforma acelerará las revisiones de auditoría y permitirá a los equipos volver a sus tareas habituales.
2. Automatizar la respuesta ante incidentes para reducir costes y tiempo.
Dado que el 45 % de las empresas han informado de un incidente de seguridad en el último año, y el 69 % de las empresas afirman que es su prioridad, es necesario trabajar más para automatizar la respuesta a los incidentes y mitigar sus consecuencias. Invierta en herramientas y procesos maduros que:
- Gestione de forma centralizada todos los proveedores en una única plataforma: obtener visibilidad sobre su ecosistema de terceros es el primer paso y el más importante.
- Identifique qué terceros (yN-ésimos) corren el riesgo de sufrir una infracción mediante la elaboración de un mapa de las relaciones con los proveedores basado en el uso de la tecnología.
- Haga las preguntas adecuadas a los proveedores adecuados con cuestionarios de evaluación contextual de eventos.
- Reciba alertas tempranas de incidentes permitiendo a los proveedores enviar evaluaciones de eventos de forma proactiva.
- Revele los posibles impactos mediante el seguimiento, la puntuación y la gestión continuos delos riesgos cibernéticos, empresariales, reputacionales y financierosen una única plataforma.
- Mitigue rápidamente los riesgos para su negocio con acceso a directrices correctivas prescriptivas.
- Satisfaga las necesidades de los reguladores, los miembros del consejo de administración y otras partes interesadas con informes proactivos sobre el progresode la respuesta a incidentesy las medidas de mitigación.
3. Cerrar el ciclo de vida de terceros
Los datos del estudio de este año muestran que la disciplina de evaluación de riesgos disminuye a medida que avanza el ciclo de vida del proveedor. A continuación, se ofrecen algunos consejos para abordar los riesgos en las últimas etapas de la relación.
- Cumplimientocontractualydel SLA: A medida que identifica y aborda los riesgos de terceros, es importante realizar un seguimiento de todas las actividades de cada proveedor y distribuidor. Por lo tanto, busque una plataforma TPRM con sólidas capacidades de gestión del ciclo de vida de los contratos. Esto no solo es fundamental para la presentación de informes internos, sino que también puede ser una herramienta valiosa para medir el cumplimiento de los términos acordados, los SLA, los objetivos de KPI y los requisitos de cumplimiento. Los resultados pueden servir de base para las negociaciones en curso con sus socios comerciales y garantizar relaciones comerciales más sólidas y duraderas.
- Desvinculación y rescisión: La desvinculación suele pasarse por alto cuando se trata de la gestión de riesgos de terceros, sin embargo, pueden ocurrir muchas cosas en los últimos días de la relación con un proveedor. La realización de una evaluación de riesgos final puede validar que sus sistemas y datos se desmantelan de forma segura, al tiempo que proporciona registros para demostrar el cumplimiento de las normas de privacidad de datos.
Da los siguientes pasos hacia el curso adecuado de TPRM
Descargue el libro electrónico completo y la infografía para obtener estadísticas adicionales, contexto y recomendaciones para evaluar sus prácticas actuales de TPRM. A continuación, solicite una demostración para una sesión estratégica con un experto en TPRM.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
