Riesgos de terceros que deben estar en su radar para 2024

Las relaciones con terceros aparecen cada vez más en las noticias. Y no por buenas razones. Las violaciones de datos relacionadas con terceros están aumentando, las cadenas de suministro siguen bajo presión debido a cuestiones geopolíticas y laborales, y sigue habiendo problemas para retener al personal necesario para satisfacer las necesidades de las organizaciones.

A medida que nos acercamos al final de 2023 en un clima económico complicado, es fundamental que los equipos de gestión de riesgos de terceros planifiquen cómo abordar sus riesgos más importantes. Según nuestro análisis, los riesgos más importantes de los que hay que preocuparse en el nuevo año son:

• Riesgo de ciberseguridad
• Riesgo de reputación
• Riesgo de continuidad del negocio
• Riesgo para la seguridad y la fiabilidad
• Riesgos ambientales, sociales y de gobernanza
• Soborno y corrupción

Esta entrada del blog tratará estos principales riesgos de terceros y proporcionará contexto sobre por qué son importantes, especialmente ahora que entramos en el nuevo año.

Riesgo de ciberseguridad del proveedor

El riesgo de ciberseguridad de terceros se define como una exposición potencial a la confidencialidad, integridad o disponibilidad de la infraestructura y los datos de TI que asume una organización al trabajar con terceros, ya sean proveedores, distribuidores u otros socios comerciales. A menudo se confunde con la gestión de riesgos de los proveedores de TI, que suele ser «responsabilidad» del equipo de seguridad de la información, pero está empezando a considerarse un riesgo empresarial más estratégico y a llamar la atención más allá de los equipos de TI y seguridad. De hecho, según Proofpoint, cada vez son más los miembros de los consejos de administración que prestan más atención que nunca a la ciberseguridad.

Algunos de los riesgos más importantes a los que se enfrentan las cadenas de suministro del siglo XXI son las violaciones de datos y otros incidentes cibernéticos. Estos incidentes pueden poner en peligro a los proveedores, a sus clientes e incluso a los clientes de sus clientes. En muchos casos, las grandes empresas cuentan con sólidos programas de ciberseguridad, pero estos no siempre se extienden a organizaciones de terceros que pueden tener conocimientos y capacidades de ciberseguridad sustancialmente menores. Por lo tanto, las empresas más grandes con los programas de seguridad más sólidos seguirán enfrentándose a posibles riesgos por parte de proveedores más pequeños que probablemente no dispongan de los mismos recursos para dedicar a la protección de datos críticos.

Nuestro reciente estudio confirma el riesgo de ciberseguridad inherente a la cadena de suministro, ya que el 41 % de las empresas sufrieron una filtración de datos de terceros con graves consecuencias en los últimos 12 meses. El hackeo de la transferencia de archivos MOVEit es un ejemplo de ello. La vulnerabilidad se reveló por primera vez en mayo de 2023 y, a finales de septiembre, más de 1000 empresas y más de 60 millones de personas se habían visto afectadas. Aún se desconoce el impacto total de las violaciones de datos derivadas de esta vulnerabilidad y es probable que no se conozca hasta dentro de varios meses. A pesar de ello, no se puede dejar de recalcar el gran número de organizaciones que se han visto afectadas por esta vulnerabilidad.

Los riesgos de ciberseguridad de terceros no solo implican violaciones de datos. También existen ataques a la cadena de suministro de software, como la vulnerabilidad Log4Shell de diciembre de 2021, que provocó un esfuerzo masivo de aplicación de parches en todos los sectores, y la violación de SolarWinds en 2020, en la que los piratas informáticos comprometieron el código base de la empresa para instalar puertas traseras en miles de organizaciones. Más recientemente, el zero-day de Citrix NetScaler tenía el potencial de afectar a miles de organizaciones con un error de ejecución remota de código.

Otros riesgos de ciberseguridad a tener en cuenta en 2024 son, entre otros:

• Credenciales robadas: en muchos casos, los ciberdelincuentes no roban datos directamente cuando explotan las cuentas de correo electrónico o las redes de una empresa. En su lugar, venden nombres de usuario y contraseñas comprometidos en la web oscura a cambio de bitcoins u otras criptomonedas. Según algunas estimaciones, hay más de 24 000 millones de credenciales robadas disponibles en la web oscura. El robo de credenciales reduce el riesgo para los ciberdelincuentes, ya que pueden monetizar inmediatamente los datos exfiltrados sin tener que entrar en cuentas individuales. Para los grupos que actúan como intermediarios de acceso inicial, la filtración de nombres de usuario y contraseñas es la forma en que ganan dinero.
• Acceso virtual a TI: las organizaciones suelen proporcionar a los proveedores acceso a determinados sistemas para facilitar los servicios o las transacciones. Esto es habitual no solo en el caso de los proveedores de servicios gestionados y otros subcontratistas de procesos empresariales, sino también en el de los proveedores que desean utilizar el sistema de cuentas por pagar para enviar facturas. También es uno de los puntos de entrada más deseables para los actores maliciosos y es probable que sea la causa del reciente aumento de los ataques contra los proveedores de servicios gestionados.
• Complejidad normativa y de cumplimiento: según un estudio reciente de Prevalent, el 60 % de las organizaciones se enfrentan a un mayor escrutinio normativo. Numerosos requisitos de cumplimiento abordan el riesgo de ciberseguridad de terceros. Normativas como HIPAA, CMMC, GDPR, CCPA y otras establecen controles directos sobre cómo las organizaciones pueden compartir datos o proporcionar acceso a datos a terceros. No comprender y cumplir los requisitos de cumplimiento puede acarrear enormes problemas legales, normativos y de relaciones públicas para las organizaciones.

En 2024, las organizaciones que deseen mitigar los riesgos de ciberseguridad deberán revisar qué proveedores tienen acceso a sus sistemas y qué nivel de acceso tienen esos terceros. El principio del mínimo privilegio se aplica muy bien en este caso en lo que respecta a los proveedores y prestadores de servicios; limitar el acceso a lo estrictamente necesario a menudo puede crear suficientes obstáculos como para frustrar a los atacantes. Las empresas también deben comprender el riesgo de exposición de sus proveedores mediante un análisis sólido de sus activos expuestos a Internet. Esto se suma a la comprensión de las políticas de seguridad de sus proveedores y de la seguridad de los datos críticos mientras se comparten entre las partes.

Además, las organizaciones deben revisar sus necesidades de cumplimiento normativo y las de sus proveedores para garantizar que todos estén alineados en cuanto a las normativas que deben cumplirse. El seguimiento de esas normativas y la realización de evaluaciones de riesgo de los proveedores con una solución como la que ofrece Prevalent pueden contribuir en gran medida a comprender con precisión el nivel de riesgo que presenta cada proveedor. A medida que continúan los incidentes de seguridad de terceros, se hace cada vez más importante realizar un recuento completo de los riesgos de ciberseguridad en la cadena de suministro.

Riesgo reputacional en la cadena de suministro

Los riesgos reputacionales abarcan amenazas al nombre, la buena voluntad o la credibilidad de una empresa que, en última instancia, pueden afectar a sus ingresos. Aunque el riesgo reputacional es difícil de cuantificar y se presenta de muchas formas, ya sea autoinfligido o procedente de asociaciones comerciales de terceros, puede provocar interrupciones en el negocio, multas, sanciones y pérdidas de ingresos tan graves como los riesgos más tangibles.

Los riesgos reputacionales de los proveedores incluyen:

• Incumplimientos en materia de conducta ética o conclusiones legales y normativas, como cuando un proveedor es sancionado por utilizar mano de obra infantil ilegal o trabajo forzoso para producir bienes.
• Hacer negocios con empresas o personas sancionadas, como las que figuran en la listade la Oficina de Control de Activos Extranjeros (OFAC)del Departamento del Tesoro de los Estados Unidoso en la Lista de Sanciones del Reino Unido.
• Trabajar con una empresa estatal en un país sospechoso de patrocinar el terrorismo, o en el que el soborno o la corrupción son habituales.
• Cuando una persona políticamente expuesta (o PEP) que trabaja para un proveedor se ha visto comprometida.

Las noticias negativas o la cobertura mediática adversa sobre prácticas de contratación poco éticas, problemas de calidad de los productos, actividades delictivas y desastres medioambientales también se consideran riesgos para la reputación. Estos acontecimientos adversos pueden desencadenar campañas de presión sobre las organizaciones que hacen negocios con el proveedor. El problema es que el riesgo para la reputación es difícil de controlar y contabilizar, además de difícil de detectar. Además, el impacto de la prensa negativa puede ser difícil de cuantificar en su negocio. A pesar de ello, la reputación de las marcas ha cobrado mayor importancia en los últimos años como reflejo del éxito empresarial.

En respuesta a estos riesgos para la reputación, las organizaciones deben implementar un proceso exhaustivo de preselección de los socios de la cadena de suministro que incluya información relacionada con los derechos humanos, la lucha contra el soborno y las prácticas medioambientales. Además de la preselección, es necesario realizar evaluaciones periódicas en función de las mejores prácticas y normativas del sector.

En 2024, las organizaciones también deberán considerar la supervisión continua de su reputación. Las fuentes de supervisión deberán incluir noticias sobre proveedores, finanzas, sanciones, personas políticamente expuestas (PEP), empresas estatales y mucho más, y ayudarán a señalar acontecimientos importantes. Además, las organizaciones deberán ser conscientes desus partes N. El riesgo no se limita a sus proveedores. Por eso es importante identificar y visualizar las relaciones entre su organización y las terceras, cuartas y enésimas partes para descubrir dependencias y riesgos.

Por último, es necesario simplificar los informes de cumplimiento normativo. Muchos regímenes normativos exigen a las organizaciones que supervisen la actividad de sus cadenas de suministro. El enfoque más rápido y menos complejo para la elaboración de informes de auditoría consiste en asignar automáticamente cualquier evaluación de riesgos de los proveedores a cualquier normativa o marco regulatorio.

Riesgo de continuidad del negocio asociado a terceros

Los riesgos para la continuidad del negocio en la cadena de suministro pueden adoptar muchas formas. Por ejemplo, un proveedor clave podría declararse en quiebra y no poder cumplir con sus contratos. De hecho, algunos estudios muestran que el 25 % de las empresas se han visto afectadas por la quiebra financiera de un proveedor en el último año.

Las fusiones y adquisiciones también pueden indicar un cambio de estrategia o una consolidación del mercado que podría afectar a la prestación de servicios, los precios o las condiciones contractuales. Además, la rotación de directivos o los problemas legales pueden afectar a la cultura, la estrategia y la capacidad de una organización para cumplir sus objetivos.

Al evaluar a los posibles proveedores, es fundamental conocer la situación financiera de la organización, las obligaciones contractuales existentes y otros factores que podrían impedirles ejecutar eficazmente su contrato. Cuantas menos diligencias debidas se realicen antes de contratar a un proveedor, más probabilidades habrá de que se produzca una interrupción significativa de la actividad empresarial.

Implementar un plan formal y documentado de resiliencia y continuidad empresarial de terceros para gestionar estos riesgos. Los proveedores deben evaluarse de manera uniforme basándose en un conjunto predeterminado de métricas que faciliten la comparación entre proveedores competidores y la identificación de posibles proveedores que puedan tener dificultades para cumplir con sus obligaciones contractuales.

Riesgo de seguridad y fiabilidad de terceros

La seguridad y la fiabilidad son dos aspectos importantes de la gestión de riesgos que se ocupan de la prevención y mitigación de posibles peligros y fallos que pueden afectar al rendimiento, la calidad o la funcionalidad de un producto, sistema o proceso. La seguridad y la fiabilidad son conceptos a menudo relacionados, pero no idénticos. La seguridad se centra en la protección de las personas, los bienes y el medio ambiente frente a posibles daños, mientras que la fiabilidad se centra en la probabilidad de que un producto, sistema o proceso realice la función prevista en condiciones específicas durante un periodo determinado.

La seguridad y la fiabilidad pueden considerarse una categoría de riesgo a la hora de evaluar las posibles consecuencias y la probabilidad de que se produzcan eventos adversos debido a fallos, errores, defectos o mal funcionamiento de un producto, sistema o proceso. Los riesgos de seguridad y fiabilidad pueden tener un impacto significativo en la satisfacción del cliente, la reputación, el cumplimiento normativo y la rentabilidad de una organización. Por lo tanto, es esencial identificar, evaluar y gestionar los riesgos de seguridad y fiabilidad a lo largo del ciclo de vida del producto, desde el diseño hasta la operación y la eliminación.

Una de las normas que proporciona un marco para la gestión de riesgos de seguridad y fiabilidad es la ISO 13849-1, que define las categorías de seguridad y los niveles de rendimiento para los componentes relacionados con la seguridad de un sistema de control. Las categorías de seguridad se basan en la disposición estructural y la fiabilidad de los componentes, mientras que los niveles de rendimiento se basan en la probabilidad de fallos peligrosos y la cobertura diagnóstica del sistema.

Otra norma que aborda la gestión de riesgos de seguridad y fiabilidad es la IEC 61508, que define los niveles de integridad de seguridad para la seguridad funcional de los sistemas eléctricos, electrónicos y electrónicos programables. Los niveles de integridad de seguridad se basan en la probabilidad de fallo bajo demanda y la frecuencia media de fallos peligrosos del sistema.

Para los equipos de gestión de riesgos de terceros, esto puede significar hacer preguntas sobre las prácticas generales de seguridad y los programas de mantenimiento de los proveedores clave. Es especialmente importante comprender los riesgos de seguridad en las industrias pesadas, como la manufactura, o en el sector de la extracción de recursos, como la minería o el petróleo y el gas. La fiabilidad de la maquinaria también es un factor importante, por lo que es fundamental comprender las prácticas de mantenimiento. Comprender estas prácticas entre los proveedores puede ayudar a las organizaciones a incorporar planes de contingencia en su flujo de trabajo en caso de que se produzca un incidente de seguridad o fiabilidad y se corra el riesgo de interrumpir la cadena de suministro.

Riesgos medioambientales, sociales y de gobernanza (ESG) de los proveedores

Los riesgos ambientales, sociales y de gobernanza están relacionados con un amplio espectro de conductas corporativas. A menudo, pueden ser difíciles de detectar hasta que llegan a las portadas de los principales sitios web de noticias. Para entonces, la reputación de la empresa puede ya estar mancillada o en peligro de estarlo. Esta categoría de riesgos, conocida habitualmente como «ESG», incluye:

• E = Medio ambiente: mide e informa sobre los valores y compromisos de la organización en relación con la gestión del mundo natural y el medio ambiente. Incluye la presentación de informes y el seguimiento de las iniciativas medioambientales de la organización en materia de cambio climático, gestión de residuos, contaminación, uso y agotamiento de recursos, gases de efecto invernadero, etc.
• S = Social: Medidas e informes sobre los valores y compromisos de la organización en relación con el trato que dispensa a las personas. Esto incluye las relaciones con los empleados y los clientes/socios, los derechos humanos (por ejemplo, la lucha contra la esclavitud), la diversidad y la inclusión, la lucha contra el acoso y la discriminación, la privacidad de las personas (tanto empleados como otras personas), las condiciones de trabajo y las normas laborales (por ejemplo, el trabajo infantil, el trabajo forzoso, la salud y la seguridad), y cómo la empresa participa y retribuye a la sociedad y a las comunidades en las que opera.
• G = Gobernanza: Mide e informa sobre la cultura y los comportamientos de la organización en el contexto y la alineación con sus valores y compromisos. Esto incluye estrategias financieras y fiscales, denuncia de irregularidades y notificación de problemas, resiliencia, lucha contra el soborno y la corrupción, seguridad, diversidad y estructura del consejo de administración/ejecutivo, y transparencia y rendición de cuentas generales.

Los riesgos ESG están aumentando a medida que las empresas se enfrentan a un mayor escrutinio por parte de los reguladores, los auditores y los consumidores. Los riesgos medioambientales incluyen el cambio climático y la forma en que las empresas planean hacer frente a los cambios en los patrones climáticos y los desastres naturales. También se está prestando más atención a los «químicos eternos», como los PFAS, además de otros riesgos relacionados con el clima.

La gestión de los criterios ESG va de la mano con el riesgo y el cumplimiento normativo. Una supervisión adecuada de los criterios ESG requiere experiencia en la gestión de riesgos de terceros y el cumplimiento de las normativas asociadas. Las responsabilidades de las empresas en materia de criterios ESG y la gestión de riesgos de terceros se entrecruzan en gran medida debido a la complejidad de las cadenas de suministro actuales.

La presión regulatoria también está aumentando. La Comisión de Bolsa y Valores de Estados Unidos (SEC)propuso normas que exigen«cierta información relacionada con el clima en sus declaraciones de registro e informes anuales», incluidas «las cadenas de valor ascendentes y descendentes». El Parlamento de la Unión Europea (UE)presentó mandatos para quelas empresas de la UE «identifiquen y, cuando sea necesario, prevengan, pongan fin o mitiguen los efectos adversos de sus actividades sobre los derechos humanos, como el trabajo infantil y la explotación de los trabajadores, y sobre el medio ambiente, por ejemplo, la contaminación y la pérdida de biodiversidad».

Los riesgos ESG puedenser difíciles de mitigar debido a la naturaleza multifacética de la categoría. Al igual que con el riesgo financiero, es importante incluir revisiones ESG durante el proceso inicial de diligencia debida para los posibles proveedores, antes de firmar cualquier contrato. Dado que múltiples regulaciones centradas en ESG ahora responsabilizan a las empresas por cuestiones como el soborno y la esclavitud en sus cadenas de suministro, es fundamental realizar un mapeo de relaciones y un análisis de riesgos de cuarta y enésima parte para descubrir cualquier problema potencial en la cadena de suministro que pueda arrojar una luz negativa sobre su organización.

• No pase por alto los criterios ESG durante el proceso de adquisición: para realizar una comprobación rápida del riesgo ESG de los posibles proveedores (o ponerse al día con los proveedores existentes), considere la posibilidad de suscribirse auna red de inteligencia de riesgos de proveedores. Estas redes son repositorios de informes de riesgos de proveedores bajo demanda, recopilados a partir de evaluaciones completadas y datos de supervisión externa. Una buena red proporcionará información sobre varios tipos de riesgos, incluidos los ESG.

• Incluya preguntas sobre ESG en las evaluaciones periódicas de riesgos: para obtener una visión más personalizada del riesgo ESG de sus proveedores actuales, puede realizarevaluaciones de riesgos de los proveedores basadas en cuestionarios. Con la plataforma TPRM adecuada, puede asignar automáticamente las respuestas de la evaluación a los requisitos de su empresa, así como a varias normativas industriales y gubernamentales.

• Reconozca que los riesgos ESG pueden surgir en cualquier momento: manténgase al tanto de los acontecimientos relacionados con ESG a medida que surgen, llevando a caboun seguimiento continuo de los riesgos de terceros en todosu ecosistema de proveedores.Las soluciones de seguimiento de riesgos puedencorrelacionar investigaciones de miles de fuentes para identificar todo, desde noticias negativas hasta infracciones de cumplimiento que afecten a sus proveedores.

En 2024, estos riesgos parecen ser aún más graves. El cambio climático es una categoría de riesgo creciente ante los múltiples fenómenos meteorológicos extremos, como los incendios forestales de junio de 2023 en Canadá, las tormentas de hielo de febrero en Texas y las inusuales olas de calor de septiembre en Australia. Esto hace necesario examinar más detenidamente los riesgos medioambientales, especialmente en lo que se refiere a la resiliencia de la cadena de suministro.

Además, los riesgos relacionados con la responsabilidad social parecen estar aumentando. Las regulaciones sobre la esclavitud moderna y el trabajo infantil, como se mencionó anteriormente, están creciendo en todo el mundo. Los gobiernos de Europa, América del Norte y Asia-Pacífico han comenzado a prestar más atención a las condiciones laborales en las instalaciones de fabricación a nivel mundial. A medida que más consumidores toman decisiones de compra con conciencia social, las empresas deben examinar más detenidamente sus políticas de responsabilidad social corporativa y exigir responsabilidades a sus proveedores.

Riesgos de soborno y corrupción en las relaciones con terceros

El riesgo de soborno y corrupción seguirá siendo un reto en 2024. La Ley de Prácticas Corruptas en el Extranjero (FCPA) de EE. UU. sigue aplicándose de forma estricta a las empresas que desean hacer negocios en Estados Unidos, y otras jurisdicciones también cuentan con legislación anticorrupción para las empresas locales y extranjeras. En conjunto, las relaciones con terceros representan uno de los riesgos de soborno y corrupción más importantes para las organizaciones.

Al analizar las medidas adoptadas para combatir el soborno y la corrupción en virtud de la FCPA,la Facultad de Derecho de Stanford descubrióque más del 90 % de los incidentes involucran a un tercero intermediario. Todos los terceros que actúan como agentes de una empresa, tales como distribuidores, representantes de ventas, corredores, consultores, transportistas y grupos de presión, pueden exponer a la organización a responsabilidades por soborno y corrupción.

De hecho, una empresa puede ser considerada responsable de las acciones de terceros, incluso si la empresa afirma no tener conocimiento de un incidente. A menudo, todo lo que se necesita para una acusación es una «alta probabilidad» de soborno o pruebas de que una empresa «ignoró deliberadamente» la corrupción de un tercero en su nombre.

La aplicación de las leyes ABAC se está ampliando. En el Reino Unido,la Oficina de Fraudes Graves (SFO)ha ampliado sus actividades de aplicación. Y laDirectiva de la UniónEuropeasobre la diligencia debida obligatoria en materia de derechos humanos, medio ambiente y buena gobernanza exigiráuna diligencia debida significativa a las organizaciones que operan en los países de la UE, quedando ABAC incluida en la sección de buena gobernanza.

En 2024, la preocupación por el soborno y la corrupción seguirá aumentando entre las organizaciones de los países con una aplicación agresiva de la ley. Es probable que el largo brazo de la FCPA estadounidense siga extendiéndose, dada la importancia de Estados Unidos como mercado internacional y fuente de productos acabados. Las empresas sujetas a la jurisdicción de la FCPA y otras medidas anticorrupción harían bien en analizar la situación financiera de sus proveedores para asegurarse de que no se ven envueltos en ninguna actividad que pueda dar lugar a una investigación por corrupción.

El riesgo de terceros ahora y en el futuro

Las empresas se enfrentan a un entorno de riesgos de terceros cada vez más problemático. El número y la variedad de riesgos en las categorías descritas anteriormente, incluidos los ciberataques, los riesgos de continuidad, los problemas de reputación y otros, probablemente dificultarán la actividad empresarial en 2024.

Las organizaciones, grandes y pequeñas, deben analizar detenidamente sus estrategias de TPRM para 2024, asegurándose de tener en cuenta la complejidad de su entorno de riesgo y cuantificando el impacto real de los riesgos descritos en este informe. Además, las organizaciones deben priorizar estas categorías de riesgo en función de sus estrategias corporativas. La ciberseguridad podría ser una preocupación mayor que el riesgo reputacional en 2024, por ejemplo, lo que llevaría a los gestores de riesgos a hacer hincapié en la protección de la organización contra las amenazas cibernéticas. Del mismo modo, tal vez la continuidad del negocio sea una prioridad mayor. En última instancia, las organizaciones deben tomar esas decisiones y centrarse en reducir o mitigar los riesgos que más preocupan a sus negocios.

Para obtener más información sobre cómo Prevalent puede ayudarle a gestionar su programa de riesgos de terceros, regístrese hoy mismo para obtener una demostración.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.