PHOENIX, May 10, 2023 – Prevalent, Inc., the company that takes the pain out of third-party risk management (TPRM), today announced a new report, The 2023 Third Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?, which provides deep insights into current trends, challenges and initiatives impacting third-party risk management practitioners worldwide.
The findings clearly illustrate that 2022 was a turbulent year for the practice of third-party risk management (TPRM). Over the past year, organizations dealt with the fallout from the Russian invasion of Ukraine and resulting supply chain disruptions, damaging and widespread third-party breaches and security incidents (including LastPass, OpenSSL, Okta, Toyota, and several in healthcare), and emerging regulatory oversight in areas beyond IT security such as ESG. While organizations have matured their TPRM programs since last year’s study, there is still more work to do.
Las principales conclusiones del Estudio sobre gestión de riesgos de terceros de 2023 incluyen:
El 41 % de las empresas sufrió una violación de seguridad por parte de terceros en los últimos 12 meses, pero depende de herramientas superpuestas y procesos manuales, lo que ralentiza la respuesta ante incidentes.
Una abrumadora mayoría de empresas (71 %) afirma que la principal preocupación en relación con el uso de terceros es la violación de datos u otros incidentes de seguridad debidos a prácticas de seguridad deficientes por parte de los proveedores. Sin embargo, los métodos manuales siguen prevaleciendo, con un porcentaje decepcionantemente alto de empresas que utilizan hojas de cálculo y un porcentaje cada vez mayor que utiliza fuentes de noticias para informarse sobre las violaciones. La buena noticia es que las empresas que no supervisan las violaciones de terceros han pasado del 12 % al 4 %.
Las violaciones de datos de terceros y los incidentes de seguridad están impulsando una mayor implicación en la seguridad de la información en TPRM.
El 70 % de los encuestados afirma que la seguridad de la información (InfoSec) está más involucrada que nunca en la gestión de riesgos de terceros, y el 71 % indica que InfoSec es el único responsable del programa TPRM. El 62 % de los encuestados en el estudio de este año indicó que las violaciones de datos y los incidentes de seguridad de terceros fueron los principales factores que impulsaron una mayor participación en la gestión de riesgos de terceros.
Casi la mitad de las empresas siguen utilizando hojas de cálculo.
En 2023 continúa una tendencia decepcionante, ya que un número cada vez mayor de organizaciones (48 %) utiliza hojas de cálculo para evaluar a terceros. Este porcentaje ha aumentado con respecto a 2022 y 2021, cuando el 45 % y el 42 % de las empresas, respectivamente, afirmaron que utilizaban hojas de cálculo. La buena noticia es que solo el 4 % de los encuestados indicó que actualmente no evalúa a terceros, lo que supone una continuación de la tendencia a la baja observada en 2021 (10 %) y 2022 (8 %).
Existe una gran brecha entre el seguimiento y la corrección de los riesgos a lo largo del ciclo de vida y, en promedio, el 20 % de las empresas no están haciendo nada al respecto.
No es de extrañar que la etapa de salida y rescisión del ciclo de vida de la relación con terceros sea la que presenta el porcentaje más bajo de empresas que realizan un seguimiento (47 %) y corrigen (38 %) los riesgos, y el porcentaje más alto de empresas que no hacen nada en absoluto (39 %). La importante diferencia entre el seguimiento y la corrección de riesgos en las fases de evaluación inicial y selección y diligencia debida previa al contrato resulta especialmente sorprendente, ya que estas son las fases principales para descubrir y corregir los riesgos antes de que afecten a la organización.
«Año tras año seguimos observando un aumento significativo de las interrupciones en la cadena de suministro y de los incidentes de seguridad generalizados relacionados con terceros», afirmó Brad Hibbert, director de estrategia de Prevalent. «Y aunque esta encuesta ilustra que las organizaciones están dando prioridad a los programas de gestión de riesgos de terceros, con más personas involucradas en toda la organización y solo un 4 % que afirma no supervisar a sus proveedores externos, aún queda mucho por hacer. Las empresas deben abandonar definitivamente los procesos manuales y asociarse con una solución TPRM automatizada para gestionar los riesgos a lo largo del ciclo de vida de los riesgos de terceros».
Los resultados de este estudio demuestran que los equipos de TPRM están avanzando hacia un enfoque más estratégico de la TPRM, pero hay cuatro áreas que requieren mejoras adicionales para mantener a las empresas en el buen camino:
- Automate Incident Response to Reduce Costs and Risk Exposure: Shortening the gap between incident discovery and mitigation can reduce costs and limit the company’s risk exposure with automated incident response processes. Eliminate spreadsheets or overlapping tools that only tell part of the incident’s origin story.
- Cree una única fuente de información veraz para eliminar los silos y ampliar la visibilidad de los riesgos en toda la empresa: los resultados de este estudio muestran que, aunque los riesgos de seguridad de la información se consideran los más importantes, hay varios equipos empresariales involucrados en la gestión de riesgos de terceros, cada uno con sus propios objetivos, flujos de trabajo, procesos de evaluación y riesgos que revisar. Unifique todos los equipos internos con un único conjunto de flujos de trabajo, perfiles de riesgo de terceros, evaluaciones e informes.
- Do Away with Spreadsheets and Automate Assessment and Monitoring Processes Across the Lifecycle: Invest in a solution that centralizes contract lifecycle management to ensure key contractual provisions are tracked throughout the lifecycle; offers remediation guidance to ensure offboarded vendors meet company compliance and security requirements to an acceptable level of risk; and delivers a prescriptive process to address final tasks and report according to compliance requirements.
- Remediación: Los datos de este estudio muestran una diferencia significativa entre el seguimiento de riesgos y la remediación. Para remediar los riesgos hasta un nivel aceptable para la empresa (o para exigir pruebas de controles compensatorios en lugar de remediaciones específicas), utilice una plataforma de gestión de riesgos de terceros con recomendaciones de remediación integradas.
Lea la entrada del blog y descargue el libro electrónico completo y la infografía para obtener estadísticas adicionales, contexto y recomendaciones para comparar las prácticas actuales de TPRM. Solicite una demostración para una sesión estratégica con un experto en TPRM.
Acerca de Prevalent
Prevalent elimina las dificultades de la gestión de riesgos de terceros (TPRM). Las empresas utilizan nuestro software y nuestros servicios para eliminar los riesgos de seguridad y cumplimiento normativo que conlleva trabajar con proveedores y distribuidores a lo largo del ciclo de vida de la gestión de riesgos de terceros. Nuestros clientes se benefician de un enfoque híbrido y flexible de la TPRM, con el que no solo obtienen soluciones adaptadas a sus necesidades, sino que también consiguen un rápido retorno de la inversión. Independientemente de dónde empiecen, ayudamos a nuestros clientes a eliminar las dificultades, tomar decisiones informadas y adaptar y madurar sus programas de TPRM con el tiempo.
Contacto para la prensa
Angelique Faul, Silver Jacket Communications, 513-633-0897, [email protected]
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
