Nota del editor: Este artículo, escrito por Alastair Parr, director ejecutivo de GRC Solutions en Mitratech, se publicó originalmente encybersecurityinsiders.com.
Con la llegada del nuevo año, las organizaciones están empezando a planificar para 2025 y a elaborar presupuestos para ayudar a que estos planes se hagan realidad. La gestión de riesgos fue fundamental el año pasado tanto en la planificación como en la elaboración de presupuestos, y no hay indicios de que esta tendencia vaya a ralentizarse. Debido a las nuevas leyes, gestionar los riesgos de una organización significa cada vez más mitigar los riesgos de hacer negocios con otras organizaciones. Si usted dirige una empresa, un punto débil en la postura de seguridad de un proveedor o socio podría ser también una debilidad en su propia seguridad. Los problemas de seguridad y transparencia de sus socios son ahora los suyos, gracias a las nuevas regulaciones. Las preocupaciones sobre la geopolítica y su efecto en las cadenas de suministro también significan que la gestión de riesgos puede ser una consideración aún más importante el próximo año.
Por estas razones, la forma en que las organizaciones practican la gestión de riesgos de terceros (TPRM) está evolucionando rápidamente. El año pasado fue muy importante en lo que respecta a la gestión de riesgos de terceros. Aun así, es probable que las organizaciones se den cuenta de que en 2025 será necesario prestar la misma atención a la resiliencia empresarial, la sostenibilidad y la transparencia.
Teniendo esto en cuenta, aquí hay siete predicciones sobre cómo evolucionará y cambiará la gestión de riesgos de terceros en 2025:
1. Gracias a la IA, será posible realizar informes predictivos y comparativos, así como acelerar los flujos de trabajo de evaluación y documentación.
La IA dejó sentir su presencia en el TPRM el año pasado, y hay motivos para creer que desempeñará un papel fundamental en 2025 y más allá, a medida que las organizaciones comprendan mejor su implementación de la IA con el tiempo y utilicen la tecnología para automatizar las evaluaciones de riesgos, mejorar su toma de decisiones y detectar cualquier problema con mayor rapidez.
Los modelos lingüísticos grandes (LLM) y otros sistemas basados en inteligencia artificial están preparados para ayudar a las empresas a supervisar los riesgos de terceros en tiempo real mediante el análisis de grandes conjuntos de datos y la identificación de patrones que podrían indicar riesgos emergentes. Estas tecnologías también proporcionarán a las organizaciones nuevas capacidades para examinar las pruebas justificativas y detectar cualquier contradicción entre las respuestas de la evaluación y la documentación.
Sin embargo, la IA solo tendrá éxito si se sustenta en sólidas políticas de seguridad de los datos, transparencia y gobernanza. Su implementación se verá frenada si estas faltan. El año pasado, por ejemplo, soloel 5 % de las empresasafirmaron utilizar activamente la IA en sus programas de TPRM debido a la falta de gobernanza. Sin embargo, es probable que estas cifras cambien significativamente en 2025, a medida que las empresas se adapten y se sientan cómodas utilizando la IA para automatizar tareas y generar informes.
2. Las nuevas regulaciones coordinarán los requisitos e impulsarán una mayor diligencia debida.
En todo el mundo, se espera que los gobiernos y los reguladores refuercen los requisitos de gestión de riesgos de terceros, especialmente en lo que respecta a la privacidad de los datos,los criterios ESG (medioambientales, sociales y de gobernanza) y la resiliencia empresarial. Las empresas transfronterizas se enfrentarán a retos de cumplimiento más complejos, que podrán aliviarse en parte gracias a los esfuerzos por armonizar y racionalizar las normas globales para simplificar el cumplimiento.
Las empresas deben evaluar más rigurosamente a los proveedores externos y otros socios, centrándose en la resiliencia y el impacto medioambiental. En Estados Unidos, la ley DORA (Digital Operational Resilience Act) puede servir de modelo para el desarrollo de normas de resiliencia operativa en el sector financiero, en consonancia con los esfuerzos de la Oficina del Contralor de la Moneda. El auge de las normas ESG, como la CSRD y la CSDDD de la UE, obligará a las empresas a evaluar detenidamente las prácticas de sostenibilidad de sus socios, como las emisiones de carbono, las prácticas laborales y el abastecimiento ético.
3. La geopolítica impulsará a las organizaciones a evaluar los riesgos de concentración y resiliencia.
La inestabilidad política en Oriente Medio, África Oriental, el Mar de China Meridional y Ucrania está llevando a las empresas a supervisar más de cerca sus ecosistemas ampliados. Las organizaciones están intensificando su análisis de los propietarios finales de las empresas (UBO) y las personas clave para anticiparse mejor a las perturbaciones y evitar el riesgo de sanciones. Además, están ampliando los datos firmográficos de los proveedores para obtener información sobre los riesgos de concentración regional y tecnológica, con el objetivo de minimizar el tiempo de inactividad potencial.
4. La responsabilidad por los riesgos de terceros se integra en la cultura empresarial.
Históricamente, los equipos de seguridad informática dirigían los programas de TPRM debido al enfoque en los riesgos de la infraestructura informática. Sin embargo, a medida que aumentan las amenazas cibernéticas y surgen nuevos riesgos, el TPRM debe cambiar hacia un enfoque más colaborativo y que abarque toda la empresa. Es probable que el TPRM pase a ser competencia de los equipos de riesgo empresarial para integrarlo mejor en los procesos comerciales más amplios. Los equipos de compras también desempeñarán un papel más importante, ya que el abastecimiento, la diligencia debida y la salida de proveedores son cada vez más críticos para gestionar el riesgo de manera eficaz en toda la organización. Esto representa un cambio importante en la forma en que se mitiga el riesgo en la actualidad.
5. Una perspectiva consolidada de la junta directiva requerirá la centralización de los informes de riesgos de GRC y TPRM.
A medida que la gestión de riesgos de terceros (TPRM) se integra cada vez más en la gestión de riesgos empresariales, se ampliará a funciones más amplias de gobernanza, gestión de riesgos y cumplimiento normativo (GRC). Los consejos de administración y la alta dirección exigirán cada vez más una visión consolidada y centrada en el impacto empresarial de los riesgos internos o externos. Para prepararse, las organizaciones deben desarrollar e informar sobreindicadores clave de riesgounificados, accesibles tanto para las partes interesadas del ámbito empresarial como para las no técnicas, lo que permitirá obtener una visión más clara de la exposición al riesgo y su impacto en toda la empresa.
6. La agregación de riesgos mejora el enfoque en la resiliencia empresarial
Dado que los incidentes de ciberseguridad relacionados con terceros siguen siendo muy frecuentes, y es probable que sigan proliferando, las empresas deben evaluar el riesgo colectivo que supone todo su ecosistema de terceros. Reconocer cómo los riesgos interconectados pueden afectar a múltiples proveedores será esencial para mantener la resiliencia de las cadenas de suministro.
Las organizaciones pueden abordar este problema adoptando una supervisión continua y agregada en todos los ámbitos de riesgo, como el cibernético, el operativo, el reputacional, el ESG y el financiero, para detectar rápidamente los cambios en los perfiles de riesgo de terceros. Los datos en tiempo real permitirán respuestas más rápidas y eficaces a las amenazas, lo que mejorará la resiliencia general de la empresa.
7. El punto de inflexión para las violaciones de datos de terceros
En los últimos años, elnúmero de incidentes de ciberseguridad de tercerosha crecido significativamente, pasando del 21 % de las empresas que informaron de un incidente de este tipo en 2021 a más del 60 % que lo hizo en 2024. Las infracciones también han aumentado en gravedad, con millones de personas afectadas. Es de esperar que los ciberdelincuentes redoblen sus esfuerzos en 2025, dirigiéndose a terceros que prestan apoyo a sectores sensibles y de gran repercusión, como los proveedores de servicios sanitarios, las empresas de servicios financieros, las instituciones educativas, los gobiernos estatales y los fabricantes.
Mirando hacia el futuro
El ritmo de cambio en la forma en que las organizaciones gestionan los riesgos de terceros se está acelerando. La mayor atención prestada a la resiliencia empresarial, la implantación de nuevos programas de inteligencia artificial y las nuevas regulaciones harán que los programas de gestión de riesgos de terceros (TPRM) sean más dinámicos y eficaces.
Al adoptar las innovaciones y mantenerse a la vanguardia de las tendencias en rápida evolución, las organizaciones pueden gestionar eficazmente los riesgos de terceros, incluso en un panorama cambiante de asociaciones comerciales y requisitos normativos.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
