Gestionando el aumento del riesgo de terceros: estrategias para una mejor supervisión
Gestionando el aumento del riesgo de terceros: estrategias para una mejor supervisión
En el actual interconectado panorama empresarial, las organizaciones dependen más que nunca de terceros: proveedores de servicios en la nube, proveedores de SaaS, socios de la cadena de suministro y contratistas. Si bien este ecosistema acelera la innovación y la eficiencia, también aumenta la exposición al riesgo. Como bien dice el dicho, una organización es tan segura como su proveedor más vulnerable.
Casi un tercio de las organizaciones encuestadas por International Data Corporation (IDC) identifican la gestión de riesgos de terceros como una debilidad importante, lo que la convierte en una de las deficiencias más citadas en todos los sectores. Junto con la gestión de vulnerabilidades, esta falta de supervisión sigue alimentando amenazas evitables impulsadas desde el exterior. El mensaje es claro: las organizaciones deben replantearse su enfoque de la gestión de riesgos de terceros.
Al mismo tiempo, la superficie de ataque se ha ampliado. Cada nuevo proveedor representa otra puerta de entrada al negocio. Las violaciones de seguridad de alto perfil han demostrado cómo los atacantes se aprovechan de socios de confianza para causar importantes daños financieros, operativos y de reputación. El intercambio de datos a gran escala se suma al desafío, ya que la información confidencial fluye más allá del perímetro de la empresa.
Muchos líderes admiten que no están preparados. La misma encuesta de IDC reveló que el riesgo de la cadena de suministro ocupaba el segundo lugar entre los riesgos para los que los líderes empresariales se sentían menos preparados. IDC muestra que, si bien los ataques a la cadena de suministro se encuentran entre las tres principales amenazas cibernéticas, a menudo ocupan un lugar mucho más bajo en las prioridades declaradas por los ejecutivos. El problema no es la concienciación, sino la ejecución.
Las prácticas de supervisión suelen estar obsoletas. La responsabilidad por los riesgos de terceros suele estar fragmentada entre los departamentos de compras, TI y seguridad, sin una responsabilidad clara. Las evaluaciones de los proveedores siguen considerándose en gran medida como eventos puntuales en el momento de la incorporación y, con demasiada frecuencia, las empresas se basan en cuestionarios estáticos y auditorías anuales en lugar de una supervisión en tiempo real para mantenerse al día con el entorno de amenazas actual.
En un mundo de riesgos interconectados, la capacidad de gestionar eficazmente las relaciones con terceros es clave para crecer de forma segura, innovar con confianza y estar preparados para lo que venga.
Para explorar todos los resultados y conclusiones:
Casi un tercio de las organizaciones encuestadas por International Data Corporation (IDC) identifican la gestión de riesgos de terceros como una debilidad importante, lo que la convierte en una de las deficiencias más citadas en todos los sectores. Junto con la gestión de vulnerabilidades, esta falta de supervisión sigue alimentando amenazas evitables impulsadas desde el exterior. El mensaje es claro: las organizaciones deben replantearse su enfoque de la gestión de riesgos de terceros.
¿Por qué está aumentando el riesgo con proveedores externos?
El riesgo de terceros está creciendo rápidamente, impulsado por las presiones globales y digitales. Las tensiones geopolíticas, las cadenas de suministro fragmentadas y los efectos persistentes de la COVID-19 han alterado lo que antes era predecible. Las restricciones comerciales, los cambios normativos y la inestabilidad regional hacen que las relaciones con los proveedores sean ahora menos estables, especialmente para las organizaciones del mercado medio con exposición internacional.Al mismo tiempo, la superficie de ataque se ha ampliado. Cada nuevo proveedor representa otra puerta de entrada al negocio. Las violaciones de seguridad de alto perfil han demostrado cómo los atacantes se aprovechan de socios de confianza para causar importantes daños financieros, operativos y de reputación. El intercambio de datos a gran escala se suma al desafío, ya que la información confidencial fluye más allá del perímetro de la empresa.
Muchos líderes admiten que no están preparados. La misma encuesta de IDC reveló que el riesgo de la cadena de suministro ocupaba el segundo lugar entre los riesgos para los que los líderes empresariales se sentían menos preparados. IDC muestra que, si bien los ataques a la cadena de suministro se encuentran entre las tres principales amenazas cibernéticas, a menudo ocupan un lugar mucho más bajo en las prioridades declaradas por los ejecutivos. El problema no es la concienciación, sino la ejecución.
Las prácticas de supervisión suelen estar obsoletas. La responsabilidad por los riesgos de terceros suele estar fragmentada entre los departamentos de compras, TI y seguridad, sin una responsabilidad clara. Las evaluaciones de los proveedores siguen considerándose en gran medida como eventos puntuales en el momento de la incorporación y, con demasiada frecuencia, las empresas se basan en cuestionarios estáticos y auditorías anuales en lugar de una supervisión en tiempo real para mantenerse al día con el entorno de amenazas actual.
Creación de un programa resiliente para la gestión de riesgos de proveedores
Reconocer los retos es solo el primer paso. La verdadera oportunidad reside en crear un programa de gestión de riesgos de proveedores externos (TPRM) que sea resiliente, colaborativo y basado en la inteligencia. En lugar de tratar la supervisión de los proveedores como una lista de verificación, la resiliencia proviene de integrar la gestión de riesgos en todo el ciclo de vida del proveedor, desde la selección hasta la colaboración activa y la salida segura.Antes de la incorporación: establecer las bases
- Realice una debida diligencia exhaustiva y aplique una clasificación de riesgos para identificar a los proveedores de alta criticidad.
- Incluya requisitos claros en los contratos y los acuerdos de nivel de servicio (SLA), y coordine con los departamentos de compras y jurídico para establecer la responsabilidad desde el primer día.
- Capacite a los terceros sobre sus políticas y normas de seguridad, y establezca expectativas claras.
- Diversifique mediante el flexisourcing (nearshoring y friendshoring) para reducir la dependencia de regiones de alto riesgo y reforzar la continuidad de la cadena de suministro.
Durante la relación: supervisión activa y colaboración
- Pase de las revisiones anuales al seguimiento continuo mediante el uso de análisis, automatización e inteligencia artificial para obtener información en tiempo real.
- Colabore con los proveedores para adoptar normas comunes (ISO, NIST, RGPD, HIPAA) con el fin de generar confianza y coherencia.
- Utilice auditorías periódicas, ejercicios conjuntos y métricas centradas en los resultados (como la reducción del número de incidentes, la detección más rápida y la corrección más rápida) para medir el éxito.
Después de la relación: salida segura
- Revocar el acceso, devolver o eliminar datos confidenciales y confirmar que se cumplen las obligaciones.
- Realizar revisiones posteriores al compromiso e incorporar las lecciones aprendidas en los procesos de gobernanza y adquisición.
Conclusión
El riesgo de los proveedores externos seguirá aumentando a medida que las redes empresariales estén cada vez más interconectadas, pero esto no tiene por qué obstaculizar la innovación. Con una gobernanza adecuada, una supervisión continua y unas relaciones resilientes con los proveedores, las organizaciones pueden cambiar el rumbo de la situación. Al adoptar estrategias de supervisión proactivas, aprovechar la tecnología e integrar la ciberseguridad en las relaciones con los proveedores, las organizaciones pueden desarrollar su resiliencia y fomentar la confianza.En un mundo de riesgos interconectados, la capacidad de gestionar eficazmente las relaciones con terceros es clave para crecer de forma segura, innovar con confianza y estar preparados para lo que venga.
Para explorar todos los resultados y conclusiones:
- Descargue el Informe de IDC
- Explore nuestras herramientas para evaluar la gestión de riesgos de proveedores de su organización.