El estado de la gestión de riesgos de terceros
Reflexiones sobre los resultados de la una encuesta sobre TPRM (Third Party Risk Management, o gestión del riesgo de terceros) que recientemente ha publicado (marzo, 2024) la compañía RiskRecon y que nos ha resultado muy interesante, sobre todo, en relación a nuestro Estudio sobre la seguridad en la cadena de suministro.
Se incrementa el número de proveedores y su nivel de riesgo
El estudio indica que se ha doblado el número de organizaciones que gestionan, al menos, 250 proveedores alcanzando el 26%. Siendo casi la mitad (un 44%) las que gestionan más de 100 [En este punto hay que mencionar que puede existir cierto sesgo en el estudio puesto que sólo ha habido 112 respuestas y, normalmente los encuestados habrán sido clientes de RiskRecon que, en principio, serán entidades grandes con muchos proveedores].
Y además el nivel de criticidad es alto, pues casi el 20% indican que la mitad de sus proveedores podrían causar un impacto operativo grave.
Finalmente, ha subido el número de organizaciones que han sufrido un incidente a través de un tercero hasta el 23%. Aquí hemos de destacar que, en nuestro último estudio ese porcentaje era de un 40,5%, y también en subida respecto a años anteriores.
El 90% de los encuestados consideran TPRM como una prioridad creciente.
Ciertamente, regulaciones como DORA o las últimas reglas de la SEC sobre ciber-eventos, enfatizan la importancia de este proceso, pero cada vez, la gestión del riesgo cobra más importancia que el mero cumplimiento.
En cuanto al número de personas dedicadas a TPRM, hay datos muy interesantes:
un 6% de compañías dedican… ¡¡más de 15 personas a TRPM!!
casi la mitad de compañías (un 48%) dedican entre 1 y 3 personas
más de la mitad de los encuestados (un 57%) considera que los equipos dedicados son insuficientes.
Sin duda, considerando el número de proveedores que se recogía en el punto anterior, si se quieren utilizar sistemas propios para evaluarlos (cuestionarios, revisiones in situ, etc.) el esfuerzo es ingente (y creciente) que, además es muy difícil de justificar en el tiempo.
Los cuestionarios siguen siendo la estrella, aunque los ratings son el mecanismo que más crece
Coincidimos con la visión de RiskRecon en que esto se debe a los factores comentados (incremento en el número de proveedores, creciente importancia de TPRM y la escasez de recursos) puesto que los sistemas de rating son más eficientes.
De hecho, pensamos que el sistema de rating basado en la evaluación de las capacidades de ciberseguridad, que no en el análisis de la superficie de exposición en Internet, es además más eficaz puesto que a diferencia de los anteriores, la visión que se obtiene de la postura de seguridad es mucho más completa que cualquier otro sistema y, además, validado por una auditoría in situ.
Otro aspecto curioso es la longitud de los cuestionarios (las trescientas preguntas máximas de E-Qualify siempre generan dudas):
Sólo un 3% tienen 10 preguntas o menos.
Uno de cada 3 cuestionarios tienen entre 100 y 400 preguntas.
Y, como decíamos, los cuestionarios se usan a pesar de que… ¡¡sólo un 4% confían en los resultados de las encuestas!! ya que un 80% indican que han recibido respuestas incorrectas (a pesar de que un 30% indican que, al menos, un 75% de sus proveedores pasan la evaluación sin mayor problema).
Nuestra reflexión a este respecto es un poco más extensa. El mayor reto que afrontan las organizaciones para implementar un proceso de TPRM es entender cómo de seguros son sus proveedores porque los mecanismos actuales (certificaciones y auditorías, fundamentalmente) no les proporcionan dicha información de manera sencilla y comprensible, lo que les ‘obliga’ a preguntarles por esa información, lo que realizan a través de los cuestionarios.
No es que vayan a 'confiar’ en los proveedores por preguntarles, sino que lo que se busca es poder entender cómo de seguros son para, a partir de ahí, evaluar el riesgo residual. Además, estos cuestionarios ayudan a demostrar ante terceros que se 'está haciendo algo’ en materia de TPRM lo cual es importante, sobre todo, de cara a los supervisores.
En cualquier caso, la mejora de la transparencia y la implementación de una medida comprensible de los niveles de ciberseguridad contribuyen sin duda a procesos de TPRM más eficaces y eficientes.