En el momento de comenzar a trabajar con un tercero, tu organización se expone a riesgos. La clave es comprender el tipo de riesgo que plantea la relación con cada tercero y establecer las garantías adecuadas.
Cuando se trata de la gestión de riesgos de terceros, las organizaciones suelen analizar los riesgos de ciberseguridad o InfoSec. Sin embargo, existen muchos más riesgos que surgen al trabajar con terceros.
Este artículo, el segundo de nuestra serie sobre cómo crear un programa de gestión de riesgos de terceros, analiza todos los tipos de riesgos que un tercero puede plantearle a tu organización. También hemos hablado con seis expertos en InfoSec y en riesgos de terceros tanto de OneTrust como de empresas del Fortune Global 500 sobre los dominios de riesgo de terceros que deben conocerse y los riesgos que van más allá de los terceros.
Descarga nuestra guía de gestión de riesgos de terceros de InfoSec, que cubre todas las fases a la hora de configurar un programa de gestión de riesgos de terceros, desde la planificación hasta la monitorización y la generación de informes.
¿Qué son los riesgos de terceros?
Los riesgos de terceros son riesgos potenciales que asume toda organización cuando contrata a un tercero para que le proporcione productos o servicios. Entre estas partes externas, se incluyen contratistas, socios, proveedores de servicios, proveedores, vendedores o cualquier otro tipo de tercero.
Aunque las organizaciones tengan sus propios estándares de seguridad, no hay ninguna garantía de que los terceros tengan implementadas estas mismas medidas. Con cada tercero que tenga acceso a los sistemas internos de la empresa o datos confidenciales, aumenta la exposición de la organización frente a posibles riesgos y amenazas.
En palabras de Ruo Xie, vicepresidente de aprovisionamiento y pagos en OneTrust: «el riesgo de terceros no es solo el riesgo de compartir datos o integrar varios sistemas. Estos son riesgos muy importantes que hay que tener en cuenta, pero también hay riesgos de cumplimiento normativo y pagos, que son el núcleo de la salud financiera del proveedor, además de otros muchos riesgos que no son únicamente parte de la seguridad».
¿Qué tipos de riesgos de terceros hay?
A medida que el uso de terceros continúa aumentando, también lo hacen los tipos de riesgos que estos plantean a las organizaciones. El tipo exacto de exposición al riesgo difiere según la organización en función del servicio del tercero que se esté prestando.
Por ejemplo, digamos que tu organización contrata a un tercero para que preste servicios de atención al cliente en línea. Si el tercero no mantuviera actualizados los planes de continuidad o recuperación del negocio, no podría prestar los servicios contratados en caso de brechas de datos, ciberataques, interrupciones energéticas, desastres naturales u otras circunstancias inesperadas. Todos estos, a su vez, se convierten en tipos de riesgos de terceros para tu organización; es decir, riesgos operativos, financieros y de reputación.
Estos son siete riesgos comunes de terceros a tener en cuenta:
Riesgo de ciberseguridad o InfoSec
Los riesgos de ciberseguridad o InfoSec surgen cuando los datos de una organización pueden vulnerarse, comprometerse, exponerse o perderse debido a deficiencias en los controles de seguridad del tercero. Es más probable que esto ocurra cuando los proveedores de servicios tienen acceso a los sistemas internos o datos sensibles de una organización, lo que destaca la importancia de realizar la diligencia debida de terceros y una monitorización continua.
Riesgo operativo
El riesgo operativo se crea cuando un tercero no es capaz de entregar el producto o servicio esperado, lo que provoca una interrupción en las operaciones rutinarias de la organización. Sin importar el motivo del incumplimiento (p. ej., ciberataques, desastres naturales, errores humanos), este riesgo debe abordarse en el contrato o el acuerdo de nivel de servicio. La organización también podría optar por tener un proveedor de respaldo como parte de su propio plan de continuidad del negocio.
Riesgo financiero
El riesgo financiero se produce cuando la salud financiera de un tercero afecta de modo negativo a las finanzas de tu propia organización. Por ejemplo, si un tercero carece de recursos o financiación, podría comenzar a prestar servicios y productos deficientes, lo que resultaría en clientes decepcionados y la pérdida de ventas. Otras formas de riesgos financieros incluyen multas y costes de compensación o reparación. Para mitigar este riesgo, identifica a los terceros que tengan mayor impacto sobre tu rendimiento financiero y audita tus operaciones de forma periódica.
Riesgo jurídico y de cumplimiento normativo
El cumplimiento normativo y los riesgos jurídicos afectan a las organizaciones que tienen que cumplir con las normativas vigentes (p. ej., el RGPD o la DORA) pero que también interactúan con terceros que podrían no tener que cumplir con los mismos estándares. Si no se demuestra el cumplimiento normativo, o peor aún, se produce un ciberataque o una brecha de datos, la organización será responsable de cualquier infracción. Antes de establecer relaciones con un tercero, solicita las certificaciones pertinentes e incluye los requisitos de cumplimiento normativo en tu contrato.
Riesgo estratégico
El riesgo estratégico está presente cuando un tercero impide que una organización pueda cumplir con sus objetivos estratégicos. Aunque esto depende del objetivo concreto, este riesgo suele mitigarse mediante un mejor ajuste y comunicación con el tercero. Inicia el servicio estableciendo los objetivos de ambas partes, así como las métricas clave que se utilizarán para realizar un seguimiento del rendimiento.
Riesgo geopolítico
El riesgo geopolítico es el riesgo que supone un proveedor en función de su ubicación o la ubicación donde se presta el servicio. Esto se está convirtiendo en un riesgo cada vez mayor, puesto que los países siguen actualizando sus legislaciones y normativas, y puede ser casi imposible predecir la estabilidad económica o política de otro país. Para mitigar el riesgo geopolítico todo lo posible, haz balance del número de regulaciones relevantes para el tercero correspondiente. Asimismo, también debes considerar los factores históricos y macroeconómicos de la región: ¿ha habido cambios políticos recientes, interrupciones en la cadena de suministros o sucesos similares?
Riesgo para la reputación
El riesgo para la reputación se produce cuando las acciones que toma un tercero pueden perjudicar de forma potencial la reputación de tu organización. Puede tratarse de una brecha de datos, una demanda o una opinión pública negativa sobre las prácticas de la empresa que salte a los medios. En la mayoría de los casos, los clientes asociarán cualquier noticia asociada con terceros con tu organización. Aunque no puedes prever todos los posibles riesgos que puedan afectar a tu reputación, realizar evaluaciones exhaustivas de terceros y efectuar las diligencias debidas puede ayudar a proteger la reputación de tu organización.
Según José Costa, director sénior de GRC Labs en OneTrust: «también existe un riesgo ético, que al principio podría no ser la principal preocupación del director de seguridad de la información, pero que sí que es algo a tener en cuenta. Por ejemplo, un socio o inversor de capital riesgo podría requerir que solo hagas negocios con empresas éticas. Y, por supuesto, existe el riesgo de vulnerar la confianza de tus clientes, que puede ser el aspecto más complejo porque esto es algo verdaderamente difícil de revertir».
Protege toda tu cadena de suministros
No solo asumes riesgos a raíz de tus terceros, sino que también existen riesgos similares que provienen de sus terceros (cuartas partes o subcontratistas) que también pueden afectar a tu organización.
Según afirma Mullen: «tienes que pensar en toda la cadena, de principio a fin. Si cuentas con 500 socios con los que haces negocios, estos socios también podrían tener miles de terceros con los que ellos también hagan negocios. Por ahí también puede verse comprometida toda la cadena de suministros».
Una encuesta reciente revela que el impacto financiero a raíz de los incidentes de riesgo de terceros o subcontratistas como mínimo se ha duplicado en los últimos cinco años. A pesar de esto, tan solo el 20 % de las organizaciones pueden monitorizar a sus subcontratistas de forma efectiva. Esto se debe a varios factores: Las organizaciones carecen de información sobre sus subcontratistas y los riesgos asociados, carecen de recursos y asumen que sus terceros ya están supervisando a sus subcontratistas.
Esta brecha en el ecosistema de terceros presenta una oportunidad clave. Al aumentar la visibilidad en toda la cadena de suministros, la organización pertinente puede comprender y gestionar mejor los riesgos críticos del subcontratista.
Según comenta Costa: «al fin y al cabo, tienes que entender que incluso si se trata de un tercero que hace algo mal, el problema afecta a tus datos. Tú eres el último responsable y tendrás que enfrentarte a las preguntas de los medios».
Reduce el riesgo, genera confianza y mejora la resiliencia empresarial unificando la gestión de terceros en materia de privacidad, seguridad, ética y ASG. Programa una demostración hoy mismo.
