A medida que los problemas y las infracciones relacionados con terceros se vuelven más frecuentes y costosos, su impacto general en las operaciones comerciales y la confianza en la marca se ha vuelto imposible de ignorar. Una estadística alarmante en el Informe de investigaciones sobre filtraciones de datos de Verizon de 2025 destacó que el 30% de las filtraciones de datos involucraron a un tercero, un 15% más que el año anterior, lo que convierte la gestión de riesgos de terceros en una de las principales preocupaciones de los CISO.
Los CISO de ESAF de RSAC transforman la gestión de riesgos de terceros
Aunque la tecnología moderna que ofrecen los proveedores externos proporciona a las empresas una gran cantidad de capacidades para optimizar y automatizar los procesos, cada proveedor se convierte en un nuevo vector de ataque y expone a las empresas a nuevos riesgos.
Los problemas tecnológicos de los proveedores a menudo conducen a fallos operativos, tiempo de inactividad del sistema, infracciones de cumplimiento, filtraciones de datos y daños a la reputación, lo que afecta la confianza en la marca. En un intento por demostrar resiliencia ante el consejo de administración, los CISO se dan cuenta de que ya no pueden gestionar el riesgo de terceros de forma aislada. En cambio, deben gestionarlo de forma proactiva, integrándolo en su estrategia más amplia de ciberseguridad, GRC y resiliencia organizativa.
Los proveedores externos son una parte integral del ecosistema de una organización, y cualquier fallo puede causar consecuencias catastróficas. A medida que los proveedores se convierten en parte de la empresa extendida, las empresas esperan que mantengan los mismos estándares en la planificación de la continuidad del negocio, el cumplimiento normativo, las certificaciones, la respuesta a incidentes y la gestión de riesgos. Por lo tanto, es fácil ver por qué las organizaciones consideran cada vez más la gestión de riesgos de terceros no como una disciplina aislada, sino como una extensión de sus procesos existentes.
Cuando se hace bien, la gestión de riesgos de terceros puede utilizarse como una ventaja estratégica para capacitar a las organizaciones para que adopten nuevas tecnologías y métodos de trabajo más inteligentes. Los CISO innovadores pueden aprovechar la gestión de riesgos de terceros y utilizarla como un facilitador para avanzar rápidamente con la IA, las soluciones de tecnología en la nube y las integraciones de terceros. En lugar de bloquear la innovación para evitar el riesgo, unas prácticas sólidas de gestión de riesgos de los proveedores deberían permitirle colaborar con confianza con nuevos socios prometedores, con la incorporación, las expectativas y los controles adecuados.
Informes recientes destacan el riesgo de terceros como una preocupación para toda la empresa
Con un uso tan generalizado de las tecnologías de terceros, uno podría suponer que las organizaciones priorizarían la gestión de sus riesgos asociados. Pero, en el último informe de Forrester, El estado de la gestión de riesgos de terceros, 2024, solo el 8% de los responsables de la toma de decisiones sobre la gestión de riesgos a nivel mundial seleccionaron el riesgo de terceros entre sus 5 principales preocupaciones sobre la gestión de riesgos empresariales.
A primera vista, los resultados sugieren que las organizaciones prestan una atención limitada al riesgo de terceros. Sin embargo, una mirada más atenta revela que los principales riesgos identificados por los líderes de riesgo, como la privacidad de los datos, la seguridad de la información, la tecnología emergente, el cumplimiento normativo, la continuidad del negocio, el riesgo operativo y el riesgo de la cadena de suministro, están intrínsecamente vinculados a las relaciones con terceros. Por lo tanto, en lugar de considerar el riesgo de terceros como una categoría independiente, los resultados de la encuesta sugieren que las organizaciones reconocen que la gestión de riesgos de terceros debe integrarse en su panorama de riesgos empresariales más amplio y gestionarse de forma holística. Los resultados recientes del Informe sobre la nueva generación de riesgos de 2024 de Riskonnect revelaron que el 72% de las empresas encuestadas consideraban que la ciberseguridad era uno de los principales factores de riesgo en 2024, mientras que el 37% citó los riesgos de terceros y de Nth party como una de las principales prioridades, lo que destaca aún más los estrechos vínculos entre el riesgo de terceros y la ciberseguridad.
La presión regulatoria aumenta la atención sobre la gestión de riesgos de terceros
La dependencia del riesgo de terceros está aumentando, y las regulaciones se están acelerando en línea con esta tendencia. Con tantos proveedores de tecnología inundando el mercado y las soluciones de IA en auge, no es de extrañar que muchas regulaciones ampliamente adoptadas aborden la gestión de los riesgos asociados con los proveedores de servicios. ISO 27001, NIST, NIS2, COBIT, HIPAA, DORA, SEC, el RGPD y APRA CPS 230 incluyen orientación sobre la gestión de riesgos de terceros. El cumplimiento de las regulaciones exige visibilidad y control, y un programa de gestión de riesgos de terceros bien establecido ayuda a las empresas a demostrar que su red de proveedores se alinea con los requisitos regulatorios.
La responsabilidad del CISO por los incidentes relacionados con los proveedores está aumentando
A medida que los programas de gestión de riesgos de terceros han madurado, las organizaciones responsabilizan cada vez más al CISO, no al departamento de contratación, por los incidentes relacionados con los proveedores. Esta mayor presión y responsabilidad han hecho que los programas de gestión de riesgos de terceros maduren rápidamente a medida que los CISO implementan comprobaciones y medidas adicionales para salvaguardar la empresa y su reputación.
Aquí hay 6 maneras en que los CISO proactivos convierten la gestión de riesgos de terceros en una ventaja estratégica
1. Vincular el riesgo de los proveedores a los planes de continuidad del negocio y respuesta a incidentes
Los CISO proactivos entienden que una infracción, una interrupción o un fallo por parte de un proveedor crítico puede paralizar las operaciones. En lugar de tratar el riesgo de los proveedores como una preocupación separada, los CISO inteligentes lo integran directamente en la planificación de la continuidad del negocio (BCP) y los manuales de respuesta a incidentes. Este enfoque ayuda a garantizar que la organización pueda seguir operando durante una interrupción del proveedor, ya sea causada por ciberataques, fallos de cumplimiento o averías operativas, y protege lo que más importa: evitar costosas interrupciones del negocio y preservar la confianza en la marca. Estos resultados resuenan en el consejo de administración y ayudan a los CISO a enmarcar el riesgo de terceros como un componente central de la resiliencia cibernética general.
Para integrar estos procesos con éxito, su programa de gestión de riesgos de terceros debe:
- Asignar los servicios de los proveedores a las funciones críticas para el negocio
- Identificar qué terceros sustentan los sistemas centrales, los procesos y las obligaciones regulatorias
Esta asignación le permite comprender el impacto potencial si un proveedor crítico falla y permite la priorización basada en el riesgo de los proveedores en la planificación de la continuidad.
Además, las organizaciones también deberían:
- Planificar ejercicios de prueba de escenarios y vulnerabilidades que incluyan fallos de terceros para garantizar que la preparación se extienda a los proveedores externos críticos.
- Establecer proveedores de respaldo y planes de contingencia.
- Asegurarse de que las evaluaciones de los proveedores pregunten sobre los planes de continuidad del negocio, los procesos de respuesta a incidentes y los objetivos de tiempo de recuperación para garantizar que sus procesos internos se alineen con las expectativas de la organización.
A medida que aumenta el número de proveedores externos, también lo hace la probabilidad de incidentes e interrupciones relacionados con los proveedores. Para garantizar una resolución oportuna y eficaz, las organizaciones deben establecer un proceso de notificación de incidentes claramente definido que capture los incidentes, los peligros y los cuasi accidentes relacionados con terceros. Estos planes deben incluir protocolos de escalamiento, planes de comunicación y procedimientos de remediación.
2. Utilizar la diligencia debida del proveedor para impulsar la innovación y la estrategia digital
Ya se trate de IA, nuevos mercados o implementaciones digitales, los CISO audaces tratan el riesgo de terceros como una entrada para la innovación, en lugar de verlo como un obstáculo. En el informe de Forrester citado anteriormente, los datos muestran que los encuestados que establecieron la conexión entre el aumento de los niveles de riesgo empresarial y el aumento de la dependencia de terceros describen con frecuencia la gestión de riesgos como un acelerador de la innovación.
Una sólida gestión de riesgos de terceros permite a los CISO llevar a cabo la diligencia debida de forma rápida y segura, lo que les permite aprobar asociaciones de proveedores de alto impacto sin comprometer la seguridad o el cumplimiento. Esta garantía es fundamental a la hora de adoptar plataformas de vanguardia o herramientas impulsadas por la IA.
Para tomar decisiones rápidas y seguras, los programas TPRM eficaces se centran en algunas acciones críticas:
- Realizar evaluaciones de riesgos rápidas adaptadas al rol y al perfil de riesgo del proveedor
- Aprovechar la IA y la inteligencia de riesgos para señalar problemas relacionados con la estabilidad financiera, el cumplimiento o la ciberseguridad
- Garantizar expectativas claras en torno a los SLA, los KPI y la respuesta a incidentes
Este enfoque estratégico garantiza que los proveedores innovadores, especialmente los proveedores más pequeños o ágiles, puedan incorporarse sin demora, garantizando que cumplan con sus umbrales de resiliencia y alineación con los estándares regulatorios.
Al integrar estos controles al principio del proceso de selección, los CISO pueden moverse rápidamente sin comprometer el apetito de riesgo de la organización. La gestión de riesgos de terceros permite el crecimiento digital, lo que permite a los equipos de innovación avanzar más rápido con confianza.
3. Elevar el riesgo de terceros para proporcionar visibilidad a nivel de la junta directiva
Los CISO deben elevar el riesgo de terceros a la sala de juntas enmarcándolo en términos de resiliencia operativa, riesgo reputacional, exposición regulatoria y consecuencias financieras. Los CISO que articulan el riesgo de los proveedores destacando el impacto en el negocio y la resiliencia a largo plazo obtienen la aceptación más rápido y salvaguardan la confianza con los equipos ejecutivos. También existe un riesgo al quedarse quieto. Los consejos de administración deben entender que evitar las nuevas tecnologías puede crear tanta exposición como adoptarlas. Esta traducción de los datos de riesgo en métricas significativas es esencial para obtener la aceptación de nuevos proveedores estratégicos y obtener el apoyo ejecutivo para programas de gestión de riesgos de terceros más sólidos, la inversión continua y la participación interfuncional.
Cuando se hace bien, la gestión de riesgos de terceros se convierte en una poderosa herramienta de liderazgo que ayuda a los CISO a moverse rápidamente y a obtener aprobaciones para implementar nuevas tecnologías, lo que permite a sus organizaciones mantenerse a la vanguardia en un mercado cada vez más competitivo. Los CISO que plantean regularmente el riesgo de los proveedores en las reuniones del consejo de administración y presentan métricas significativas tienen más probabilidades de asegurar recursos e influir en las decisiones de selección de proveedores, lo que ayuda a sus empresas a adoptar nuevas soluciones digitales que hagan avanzar el modelo de negocio.
La visibilidad a nivel de la junta directiva de los riesgos de terceros y cuartos limita las sorpresas cuando ocurren incidentes. Los programas exitosos de gestión de riesgos de terceros garantizan que los equipos de liderazgo ya estén alineados en los protocolos de respuesta, los procedimientos de escalamiento y el impacto potencial de un proveedor fallido, minimizando el pánico cuando ocurren incidentes relacionados con los proveedores.
4. Conectar los puntos entre los equipos y las herramientas
Las organizaciones menos maduras a menudo almacenan datos de riesgo de terceros en sistemas y fuentes de datos dispares. Diferentes equipos y departamentos incorporan proveedores sin ningún punto central de supervisión, y el proceso de investigación carece de coherencia. En otros casos, el departamento de compras tiene contratos, el departamento de TI posee la gestión de acceso, el departamento de cumplimiento rastrea las certificaciones y los equipos de riesgo gestionan las evaluaciones. En un entorno fragmentado, los equipos a menudo omiten los pasos de diligencia debida, pasan por alto las señales de advertencia críticas y realizan esfuerzos de respuesta descoordinados. Los datos y las herramientas desconectadas limitan la visibilidad, lo que dificulta la detección oportuna de riesgos. Esta falta de supervisión dificulta que los CISO prioricen la mitigación o informen con precisión a la junta directiva y afecta directamente a su capacidad para liderar estratégicamente.
Los CISO proactivos reconocen que este enfoque carece de coherencia y supervisión y utilizan la supervisión de terceros para derribar muros. Centralizan los datos de los proveedores en plataformas o paneles compartidos e implementan procesos coherentes para la incorporación, la realización de evaluaciones de riesgos, la evaluación comparativa, la puntuación y la realización de comprobaciones de diligencia debida para evitar perder señales de riesgo.
Este enfoque unificado garantiza una evaluación justa de los proveedores a través de estructuras de gobierno interfuncionales que automatizan el intercambio de datos entre los sistemas. Proporciona a los líderes de riesgo una visión holística del riesgo y las dependencias de los proveedores, lo que les permite priorizar la mitigación de los riesgos más críticos y mantener informada a la junta directiva.
La estandarización de su marco de riesgo, las plantillas de evaluación, los procesos de diligencia debida, la incorporación y la baja hace que los proveedores sean más comparables, lo que facilita la detección de proveedores de alto riesgo y bajo rendimiento. El acceso a los datos interconectados de gestión de riesgos de terceros permite a la junta directiva tomar decisiones más rápidas e informadas al elegir nuevos proveedores y socios tecnológicos.
Según OCEG, “los CISO ya no son solo expertos técnicos. Son voces en la sala de juntas que guían la estrategia empresarial, y la función de GRC está evolucionando junto con ellos”. Los CISO deben trabajar con los equipos de GRC para aprovechar los datos correctos para asesorar a la junta directiva sobre la mejor acción para proteger a la organización del riesgo cibernético y de terceros.
5. Pasar de las evaluaciones estáticas a la supervisión continua
Los programas de gestión de riesgos de terceros más sólidos incorporan la supervisión continua y en tiempo real de los proveedores y su rendimiento, y consideran su impacto en los servicios críticos. Un reciente artículo de OCEG afirmaba que “ahora se espera la inteligencia de riesgos en tiempo real. Ya se trate de la supervisión continua de los controles, la puntuación de los proveedores en tiempo real o las alertas predictivas sobre los cambios regulatorios, se espera que las organizaciones sepan que sus controles de riesgo son eficaces”.
Las evaluaciones iniciales durante la incorporación y las revisiones anuales ya no son suficientes para mantenerse a la vanguardia de los riesgos de terceros. La investigación sobre filtraciones de SecurityScorecard de 2023 afirma que al menos el 29% de todas las filtraciones involucraron vectores de ataque de terceros. El riesgo de los proveedores evoluciona rápidamente, y los CISO necesitan una visibilidad casi en tiempo real y una supervisión continua para mantenerse a la vanguardia de las amenazas emergentes.
Los CISO a la vanguardia utilizan datos en tiempo real para rastrear los cambios en el rendimiento de los proveedores. Se suscriben a proveedores de inteligencia de riesgos de terceros para entender si los proveedores están llegando a los titulares debido a la inestabilidad financiera, las infracciones de cumplimiento y los percances éticos. También realizan evaluaciones de riesgos periódicas y realizan cuestionarios mensualmente o trimestralmente para detectar cambios en las circunstancias que podrían suponer un riesgo. Los procesos que dependen de los proveedores también pueden incluirse en las actualizaciones periódicas del plan de continuidad del negocio y en las pruebas de escenarios y vulnerabilidades, lo que garantiza una planificación de contingencia adecuada.
Esta supervisión continua permite a las organizaciones ser más ágiles y proactivas en lugar de esperar a una revisión anual o a una crisis antes de reevaluar a un proveedor. Con la supervisión continua, las evaluaciones periódicas y la diligencia debida, los CISO pueden identificar las señales de alerta temprana y tomar medidas preventivas. Este enfoque integrado de mejores prácticas también apoya una puntuación de riesgo más precisa basada en cómo cada proveedor se conecta a los servicios críticos, en lugar de tratar a todos los proveedores por igual. Este flujo continuo de datos relacionados con los proveedores y su rendimiento permite a las empresas tomar decisiones dinámicas y receptivas sobre su elección de proveedores y actuar rápidamente para evitar crisis relacionadas con los proveedores.
6. Aprovechar la IA
La IA se está acelerando rápidamente, y los CISO de hoy deben mirar más allá de la exageración para aprovechar el valor real y práctico de la IA, particularmente en la gestión de riesgos de terceros. Al integrar la IA en sus procesos, los CISO pueden eliminar las tareas manuales y repetitivas, obtener información más rápido y responder a las amenazas emergentes con mayor agilidad. La IA es fundamental en la gestión de riesgos de terceros, donde la evaluación manual de cientos, o incluso miles, de proveedores ya no es sostenible.
La IA puede optimizar la incorporación, automatizar las comprobaciones de diligencia debida, señalar anomalías en el comportamiento de los proveedores e incluso predecir el riesgo futuro basándose en patrones históricos y datos externos. Permite a los CISO escalar su supervisión sin aumentar el número de empleados y pasar de las evaluaciones reactivas a la inteligencia de riesgos proactiva.
OCEG dice: “La IA generativa y agentic ya puede rellenar automáticamente las evaluaciones de riesgos, detectar redundancias de control, escanear las regulaciones e incluso resumir los informes de riesgos semanales en información ejecutiva. Pero si bien la IA promete grandes ganancias en productividad, también introduce nuevos riesgos: alucinaciones, sesgos, violaciones de la privacidad de los datos y propiedad poco clara”.
Debido a que la IA trae grandes oportunidades y serios riesgos, los CISO inteligentes deben liderar la conversación, no mirar desde el margen. Aquellos que adopten la IA de manera responsable, con una gobernanza y controles sólidos, posicionarán a sus organizaciones para mitigar el riesgo de terceros de manera más efectiva y obtener una ventaja competitiva. La IA no es solo otra herramienta, sino una ventaja estratégica para aquellos que la usan sabiamente.
La gestión de riesgos de terceros como motor de la ventaja estratégica
En un panorama empresarial cada vez más digital e interconectado, la gestión de riesgos de terceros no solo está ahí para prevenir problemas operativos y de cumplimiento; es un facilitador estratégico del negocio. Los CISO proactivos reconocen que los proveedores externos amplían la superficie de ataque y los gestionan con el mismo rigor que los procesos internos. Al integrar la gestión de riesgos de terceros y la IA en áreas centrales como la continuidad del negocio, la transformación digital, la toma de decisiones ejecutivas y las actividades diarias de gestión de riesgos, los CISO convierten la gestión de riesgos de los proveedores en una fuente vital de inteligencia que permite a sus organizaciones adoptar tecnología moderna a buen ritmo.
Los CISO más vanguardistas ya no se contentan con enfoques reactivos o descoordinados. Están cambiando hacia programas integrados y estratégicos de gestión de riesgos de los proveedores que reducen el riesgo y desbloquean oportunidades para innovar y crecer. La rigurosa supervisión continua y la investigación en los programas actuales de gestión de riesgos de terceros y el mayor uso de la IA proporcionan datos vitales para apoyar la toma de decisiones, lo que permite un enfoque preventivo que aborda el riesgo de los proveedores antes de que se convierta en problemático.
Gestionar el riesgo de terceros de forma integral impulsa la resiliencia, la agilidad y la ventaja competitiva a largo plazo. Los CISO deben pasar de una mentalidad de evitar el riesgo a una de innovación segura y basada en la información sobre riesgos, utilizando los datos de riesgo de terceros para identificar problemas y dependencias en su ecosistema de proveedores, garantizando que sus organizaciones estén preparadas para adoptar con confianza nuevas tecnologías y proveedores de servicios.
¿Quiere profundizar? Explore este libro electrónico sobre la gestión del riesgo de terceros para ver cómo las organizaciones están desarrollando sus programas para afrontar los retos actuales, o póngase en contacto con Riskonnect para solicitar una demostración de nuestra plataforma de riesgo de terceros.
