Al adentrarnos en el mundo de la ciberseguridad y la gestión de riesgos, nos centramos principalmente en descifrar un fenómeno complejo que está revolucionando el mundo empresarial: las estadísticas de riesgos de terceros. En realidad, las amenazas de ciberseguridad de terceros no solo se han convertido en una preocupación importante, sino que también han provocado enormes pérdidas tanto a nivel financiero como reputacional.
Para comprender la dinámica de estos riesgos, primero debemos comprender qué implica "terceros" en el contexto de la ciberseguridad. Un tercero puede ser un proveedor, un contratista, un socio o cualquier otra entidad que, directa o indirectamente, tenga acceso a la información o las redes de datos de su empresa. Los riesgos de terceros denotan las amenazas potenciales que representan estas entidades si carecen de las medidas de seguridad de datos necesarias o tienen malas intenciones.
Revelando los números
Según una encuesta de Soha Systems, más del 60 % de las filtraciones de datos se pueden vincular a proveedores externos. Para colmo, la encuesta de gestión de riesgos de terceros de Deloitte sugiere que el 87 % de los encuestados ha sufrido un incidente disruptivo con terceros en los últimos dos o tres años. Cabe destacar que el Instituto Ponemon indica que las filtraciones de datos de terceros han aumentado un 27 % desde 2018.
Basta decir que las cifras no son alentadoras. El creciente número de ciberamenazas y filtraciones que involucran a terceros demuestra que las empresas deben prestar más atención a la gestión de riesgos de terceros.
El riesgo de terceros desde diferentes ángulos
Comprender los riesgos asociados con terceros no se limita a identificar el porcentaje de estas entidades implicadas en filtraciones de datos. También debemos analizar los diferentes tipos de riesgos de terceros que pueden afectar a las empresas. Para analizarlos en detalle, podemos profundizar en tres categorías principales de riesgo: riesgo de cumplimiento, riesgo operativo y riesgo reputacional.
La causa raíz
Las razones del alarmante aumento de los riesgos de terceros son multifacéticas. Desde la falta de diligencia debida hasta la falta de supervisión continua de estos terceros, los factores que contribuyen a los riesgos son diversos y, en ocasiones, interrelacionados. Cabe destacar que la rápida transformación digital desempeña un papel importante en este escenario.
Hacia una mejor gestión de riesgos
Implementar un programa sólido de gestión de riesgos de terceros (TPRM) ya no es opcional, sino una necesidad. Dicho programa incluiría medidas como la debida diligencia, la supervisión continua de las relaciones con terceros, la creación de un plan de respuesta a incidentes y la inversión en tecnologías que ayuden a evaluar el riesgo de terceros.
Reconociendo la necesidad de gestionar mejor los riesgos de terceros, diversas instituciones gubernamentales y no gubernamentales han introducido directrices para abordar este problema. Por ejemplo, la Oficina del Contralor de la Moneda (OCC) cuenta con directrices específicas para la gestión de riesgos en las relaciones con terceros.
En conclusión, las estadísticas que revelan la importante contribución de terceros a las ciberamenazas y brechas de seguridad son realmente alarmantes. La creciente dependencia de terceros para diversos procesos de negocio, sumada a la rápida transformación digital, no hace más que aumentar el espectro de vulnerabilidades para las empresas. Por lo tanto, el objetivo debería ser comprender la complejidad y la gravedad de los riesgos de terceros, a la vez que se implementa un sistema sólido de gestión de riesgos de terceros. No se trata solo de cifras, sino de lo que decidimos hacer con base en la comprensión de esas cifras.