NOTICIAS

¿Qué son y como gestionar los riesgos de terceros? | conversación con Jelle Groenendaal

La actual digitalización del sector energético está aportando grandes avances en eficiencia y aportando nuevas capacidades para proporcionar nuevos servicios y modelos de negocio. Sin embargo, como mencionamos en nuestro artículo Energy and utilities (E&U): threatened by third risks, esta digitalización ha aumentado la dependencia del sector de energético de sus proveedores tecnológicos. En esta economía digital y global, la gestión de riesgos de terceros es cada vez más importante.


Nos hemos sentado con Jelle Groenendaal, cofundador y CMO de 3rdRisk, para entender qué es el riesgo de terceros y cómo su solución ayuda a superar los desafíos actuales que plantean.

  • ¿Podría brindarnos un poco de contexto sobre el tema que nos ocupa: cuáles son los riesgos de terceros y por qué es importante gestionarlos? ¿Cuáles son los factores que hacen que su gestión sea fundamental (regulación…)?

Los riesgos de terceros son aquellos riesgos introducidos por colaboraciones de terceros, como vendedores, proveedores o socios. En el pasado, las organizaciones hacían todo internamente, manteniendo el control sobre los riesgos que enfrentaban. Hoy en día, las empresas han subcontratado muchos procesos, incluidos aquellos críticos para la continuidad y seguridad del negocio. Esto plantea un riesgo que es necesario gestionar. Tómelo como ejemplo. Si sus lugares de trabajo de TI los proporciona un tercero, entonces sus operaciones diarias dependerán casi por completo de ese tercero. Si ese tercero es posteriormente víctima de un ataque de ransomware, significa que sus operaciones podrían detenerse. Esto representa un riesgo de terceros que debes identificar y gestionar.

Existe una creciente atención regulatoria y supervisora ​​hacia la gestión de riesgos de terceros. Por ejemplo, la Directiva de seguridad de la información y las redes (NIS-2) recientemente adoptada incluye varios requisitos relacionados con la gestión de riesgos de terceros. Esta directiva también es aplicable a funciones esenciales e importantes, que incluyen muchas empresas del sector de la energía y los servicios públicos.

  • En esta línea, ¿podría explicar qué implicaciones e impacto empresarial pueden tener estos riesgos?

Los incidentes de terceros pueden tener consecuencias de gran alcance. Normalmente vemos implicaciones financieras, operativas, reputacionales y regulatorias. Una violación de datos en uno de sus terceros podría tener importantes implicaciones regulatorias y operativas. Una violación de los derechos humanos en su cadena de suministro podría generar una atención adversa de los medios y, por tanto, dañar su reputación. Por último, también podría haber implicaciones competitivas. Si uno de sus socios ascendentes de la cadena de suministro no puede realizar la entrega, podría provocar retrasos en la producción y dar ventaja a sus competidores.

  • Entendiendo qué son los riesgos de terceros, ¿podría explicar por qué son complejos de gestionar y cuál es la forma actual en que las empresas los gestionan?

La complejidad de la gestión de riesgos de terceros se debe principalmente a la gran cantidad de terceros con los que tratan las organizaciones hoy en día y a la falta de conocimiento de cómo es realmente el panorama. En muchas organizaciones, observamos la ausencia de un sistema de adquisiciones centralizado que capture todo el panorama. A menudo, existen varios sistemas descentralizados o la gente todavía trabaja con hojas de cálculo.

  • De manera similar, ¿podría brindar más detalles sobre cuáles son los desafíos asociados con la gestión de estos riesgos y cuáles son las limitaciones actuales?

Muchas organizaciones consideran que la investigación de terceros es una acción única. Lo que sucede entonces es que las organizaciones, antes de comenzar a hacer negocios con un tercero, establecen varios requisitos en áreas como seguridad, privacidad y continuidad de la información. Pero durante el período del contrato, no hay más seguimiento para garantizar que el tercero sigue cumpliendo con los requisitos establecidos.

Además, los riesgos son dinámicos y pueden cambiar con el tiempo. Esto significa que debe monitorear continuamente las amenazas y los riesgos para poder intervenir rápidamente cuando sea necesario. Por ejemplo, durante la vulnerabilidad Log4J, vimos muchas empresas que instantáneamente se volvieron vulnerables a través de ataques a la cadena de suministro. De manera similar, ocasionalmente vemos organizaciones que pagan facturas a proveedores que llevan mucho tiempo en quiebra. Esto se puede evitar si cuenta con un monitoreo en tiempo real.

Por último, pero no menos importante, vemos que muchas organizaciones están utilizando hojas de cálculo para gestionar la gestión de riesgos de terceros. Por ejemplo, las organizaciones envían cuestionarios en forma de hojas de cálculo a sus proveedores pidiéndoles que los completen. Sin embargo, esta no es una forma segura y amigable para los proveedores. Más importante aún: no obtiene la descripción general que desea y, a menudo, se introducen errores en los datos, lo que hace que toda la empresa no sea confiable. Además, no es fácil colaborar con personas dentro y fuera de su equipo en hojas de cálculo. Esto hace que las hojas de cálculo sean extremadamente inadecuadas para gestionar riesgos de terceros.

  • Pasemos a 3rd Risk, ¿cómo se conceptualizó la solución y cómo resuelve 3rdRisk los desafíos mencionados anteriormente?

Conceptualmente, construimos una plataforma SaaS multidisciplinaria de gestión de riesgos.

En primer lugar, multidisciplinario en el sentido de que permitimos que los profesionales de riesgos de diversas disciplinas de riesgo (ciberseguridad, sostenibilidad, cumplimiento, continuidad, seguridad, lo que sea) trabajen juntos en un solo entorno. Todos los flujos de trabajo están diseñados de tal manera que permiten a los profesionales trabajar juntos y agregar contenido significativo para su disciplina de riesgo.

En segundo lugar, una plataforma porque nos conectamos tanto con sistemas internos como con proveedores de datos externos y los enriquecemos. Por ejemplo, nuestra plataforma se conecta perfectamente con los sistemas de adquisiciones, lo que garantiza que los metadatos relevantes se introduzcan automáticamente en nuestra plataforma. Una vez que se completa la debida diligencia de un tercero, la información sobre riesgos se envía de regreso al sistema de adquisiciones, manteniendo una única fuente de verdad. Además, y a muchos equipos empresariales les encanta esto, nuestra plataforma se conecta con Microsoft Teams, lo que garantiza que las partes interesadas reciban notificaciones en un canal dedicado de Teams. Todas las tareas y recordatorios se pueden canalizar a través de Team. Además, nuestra plataforma se integra con proveedores de servicios de datos externos como BitSight, SecurityScorecard, Refinitiv y Ecovadis. Estos proveedores proporcionan indicadores de riesgo por tercero en materia de ciberseguridad, cumplimiento y sostenibilidad, entre otros. Nuestra plataforma notifica a los usuarios cuando cambia una calificación, permitiéndoles actuar y resolver el problema oportunamente.

  • Teniendo en cuenta la perspectiva del cliente, ¿cuáles son los beneficios de la solución y cómo ayuda a impactar las operaciones y los resultados finales del cliente?

Tradicionalmente, la gestión de riesgos de terceros es un proceso que requiere mucho tiempo y mano de obra y se caracteriza por una gran cantidad de actividades repetitivas y de bajo nivel. Nuestra plataforma automatiza esas actividades de bajo nivel y se destaca en involucrar a las partes interesadas del negocio en la realización de actividades de gestión de riesgos. También agiliza todo el recorrido de los proveedores. En cifras, nuestra plataforma logra ahorros de 0,8 FTE en comparación con un enfoque de hoja de cálculo cuando desea examinar y monitorear a 100 terceros. Esto hace que nuestra plataforma sea rentable rápidamente.

  • Profundicemos en la solución, ¿cómo funciona, qué insumos contempla y cuáles son los resultados que brinda que permiten obtener los beneficios mencionados?

Los datos de terceros pueden importarse automáticamente desde un sistema de adquisiciones, cargarse de forma masiva o uno por uno. Nuestros proveedores de datos externos realizan un seguimiento de riesgos en tiempo real, por ejemplo en relación con noticias adversas, ciberseguridad o sostenibilidad. Nuestro módulo de gestión de riesgos de terceros viene con una capacidad de autoevaluación avanzada, que le permite crear o descargar cuestionarios de evaluación y enviarlos a terceros. Cuando lo envía un tercero, nuestra plataforma realiza un análisis inicial de los resultados impulsado por IA y sugiere dominios de mejora. El módulo de Plan de acción y problemas de nuestra plataforma le ayuda a asignar propiedad y realizar un seguimiento de todas las acciones de seguimiento dentro de la organización. Finalmente, nuestra plataforma cuenta con una API extensa que le permite retroalimentar datos a otros sistemas como Power BI y Tableau.

  • Para entender con más detalle la solución ¿cuáles diría que son los principales factores diferenciales de la solución de 3rd Risk?

Dado que el mercado de riesgo de terceros y la tecnología GRC está dominado por actores estadounidenses, nos esforzamos por ser la alternativa europea. Nuestra tecnología está construida en los Países Bajos, solo trabajamos con subprocesadores europeos y nuestros datos residen en Frankfurt. Además de esto, nuestros diferenciadores clave son:

Innovación: invertimos mucho en innovación, como el uso de inteligencia artificial y gamificación.

Alto compromiso: dedicamos mucho tiempo a garantizar que nuestra plataforma sea fácil de usar, parezca atractiva y funcione con herramientas de uso común, como Microsoft Teams.

Integraciones: podemos facilitar todo tipo de integraciones gracias a nuestra infraestructura API abierta.

Incorporación rápida: nuestro enfoque garantiza que la mayoría de las empresas puedan empezar en una semana y mostrar resultados en un mes.

Codesarrollo:Trabajamos intensamente con nuestros clientes y socios para mejorar nuestra plataforma. Por ejemplo, con uno de nuestros clientes y varios socios, desarrollamos un módulo de control interno fácil de usar. Con otro cliente, creamos una función de inteligencia artificial que puede analizar automáticamente los informes SOC-2 proporcionados por los proveedores, lo que les ahorra más de 4 horas por informe.

  • Si avanzamos con la implementación de la solución, ¿cuáles diría que son los factores clave de éxito para implementar la solución y maximizar los resultados? De manera similar, ¿cómo mide su empresa el éxito y qué métricas utiliza para evaluar el impacto de la solución implementada?

La incorporación rápida es una de nuestras señas de identidad. Como nuestra plataforma se basa en modelos de mejores prácticas de la industria, no es necesario que usted mismo realice mucha configuración. Muchos de nuestros clientes son capaces de cargar sus terceros, activar el seguimiento y enviar las primeras autoliquidaciones en un par de semanas.

Mi consejo a los clientes es siempre empezar poco a poco: inteligentemente con un departamento y un dominio de riesgo. Una vez que tenga los primeros resultados y, por lo tanto, pueda mostrar los primeros éxitos, podrá ampliar el alcance.

  1. Para ilustrar todo lo anterior, ¿podría explicarnos algún proyecto exitoso que su empresa haya emprendido recientemente?

Schoeller Allibert, una gran empresa manufacturera en Europa, ha comenzado a utilizar nuestra plataforma recientemente. Forman parte de Brookfield, una importante gestora de activos estadounidense especializada, entre otros, en energías renovables.

Para Schoeller Allibert no fue una lucha gestionar los riesgos planteados por los principales proveedores como Microsoft; eran los proveedores más pequeños, que eran entidades de terceros y, en muchos casos, de cuartos, los que seguían siendo un riesgo potencial. La complejidad de las relaciones con múltiples proveedores planteó una pregunta importante: ¿Cómo podría Schoeller Allibert establecer un control genuino sobre estas asociaciones, particularmente cuando se relaciona con entidades desconocidas?

El desafío era la falta de capacidad para implementar una política de gestión de riesgos de terceros. Si bien descargar una póliza puede ser una tarea sencilla, su implementación es una tarea completamente diferente y mucho más compleja dentro de una empresa global como Schoeller Allibert. Para la cantidad de proveedores que tenían, habría requerido el compromiso de tiempo completo de varios empleados para realizar una gestión eficaz.

Para abordar el desafío, Schoeller Allibert ha implementado nuestra solución.

“La plataforma 3rdRisk automatiza la gestión de riesgos de terceros de tal manera que minimiza nuestra carga de trabajo y maximiza los resultados. La herramienta es excepcionalmente fácil de usar, fácil de entender y su implementación es sencilla. Está diseñado para proporcionar el mejor resultado posible con la menor cantidad de esfuerzo”.

Ranadeep Sarkar, Oficial de Seguridad de la Información

“La implementación se sintió como una verdadera asociación. Parecía como si hubiéramos ampliado nuestro equipo para incluirte a ti, y tú asumiste la mayor parte del trabajo, guiándonos en cada paso del camino. Su apoyo fue invaluable para ayudarnos a tener éxito”

Nick DeFreitas, especialista en seguridad de la información.

  • Finalmente, en NTT Data estamos orgullosos de decir que nos asociamos con 3rdRisk. ¿Puede hablarnos sobre cómo nuestras capacidades se complementan entre sí para brindar valor a nuestros clientes?

La colaboración combina la experiencia líder, el alcance global y la escalabilidad de NTT DATA con la tecnología de vanguardia de 3rdRisk. Muchos de nuestros clientes no solo buscan tecnología, sino que también buscan una parte que pueda ayudarlos a establecer la gobernanza, establecer procesos o llevar a cabo el análisis de los cuestionarios enviados. NTT DATA puede proporcionar esto a gran escala y también aporta el conocimiento de dominio necesario para interpretar los resultados de las autoevaluaciones y otros indicadores de riesgo. Por último, NTT DATA proporciona contenido que los clientes pueden utilizar, como marcos o cuestionarios.