La gestión de riesgos de terceros (TPRM) ocupa un lugar destacado en la lista de prioridades comerciales y prioridades de gestión de riesgos, y eso es algo bueno.
A pesar de las predicciones en los primeros días de la pandemia de COVID-19 de que las empresas controlarían las estrategias de subcontratación, el ecosistema de terceros continúa creciendo, los vendedores y proveedores más pequeños siguen siendo objetivos de seguridad cibernética, la maquinaria regulatoria global continúa generando nuevos requisitos e interrupciones. en la cadena de valor se ha convertido en algo habitual. Para los proveedores de TPRM, esa es una gran noticia porque, a diferencia de los años posteriores a la Gran Recesión, las empresas no están retrocediendo en seguridad ni en inversiones de riesgo.
¿Lo que hay en un nombre? ¿Es TRPM o VRM de TI?
To-may-to, to-mah-to, ¿verdad? No exactamente. Aquí hay algo de contexto sobre la nomenclatura de riesgo de terceros. Los servicios financieros usan «terceros» para alinearse con el lenguaje de la OCC (Oficina del Contralor de la Moneda), la atención médica hace referencia a «socios comerciales» para alinearse con HIPAA, y la fabricación comúnmente usa «proveedor». Todos los demás se inclinan por el término «proveedor» porque gran parte de lo que ahora llamamos gestión de riesgos de terceros comenzó con (y, en algunos casos, todavía se enfoca principalmente en) proveedores de software y proveedores de servicios de TI, donde la preocupación principal es sobre cumplir con los marcos/estándares de control de TI.
También: La definición de Zero Trust moderno
Forrester usa «tercero» para referirse a estas entidades, además de terceros no tradicionales, como filiales extranjeras, asesores legales externos, empresas de relaciones públicas, trabajadores ocasionales o temporales, e incluso su junta directiva. Si no es un empleado, entonces es un tercero.
El mercado TPRM no es «talla única»
Varios tipos de proveedores respaldan el mercado de TPRM, cada uno de los cuales se especializa en uno o más dominios de riesgo, industrias o niveles de madurez del cliente. Para nosotros, el riesgo de terceros es más que una calificación de ciberseguridad o una herramienta de diligencia debida.
Forrester define esta categoría como:
Plataformas que identifican, evalúan, califican, monitorean e informan sobre los riesgos para la organización derivados de sus relaciones con terceros. Apoyan el análisis, el tratamiento y el flujo de trabajo para la mitigación de riesgos en cada etapa del ciclo de vida de terceros, incluidos: 1) abastecimiento/adquisición, 2) diligencia debida, 3) selección, 4) incorporación, 5) monitoreo continuo de riesgos y 6 ) rescisión/desconexión.
No hay escasez de opciones cuando se trata de administrar el riesgo y el cumplimiento de entidades de terceros. El nuevo informe de Forrester, Now Tech: Third-Party Risk Management Platforms, Q1 2022, clasifica 22 de las principales tecnologías TPRM en cuatro segmentos según sus capacidades:
- Tecnologías dedicadas. Estos proporcionan capacidades sólidas a lo largo del ciclo de vida de gestión de riesgos de terceros. Ofrecen una combinación de experiencia en el dominio y amplitud de funcionalidad para admitir todos los niveles de madurez de TPRM.
- Plataformas GRC. Las plataformas de gobierno, riesgo y cumplimiento (GRC) ofrecen un soporte sólido para una amplia gama de casos de uso de riesgo y cumplimiento además de TPRM.
- Intercambio de patrocinadores. Los patrocinadores de intercambio ofrecen acceso a resultados de evaluación precargados y validados, múltiples tipos de documentación y evidencia, y análisis.
- Proveedores enfocados en la vertical. Estos proveedores tienen la profundidad de la experiencia de las tecnologías dedicadas, el rango de capacidades de las plataformas GRC y, a menudo, brindan servicios de soporte, pero se enfocan singularmente en industrias con requisitos complejos de cumplimiento de terceros.
Cada segmento contiene proveedores que se adaptarán bien a diferentes tipos de compradores.
Esta publicación fue escrita por la analista sénior Alla Valente y apareció originalmente aquí.