En la red de comercio global que permite el dinamismo corporativo de hoy, los proveedores son eslabones de la cadena de suministro. Como es de esperarse, las organizaciones comparten datos e información sensible con estos aliados estratégicos, además de prácticas y procesos; todo lo que conforma el negocio en sí. Así que, si están compartiendo ganancias y rentabilidad a partir de la sociedad que conforman, la letra pequeña nos dice que también comparten los riesgos.
De tal suerte, que hoy en día, los vicepresidentes, directores y gerentes de riesgo, no solo son responsables de que las cosas sucedan de acuerdo con lo planeado al interior de sus paredes, sino que también deben vigilar las vulnerabilidades y amenazas que se extienden puertas afuera. Es un entramado donde la confianza y el riesgo se mezclan, y requiere de una comprensión profunda de las terceras y hasta cuartas partes que forman, integralmente, la operación de las organizaciones, que es la suma de esfuerzos coordinados de los proveedores que conforman la cadena de suministro.
Una investigación reciente (2023), del Instituto Cyentia, devela una de las verdades cada vez menos ocultas dentro de los pliegues intrincados de las modernas cadenas de suministro: el 98% de las organizaciones conviven con el riesgo, sin necesariamente darse cuenta de ello, ya que ese es el porcentaje de organizaciones que tienen relaciones comerciales con al menos un tercero cuya seguridad fue comprometida en el último bienio. Más que eso: el 50% de las organizaciones mantienen relaciones indirectas con hasta 200 cuartas partes (es decir, proveedores de sus proveedores) burladas en su seguridad.
Así, pues, se enfatiza la naturaleza expansiva de la superficie de ataque de una organización, que se va mucho más allá de los límites de lo que poseen o controlan directamente. Las organizaciones necesitan conducir evaluaciones de riesgo integrales en todo su ecosistema de terceras y cuartas partes, que incluyan controles para la capacidad instalada, la seguridad de infraestructura física, maquinaria, personal y, desde luego, digital también. Solo así podrán saber al instante si un proveedor es de fiar o, incluso, si el riesgo que representa es tolerable.
La investigación referida analizó datos de más 235 000 organizaciones primarias a nivel global y más de 73 000 proveedores y productos. En ella, se revela la danza intrincada de las relaciones comerciales: por cada proveedor en la cadena de suministro de una organización, emerge una compleja red de 60 a 90 veces esa cantidad de relaciones con cuartas partes. Sin embargo, a medida que el baile se expande, también lo hace el riesgo. Los terceros, los otrora elegantes compañeros en este ballet, tienen cinco veces más probabilidades de exhibir una seguridad deficiente en comparación con la organización primaria. Es una danza delicada donde aproximadamente el 10% de los proveedores terceros reciben una calificación F, incluso cuando las organizaciones destacan con una calificación A para su postura interna de seguridad.
A medida que viajamos a través de este ballet de suministro, los sectores mismos se convierten en salones de bailes, cada uno con sus mesas y ritmo únicos. El sector de Servicios de Información toma el centro del escenario, manteniendo graciosamente un promedio de 25 proveedores, 2.5 veces más que el promedio general. En el otro extremo del espectro, el sector Financiero, un socio constante en este baile, promedia modestas 6.5 relaciones de terceros, sin embargo, el acento en su cumplimiento normativo es mayúsculo, al tratar con activos valiosísimos como el dinero mismo y, los datos de sus cuentahabientes, que cada día cobran más valor. Los sectores de Salud y Seguros se unen a la comparsa: sus promedios son de 15.5 y 11 proveedores respectivamente.
Sin embargo, cada vuelta en esta coreografía masiva global y continua representa una exposición al riesgo. Puede ser un código de terceros comprometido o la dependencia de un proveedor de alojamiento inseguro, hablando de ciberseguridad; o el riesgo reputacional derivado de una filtración o mal uso de datos; incluso el parón total de una fábrica por incumplimiento a regulaciones medioambientales… todo puede ser un mal paso que rompa la armonía del baile, haciendo trastabillar al compañero, que choca con la pareja de al lado y hace que se pierda el tempo.
Wade Baker, socio y cofundador del Instituto Cyentia, subraya la naturaleza crítica de gestionar el riesgo tecnológico en toda la cadena de suministro digital. "(los datos) Demuestran por qué es absolutamente crucial gestionar el riesgo cibernético en toda la cadena de suministro digital, ya que los actores amenazantes trabajan para explotar cualquier vulnerabilidad que una organización pueda tener", afirma.
La dimensión regional agrega otra capa de complejidad. Los hallazgos del estudio revelan que el 59% de las organizaciones tienen proveedores de cinco o menos países, mientras que aproximadamente el 14% colabora con proveedores que abarcan 10 o más países. El ballet de relaciones comerciales trasciende las fronteras, desafiando a las organizaciones a gestionar el riesgo en un escenario global, con implicaciones como las diferentes legislaciones locales y regionales, así como su aplicabilidad según el país de exportación, como lo demuestran las actas de los EE. UU. (el importador número uno del mundo) que prohíben hacer tratos con algunas geografías específicas.
La clave para brillar y disfrutar de este baile global está en la visibilidad. Las organizaciones deben tener un telescopio que atraviese el espacio físico que los separa de sus proveedores, permitiéndoles monitorear y comprender cada socio y cliente dentro de la inmensidad de la cadena de suministro. Pero también necesitan del microscopio, para ver cada detalle de los acuerdos contractuales, o las instalaciones desde donde serán provistos de recursos necesarios para el negocio.
Es una búsqueda de vigilancia continua, una danza a tambor batiente frente a los riesgos en proveedores y sus proveedores, donde la visibilidad de la postura de seguridad de terceras y cuartas partes, así como sus registros de cumplimiento normativo serán los garantes de una mayor resiliencia operativa.
Para tener esta visibilidad, no te dejes endulzar el oído con el canto de las sirenas de proveedores asequibles, pero con una calificación F en seguridad, y mejor escucha el bello canto de la ORCA, que con su tecnología de control y experiencia de más de 20 años en consultoría y prácticas GRC, permite hacer desde evaluaciones (due diligence) de proveedores, pasando por revisiones contractuales, hasta llegar a un modelo de gestión de riesgos en terceros completamente maduro y escalable, para que crezcas siempre seguro.