Desde la creación de programas hasta hacer que funcionen
Después de seis años rastreando programas de gestión de riesgos de terceros (TPRM), una cosa ha quedado clara: tener un programa no significa necesariamente que esté funcionando.
Nuestro último Informe del Estado de la Defensa de la Cadena de Suministro revela un cambio interesante. Las organizaciones están gastando más que nunca en asegurar su ecosistema de proveedores, el 95%planea aumentar sus presupuestos en 2026. Los programas están madurando, casi la mitad de las organizaciones encuestadas informaron que tienen iniciativas establecidas y optimizadas. Sin embargo, las brechas siguen llegando.
Asombrosamente el 97% de las organizaciones experimentaron al menos una brecha en su cadena de suministro, un aumento notable respecto al 81% hace un año.
¿Entonces qué está fallando?
La Trampa De La Madurez
Aunque los programas están madurando, les falta una pieza fundamental: el apoyo y el compromiso interno. Si bien las organizaciones han construido infraestructura, invertido en las herramientas adecuadas y contratado equipos, la aceptación interna sigue siendo un verdadero desafío. Los programas que operan de forma aislada (especialmente aquellos fuera de las funciones de seguridad) pueden tener dificultades para ser estratégicos y alcanzar su máximo potencial.
Nuestro informe encontró que el 60% de las organizaciones señala la resistencia interna como su principal barrera para la efectividad de los programas. A pesar de contar con programas sofisticados de TPRM, estos equipos están luchando cuesta arriba por conseguir apoyo organizacional. La mayoría de las organizaciones encuestadas (59%) solo informan a la alta dirección sobre asuntos de seguridad cada tres a seis meses. Sin esta visibilidad, es menos probable que los directivos apoyen un programa que no entienden o del que no son plenamente conscientes.
Marcar Casillas En Lugar De Reducir Riesgos
Uno de los hallazgos más reveladores fue qué está impulsando estos programas en primer lugar. La reducción de riesgos ocupó el último lugar en la lista de prioridades, con solo el 16% de las organizaciones identificándola como un factor principal.
En cambio, los programas están diseñados para cumplir con los requisitos de ciberseguridad, cumplir con obligaciones contractuales y apaciguar las exigencias de la junta directiva. El enfoque ha cambiado de «¿Cómo protegemos nuestra organización?» a «¿Cómo cumplimos los requisitos mínimos?
Esta mentalidad de priorizar el cumplimiento podría explicar el por qué las brechas de seguridad siguen aumentando, a pesar de la mayor inversión. Sin un enfoque estratégico en la seguridad, es probable que se pierda la visión global del riesgo.
El Creciente Desafío De Escalar
La superficie de ataque crece constantemente. Casi todas las organizaciones (96%) esperan que sus ecosistemas de proveedores se expandan durante el 2026, y muchas planean un crecimiento de dos dígitos. Un ecosistema de proveedores más grande significa más posibles puntos de entrada, más relaciones que gestionar y mayor complejidad que abordar.
Las organizaciones están haciendo inversiones inteligentes en herramientas como monitoreo continuo, sistemas de clasificación de seguridad y fuentes de inteligencia de amenazas, sin embargo, tienen dificultades para integrarse. Entre las organizaciones que encuestamos, el principal desafío operativo fue la integración con los procesos existentes de riesgo empresarial y GRC (Gobernanza, Riesgo y Cumplimiento).
Sin una alineación fluida, las herramientas y los equipos no pueden comunicarse entre sí, y el liderazgo pierde una visión holística del riesgo.
Transición Hacia La Colaboración
Afortunadamente, hay señales alentadoras en los datos.
Las organizaciones están yendo más allá de la certificación pasiva de proveedores, casi una cuarta parte utiliza actualmente monitoreo externo e inteligencia de amenazas para la verificación. Aún más prometedor, el 45% trabaja directamente con los proveedores para remediar los problemas identificados, lo que representa un cambio positivo hacia la colaboración.
Los datos también revelan diferencias regionales interesantes que sugieren que la cultura organizacional y el contexto económico son tan importante como la tecnología. Singapur destaca como líder mundial con un 60% de madurez del programa y un fuerte compromiso ejecutivo, mientras que otros mercados encuentran dificultades a pesar de una adopción similar de herramientas.
El Camino A Seguir
Seis años de investigación revelan que la pregunta ya no es «¿Deberíamos crear un programa TPRM?» sino «¿Por qué no funciona nuestro programa?”
Resulta que la respuesta tiene menos que ver con la tecnología y más con la alineación organizacional. Sin un compromiso ejecutivo genuino, una integración multifuncional y un cambio del cumplimiento a la reducción de riesgos, incluso los programas más sofisticados tendrán dificultades.
Para obtener la información completa, incluyendo un desglose de los datos por sector y región, descarga el informe aquí.
por: JOEL MOLINOFF, Global Head of Third-Party Risk Management, Blue Voyant