Esta variación es consistente en todos los sectores industriales y regiones geográficas, y las organizaciones más grandes exhibieron la mayor disonancia: el 32% de las empresas Latinoamericanas con ingresos de USD$1,000 mil millones o más dicen que sus socios de la cadena de suministro representan un riesgo, mientras que solo el 13% dice que ellos mismos representan un riesgo para terceros

Baja confianza para gestionar el riesgo de terceros

La desconexión puede ser impulsada por la baja confianza de las organizaciones en su capacidad para prevenir o mitigar los riesgos cibernéticos que plantean los socios comerciales. La proporción de organizaciones que tienen "mucha confianza" sobre la mitigación de las amenazas cibernéticas de los socios de la cadena de suministro osciló entre 9% y 19%, según el tipo de tercero. La proporción que "no está del todo segura" fue generalmente el doble, con un rango del 15% al 31%. 

A nivel mundial, las empresas medianas reportaron la mayor confianza en la gestión de proveedores. Por ejemplo, el 71% de las empresas con ingresos entre USD$ 100 millones y USD$1,000 millones eran "bastante" o "altamente confiados" en su capacidad para mitigar los riesgos de los proveedores de procesos de negocios subcontratados, en comparación con el 60% en todas las demás categorías de tamaño.

Esto puede sugerir que las empresas medianas son lo suficientemente pequeñas como para conocer los riesgos de sus socios de la cadena de suministro, pero lo suficientemente grandes como para tener los recursos para evaluarlos y administrarlos adecuadamente.

Expectativas para la gestión de riesgos de terceros

También hubo una disparidad entre las medidas y estándares de seguridad cibernética que las organizaciones se aplican a sí mismas, en comparación con las que esperan de los proveedores.

En general, los encuestados tenían más probabilidades de establecer estándares más altos para sus propias medidas de gestión de riesgos cibernéticos que para sus proveedores.

Por ejemplo, el 56% de las organizaciones dijeron que esperan que los socios de la cadena de suministro implementen la capacitación de los empleados, pero el 66% dijo que su propia organización había implementado la capacitación.

Del mismo modo, solo el 70% espera que terceros mejoren la seguridad de la computadora y del sistema, mientras que el 91% de las compañías requieren eso por sí mismas.

Dichas disparidades podrían llevar a las organizaciones a pensar que sus proveedores están menos preparados para gestionar el riesgo cibernético que ellos mismos, lo que disminuye la confianza de la organización en su cadena de suministro.

El riesgo de la cadena de suministro debe ser una responsabilidad compartida

En un mundo de cadenas de suministro hiperconectadas, existe una necesidad crítica de responsabilidad compartida por el riesgo de la cadena de suministro.

Toda organización necesita comprender, tener confianza y desempeñar un papel en la integridad y seguridad de su cadena de suministro digital.

La “responsabilidad social tecnológica”, el reconocimiento por parte de cada organización de su rol y obligaciones de seguridad cibernética dentro de la cadena de suministro, debe estar en la agenda de todos los líderes de la industria.