
Más de 99 estadísticas y tendencias esenciales sobre riesgos de terceros para 2024
La empresa promedio comparte información confidencial con 583 proveedores externos.
Las organizaciones modernas dependen más que nunca de proveedores externos para servicios críticos para el negocio, desde el almacenamiento en la nube hasta la logística de la cadena de suministro. Pero con esa dependencia surge un desafío inminente: ¿cómo asegurarse de que estos socios no se conviertan en un eslabón débil en tu armadura de seguridad?
En 2024, las apuestas son más altas que nunca. Un solo paso en falso de un socio externo podría abrir la puerta a costosos robos de datos, violaciones de cumplimiento o pérdidas financieras significativas. Las amenazas cibernéticas están evolucionando rápidamente, las regulaciones se están endureciendo, y la transparencia de la cadena de suministro se ha vuelto una expectativa innegociable.
Hemos investigado los resultados de encuestas recientes y los informes de investigación para recopilar las estadísticas clave que están dando forma al panorama de la gestión del riesgo de terceros hoy. Al comprender los números, obtendrás una visión clara del panorama actual de TPRM, qué está impulsando el cambio y cómo puedes adelantarte a las amenazas emergentes antes de que afecten a tu organización.
Estadísticas de brechas de datos de terceros
Las brechas de datos de terceros se están volviendo alarmantemente comunes, e incluso las organizaciones más seguras pueden caer víctimas si sus socios externos no están a la altura. Esta sección destaca las últimas estadísticas sobre brechas de datos de terceros, arrojando luz sobre cuán extendido está el problema y las serias consecuencias que enfrentan las empresas cuando no gestionan estos riesgos de manera efectiva.
- El 98% de las organizaciones tienen una relación con un tercero que ha sido violado. (SecurityScorecard)
- El 61% de las empresas experimentaron una brecha de datos de terceros o un incidente de ciberseguridad en 2023. (Prevalent)
- El 73% de las organizaciones han experimentado al menos una interrupción significativa causada por un tercero en los últimos 3 años. (KPMG)
- El número de brechas de terceros aumentó un 49% interanual, triplicándose desde 2021. (Prevalent)
- El 75% de las brechas de terceros se dirigieron a la cadena de suministro de software y tecnología. (SecurityScorecard)
- Al menos el 29% de las brechas tienen vectores de ataque de terceros. (SecurityScorecard)
- El 35% de las brechas de terceros afectaron a organizaciones de salud. (SecurityScorecard)
- El 64% de todas las brechas de terceros ocurrieron en América del Norte. (SecurityScorecard)
- El 7% de las organizaciones que experimentaron un incidente de seguridad de terceros tuvieron efectos adversos sostenidos significativos. (Venminder)

- Los mayores impactos de un incidente de ciberseguridad de terceros fueron daños financieros (29%), daños reputacionales (26%) y escrutinio regulatorio (19%). (Venminder)
- En 2023, la principal preocupación de las organizaciones respecto a terceros – por mucho con el 74% – fue una brecha de datos u otro incidente de seguridad. (Prevalent)
- El 84% de los encuestados dijeron que los incidentes de riesgo de terceros resultaron en interrupciones operativas, el 66% mencionó un impacto financiero adverso, el 60% señaló un aumento en el escrutinio regulatorio, el 59% indicó un impacto reputacional negativo y el 33% dijo que se tomaron medidas regulatorias. (Gartner)
- El costo de una brecha cibernética de terceros es típicamente un 40% más alto que el costo para remediar una brecha de ciberseguridad interna. (Gartner)
- Solo el 34% de los encuestados dicen que tienen confianza en que un tercero principal les notificaría una violación de datos. (RiskRecon y Ponemon Institute)

Estructura del programa TPRM y perspectivas de dotación de personal
Un programa sólido de gestión de riesgos de terceros no se da por sí solo, requiere una estructura adecuada, liderazgo y recursos. En esta sección, profundizaremos en las estadísticas clave sobre cómo las empresas están construyendo y dotando de personal sus programas de TPRM, y qué está funcionando (o no) cuando se trata de mantener el riesgo bajo control.
- El 52% de las organizaciones utilizan un modelo operativo centralizado para sus programas de gestión de riesgos de terceros. El 37% utiliza un modelo híbrido, el 10% está descentralizado y el 1% está completamente subcontratado. (Venminder)
- El 90% de las organizaciones se están moviendo hacia la gestión centralizada de riesgos. (EY)

- Más del 62% de los encuestados informaron que la falta de personal era el mayor obstáculo para proteger mejor sus organizaciones de las brechas de terceros. El encuestado promedio dijo que necesita duplicar su personal actual dedicado a la seguridad de terceros. (Prevalent)
- El 37% de los encuestados dijeron que tenían entre 1-4 personas actualmente involucradas en la evaluación de terceros, pero dijeron que necesitaban entre 5-9 personas. (Prevalent)
- Menos de la mitad (43%) de los encuestados dijeron que su programa TPRM tiene suficiente personal. (RiskRecon)
- El 48% de los líderes de TPRM expresaron la necesidad de fortalecer el papel del liderazgo ejecutivo en la gestión y gobierno de las relaciones con terceros. (Deloitte)
- Solo el 40% de los encuestados dicen que sus organizaciones informan regularmente a la junta sobre el estado de sus programas de gestión de riesgos de terceros y los riesgos que enfrentan. (RiskRecon y Ponemon Institute)
- El 47% de los líderes de TPRM querrían priorizar la mejora de habilidades y talentos relacionados con el TPRM. (Deloitte)

Lecturas recomendadas

70+ estadísticas de ciberseguridad para inspirar acción
Objetivos del programa TPRM y métricas clave
Establecer objetivos claros y rastrear las métricas correctas son esenciales para un programa efectivo de gestión de riesgos de terceros. En esta sección, exploramos los objetivos más importantes que las empresas están estableciendo para sus programas TPRM y los indicadores clave de rendimiento que utilizan para medir el éxito.
- El 22% de las organizaciones han definido y operativizado completamente las métricas para medir sus programas TPRM. (Venminder)
- El 87% de las organizaciones dicen que el objetivo principal de su programa TPRM es reducir la exposición al riesgo. El 65% dice que es mantener el cumplimiento normativo, el 46% dice que es cumplir con los requisitos del cliente y el 30% dice que es satisfacer los mandatos ejecutivos. (RiskRecon)
- El número de programas TPRM que gestionan al menos 250 proveedores se duplicó entre 2020 y 2023. (RiskRecon)
- El 49% de los programas TPRM dicen que tienen la autoridad para bloquear nuevos proveedores debido al riesgo; el 59% dice que pueden exigir controles adicionales; y el 28% puede dar por terminados a proveedores existentes debido al riesgo. (RiskRecon)
- El 63% de los líderes de TPRM desearían priorizar revisar y refrescar la metodología TPRM de su organización. (Deloitte)
- Los riesgos de terceros que más preocupaban a las organizaciones al entrar en 2024 incluían un aumento en los ataques cibernéticos; uso de la IA por parte de los proveedores; cambios normativos pendientes o anticipados; disponibilidad de proveedores en un evento inesperado; cambios en la salud financiera de un proveedor; divulgación y reporte de ESG; e identificación e informe sobre el estado diverso de los proveedores. (Venminder)
- El 96% de los encuestados dijo que su organización cree que hay un ROI en actividades de gestión de riesgos de terceros. (Venminder)
Madurez del programa TPRM
¿Qué tan desarrollado está su programa de gestión de riesgos de terceros? Comprender la madurez de su estrategia TPRM es crucial para identificar áreas de mejora. Esta sección cubre las estadísticas que reflejan dónde se encuentran las organizaciones en términos de madurez TPRM y qué separa a los programas maduros de aquellos que todavía están en las primeras etapas.
- Solo un tercio de los encuestados indicó que sus programas de seguridad de terceros estaban altamente coordinados. (Prevalent)
- Menos de la mitad (48%) de las empresas creen firmemente que su programa de monitoreo de riesgos está cumpliendo con los requisitos contractuales y normativos. (Supply Wisdom)
- El 90% de las organizaciones están haciendo inversiones para mejorar la efectividad de su programa TPRM. (EY)
- Menos de un tercio de los participantes de la encuesta han ejecutado un programa TPRM durante más de cinco años. (EY)
- Solo el 39% de los encuestados califica la mitigación de riesgos de terceros de su empresa como altamente efectiva. (RiskRecon and Ponemon Institute)

- Un tercio (33%) de las organizaciones encuestadas ya han establecido e implementado programas de gestión de riesgos de terceros, mientras que otro 38% está comprometido a mejorar sus programas existentes. (Venminder)
- El 90% de las organizaciones considera que TPRM es una prioridad creciente (aumentando desde el 63% en 2020) (RiskRecon)
- El 70% de los encuestados dice que la gestión de riesgos de terceros es una inversión creciente en términos de personal y presupuesto. (Moody’s Analytics)
- Casi 6 de cada 10 líderes de TPRM (56%) creen que la cultura organizacional se ha vuelto mucho más comprensiva en cuanto a entender y gestionar los riesgos y oportunidades ESG en su ecosistema de terceros. (Deloitte)
- El 32% de las organizaciones no sintieron presión para mejorar su programa de gestión de riesgos de terceros. De las que sí lo hicieron, el 34% dijo que la presión provenía de auditores y reguladores, el 28% indicó que era la gestión interna o la junta directiva, y el 6% citó la demanda de los clientes. (Venminder)
- Al menos el 82% de las organizaciones tuvo una auditoría o examen regulatorio en el último año. De estas, el 28% recibió comentarios de que se necesitaban mejoras en TPRM. (Venminder)
- El 44% de las organizaciones esperan utilizar proveedores de servicios gestionados para TPRM más en los próximos dos a tres años. (EY)
- El 61% de los encuestados creen que el programa de TPRM de su organización está infravalorado. (KPMG)
Mejores prácticas en TPRM
Con los riesgos y regulaciones en evolución, las organizaciones deben crear estrategias de TPRM adaptables. Esta sección destaca las últimas mejores prácticas en la gestión de riesgos de terceros, ofreciendo insights sobre cómo las empresas líderes están navegando los desafíos actuales y mitigando el riesgo.
- El 86% de las organizaciones tienen un conjunto de criterios definidos para identificar a sus proveedores críticos. (Venminder)
- Los tres principales desafíos que enfrentan las organizaciones respecto a TPRM son obtener los documentos correctos de los proveedores (48%); falta de recursos internos (36%); y gestión del tiempo (27%). (Venminder)
- El 58% de los encuestados actualizaron sus evaluaciones de riesgo inherente en el último año, el 25% en el último uno a dos años, el 10% de los encuestados lo revisó cada tres años o más, y el 7% no realizó ninguna evaluación de riesgo inherente. (Venminder)
- Los dominios de riesgo con mayor enfoque en 2023 incluyen riesgo cibernético y de seguridad de la información (62%); riesgo geopolítico (33%); riesgo de resiliencia y continuidad del negocio (32%); y privacidad de datos (29%). (Deloitte)
- El 67% de las organizaciones dicen que actualizaron por última vez su política de gestión de riesgos de terceros hace menos de un año. El 23% lo actualizó hace 1-2 años; el 2% hace tres años; el 3% hace más de 3 años, y un 5% no tienen una política de TPRM. (Venminder)
- Solo el 48% de las organizaciones tienen estrategias de salida o planes de contingencia para terceros de alto riesgo, dejando a más de la mitad sin preparación. (EY)
- El 45% de los encuestados están aumentando la diversidad de sus proveedores para cumplir con los objetivos ESG. (EY)
- Se espera que el número de empresas que evalúan todos los terceros por riesgo ambiental alcance el 30% en tres años. (KPMG)
- El 23% de los encuestados dijeron que si un proveedor clave no cumplía con sus requisitos ESG, dejarían de trabajar con ese proveedor. (EY)

- El 23% de las empresas dicen que la mitigación del riesgo de amenazas cibernéticas y vulnerabilidades falta en su programa de monitoreo de riesgos. (Supply Wisdom)
- El 89% de los programas TPRM evalúan riesgos no cibernéticos o comenzarán pronto a hacerlo. La privacidad fue citada como el factor de riesgo no cibernético más común considerado dentro del alcance de los programas TPRM (85% de los encuestados). Otros factores incluyen riesgo operativo (65%), calificaciones financieras (64%), sanciones regulatorias (61%), gobierno ambiental y social (47%), y riesgo geopolítico (39%). (RiskRecon)
Tendencias en la evaluación de riesgos de terceros
Conocer los riesgos de terceros es una cosa; evaluarlos correctamente es otra. ¿Con qué frecuencia las empresas evalúan a sus socios? ¿Qué factores están priorizando y qué desafíos enfrentan? Esta sección cubre las estadísticas más actualizadas sobre evaluaciones de riesgos de terceros, brindándole información sobre los métodos y la frecuencia que las empresas están utilizando para adelantarse a las posibles amenazas.
- Casi el 50% de las empresas encuestadas no clasifican a sus proveedores y terceros por nivel de riesgo en absoluto. (Supply Wisdom)
- Solo el 36% de los encuestados dice que antes de iniciar una relación comercial que requiere compartir información confidencial o sensible, su empresa evalúa las prácticas de seguridad y privacidad de todos los proveedores. (RiskRecon y Ponemon Institute)
- Los encuestados informaron evaluar o monitorear solo el 33% de sus proveedores. (Prevalent)

- Aproximadamente la mitad (47%) de los encuestados dice que no realizan evaluaciones debido a la exigencia de terceros de cumplir con las regulaciones de protección de datos (RiskRecon y Ponemon Institute)
- Solo el 29% de las empresas remedia los riesgos encontrados durante la etapa de búsqueda y selección de proveedores. (Prevalent)
- El 49% de las organizaciones informa que su método actual para evaluar el riesgo de terceros no puede evaluar el riesgo en cada etapa del ciclo de vida del proveedor. El 51% dice que su método actual no puede proporcionar la automatización y los informes necesarios para demostrar eficientemente el cumplimiento. (Prevalent)

- El 66% de los encuestados tiene procesos formales para evaluar el riesgo residual. Sin embargo, el 34% restante no tiene un proceso establecido o no está seguro sobre el riesgo residual en el contexto de la gestión del riesgo de terceros. (Venminder)
- El 51% de las organizaciones mantiene un plan de resiliencia integrado para terceros críticos, el 47% realiza pruebas de resiliencia integradas y el 45% realiza análisis de escenarios. (EY)
- Solo el 44% de los encuestados dice que sus organizaciones realizan auditorías y evaluaciones de las prácticas de manejo de datos de terceros (RiskRecon y Ponemon Institute)

Uso de cuestionarios de seguridad para proveedores
Los cuestionarios de seguridad para proveedores siguen siendo una herramienta fundamental para evaluar el riesgo de terceros, pero ¿cómo los están utilizando las organizaciones en 2024? En esta sección, desglosamos las tendencias actuales en el uso de cuestionarios.
- Los cuestionarios de seguridad son el método más popular para evaluar el riesgo de terceros, con el 84% de los encuestados utilizándolos. (RiskRecon)
- Hasta el 75% de los proveedores no responden los cuestionarios de seguridad o no lo hacen de manera oportuna. (Viso Trust)
- El 35% de los programas de TPRM incluyen al menos 100 preguntas en sus cuestionarios para proveedores (frente al 19% en 2020). (RiskRecon)
- El 57% de los programas TPRM utilizan cuestionarios de seguridad personalizados, frente al solo 18% que utiliza un estándar de la industria, como un cuestionario SIG. El 42% usa un estándar de la industria modificado. (RiskRecon)
- Solo el 4% de los encuestados dicen tener mucha confianza en que los proveedores realmente cumplen con los requisitos de seguridad según sus respuestas al cuestionario. (RiskRecon)
- El porcentaje de organizaciones que utilizan servicios de calificación de ciberseguridad aumentó de 42% en 2020 al 61% en 2023. (RiskRecon)

- El 37% de las organizaciones actualmente no están monitoreando el uso de IA entre sus proveedores de terceros. El 15% monitorea el uso a través de cuestionarios de seguridad. (Venminder)
- El 52% de las empresas dicen que tardan entre 31 y 60 días en realizar evaluaciones de control de terceros. El 38% dice que tarda entre 61 y 90 días, mientras que solo el 8% puede realizar evaluaciones de control en un plazo de 7 a 30 días. (EY)
- El 77% de las organizaciones envían entre 101 y 350 preguntas en evaluaciones de control de terceros. (EY)
Monitoreo del riesgo a proveedores externos continuo
Monitorear a tus proveedores no es una tarea única; requiere monitoreo constante. En esta sección, analizamos la importancia del monitoreo continuo del riesgo a proveedores externos y las formas en que las empresas mantienen vigilancia sobre los riesgos de los proveedores a lo largo del tiempo para garantizar que los socios sigan siendo seguros y cumplan con las normativas.
- Solo el 32% de los encuestados dicen que su organización mantiene un inventario integral de terceros con los que comparte información sensible. El 61% de los encuestados dicen que su organización no tiene tal inventario y el 6% no está seguro. (RiskRecon y Ponemon Institute)
- Casi el 90% de las empresas rastrean los riesgos desde las fases de aprovisionamiento y selección, pero menos del 80% rastrean los acuerdos de nivel de servicio (SLAs) y riesgos de desvinculación más adelante en el ciclo de vida de la relación. (Prevalent)
- El 50% de los encuestados dice que sus empresas no monitorean las prácticas de seguridad y privacidad de los proveedores con los que comparten información sensible o confidencial, o no están seguros. La razón principal para no monitorear es la confianza en la capacidad del tercero para asegurar la información (49%). (RiskRecon y Ponemon Institute)
- Del 50% de los encuestados que dicen que sus empresas sí monitorean las prácticas de seguridad y privacidad de proveedores externos para garantizar la adecuación de estas prácticas, el 53% lo hace a través de pruebas aleatorias o verificaciones puntuales. (RiskRecon y Ponemon Institute.
- El 28% de las organizaciones revisan y reevalúan el riesgo del proveedor anualmente. (Venminder)

Tendencias de riesgo en las N-simas partes y descendentes
No se trata solo de con quién trabajas directamente: tus terceros tienen su propia red de proveedores y socios. Estos riesgos de "N-ésima parte" o riesgos aguas abajo pueden crear efectos dominó para tu negocio. Aquí, echaremos un vistazo a las estadísticas relacionadas con los riesgos de N-ésima parte, destacando hasta qué punto se extiende la cadena de riesgo y por qué es una preocupación creciente en 2024.
- El 59% de las organizaciones actualmente examinan y evalúan las prácticas de gestión de riesgos de terceros de sus proveedores para gestionar el riesgo de cuarta parte. (Venminder)
- Solo el 10% de las organizaciones llevan a cabo evaluaciones directas de riesgos de las cuartas partes. El 27% no evalúa ni monitorea a las cuartas partes en absoluto. (Venminder)
- Solo el 39% de los encuestados dicen que las salvaguardas de datos y las políticas y procedimientos de seguridad de sus terceros son suficientes para responder efectivamente a una violación de datos y solo el 40% dice que son suficientes para prevenir una violación de datos. (RiskRecon y Ponemon Institute)
- Solo el 36% de los encuestados afirma que sus organizaciones son notificadas cuando los terceros comparten su información con N-ésimas partes con las que no tienen una relación directa. (RiskRecon y Ponemon Institute)
- Solo el 29% de los encuestados dice que sus organizaciones tienen visibilidad sobre las N-ésimas partes que tienen acceso a información sensible y confidencial. De este 29%, el 56% afirma que esta visibilidad se debe a la dependencia de los acuerdos contractuales y el 53% de los encuestados dice que confía en que el tercero notificará a sus organizaciones cuando sus datos se compartan con sus N-ésimas partes. (RiskRecon y Ponemon Institute)
- Más de la mitad de los encuestados dicen que confían en que el tercero notifique a su organización cuando los datos se compartan con N-ésimas partes. (RiskRecon y Ponemon Institute)
- De las organizaciones que experimentaron una violación de datos de terceros, el 38% dice que la violación fue causada por una N-ésima parte, lo que indica las fallas en los controles de seguridad de terceros vigentes para las N-ésimas partes. (RiskRecon y Ponemon Institute)
- Las empresas norteamericanas utilizan menos proveedores de tercera y N-ésima parte que las empresas europeas. El 47% de las empresas europeas reportan proveedores en hasta 49 países, en comparación con el 22% de las empresas norteamericanas que dijeron lo mismo. (Supply Wisdom)
Adopción de herramientas y tecnología de TPRM
Gestionar el riesgo de terceros es una tarea compleja, pero las herramientas y tecnologías adecuadas pueden hacerlo significativamente más fácil. Esta sección desglosa las cifras sobre cómo las organizaciones están aprovechando la automatización, la inteligencia artificial y otras soluciones para mejorar sus procesos de TPRM y mantenerse al tanto de un panorama de riesgos en evolución.
- Aunque la mayoría de las organizaciones informan tener programas de TPRM en marcha, el 60% de los encuestados no está utilizando una plataforma TPRM dedicada. (Prevalent)

- El 45% de los líderes de TPRM afirmó que es importante la inversión continua en tecnología, automatización y datos para TPRM. (Deloitte)
- Si bien solo el 5% de las empresas están aprovechando actualmente la inteligencia artificial para sus programas de TPRM, el 61% de las organizaciones dice que están investigando activamente sus usos para TPRM. (Prevalent)
- El 54% de las organizaciones dice que su objetivo principal al investigar la IA para TPRM es acelerar la finalización de cuestionarios completando automáticamente las respuestas utilizando cuestionarios existentes y evidencia disponible. (Prevalent)
- El 77% de los encuestados ahora confía en software con características y funcionalidades de gestión de proveedores para agilizar la gestión del riesgo de los mismos. (Venminder)

- El 39% de las organizaciones planea integrar la automatización en su función ESG para gestionar mejor los riesgos en los próximos dos años. (EY)
- Más del 50% de los encuestados que actualmente no usan IA en el monitoreo de riesgos, más de la mitad reconoce la necesidad de monitorear los riesgos relacionados con la IA, lo que indica una creciente conciencia sobre el impacto de la tecnología en la gestión de riesgos. (Supply Wisdom)
- Solo el 14% de los profesionales en adquisiciones y el 13% en gestión de proveedores informan usar herramientas de monitoreo continuo para evaluar a los proveedores. (Supply Wisdom)
Fortalezca su gestión de riesgos de terceros con Secureframe
A medida que el panorama de la gestión de riesgos de terceros continúa evolucionando, adelantarse a las amenazas emergentes y mantener un ecosistema de proveedores seguro es crítico. Las estadísticas y tendencias que hemos cubierto destacan lo complejo que puede ser gestionar el riesgo de terceros, pero con las herramientas y estrategias adecuadas, no tiene por qué ser tan desafiante.
La plataforma de automatización de cumplimiento de Secureframe está diseñada para fortalecer y agilizar sus esfuerzos de gestión de riesgos de terceros. Centralice su programa TPRM manteniendo todos los detalles del proveedor, desde perfiles y evaluaciones de riesgo hasta registros históricos, en un panel fácil de acceder. El monitoreo continuo asegura que su lista de proveedores esté siempre actualizada, incluso detectando IT en la sombra y aplicaciones que no están en su lista de proveedores aprobados.
Comply AI simplifica el proceso de revisión de seguridad extrayendo automáticamente respuestas clave de documentos de proveedores como informes SOC 2, ahorrando tiempo y reduciendo el esfuerzo manual. Además, la plataforma es completamente personalizable, permitiéndole crear puntajes personalizados, etiquetas, departamentos y evaluaciones de riesgo para adaptar el programa a sus necesidades específicas.
Agende una demostración para aprender más sobre cómo Secureframe puede brindarle la visibilidad, conocimientos y automatización que necesita para proteger su empresa contra el riesgo de terceros.