Beschreibung
Das alte Sprichwort sagt: Man kann ein Pferd zu Wasser führen, aber man kann es nicht zum Trinken zwingen. Wenn es um die Zusammenarbeit mit Lieferanten bei der Beseitigung von Risiken geht, gilt das Gleiche: Sie können Abhilfemaßnahmen empfehlen, aber Sie können ihnen nicht sagen, wie sie diese durchführen sollen. Wie können Sie bei Lieferanten proaktiver vorgehen und den Prozess für alle Beteiligten vereinfachen?
In diesem Webinar stellt Jeff Kramer, Third-Party Cyber Risk Management bei der Ford Motor Company, Best Practices für den Aufbau und die Pflege guter Lieferantenbeziehungen vor.
Begleiten Sie Jeff dabei:
- Überprüft Beispiele dafür, wie ein Mangel an Automatisierung die Abhilfemaßnahmen behindern kann
- Erläutert ein vereinfachtes Grün-Gelb-Rot-Modell für die Risikobewertung
- einen Prozess für die regelmäßige Zusammenarbeit mit Lieferanten zur Behebung von Risiken zu entwerfen
- Beschreibt einen Eskalationspfad, wenn ein Lieferant nicht nachweist, dass er an einer Abhilfe arbeitet
- Untersucht Technologien zur Automatisierung der Kommunikation mit Lieferanten
Schauen Sie sich dieses Webinar an und lernen Sie Strategien kennen, wie Sie Ihre Lieferantenrisiken proaktiv beseitigen können.
Redner
Jeff Kramer
Cyber-Risikomanagement für Dritte bei der Ford Motor Company
Mike Yaffy
Verantwortlicher für Marketing
Abschrift
Melissa: Mein Name ist Melissa. Ich arbeite hier bei Prevalent Business Development. Und heute haben wir einen ganz besonderen Gast oder Gäste, Jeff Kramer von der Ford Motor Company. Ich bin sicher, Sie haben davon gehört. Er ist also der Leiter des Cyber-Risikomanagements für Dritte. Herzlich willkommen, Jeff. Und wir haben auch Mike Yaffy zu Gast, unseren Chief Marketing Officer. Hallo, Mike.
Mike: Oh, hey.
Melissa: Das werde ich bald herausfinden. Ähm, und dann zu guter Letzt, einer meiner Lieblingsmenschen hier bei diesem Anruf, nämlich Scott Lang. Er ist heute bei uns. Scott ist unser Vizepräsident für Produktmarketing, und er wird vielleicht ein wenig darauf eingehen, wie wir Ihnen mit unseren Produkten helfen können. Ähm, ich meine, ein wenig Hausarbeit. Dieses Webinar wird aufgezeichnet. Sie erhalten die Diashow anschließend, also keine Sorge. Sie müssen sich keine Notizen machen oder so. Und, ähm, ja, Sie sind alle stummgeschaltet, wenn Sie also Fragen haben, stellen Sie sie einfach in den Fragen und Antworten, und wir werden versuchen, diese nach unserem Ermessen zu beantworten. Und ohne weitere Umschweife werde ich das Wort an Jeff weitergeben. Schießen Sie los.
Jeff: In Ordnung. Ich danke Ihnen vielmals, Melissa. Ich weiß das zu schätzen. Und ich weiß es zu schätzen, dass ich die Gelegenheit habe, vor einem immer größer werdenden Publikum zu sprechen. Also, ähm, ich bin jetzt seit 34 Jahren bei Ford und habe in den letzten vier Jahren oder so das Risikomanagement für Dritte bei Ford gemacht, und es ist ein ziemlich wachsendes Feld und ziemlich wichtig. Und ich freue mich auf die Fragen, die Sie mir stellen. Also, ähm, ich weiß nicht, ob Melissa, ob Sie die nächste Folie ändern könnten. Also, ich mache immer gerne ein paar einleitende Worte. Nochmals, mein Name ist Jeff Kramer. Ich arbeite für die Ford Motor Company. Ich habe ein paar Abschlüsse in Informatik von der Central Michigan University im Jahr 1984 und der Wayne State University in Detroit mit einem Master in Informatik im Jahr 1991 gemacht. Ich lebe in der Gegend von Detroit, einem Vorort von Detroit, und ich bin seit 38 Jahren verheiratet. Ich habe drei erwachsene Kinder. Und ich muss sagen, dass ich mich die meiste Zeit meines Lebens über über Leute geärgert habe, die ständig Bilder ihrer Enkelkinder zeigen. Und das hat aufgehört, als ich tatsächlich Großvater wurde. So,
Melissa: Also, du bist jetzt dieser Typ, richtig? Du bist dieser Kerl.
Jeff: I am exactly that guy now. And so, uh so I have two uh two granddaughters, uh two adorable granddaughters. Uh you see their picture there. The one-year-old, that’s about as close as we can get to getting her to sit still for a picture. And her uh 5-year-old sister is a little bit annoyed by that. Thought that was a pretty nice picture from our Fourth of July gathering. Um the little more about myself. I’m a sports enthusiast, which um living in the Detroit area for the last 10 years or so has been challenging. Um but uh we do have um some uh opportunity here that we’ve never had before. Our our NFL team has never been to the Super Bowl ever. It’s been around for 60 years and we’ve never been there. Um not even really close. Uh but they’re getting better and this is going to be the year. So, Um, you’ve heard it here first if that happens. Um, and then then hell might freeze over at that point, too. But we’ll see. Um, as far as professional experience, uh, out of coming out of college, I I spent four years at the National Security Agency in Fort Me, Maryland. Um, got a lot of really good experience there. Um, but we wanted to come back to southeastern Michigan and and start a family. So, ended up getting a job as an agency employee uh, at Ford Motor Company doing a little bit of programming um, for the transmission division. Uh and about a year later uh they hired me in. So uh started at Ford in 1989. U been doing several different roles over the years from um setting up uh token ring networks to um setting up our first IBM PS2 model8s, working with uh Windows 3.1, all those really old types of things. Um um all the way through and did a lot of PC support, did a lot of uh Unix support. Um And then um sometime in the late 90s I I started working with Oracle databases and and um and and I uh led a team of Oracle database administrators and and part of that was making sure that you know everything was secure with our databases. So I got a lot of um a lot of exposure to what’s needed to um make sure that what your infrastructure is doing is uh is secure. Um when I about five year no more that eight years ago now. Uh I uh decided that I was um getting getting tired of doing uh 24 by7 uh uh support uh being on call. I wasn’t always on call, but being the supervisor, you’re the first person, the on call person call. So I was uh I was getting a little bit tired of that. And I I ended up moving into cyber security, so out of an operations role. And uh did some work with some of our plans for for uh for for, you know, their cyber security needs. But then, um, about four years ago, we had an issue with a, um, with one of our suppliers at our, uh plant uh plants where we built um the F-150s. Now, uh, if you, uh, know anything about Ford, uh, you’ll know that the F-150 is our money maker. When that shuts down, when that line shuts down, it uh, it gets the attention of a lot of people. And, um, and we had, uh. We had a line shut down for uh for a couple of shifts uh because of a um uh of a a ransomware attack of one of our suppliers um directly. So uh one of the things that they wanted to uh to do they came to our CESO and said uh we need to incorporate uh uh cyber risk into our supplier risk management processes. Um they you know um purchasing um our purchasing organization, our supply chain organization uh does a really good job of um addressing supplier risk and has always done that u for things like uh you know financial uh sustainability are they u mining materials correctly um you know just all these all these types of things uh but cyber risk was never part of it. Um so um our management tked me to uh start leading the team to to uh to provide some of that risk information to our suppliers. Um so um so that’s uh so that’s why we are where we are today. I have a team of um seven people and uh we we go out and we do assessments. A lot of them are on the line today giving me great support and uh and uh so we’re I’ll just wanted to talk a little bit about uh what it is we do um how we prioritize our suppliers, what kind of level of assessments we send out. Uh how we deal with uh suppliers that we see as problematic and uh just uh some questions that we had about um you know some of our challenges and and uh some of these other things that uh that we wanted to uh share with you today. So if Melissa you can go to the next slide. So so what we uh what we uh decided that we wanted to do is that we wanted to send uh some assessments out to our suppliers. Um, but one of the things about uh Ford is that um we have and and this number fluctuates on a daily basis. We have roughly 14,000 suppliers. Very daunting task to go out and uh assess all of them. And in fact, we’ve never done that. What we’ve done is um now we are um we’ve prioritized and we continue to prioritize which suppliers we send assessments to. Uh and that’s based upon some of the risks. And some of the things that we look at were are um you know we have um we have uh uh purchasing uh applications that provide some uh some indication of the types of services that uh each of the purchase orders that go out provide. And uh we’re able to take a look at that and and we make some determinations based upon this code uh of we call a commodity code um as to what services are provided and we we identify some of the ones that we’re most interested in. And I mean some of the ones that we’re most interested like uh engineering suppliers um the suppliers that do transportation for us um some of our marketing suppliers spend a lot of money on marketing uh and um and like companies that do consulting. So those are some of the suppliers that we do put up on kind of a higher u level um suppliers that um manage Ford’s data and IT services for us. One such example of that would be prevalent. Um they um it’s a SAS or u a SAS offering and uh they manage uh this data that is for its data. They do that for us. Um so we have uh many um suppliers that do that. Um Prevalent is not a uh they don’t hold a lot of our any of our secret information. information, but we do have suppliers that do um you know, health care, uh employee benefits, um some that have a lot that have some customer data, some perh personalized information. So, um those are also suppliers that we do, um, uh we do uh prioritize and uh and then also um I mentioned that there were suppliers that do uh that have the ability to if they shut down their operations, um it would have a negative impact upon uh Ford’s operations. and uh and so our our production um you know if if we don’t have um transmissions or or wiring our seats to put inside of vehicles that’s a problem and a lot of our suppliers have very I’m sorry a lot of our plants have um uh very distinct plans and u and for sequencing as the cars go by uh they’re building for an order so it has to have this kind of seat um that’s going into the to the vehicle this kind of engine or um or anything and if it’s not there it shuts down the plant. So um we with the help of our um supply chain organization um we’ve identified those uh those particular suppliers. Um the assessment that we chose um is the u is the the an industry standard uh called the SIG light. And I’m just going to check to make sure that I’m still being heard.
Melissa: Ja, wir hören dich laut und deutlich live, Jeff. Wir hatten nur ein kleines Problem mit dem Dia dort. Wir bekommen es wieder online.
Jeff: Okay. Ja, kein Problem. Ich wusste nur nicht, ob sie... Ich hatte manchmal Probleme mit meinem eigenen Internetanbieter. Also, ich bin ich bin heute zu Hause. Also, ich werde einfach weitermachen und ich denke, äh, Melissa wird aufholen. Ähm, also, äh, und ich glaube, es ist wieder ein Paar oder wieder eins. Ja. Also, ähm, die Bewertung, die wir gewählt haben, ist die, ähm, ist die SIG light, ähm, was wir für eine Industrie- ähm Standardbewertung halten. Ähm, und selbst über die Jahre, als wir anfingen, ähm, ich glaube, es gab, Sie wissen schon, den vollen SIG light, der über 250 bis 300 Fragen hatte, je nachdem, was Sie beantworten. Und im Laufe der Jahre, jetzt, wo wir im Jahr 2023 sind, haben sie es wirklich komprimiert, so dass es ein bisschen weniger schwerfällig ist, aber immer noch die Informationen liefert, die wir brauchen, um unseren Einkaufspartnern die Risikoinformationen zur Verfügung stellen zu können. Aber wir haben festgestellt, dass einige der Fragen nicht einmal einige unserer Lieferanten betrafen. Zum Beispiel gab es viele Fragen in der Sigalite, die besagten, wie gehen Sie mit den Scope-Daten um. Scope-Daten sind die Daten, die Ford Ihnen zur Verfügung stellt, damit Sie sie verwalten können, und viele unserer Produktionslieferanten, die uns diese Sitze und Kabelbäume liefern, verwalten unsere Scope-Daten nicht und wissen nicht einmal, was Scope-Daten sind. Sie beantworteten also einige Fragen, die wir für unangemessen hielten, um sie überhaupt zu stellen. Es liefert keine weiteren Informationen. Es verursacht einfach nur Unruhe und Verwirrung im ganzen System. Wir haben uns also entschlossen, vier Stufen der SIG light zu entwickeln, die volle SIG light, wenn es sich um einen der Lieferanten handelt, die IT-Dienstleistungen erbringen, erhalten sie die volle SIG light für die Produktionslieferanten, die das Potenzial haben, den Betrieb von Ford-Anwendungen stillzulegen. Sie erhalten auch die volle SIG light, aber alle Fragen zum Umfang der Daten werden herausgenommen, weil sie sie nicht wirklich betreffen. Ähm, und dann haben wir noch ein paar andere Stufen. Die andere, die vierte Stufe, die dritte Stufe, ist im Grunde genommen ein bisschen weniger detailliert und geht nicht so weit in die SIG light hinein, und das ist wirklich fast wie ein Auffangbecken auf der dritten Stufe. Ähm, wir haben auch eine Mindeststufe, und das ist wirklich nur, ähm, ob dieser Lieferant nur die rudimentären Dinge anbietet, die wir von jedem Unternehmen erwarten würden. Wir verwenden das nicht wirklich, weil wir unsere risikoreichsten Lieferanten priorisieren. Wir verwenden es nur bei einigen unserer Pre-Sourcing-Prozesse, bei denen, wenn ein Einkäufer einige dieser Informationen sehen möchte, wir ihm mindestens 20 Fragen schicken und er diese Informationen erhält.
Mike: Hey, Jeff, kann ich etwas zum Thema Profil und Tiering sagen? Es sieht so aus, als ob viele der Leute, mit denen wir gesprochen haben, entweder etwas gemacht haben und gescheitert sind oder Tabellenkalkulationen verwenden, das scheint die größte Herausforderung zu sein, oder? Und ich würde gerne Ihre Meinung dazu hören. Niemand sagt, dass man als Drittanbieter sozusagen das ganze Universum auf einmal macht, oder? Man muss verstehen, wer am wichtigsten ist, und man muss den Leuten verschiedene Fragen stellen, und die Häufigkeit, die Art und Weise, wie man jemanden verfolgt, der etwas für den F-150 liefert, im Gegensatz zu etwas, das nur einen geringen Einfluss auf die Organisation hat, ist sehr unterschiedlich, oder? Und
Mike: Die meisten Leute beginnen damit, herauszufinden, wie man das effektiv machen kann... innerhalb einer bestimmten Ebene, bevor sie global expandieren. Ich wollte nur wissen, wie wichtig die Einteilung in Ebenen für Sie war?
Jeff: Nun, ähm, sehr wichtig. Und als es, ähm, als es weiterging, ähm, merkten wir, wie viel wichtiger es war, richtig? Also, ich meine, ursprünglich haben wir nur ähm die Bewertung verschickt, die gleiche vollständige Bewertung an alle. Und auch hier waren die Fragen nicht für jeden relevant. Also haben wir versucht, es so zu gestalten, dass es für alle gilt. Aber die Art und Weise, wie wir das gemacht haben, ist immer noch eine Herausforderung. Das muss ich schon sagen, Mike. Ich meine, im Hinblick auf die Anzahl der Lieferanten, die wir haben, und wir erhalten viele Informationen von vielen verschiedenen Systemen, die nicht wirklich alle miteinander verbunden sind. Es gibt eine Menge Aktivitäten, um das zu tun. Wir sind noch nicht so weit. Und u und ich weiß, wenn ich mit einigen unserer Kollegen spreche, ist das ein ziemlich häufiges Problem unter ähm äh unter Unternehmen unserer Größe sicher, aber auch kleinere Unternehmen äh, die viele der gleichen Probleme haben. Wir versuchen es. Wir sind noch nicht so weit, aber wir werden es eines Tages schaffen.
Mike: Und das ist in Ordnung. Ich meine, so ist es nun mal, oder? Man muss einen
Jeff: Der Begriff, den ich in diesem Zusammenhang immer wieder verwende, ist Muskelgedächtnis, richtig? Es ist nicht unbedingt
Jeff: eine eingebaute Fähigkeit innerhalb einer Organisation. Und man muss nicht nur sich selbst und seinem Team etwas beibringen, sondern auch der Organisation, wie man damit umgeht und wie es läuft. Tut mir leid, das wollte ich nicht, aber ich dachte, es wäre kein Problem, wenn es Fragen gibt, auch wenn Sie sie im Chat sehen, wenn sie besonders wichtig sind und etwas, worüber ich spreche, dann können Sie sich gerne einmischen. Das gibt mir die Chance, eine
Mike: Machen Sie eine kleine Wasserpause, atmen Sie durch, denken Sie ein wenig nach.
Jeff: Ich wollte Melissa auch fragen, warum du und ich nicht zu ihren Lieblingsmenschen gehören, aber das können wir uns für ein anderes Mal aufheben.
Melissa: Darauf werde ich am Ende dieses Artikels eingehen.
Jeff: Okay.
Mike: Well, I just met Melissa, so I’m hoping I’m getting getting up there. Um uh so, uh just the last thing on here. I mean, we have expectations of our suppliers for sure. One is that um when we we send them uh this assessment that they they complete it and they complete it truthfully, right? Um quite honestly, this is a self assessment given the uh number of people that we have and the uh and the the number of suppliers that we have. Um we can’t we can’t go out and review evidence. If someone says they have a a a business continuity plan, we we can’t we can’t review all of those. So this is a self assessment and what what we’re as what we expect is that the supplier will um will uh complete it with integrity. Um certainly we have um within our um uh terms and conditions. We do have a uh clause that says that you will complete this um assessment complete um the various assessments on a on a regular basis. Um and and essentially we give them with a month to complete it. Um certainly if people need more time we do it. Um and uh and then um we uh and then we they’ll come then they’ll they’ll get some uh some reviews. Um and I I think I just saw a little snippet at the bottom uh from the chat that uh perhaps we um about certifica asking about certifications and uh just mentioning here that we um it doesn’t make a lot of sense for us to uh send an assessment out to a team and then they come back and say well we have this uh this ISO 2701 certification we got we went through the time and effort and money to do this um why why are we uh why are you sending us this assessment? Why should we complete this assessment? And essentially, we say, well, that’s a good point. There’s really no reason. If someone uh independent has reviewed your um your assessment uh reviewed your uh cyber security posture, we will take that in lie of your u completing this assessment. It it saves us time and it saves them time for sure. Uh and there’s and and things like we mentioned it’s reviewed um There are um we do accept SOCK 2 type 2 reports and potentially there could be um exceptions within that report and we do review that for exceptions and do uh manually create risks within the system and ask them to address those. Okay. Um next uh next slide please Melissa. So when the assessments um you know uh are sent out um within a set period of time. They get completed by the supplier uh and they get uh submitted. It uh it goes to the prevalent risk operations center first and and they review it uh you know fairly quickly for um for completion. Um I mean we ask for u things like uh whether or not uh any of the uh u replies that come back is not applicable. If there’s comments around it for um uh for uh you know to to tell us why it’s not applicable. That’s something that we uh that we ask for. Um so um they do a quick u quick uh uh search through the assessment as it’s submitted. If there’s concerns, they’ll they’ll pop it back to the supplier. If not, they uh put it in the queue for um for my team to take a look at and to uh to review. And um and and what what we do is u uh a few things. Um first of all, if there are comments or notes within um uh some of the answers um and and I will say that uh you know in the SIG light I mean if you’re not familiar essentially it’s and it’s probably true with everyone is basically we’re asking yes no right yes no not applicable um generally one of the yes nos is a risk response um and uh and and when that risk response is uh completed, it generates a uh a a risk record. And sometimes uh suppliers will put in notes that say, “Okay, here’s here’s a compensating control. We don’t have this, but we do have a compensating control for this.” And they uh designate that. And uh and then we we just we review those and uh I mean, if if it’s uh suitable, uh we’ll we’ll mark that risk as remediated. But generally um there’s not a lot of that. There’s there’s it’s mostly comes back as yes, no. And within the SIG light, what we found was a couple different types of questions and uh and these are kind of our own terms. U so it doesn’t may not make a lot of sense. One is anformational question and I mean essentially that is does a situation exist where a risk may occur right so things like um do you use uh servers internally on your data center to uh do you use Unix servers to um um uh at all within your data center. And um and so if if that’s the case or if uh or if you have some kind of a DMZ um where the where if there there’s data shared externally, uh does a DMZ exist and things like that. If they answer yes, well, a risk record gets generated. Um but there may be uh policies, procedures, standards in place that would mitigate that risk. And um that’s what we we’re calling here is the policy questions. And that’s those are just exactly what I mentioned. Do you have this policy in place? Do you have this procedure? Do you have a a a standard or uh some process that would help mitigate um the potential risks as as I was uh just saying. I mean, these are things like uh do you do access reviews? Do you have uh physical security in your um in your um uh in your facility so that visitors have to sign in or is the doors just wide open? So um so a lot of cases theseformational questions that generate risks um will get mitigated based upon the policy questions that are associated with them and we review that on a yearly basis as to okay theseformational questions would generate rate of risk. What do we think um would be a uh compensating control the controls that would help mitigate that risk?
Mike: Hey Jeff, weißt du, woher ich komme? Ich habe in der Informationssicherheit gearbeitet. Ich bin ein Marketing-Typ, was bedeutet, dass ich nicht wirklich weiß, wovon ich spreche, aber genug, um irgendwie gefährlich zu sein, aber sieh mal, ich gehe den ganzen Weg zurück zu Penetrationstests und der Entwicklung von Exploit-Toolkits, damit die Leute nicht 40 Stunden damit verbringen, Python-Code zu schreiben und ihn dann tatsächlich ausführen können. Sie wissen
Mike: Ich glaube, bei den Bewertungen und dem Sammeln bleiben viele Leute am Risiko Dritter hängen, oder? Richtig. Es scheint entmutigend zu sein, wegen der manuellen Arbeit. Hören Sie, ich bin ein absoluter Befürworter eines hybriden Ansatzes oder eines Ansatzes, bei dem Sie und Ihr Team die Ergebnisse überprüfen. Es tut mir leid, und ich könnte daneben liegen, aber ich denke einfach, dass es Zeitverschwendung ist, wenn ihr da draußen versucht, die Leute dazu zu bringen, zu sagen: "Können Sie bitte Frage 38 beantworten? Und D, wissen Sie, Sie sind zu schlau dafür. Ich meine, wie integrierst du so etwas? Wie ist eure Meinung dazu, wo ihr da steht?
Jeff: Nun, ähm, was die Beantwortung individueller Fragen oder die Erledigung von Beurteilungen angeht, verlassen wir uns auf Prevalent, äh, um das mit einem Großteil ihrer Automatisierung zu tun, ähm, wissen Sie, wenn noch zwei Wochen übrig sind, schicken wir ihnen eine E-Mail. Wenn es noch eine Woche bis zum Fälligkeitsdatum ist, oder wenn das Fälligkeitsdatum am nächsten Tag ist, oder wenn man innerhalb der nächsten paar Wochen nicht angefangen hat, wird eine E-Mail an den Kontakt geschickt. Also, wir machen das nicht so oft, aber wir verlassen uns auf unsere Einkaufspartner, die Leute haben und die Beziehungen zu diesen Lieferanten haben und sie haben ein gewisses Mitspracherecht, aber sie machen auch viele Schmeicheleien, damit einige dieser Dinge erledigt werden. Wir versuchen also, nicht zu sehr darin verwickelt zu werden, weil das nicht wirklich die Stärke unseres Teams ausnutzt, und wir stellen sicher, dass wir Dinge wie die Überprüfung der Bewertungen tun, wenn sie reinkommen. Ähm, und dann werde ich auch ein wenig darüber sprechen, wie wir uns mit den Lieferanten auseinandersetzen, wenn sie unserer Meinung nach ein Problem darstellen. Aber hat das Ihre Frage beantwortet, Mike?
Mike: Ja, das hat es. Ich schaue einfach nicht, ich habe eine große Sache, dass es, wie auch immer man dorthin kommt, es ist egal. Es ist, ganz ehrlich, es ist Wurstmacherei. Eure Leute haben größere Probleme zu braten als,
Mike: Sie wissen schon, und Leute dazu bringen, Fragen zu beantworten. Ihr solltet die Ergebnisse überprüfen und risikobasierte Entscheidungen treffen und festlegen, wer welche Maßnahmen ergreifen soll, damit das Unternehmen auf Kurs bleibt, und nicht eine lächerliche Menge an Zeit mit dummen Aufgaben verbringen.
Jeff: Ja. Nein, ich verstehe. Äh, also und ich werde einfach, äh, ich werde das schnell durchgehen. Es gibt also eine Risikostufe, die die Anzahl der gesamten Risikodatensätze und die Anzahl der kritischen Risiken bestimmt. Und auch hier passen wir an, was ein kritisches Risiko ist und was nicht, basierend auf dem Feedback, das wir von unseren Einkaufspartnern oder unseren Kollegen aus dem Bereich der Cybersicherheit oder einfach aus unserer eigenen Erfahrung erhalten. Das machen wir also, und dann bestimmt die Anzahl der Risiken, ob es ein roter, gelber oder grüner Status ist, und wenn es ein roter Status ist, dann beschäftigen wir uns mit dem Lieferanten, und ich glaube, das ist die nächste Folie, Melissa.
Melissa: Bevor wir zur nächsten Frage übergehen, sind zwei Fragen eingegangen, die sich auf dasselbe beziehen: Wie groß ist Ihr Team, das sich mit dem Risikomanagement für Dritte beschäftigt?
Mike: Also, die habe ich tatsächlich gesehen. Jeff, können Sie einen Überblick über die Verantwortlichkeiten der Mitarbeiter geben? Denn ich vermute, dass du in Bezug auf die personelle Unterstützung ganz oben stehst, richtig? Es wäre also großartig, wenn Sie herausfinden könnten, was die einzelnen Personen oder Gruppen tun, ohne dass es offensichtlich
Mike: Ich werde auch.
Jeff: Ja. Also, ja. Und ganz ehrlich, unser ganzes Team macht eine Menge dieser Arten von Überprüfungen. Ähm, aber es gibt viele verschiedene Arten von Aktivitäten, bei denen ich Unterteams oder Einzelpersonen mit der Verantwortung betraut habe, verschiedene Lösungen zu finden. Ich meine, wir haben Leute, die sich jedes Jahr die gleichen Lichtveränderungen anschauen und wir haben Leute, die sich das anschauen. Wir haben Leute, die sich den Prozess ansehen, den wir verwenden, wie wir ihn effizienter machen können. Wir haben Leute im Einkauf und in den Systemen, die herausfinden, wer unsere Kontakte bei den Lieferanten sind, aber wir müssen uns das ansehen und sicherstellen, dass wir an die richtigen Leute senden. Und wenn wir dann eine Kampagne durchführen, gibt es eine ganze Reihe von Leuten, die daran beteiligt sind. Insgesamt besteht mein Team aus sieben Leuten außer mir. Und du hast recht, ich bin da oben. Ich versuche, die Dinge nicht zu vermasseln, indem ich die eigentliche Arbeit mache, aber sie leisten großartige Arbeit, und wir treffen uns oft, um einige dieser Teilaufgaben zu besprechen. Also, funktioniert das für Sie, Mike?
Mike: Ja, Sir.
Jeff: In Ordnung. Also gut. Und ich denke, ich habe die Fragen von Melissa aus dem Team von den Teilnehmern beantwortet. Also ja. Also ja. Okay. Rotes Status-Meeting. Also, äh, ja. Wenn wir also feststellen, dass jemand ein Lieferant mit rotem Status ist, dann bitten wir den Einkauf, ein Meeting einzuberufen, und oft nehmen der Einkauf oder die Einkaufsverbindung an diesem Meeting teil. Manchmal haben wir auch den Einkäufer aus dem Einkauf dabei, der am meisten arbeitet und die Beziehung zu diesem Lieferanten pflegt. Und dann, ähm, von der Lieferantenseite, ähm, fragen wir nach ähm, ähm, Leuten, die ähm, ähm, die die Bewertung abgeschlossen haben und jedem anderen, der geeignet ist. Während des ersten Treffens gehen wir die Risiken durch, wobei wir uns hauptsächlich auf die kritischen Risiken konzentrieren, und wir bitten sie, sich zu verpflichten, dies zu vervollständigen und einen Zeitplan aufzustellen, wann sie diese Risiken beheben können. Wir wissen, dass es für viele dieser Lieferanten keine leichte Aufgabe ist. Es ist nicht etwas, das in einem Monat, in zwei Monaten oder manchmal in sechs Monaten erledigt werden kann. Aber wir bitten darum, dass weiterhin Fortschritte gemacht werden, und wir bitten darum, dass die Kommunikation innerhalb der vorherrschenden Plattform hin und her geht. Sie leistet wirklich gute Arbeit bei der Kommunikation innerhalb der Plattform, und wir halten unsere Kommunikation fest und stellen sie jedem zur Verfügung, der einen Blick darauf werfen möchte. Das ist also unsere Hauptkommunikationsmethode zwischen uns und den Lieferanten. Und nach diesem Treffen haben wir ein Nachbereitungstreffen, bei dem wir sie bitten, in den Kommentaren ihren Zeitplan für die Abhilfemaßnahmen darzulegen, und wir überprüfen diese bei diesem Nachbereitungstreffen und beantworten wirklich alle Fragen, wenn sie sich eingehender mit dem beschäftigen, was sie tun müssen. Wenn sie irgendwelche Fragen haben, beantworten wir diese während des Folgetreffens. Aber wir versuchen, so lange im Gespräch zu bleiben, bis die Abhilfemaßnahmen abgeschlossen sind und der Lieferant den roten Status verlässt und seine kritischen Risiken beseitigt hat. Und das tun wir, indem wir die Kommentare in den Risikoaufzeichnungen auf monatlicher Basis hinterlegen, um zu sehen, was sie getan haben. Wenn sie ein weiteres Treffen wünschen, werden wir auch das tun. Aber im Allgemeinen erledigen wir das nach den ersten paar Treffen per E-Mail oder hauptsächlich über die Plattform. Wir haben damit ziemlich gute Erfolge erzielt, und in vielerlei Hinsicht sehe ich darin den größten Mehrwert für uns. Wir haben also über 100 Lieferanten getroffen. Wir haben uns im letzten Jahr mit über 250 unserer Lieferanten getroffen, und etwa 120 von ihnen sind von einem roten Status in einen konformen Status übergegangen, und das ist, wie ich schon sagte, der Punkt, an dem wir einen Mehrwert schaffen. Wir wissen, dass es nur eine kleine Teilmenge unserer Lieferanten ist. Aber es hebt das Niveau für alle, meiner Meinung nach.
Mike: Hey Jeff, wir haben drei Fragen bekommen und ich glaube, wir kommen jetzt zu unserer Art von Q&A-Segment, in dem ich dir Fragen stelle, aber wir nehmen auch gerne Fragen aus dem Publikum entgegen. Ähm
Mike: Die erste befasst sich ein wenig mit der Tarierung, die wir besprochen haben. Ich werde es einfach vorlesen. Viele Beschaffungsteams verwenden einen Tiering-Ansatz, um die Lieferanten des Unternehmens zu segmentieren. Wie gehen Sie mit dem Problem um, dass die Stakeholder des Unternehmens der Meinung sind, dass die Anbieter der unteren Stufe aus der Cyber-Perspektive nicht so wichtig sind wie die der oberen Stufe? Ich vermute, dass sie nicht wollen, dass ihre Mitarbeiter bei einem Top-Lieferanten beschäftigt sind und zu sehr unter die Lupe genommen werden.
Jeff: Ja. Nun, wir... Ich meine, es gibt manchmal klassische Beispiele, dass man versucht, eine Website zu erstellen, mit Unternehmen, die im Bereich HLK tätig sind, die, wie Sie wissen, einige Probleme hatten, bei denen Hacker in ein System eingedrungen sind.
Jeff: Ja, ich würde sagen, das ist das Ziel, das ist das Ziel-Ding. Das ist also ganz sicher das...
Jeff: Das ist sozusagen das Hauptbeispiel, das wir verwenden. Aber äh, aber es ist wieder nur eine Erklärung dafür, dass äh, Sie wissen schon, die Bedrohungen sind überall. Die Bedrohungen richten sich gegen jeden. Es geht nicht immer nur um Hacker, die über einen Lieferanten eindringen. Oftmals ist es nicht so, dass sie nicht einmal eine Verbindung haben. Aber wir müssen sicherstellen, dass das der Fall ist. Eine der Fragen, die wir dem Sig Lighter hinzugefügt haben. Ein Zusatz, den wir zu einer Frage gemacht haben, war, ob Sie einen Notfallplan haben und ob dieser beinhaltet, dass Sie sich mit einer E-Mail an unser Suchteam, unser Incident Response Team wenden? Haben Sie das in Ihrem Plan? Ähm, und das war ähm, das ist einfach eine Möglichkeit, dass wir wissen, dass ähm, dass sie ähm, dass unsere Interessen dafür da sind. Wir müssen das also für alle Lieferanten überprüfen, und dann gibt es noch andere Lieferanten, die einen negativen Einfluss auf unser Geschäft oder unsere Produktionsanlagen haben könnten, und oft weiß man einfach nicht, woher die Bedrohungen kommen und welche Auswirkungen sie haben könnten. Also
Mike: Ja,.
Mike: Ähm, wir haben eine Frage von Janet und einem anonymen Teilnehmer. Es geht um dieselbe Frage, nämlich wie Sie den Nachweis der Risikominderung erfassen und wie, und ich werde noch einen Schritt weiter gehen. Wie können Sie die Risikominderung durchsetzen? Ich stelle immer wieder fest, dass TPRM-Programme eine Herausforderung darstellen, denn man kann zwar etwas identifizieren, aber wenn man die Korrektur nicht durchsetzen kann, dann fehlt es manchmal an Biss. Die erste Frage ist also, wie man es erfasst, und dann, wie man die Abhilfemaßnahmen durchsetzt, wie man sie durchsetzt. Ähm, also, ich meine, das sind großartige Fragen, ganz sicher. Äh, und ich wünschte, ich hätte eine wirklich gute Antwort darauf und die Antwort ist, ähm, wir erfassen es nicht, ich glaube, ich habe schon erwähnt, dass das Siglet eine Selbsteinschätzung ist und bei der Menge der Leute, äh, der Zulieferer, die wir haben, können wir das einfach, äh, wir können das nicht tun. Was also bei Ford passiert, ich will nicht sagen, dass wir einfach sagen, hey, was auch immer, was auch immer der Lieferant macht, aber auf der Dienstleistungsebene. Wenn also ein Lieferant Ford einen IT-Service zur Verfügung stellt, hat der Geschäftsinhaber eine separate Bewertung oder eine separate Bewertung, die auf der Grundlage des Service-Levels durchgeführt werden muss. Und in dieser Bewertung wird der Nachweis erbracht, dass diese Dinge getan werden. Es ist Sache des Geschäftsinhabers zu diesem Zeitpunkt für diesen speziellen Service. Von unserem Standpunkt aus gesehen haben wir nicht die Ressourcen, um das zu tun, und im Moment haben wir auch nicht das Mandat, das zu tun. Gibt es noch einen zweiten Teil dieser Frage?
Mike: Nein, ich habe beide Antworten bekommen.
Jeff: Okay.
Mike: Ich möchte noch etwas zu meinem Beschaffungswesen sagen: Beschaffungsteams ordnen oft nach Kosten ein, aber auch Lieferanten, die wenig kosten, können große Cyber-Probleme oder große Auswirkungen haben - dem stimme ich vollkommen zu. Wenn Sie irgendetwas im Zusammenhang mit dem F-150 herstellen, sind Sie ein Tier One. Punktum. Wenn wir den F-150 nicht bauen können, und ich glaube, es gab einen deutschen Hersteller über COVID, der ein Teil nicht bekommen konnte und schließen musste. So,
Jeff: Richtig. Richtig.
Mike: Ich meine, ich habe das Gefühl, dass es so sein könnte, aber ich bin nicht der Experte.
Jeff: Nun, es gibt bestimmte Kriterien, die wir zur Bewertung der Priorität heranziehen. Die Kosten sind eines davon, aber es ist nicht das einzige und sicherlich nicht das wichtigste. Aber wir haben, wissen Sie, wir haben, wissen Sie, wir bekommen vom Einkauf eine Liste der F-150-Lieferanten, die an die Spitze der Linie kommen. Wir haben, ich meine, alle anderen Lieferanten, die das Inventar benötigen, um dieses Teil herzustellen, die werden priorisiert. Ähm, wie viel wir mit ihnen ausgeben, das ist einer von Das ist einer von ihnen. Ich würde sagen, das kommt wahrscheinlich erst später.
Mike: Ja. Es geht nicht um die Kosten. Es geht um die Auswirkungen auf das Geschäft, richtig?
Jeff: Jep. Ganz genau. Ja, genau.
Mike: Ähm, wie gehen Sie also mit einem Geschäftsinhaber um, der das Risiko lieber in Kauf nimmt, als den Lieferanten zur Sanierung zu bewegen? Ich weiß nicht, ob Sie da ein Mitspracherecht haben, aber.
Jeff: Nein, das tun wir nicht. Wie ich schon sagte, ist es ein ähm, wir geben Informationen an das Risikomanagementteam des Lieferanten weiter. Sie haben ihre Richtlinien und Prozesse zur Risikoakzeptanz. Ähm, und wir haben nicht wirklich etwas damit zu tun, aber das passiert mit Sicherheit. Ich meine, die geschäftlichen Prioritäten haben oft Vorrang.
Mike: Ähm, interessant. Wissen Sie, wir sehen das immer häufiger, und ich fange an zu sehen, wissen Sie, ich spreche gerade mit Kunden und Leuten, dass es anscheinend mehr Einkaufszentren gibt, in denen jemand aus der Beschaffung, jemand aus der Rechtsabteilung, jemand aus dem Risikobereich, jemand aus dem Sicherheitsbereich sitzt.
Mike: Wenn sie Anbieter einbeziehen, fangen sie an, das Ganze kohärenter zu betrachten, als wenn sie...
Mike: Weißt du, ich habe in der Brad Street ein Projekt durchgeführt. Wir haben diese Seite betrieben, richtig? Oh, du hast das hier.
Mike: Fertig, richtig?
Jeff: Ja.
Mike: Im Gegensatz zu, Sie wissen schon, brauchen wir Risiken auf Unternehmensebene? Brauchen wir einen ganzen Haufen anderer Dinge, die sich darauf auswirken könnten?
Mike: Also, ich übergehe das jetzt in eine etwas umfangreichere Frage von Joel, aber hat die Rechtsabteilung eine Rolle in Ihrem Risikomanagement für Dritte und das kann ja oder nein sein und es erklären, aber wer bekommt noch einen Platz am Tisch, richtig? Oder das Programm wurde erstellt, entwickelt sich weiter, wie würde Ihre ideale Konfiguration für diese Angelegenheit aussehen?
Jeff: Also, ich meine, wir haben einige Leitungsgremien, denen wir über einige unserer Führungskräfte Bericht erstatten, und die Leute, die, wie Sie sagen, wirklich mit am Tisch sitzen. Es gibt, ähm, es gibt unser OGC, sicherlich, ähm, wissen Sie, es gibt, Sie wissen, Verträge mit diesen Teams, und wir müssen sicherstellen, dass wir nicht über das hinausgehen, was, äh, was ihre Verpflichtungen sind. Und dann gibt es da noch das Risikomanagement für den Einkauf von Lieferanten. Es gibt, ähm, es gibt einfach den allgemeinen Einkauf, der unser Betriebsteam betreibt. Unser IT-Team, das den Einkauf unterstützt, unser CISO, und das sind die Leute, die an der Entscheidungsfindung darüber beteiligt sind, was wir in Zukunft tun werden.
Mike: Verstanden. Ähm, jemand hat gefragt, ähm, also eines der Dinge, die wir hier sehen, wenn wir etwas tun, wissen Sie, ich weiß, Sie sind alle in unserer Datenbank und wir schicken Ihnen eine Menge E-Mails, die Compliance-Sachen stoßen auf ein unverhältnismäßig großes Interesse NIST ICE, also ähm, wissen Sie, diese Art von Sachen. Wie haben die Aufsichtsbehörden Ihren Ansatz und Ihr Verfahren aufgenommen? Gibt es irgendetwas, das Sie Ihrer Meinung nach ändern könnten, wenn Sie es noch einmal machen müssten? War es ein ziemlich reibungsloser Übergang? Ich bin nur neugierig.
Jeff: Ähm, also ich weiß, dass ich, wenn wir noch einmal von vorne anfangen würden, wahrscheinlich einen besseren Kommunikationsplan sowohl intern als auch extern, äh, haben würde.
Jeff: Ähm, nun, weil ich meine, es gibt Zeiten, in denen wir uns oft auf unser Einkaufsmanagement verlassen, so dass es eine Art Durchsickern ist, damit das passiert, ähm, wir senden diese Bewertungen aus, ähm, und oft sickert es nicht durch, so dass ein Lieferant zu Recht zurückkommt und zu seinem Einkäufer geht und sagt: Hey, ähm, wir haben das sieht aus wie Angeln. Ähm, es kommt von einem Ford, ähm, wissen Sie, weil wir eine E-Mail-Weiterleitung hatten, wo es von afford.com kam. Aber Junge, das sieht aus wie Angeln. Ich habe meine Ausbildung gemacht und ich muss sicherstellen, dass das richtig ist, was angemessen ist. Ähm, aber das wissen unsere Käufer in den meisten Fällen nicht, richtig? Sie wissen nicht, dass wir das machen und es ist ein globales Unternehmen und es gibt verschiedene, weißt du, also hätte ich wahrscheinlich den Kommunikationsplan besser gemacht, um, weißt du, sowohl intern als auch, na ja, hauptsächlich intern von dem, was wir versuchen zu tun. Also,
Mike: Nur eine Frage.
Jeff: Ja, das stimmt. Und, ähm, wissen Sie, wir fragen immer, ähm, ich meine, eine meiner Lieblingsfragen, wenn Sie für einen Tag König wären oder wenn Sie in der Zeit zurückgehen könnten und, wissen Sie, sich diesen Rat geben könnten. Ich habe gerade die Wohnung gesehen. So, you know,
Jeff: Also abgesehen davon, dass ich mich damit selbst befördert habe.
Mike: Ja, so ist es.
Jeff: Okay,.
Mike: Bitte sehr. Oder vielleicht sollte man Barry Sanders nicht zu früh in den Ruhestand schicken. Aber das ist ein anderes Thema für ein anderes Mal.
Jeff: Das ist ein anderes Thema.
Mike: Ihr werdet dieses Jahr gut sein, aber das ist nicht der Punkt. Hey Melissa, wir haben Jeff schon seit geraumer Zeit mit Fragen bombardiert. Ich weiß, wir hatten mehr, aber ich wollte Scott eine Chance geben. Ich weiß, dass wir, ähm, ihr wisst schon, Scott die Gelegenheit geben, alle nur zwei Minuten lang über die Vorherrschaft zu informieren, die letzte Umfrage zu stellen und alle vielleicht noch einmal etwas trinken zu lassen, bevor wir, äh, zum Ende der Stunde kommen. Wäre es also in Ordnung, wenn wir hier eine kurze Pause einlegen und die nächsten Schritte einleiten? Hören Sie, Jeff, vielleicht machen wir einfach eine QA. Ich weiß, das hat eine Weile gedauert. Wir haben eine Menge bekommen, aber wissen Sie, wir hatten noch nie so viele aktive Fragen, also gibt es eindeutig eine Nachfrage, zu hören, was Sie zu sagen haben. Also, vielleicht haben wir einfach eine Q&A mit Ihnen oder irgendwann. Und Vorsicht, wir hatten und etwas Leute auf, so dass Ihre E-Mail könnte bald in die Luft gehen, aber.
Jeff: Okay. Das ist nicht überraschend, wissen Sie.
Melissa: Ja. Ähm, ja, und nicht ungewöhnlich, also keine Sorge.
Scott: Uh, awesome. Yeah, great. Thanks, Mike. Uh, and thanks, Jeff. I’m just going to take, uh, you know, just a couple of minutes to talk about, you know, prevalence approach to addressing the third party risk management challenge. And then once I’ve kind of walked through a little bit of our approach, then we’ll pass it back over to Jeff and I imagine there’ll be some more questions to answer. So, Melissa, if you could move to the next slide, please. Um, ultimately what we’re trying to help organizations accomplish is to three primary uh questions or issues or to address three primary goals and the first of those is to uh get the data you need to make better insights. You know, maybe you’ve got it in silos. Maybe different departments are managing uh the vendor relationship. Maybe you know your procurement team uh owns the relationship but it’s IT security or risk management that executes the uh the actual assessments, right? Bringing that information together into one place uh that helps you make good uh informed decisions on um you know risk scoring, risk posture, remediation and next steps with vendors. Item number one. Item number two kind of relates to number one is increasing team efficiency and breaking down silos. You know you’ve got uh you know as I mentioned procurement might own a vendor relationship, excuse me, it might execute on the assessment. You finance might be involved. You’ve got the external auditors to deal with and everybody has a little piece of the puzzle that they’re that they’re playing with here. So pulling everything together into a single uh platform that enables you to action risk uh execute on reporting efficiently um is uh is is one of the ultimate goals here. And then third and the big one frankly is evolving and scaling your program over time. Uh whether you’re adding suppliers, making an acquisition, did a devestature, you know, reducing suppliers, going through rationalization process, whatever, you have to be able to have a a nimble and agile program that kind of flexes with uh you know, business requirements. Uh and that’s what, you know, a a a TPRM platform like Prevalent uh can can really help you accomplish. Next slide, please. Um so our approach is to and you can build it out a little bit more, Melissa, till you see the little blue bars at the bottom. There you go. Uh what we what we what we really talk about is and what we see in the market is that there are distinct risks at every stage of your third party vendor and supplier relationship. You know, you see risk during sourcing and selection. These guys have a kind of a a early sock 2 report or some spotty financial issues, maybe poor credit rating or maybe they’ve got some sanctions or reputational problems you have to address. That’s a very different type of uh risk to look at and manage and frankly sometimes a different department to take a look at that risk than at the top of that uh graphic right there in the assess and remediate function where you’re doing a much deeper dive on your on particular due diligence topics, you know, uh security um uh policies um ESG program um data privacy and protection policies you know financial compliance and more. You know every one of these stages around this this this life cycle presents its own unique challenges mostly related to a lack of insight not having stuff you know kind of pulled together having a very manual uh approach and then the solutions are also unique to every one of these wedges uh in this life cycle as well from being much more prescriptive about getting intelligence uh into your RFX processes to onboarding and contracting and building in the right uh right right to audit clauses automating your assessment processes enabling continuous monitoring of data so that you’ve got feeds of information coming into your environment continuously in between your regular assessments or your triggered assessments monitoring the SLAs’s and the KPIs and the KIS for each of those vendors make sure things are followed up on appropriately and then eventually as all relationships do um you know and they come to an end and you know what are the specific tasks and process that have to be addressed before you, you know, uh, you know, terminate a particular contract. At the end of the day, we’re trying to accomplish for you, you know, a a simplified and sped up process for onboarding vendors, getting you to a single source of the truth, closing gaps and processes, excuse me, and then unifying uh, everybody in the organization uh, around the third party life cycle. Next slide, please Melissa. You know, we address uh, a whole host boost of risks in a prevalent platform. Here are six categories of them. And this is just a sample of what I could squeeze in the tiniest type I could find on a slide. Uh but it just gives you an idea of how um elastic the platform can be in uh managing risk whether you’re issuing a dedicated assessment for one of these categories or you’re consuming you know monitoring feeds to make decisions. Next slide please Melissa. Um you know what we actually deliver as far as solution is really three-part harmony. Uh first is the expertise that we deliver uh through our risk operations center which Jeff mentioned uh you know earlier on in the presentation. You know this is this is our managed services organization that does a lot of the hard work for you from onboarding uh assessment and scheduling uh collection and management uh analyzing responses and evidence and documentation and then helping you define the right remediations to go back out to your to your vendors with. Um a whole host of data sources that we pre-integrated ready on your behalf. So you don’t have to try and tie a bunch of data feeds together into the platform. We pump it all in there for you right into the same risk register that your assessment responses appear in with some correlating between uh the the disperate findings so you can then take action on on uh you know potential gaps or or problems when you’re validating uh assessment controls with uh with outside monitoring data. And then finally we has it all in one platform that enables you to get great workflow uh reporting and then risk management guidance. um to share with the rest of the organization. Next slide, please Melissa. I mean really at the end of the day, our objective is to help you um make good well-informed decisions, be smarter uh by giving you comprehensive risk and performance insights, great analytics and role-based reporting for your internal and external stakeholders to unify your teams under a single source of the truth. To look at the life cycle on a unified basis from onboarding to offboarding and then give you descriptive guidance and intelligence to help you to understand what to do with the risks you find and uh and how to dispose of them of uh and uh and triage them from there. So honestly that’s our approach to thirdparty risk management to take a look at the life cycle address those risks at every life cycle and then give you you know the the process the intelligence uh and the guidance to help you improve that program over time and I think that’s pretty well representative of of some of the capabilities we’ve been able to uh to deliver forward And I’ll kind of pitch back over to Melissa if you want to open up for questions or Mike.
Melissa: Ähm, bevor wir zu den Fragen übergehen, und ich sehe, dass sich einige von ihnen angesammelt haben. Also werde ich unsere zweite Umfrage starten. Ähm, lasst die Fragen kommen, Leute. Und ähm, wir sind neugierig. Wollen Sie ein TPR und ein Programm erweitern oder einrichten? Wie ich schon sagte, seid ehrlich. Wir verfolgen Sie. Als wäre ich es persönlich. Ich bin ein echter Mensch. Ich werde mich mit Ihnen in Verbindung setzen. Ähm, und ich möchte sicherstellen, dass wir niemanden durch die Maschen schlüpfen lassen. Also beantworten Sie das so gut Sie können. Bringen Sie das hinter sich, und dann haben wir vielleicht noch Zeit für zwei weitere Fragen. Also, Mike, wenn du ein paar davon durchkämmen willst, oder Jeff, ähm, welche du für die wertvollsten hältst, werde ich sie an euch weitergeben.
Mike: Ja, lassen Sie mich einen Blick darauf werfen, das ist eine gute Frage von Katherine. Wie stellen Sie bei Ihren jährlichen Überprüfungen sicher, dass die SLAs eingehalten werden? Wenn sie nicht eingehalten werden, welche Schritte unternehmen Sie, um sicherzustellen, dass der Lieferant wieder auf den richtigen Weg kommt?
Jeff: Nun, noch einmal, was passiert, ist, dass wir, ich meine, wir stellen eine Menge E-Mails zur Verfügung, die zu Erinnerungs-E-Mails werden, und wir werden sogar darauf achten, dass wir ein paar E-Mails nach dem Ende des Bewertungszeitraums versenden. Oftmals erhalten wir eine Bewertung, wir erhalten eine Bitte um Verlängerung, und das würden wir sicherlich tun. Ich erwähnte den rot-gelb-grünen Status. Es gibt noch einen anderen Status, den der Einkauf verwendet, nämlich den orangenen Status, und der orangefarbene Status bedeutet, dass sie die Bewertung nicht abgeschlossen haben. Ähm, sie haben nicht, äh, sie haben nicht rechtzeitig abgeschlossen. Sie haben vielleicht nicht einmal angefangen. Wir hatten einen Fall, und das ist das erste Beispiel, von dem ich gehört habe, dass so etwas passiert ist. Ein Lieferant arbeitete mit dem Käufer zusammen, um einen Kauf abzuschließen, und der Käufer sah, dass auf dem Dashboard neben dem Namen des Lieferanten eine orangefarbene Markierung war, die besagte, dass er die Bewertung nicht abgeschlossen hatte, und stoppte den Kauf. Also nutzen wir das so gut wie alles andere.
Mike: In Ordnung, das wird wieder die letzte Frage sein, die ich allen stellen möchte, und dann wird Melissa sie an Sie zurückgeben, aber ich mag diese Frage. Es ist eine lange Frage, aber haben Sie schon einmal jemanden nicht bewertet, weil er jemand wie Microsoft ist? Ähm, was sind Ihre Gedanken dazu?
Jeff: Ja, sie ignorieren uns so ziemlich. Ich meine, die Großen, äh, äh, Cisco, äh, Microsoft, Amazon, Oracle, äh, ich meine, die ignorieren uns sicher nicht. Ich meine, im Allgemeinen ist es so, dass jeder von unserem Managementteam oder dem IT-Managementteam. Ich meine, bis hin zu unserem CIO ist ein großer Teil des Managements eine Art Beziehungsmanager für einige der großen Unternehmen wie Microsoft und all die anderen und wir arbeiten mit ihnen zusammen, um sicherzustellen, dass wir die richtigen Dinge haben, die sie brauchen, und im Allgemeinen tun sie das über andere Manager. Also andere äh Methoden äh und so, ähm, es sie nicht sie nicht ausfüllen ein sig light, ganz ehrlich.
Mike: Ich wette, das tun sie nicht.
Jeff: Ja,.
Mike: Ich wette, das tun sie nicht. Hey, äh, lass mich das Video wieder einschalten, mein Internet ist gestört. Aber Jeeoff, das war einfach großartig. Ich danke dir. Ähm, wissen Sie, die Menge und die Quantität und Qualität der Fragen, die ich denke, repräsentiert den Wunsch, von jemandem wie Ihnen in einem etablierten Programm zu hören, und Sie haben großartige Arbeit geleistet, und ich schätze die persönliche Note. im Voraus. Das war also großartig. Also vielen Dank von allen Reisenden. Es war großartig.
Jeff: Okay. Danke, Mike. Ich weiß das zu schätzen. Und ich denke, dass die Karten verschickt werden. Ist das richtig?
Melissa: Ja, das stimmt.
Jeff: In Ordnung. Und ich glaube, ich habe meine E-Mail-Adresse dort drin. Ich freue mich also auf E-Mails.
Mike: So, bitte sehr. Melissa, sonst noch etwas?
Melissa: Wissen Sie, ich weiß diese Interaktion wirklich zu schätzen. Ich denke, es ist sehr nützlich im Vergleich zu, Sie wissen schon, all den Fragen und Antworten, die wir oft bekommen. Das ist eine ganze Menge. Ich hoffe also, dass es für alle nützlich war. Vielleicht haben wir sogar das Glück, ihn in Zukunft bei uns zu haben. Also, bleiben Sie dran. Danke Mike, dass du mitmachst. Ich weiß, dass du heute viel zu tun hast, und Scott auch. Ähm, und ein letztes Mal: Danke, Jeff. Und ähm, wir sehen uns alle bei einem zukünftigen Webinar und in euren Posteingängen. Also, passt auf euch auf, Leute. Habt einen schönen Tag.
Jeff: In Ordnung. Ich danke dir. Tschüss.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.