Compliance-Podcast-Netzwerk: Die Studie zum Risikomanagement von Drittanbietern 2020

Melissa: Hallo und herzlich willkommen. Es ist toll zu sehen, dass alle an diesem Mittwoch mitmachen. Ich gebe Ihnen eine Minute Zeit, um sich zurechtzufinden und Kontakte zu knüpfen und vielleicht einen Koffein zu trinken, wenn Sie in diesem Boot sind. Und in der Zwischenzeit werde ich unsere erste Umfrage starten. Sie werden sie in einer Sekunde auf Ihrem Bildschirm erscheinen sehen. Ich bin neugierig darauf, was Sie zu dem heutigen Webinar führt. Ist es, weil Sie sich in der Anfangsphase Ihres Programms für Drittparteirisiken befinden? Sind Sie bereits ein häufiger Kunde? Vielleicht recherchieren Sie auch nur für ein Projekt. Seien Sie ehrlich. Vielleicht sind Sie verloren. Ich bin mir nicht sicher. Ähm, und lassen Sie uns ein paar Dinge in Angriff nehmen. Ich stelle mich kurz vor. Mein Name ist Melissa und ich arbeite hier in der Geschäftsentwicklung. Und heute haben wir einen Gast, Eric Brown, der CISO bei Cytokinetics ist. Herzlich willkommen, Eric.

Eric: Hallo, alle zusammen.

Melissa: Und wir haben Mike Yaffy, Chief Marketing Officer von Prevalent. Hallo, Mike.

Mike: Hallo.

Melissa: Und zu guter Letzt haben wir Scott Lang, unseren eigenen Vizepräsidenten für Produktmarketing hier. Hallo Scott.

Scott: Hey Melissa.

Melissa: Und heute werden Eric und Mike auf die wichtigsten Schritte bei der Umwandlung von TPRM in ein Geschäftsgespräch eingehen. Und das ist es, was heute ein Gespräch zwischen Mike und Eric ist. Also, ähm, wissen Sie, ein bisschen Hausarbeit. Das Webinar wird aufgezeichnet. Sie werden es also zusammen mit einer Diashow später in Ihrem Posteingang erhalten. Und ihr seid alle stummgeschaltet. Nutzen Sie also das Frage-und-Antwort-Feld, wenn Sie irgendwelche Fragen haben, die Ihnen durch den Kopf gehen. Seid auch nicht schüchtern. Fühlt euch frei, zu fragen. Und ohne weitere Umschweife überlasse ich Eric und Mike den Vortritt. Legt los, Jungs.

Mike: Genau richtig. Eric, danke, dass du heute bei uns bist. Ich weiß das zu schätzen, besonders vor dem Hintergrund, dass Sie nicht auf der RSA waren, worüber wir gesprochen haben. Also, danke, Melissa. Warum gehst du nicht zur ersten Folie? Ein paar Dinge noch, Leute. Äh, wissen Sie, für diejenigen von Ihnen, die nicht auf der RSA waren, ich denke, wir waren alle dort oder sind dort gewesen. Es ist, äh, es ist schön, diese Woche nicht mit 30.000 Leuten rumzuhängen. Es ist also etwas ruhig. Zweitens, äh, entschuldige ich mich für das hier. Nun, so wie ich im Allgemeinen aussehe, kann ich nicht viel dagegen tun. Aber die beiläufige Art der Annäherung, die Frau hat erst vor kurzem ein Baby bekommen, und ich weiß, Sie denken, er ist alt dafür. Das ist auch wahr. Aber, ähm, das ist das Beste, was ich im Moment tun kann. Also, ähm, ich bin dabei. Du bekommst einen Hut. Du bist heute ein bisschen legerer. Aber es sollte eine super lustige Unterhaltung werden. Schau, ich bin aufgeregt. Eric ist ein wirklich guter Freund für uns und er hat eine Menge Erfahrung. Ich denke, wenn man seine IT- und Cybersicherheitserfahrungen mit dem kombiniert, was er getan hat, und mit seinem technischen Hintergrund, dann ist das eine wirklich gute Kombination aus, Sie wissen schon, technischer Expertise, einem Mann, der sich reinhauen kann und ein bisschen in den Schützengräben arbeiten kann, aber aufgrund seiner Position in seinem Titel wirklich versteht, wie man auf Führungsebene präsentiert und wie man das Technische auf die Vorstandsebene überträgt. Und ich denke, es ist relativ zu dem, was wir hier zu erreichen versuchen. Es ist eine Herausforderung, die CISOs oder die Vorstandsebene entweder für einen Business Case oder für die Unterstützung oder Erweiterung oder einfach für die Professionalisierung Ihres TPRM-Programms zu gewinnen. Und Eric würde das wahrscheinlich nicht sagen, weil er bescheiden ist, aber er ist ein Experte auf diesem Gebiet und ich glaube, er hat das im Laufe seiner Karriere schon mehrfach gemacht. Ich bin sehr froh, dass er sich die Zeit genommen hat, uns zu helfen und euch zu helfen, es zu verstehen. Also noch einmal, wenn Sie Fragen im Chat haben, reißen Sie sie ab. Wir werden versuchen, sie in den Kontext zu bringen. Wenn nicht, werden wir sie bis zum Ende aufheben. Also, Eric, möchtest du mit irgendetwas beginnen? Melissa, warum gehst du nicht zur nächsten Folie über?

Eric: Nein, ich weiß die Einführung zu schätzen. Ich freue mich darauf, mich einzulesen.

Mike: In Ordnung, fangen wir an. Also, sehen Sie, die erste Frage, um alle in Einklang zu bringen, ist, wie haben Sie es gemacht, richtig? Es ist gar nicht so einfach, in Organisationen eine einheitliche Linie zu finden. Ich frage immer, welche Art von Unternehmen Sie sind, richtig? Wollen Sie die Antwort? oder wollen Sie die Antwort nicht, richtig? Also, ähm, wie haben Sie die Ausrichtung erreicht und als welche Art von Organisation würden Sie sich selbst auch einstufen?

Eric: Ja. Also, ich werde zuerst den Teil über die Organisation beantworten und das auf verschiedene Arten tun. Ich bin also im Pharmasektor im Allgemeinen tätig, richtig? Manche Leute werden das also unter Gesundheitswesen finden. Ähm, aber es ist ein anderes Geschäftsmodell. Und die Pharmaindustrie lebt und stirbt von geistigem Eigentum. Das ist also eine Sache, bei der man den Kunden und die Zielgruppe kennen muss. Ähm, Cytokinetics ist ein kleines Unternehmen. Wir denken an 500 Angestellte, tausend Benutzer mit Auftragnehmern, Beratern, Dienstleistern, usw. Es ist also kein großes Unternehmen. Ähm, und ich denke, eines der Dinge, die wir immer versucht haben, zu betonen, als ich als CISO kam und übernahm, war, das Cybersicherheitsprogramm im Großen und Ganzen als kein technisches Problem zu betrachten. Ja, es wird technische Dinge und technische Aspekte geben und es wird Technologien geben, aber es ist Teil eines umfassenderen Unternehmensrisikomanagements, das letztendlich dafür sorgt, dass jeder in unserer Organisation und unsere wichtigsten Stakeholder innerhalb und außerhalb zufrieden und sicher sind. Das ist also Nummer eins, das ist nur der Anfang der Diskussion über das Sein

Mike: Wie sieht das aus? Wie sieht das aus, wenn die Organisation es nicht hat und man versucht, Sie wissen schon, jeder hatte es in einer kleinen Kiste oder in einer Ecke,

Eric: Richtig?

Mike: Also, was ist der gehobene Betrug? Wie fängt man überhaupt an, wo fängt man an? Wie fängt man an? Mit wem fängt man an?

Eric: Ja. Einiges davon ist in den letzten Jahren einfacher geworden, weil so viele Dinge in den Schlagzeilen sind, richtig? Ob es nun um Solar Winds oder eine andere lokale Universität oder Gesundheitsorganisation geht, in die Ransomware eingedrungen ist, oder ob die Leute Target oder Visa oder CASA gesehen haben, richtig? Und Einzelhandelsgeschäfte in größeren europäischen Segmenten sind für eine Weile geschlossen, weil sie mit POS-Systemen arbeiten, die gehackt wurden. Die "Nightly News" haben einige dieser Diskussionen erleichtert. Es gibt also immer mehr Vorstandsmitglieder, die anfangen, Fragen zu stellen, wenn sie in mehreren Vorständen sitzen, um zu sagen: Wie schützen wir unser Vermögen? Es gibt Nachrichten und Newsfeeds. Es gibt also ein allgemeines Bewusstsein, das sich von dem vor 10 bis 15 Jahren unterscheidet, als es bei Cyberfragen im Wesentlichen darum ging, ob wir die neuesten und besten Firewalls haben. Also

Mike: einige der einige der

Eric: Technologieproblem, Punkt a a a gleich b es ging darum, dies zu kaufen, dies zu tun, dies richtig auszuführen und dann Eric: also der andere Teil, äh, nicht das Technologieproblem, auf das wir uns konzentriert haben, war die Rechtsabteilung als eine Abteilung innerhalb einer Organisation. Niemand denkt bei der Rechtsabteilung an die Funktion des Vertragsmanagementsystems. Eric: Aber die Leute denken an Cyber als Funktion von Dingen wie Firewall, Zugang und Identität. Und das ist doch alles in Ordnung, oder? Das ist ein wichtiger Teil, genau wie ein Vertragsmanagementsystem. Aber wir müssen den Menschen helfen zu verstehen, dass die Rechtsabteilung dazu da ist, Unternehmen beim Risikomanagement auf vertraglicher Ebene zu unterstützen. Cyber ist für das Risikomanagement im Bereich der Cyber- und technischen Sicherheit da. Und ja, es gibt Technologien, aber wir helfen den Menschen, diese Analogie zu ziehen. Und dann haben wir Vertrauen aufgebaut, weil wir auch die Grundlagen gelegt haben. Wir haben also einen Großteil der Technologien, Prozesse und Kontrollen aus dem Weg geräumt, so dass interne und externe Prüfer sagen konnten: Nein, das ist ein gutes Schiff. Das trägt dazu bei, dass sich die Konversation über die Technologien auf eine viel geschäftsfreundlichere Sprache verlagert.

Mike: Wenn Sie also eine Rangliste aufstellen müssten, mit wem würden Sie anfangen, um die Leute mit ins Boot zu holen? Das ist eine Frage, keine Aussage, aber wer sind die drei wichtigsten Organisationen, mit denen man wirklich zusammenarbeiten muss, damit sie verstehen, warum.

Eric: Ja. In unserer speziellen Zusammensetzung waren die drei Funktionen oder ich würde sagen, die wenigen funktionalen Organisationen oder Abteilungen, die anfangs kritisch waren, die Qualitätskontrolle, aber vor allem die Rechtsabteilung. Davon abgesehen gab es auch eine weitere Anstrengung, mit unserem Senior Leadership Team zu interagieren. Also die Vizepräsidenten und die höheren Stellen in der Organisation, um zu sagen: Das ist die breite Landschaft von Beratern und Auftragnehmern, mit denen wir arbeiten. Sie machen einen großen Teil unserer Fähigkeiten in der Organisation aus, richtig? Sie unterstützen die Automatisierung, die Daten, die täglichen Abläufe in unserer Organisation. Und wenn wir nicht verstehen, wo das Risiko in diesem großen Segment liegt, können wir leicht feststellen, dass wir nicht betriebsbereit sind, dass wir gefährdet sind, dass unser Ruf geschädigt wird, richtig? Es gibt eine ganze Reihe negativer Auswirkungen, die wir überstehen und überwinden müssen. Also,

Mike: Mussten Sie das in den Kontext einordnen, weil Sie es vorhin schon gesagt hatten? Es ging um personenbezogene Daten, richtig? Mussten Sie ihnen helfen, zu verstehen, dass dies die überwältigende oder vorrangige Sorge für die Organisation war? Sie sagen, wir wissen nicht einmal, wie viele Menschen und ich sage nicht, dass Sie es getan haben oder nicht, aber

Eric: Ja,

Mike: Zugriff auf personenbezogene Daten haben oder wissen, wo sie hingehen oder wer auf sie zugreift oder was sie damit tun.

Eric: Ja. Also sind personenbezogene Daten für uns eindeutig nicht wichtig. Ich meine, richtig, europäische GDPR, kalifornische Datenschutzbestimmungen, all das macht Sinn.

Eric: Ähm, geistiges Eigentum ist die größere Sache. Wenn wir also sehen, dass Organisationen in den Nachrichten verloren gehen.

Mike: Übrigens, ich meinte IP. Mein Gehirn denkt, dass das erste "sorry" war, aber ich meinte die IP, und die hatte die gleichen Buchstaben drin. Also, Entschuldigung.

Eric: Nein, keine Sorge. Ähm, ja. Ich helfe ihnen also zu verstehen, wie so etwas aussehen kann. Es könnte so aussehen, dass Daten aus der Organisation zu Leuten durchsickern, die sie nicht haben sollten. Es könnte so aussehen, dass unsere wichtigsten Meinungsführer oder andere Fachleute im Gesundheitswesen nicht mit uns zu tun haben wollen, weil sie uns nicht vertrauen. Wir können die Daten nicht aufrechterhalten. Wir wissen nicht, was vor sich geht. Die negativen Auswirkungen, über die ich immer spreche, haben also wenig damit zu tun, dass jemand einen Server gehackt hat, sondern es handelt sich dabei immer um eine Art von Geschäftssprache, um zu sagen, dass dies die nachgelagerte negative Auswirkung sein könnte, mit der wir umgehen müssen und die wir versuchen, den Sturm zu überstehen. Das war also normalerweise der Schwerpunkt.

Mike: ist es und und schauen Sie selbst im Sicherheitsmarketing und richtig genug, um gefährlich zu sein, das machen wir seit mehr als 20 Jahren, richtig, es gibt zwei Wege, der Befähigungsansatz, richtig, Sie sind besser, schneller, stärker oder sicherer oder der FUD-Faktor, richtig? Was denken Sie, wie funktioniert es? Ist es ein hybrider Ansatz? Aber wie sieht die Botschaft aus, die Sie den Beteiligten übermitteln? Und wenn Sie über das Führungsteam oder die Rechtsabteilung sprechen wollen, oder vielleicht ist das alles dasselbe, aber wissen Sie, wie sieht die Gesprächsführung aus?

Eric: Ja, das ist eine gute Frage, und ich denke, es ist wirklich beides. Ich meine, die Realität für uns in den Cyberräumen. Es ist mehr, ähm, ich würde nicht unbedingt FUD sagen, aber ich verstehe den Punkt, und ich würde es in den Eimer der Risikovermeidung und Kostenvermeidung packen. Es gibt also, ich meine, eindeutig Angst, Unsicherheit und Zweifel als Motivatoren in diesem Bereich. Eric: Äh, aber generell zu sagen, okay, wenn wir Risiken managen oder abmildern oder uns mit der Vermeidung unangemessener Kostenbelastungen befassen, schön und gut, aber es gibt auch Dinge, die wir versucht haben, als prinzipielle Haltung innerhalb des Teams einzunehmen, und das ist, wo immer wir Risiken minimieren können, das Risiko als allgemeines Ziel weiter zu senken. Wo immer wir das mit geringen oder gar keinen betrieblichen Reibungen erreichen können, ist das großartig. Wir werden das tun, denn dann werden die Leute befähigt. Es ist, als würden wir das Risiko durch Technologie minimieren oder abschwächen. Wie können wir also den Zugang einfacher, aber auch sicherer machen, richtig? Was sind die MFA-Konfigurationen? richtig? Wie können wir über SSO nachdenken, um den Zugang zu Anwendungen zu vereinfachen, aber gleichzeitig mehr Kontrollen unter der Haube zu haben? Es geht also um eine Befähigungskomponente und schließlich darum, ein gewisses Maß an Glaubwürdigkeit in der Organisation aufzubauen, damit die Leute sagen: "Hey, machen wir das Richtige?" Ich habe mehr Fragen als der Versuch, das Cyber-Programm vorzustellen und zu sagen, warum Sie es falsch machen, und ich kann Ihnen helfen. Jetzt kommen die Geschäftspartner zu uns und fragen: Wie können wir das angehen? Wie können wir Cyber als Entscheidungshilfe nutzen, wenn wir uns mehrere Kandidaten für einen Anbieter ansehen, anstatt zu sagen: Ach du meine Güte, das ist nur eine weitere Checkbox-Aktivität, die wir erledigen müssen und die den Prozess verlangsamt.

Mike: Ja, das sieht großartig aus, oder? Wenn ich meine, wenn du an den Punkt kommst, an dem du ihre Kontrollen bewertest, und es ist ein Unterscheidungsmerkmal, richtig? Ein super positives Unterscheidungsmerkmal, weil man das Gefühl hat, dass sie es getan haben, dann ist man damit schon weit gekommen. Noch eine Folgefrage, dann haben wir eine Frage aus dem Publikum. Sprechen Sie über das Risiko, das Risiko, die Risikoakzeptanz. Irgendwann hat man nicht mehr genug Geld, um alle Löcher zu stopfen. Wie geht man, ich meine, geht man zurück zum Führungsteam und sagt: Seht her, wir müssen das als potenzielle Bedrohung anerkennen, und es ist okay, wir denken, es ist eine 4%ige Chance, eine 1%ige Chance, aber wir werden das tun. Wie bringen Sie das Führungsteam dazu, schriftlich festzuhalten, dass wir bereit sind, mit X oder Y zu leben?

Eric: Ja. Also, ich denke, ich ähm, das ist eine gute Frage. Ich beginne diese Art von Fragen immer damit, dass man immer Prioritäten setzen muss, es sei denn, man hat wirklich ein mathematisch unendliches Budget. Eric: Es ist nur eine Funktion davon, wie groß der Eimer ist, richtig? Egal, welche Prioritäten man setzt, und wenn man nur auf der Grundlage des Risikos investiert, kann man per Definition die Einnahmen eines jeden Unternehmens übertreffen, weil das Risiko nicht auf Null geht, während die Einnahmen nicht unendlich sind. Daher werden Sie per Definition immer eine Priorisierung vornehmen müssen, denn angesichts der Bedeutung der Informationen kategorisieren wir das Risiko im Allgemeinen, und ich werde aus offensichtlichen Gründen nicht zu sehr ins Detail gehen, aber ich werde den Leuten einen Eindruck davon vermitteln und hoffe, dass es nützlich ist.

Mike: Ja. Mike: Ja. Perfekt.

Eric: Wir kategorisieren das Risiko in der Regel nach mehreren verschiedenen Gesichtspunkten. Wie sensibel sind die Daten, mit denen wir zu tun haben? Und wir haben ein internes Klassifizierungsschema, das von öffentlich bis hin zu "need to know" reicht. ähm, wie betriebskritisch ist der jeweilige äh Plattformsystemanbieter usw. Und dann verwenden wir als Teil unserer TPRM-Lösung eine weit verbreitete Kategorisierung rund um SIG Light, das ich als Beispiel anführe, und dann haben wir eine offizielle SOP, die unser Qualitätssystem durchlaufen hat und an der wir geschult werden, und in der wir eine Risiko-Entscheidungsmatrix haben, die definiert, ob wir eine Datenklassifizierung haben, die im Grunde eine Wahrheitstabelle zur Datenklassifizierung ist, und wie riskant die Sache ist, die dann definiert, auf welcher Ebene die Risikoakzeptanz stattfindet. Wenn wir es also mit einem System zu tun haben, das unser öffentliches Internet hostet, okay, das sind öffentliche Informationen, die per Definition nach außen gelangen sollen. Wenn es also ein Risiko auf dieser Plattform gibt, kann einer meiner Cyber-Analysten unterschreiben und sagen: Ja, es ist ein geringes Risiko für ein öffentlich zugängliches System. Wir haben also eine Wahrheitstabelle, die uns auf der Grundlage der Datensensibilität und des Risikogrades sagt, wer die Freigabe erteilt. Das reicht von einem meiner Cyber-Analysten bis hin zu einer Partnerschaft zwischen mir und dem Funktionsleiter der Organisation, der für diesen speziellen Bereich zuständig ist. Es handelt sich also um eine offizielle SOP, die abgezeichnet, geschult und kommuniziert wird. Auf diese Weise haben wir die Kriterien für die Risikoakzeptanz eingebettet, damit die Leute sie sehen können. Wird es Fälle geben, in denen es eine Ausnahme gibt und sich jemand darüber beschweren möchte? Ja, vielleicht

Mike: Es gibt immer, wissen Sie, das ist lustig. Es gibt immer eine Ausnahmebehandlung, richtig? Es gibt, ihr wisst schon, man wird nie und wenn man versucht, es so zu bauen, dass es alles umfasst, wird man scheitern, bevor man es erreicht hat, richtig? 8020-Regel, Leute. Ähm, das beantwortet eine der Fragen, die wir hatten. Die andere ist, dass jemand eine grundsätzliche Frage hatte, nämlich wie man, ähm, wie man sein Führungsteam dazu bringt, sich für die Cyberausbildung zu interessieren und ihr etwas Zeit zu widmen. Ich Ich werde hier eine ziemlich aggressive Haltung einnehmen. Erstens ist das die Aufgabe des CISO, oder? Und zweitens weiß ich nicht, ob man das Führungsteam immer dazu bringen kann, sich mit Cyberfragen zu befassen. Es könnte die DNA der Organisation sein, richtig? Sich nicht darum zu kümmern und einfach in Saus und Braus zu leben. Und Sie können mir gerne sagen, dass ich falsch liege, Eric, aber ich weiß nicht, ob sich jede Organisation in gleicher Weise um Cyberfragen kümmert.

Eric: Ja. Ich denke, das ist eine wahre Aussage, oberflächlich betrachtet, und ich kenne Führungskräfte, denen das meiste, worüber ihr Unternehmen läuft, ziemlich egal ist. Ich weiß nicht, ob die meisten Führungskräfte sich wirklich für das Cyber-Programm interessieren. Was sie interessiert, ist, ob ihre Mitarbeiter ihre Arbeit machen können, ob sie nach Hause gehen und nachts schlafen können, ohne sich Sorgen zu machen, dass irgendein MC vor ein paar Jahren über eine Milliarde Dollar für die Wiederherstellung von Lösegeld ausgegeben hat, oder etwas anderes. Ihren Führungskräften war das vorher egal. Es war ihnen hinterher wichtig. Manchmal wird es also eine Krise sein. Manchmal aber auch nicht. Bieten Sie nicht etwas an, das jemand nicht haben will, bieten Sie kein Produkt an, das jemand nicht haben will. Oder? Es gehört zum Aufgabenbereich des Sicherheitsteams, sich mit Dingen zu befassen, von denen Sie wissen, dass die Leute sie einfach nicht wollen. Sie brauchen das Hinter-den-Kulissen-Denken nicht. Aber sprechen Sie über Dinge, die sie wollen. Kann die Belegschaft arbeiten? Haben sie ein Risikomanagement? Gibt es Bereiche und blinde Flecken, auf die man achten sollte? Alles andere überlassen wir den Zauberern hinter dem Vorhang.

Mike: Nun, und sehen Sie, die beiden Dinge, die ich immer wieder anspreche, sind zum einen die Versicherung, zum anderen die Versicherung.

Eric: Ja.

Mike: Genau. Wie viel Versicherung wollen Sie im Leben? Ich weiß, dass es für manche Leute keine gute Analogie ist, aber man hat eine Risikotoleranz und ich habe eine Lebensversicherung, richtig? Und du erhöhst sie nach und nach oder senkst sie nach und nach. Je mehr man in Sicherheit investiert, desto besser fühlt man sich wahrscheinlich, aber desto mehr gibt man auch aus. Es ist eine Kostenstelle, aber man muss es so betrachten, als ob es ein Problem gäbe, wenn es eine Überschwemmung in Ihrem Haus gäbe oder, Sie wissen schon, Gott bewahre, jemand nicht arbeiten könnte, äh, Sie wissen schon, sind Sie abgesichert? Und die Sicherheitstechnologie hilft dabei. Ich will sagen, Eric, die andere Sache, die wir oft sehen, und das ist in jedem Unternehmen, für das ich je gearbeitet habe, gleich, ist, dass es erstaunlich ist, wie jeder, wenn es ein Problem gibt, fast sofort eine Sicherheitsreligion findet und Budgets, verfügbare Budgets. Ich meine, da kann man nichts machen. Aber manchmal braucht es genau das in Organisationen.

Eric: Und ich möchte noch einen letzten Gedanken hinzufügen. Ja. Ich meine, eine Krise ist eine Krise ist eine Krise ist eine Krise, die man nicht ungenutzt verstreichen lassen sollte, richtig? Wie jemand einmal sagte,

Mike: Richtig? Das ist der Ja, den liebe ich.

Eric: Ähm, ich glaube, ich würde noch etwas hinzufügen: Ich kann mir auch eine Welt vorstellen, in der es eine Menge Leute gibt, die beruflich Autos entwerfen und die glauben, dass jeder die Bedienungsanleitung lesen sollte, die im Auto liegt, was aber keiner von uns tut, weil wir einfach einsteigen, auf den Knopf drücken, zum nächsten Ort fahren und wieder aussteigen wollen. Wir haben keine Lust, die Bedienungsanleitung zu lesen. Manchmal haben wir also den Wunsch, jemanden von der Wichtigkeit und Notwendigkeit unserer Arbeit zu überzeugen, aber das wird ein schwer zu verkaufendes Produkt sein. Konzentrieren Sie sich einfach auf die Ergebnisse und das Risikomanagement für die Organisation. Entschuldigen Sie bitte.

Mike: Das ist Melissa, lass uns zu Folie zwei gehen. Ähm, aber das ist superwichtig, Eric. Das Aus. Kannst du das näher erläutern? Ist das Ergebnis, richtig? Das ist es, was es ist. Sieh mal, es wird zum Ende der Geschichte übersprungen, richtig? Wir haben einen Unternehmensregister wie sind wir bereit, es zu tun, richtig? Das ist, ich meine, selbst wenn wir zur nächsten Frage kommen und über einen Business Case sprechen, ist der Business Case ein mögliches negatives Ergebnis für die Organisation. Ich weiß, dass wir über FUD im Gegensatz zum Enablement sprechen, aber Mike: ähm Mike: du willst da einfach mal reingehen und fragen, wie du vorgehst, wenn Leute aus dem Sicherheitsbereich dir einen Business Case präsentieren müssen, was willst du sehen? Was sind die Dinge, die Ihnen wirklich helfen, eine positive Entscheidung zu treffen, und wenn sie es nicht können, wenn es nicht klar formuliert ist, richtig? Warum werfen Sie einen Business Case in die Tonne?

Eric: Ja, das ist eine gute Frage. Also, ähm, ich verwende, als wir anfingen, ähm, ich verwende TPRM als Abkürzung, aber als wir anfingen, zu verstehen, wo das Risiko bei unseren Dritt- und in einigen Fällen Viertpartnern lag, ähm, verwenden wir jetzt nicht den eigentlichen Geschäftsfall. Das stimmt. Da wir also keinen ROI generieren, ist die Risikovermeidung ein ROI B, richtig? Es geht um Kostenvermeidung oder Risikominderung. Ähm, aber den Fall darzulegen, um zu sagen, hier ist die Investition, hier ist der Wert, den wir bekommen werden, hier ist, wie wir es handhaben werden, und hier ist, wie wir es, um ein Wort vorhin zu benutzen, irgendwie professionalisieren werden,

Eric: Richtig? Wir wollen die Leute dazu bringen, dass sie sagen: Das ist nicht nur eine weitere Technologie, mit der ein paar Leute hinter den Kulissen spielen. Wir versuchen, die Anbieter zu finden, um zu verstehen, wo unser Risiko liegt, damit unsere Abteilungen und funktionalen Geschäftskollegen dieses Risiko umgehen oder durch zusätzliche Prozesse und Kontrollen minimieren können. Auch hier ist es hilfreich, Vorstandsmitglieder zu haben, die sich in diesem Bereich bewegen und die fragen: "Hey, was macht ihr in eurem Cyber-Programm?"

Eric: Und wenn wir über TPRM sprechen, sagen sie: "Oh, das ist ja fantastisch. Erzählen Sie mir mehr." Richtig? Weil sie verbrannt worden sind. Ähm, Eric: Wenn also externe Prüfer wie EY fragen: "Wie sieht es mit eurem Cyberprogramm und CPRM aus?", dann ist das eine einfache Geschichte, denn wir müssen uns viel weniger darauf vorbereiten, weil es auf einer gewissen Ebene zu den Geschäftskosten gehört, wenn sich die Märkte bewegen. Das war also die Geschichte, die wir erzählt haben: Hier ist, was wir investieren wollen, hier ist, warum, und hier ist, was wir davon haben werden, und hier ist, wie es sich entwickeln wird, wir versuchen nicht, die ganze Sache am ersten Tag zu lösen, wir werden es langsam angehen und uns mit der Zeit entwickeln, Wir werden uns langsam an die Sache herantasten und sie im Laufe der Zeit weiterentwickeln, aber wir müssen diese Entwicklung auch konsequent verfolgen, wenn jemand aus dem Team einen Vorschlag einbringt und sagt: "Hey, wir würden gerne dies oder das machen." Ähm, letztendlich gibt es Budgetfragen, die wir stellen müssen. Aber meine Kriterien oder die Hürde, die sie nehmen müssen, sind dieselben, die ich auch für die Führungskräfte nehmen würde, nämlich: Wie wird das Risiko für die Organisation gemanagt? Wie beabsichtigen wir, dies zu nutzen? Wie sieht die Vision aus, mit der wir beginnen und wo wir glauben, dass sie hinführen kann? Und dann werden wir dieses Problem im Laufe der Zeit bearbeiten. Aber es geht nicht nur darum, dass wir uns für das nächste obligatorische Tool anmelden, weil jemand ein Verkaufsgespräch geführt hat und wir die Zytoinetik nicht ohne diese nächsten ein, zwei, drei Tools unterstützen können. Das ist einfach keine interessante Unterhaltung.

Mike: Ja. Und es ist ein es muss ein es muss gehen ich denke wieder Ergebnis. Sie sind an Punkt A. Wir wollen zu Punkt B kommen. Wie sieht Punkt B aus? Wie sieht hier der Endzustand aus? Richtig? Wie können wir rückwärts arbeiten? Und ich habe schon lange gesagt, dass ein CISO wie Sie, wenn er etwas kauft, es ein globaler Gewinn sein muss, richtig? Es sieht so aus, dass die Veränderungen manchmal nur schrittweise erfolgen, aber das ist alles, was man tun kann, richtig? Und wenn man eine Organisation umstellt, dann geht es nicht von heute auf morgen von 60 von 100 auf 92, oder? Man geht vielleicht von 60 auf 62. Der Weg ist, dass man mit dem hier und dann dort auf 75 kommt. Aber es ist... es ist eine Strategie. Es ist ein Prozess. Und ich muss Ihnen sagen, dass die Leute, die ich habe das Gefühl, es gibt so viele Schlangenöl-Leute da draußen, richtig, die zu viel versprechen und zu wenig liefern. Aber viele Dinge im Sicherheitsbereich helfen mit der Zeit, oder? Sie helfen Ihnen nicht. Sie helfen Ihnen nicht in zwei Wochen. So funktioniert es nicht.

Eric: Ja. Ganz genau. Abs.

Mike: Was können Sie mir von all den Geschäftsfällen sagen, was der beste ist, den Sie je gesehen haben? Und Melissa, schieben Sie bitte auch die nächste Folie rüber.

Eric: Das äh aus einem Business Case, der mir vorgelegt wurde.

Mike: Ja.

Eric: Verstanden.

Mike: Und warum?

Eric: Ja. Ähm, das ist eine gute Frage. Lassen Sie mich nachdenken. Lassen Sie mich eine finden, die das gut erklärt. Ich möchte also, dass die Leute mir sagen, wie sie anfangen und wohin sie glauben, dass es gehen wird und wie sie glauben, dass es weitergeht. Nicht, weil ich glaube, dass sie allwissend sind und die Zukunft vorhersagen können, sondern weil sie sich in ihren grauen Zellen damit beschäftigt haben und sagen: So sieht es aus und so werde ich es vorantreiben.

Eric: Also, ähm, als Teil unserer EDR-Lösung haben wir kürzlich eine Art Detonationsfunktion eingebaut, richtig? So können wir uns spezifische Beispiele für bösartiges Material ansehen. Okay, Eric: Das war dasjenige, das wahrscheinlich gut durchdacht war, richtig? Hier ist, wie viel es kosten wird. Hier sind ein paar Optionen. Wir können es so oder so angehen. Wenn wir es mit diesem Angebot bündeln, können wir zusätzliche Dinge bekommen, die vielleicht sinnvoll sind oder auch nicht, aber der Preis sieht so aus. Und ich denke, das ist die Gruppe innerhalb der Organisation, die es heute nutzen könnte. Sie kann erweitert werden. So würden wir es nutzen wollen. Und das ist, was es unserer Meinung nach im nächsten Jahr für uns bedeuten wird. Okay, das ist doch ausreichend, oder? Es war keine bedeutende Investition. Es war kein hoher fünfstelliger Betrag oder so. Es ist wie, okay, jemand hat die Dimensionen des Problems durchdacht. I

Mike: Ich wollte sagen, das ist gut durchdacht. Sogar das, was du gerade gesagt hast, war sehr gut durchdacht. Zum Beispiel, warum wir es wollen. Hier ist, wer es brauchen könnte. Hier ist der Nutzen. Hier ist, wie es expandieren und uns mit der Zeit noch mehr helfen könnte. Hier sind die Kosten und warum wir es tun. Peng.

Eric: Und das hat funktioniert, das hat für mich funktioniert, und es war letztendlich etwas, das zumindest auf meiner mentalen Roadmap stand. für die nächsten paar Jahre. Also ist das in Ordnung. Wir haben jemanden, der sich darum kümmert und es in Schuss hält. Das heißt, es ist okay, damit weiterzumachen.

Mike: Wie, Sie wissen schon, Sie haben also einen mentalen Fahrplan, den offensichtlich jeder hat, denke ich. Ich, wir haben eine im Marketing, richtig? Und das ist es, was wir tun. Wie flexibel ist sie? Ich denke immer, dass CISOs mit 20 Projekten jonglieren, die sie machen wollen, und einem, das sie ausführen können, richtig? Und dann, weil es nicht einmal um das Geld geht, richtig? Es geht um die Ressourcen für die effektive Verwaltung der Tools und der Technologie, die man einführt, um einen Nutzen daraus zu ziehen, richtig? Sie werden nicht 10 Dinge einführen, wenn niemand sie bedienen kann und Sie keinen Nutzen daraus ziehen können.

Mike: Wie setzen Sie die Prioritäten bei der Beschaffung? Wie setzt Ihr Team die Prioritäten für Sie? Erstens, und zweitens, wie mischen Sie die Karten neu, wenn sich etwas ergibt?

Eric: Ja, das ist eine berechtigte Frage. Ich werde Ihnen zwei Antworten geben, die Antwort von oben auf die Beratung und die Antwort von unten auf die betriebliche Praxis.

Mike: richtig richtig

Eric: ähm, im Allgemeinen führe ich eine Liste von ähm, und ich entschuldige mich für die Schlagworte, die für mich tatsächlich eine Bedeutung haben, in der Definition, also führe ich eine Liste von Zielen, das sind Dinge, die Richtungsaussagen haben, um sie zu erhöhen, zu verringern, zu maximieren, zu minimieren, also habe ich eine Liste von Zielen, von denen ich glaube, dass sie mit den Zielen der Organisation übereinstimmen und die ich umsetzen werde. Dann habe ich eine Reihe von Strategien, die diese speziellen Ziele unterstützen. Das sind also die Handlungsanweisungen, die wir umsetzen werden, und der Fahrplan ist eine Reihe von Zielen und Taktiken, die diese Strategien erfüllen und diese Ziele unterstützen. Das sind also die Dinge, die ich zu Papier bringe, die in einer perfekten Welt, in einem Vakuum, in dem sich nichts ändert, den Plan darstellen, richtig? Und und und Pläne sind Pläne. Praktisch gesehen ändert sich alles. die ganze Zeit über, richtig? Und damit sind wir bei der Realität Ihrer Frage. Ähm, für mich ist der Aufbau einer Fähigkeit nicht so sinnvoll. Und es tut mir leid, wenn ich etwas sage, das dumm klingen wird. Der Betrieb einer Fähigkeit ist unglaublich wichtig. Ich habe viele Organisationen gesehen, die eine Menge Projekte starten, eine Menge Technologie einsetzen, nur um sie im zweiten Jahr wieder einzustellen.

Mike: Dasselbe. Es ist so, als ob sie einfach die Sicherheit erhöhen würden, oder? Sie sagen: "Oh, sieh dir das an. Oh, sieh dir das an. Oh, schau mal hier. Es ist unglaublich, ganz offen gesagt."

Eric: Es gab also keine Planung für Jahr 2, es gab keine Nachhaltigkeitsplanung, Eric: Es gab keine Art von Pragmatismus in Bezug auf die operative Struktur dessen, was vor sich ging. Wenn wir also kurz davor sind, etwas zu implementieren, das auf diesem intellektuellen Element, der Roadmap, steht, oder wenn ich mir ein Angebot von jemandem ansehe, der sagt: "Hey, wir wissen, dass wir die Roadmap haben, aber wir denken darüber nach, dies in der Peripherie zu tun, wo das stattdessen spielt. In Ordnung, ist das nachhaltig? Steht es zumindest nicht im Widerspruch zu unseren Zielen und Strategien? Unterstützt es das, was wir tun? Ist es vielleicht ein wenig unpassend? Das ist in Ordnung. Können wir es im zweiten oder dritten Jahr durchführen? Und mit "durchführen" meine ich nicht nur, dass wir wissen, wie wir uns das Geld dafür sichern können. Haben wir interne Mitarbeiter in der Organisation, die dafür verantwortlich sind, oder Dienstleister, die dafür verantwortlich sein werden? Das ist gut. Haben wir eine allgemeine geschäftliche Ausrichtung? dann sind unsere Partner bereit, auch unter diesen Bedingungen zu arbeiten, wenn es wie eine TPR aufgedeckt wird. Also

Mike: Das ist ein wirklich guter Punkt, oder? Ich habe ehrlich gesagt noch nicht darüber nachgedacht, dass man das auch auf seine Partner und Berater und all die Leute ausdehnen könnte, die dazu bereit sind. Was halten die davon? Kannst du es mit ihnen zusammen schaffen? Denn wenn es zu schwer ist, wenn du es nicht tun solltest oder kannst

Eric: und es wird einfach sterben. Alles, was Sie getan haben, war im ersten Jahr Geld zu verschwenden, richtig?

Mike: Ja. Es ist zu viel organisatorische Trägheit. gegen richtig so ähm wissen Sie, auf dieser Folie wir Sie hatten erwähnt, Budget ein paar Mal und dann werde ich Sie fragen, nur als Follow-up, so dass wir diese zu tun und dann jemand hatte eine Live-Frage auf KPIs KIS aber gefragt

Mike: Ich meine, Budgets sind Budgets, man bekommt 5 % mehr, man bekommt 10 % weniger, sie sind, was sie sind Mike: wie bekommt man Mittel für ein Projekt, das man für wichtig hält, das aber nicht finanziert wird, ich meine, es gibt Kompromisse, man hat eine Anzahl von Softwarekosten, X Personalkosten, Y Upex, Capex, und dann trifft man Entscheidungen auf der Grundlage von Prioritäten und wahrscheinlich der Auswirkungen auf Ihre oder die Ihrer Partner und der Risikominderung, die man erhält. Mike: Ähm, Mike: aber wissen Sie, es gibt immer andere Dinge, die Sie vielleicht tun wollen oder die Sie für wichtig halten. Wie sieht das aus?

Eric: Ja. Also, einiges davon wird auf meiner Ebene diskretionär sein, richtig? Es hängt davon ab, was wir tun und wie groß die Verschiebung ist, wenn wir sie haben, richtig? Wenn es sich um einen Bedarf außerhalb des Budgets handelt, der sich in einem Jahr manifestiert, Okay, was bin ich bereit, entweder intern zu tauschen, und ich werde einfach die Entscheidung des Managements treffen, oder gibt es ein Gespräch, das ich in der Finanzorganisation oder in der breiteren Führungsgruppe führen muss, um zu sagen, dass ich mehr möchte und ich jemanden implizit bitten werde, auf etwas zu verzichten, und hier ist der Grund. Im Allgemeinen würde ich diese Dinge lieber in meinem Bereich kontrollieren, als dass ich die Leiter machen muss. Aber ich bin, wissen Sie, das gehört auch zu meinem Job, manchmal muss man fragen.

Eric: Ähm, und dann, wie ich schon sagte, richtig? Da die Budgets mathematisch nicht unendlich sind, gibt es eine Priorität. Ein Teil unserer Argumente für TPRM oder VRM, wie manche es nennen, war also, einfach zu sagen, dass wir hier Prioritäten setzen werden, um das zu erreichen. Wir werden uns auf kritische Systeme, sensible Daten und neue Anbieter konzentrieren, richtig? So kann ich zumindest meinen Wählern, meinen Interessenvertretern, zeigen, dass wir nicht versuchen, den Ozean zum Kochen zu bringen. Und so wird die Anpassung mit der Zeit erfolgen. Die Leute werden sich daran gewöhnen. Ich werde meine Evangelisten in der Organisation auf organische Weise finden, und ich denke, das wird auf verschiedene Weise geschehen, und dann können wir weitermachen. Äh, und wir haben das getan, und es hat ziemlich gut funktioniert. Also, es war so, es war so, ja, ich würde diesen Sieg jeden Tag nehmen, aber es ist auch ein bisschen ein bisschen Glück dabei. Wir hatten eine Schwesterorganisation, die, Sie wissen schon, einige dieser Dinge nur zögerlich erledigte, weil sie es als Pflichtaufgabe ansah. Am Ende beauftragten sie einen Anbieter, der im Laufe eines Jahres der Ausführung nicht gut lief.

Eric: Und dann kamen sie zurück und sagten aufgrund der Dinge, die wir mit diesem Anbieter gemacht haben: "Ah, ich hab's. Wir werden jetzt netter spielen." Richtig? Meine Worte, nicht ihre. Aber das ist der Grundgedanke, und jetzt sind sie ein großartiger Partner, der sagt: "Nein, nein, nein. Das ist ein Mehrwert für uns, weil es uns eine Sichtbarkeit gibt, die wir beim letzten Mal nicht hatten. Wir haben unter einer schlechten Beziehung gelitten. Also, wir nehmen das jeden Tag der Woche.

Mike: Wissen Sie, es ist schon komisch. Ich habe viele der gleichen Dinge gehört, und es sieht so aus, als hätte ich einige dieser Lektionen auf schmerzhafte Weise lernen müssen, aber für mich geht es darum, dem Team genau mitzuteilen, was man tun wird, richtig? Damit sie nicht überrascht sind, damit sie die Prioritäten verstehen, das Budget, die Art und Weise, wie man sich bewirbt, und damit alle zustimmen und mitmachen, und dann sagen: "Schaut, hier sind die sieben Dinge, die wir tun." Und dann kommt immer jemand zu Ihnen, ein Vorstandsmitglied, eine Führungskraft oder ein Vertriebsmitarbeiter, der eine neue glänzende Sache gesehen hat und sagt: "Warum können wir das nicht tun, oder? Sie sagen: "Wir haben uns auf diese sieben Punkte geeinigt.

Mike: als eine Organisation, richtig? Das ist unsere Strategie. Ich bin gerne bereit, sie zu ändern, aber was von diesen sieben Dingen können wir aufgeben oder sollten wir aufgeben, um das achte hinzuzufügen, weil wir uns darauf geeinigt haben, richtig? Für mich ist es dieses hohe Maß an Kommunikation, Eric, das es erfolgreich macht, Mike:.

Eric: Ja, dem würde ich zustimmen.

Mike: Ähm, lassen Sie uns über KPIs und KISS sprechen. Wir haben dazu eine Frage aus dem Publikum. Ich meine, welche KPIs von Shirley, äh, auf welche KPIs sollte sich eine Organisation konzentrieren, wenn sie ein TPRM-Programm von Grund auf entwickelt? Und Shirley, wir haben eine ganze Reihe von Dingen dazu getan. Ich werde darum bitten, dass wir Ihnen nachher einige Sachen schicken, aber ich würde gerne hören, Eric, was Sie denken.

Eric: Ja. Also, ich werde auf jeden Fall, äh, es tut mir leid, Sie zu enttäuschen. Ich werde mich definitiv von dem fernhalten, was andere Organisationen tun sollten, aber ich werde Ihnen gerne einige der wichtigsten Punkte nennen, auf die wir uns konzentrieren und die hoffentlich aussagekräftig sind. Wir halten die Risikokennzahlen für alle Organisationen, die den TPR-Prozess durchlaufen haben, auf dem neuesten Stand. Wir verwenden auch Bitsite, um eine Art externe Kreditbewertung durchzuführen, wenn Sie so wollen. Die behalten wir also. Ehrlich gesagt finde ich das für unsere Führungskräfte nicht so überzeugend. Solange wir im oberen rechten grünen Bereich liegen, besser als die Vergleichsgruppen, ist das die Schlagzeile, die sie wissen wollen. Die aussagekräftigeren Informationen, die ich weitergebe oder verteile, sind Informationen über die Art der Risiken und darüber, welche Funktionsleiter diese Risiken akzeptiert haben. Das sind also die Dinge, bei denen unsere Führungskultur, also die CC-Suite-Kultur, wenn Sie so wollen, einen starken Glauben daran hat, dass unsere Funktionsleiter für die Risiken in ihren Funktionsabteilungen verantwortlich sind. So können unsere VPs, SVP und EVPs sehen, welche Führungskraft in ihrer Organisation welches Risiko eingegangen ist und ob es sinnvoll ist. Sehr gut. Das ist es, was sie wissen und sehen wollen. Es geht also wirklich um Risikoakzeptanzmetriken. Wie viel Arbeit haben wir mit den Anbietern geleistet, um potenzielle Ergebnisse zu entschärfen, bei denen sie sagten, dass wir das nicht tun, und wir sagten, dass Sie es aufgrund der Zusammenarbeit mit uns wahrscheinlich doch tun sollten. Es sind also diese Dinge, die das Risikoportfolio, die Risikobewertungen, die die aussagekräftigeren Indikatoren für das TPRM-Programm im weiteren Sinne sind, aber wir verfolgen auch die anderen Dinge. Wenn jemand wissen möchte, wie lange die Bewertung gedauert hat, obwohl im Allgemeinen die Drittpartei die ganze Zeit dafür braucht, haben wir diese Daten. Ich habe die Erfahrung gemacht, dass niemand in dieser Organisation wirklich darüber sprechen wollte. Sie wollen sich eher einen Überblick über den Katalog ihrer Abteilung verschaffen.

Mike: Ja. Ich habe vor einiger Zeit mit einem CEO zusammengearbeitet, und er sagte immer, und das war eine gute Sache, die er sagte, ist das eine gute oder eine schlechte Zahl, die man dem Führungsteam vorlegen kann: "Wir haben eine Million Bewertungen gemacht.

Eric: Sicher

Mike: Richtig, und du willst, dass sie alle von einer Million Bewertungen beeindruckt sind, du fragst dich, wie viele du machen musstest, und die Antwort könnte 10 Millionen sein, richtig, also ohne Kontext oder Benchmarking haben die Zahlen für viele Leute keine Bedeutung, es sind alles nur Schlagworte, und besonders in deinem Programm stimme ich dir zu, was die Bitsite-Sachen angeht, einfach Sieh mal, es ist ein externes Bone-Scanning, richtig? Ich denke, es ist wertvoll für Delta-Tests, wenn du es richtig konfiguriert hast und sich dann etwas ändert, aber du weißt, es ist, was es ist, richtig. Wir haben eine Frage von Pat, welche Art von Metriken du speziell in Bezug auf TPRM misst, kannst du drei oder vier nennen und Melissa geht zur nächsten Folie, wenn du möchtest?

Eric: Ja, es geht wirklich um den Katalog der Risiken. Und ich bin ein bisschen zwielichtig, nur weil

Mike: Nein, nein, keine Sorge. Wir fragen hier also nicht nach einer geheimen Soße. Also,

Eric: Ja. Eric: Ja. Eric: Ja. Eric: Ähm, und und und und ich werde versuchen, es sinnvoll zu gestalten. Also, allgemeiner Geschäftsprozess, richtig? Die Leute kommen rein, irgendeine Abteilung findet ein neues Tool oder einen neuen Anbieter, den sie nutzen wollen. Großartig. Wir probieren es aus. Wir führen eine interne Umfrage zur Profilerstellung und Tarierung durch, damit wir einen geschäftlichen Kontext dafür erhalten, wie dieser bestimmte Partner eingesetzt werden soll. Diese Umfrage, ich glaube, es sind etwa 12 Fragen, wird von internen Geschäftskollegen beantwortet, und dann gehen wir mit einem SIG Light zum Anbieter selbst und erhalten diese hundert oder 36 Fragen zurück, und wir gehen die Profilerstellung durch. Die wichtigste Frage, die sich die meisten Geschäftspartner zu diesem Zeitpunkt stellen, lautet: Wie schnell können wir diese Leute einsetzen? Denn es ist absolut betriebsnotwendig, sie noch heute einzusetzen und unter Vertrag zu nehmen. Cyber ist zwar kein synchroner Schritt, aber wir lassen diese Transaktion weder zu noch verweigern wir sie. Wir sind beratend tätig. Sie wollen immer noch wissen, ob wir die Hürden überwinden können, sobald wir das Risiko aufzeigen, das wir zurückbekommen, und ich spreche von Dingen mit kritischem Risiko, bei denen ich zu einem Direktor oder einem Vizepräsidenten gehen würde, um dieses Gespräch zu führen. Sind Sie damit einverstanden, dieses Risiko einzugehen? Ich denke, dass es nicht gut ist, aber ich habe nicht den geschäftlichen Kontext, um zu wissen, ob Sie früh genug einen Ersatz finden können. Lassen Sie uns das besprechen. Meiner Erfahrung nach beginnt die Führungskraft dann zu überlegen, ob wir diesen Stein nicht zu schnell ins Rollen bringen sollten. Lassen Sie mich mit dem Team sprechen, um zu sehen, ob wir die Sache noch einmal überdenken sollten. Übrigens, und damit komme ich auf die Frage nach den Kennzahlen zurück: Wie sieht der Rest meines Portfolios aus? Wenn wir also Anbieter ins Boot holen, kategorisieren wir sie organisatorisch, so dass ich zu jedem funktionalen VP, SVP oder EVP gehen und sagen kann: "Oh, die Anbieter, die den klinischen Betrieb unterstützen, sind dieser Pool von Anbietern und hier ist ihre Risikobewertung." Und dann führe ich eine Diskussion über

Eric: y Eric: gibt es Bereiche, die wir für übermäßig anfällig halten oder nicht. Sie wissen nicht, sie wissen nicht, eine Zahl von irgendetwas anderem, aber es ist die Metrik, die nachverfolgt werden kann, was ist die Gesamtrisikoeinstufung für den Anbieter, die nach Organisation ausgerichtet ist, so dass ich ein Gespräch mit dem Funktionsleiter haben kann und sie können herausfinden, ob sie etwas ändern müssen, anstatt was sind die Benchmarks die KPIs KIS KAS, die irgendwie mein Cyber-Programm rechtfertigen.

Mike: Genau richtig. Ähm, wissen Sie, wir werden wahrscheinlich noch fünf bis sieben Minuten mit Melissa Scott sprechen und dann werden wir am Ende noch einige Fragen haben. Also nur noch ein paar Eric und dann werden wir äh wir werden einpacken. Das war übrigens großartig. Erzählen Sie mir, wie Sie Lösungsanbieter bewerten. Ähm, ganz allgemein, wenn du dir Dinge ansiehst, wenn du dir TPRM ansiehst, wo haben wir gut abgeschnitten, wo haben wir schlecht abgeschnitten, aber mich interessiert einfach, wie du darüber denkst, Partner in deine Organisation zu bringen, und ich weiß, dass jeder das Wort Partner benutzt, aber wie nennst du sie, wie auch immer du sie nennen willst, was ist für dich wichtig?

Eric: Ja, ich überspringe also einen Großteil der Art des Geschäfts, wenn es sich bei dem Partner nicht um ein Start-up handelt, weil wir nicht die Risikobereitschaft haben, die in diesen Bereichen typischerweise zum Tragen kommt. Wenn wir also davon ausgehen, dass es sich bei dem Partner, mit dem wir zusammenarbeiten, um ein nachhaltiges Unternehmen handelt, das profitabel ist und schon länger als nur eine Minute existiert, dann können wir jetzt zu einigen anderen Dingen kommen, die von Bedeutung sind. Für mich ist eines der wichtigsten Dinge, vor allem im Bereich TPR, die Frage: Ist das Ding einfach zu bedienen? Richtig? Ich kann den internen Teammitgliedern eine miserable Lösung aufbürden und einfach sagen, dass wir sie wieder loswerden müssen, oder? Der Wert, den wir aus den besonderen Vorteilen dieses Produkts ziehen, ist wirklich gut, auch wenn es eine komplexe Sache ist, oder? So hat Cisco vor Jahren mit dem Catalyst OS überlebt, oder iOS ist eine schreckliche Benutzeroberfläche, aber es war für Netzwerktechniker. Man nimmt es einfach hin und lebt weiter. Aber wenn es um etwas wie TPRM geht, bei dem man Umfragen an Geschäftskollegen oder Anbieter verschickt, dann ist das Entscheidende, dass man Antworten zurückbekommt. Wenn es also nicht einfach zu bedienen und weitgehend intuitiv ist, wird es sich nicht lange halten. Das ist also eine Dimension, um zu sagen: Ja, ich möchte, dass es einfach zu bedienen ist, damit wir Engagement und Compliance erreichen. Gibt es etwas, was der jeweilige Anbieter getan hat, um es zu beschleunigen, denn obwohl wir alle besondere Schneeflocken sind, gibt es eine Menge Fragen, die wir nicht wirklich beantworten können. Ja, es ist vielleicht nicht so, wie ich die Frage stellen würde, das Prävalenzprodukt ist nicht so aufgebaut, wie ich es bauen würde, wenn ich der Softwareentwickler wäre, aber das spielt keine Rolle, richtig? Und für die 9 Dollar bekommt man eine Tasse Kaffee bei Starbucks.

Eric: Das ist also nur eine Meinung. Gibt es also Dinge, mit denen wir sofort beginnen können, um das Programm voranzubringen, ohne dass wir alles zurückentwickeln und versuchen müssen, es voranzubringen? Und in diesem speziellen Fall haben wir uns unter anderem angeschaut, ob es ergänzende Dienstleistungen gibt, die wir in Anspruch nehmen können, wenn wir ein Element der TPR und des Programms an jemanden auslagern wollen, der in unserem Namen einen Anbieter ausfindig macht.

Mike: Und wir bekommen gerade einen Haufen Fragen, also möchte ich das, was Sie gesagt haben, noch ergänzen, aber lassen Sie mich das vorbereiten. Also, ich denke, wir sollten hier auf Pause drücken und Scott ein paar Minuten Zeit lassen. Jeder, der eine Frage eintippen möchte, kann das tun. Aber wir haben hier schon fünf Fragen. Also, ähm, wollen wir das tun und dann können wir für die Fragen hier bleiben. Äh, Eric, das andere, das letzte, was du gesagt hast, ist, wenn man ein Programm wie dieses startet, ist es der Kriechgang, der Lauf, und ich weiß, das ist ein Klischee. Ich verstehe das, aber wir haben all diese Leute gesehen und wir haben Hunderte von Implementierungen gemacht. Sie sind wie ich, ich, ich habe 500 verschiedene Anbieter. Ich fange mit dem an, was verbrauchbar ist. Erstellen Sie ein Programm. Es geht hier um das Muskelgedächtnis, Leute. Besonders beim TPRM-Programm ist es nicht immer einfach und nicht immer intuitiv. Es war der Schneeflocken-Comp, richtig? Jeder denkt, er sei anders, aber das ist nicht unbedingt der Fall,

Mike: Richtig? Ich glaube, es sind wieder 8020. 90 bis 85% davon sind bereits geklärt. Finden Sie Ihre 15% heraus, während Sie das tun, und tun Sie es in einer sicheren Umgebung. Und Eric, noch einmal, sag mir, dass ich Mist baue, wenn du willst, aber wie stehst du zu dem Thema?

Eric: Nein. Also, ich würde dem weitgehend zustimmen. Ich denke, ich möchte nur kurz auf den Crawl- und Walk-Run eingehen. Ich möchte, dass unsere Prozesse im Kriechgang beginnen und sich schnell bewegen. Ich möchte, dass unsere Kontrollen im Kriechgang beginnen. Ich will nicht, dass die Software im Kriechgang startet.

Eric: Genau. Die verschiedenen Aspekte beginnen also in unterschiedlichen Phasen der Reife. Wir werden letztendlich Eric: oder wir können letztendlich einige Dinge ändern. wenn wir etwas entdecken, aber was ich in den meisten Organisationen nicht wirklich tue, oder Entschuldigung, wenn ich Technologien oder Prozesskontroll- bzw. -plattformen akquiriere, ist, dass es zwar Dinge gibt, die Cytokinetics von einem anderen Pharmaunternehmen unterscheiden, und es gibt Dinge, die Pharmaunternehmen von anderen Sektoren unterscheiden, Einzelhandel, Herstellung, Großhandel usw., aber das ist am Rande dieser Plattformen, die breiter sind als das. Wir können also Änderungen vornehmen, aber ich glaube nicht, dass wir diese in den ersten fünf Tagen einer Technologie vornehmen werden, oder? Wir werden ein Jahr, zwei Jahre warten und dann sagen: Oh, wisst ihr was? Da gibt es eine Optimierung, die für uns Sinn macht. Und das machen wir jetzt gerade ein bisschen durch mit

Eric: In der Welt des Datenschutzes werden wir in dem Maße, in dem das auffliegt, an den Rändern feilen und sagen, dass wir aufgrund der Märkte, in denen wir tätig sein wollen, mehr Fragen stellen müssen. Aber das ist nur eine Anpassung. Wir haben damit nicht am ersten Tag begonnen. Wir haben damit begonnen, nachdem wir zwei Jahre lang tätig waren. Man kann nicht bewerten, was man nicht hat. Man weiß es nicht. Und es ist okay, Mist zu bauen. Hören Sie, wir machen das schon eine Weile. Ich würde gerne sagen, dass ich jeden möglichen Fehler gemacht habe. Also, um, alles klar, lass uns zu Melissa gehen. Geht die Frage an dich zurück oder an Scott? Ich sollte es wissen, tue es aber nicht.

Melissa: Wir werden weitermachen und es an Scott weitergeben. Schauen wir mal. Wow, wir haben eine ganze Menge Fragen. Also, los geht's. Ähm, also Scott, jetzt bist du dran.

Scott: Fantastisch. Danke, Melissa. Ähm, gehen Sie weiter zum nächsten Bildschirm. Ihr wisst schon, was wir gehört haben, nun ja, nicht ganz so weit, aber zum vorherigen, Scott: Ja, was wir von Eric während des heutigen Gesprächs gehört haben, ist, dass es wirklich darum geht, eine konsistente Reihe von guten, faktenbasierten, datengestützten Entscheidungen über Dritte während des gesamten Lebenszyklus zu treffen, das ist es, was ich aus vielen Gesprächen heute herauslese, und was sind die Kriterien, die Sie nutzen, um diese guten Entscheidungen zu treffen, oder welche Art von Daten nutzen Sie, die mit dem übereinstimmen, was viele unserer Kunden uns sagen, dass sie wirklich von ihrem Risikomanagementprogramm für Dritte erwarten. Sie sollen die Daten erhalten, die ihnen helfen, gute Entscheidungen zu treffen. Helfen Sie ihnen, die Teameffizienz zu steigern und die Silos abzubauen, die die Teams und Abteilungen voneinander trennen, sowie die Tools, die für die Entscheidungsfindung eingesetzt werden. Und drittens sollte das Programm so gestaltet werden, dass es sich weiterentwickeln und skalieren lässt, wenn sich der Bedarf an Risikobewertungen von Drittanbietern und Lieferanten im Laufe der Zeit ändert. Diese drei Dinge sind im Allgemeinen das, was wir von unseren Kunden hören und was sie sich wünschen. Nächste Folie, bitte. Äh, Melissa, und dann können Sie das noch einmal ausbauen. Das war's. Das ist unser Ansatz, um Ihnen zu helfen, diese drei Dinge in jeder Phase des Lebenszyklus des Risikomanagements für Dritte zu erreichen. Wir betrachten das Risiko nicht nur aus der Perspektive der Überprüfung von Anbietern und der Einbindung von Unternehmen und dann geht es los. Es geht vielmehr darum, Risiken in jeder Phase, in der Probleme auftreten können, zu analysieren und zu beheben. Und das beginnt mit der Beschaffung und Auswahl. Wissen Sie, wir brauchen eine gute Automatisierung und Intelligenz, um gute, risikobasierte Entscheidungen über einen potenziellen neuen Lieferanten oder Anbieter zu treffen, genauso wie wir eine Entscheidung darüber treffen, ob dieser Lieferant oder Anbieter für unser Unternehmen geeignet ist oder nicht. Zweitens, wenn es um die Aufnahme und das Onboarding geht, erhalten Sie eine einzige Quelle der Wahrheit in Bezug auf die Risikoprofile der Lieferanten, die Aufnahmeprozesse, die Vertragsabschlüsse und die Onboarding-Workflows, so dass Sie dieses grundlegende Konzept für die Verwaltung der Beziehungen zu Drittanbietern auf alle verschiedenen Bereiche im Unternehmen ausdehnen können, die mit dem Risiko von Drittanbietern zu tun haben, nicht nur die Sicherheit, sondern auch die Beschaffung, das Risikomanagement, die Rechtsabteilung, die Compliance und vieles mehr. Drittens: Wenn Sie einen Anbieter ausgewählt haben, der sowohl Ihrem Risikoprofil als auch Ihrer Eignung für einen bestimmten Zweck entspricht, und Sie wissen, dass Sie einige Verträge abgeschlossen und ein Onboarding durchgeführt haben, wie erhalten Sie dann ein erstes Bild des Risikos, das dieser bestimmte Anbieter in Ihre Umgebung einbringt, um nicht nur eine erste Triage vorzunehmen, sondern auch eine Art Diktat über die fortlaufende Bewertungsstrategie von diesem Punkt an. Und das tun wir durch datengestützte Erkenntnisse, um einen inhärenten Risikowert zu berechnen. Und wenn diese Einstufung und Profilierung und Kategorisierung abgeschlossen ist, helfen wir Ihnen dabei, den Prozess der Durchführung dieser Due-Diligence-Prüfungen und der fortlaufenden Bewertung Ihrer Drittparteien in einer ganzen Reihe verschiedener Risikobereiche zu automatisieren, wie z. B. Sicherheit, Infosc, Cyber- und Datenschutz, Einhaltung verschiedener Vorschriften, sowohl sicherheits- als auch nicht sicherheitsbezogenerWir fassen diese Erkenntnisse in einem einzigen Profil zusammen, um Ihnen dabei zu helfen, eine gute Entscheidung zu treffen. Ein einziges Risikoregister, das Sie dann nutzen können, um gute Entscheidungen darüber zu treffen, was zu beheben ist, was unter einem Schwellenwert liegt, was unter einem Risikogrenzwert liegt und was mit dem Anbieter zu verstärken ist, und das führt uns in die Überwachungs- und Validierungsphase des Lebenszyklus. Auch hier sehen wir, dass viele Unternehmen ein Cyber-Tool, ein Finanz-Tool, ein Tool für Geschäftsnachrichten oder operative Updates oder ein ESG-Tool, ein Reputations-Tool verwenden, und all das führt zu guten Erkenntnissen, aber nur sehr selten ist es irgendwie miteinander harmonisiert. Wir haben uns darauf spezialisiert, entweder mit Ihren bestehenden Lösungen zu arbeiten oder unsere eigenen Lösungen zu entwickeln, mit denen wir diese verschiedenen Risikoinputs in einer einzigen Lösung harmonisieren können, so dass jeder im Unternehmen die Daten so sieht, wie er sie braucht, entsprechend den Risiken, die für ihn wichtig sind. Da wir gerade von den Risiken sprechen, die für sie von Bedeutung sind - wir haben bereits KPIs und KIS erwähnt -, können wir auch KPI- und KRI-Daten aus Verträgen extrahieren, die in die Plattform geladen werden, und Ihnen dabei helfen, diese während des gesamten Vertragsprozesses zuzuordnen und zu messen. Apropos Vertragsprozess: Sie wissen, dass jede Beziehung irgendwann endet, wie Neil Sodaka sagte, ist es schwer, sich zu trennen.

Mike: Ich wollte gerade sagen, na gut, das kenne ich. Ja.

Scott: Ähm, aber wenn Sie die Geschäftsbeziehung beenden, liefern wir Ihnen eine Art Checkliste, um den Lieferanten sicher zu entlassen, damit Sie die Offline-Posten abschließen, die letzten Zahlungen einsammeln und sicherstellen können, dass der Zugang ordnungsgemäß beendet wird. Letztendlich sind es diese drei Dinge am unteren Rand des Bildschirms, bei denen wir Ihnen helfen, sie zu erreichen. Beschleunigen und vereinfachen Sie den Onboarding-Prozess mit einer einzigen Quelle der Wahrheit und einem einzigen Prozess. Rationalisierung des Prozesses für die Risikobewertung, Schließung von Lücken in der Abdeckung und Vereinheitlichung dieser Teams über den gesamten Lebenszyklus hinweg. Nächste Folie bitte Melissa. Wir tun dies durch eine Kombination aus dem Fachwissen unserer Mitarbeiter, die für Sie die harte Arbeit des Onboarding, der Bewertung, der Sanierung und des Managements all der verschiedenen Datenquellen übernehmen, die wir bereits erwähnt haben, und die alle in einer Plattform untergebracht sind, die den Workflow, die Berichterstattung und die Analysen automatisiert, um Ihnen zu helfen, die Drittparteien zu kontrollieren. Die nächste Folie bitte, Melissa. Wir befassen uns mit mehreren verschiedenen Arten von Risiken. Ich habe hier sechs von ihnen in großen Bereichen aufgelistet, Bereiche, die in unserer Plattform abgedeckt werden, entweder über Fragebögen oder durch kontinuierliche Überwachung. Aber das Wichtigste ist, dass diese Informationen zu einem einzigen operativen Risikoprofil korreliert werden, um Ihnen zu helfen, diese guten, risikobasierten Entscheidungen zu treffen. Nächste Folie, bitte, Melissa. Das ist meine letzte Folie. Ich möchte Sie noch einmal daran erinnern, dass wir Ihnen letztendlich helfen wollen, Ihnen die Informationen zu liefern, die Sie benötigen, um Ihr Unternehmen bei der Verwaltung von Drittparteirisiken intelligenter zu machen. Wir vereinheitlichen Teams, Systeme und Prozesse und geben Ihnen dann eine Anleitung, wie Sie die Lieferantenbeziehung oder das Management der Risiken in dieser Lieferantenbeziehung durch den Lebenszyklus führen können. Das war's aus unserer Sicht.

Melissa: Ich übergebe die Liste wieder an dich, Mike, äh, Eric, Fragestunde.

Melissa: Ähm, ja, ich werde jetzt unsere zweite Umfrage starten, ganz schnell. Auf Ihrem Bildschirm werden Sie sehen, dass es bei mir anscheinend nicht funktioniert. Das ist großartig. Ähm, gebt mir zwei Sekunden. Vielleicht muss ich die erste Umfrage beenden. Ich bin heute sehr wählerisch. Wie auch immer, ich bin neugierig, ob ihr in den nächsten Monaten ein TPRM-Programm einrichten oder ausbauen wollt. Bitte seien Sie ehrlich. Das ist etwas, dem wir nachgehen. Sie werden einen Anruf von mir erhalten oder eine E-Mail oder mehrere. Also, antworten Sie mir bitte. Aber ich möchte wirklich wissen, ob Sie es sind, und wenn Sie sich nicht sicher sind, geben Sie das auch an. Aber in der Zwischenzeit, ich weiß, wir haben ein paar Fragen. Also Eric, wenn es dir nichts ausmachen würde, ein paar davon zu beantworten. Ich weiß, dass es eine ganze Reihe von Fragen gibt, und da wir nur noch fünf Minuten Zeit haben, würden Sie gerne eine oder zwei auswählen, die Ihnen mehr als die anderen auffallen?

Eric: Ja, ich werde sie tatsächlich alle durchgehen. Es war gut, dass Scott den Pitch gemacht hat, denn so hatte ich einen Moment Zeit, über die Fragen nachzudenken. Also erst einmal vielen Dank für die netten Worte. Ich werde die Frage von Karen beantworten und mich dann weiter vorarbeiten. Ähm, also Karen, nur für uns, unabhängig davon, was Sie wissen, Prevalent wird sagen, wir integrieren Bitsite mit Prevalent. Bitsite bietet also so etwas wie eine externe technische Kreditwürdigkeitsprüfung. Aber wir nutzen auch die VRM-Funktionen von Prevalent, um einen geschäftlichen Überblick über eine externe Organisation zu erhalten. Aber Bitside und das lässt sich einbinden. Sie können die Bitside-Ergebnisse im Prevalent Dash sehen. Es gibt eine Integration, über die man mit Ihnen sprechen kann. Zu der Frage der Übertragung oder des Wechsels von TPRM-Tools kann ich nichts sagen. Ich habe diese spezielle Erfahrung nicht. Ich könnte Ihnen sagen, wie ich im Allgemeinen an das Problem herangehen würde, wenn eine Aufsichtsbehörde oder eine Inspektionsbehörde eine Anfrage stellen wollte. Mein allgemeiner Ansatz wäre, dass das, was unser Risikomanagement für Dritte bestimmt, nicht das Instrument ist. Unser Risikomanagement für Dritte wird von einer Reihe von Richtlinien, Prozessen, Verfahren und Kontrollen bestimmt. Diese werden durch ein Tool unterstützt. Konzentrieren wir uns also auf die SOPs und die Kontrollen und automatisieren wir diese auf eine Weise, die für uns als Unternehmen sinnvoll ist. Und so gehen wir mit Risiken um. Hier steht, wer das Risiko genehmigt. Hier steht, wer Risiken akzeptieren darf. Das ist also die Diskussion, zu der ich im Allgemeinen mit jeder Art von Aufsichtsbehörde übergehen würde, wenn sie sich so sehr für das jeweilige Instrumentarium interessiert. Was die Frage der Risikoregister angeht, so konzentrieren wir uns darauf, und wir haben das schon ein paar Mal angesprochen, aber unser Ansatz ist, dass es hier um die Überwachung und das Management einer dritten Partei geht. Es geht nicht um die Verwaltung einer Dienstleistung. Es geht nicht um die Verwaltung eines Toolsets. Wir betrachten also die Drittpartei. Wenn ich mir also die Frage stelle, ob ein Anbieter zwei Dienste innerhalb des Unternehmens anbietet, wie gehen wir dann im Sinne des Risikomanagements damit um? Im Allgemeinen gilt: Wenn ein Teil der Organisation eine niedrigere Stufe der Datensensibilität verwaltet und ein anderer Teil eine höhere Stufe der Datensensibilität, dann ordnen wir sie einfach der höheren Stufe zu. Wenn sie also die empfindlichste Systembetriebsspezifikation und die empfindlichste Datenklassifizierung haben, verwalten wir sie auf Anbieterebene und nicht auf Abteilungsebene. Was die Risikoregister angeht, so haben wir offizielle Freigabestufen, die in einer SOP festgelegt sind. Wir haben also eine Reihe von Risikoregistern, mit denen wir arbeiten. Das eine ist die Profilerstellung und Tarierung, und dann haben wir das Hauptregister, in das fast alle im Voraus geplanten Bewertungsrisiken eingetragen werden. Und dann schreibt unsere SOP vor, wer ein Risiko abzeichnen darf oder wer es abzeichnen und akzeptieren muss. Und das verfolgen wir durch Aktionen und Aufgaben innerhalb der Plattform, um das zu tun. Ich hoffe also, dass das die Antwort war, eine kurze Antwort auf jede dieser Fragen. Ich kann mehr Details liefern, wenn die Leute das wollen, aber ich denke, das war es dann auch schon.

Melissa: Perfekt. Und ich glaube, ich habe vor etwa vier Sekunden eine weitere auftauchen sehen. Ähm, können Sie den sehen? Die nicht-öffentlichen Firmenverkäufer. Wie verändert sich Ihre DD? Ich bin mir nicht sicher, ob Sie das beantworten wollen.

Eric: Anbieter von nicht-öffentlichen Unternehmen. Ähm, lassen Sie mich kurz darüber nachdenken. Also, ich kenne das Akronym nicht, ich kann es nicht kontextualisieren, aber ich glaube, ich verstehe den Kern der Frage, ähm, sicher, bei nicht-öffentlichen UnternehmenBei nicht börsennotierten Unternehmen ist es so, dass wir nichts sehen, was öffentlich zugänglich ist, aber es gibt Dinge, denen man nachgehen kann, wenn man das möchte. Oh, Due Diligence, vielen Dank, ähm, ja, also ein Teil davon ist die Bewertung selbst, richtig, also wir bitten das Unternehmen um eine Bescheinigung, wir machen keine Inspektion, wir machen kein Audit, also arbeiten wir mit den Unternehmen und geben ihnen die Möglichkeit, sich selbst zu bescheinigen und darüber zu sprechen, was sie tun und wie wir es überprüfen. Aber zu diesem Zeitpunkt nehmen wir sie beim Wort. Es wird weitere Vertragsklauseln geben, die sich mit der Durchsetzung befassen. Wir sind noch nicht an einem Punkt angelangt, an dem wir tatsächliche Audit-Inspektionen durchführen, um zu bestätigen, was sie zu tun versuchen, äh, was sie zu tun versuchen. Bei nicht-öffentlichen Stellen gehen wir immer noch nach demselben Ansatz vor. Wir fragen vielleicht nach zusätzlichen, richtigen Versicherungsnachweisen für die Cyber- oder allgemeine Betriebshaftpflicht, um sicherzugehen, dass wir das sehen, denn wir lassen die Versicherungsgesellschaften einen Teil dieser Due Diligence für uns erledigen, aber so gehen wir im Allgemeinen im Moment vor.

Melissa: Perfekt. Nun, ich weiß Ihre Zeit zu schätzen, Eric. Ich weiß, dass Sie viel zu tun haben, und Mike und Scott, ich danke Ihnen vielmals. Und vor allem danke ich denjenigen, die Fragen gestellt haben. Es sollte sehr interaktiv sein, und meine Uhr zeigt die letzte Stunde an. Ich habe also meine E-Mail abgetippt, falls es noch Fragen gibt. Ich weiß, dass es eine [email protected] gibt, aber das ist meine direkte Adresse, falls es danach noch Fragen gibt. Und ich hoffe, wir sehen uns alle in einem zukünftigen Webinar und machen Sie es gut. Ich danke Ihnen.

Mike: Danke Eric.

Scott: Passt auf euch auf, Leute.