Lowe's kennt das Risikomanagement für Drittparteien

Amanda: Hallo zusammen. Ich gebe den Leuten einen Moment Zeit, um sich in fünf, vier, drei, zwei, eins einzutragen. Ich übernehme das für mich. Herzlich willkommen zu unserem Webinar Lowe's knows third party risk mit unserem besonderen Gast Jefferson Pike, Senior Manager für IT-Sicherheit bei TPR. RM. Außerdem ist heute unsere eigene Vizepräsidentin für Drittparteirisiken, Brenda Ferraro, bei uns. Mein Name ist Amanda Fina, Möchtegern-Fernsehmoderatorin und hoffnungsvolle Junggesellenkandidatin, falls ich noch volljährig bin. Aber im Moment bin ich auch nur Ihre Vertreterin für die Geschäftsentwicklung hier. Ich habe ein paar Dinge zu erledigen, bevor wir mit der Show beginnen. Alle sind stummgeschaltet. Das heißt, wir wissen, dass Sie alle zu Hause sind. Wir wollen keine Staubsauger hören. Wir wollen keine Kaffeemaschinen hören oder dass Amazon Prime an eure Tür kommt. Also kommen wir gleich zur Sache. Keiner kann sprechen. Aber auch wenn Sie nicht sprechen können, möchten wir, dass dies wirklich interaktiv ist. Also, bitte antworten Sie, nicht antworten, sorry, wir werden antworten, stellen Sie alle Fragen, die Sie haben, in der Konsole in Zoom. Machen Sie die Fragen und Antworten, nicht den Chat. Das macht es für alle einfacher. Und wenn es die Zeit erlaubt, werden wir am Ende hoffentlich alle Fragen beantworten. Das heutige Webinar wird aufgezeichnet, so dass wir es Ihnen morgen früh zusenden werden und Sie es an jeden weitergeben können, den Sie möchten. Und das war's von mir. Ich übergebe jetzt an Brenda. Vielen Dank an Sie beide für Ihre Teilnahme und lassen Sie uns beginnen.

Brenda: Danke, Amanda. Ich finde es immer toll, wenn du damit anfängst, weil sie so spannend und lustig sind, und ich werde dich auf jeden Fall für die Bachelorette bewerben.

Brenda: Vielen Dank an alle für ihre Unterstützung.

Brenda: Ich freue mich, dass ich heute mit Jefferson hier sein kann. Und nebenbei bemerkt, in all unseren Ankündigungen wird er als Senior Dire oder Senior Manager genannt. Er wurde kürzlich zum Direktor für Informationssicherheit befördert. Also, herzlichen Glückwunsch dazu, Jefferson.

Jefferson: Danke.

Brenda: Ich glaube, heute ist unser einjähriger Jahrestag, an dem wir uns trafen und begannen, über das Drittparteirisiko-Programm für Lowe's zu sprechen. Ich war zu dieser Zeit in North Carolina, und wir waren, ich glaube, es war auch in Ihrer ersten Woche.

Jefferson: Ich glaube, es ist mein erster oder zweiter Tag in diesem Job.

Brenda: War das wie ein Feuersturm, als Brenda über Drittanbieter und all die strategischen Dinge sprach, die man ihrer Meinung nach tun sollte? Aber herzlichen Glückwunsch dazu, wie weit Lowe's in einem Jahr gekommen ist. Es war zweckmäßiger als jedes andere Unternehmen, mit dem ich bisher strategisch gearbeitet habe. Also Hut ab vor Ihnen und Ihrem Team. Herzlichen Glückwunsch zu Ihrer Beförderung und zu Ihrer Beförderung. Und eine Sache, über die ich gerne mit Ihnen sprechen würde, weiß so ziemlich jeder über mich. Ich komme aus dem Finanzbereich von Charles Schwab und eBay und PayPal, dann bin ich ins Gesundheitswesen gegangen und habe vorher im Einzelhandel gearbeitet, und jetzt bin ich bei Prevalent und kann anderen Unternehmen helfen, ihre Programme zu erweitern. Erzählen Sie uns doch ein wenig über sich und dann vielleicht einen lustigen Fakt darüber, was Sie im Jahr 2020 am liebsten tun.

Jefferson: Sicher. Äh, danke und vor allem danke, dass ich hier sein darf. Ich bin gerne hier und vertrete das Team, das die ganze Arbeit gemacht hat, damit wir hier sein können. Aber, ähm, mein Name ist Jefferson Pike. Ich bin ein ehemaliger Marinesoldat, auf den ich am meisten stolz bin. Ich habe einige Zeit im Telekommunikations- und Finanzsektor verbracht und bin schließlich zu Lowe's gekommen, und eigentlich ist Cybersicherheit meine Leidenschaft, aber das habe ich erst spät im Leben gemacht. Ich war eigentlich mehr auf der technischen Seite in anderen Bereichen und jahrelang in der Geschäftsanalyse und sogar in der Innenrevision bei einer großen Bank über deren Drittanbieterprogramm. Es ist also nicht die typische Herangehensweise, aber wir stellen fest, dass viele Leute in dieser Branche keinen typischen Hintergrund haben und aus einer Mischung von verschiedenen Bereichen kommen, was uns in unserem speziellen Fall mit Drittanbietern sehr hilft. Wir werden also mehr darüber erfahren. Seitdem ich diese ganze Zeit zu Hause festsitze und versuche, nicht zuzunehmen, ist das eine gute Zeit, um zu lernen und zu lesen und Zertifizierungen und Schulungen zu machen, weil die meisten Kurse jetzt online angeboten werden und man seine Zertifizierungsprüfung sogar zu Hause ablegen kann. Also habe ich das ausgenutzt und versucht, so viel wie möglich zu lernen, einfach in jedem Bereich. Es ist ziemlich langweilig, aber es hilft einem aus der Patsche.

Brenda: Nun, es ist viel mehr College als ich. Ich habe einfach versucht, im Jahr 2020 an Orte wie Sedona, Arizona, zu gelangen, wo ich am Bach spazieren gehe und Vögel beobachte. Viele Leute wissen, dass ich ein Vogelbeobachter bin. Ich gehe also gerne raus und bestimme Vögel. Das ist also ein Teil meiner Verrücktheit. Aber jetzt kommen wir davon ab, was wir im Jahr 2020 für uns selbst getan haben. Ich finde es gut, dass Sie etwas über das Programm von Lowe's gelernt haben und anderen dabei helfen, etwas zu lernen. Wir haben heute versucht, sehr kreativ zu sein, und Lowe's ist ein Baumarkt mit vielen anderen Produkten, die sie für ihre Kunden anbieten. Aber wir haben dieses Webinar genommen und uns überlegt, wie wir es von einem Risikomanagementprozess für Dritte auf den Bau eines Hauses übertragen können. Es gibt also einen Bauplan, bei dem es wirklich darum geht, zu beurteilen, was man bauen muss. Es geht um den Aufbau des Teams, um die Integration der verschiedenen Abteilungen innerhalb Ihres Unternehmens. Es ist also ein unternehmensweiter Ansatz. Es geht um den Umfang der Aufgabe. Dabei geht es eher darum, das Universum der Anbieter oder Lieferanten zu verstehen, die man bewerten muss. Bei der Vorbereitung geht es eher um die Kernkompetenzen, die Sie für Ihr Programm implementieren und ausführen müssen. Und dann geht es natürlich um die Umsetzung, um die Inbetriebnahme des Ports und um die Messung des Fortschritts, um zu zeigen, wie gut Sie gearbeitet haben und welche Risiken Sie für das Unternehmen identifiziert haben. Gibt es etwas, was Sie dieser Agenda hinzufügen möchten? Sieht ziemlich umfangreich aus, damit wir es durchgehen können. Jefferson, ist das genug?

Jefferson: Das ist genug. Lasst uns weitermachen und zur Sache kommen.

Brenda: Also, fangen wir ganz schnell an mit ähm ich habe Ihr Programm wachsen sehen und es gibt viele verschiedene Dinge, die Sie beachten müssen, wenn Sie Ihr Programm entwerfen oder aufbauen. Und nach meiner Erfahrung braucht es Entdeckung. Es erfordert Planung. Man muss mehrere Grundlagen kennen, die in das Design einfließen müssen, das man für den Aufbau des Programms verwenden wird. Was haben Sie also getan, um den Bedarf zu ermitteln, um Ihr Programm zu konzipieren und zu erstellen?

Jefferson: Sure. Great question. And first of all, so it’s called thirdparty risk management for a reason. It’s not third-party compliance management. And I think a lot of people in including me in the in the past have had the mindset that, you know, you need to come in and and do everything. And you honestly just can’t do that. You have to figure out where to start and and not beat yourself up thinking, you know, you’re not accomplishing everything on day one. It does take time. And risk management is not new. In fact, when you study information warfare on the military side, you learned that the guy who wrote the art of war talked about risk management 7,000 years ago, Sunzu, and he said that if you know yourself and you know your enemy, you don’t need to worry about the outcome of a 100 battles and essentially saying you know if you assess yourself and you assess the threats to yourself you don’t need to worry about the outcome you’ll make it and with third parties we have to own them as part of us and actually you know assess them and assess the threats to them. So we we started with that and we had to look at our industry because the retail industry is totally different from financial or healthcare and uh you in the financial sector you have regulatory agencies telling you what to do for third party and the OC will tell you you have to have a continuous monitoring program in place which is great, but in retail, you don’t have those regulatory factors like you you do. There’s this there’s heavy fines. There are other things you can take into account. There’s guidance, but you don’t really have any kind of real regulation across the industry. So, you have to figure out what your own risk appetite is if you’re taking that that risk management approach. So, uh first it came from from leadership and our leadership a lot of them came from places like uh Target, Home Depot and other places that have experienced, you know, bad situations. and they don’t don’t want that to happen again. So, it’s something we’re very mindful of like how do we best protect ourselves in a retail environment which is totally different from uh from healthcare. So, had to look at that. And then you have to figure out, you know, if you’re out in the in the middle of the woods and you’re trying to uh you know, get out of the woods, a map won’t help you by itself. And the compass won’t help you by itself. You have to have the two together and use that compass. You identify a couple points, see where you are on the map, then you work your way out. And it’s the same thing with this. So, we had to look for a reference frame we could use and a a framework that we could figure out, you know, what the lay of the land would be. But but then we had to figure out where we were on that uh that map. And so we uh we conducted a couple self assessments and we found a framework one from shared assessments uh called the vendor risk management maturity model and we conducted a self-assessment on oursel and figured out where we score on this is very similar to doing a gap analysis for NIST or something else but much w better than this and we’re also looking at things originally from an information security perspective and every company does it differently but for us third party is embedded within information security. So when you have when you’re looking at an asset an asset can be anything of value to a a company typically you’re looking at just the confidentiality at first uh you know for example when you hear about most data breaches it’s because what’s making the news is how the confidentiality was breached there actually two other factors to it there’s integrity you know making sure that data stays accurate and availability which now is a big thing especially with supply chain. So u you can’t do all three at once. You start with what you know and in our case we knew information security. So we started there and we plotted ourselves on the self-assessment framework and figured out where our gaps were and and just like any organization we had some good gaps but then we would take that and actually plot that on a road map. Now that we know where we are how do we get out of there? And so we would take every domain from the uh the share assessments framework uh from that that room assessment and create really lanes on this road map and so program governance is a great example. We figured out okay for that category here are some issues where we’re we’re falling short so let’s put them on the road map and every subcategory from the framework we just plugged in the road map and started following that and if you follow the agile framework we then you’d understand this terminology where we’re taking all the u the big categories on the framework we made those are epics and then uh the subcategories, those big projects, those were our tasks for each epic. I’m sorry, our features. And then it breaks down into stories and and tasks. So, we’re using that as a framework really just to get us out of the woods and and to move forward. And rather than just assess ourselves once a year, we actually assess ourselves maybe every six months or so to get ready for our big annual assessment because we don’t want any surprises at the annual assessment. So, theoretically, just like when you do a a performance manager eval, when you get to the annual assessment, you should not be surp rise of what you see as the gaps. So, we like to know the gaps ahead of time and it’s just a continuous process of doing that.

Brenda: Ja. Und mir gefällt, dass dies nicht die einzige Folie ist, die zeigt, was diese Features oder Komponenten oder Epics sind. Sie haben acht davon. Und viele Unternehmen, die ihr Programm aufbauen, schauen nicht auf alle acht. Sie schauen sich nur an, was ist mein Lebenszyklus einer Bewertung? Wie weit wird sie gehen? Ähm, und wo werde ich stecken bleiben? Möchten Sie also ein wenig über diese Roadmap sprechen oder möchten Sie auf die nächste Folie wechseln, um alle acht Komponenten zu zeigen, oder gibt es Besonderheiten bei diesen beiden?

Jefferson: Sicher, wir können mit dem nächsten fortfahren. Das hier ist nur ein Beispiel. Wenn Sie sich den VRMM-Selbstbewertungsrahmen ansehen, dann stimmen diese perfekt überein und Sie werden sehen, woher wir sie haben. Wir haben allerdings noch eine weitere Kategorie hinzugefügt, wenn Sie auf die nächste Folie gehen. Ich bin mir nicht sicher, ob sie hier drauf ist oder nicht. Wir haben eine separate Kategorie für zusätzliche Arbeitsströme der Informationssicherheitsgruppe. Dabei geht es vor allem darum, herauszufinden, wie wir am besten mit allen anderen Teams zusammenarbeiten und wie wir Arbeit an Bord nehmen können, um andere Teams zu unterstützen, aber auch, um das, was wir tun, aufzuwerten. Also haben wir dafür ein eigenes Team oder eine eigene Spur geschaffen. Und ein paar andere Dinge, die wir am Anfang gemacht haben, waren, dass wir wussten, dass man das nicht als einsamer Wolf machen kann. Keiner hat alle Antworten. Also haben wir uns eine Peer Group mit Führungskräften aus anderen Unternehmen gesucht, die uns vielleicht voraus waren oder die das schon länger machen als wir und die Experten auf ihrem Gebiet sind, und sie haben Informationen mit uns geteilt, denn ein Einzelkämpfer wird in diesem Bereich nicht überleben. Wie bei den Spezialkräften gibt es ein Team, nicht das Rambo-Modell, bei dem einer rausgeht und alles macht, das funktioniert nicht wirklich, sondern ein Team von Fachleuten, die alle ihre Fähigkeiten haben, und so ist diese Peer Group eine gemischte Gruppe von verschiedenen Leuten aus verschiedenen Branchen, aber alle konzentrieren sich auf das Risiko von Dritten, und es ist eine großartige Gelegenheit, von den Experten zu hören und zu lernen, was sie tun. Und ich habe schon erwähnt, dass ich gerne lese. Nun, wenn Sie auf Amazon nach einem Buch über Drittparteirisiken suchen, werden Sie fast gar nichts finden.

Brenda: Nur drei.

Jefferson: Ja, es gibt nur sehr wenige Bücher, und die sind nicht einmal so toll. Ähm, aber im Großen und Ganzen gibt es nicht sehr viele. Vielleicht wird also jemand das endgültige Buch über das Risikomanagement für Dritte für uns schreiben, aber es gibt kein großartiges Buch, das man zu Rate ziehen könnte, außer einem, und das würde ich jedem empfehlen, der dieses Buch nicht kennt. Es gibt eine Reihe von zwei Büchern mit dem Titel SISO desk reference guide von Bonnie Heslip und Stamper und diese drei Herren waren alle erfolgreiche Sysos in ihren Unternehmen. Sie wissen alles über Informationssicherheit, aber es gibt ein Kapitel über das Risiko von Drittanbietern, und das war die beste Ressource, die ich gefunden habe, die tatsächlich auf Papier steht, wie man das Risikomanagement für Drittanbieter durchführt. Das ist also der Punkt, an dem der Nerd herauskommt und sagt, wenn Sie ein Buch wollen, dann ist das das richtige Buch für Sie.

Brenda: Nun, ich bin auch ein Geek-Nerd, wenn es um Drittanbieter geht. Ich werde mir das Buch also besorgen und das Kapitel lesen oder Sie kopieren es und schicken es mir zu, wenn es nur dieses Kapitel ist. Lassen Sie uns also darüber sprechen, wie Sie andere Abteilungen einbinden, denn jeder führt Bewertungen auf seine eigene Weise durch. Das Beschaffungswesen führt vielleicht Bescheinigungen durch oder betrachtet Dinge wie Bonitätsprüfungen oder die Brad Street. Die Rechtsabteilung hat ihre eigene Sichtweise, wenn es um Bewertungen geht. Es gibt die Sicherheit von Anbietern, die IT-Sicherheit, die OT-Sicherheit und viele Führungsteams, die vielleicht ein wenig Angst davor haben, wie Sie mit Ihrem Programm vorankommen. Das Tempo könnte ihnen unangenehm sein. Wie haben Sie sich also Gedanken darüber gemacht, wie man die Kultur auf eine normale, für Lowe's angenehme Weise verändern kann?

Jefferson: Wissen Sie, es klingt albern, aber es geht um Diplomatie und darum, Botschafter für andere Geschäftsbereiche zu sein und für sie da zu sein, denn in großen Unternehmen gibt es oft ein Problem mit Silos. Die verschiedenen Teams sprechen nicht miteinander. Jeder macht sein eigenes Ding und ist sich nicht einmal bewusst, was in den anderen Bereichen vor sich geht. Also positionieren wir uns als eine Art Botschafter zwischen all diesen verschiedenen Teams. Wir sind also diejenigen, die mit den Dritten sprechen. Wir sprechen auch mit der Rechtsabteilung über Probleme und bieten ihnen an, Verträge zu überprüfen, wenn sie auftauchen. Wir arbeiten mit den Geschäftseinheiten zusammen und erläutern ihnen die Risiken, die mit den Anbietern verbunden sind, mit denen sie zusammenarbeiten. Und wir arbeiten auch mit der Beschaffung zusammen und teilen ihnen mit, was wir sehen und was wir empfehlen. Denn normalerweise können diese Teams nicht so gut miteinander reden. Und wenn Sie versuchen, einer Geschäftseinheit oder einem Lieferanten das Informationssicherheitsrisiko oder viele dieser Risiken von Dritten zu erklären, haben diese keine Ahnung, wovon Sie reden. Man muss also nicht nur ein Botschafter, sondern auch ein Übersetzer sein und in der Lage sein, nicht-technischen Personen in einfachen Worten das Risiko und die geschäftlichen Aspekte zu erklären. Es handelt sich also um eine einzigartige Fähigkeit, und da hilft es nicht unbedingt, wenn man nur Leute im Team hat, die sich im Internet auskennen, wenn man versucht zu übersetzen. Wir haben also festgestellt, und ich weiß, dass wir darüber gleich noch sprechen werden, dass es beim Aufbau unseres Teams nicht unbedingt die Fähigkeiten waren, die sie ins Team brachten, denn wir wollten nicht, dass die Leute immer gleich sind. Und weil wir diese unterschiedlichen Fähigkeiten haben, haben wir verschiedene Leute, die verschiedene Aufgaben übernehmen und ihren Leidenschaften auf unterschiedliche Weise nachgehen können. Also mussten wir im Grunde die Botschafter sein. Und bei Lowe's gibt es die Mentalität, dass man den Kunden in den Verkaufsraum bringen will. Ich hoffe, Sie haben das schon in anderen Geschäften erlebt: Wenn Sie einen Laden betreten und nicht wissen, wo etwas ist. Wenn Sie jemanden fragen, sollte der Angestellte Ihnen nicht sagen: "Oh, es ist unten in Gang 12." Er sollte nicht mit Ihnen zu dem Gang gehen, Sie zu diesem Bereich bringen und Ihnen das Teil zeigen, um sicherzustellen, dass es das ist, was Sie für Ihre Arbeit brauchen. Vielleicht stellen sie dir sogar noch ein paar Fragen und helfen dir. Das Gleiche wollen wir auch für die Geschäftsbereiche tun. Wir wollen also sicherstellen, dass wir sie in die Gänge bringen, wenn sie noch nie eine Bewertung gesehen haben oder nicht verstehen, warum wir das tun. Wir wollen mit ihnen zusammenarbeiten und die Bewertung tatsächlich durchführen, die Geschäftseinheit zufriedenstellen, den Anbieter zufriedenstellen und die Rolle des Botschafters spielen. Und der andere Trick, den wir gefunden haben, kein Trick, aber eine Sache, auf die wir uns wirklich zu konzentrieren versuchen, ist die so genannte Sonnenuntergangsregel, die es wahrscheinlich in jedem Unternehmen überall gibt, aber viele Teams werden einfach nachlässig und halten sich nicht daran. Das heißt, wenn man eine E-Mail-Anfrage bekommt, muss man sie bis zum Ende des Tages beantworten. Und das hört sich so albern an, aber wir haben festgestellt, dass wir das zu einer Priorität gemacht haben und andere Geschäftsbereiche oder Abteilungen innerhalb des Unternehmens uns eine Frage schicken, wir antworten noch am selben Tag, und weil sie normalerweise nächste Woche ein Projekt in Betrieb nehmen, einen Lieferanten einbinden müssen, Verträge unterschriftsreif sind, hören sie zum ersten Mal von uns, und jetzt sind sie gestresst, und wir versuchen immer, noch am selben Tag zu antworten, und nur dieses angemessene Maß an Respekt, das wir einer nicht-fremden Geschäftseinheit entgegenbringen, führt dazu, dass sie später zu uns zurückkommen und sagen: "Hey, Sie waren wirklich hilfreich. oder was halten Sie hiervon? Und mit der Zeit entwickeln sich diese Beziehungen, aber das passiert nicht über Nacht. Wir haben einfach versucht, uns relevant zu machen und der Übersetzer für alle zu sein.

Brenda: Ja. Sie unterstützen das Unternehmen dabei, Risiken zu erkennen und zu verringern. Es gefällt mir also, dass Sie den Ansatz verfolgen, ihnen zu helfen und als Botschafter oder Übersetzer zu fungieren. Ich erinnere mich, als ich die Entscheidung traf, von einem großen Unternehmen zu einem Anbieter zu wechseln, der so viele Kunden hat, was ihn groß und richtig macht, sagte mir ein sehr weiser Mensch, dass Sie, Brenda, der Übersetzer zwischen dem Kunden und dem Produkt und dem Unternehmen sein werden. Du musst also in der Lage sein, verschiedene Sprachen zu sprechen. Das gefällt mir sehr gut, wie Sie das ausgedrückt haben. Das Wichtigste bei einem Risikoprogramm für Dritte und bei den ersten Schritten ist, dass Sie wissen, was Ihr Anbieter oder Ihr Lieferantenuniversum ist. Ist es für Sie eine Herausforderung gewesen, diese ganzheitliche Liste zu identifizieren und zu verstehen?

Jefferson: Ja, und glücklicherweise haben wir andere Unternehmen in dieser Peer Group und andere, Sie wissen schon, Wirtschaftsprüfer und und und alle, die wir fragen konnten, gefragt, wer die Experten sind, und ihnen unser Problem geschildert, und sie sagten: "Toll, das klingt so, als wärt ihr wie jedes andere Unternehmen auf der Welt, was in gewisser Weise gut und schlecht ist, aber im Grunde genommen ist es immer eine Herausforderung, wie es scheint, nachdem wir auch mit anderen Unternehmen gesprochen haben, diese definitive Liste zu haben, und es geht irgendwie zurück zu diesem ganzen Risiko vs. Compliance-Problem, man wird nie eine völlig vollständige, erschöpfende, genaue Liste von Anbietern finden, aber man kann auch nicht 3 Jahre warten, bis man diese Liste zusammengestellt hat. Also, ja, Sie haben vielleicht einige Lieferanten in der Beschaffungsdatenbank. Vielleicht haben Sie einige in der Kreditorenbuchhaltungsdatenbank, wo Sie sehen, wer bezahlt wird. Vielleicht haben Sie sie auch irgendwo in einer Datenbank für Governance, Risiko und Compliance. Aber es ist eine große Herausforderung, Informationen aus all diesen verschiedenen Datenbanken zu bekommen und herauszufinden, wer tatsächlich Recht hat.

Jefferson: Und es gibt auch kein Patentrezept dafür. Es ist einfach so, dass man eine Menge Detektivarbeit leisten muss, und die Jungs im Team würden Ihnen sagen, dass sie einen großen Teil ihrer Bemühungen darauf verwenden, die Besitzer zu finden oder herauszufinden, wer die Verkäufer sind, und manchmal spielt man einfach Detektiv, um Spuren zu verfolgen.

Brenda: Ja. Mir gefällt einer der Ansätze, den Ihre Organisation verfolgt, bei dem Sie aufgrund von Resilienz und dem, was wir im Jahr 2020 erleben werden, tatsächlich überlegt haben, ob wir einen internen Ansprechpartner haben, den wir intern um Stratifizierungs- oder Profilierungsinformationen über den Anbieter bitten, um sicherzustellen, dass wir die richtige Art von Bewertungen vornehmen. Sie haben aber auch beschlossen, direkt zum Anbieter zu gehen und ihm zu sagen: "Hier ist ein sehr kurzer Fragebogen, der uns die Attribute liefert, die wir wissen müssen, um sicherzustellen, dass wir Sie richtig einschätzen, und den wir dann nutzen, um die internen Aufzeichnungen abzustützen. Es ist in Ordnung, das zu tun, auch wenn die Anbieter zu Ihnen zurückkommen und sagen: "Nun, warum wissen Sie nicht, was wir mit Ihnen machen?" Nun, wir müssen uns alle zusammenraufen und sicherstellen, dass wir wissen, was der andere tut, denn die Dinge können sich im Laufe der Zeit ändern. Es kann sein, dass ein Anbieter ein Jahr oder ein paar Monate lang eine Sache macht, und dann sagt plötzlich jemand: "Hey, wir haben diesen Anbieter bereits überprüft. Wir sollten ihn auch für X, Y und Z einsetzen." Es ist also gut, dass Sie das, was Sie tun, aus dieser Perspektive betrachten. Was ist also dieser Torhüter für Dritte?

Jefferson: Ja, das war eine Analogie, die wir intern für unser Team verwendet haben. Wir wissen, dass es Tausende von Anbietern gibt, und im Einzelhandel kostet eine Sicherheitsverletzung durchschnittlich etwa 1,8 Millionen Dollar. Und wir wissen, wie hoch der Dollarbetrag für einen Datensatz oder der Dollarbetrag pro Datensatz für eine Sicherheitsverletzung ist. Und Sie können all dies nutzen, um den FUD-Faktor, Angst, Unsicherheit und Zweifel, was Sie niemals tun sollten. Sie wollen Fakten haben, und wenn Sie den Führungskräften die Risiken erklären, sollten Sie wissen, dass Sie eine große Anzahl von Anbietern haben, von denen jeder einzelne zu einem explosiven Fußball werden kann, bei dem Sie, Sie wissen schon, wir versuchen sicherzustellen, dass dies nicht zu einem Verstoß für das Unternehmen führt. Jeder Dritte, den wir im Auge haben, ist sozusagen die letzte Verteidigungslinie, mit der wir sicherstellen wollen, dass er dem Unternehmen nicht schadet. Wir wollen, dass das Unternehmen erfolgreich ist, aber wenn das Unternehmen Gewinne macht, diese aber aufgrund von Bußgeldern und all den finanziellen Risiken, die mit einer Sicherheitsverletzung verbunden sind, wieder auszahlen muss, dann macht das Unternehmen nicht den Gewinn, den es machen sollte. Wir versuchen also, das abzusichern, und fühlen uns eher wie der einsame Torwart im Hintergrund, als dass ein einziger Fußball auf uns zukommt. Stellen Sie sich Tausende vor, die Sie zu stoppen versuchen, denn aus der Perspektive eines Dritten versuchen Sie sicherzustellen, dass all diese Tausenden, die sich in Ihrem Bestand befinden, nicht zum nächsten großen explosiven Fußball werden. Also, es ist...

Brenda: Ich mochte eine der Präsentationen, die du vorher hattest, und plötzlich waren es Tausende und Abertausende von Fußbällen.

Brenda: Wenn ich Torhüterin wäre, würde ich nicht wollen, dass so viele von ihnen auf mich zukommen. Sicherlich. Wie sieht also die Strategie aus, mit der Sie sich einen Wettbewerbsvorteil verschaffen wollen?

Jefferson: Sicher. Also, in manchen Unternehmen kann man den "Wir-gegen-sie"-Ansatz verfolgen, bei dem man das "Wir"-Team hat, fast wie bei einer American-Football-Mannschaft, man hat das Offensivteam, das die Tore schießt und die Dollars einbringt, und man weiß, dass sich alles um die Offensive dreht, oder man hat das Defensivteam auf dem Feld, das nur versucht, seine Arbeit zu machen, aber man hat fast zwei verschiedene Mannschaften, die beide für dieselbe Seite spielen, aber zu verschiedenen Zeiten auf dem Feld sind und nie wirklich als eine zusammenarbeiten, und dieser Ansatz ist mehr der eigentliche Fußball, Sie Fußball, der Ansatz ist, dass Sie die Geschäftsbereiche und alle anderen Teams gleichzeitig auf dem Spielfeld haben. Wir arbeiten alle zusammen. Sie wissen, dass die Geschäftsbereiche ja versuchen, ihre Einnahmen zu steigern und zu generieren, und wir versuchen, ihnen dabei zu helfen, und zwar so, dass sie erfolgreich sind, aber sicher, dass die Einnahmen im Unternehmen bleiben und kein schlechtes Reputationsrisiko besteht und keine faulen Äpfel reinkommen und wir das Unternehmen schützen. Aber wir arbeiten mit all diesen verschiedenen Teams zusammen und ziehen alle an einem Strang, so dass wir nicht mehr denken, wir sind Geschäftseinheiten oder wir spielen Verteidigung, also reden wir nicht mit Ihnen. Das ist ganz und gar nicht der Fall.

Brenda: Ja. Und mir gefällt, dass Sie verschiedene Filterstufen haben. Das bedeutet, dass alle im Team zusammenarbeiten und es irgendwo in der Gatekeeper-Perspektive hängen bleibt, anstatt direkt zum Ziel zu gehen und dort durchzukommen, wo es nicht hingehört. Es gibt also so viele verschiedene Produkte und Möglichkeiten, das Risiko von Drittparteien zu managen. Ich erinnere mich, als ich in einem Unternehmen für das Risikomanagement für Dritte zuständig war, hatte ich drei verschiedene Intel-Unternehmen und drei verschiedene Standardfragebögen, und keiner von ihnen war integriert. Das ist jetzt natürlich schon fünf oder sechs Jahre her, aber nach welchem Verfahren haben Sie die richtigen Instrumente ausgewählt und wie haben Sie das Verfahren oder die Optionen abgewogen?

Jefferson: Also, für uns waren es nicht nur die Werkzeuge, Es ging auch um die Beschaffungsprozesse und die Leute, also darum, wie wir uns entscheiden, ob wir die ganze Arbeit auslagern, ob wir nur eine Person bei Lowe's haben, die einen Dritten beauftragt, oder wie wir es machen wollen, und das basierte wirklich auf der Risikobereitschaft und der Richtung der Führung, die wollte, dass es ein internes Programm ist.Unsere Lösung bestand darin, ein eigenes Team zusammenzustellen, und das Team, das wir hinzugezogen haben, hatte, wie ich schon sagte, sehr unterschiedliche Fähigkeiten. Der eine ist ein Experte für Netzwerke, der andere für die Beziehungen zu den Anbietern und kennt das Unternehmen in- und auswendig, unser Unternehmen in- und auswendig, aber eines haben sie alle gemeinsam: Leidenschaft. Als wir also Leute einstellten, haben wir nicht unbedingt darauf geachtet, dass sie bestimmte Zertifizierungen haben, denn wenn sie die Leidenschaft haben und lernen wollen, können wir ihnen etwas beibringen, und dann lernen sie tatsächlich voneinander. Und dann hatten wir ein Kernteam von leitenden Analysten, die alle anderen Analysten ausbildeten und ihre Perspektiven mit ihnen teilten, so dass mit der Zeit jeder von jedem lernen konnte und diese verschiedenen Perspektiven kennenlernte, und das war enorm. Wir hatten also dieses Kernteam, das jetzt extrem talentiert ist und mit großer Leidenschaft bei der Sache ist. Was die Tools angeht, so wollen wir wirklich, dass alle zu Risikomanagern werden und nicht nur zu Risikoanalysten, aber man kann nicht Tausende von Analysten haben, die sich um Risiken Dritter kümmern, denn das kann sich kein Unternehmen leisten. Es muss also ein Kompromiss gefunden werden zwischen, Sie wissen schon, wie viele Bewertungen eine Person durchführen kann und wie effektiv und effizient sie diese durchführen kann. Deshalb haben wir uns mehrere Optionen angesehen, nicht nur für die Durchführung von Bewertungen, sondern auch für das, was wir Thread Intel nennen, nämlich eine Plattform zur Sicherheitsbewertung. Und dafür haben wir uns mehrere Lösungen angeschaut. Wir wussten, dass wir nicht einfach Tabellenkalkulationen an alle verschicken konnten, wie es früher üblich war, nämlich mit Word-Dokumenten oder Tabellenkalkulationen. Das hat für uns nicht funktioniert. Um ganz ehrlich zu sein, was für uns am besten funktioniert hat, war die ent-Lösung. Und die Tatsache, dass wir hier ein Portal haben, mit dem wir diese Anbieter automatisiert in ein Portal laden können, sie einladen können, die Informationen auszufüllen, die Fragen zu beantworten und dann automatisch Risikofeststellungen generieren lassen können, die wir dann überprüfen können, um zu sehen, ob sie korrekt sind oder nicht. Wir können mit dem Anbieter zusammenarbeiten, um diese Feststellungen zu korrigieren. Und das alles in einer einzigen Lösung. Das hat sich also für uns als der beste Weg erwiesen. Wir sind der Meinung, dass alle unsere Analysten auf diese Weise eine viel größere Anzahl von Bewertungen pro Jahr durchführen können, als wenn sie Tabellenkalkulationen durchgehen und versuchen, herauszufinden, wie sie diese Tabellenkalkulationen oder Word-Dokumente übersetzen können.

Brenda: Ja, mir gefällt die Art und Weise, wie Ihr Programm vorkonfigurierte Risikobehebungen eingebettet hat und wie Sie diese nutzen, um den Anbietern zu zeigen, wonach Sie suchen. Sie haben auch vorkonfigurierte Stufen, über die Sie sprechen werden, und Sie haben Risikomultiplikatoren für diese Stufen identifiziert, so dass, wenn Sie nach einer Drittpartei mit höherem Risiko suchen, sich diese Risiken entsprechend widerspiegeln würden, und mit dem u-Portal, in dem Sie alles an einem Ort verfolgen, ist es sehr einfach für die Anbieter, so dass es wie ein One-Stop-Shop ist, nicht nur für Sie, sondern auch für die Anbieter und in Zukunft vielleicht auch für die Geschäftseinheiten.

Jefferson: Absolut.

Brenda: Wenn wir uns also all das ansehen, was Sie auf die Beine stellen mussten, was eine ganze Menge war. Wie haben Sie die Grundlagen für die Durchführung angegangen? Wenn wir also ein Jahr zurückblicken und uns die Tabellen ansehen und entscheiden müssen, welchen Fragebogen Sie als Standard verwenden wollen, wie sah das dann aus? Und Sie lassen mich wissen, dass dies Ihre Folien sind, die jetzt erscheinen. Einige von ihnen haben Animationen. Sagen Sie mir also, wann ich den Knopf drücken soll, damit ich es zum richtigen Zeitpunkt tue.

Jefferson: Okay. Oh, nun, es geht wieder um die Tatsache, dass wir wissen, dass wir nicht alles auf einmal machen können. Wir können nur das tun, was wir derzeit tun können, und dann einen Plan haben, wie wir in Zukunft weitere Fähigkeiten hinzufügen können. So haben wir also begonnen, und Sie können sich die nächste Folie ansehen. Wie Sie wissen, weiß wahrscheinlich jeder hier, dass man eine Reihe von Bewertungen durchführen sollte, wenn man eine dritte Partei an Bord holt. Oftmals wird nur eine einzige Bewertung durchgeführt, wenn überhaupt, und das auch nur, um sie ganz am Anfang ins Boot zu holen, und danach gerät sie in Vergessenheit. Das haben wir schon oft erlebt. Oder es kommt häufig vor, dass Anbieter einfach an Bord geholt werden, ohne dass jemals eine Bewertung durchgeführt wurde, und wenn man dann nach einer Bewertung fragt, bekommt man einen leeren Blick. Das ist nicht bei Lowe's so, das ist bei jedem Unternehmen so. Der konventionelle Ansatz wäre also idealerweise, dass man im Vorfeld eine Bewertung durchführt, eine sehr schnelle Bewertung, wenn man mehrere Anbieter für einen Ausschreibungsprozess betrachtet, wenn sie an Bord kommen, eine Bewertung für das Onboarding durchführt und sicherstellt, dass sie über kritische Kontrollen verfügen. Wenn Sie etwas finden, können Sie es möglicherweise beheben oder Sie lassen es sie wissen, lassen die Geschäftseinheit darüber wissen. Idealerweise sollten Sie sie zu einem späteren Zeitpunkt erneut bewerten und dann virtuelle oder Vor-Ort-Bewertungen durchführen. Und wenn Sie die Beziehung zu ihnen jemals beenden, endet sie idealerweise an einem bestimmten Punkt. Alle guten Dinge müssen zu einem Ende kommen. Theoretisch ist es also so, dass Sie, wenn der Anbieter eines Tages nicht mehr auf der Speisekarte steht, ein Offboarding-Assessment durchführen und sicherstellen, dass alle Daten, die Sie als Ihre lebenswichtigen Daten betrachten, tatsächlich vernichtet wurden. Das ist ein konventioneller Ansatz, aber auch hier gilt: Wenn man das für jeden Anbieter machen würde, wäre der Personalaufwand dafür wahnsinnig hoch und einfach nicht bezahlbar. Wir verfolgen also eher einen risikobasierten Ansatz, und das wäre dann der nächste Klick. Wir führen nach wie vor die RFP-Bewertung durch, die in etwa so lange dauert wie Sie, und wir geben den Geschäftseinheiten SLAs zu Service Level Agreements oder Service Level Targets vor, und wir versuchen, diese bei neuen Bewertungen einzuhalten. Die Geschäftseinheit weiß also, dass, wenn sie mit zwei oder drei Unternehmen zu uns kommt und sich fragt, welches sie nehmen soll, wir innerhalb von ein paar Tagen eine schnelle Minibewertung durchführen und sie wissen, was das ist. Unsere Onboarding-Bewertungen dauern etwas länger, aber das sagen wir ihnen im Voraus, wir sagen ihnen, was sie erwarten können, wir sind uns über die Erwartungen im Klaren, aber dann gehen wir zu einem kontinuierlichen Evaluierungsansatz über, bei dem wir nicht unbedingt eine jährliche oder halbjährliche Neubewertung durchführen, aber wir schauen uns die Dinge immer wieder an, z. B. nutzen wir unsere Sicherheitsbewertungsplattform, um nach eingehenden Warnungen zu suchen und diese zu überwachen. Wenn wir sehen, dass etwas in die Alarmstufe fällt. Das kann die Security Scorecard sein, Bitsite, Risikoaufklärung, da gibt es eine ganze Reihe. Aber wenn Sie Warnungen erhalten, dann ergreifen Sie Maßnahmen und veranlassen eine Neubewertung, falls erforderlich. Wenn die anfängliche Risikobewertung zu Ergebnissen führt, arbeiten Sie mit dem Unternehmen zusammen, um diese Ergebnisse zu beheben und sie im Laufe der Zeit zu verfolgen, was bei uns dank der gängigen Plattform möglich ist. Wir können mit dem Unternehmenseigentümer zusammenarbeiten, und dann schauen wir uns auch die Möglichkeiten zur Reaktion auf Vorfälle an. Wenn wir also von Sicherheitsvorfällen bei Anbietern erfahren, wird dies ebenfalls eine Bewertung auslösen. Theoretisch, wenn sie ein geringes Risiko darstellen, wenn wir sie die ganze Zeit beobachten und sie diese Risikoeinstufung haben, dass die Sicherheitsbewertung gut ist und Sie wissen, dass es keine Probleme gibt, dann werden wir sie weiter überwachen, aber nicht unbedingt jedes Jahr, alle zwei Jahre, eine Neubewertung vornehmen. Wir werden nach Bedarf eine Neubewertung vornehmen und uns jedes Jahr vergewissern, dass der Geschäftsinhaber noch immer eine Beziehung zu diesem Anbieter unterhält. Und jetzt können wir auch Bewertungen vor Ort durchführen. In der Vergangenheit war das Team dafür ausgebildet, aber das ist jetzt nicht mehr möglich. Es gibt also einen großen Druck, virtuelle Bewertungen durchzuführen, von denen ich weiß, dass gemeinsame Bewertungen gelehrt werden, aber wir können sie auch vor Ort durchführen, wenn es notwendig ist, und je nach Situation und Anbieter tun wir das und führen dann die Offboarding-Bewertung nach Bedarf durch. Mit diesem risikobasierten Ansatz können Sie also wirklich mehr Bewertungen durchführen und mit weniger Mitarbeitern effektiver sein. Das ist also die langfristige Lösung hier.

Brenda: Ja. Und mir gefällt, dass Sie eine kontinuierliche Bewertung vornehmen. Viele Unternehmen machen das einmalig oder jährlich oder halbjährlich. Und wenn die Risiken gemindert sind, sollte man sie verifizieren oder validieren. Also, gute Arbeit dabei. Das ist eine meiner Lieblingsfolien, auf die Sie gerade eingehen. Also, um das zu hören.

Jefferson: Oh, darüber muss man immer ein wenig diskutieren. Ich erkläre das am besten so: Sicherheit wird oft als Hindernis angesehen, und ich habe es schon bei Unternehmen erlebt, dass die Geschäftseinheit sich nicht an die Sicherheitsbehörde wenden oder einen Risikoprozess mit Dritten durchlaufen will, weil sie es eilig hat. Sie wollen nicht gebremst werden. Es ist ähnlich wie am Flughafen: Man kommt dort an, muss ewig bei der TSA anstehen, den Prozess durchlaufen, durchkommen und dann zu seinem Gate gehen. Nun ist es nicht die Schuld der TSA, wenn man zu spät zum Flughafen kommt. Sie sagen, man solle zwei Stunden früher da sein, aber niemand kommt jemals zwei Stunden früher. Man rennt immer in letzter Minute rein, und dann ist man frustriert über die TSA, weil sie einen aufhält. Und das typische Modell für Onboarding-Bewertungen ist auch, dass man aufgehalten wird. Schauen wir uns die dritte Partei an. Schauen wir uns die Bewertung an. Lassen Sie uns sicherstellen, dass wir alles richtig machen. Sie warten, bis wir Ihnen grünes Licht geben, und dann können Sie fortfahren, zu Ihrem Flugsteig gehen und abheben und dann Ihr Engagement starten und den freundlichen Himmel genießen. Das funktioniert in einer Einzelhandelsumgebung nicht. Wir haben eine Risikobereitschaft, bei der es uns darum geht, sicherzustellen, dass das Unternehmen das tut, was es tun muss, und wir es nicht aufhalten, was uns bei der Sicherheit auf einen schmalen Grat führt, denn wir wollen sicherstellen, dass das Unternehmen vorankommt und alles entwickelt, was es braucht, um erfolgreich zu sein, aber es sicher tut. Unser Ansatz ist also ein wenig anders, und Sie können hier zur nächsten Folie gehen. Wenn wir also einen neuen Auftrag erhalten und von einem neuen Anbieter erfahren, bitten wir den Geschäftsinhaber, eine erste Anfrage zu stellen, und dann führen wir eine erste Due-Diligence-Prüfung durch und bewerten den Anbieter, um zu sehen, welches Risiko wirklich besteht. Mit welchen Daten arbeiten sie? Das ist der Punkt, an dem wir sie zerreißen. Und Sie hören ständig von "Tearing". Wir sehen uns das wahre inhärente Risiko gleich zu Beginn an. Stellen Sie sich also vor, Sie gehen durch den Flughafen, aber jetzt müssen Sie nicht mehr bei der TSA anhalten. Sobald Sie den Flughafen betreten, erhalten Sie Ihre Bordkarte. Und während du durch den Flughafen gehst, hältst du vielleicht bei Starbucks an, holst dir einen Kaffee, gehst zum Flugsteig und bist bereit für den Abflug. Und dann kommt vielleicht jemand von der TSA und sagt: "Danke für Ihre Zeit. Sie können jetzt gehen. Hier ist Ihre, Sie wissen schon, wir werden Ihre Bordkarte abstempeln, einen schönen Tag noch. Und genau das tun wir im Hintergrund. Während dieses Engagement voranschreitet, tun wir Dinge und wir schauen uns die Bewertung an. Wir sehen uns alle Informationen an, die wir über sie haben. Wir werden Fragen stellen. Wir werden die Fragen weiterverfolgen. Am Ende des Tages geben wir eine Empfehlung an den Geschäftsinhaber ab. Entweder kann er das empfehlen oder wir empfehlen die Beauftragung, oder er kann fortfahren. Wir werden empfehlen, dass sie fortfahren können, aber es gibt einige Dinge, die behoben werden müssen, und wir müssen das innerhalb eines bestimmten Zeitrahmens beheben. Oder wir sagen, wir empfehlen nicht, und wir sagen, es gibt hier einige ernsthafte Probleme, und wir empfehlen wirklich nicht, weiterzumachen, obwohl es letztendlich das Unternehmen ist, das es besitzt, und wir verwenden das Drei-Linien-Verteidigungs-Risikomanagementmodell, das so weit verbreitet ist, dass es jetzt Das Drei-Linien-Verteidigungsmodell oder Drei-Linien-Modell, weil die Verteidigung nicht mehr wirklich ein Thema ist, weil die Unternehmen proaktiv sein sollen, aber das Drei-Linien-Modell besagt, dass die Geschäftseinheiten die erste Verteidigungslinie sind, sie sind diejenigen, die wirklich für das Risiko verantwortlich sind, die zweite Linie sind alle Ihre Risiko- und Compliance-Teams, Recht, Sicherheit und alle anderen. Und die dritte Linie ist die Innenrevision. Sie stellt sicher, dass aus einem hohen Blickwinkel, aus einer hohen Perspektive, jeder das tut, was er verspricht zu tun. Mit diesem Ansatz sagen wir also der Geschäftseinheit: Okay, hier ist der Auftrag, hier ist, was wir entdeckt haben, und hier ist, was wir empfehlen, aber es ist Ihre Entscheidung. Wenn sie mit dem Auftrag weitermachen, muss ihr Vizepräsident unterschreiben und das Risiko akzeptieren, und dann verfolgen wir das. Aber wir sind nicht die Abteilung für nein. In der Bank kann man bis zu einem gewissen Grad die Abteilung für "Nein" sein und im Gesundheitswesen auch, aber im Einzelhandel muss man wirklich schnell und effizient Risikobewertungen durchführen und als Berater auftreten. Wir beraten also die Geschäftseinheiten und treten nicht als der große böse Polizist auf. Wir geben ihnen die vollständigen Informationen, und dann ist es ihre Entscheidung.

Brenda: Ja. Ich finde es gut, wie Sie Ihre Pyramide mit den Stufen und der Anzahl der Tage zusammengestellt haben, und Sie haben über "empfohlen", "empfohlen mit Nachbehandlung" und "nicht empfohlen" gesprochen. Was können Sie noch über das Tarieren sagen und wie es bei Ihnen funktioniert hat?

Jefferson: Äh, sicher. Die Tarierung basiert im Wesentlichen auf der Datenklassifizierung für unser Unternehmen. Jedes Unternehmen hat seine eigene Art, Daten zu betrachten. Einige Daten können als öffentlich oder als keine große Sache betrachtet werden. Andere Daten sind vielleicht eher geschützt oder könnten persönliche Informationen sein. Basierend auf den Daten, die wir während des Aufnahmeprozesses erfahren, werden wir sie zerreißen. Und das bedeutet einfach, dass ein Anbieter mit höherem Risiko genauer unter die Lupe genommen und einer zusätzlichen Sorgfaltsprüfung unterzogen wird. Und so oder so, alle werden bewertet. Selbst wenn es sich nur um ein Unternehmen handelt, das öffentliche Daten hat und kein wirkliches Risiko darstellt, wurde es dennoch durch das Aufnahmeformular bewertet. Wir haben also die Aufzeichnungen darüber. Wir haben ihre Auftragsnummer. Wir haben ihre URL, ihre Domain, die wir in unser Überwachungstool eingeben können, um sie in Zukunft auf Sicherheitsvorfälle zu überwachen. Wir bitten also jeden, den Trichter zu durchlaufen, damit wir ihn zumindest protokollieren und dann feststellen können, ob wir noch etwas anderes tun müssen. Sobald sie das System durchlaufen haben, erhalten wir eine externe Überprüfung, bei der wir die Plattform von außen betrachten, und dann verwenden wir einen automatisierten Fragebogen, um einen Einblick zu erhalten, und dann folgen wir, falls erforderlich, und am Ende des Tages erhalten wir den endgültigen Bewertungsstatus und die Empfehlung.

Brenda: Ausgezeichnet. Ich nehme an, dass Sie sicherstellen wollen, dass Sie Leistungs- und Risikoindikatoren haben, über die Sie Ihr Management informieren. Eines der Dinge, die wir ganz am Anfang gemacht haben, war, dass Sie nicht nur den Vroom aus gemeinsamen Bewertungen verwendet haben, sondern auch eine Reifegradbewertung von Prevalent. Was sind also die Dinge, die Sie getan haben, und was sind die KPIs und KIS, die wichtig waren, als Sie durch Ihr Programm fortgeschritten sind?

Jefferson: Sicher. Die Selbsteinschätzungen sind ein wichtiger Teil davon, und wir verwenden diese wiederum für die Gesamtbewertung des Unternehmens, die als Input für die Unternehmensbewertung dient. Äh, und es ist auch wichtig, den Unterschied zwischen KPIs und KRIS zu kennen und zu wissen, wer Ihre Zielgruppe ist. Sie wollen Ihrem CEO zum Beispiel nicht all die kleinen Details darüber mitteilen, welcher Analyst zu einem bestimmten Zeitpunkt wie viele Bewertungen hat oder wie viele er diese Woche abgeschlossen hat. Das interessiert sie nicht. Sie wollen am Ende des Tages wissen, wie hoch das Risiko des Unternehmens ist, wo wir stehen und was das größte Problem ist. Es gibt also mehrere Ebenen dieser KPIs und KIS, die wir verwenden. KPIs können etwas so Einfaches sein wie die Anzahl der Bewertungen, die wir dieses Jahr im Vergleich zum letzten Jahr durchführen, und wie sind die Ergebnisse? Wie ist der endgültige Status der Bewertungen, die wir durchführen? Wie viele kommen von den verschiedenen Anlaufstellen? Wie viele davon sind RFP-Bewertungen und wie viele sind Onboarding-Bewertungen? Bekommen wir nicht viele Onboarding-Bewertungen? Nun, warum nicht? Konzentrieren wir uns darauf, wie wir diesen Workflow verbessern können. Dann können wir ihn auch aufschlüsseln. Dank der weit verbreiteten Plattform können wir alle verschiedenen Phasen der Bewertung sehen und wir haben Service-Level-Ziele für jede der Phasen. Wir wissen z. B., wie lange es bei uns dauern sollte, vom Eingang bis zur Übergabe an den Anbieter. Wie viele Tage oder Stunden dauert es, bis die Bewertung tatsächlich fertig ist? Wie lange sollten sie brauchen, um den Fragebogen auszufüllen und uns alle Informationen zurück zu geben? Und dann werden wir uns das ansehen. Wie lange sollten wir brauchen, wenn wir die Informationen haben, um die endgültige Empfehlung auszusprechen? Wir verfolgen also all das, was Sie für Leistung und Verbesserung tun. Wir wissen also, wie lange die einzelnen Phasen dauern. Aber für KRIS ist das der Punkt, an dem Sie dem Management sagen müssen, was das alles bedeutet. Und hier wird es wirklich interessant, denn die Daten, die wir von der Plattform abrufen können, ermöglichen es uns, Dinge zu sehen wie z. B.: Was sind unsere 10 größten Risiken im Moment? Welche Risiken sehen wir unternehmensweit bei unseren Anbietern? Was sind die am häufigsten auftretenden Probleme? Wir können das auch mit unserer Sicherheitsüberwachungsplattform verknüpfen und sehen, was die größten Schwachstellen sind, die wir derzeit bei unseren Drittanbietern sehen, und was wir mit ihnen zusammenarbeiten und angehen sollten. Wir können Sie nach Geschäftseinheiten und Ebenen aufschlüsseln. Wir können herausfinden, welche Geschäftseinheit die risikoreichste Geschäftseinheit ist. Wir können herausfinden, welche Geschäftseinheit die risikoreichste ist, wie viele Geschäftseinheiten die meisten Aufträge haben, gegen die wir eine Empfehlung ausgesprochen haben, und wie sie vorgehen, und herausfinden, wie wir damit arbeiten müssen. Wir können also wirklich auf die Ebene der Geschäftseinheiten herunterbrechen. Das ist unser Ziel, und wir können tatsächlich die Drittparteien pro Geschäftseinheit aufzeigen und das Risikoniveau auf der Grundlage der Ergebnisse aller Risikobewertungen darstellen.

Brenda: Das ist gut zu wissen, und ich weiß, dass Sie wirklich hart an KPIs und KIS für Ihr Management gearbeitet haben, und deshalb wurden Sie als ein Programm und ein Team von Ressourcen angesehen, die zusammen mit Ihnen so schnell so weit gekommen sind. Ich erinnere mich noch daran, als wir darüber sprachen, dass wir nur ein paar Starts auf einmal machen sollten, und jetzt sind wir bei 250 pro Woche, nur für die Fragebögen zur Stratifizierung, damit wir die Informationen zurückbekommen, um zu wissen, welche Art von Bewertung dann an sie geschickt werden muss. Sie sind also von "ich habe vielleicht nur tausend Anbieter, die ich bewerten muss" auf "ich muss wirklich mein gesamtes Universum untersuchen" gestiegen. Ich muss wirklich mein gesamtes Universum erforschen, und das könnte in die Höhe gehen, und ich denke mir diese Zahl nur aus. Ich will damit nicht sagen, dass es Lowe's ist, aber es könnten bis zu 14.000 sein. Wir versuchen also, mit Hilfe von Thread-Intelligenz und mit Hilfe von Stratifikation und Essentials oder Profiling-Fragebögen sehr schnell herauszufinden, woran ich zuerst arbeiten muss. Es ist also eine wirklich interessante Sache, wenn man sich das anschaut, und es können viele, viele Zahlen da draußen sein, und es gibt einen Unterschied zwischen Daten und Informationen, denn wir können eine Menge Daten von überall her holen, aber wenn die Daten nicht wirklich einen Wert haben, dann werden sie zu Informationen, wenn sie einen Wert haben und wenn sie verwertbar sind. Wir versuchen also, all diese Daten, die wir von verschiedenen Plattformen beziehen können, zu nutzen. Diese Daten auf den Punkt zu bringen und sie dann den Führungskräften zur Verfügung zu stellen und sie mit echten Informationen zu versorgen, ist entscheidend.

Brenda: Ja. Als Sie das Programm entworfen haben, haben Sie über Kategorien, Tags und Aufgaben nachgedacht, die erledigt werden müssen. Sie haben über jeden kleinen Schritt nachgedacht, der getan werden muss. Und wenn Sie dann auf ein Szenario stießen, an das Sie nicht gedacht hatten, haben Sie sehr schnell umgeschwenkt, um herauszufinden, wo Sie eine Menge Fragebögen zur Erstellung von Profilen oder zur Stratifizierung verschicken, die Sie als Fragebogen zur Erfassung von Anbieterinformationen bezeichnen. Und wenn der zurückkommt, gibt es einige, die nicht antworten. Was machen wir mit denen? Es gibt einige, die innerhalb von Minuten geantwortet haben. Jetzt sind sie bereit für eine Bewertung. Was machen wir mit denen? Es hat also sehr viel Spaß gemacht, Ihnen dabei zuzusehen. Aber nach all dem, was Sie gesagt haben, was sind vielleicht die drei wichtigsten Erkenntnisse? Und Sie können mehr sagen, als Sie wollen, wenn es nur mehr als drei sind, aber was sind die wichtigsten Erkenntnisse, die Sie allen Zuhörern in dieser Telefonkonferenz mit auf den Weg geben würden, damit sie von Ihren Erfahrungen lernen, anstatt sie selbst zu machen?

Jefferson: Erstens: Versuchen Sie nicht, ein einsamer Wolf zu sein. Und ich habe es auf die harte Tour herausgefunden. Es gibt andere Leute, andere Teams, sogar in Ihrem eigenen Unternehmen, die die Antworten haben. Man muss herausfinden, wer sie sind, und man weiß es erst, wenn man sie fragt. Im Nachhinein denke ich, dass ich anderen Teams am Anfang bessere Fragen hätte stellen können und Antworten gefunden hätte, die wir dann drei oder vier Monate später herausgefunden haben. Wir sind sehr gut darin, zusammenzuarbeiten, aber das hätte man auch schneller machen können, um auf das Modell des einsamen Wolfs im Vergleich zu den Spezialkräften zurückzukommen. Man braucht wirklich ein Team, um so etwas zu tun, keiner hat alle Antworten, und das war eine große Bitte um Hilfe. Das ist also gut. Wir haben tatsächlich unsere eigenen Probleme, und das ist normal. Die Erkenntnis, dass wir normal sind, war zunächst einmal großartig, denn wenn man sich in einem Silo befindet, denkt man, dass alle anderen einem in ihrer Entwicklung und Reife so weit voraus sind, dass wir unbedingt aufholen müssen. Nun, es hat sich herausgestellt, dass das nur eine Illusion war. Aber bis man tatsächlich von Leuten aus anderen Peer-Groups hört und redet und versucht, eine andere Perspektive als die eigene herauszufinden, erkennt man das nicht.

Brenda: Ja.

Brenda: Alles klar. Also, ähm, wir werden ein paar kleine, prävalente Dias machen, aber macht euch bereit. Es gibt einige Fragen, die uns erreicht haben. Das Einzige, was ich sagen wollte: Es gibt zwei Folien über die Prävalenz. Wir sind ein führendes Unternehmen im magischen Quadranten. Ich danke Ihnen für die strategische Partnerschaft mit Unternehmen wie Lowe's, die uns in diese Position gebracht hat. Unsere Stärken liegen also im Produkt und im Service, in der Produktstrategie, wie Jefferson bereits erwähnt hat, und im Verständnis von Branchen und Industrien und in der Unterstützung bei der Strategie in diesem Bereich. Unser Programm und unsere Plattform haben sich exponentiell erweitert. Während wir also mit Unternehmen wie Lowe's und Jefferson und seinem Team zusammenarbeiten, erkennen wir die Dinge, die notwendig sind, damit Drittanbieter und sogar Drittanbieter erfolgreich sein können. Jefferson könnte also während der Fragen und Antworten das Thema ansprechen, dass er es irgendwann auf das Lieferkettenmanagement ausdehnt. Das sind also die Dinge, die wir gerne in das Programm integrieren, um einen ganzheitlichen Überblick zu erhalten, und er war sehr freundlich, da wir ein Bedrohungsüberwachungsprogramm haben, das VTM ist, aber er nutzt derzeit Bitsite für seine Bedrohungsdaten, und wir haben uns mit ihnen zusammengeschlossen, um die höchste Punktzahl zu ermitteln, so dass er seine Risiken harmonisieren und normalisieren kann und die Risiken von einer bestimmten Plattform kommen, anstatt dass der Anbieter zu beiden geht. Damit, ähm, Amanda, übergebe ich das Wort wieder an Sie für die Umfragefrage. Ich habe bemerkt, dass ein paar Fragen oder eine Handvoll Fragen eingegangen sind, und ich gebe Jefferson für die nächsten 12 oder 13 Minuten mehr Zeit, diese zu beantworten.

Amanda: Ja, absolut. Ich werde jetzt eine Umfrage starten. Möchten Sie in den nächsten Monaten ein Risikomanagementprogramm für Dritte einführen oder erweitern? Ich habe es gerade gestartet. Ich möchte Sie bitten, ehrlich zu antworten. Wir werden auf Sie zukommen. Ich persönlich werde wahrscheinlich auf Sie zukommen, wenn ich es nicht schon getan habe, um ehrlich zu sein. Mir sind ein paar Namen aufgefallen, die ich schon mal gesehen habe. Also, tun Sie das. Überprüfen Sie auch Ihre Spam-Mails, wenn Sie nach einer Antwort suchen. Das wollte ich auch nur sagen. Manchmal fallen wir dort hinein. Aber wir haben eine Menge Fragen an euch. Die erste ist: Könnten Sie uns die Details und den Link für den Rahmen für gemeinsame Bewertungen mitteilen? Ich weiß nicht, ob es möglich ist, das zu tun.

Brenda: Ich gehöre dem Lenkungsausschuss von Shared Assessments an, und wenn Sie auf sharedassessments.org gehen, werden Sie feststellen, dass sie auf ihrer Website einen Bereich für Tools haben, und Sie können nach dem Anbieter vroom suchen, und sie haben auch das sig, das ein Standard ist, und sie haben auch das SCA, das ihr Testprotokoll für Vor-Ort-Besuche ist, das wir jetzt virtuell durchführen, also ist shared assessments.org ist der beste Ort, um anzufangen, und dann haben sie eine Vertriebsressource mit dem Namen Vicky Dean und wenn Sie ihre E-Mail-Adresse benötigen, bin ich sicher, dass sie entweder auf der Website steht oder Sie können uns kontaktieren und wir können sie für Sie besorgen, damit Sie direkt Informationen von ihr erhalten.

Amanda: Perfekt. Danke, Brenda. Die nächste Frage lautet: Wie geht Lowe's mit Drittanbietern und Lieferanten um, die Produkte an Ihre Geschäfte liefern? Getrennte Teams sind an der Hüfte miteinander verbunden, vor allem die Lieferanten, die intelligente Produkte liefern.

Jefferson: Gute Frage. Und es ist wirklich eine Mischung, und Sie werden nicht wirklich in die Einzelheiten gehen, wem was gehört, aber ich werde sagen, dass wir uns wirklich alles ansehen. Und das geht wirklich zurück auf die CIA-Trias, wie Sie wissen. Das hat nichts mit der Spionagebehörde zu tun, sondern mit der Informationssicherheit für jeden Vermögenswert. Stellen Sie sich ein Dreieck vor: Auf der einen Seite steht die Vertraulichkeit, auf der anderen die Integrität und die Verfügbarkeit, und typischerweise geht es bei den Risiken der Informationssicherheit um die Vertraulichkeit, aber bei der Lieferkette geht es um die Verfügbarkeit, und deshalb fällt das auch in unseren Wir müssen sicherstellen, dass jeder Hersteller, mit dem wir zusammenarbeiten, und jeder Zulieferer, der uns Produkte liefern kann, über einen Plan zur Aufrechterhaltung des Geschäftsbetriebs verfügt, der es ihnen ermöglicht, einen Ransomware-Angriff zu überleben, oder dass sie in der Lage sind, ihre Arbeit fortzusetzen, wenn etwas Schlimmes passiert oder sogar wenn COVID zuschlägt. Ich habe einmal eine Tabletop-Übung zur Planung der Geschäftskontinuität durchgeführt, und wir haben eine Pandemie als Szenario gewählt, und zwar Monate, bevor es überhaupt dazu kam. Wir hatten keine Ahnung, dass es tatsächlich passieren würde, aber in der Business-Impact-Analyse des Unternehmens, in deren BCP sie davon ausgingen, dass eine Pandemie das größte Problem sein würde, und es stellte sich heraus, dass sie Recht hatten - ein völlig anderes Unternehmen, als ich Berater war, aber sie hatten Recht. Das stimmt. Also, u für die Lieferkette, und wenn Sie sich darauf beziehen wollen, NIST hat vor kurzem ein erweitertes Cybersicherheits-Framework herausgebracht, das Version 1.1 heißt, und sie haben dort einen Abschnitt für Lieferkettenrisiken unter der Identitätskategorie oder Identifizierung, und das ist wichtig, weil es uns tatsächlich hilft, das mit gemeinsamen Bewertungen zu kombinieren, um wirklich zu bestimmen, nach welchen Kontrollen wir für die Lieferkette suchen müssen. Wir sehen uns das also alles an.

Amanda: Perfekt. Okay, also. Die nächste Frage ist, wie Sie mit nicht reagierenden Anbietern umgehen. Machen Sie ISG für die Verzögerungen usw. verantwortlich?

Jefferson: Nein. Nun, zuallererst arbeiten wir mit der Geschäftseinheit. Sie kommen wieder auf das Drei-Linien-Modell zurück, bei dem die Geschäftseinheit die erste Verteidigungslinie ist. Wir arbeiten mit ihnen und dem Lieferanten zusammen und schicken ihnen Mahnungen, und zwar durch gängige Mahnungen, die automatisch erfolgen, was auf der Grundlage eines bestimmten Zeitrahmens großartig ist. Wir arbeiten mit der Geschäftseinheit zusammen und sagen: "Hey, wir haben hier ein Problem. Sie sollten sich vielleicht an Ihren Lieferanten wenden und ihm sagen, dass wir keine Antwort erhalten. Wenn er uns nicht antwortet, obwohl wir ihm eine Chance gegeben haben, kann es sein, dass er am Ende den Status "nicht empfehlenswert" erhält.

Brenda: Also, ich meine.

Brenda: Das sind rote Buchstaben, also ist das schlecht.

Amanda: Weißt du, was ich meine? Okay, lass uns weitermachen. Ähm, das ist für Sie, Brenda. Hat die Plattform Zugriff auf ein Repository von Anbieterdaten oder werden diese über Bewertungen gewonnen?

Brenda: Also, es gibt zwei verschiedene Ansätze. Wir haben Netzwerke und wir haben Austauschprogramme. Einige Unternehmen entscheiden sich dafür, nur ihre eigenen Fragebögen anzufordern, oder sie verwenden den weit verbreiteten Kontrollrahmen-Fragebogen, und andere Unternehmen nutzen das Netzwerk "Wenn Sie in einer bestimmten Branche tätig sind, haben wir ein juristisches Netzwerk, und wenn Sie im Gesundheitswesen tätig sind, haben wir ein Netzwerk für das Gesundheitswesen. Wir sind gerne bereit, ein Einzelhandelsnetzwerk einzurichten, aber wir warten darauf, dass noch ein paar weitere Unternehmen dieser Art die gleichen Standards verwenden wollen. Im Moment verwenden sie alle ihre eigenen Standards, und wir wollen sicherstellen, dass wir ein Marktszenario für sie schaffen. Die Bewertungen können also eingereicht und ausgefüllt werden, und wenn Sie ein Unternehmen sind, das einen bereits verfügbaren Fragebogen verwenden möchte, können Sie das tun. Und wenn Sie eigene Fragebogeninhalte haben, die Sie aufnehmen oder sammeln müssen, helfen wir Ihnen auch dabei.

Amanda: Perfekt. Also gut. Wir sind wieder bei Jefferson. Wie gehen Sie mit Änderungen in den Geschäftsbeziehungen um? Wie fließen diese in die interne Tarierung ein?

Jefferson: Wissen Sie, das ist eine gute Frage. Und eine Möglichkeit, es zu betrachten, ist die Beziehungsebene, d. h. die Beziehung zum Unternehmen und die Engagement-Ebene. Theoretisch sollte man alles auf der Engagement-Ebene bewerten, zumindest tun wir das. Eine Beziehung könnte also mehrere Engagements mit dem Unternehmen haben, völlig unterschiedliche Geschäftsfunktionen, unterschiedliche Datentypen und so weiter, und diese Engagements könnten im Idealfall, wenn Sie ein Governance-Risiko- und Compliance-System haben, in ein Gesamtbeziehungsrisiko einfließen.

Amanda: Perfekt. Und noch eine Frage an dich, Jefferson. Wie lauten die Namen und wo befinden sich die von Ihnen erwähnten Peer-Groups?

Jefferson: Nun, die erste, die erste, für die ich Brenda den schwarzen Peter zuschieben werde, denn sie hat uns mit einigen anderen Kunden in Kontakt gebracht, die ähnliche Herausforderungen hatten, und wir haben mit ihnen zusammengearbeitet. RH Isac ist ein großartiges Instrument, zumindest für uns in der Einzelhandelsbranche. Es gibt verschiedene ISACs für den Austausch von Informationen für verschiedene Branchen. Sie sind sehr informell und man kann dort andere Unternehmen erreichen, Beziehungen aufbauen und bewährte Verfahren austauschen, ohne etwas zu verraten. Dann gibt es auch noch lokale Konferenzen, wie die Isaka-Konferenzen, die wir hier in der Stadt haben, andere Netzwerkkonferenzen, auf denen man Gleichgesinnte aus der Branche kennen lernen und sich mit ihnen austauschen kann. Und zumindest in unserer Gegend ist es ein kleiner Kreis für Informationssicherheit. Viele Leute kennen also verschiedene Leute in verschiedenen Unternehmen, und man arbeitet sozusagen hinter den Kulissen. Eine offizielle Networking-Gruppe gibt es noch nicht, aber ich hoffe, dass wir da hinkommen.

Brenda: Wenn Sie bereits Kunde von Prevalent sind, können Sie sich mit info prevalent.net in Verbindung setzen, um herauszufinden, ob Sie Teil des Peer-to-Peer-Strategieteams werden können. Wir haben etwa fünf verschiedene Arten von Unternehmen in der Gruppe, und wir versuchen, sie nicht zu groß werden zu lassen, weil wir einen sehr systematischen Ansatz haben. Sie laden einige ihrer leitenden Angestellten ein, um zuzuhören, und nur die Direktoren oder die für die Programme verantwortlichen Personen führen die Diskussionsthemen durch, und durch Teams und Chats erhalten sie Informationen. Jefferson bringt also drei oder vier seiner Leute mit, die im Hintergrund stehen und Jefferson Fragen stellen, und Jefferson bringt sie dann zur Sprache, wenn es etwas ist, das für die Themen relevant ist, aber ansonsten werden sie Teil des vorherrschenden Themas, und dann finden wir heraus, wie man sich einbringen kann, und wir finden heraus, wie man es zum Laufen bringt.

Jefferson: Das ist richtig.

Amanda: Ich habe hier noch ein paar Fragen. Ich mag diese hier. Was ist der Bereich oder ein Bereich oder ein Anliegen, das sich am Horizont abzeichnet, das Ihre Aufmerksamkeit für Dritte auf sich zieht?

Jefferson: Wenn man sich die größten Bedrohungen für Dritte ansieht, dann ist Ransomware zwar ein alter Begriff, aber immer noch sehr weit verbreitet. Wir müssen also sicherstellen, dass die Unternehmen sicher sind. Die Patch-Verwaltung wird nie verschwinden. Es ist immer noch ein Problem mit Drittanbietern. Und da wir mehr und mehr von der Betriebstechnologie und weniger von der Informationstechnologie abhängig sind, gibt es keine gute Verbindung zwischen beiden. Es besteht ein großes Risiko zwischen IT und OT, und viele Unternehmen haben das noch nicht begriffen.

Brenda: Ja. Und ich denke, auch aus Ihrer Perspektive, Jefferson, wenn Sie Ihr Lieferkettenmanagement betrachten, ist die Ausfallsicherheit, Inhalte, Produkte oder Dienstleistungen an die Kunden liefern zu können, jetzt genauso wichtig, da wir nicht nur Ransomware und Angriffe als Bedrohung aus dieser Perspektive betrachten, sondern auch, was diese Bedrohung für den Transport oder die Produktion bedeutet.

Brenda: Wie wäre es mit dieser Frage. Oh, Entschuldigung. Jefferson, wolltest du noch gehen?

Jefferson: Nö. Fahren Sie fort.

Amanda: Okay. Ähm, wie sieht es mit den SIG für 2020 aus, die gemeinsam bewertet werden? Gibt es irgendwelche großen Unterschiede zwischen 2018 und 2019?

Brenda: Ich denke, dass diese Antwort direkt aus den gemeinsamen Bewertungen kommen kann. Sie leisten großartige Arbeit beim Austausch über die Unterschiede, die sie eingeführt haben. Und wiederum kann shared assessments.org Ihnen sagen, was 2019 bis 2020 ist. Ich denke, das ist die beste Anlaufstelle. Ich glaube, dass wir die 2020er Version in naher Zukunft zur Verfügung stellen werden, und zwar nach den Richtlinien von Shared Assessments. Sie können sich also selbst ein Bild davon machen, und wir werden hoffentlich in der Lage sein, den Inhalt von Delta uh mitzuteilen.

Amanda: Gut, noch ein paar Fragen, wenn wir sie noch einschieben können. Wie schaffen Sie es, dass die verschiedenen Geschäftsbereiche für die Nutzung einer neuen Plattform usw. zustimmen?

Jefferson: Das geht nicht so einfach. Es gibt eine Menge Sicherheitsbewusstsein, das hinter den Kulissen stattfindet, denn für uns ist der Oktober der Monat des Sicherheitsbewusstseins oder des Bewusstseins für Cybersicherheit. Wir nutzen das also aus, machen viele Roadshows, viele Präsentationen innerhalb des Teams und informieren die Leute im Laufe der Zeit, bitten um Lunch & Learn-Sitzungen und sprechen mit verschiedenen Teams. Wenn Sie es eilig haben, wird es nicht schnell gehen, aber mit der Zeit, wenn die Leute sehen, dass Sie tatsächlich hier sind, dass Sie nicht weggehen und dass Sie für sie relevant sind, werden sie zu Ihnen kommen.

Brenda: Eine weitere einfühlsame Sache, die Sie getan haben, ist, dass Sie manchmal auf Leute zugehen, wie zum Beispiel eine Geschäftseinheit, die für mehr als 20 Lieferanten verantwortlich ist. Mir ist aufgefallen, dass Sie auch zu ihnen gegangen sind und gesagt haben: "Hey, hier sind wir. Wir werden Ihnen helfen, und wir gehen davon aus, dass Sie Folgendes besitzen. Ist das richtig?" Sie waren also sehr einfühlsam, und ich denke, dass Ihnen dieser Ansatz gute Dienste erwiesen hat.

Jefferson: Das ist ein gutes Argument.

Amanda: In Ordnung. Eine letzte Frage, für die wir wohl noch Zeit haben werden, ist: Bezieht sich die 25-Tage-SLA auf eine Entscheidung oder auf den gesamten Beschaffungsprozess? Gute Frage. Und nein, das ist für uns, um unseren Abschlussbericht zu liefern. Das ist unser Ziel.

Brenda: Ja. Das geht also von der Erfassung über die Analyse bis hin zur Risikoidentifizierung, Verifizierung und Validierung, um einen abschließenden Darstellungsbericht zu erhalten, in dem die Risiken aufgeführt sind. Sie werden entweder empfohlen, mit Abhilfemaßnahmen empfohlen oder nicht empfohlen. Das sind also 25 Tage. Und mit der Einhaltung dieser Bearbeitungszeit sind sie ziemlich gut gefahren.

Amanda: Ich würde es gerne sehen. Also gut. Es gibt noch eine letzte Frage. Ihr habt sie ja schon beantwortet. Aber ich werde sie einfach noch einmal wiederholen. Wie gehen Sie mit den Last-Minute-Bewertungen um, wenn ein Lieferant nicht einsteigen kann oder will? Man kann nicht auf Risiken zugreifen, wenn es keine Informationen gibt. Fragezeichen.

Jefferson: Dann gibt es keine Informationen, und wir werden das tun, was wir können. Wenn wir eine Plattform für Sicherheitsbewertungen haben, wie z. B. ein Bit-Rating, dann werden wir das verwenden. Wir verwenden alles, was wir in die Finger bekommen können, und wir sehen uns an, ob es in der Vergangenheit irgendwelche Sicherheitsvorfälle gab. Wir geben eine Empfehlung ab, aber wir sagen auch und unterstreichen das mit dem Wissen, dass wir zwar wissen, dass es ein Risiko gibt, aber wir wissen nicht viel. Wir müssen mehr wissen, und wir lassen die Geschäftseinheit diese Entscheidung treffen.

Brenda: Ich glaube, Sie haben das Risiko ein wenig erhöht, indem Sie sagten, dass sie ein höheres Risiko darstellen, weil Sie das Vorhandene nutzen und nicht das, was Sie von ihnen verlangen.

Amanda: Richtig.

Amanda: Nun, das war's für jetzt. Es ist am Anfang der Stunde oder am Ende der Stunde. Wie funktioniert das? Ich weiß es nicht. Es ist 11:00 Uhr vormittags hier in Arizona. In Ordnung, Leute. Ich hoffe, es hat Ihnen allen gefallen. Vielen Dank, Jefferson und Brenda. War mir ein Vergnügen. War mir ein Vergnügen, Jefferson. Und wir sehen uns beim nächsten Mal.

Brenda: Vielen Dank, Amanda. Und nochmals herzlichen Glückwunsch, Jefferson. Auf Wiedersehen.

Jefferson: Tschüss, Jefferson. Auf Wiedersehen.