Drittparteirisiko: Kritische Anforderungen für das Benchmarking Ihres Unternehmens und Ihrer Lieferkette

Peter Schumacher: Willkommen und vielen Dank, dass Sie heute an unserem Webinar zum Thema „Wichtige Anforderungen für das Benchmarking Ihres Unternehmens und Ihrer Lieferkette” teilnehmen. Als Gastgeber begrüßen wir heute zwei Experten für Risiken durch Dritte: Brenda Ferraro, Vice President of Third Party Risk bei Prevalent, und Jeremiah Salberg, Managing Director, Federal Third Party Risk bei Tevora. Mein Name ist Peter Schumacher, ich bin Ihr Gastgeber für das heutige Webinar. Bevor wir beginnen, möchte ich noch ein paar organisatorische Dinge klären. Zunächst einmal möchte ich Sie daran erinnern, dass alle Teilnehmerleitungen stummgeschaltet sind. Um diese Sitzung jedoch interaktiv zu gestalten, bitten wir Sie, Ihre Fragen über die Zoom-Konsole einzureichen. Wenn es die Zeit erlaubt, werden wir am Ende der Sitzung auf diese Fragen eingehen.

Peter Schumacher: Das sollte also etwa eine halbe Stunde Inhalt sein, gefolgt von einer Fragerunde am Ende. Wir zeichnen das heutige Webinar auf und werden es Ihnen in den nächsten Tagen zusammen mit einem Link zu dieser Aufzeichnung zusenden. Ich weiß, dass Sie nicht hier sind, um meine Stimme zu hören, daher möchte ich nun das Wort an Brenda und Jeremiah übergeben.

Brenda Ferraro: Vielen Dank, Peter. Jeremiah, es ist wirklich aufregend, heute hier bei Ihnen zu sein. Nur ein paar Worte zu meinem Hintergrund, damit diejenigen, die zuhören und mich noch nie getroffen haben oder mich nicht kennen, Ich lebe, atme, esse und schlafe Third Party, habe Erfahrung im Bereich Incident Response, bin zertifizierter Process Master, war im Finanz- und Gesundheitswesen tätig und freue mich sehr, heute mit Ihnen über Business Resilience zu sprechen und darüber, wie wir den Communities dabei helfen können, Third Party-Risiken mit einem anderen Ansatz zu betrachten, da sich unsere Landschaft verändert hat.

Jeremiah Salberg: Vielen Dank, Brenda. Für diejenigen, die mich noch nicht kennen: Ich bin Jeremiah Salberg. Vielen Dank, Peter, für die Vorstellung. Wie Brenda bin auch ich seit über 20 Jahren im Bereich Cybersicherheit tätig. Ich habe im Bundesbereich angefangen, bin dann aber in den Finanzmarkt gewechselt und habe viel Zeit im Gesundheitswesen und im PCI-Bereich verbracht. Ich habe tatsächlich die CISO-Auszeichnung getragen, daher weiß ich, wie es ist, wenn man intern auf Anfragen von Organisationen zu Risiken durch Dritte reagiert, ähnlich wie viele von Ihnen am Telefon.

Jeremiah Salberg: Ebenso habe ich bei großen Unterhaltungskonzernen mit einem Umsatz von 30 Milliarden Dollar Programme zum Management des Lieferantenrisikos geleitet, sodass ich hoffentlich heute ein wenig davon einbringen kann. Und eine der Fragen, die mir gestellt wurden, war, etwas Interessantes über mich zu erzählen. Was würde ich also tun, wenn ich nicht im Bereich Cybersicherheit tätig wäre? Ehrlich gesagt liebe ich Essen, ich liebe Frühstück, also wäre ich in einer idealen Welt in einem kleinen Frühstücksrestaurant, das ich mit einem Bücherregal betreiben würde, mit Regalen voller Bücher, aus denen die Kunden sich ein Buch aussuchen oder lesen könnten, während sie ein gutes Frühstück und eine gute Tasse Kaffee genießen, und wenn es ihnen gefällt, kaufen sie es. Aber so ist die Welt, in der wir leben, nicht, also bin ich Cybersicherheitsexperte. Wie sieht es mit Ihnen aus, Brenda? Was würden Sie tun, wenn Sie nicht im Bereich Cybersicherheit tätig wären?

Brenda Ferraro: Ich finde es toll, dass Sie frühstücken würden. Ich wäre zum Abendessen bei Ihnen, weil ich Frühstück zum Abendessen mag. Mal sehen, wenn ich nicht im Bereich Cybersicherheit arbeiten würde, ähm, wenn ich es aus der Perspektive meiner Jugend betrachte, dann findet man ja immer schon als Kind heraus, was man später einmal werden möchte. Ich wollte eine Dreifachbedrohung sein, ich wollte schauspielern, tanzen und singen, also eine Art Performerin. Aber ich habe auch in der Welt des CISO gelebt, als ich bei einem Gesundheitsunternehmen war, und ich denke, ich würde gerne im Sicherheitsbereich bleiben. Vielleicht würde ich wieder als CISO arbeiten, wenn ich im Bereich Cybersicherheit bleiben könnte, und dann würde ich wohl unterrichten. Es gibt so viele Möglichkeiten, etwas zu tun, also würde ich mich vielleicht für die Dinge entscheiden, die ich gemacht habe, als ich jünger war, oder die ich werden wollte, als ich jünger war, wenn ich nicht im Bereich Cybersicherheit arbeiten könnte. Aber wenn ich das Ziel meiner derzeitigen Tätigkeit ändern und im Bereich Cybersicherheit bleiben müsste, wäre es wieder CISO.

Jeremiah Salberg: Oh, fantastisch. Was ist denn Ihr Lieblingsfrühstück, ganz kurz, bevor wir damit anfangen?

Brenda Ferraro: Ein gutes Omelett mit etwas Sauerteigbrot und einer Tasse Kaffee mit etwas Sahne darin. Das ist mein Lieblingsfrühstück.

Jeremiah Salberg: Mmmh, ich habe Hunger. Nun, wir sind nicht hier, um über Essen zu sprechen, obwohl das vielleicht ein lustiges kleines Webinar für ein anderes Mal wäre. Äh, wir sind hier, um über die Widerstandsfähigkeit von Unternehmen zu sprechen, ähm, und deshalb haben wir ein paar verschiedene Themen, die wir im Laufe der heutigen Sitzung ansprechen werden. Wir werden ein wenig über die Planung der Geschäftskontinuität sprechen und darüber, was Sie bei Ihren eigenen Programmen beachten müssen und was einige der wichtigsten Dinge sind, über die Sie nachdenken sollten. Wir befinden uns definitiv in einer neuen Zeit, einem neuen Raum, also.

Jeremiah Salberg: Ähm, wir bekommen und sehen Kunden, sogar wir selbst, die einige unserer Business-Continuity-Pläne durcharbeiten müssen, also werden wir ein wenig darüber sprechen. Ähm, um Ihre Geschäftskontinuität zu verstehen, müssen Sie sicherlich auch verstehen, wie Ihre Drittanbieter Sie ergänzen, Ihnen Dienstleistungen anbieten und letztendlich zu Ihrem Erfolg beitragen, wenn Sie sich in der heutigen Landschaft neu ausrichten und verändern. Darauf werden wir ein wenig näher eingehen. Äh, wenn man sich im Prozess der Überprüfung der Lieferkette von Drittanbietern befindet, erhält man einen interessanten Einblick in die Anbieter, die wichtige und kritische Dienstleistungen für das Unternehmen erbringen. Eines der Themen, über die wir sprechen werden, ist also: Sehen Sie dort Überschneidungen, gibt es Möglichkeiten, bestimmte Dinge zu optimieren? Als ehemaliger CISO bin ich mir sicher, dass Sie, Brenda, als CISO ebenfalls schon Fragebögen ausgefüllt haben. Es gibt viele Fragebögen, die man Ihnen vorlegt. Manchmal sind sie gleich, manchmal sind sie unterschiedlich, aber auf jeden Fall kommt es zu einer gewissen Fragebogenmüdigkeit.

Jeremiah Salberg: Und als jemand, der diese Fragebögen überprüft, gibt es jetzt eine bessere Möglichkeit, dies zu tun? Das Problem der Fragebogenmüdigkeit beschäftigt uns alle sicherlich aus verschiedenen Blickwinkeln. Wir werden also darauf eingehen. Und schließlich, wenn wir uns damit befassen, werden wir, wissen Sie, wir werden gerade diese Veränderung durchlaufen, mit all der Geschäftskontinuität, wird es eine größere Betonung darauf geben, sicherzustellen, dass unsere Lieferketten gestützt werden, dass wir die richtigen Kontrollen eingerichtet haben. Und obwohl dies alles grundlegende Dinge in bestimmten Compliance-Rahmenwerken sind, werden wir sicherlich erwarten, dass diese in Zukunft etwas detaillierter bewertet werden, also werden wir auch auf einige Schlüsselkonzepte dazu eingehen. Aber das werden Ihre wichtigsten Gesprächspunkte sein, aber wir werden auch einige andere, unterhaltsame Elemente einfließen lassen. Ich glaube, wir haben für heute ein paar Umfragen vorbereitet. Brenda, möchten Sie den Anfang machen?

Brenda Ferraro: Ja, tatsächlich ist dies unsere erste Umfrage. Wenn Sie also gerade unterwegs sind und uns zuhören oder an Ihrem Schreibtisch sitzen, nehmen Sie bitte an etwas Unterhaltsamem teil. Die erste Frage lautet: Als die Welt das Problem mit der Lieferkette für TP bemerkte, dachten Sie da sofort: Moment mal, TP steht nicht nur für Toilettenpapier, sondern auch für Third Party (Drittanbieter). Wir geben Ihnen einen Moment Zeit zum Nachdenken. Es war lustig, als alle sagten, es gäbe ein TP-Problem, und mir als Erstes natürlich einfiel, dass wir an Third-Party-Projekten arbeiten und ja, es gibt Lieferkettenprobleme, die wir angehen müssen, aber ich musste ein wenig schmunzeln, als ich TP als Third Party statt als Toilettenpapier verstand, und ich glaube, das ging allen so. Ich weiß, dass es in meiner Umgebung sicherlich überall Versorgungsengpässe gab, aber die Lage beginnt sich zu verbessern und normalisiert sich, soweit ich das beurteilen kann. Aber natürlich trifft das jeden. Schauen wir uns die Ergebnisse an. Peter, können Sie uns diese bitte mitteilen?

Brenda Ferraro: Oh, ja, sie finden es lustig. Hey, wir brauchen heutzutage mehr Humor, also auf jeden Fall. Mir gefällt diese Reaktion.

Brenda Ferraro: In Ordnung, sehr gut. Kannst du die Antwort sehen, Jeremia, oder nur wir? Ich weiß es nicht.

Jeremiah Salberg: Ich kann das auch sehen, also sieht es so aus, als hätten fast 80 % der Leute das lustig gefunden, während 20 % daraus eine Verbindung hergestellt haben, dass TP mehr als eine Bedeutung hat und dort für Toilettenpapier stehen könnte.

Brenda Ferraro: Wie spannend. Okay, super. Dann lassen Sie uns weitermachen. Auf jeden Fall. Möchten Sie das aufgreifen und genau erklären, was das bedeutet?

Jeremiah Salberg: Sicher, auf jeden Fall. Die Widerstandsfähigkeit eines Unternehmens ist einer der wichtigsten Faktoren, die über den Erfolg oder Misserfolg einer Organisation entscheiden. Wenn also Ereignisse wie die, die wir gerade erleben, eintreten, müssen Organisationen in der Lage sein, sich schnell anzupassen. Das haben wir in vielen verschiedenen Branchen gesehen. In der Gastronomie gibt es jetzt zwar keine Restaurantbesuche mehr, aber dafür die Möglichkeit, Bestellungen am Straßenrand abzuholen, und viele Lieferdienste. Aber eines der ersten Dinge, auf die Unternehmen achten, ist die Sicherheit ihrer Mitarbeiter. Das muss die oberste Priorität bei der Sicherung der Geschäftskontinuität sein, denn man muss sich um diejenigen kümmern, die das Unternehmen unterstützen. Als Zweites muss man sich wirklich ansehen und verstehen, wer die unverzichtbaren Dienstleister innerhalb des Unternehmens sind. Wenn man in der Luftfahrtbranche tätig ist, braucht man natürlich Piloten, die weiterhin Flugzeuge fliegen müssen. Wenn man im Gesundheitswesen tätig ist, müssen Ärzte verfügbar sein. Sie müssen also schauen, wer die kritischen Dienstleister sind. Das sind sicherlich diejenigen, die in den Lebensmittelgeschäften arbeiten. Hut ab vor ihnen allen, die dafür sorgen, dass wir unsere Lebensmittel geliefert bekommen und sie für uns verfügbar sind. Sie müssen also schauen, wer diese kritischen Leute sind, und dann herausfinden, wie Sie diese Kerngeschäftsdienstleistungen bereitstellen können. Was versuchen Sie anzubieten und wie stellen Sie sicher, dass Sie Ihre Kunden in einem sich ständig verändernden Umfeld bedienen können? Ähm, wie bereiten Sie sich wirklich darauf vor? Sie haben sich Ihre Business-Continuity-Prozesse und Ihre Disaster-Recovery-Prozesse angesehen, und letztendlich müssen Sie sicherstellen, dass Sie einen guten, gut etablierten Kommunikationsplan haben, nicht nur intern, sondern auch gegenüber Ihren Kunden, um sicherzustellen, dass Sie ihnen den Weg ebnen, um die Dienstleistungen anzubieten, die Sie als Unternehmen erbringen. Ich weiß, dass Sie hier eine Folie haben, die sich meiner Meinung nach etwas eingehender mit diesem Thema befasst, aber es geht darum, wie Sie weiterhin das tun können, was Sie tun müssen.

Brenda Ferraro: Und ich finde es interessant, dass wir alle in Büros gearbeitet haben und nicht gedacht hätten, dass wir in manchen Fällen und in manchen Bereichen einmal vollzeitlich von zu Hause aus arbeiten würden. Daher fand ich es wirklich interessant, dass wir diese Business-Continuity-Pläne haben, dass wir Notfallpläne haben, dass wir Vorkehrungen getroffen haben, aber der Schwerpunkt lag nicht wirklich darauf, wie wir unsere Arbeitssituation umstellen und welche Kontrollen dafür erforderlich wären. Von den acht Punkten, die wir hier aufgelistet haben, suchen wir nun nach Dritten, die uns nicht nur extern, sondern auch intern innerhalb unserer eigenen Unternehmen mit Informationen versorgen, da dies eine wichtige Rolle für unsere Widerstandsfähigkeit als Ganzes spielt. Wenn Sie sich die acht Punkte hier ansehen, möchte ich insbesondere auf die Reaktion auf Cybervorfälle eingehen. Ein sehr wichtiger und kritischer Bereich einer Richtlinie für die Reaktion auf Vorfälle ist nicht nur, dass man weiß, dass man einen Plan hat, sondern dass man tatsächlich regelmäßig szenariobasierte Tests durchführt und daraus in der Regel Korrekturmaßnahmen ableitet, um zu erkennen, wo es Lücken und Unstimmigkeiten im Plan gibt, damit man besser auf einen Vorfall vorbereitet ist. Was haben Sie in der Praxis bei Tevora in Bezug auf die Reaktion auf Vorfälle bei den Unternehmen gesehen, mit denen Sie zusammengearbeitet haben, Jeremiah?

Jeremiah Salberg: Eine großartige Frage. Ähm, ich möchte das nur kurz einrahmen. Wir sind als Organisation auf PCI-Forensik spezialisiert und beschäftigen uns daher viel mit Incident Response und Krisenplanung. Wir haben eine Reihe unserer Kunden im Rahmen einer jährlichen Übung durch diesen Prozess begleitet, bei der wir die Führungskräfte hinzugezogen und sie durch verschiedene Szenarien geführt haben. Ähm, und es ist interessant, dass wir zu diesem Remote-Arbeitsmodell übergegangen sind. Ähm, eines der Dinge, die wir in vielen dieser Szenarien durchgespielt haben, war, was passiert, wenn, ähm, physische Umgebungsszenarien, ähm, in denen das Büro nicht da ist und man gezwungen ist, von zu Hause aus zu arbeiten. Äh, damit haben wir eine Reihe von Szenarien durchgespielt, und es ist interessant, wenn man seine Notfallpläne übt, diese Tabletop-Übungen macht, dann entwickelt man ein gewisses Muskelgedächtnis dafür, wie man sich weiterentwickelt und zu einer alternativen Belegschaft übergeht. Und so haben wir wirklich gutes Feedback von den Kunden bekommen, die sagen, dass wir dieses Szenario vor drei Monaten durchgespielt haben, um zu sehen, wie man dorthin gelangt. Wir wussten, dass wir einige Lücken hatten, was die Umstellung einiger Mitarbeiter auf das Remote-Arbeitsmodell anging, aber wir hatten das im Blick. Wir wussten, welche Schritte wir unternehmen mussten. Es lohnt sich also wirklich, diesen Prozess zur Reaktion auf Vorfälle zu üben, auch wenn keine Vorfälle vorliegen, sondern einfach nur diese Tabletop-Übungen durchzuführen und diese Was-wäre-wenn-Szenarien durchzuspielen. Ein Teil der Geschäftskontinuität besteht also sicherlich darin, diese wichtigen Aktivitäten durchzuführen, daraus zu lernen und sicherzustellen, dass Ihre Führungskräfte sich dessen bewusst sind, damit sie die richtigen Entscheidungen treffen können, wenn es doch einmal zu einem Vorfall kommt.

Brenda Ferraro: Ja, da stimme ich vollkommen zu. Es war lustig, als ich – vielleicht nicht so lustig –, aber als ich einen szenariobasierten Test in dem Unternehmen, in dem ich arbeitete, durchführte, erlebten wir zwei Wochen später, vielleicht innerhalb von zwei bis vier Wochen, tatsächlich dieses Was-wäre-wenn-Szenario, und wir waren vollständig darauf vorbereitet. Das zeigt also, dass es hilfreich ist, zu üben. Nun, wie sieht es mit dem Schutz kritischer Infrastrukturen aus? Unser Schutz kritischer Infrastrukturen bezog sich eher darauf, ins Büro zu gehen oder zu einem Lieferanten zu reisen oder sicherzustellen, dass unsere Laptops und Geräte aus der Perspektive der Möglichkeit, ins Büro zu gehen, gesichert waren. Jetzt arbeiten wir von zu Hause aus, aber wir sehen auch Internetsituationen, in denen Unternehmen Drosselungen vornehmen müssen oder Latenzen feststellen und mehr Server in ihre Notfallpläne und solche Dinge einbauen müssen. Was beobachten Sie also in diesem Bereich in Bezug auf den Schutz kritischer Infrastrukturen?

Jeremiah Salberg: Wissen Sie, das ist interessant. Es hängt wirklich davon ab, wie die Infrastruktur eingerichtet wurde. Es gab eine enorme Akzeptanz, und ich habe in letzter Zeit einige verschiedene Berichte darüber gesehen, wie stark Cloud-Dienste nicht nur in der Kommunikation, bei Zoom-Meetings und Telekonferenzen, sondern auch bei einer Verlagerung dieser Kerndienste angenommen wurden, weil man versucht, diejenigen zu begrenzen, die sich tatsächlich innerhalb des Gebäudes befinden. Also, ähm, für diejenigen Unternehmen, die diese Investition getätigt und dieses Lift-and-Shift-Modell vor ein paar Jahren eingeführt und in den letzten Jahren optimiert haben, sehen wir, dass sie davon profitieren können und darauf vorbereitet sind. Aber es gibt bestimmte Organisationen, sicherlich im Fertigungsbereich und anderen Bereichen, in denen sie physische Anlagen haben, die irgendwie feststecken, wissen Sie, sie müssen herausfinden, was und wie sie arbeiten werden. Ich sehe also wirklich Unterschiede zwischen den Branchen, aber diejenigen, die in einige dieser Optimierungen investiert haben, die Cloud-Technologien eingeführt haben, beginnen nun, deren Vorteile wirklich zu erkennen. Ähm, Endpunktsicherheit ist ein Thema, das auch wirklich ins Spiel kommt, wenn man plötzlich Daten hat, die sich auf Workstations befanden, und man sie auf Laptops überträgt, um sicherzustellen, dass diese Laptops richtig konfiguriert, verwaltet und für die Art von Informationsarbeit vorbereitet sind, die sie jetzt möglicherweise aus der Ferne erledigen müssen. Wenn diese vorherige Planung geholfen hat, dann auf jeden Fall.

Brenda Ferraro: Ja, ich habe definitiv einige unserer Top-50-Unternehmen gefragt, ob sie eine Verschiebung bei ihrer kritischen Einstufung von Drittanbietern feststellen, also wer kritisch ist und wer nicht. Und sie sagen: Nein, wir sehen keine Veränderung bei den Unternehmen und wie sie eingestuft sind, also ob sie zur ersten Stufe gehören und kritisch sind. Allerdings sehen wir eine Veränderung bei unseren Schlüsselkontrollen, weil einige unserer Schlüsselkontrollen nicht vorhanden waren und jetzt immer wichtiger werden. Also fangen sie an, diese Kontrollen einzuführen, was wirklich gut ist. Das letzte Thema, über das ich auf dieser Seite sprechen möchte, weil sie alle wichtig sind, aber wir sonst stundenlang hier sitzen würden, ist die Kontinuität des Betriebs. Wir sehen also unterschiedliche Schwankungen bei der Auslastung des Lieferkettenmanagements und wir sehen Service-Level-Ziele, die aufgrund unserer vertraglichen Verpflichtungen möglicherweise erreicht werden oder auch nicht. Welche Beispiele haben Sie oder welche Ratschläge können Sie in Bezug auf die Kontinuität des Betriebs geben?

Jeremiah Salberg: Auf jeden Fall. Also, äh, wenn man sich die Lieferkette ansieht und wie man Waren und Dienstleistungen bezieht, ähm, dann sieht man, dass sich das weiterentwickelt und verändert. Äh, die Preise für bestimmte Geräte ändern sich, da die Lieferketten etwas dünner werden, äh, man hat sicherlich mehrere Möglichkeiten, Dinge zu beschaffen, und die Planung dafür ist sicherlich Teil eines guten Modells für die Widerstandsfähigkeit von Unternehmen. Ich möchte eine sehr persönliche Anmerkung machen: Meine Frau hat mir das irgendwie vor Augen geführt, als sie nach etwas für einen Osterkorb für meine Tochter gesucht hat. Sie wollte ihn bei Amazon kaufen, aber er konnte erst am 20. April geliefert werden, und sie meinte: „Hm, das ist überraschend.“ Das Modell von Amazon hat sich geändert. Also mussten wir zu Walmart gehen. Wir brauchten also eine andere Lieferkette. Aus organisatorischer Sicht sehen wir ebenfalls, dass sie verschiedene Wege gehen müssen, um einige der Waren oder Dienstleistungen zu beschaffen, die sie für den Betrieb benötigen. Wir stehen kurz davor, dies angesichts der aktuellen Lage zu erkennen, aber letztendlich müssen Sie sicherstellen, dass Sie Pläne und Notfallpläne dafür haben, wie Sie Ihre Dienstleistungen über Ihr Ökosystem von Drittanbietern erhalten und bereitstellen, und sich bewusst sein, dass Sie dort möglicherweise eine Absicherung benötigen. Es wird nicht immer nur der eine Anbieter sein, den Sie derzeit haben. Eine gute Kontinuität des Betriebs im Rahmen der Unternehmensresilienz erfordert also wirklich eine vielfältige Lieferkette.

Brenda Ferraro: Und da alle von zu Hause aus arbeiten, stehen wahrscheinlich einige Kinder herum, also helfen wir dem Osterhasen, indem wir diese Körbe besorgen, um sie zu füllen, das ist gut.

Jeremiah Salberg: Auf jeden Fall. Okay, dann kommen wir zur zweiten Umfragefrage, Peter, wenn du die bitte einblenden kannst. Super. Also, hier ist die Frage an alle: Als ihr euch heute Morgen angezogen habt, habt ihr da kurz innegehalten und überlegt: „Werde ich heute an einer Videokonferenz teilnehmen und wie schick muss ich mich dafür eigentlich anziehen?“ Ja, weil ich gut aussehen muss wie die Wettermoderatoren im Fernsehen, die alle von zu Hause aus arbeiten. Nein, weil es mir einfach egal ist, oder nein, weil es meinen Kollegen egal ist, oder nein, weil ich nicht zeigen möchte, wie mein Haus aussieht, weil dort einfach zu viel Wäsche herumliegt. Ähm, ich habe sicherlich ein paar Leute gesehen, die in verschiedenen Videos ihr Zuhause gezeigt haben und dabei vielleicht manchmal zu viel Einblick gewährt haben. Aber was das wirklich aussagt, ist, dass sich Ihre Anforderungen geändert haben. Die Anforderungen, die Sie als jemand hatten, der jeden Tag ins Büro geht, ändern sich, und das verändert auch Ihre Herangehensweise an Ihre Routinen und an das, was Sie tun müssen. Ebenso werden sich Ihre Anforderungen innerhalb des Unternehmens ändern und verschieben, und deshalb müssen wir uns diese sich verschiebenden Anforderungen ansehen: Ändert das, was wirklich erforderlich ist? Vielleicht muss ich diese bestimmte Handlung nicht mehr ausführen, und wir können uns ändern und in eine andere Richtung gehen und uns auf etwas anderes konzentrieren.

Brenda Ferraro: Oh, übrigens, ich habe mich schick angezogen, aber wir sind heute nicht auf Video, also. Aber ich habe gelernt, dass die neue Arbeitskleidung für die Arbeit von zu Hause aus Fleecejacken sind. Ich frage mich also, wie es wohl werden wird, wenn die Sommermonate beginnen. Ich weiß. Hoffentlich ist das nicht zu viel Information. Ich weiß nicht, ob wir dort Umfrageergebnisse hatten, äh, Peter, ob du das für uns auf den Bildschirm bringen kannst oder nicht, äh, aber, ähm.

Peter Schumacher: Ja, Sie sollten es sehen können.

Brenda Ferraro: Das tun wir nicht. Vielleicht können Sie die Informationen für sich behalten.

Peter Schumacher: Das Ergebnis ist gemischt, also war der Spitzenreiter hier „Ja, ich muss gut aussehen“. Diese Antwort erhielt 33 % der Stimmen, gefolgt von „Nein, ich weiß, dass es meinen Kollegen egal ist“ mit 31 %, „Nein, es ist mir egal“ mit 20 % und „Die Wäsche“ mit 15 %. Das Ergebnis ist also gemischt. Vielen Dank dafür.

Brenda Ferraro: Okay, das war's für heute, das hat Spaß gemacht. Jetzt sprechen wir über wichtige Risikoindikatoren. Wir stellen also viele Veränderungen fest, genau wie wir es im Zusammenhang mit Ihrer Kleidung aufgrund der Arbeit im Homeoffice besprochen haben. Wir verlagern einen Großteil des Fokus auf die Endparteien und das Ausmaß des Risikos, wie wir mit all diesen anderen Unternehmen zusammenarbeiten und was in der Bedrohungslandschaft, mit der wir heute konfrontiert sind, passieren könnte. Gleichzeitig verfolgen wir auch alle Risiken, die wir in der Vergangenheit identifiziert haben: Werden sie gemindert oder müssen sie angepasst werden, sind sie nicht mehr so wichtig wie zuvor? Und dann die Überwachung der Bedrohungsbewertung zusammen mit Fragebögen, die ein ganzheitliches Bild davon vermitteln, was gescannt wird und wie wir die Geschäftsüberwachung des Unternehmens betrachten, nicht nur die Cyberüberwachung des Unternehmens, und betrachten diese dann aus einer ganzheitlichen Perspektive: Gibt es verschiedene Verbindungspunkte, werden Daten verarbeitet, gibt es Geschäftsbereiche, die auf die Weitergabe dieser Informationen angewiesen sind, bieten sie eine Dienstleistung an, bieten sie eine Softwareanwendung an, die für den weiteren Betrieb des Unternehmens erforderlich ist? Oft betrachten wir Teile und Fragmente dieser ganzheitlichen Sichtweisen und müssen diese mit verschiedenen Produkttypen in Beziehung setzen. Was Sie brauchen, ist ein Produkt und eine Lösung wie Prevalent, die Ihnen all diese Informationen in einer einzigen Ansicht bereitstellen kann. Nehmen wir zum Beispiel Acme Inc. im Zentrum: Es gibt so viele Verbindungen und Verknüpfungen mit Dritten oder Tiering-Einheiten oder Unterauftragsverarbeitern oder Daten, die von einem Punkt zum nächsten fließen. Und ich habe gesehen, dass dies in der heutigen Zeit, in der wir leben, und angesichts der Veränderungen in unserer Geschäftswelt sehr kritisch und wichtig ist. Dies ist einer der Punkte, bei denen wir dem Unternehmen helfen können zu verstehen, warum diese Dritten oder N-ten Parteien für das Geschäft so wichtig sind, und ob wir irgendwelche beweglichen Teile und Elemente verschieben können, basierend auf dem, was wir von ihnen erfahren, ob sie betroffen sind oder nicht.

Jeremiah Salberg: Das sind wichtige Punkte. Ja, diese Transparenz ist absolut wichtig, und das Spinnendiagramm in der Mitte ist wirklich gut, weil es einen Überblick darüber gibt, wo sie stehen und welche Drittanbieter Sie in diesen Viertanbietern verstehen müssen – großartige Einblicke. Stellen Sie also Ihre Müdigkeit in Frage. Sie haben das schon kurz angesprochen. Lassen Sie uns näher darauf eingehen.

Jeremiah Salberg: Sicher, auf jeden Fall. Und das spielt wirklich auf mehreren Ebenen eine Rolle. Aber aus der Perspektive eines Dritten versteht sicherlich jeder, der schon einmal CISO war oder für die Reaktion auf oder das Management von Reaktionen Dritter verantwortlich war, dass ich gerade heute einen weiteren Fragebogen für unsere eigene Organisation ausgefüllt habe, für eine medizinische Organisation, mit der wir zusammenarbeiten. Ähm, das ist eine dieser Sachen, die ständig auf uns zukommen, und im Großen und Ganzen ist es überraschend, dass es immer noch eine Reihe von Leuten gibt, die in dem Modell der 1990er Jahre mit Tabellenkalkulationen feststecken. Ähm, und obwohl das Fragebogenmodell sicherlich existiert, äh, wurde der Mechanismus, mit dem man diesen Prozess verwaltet, in den letzten Jahren sicherlich verbessert, und Lösungen wie Prevalent können dabei helfen, diesen Prozess zu automatisieren und zu vereinfachen. Wenn man die Inhalte dieser Fragebögen überprüft, ist es wichtig, diese Informationen über die verschiedenen Unternehmen hinweg zu normalisieren, die bestimmte Anbieter oder Arten von Anbietern mit bestimmten Schwellenwerten nutzen, unabhängig davon, ob es sich um kleine oder mittlere Unternehmen handelt, ob es sich vielleicht um Cloud-Dienstleister handelt, und sie zu betrachten, um die Effizienz dieses Überprüfungsprozesses durch Dritte zu steigern. Das Schöne an diesen Plattformen ist, dass man dort automatische Regeln erstellen kann. Eines der klassischen Probleme, das ich bei Unternehmen sehe, ist, dass man einen Fragebogen verschickt, und zwar einen der alten Art, bei dem man eine Tabelle hat, in der man fragt: „Führen Sie diese bestimmte Aktivität durch? Wenn ja, fügen Sie bitte die Richtlinie bei.“ Und sie sagen ja, aber sie fügen die Richtlinie nicht bei. Das führt dann zu einem Hin und Her. Wir haben ein System, das automatisiert und intelligente Anforderungen erstellt, sodass der Benutzer bei einer positiven Antwort gezwungen ist, einen Nachweis oder etwas anderes beizufügen. Das macht den Prozess auf jeden Fall effizienter. Es minimiert die Zeit für das Hin und Her, wodurch Sie letztendlich die Zeit für die Durchführung dieser Bewertung reduzieren, was ein wichtiger Indikator für den Erfolg dieser Programme ist. Wie kann ich die dafür benötigte Zeit reduzieren, wie kann ich sicherstellen, dass sie korrekt durchgeführt wird, und wie kann ich Zeitstempel erhalten, um zu wissen, wer was wann ausgefüllt hat? Ähm, außerdem können Sie, sobald Sie all diese Informationen in Ihrem Repository haben, zurückgehen und sagen und tun: Hey, was ist in diesem Szenario, welche Anbieter haben dieses Profil? Plötzlich haben Sie es vielleicht mit einer neuen Schwachstelle zu tun, die aufgetaucht ist, und hey, möchte ich wissen, wie viele meiner Cloud-Dienstleister davon betroffen sein könnten, weil ich mich vielleicht an mein Lieferanten-Ökosystem wenden möchte, um Einblicke zu erhalten, damit ich das Risiko für mein Unternehmen besser managen kann. Letztendlich, und das ist etwas, das wir immer wieder betonen, ist das Ziel dieser Bewertungsprogramme für Dritte wirklich, die Risiken des Outsourcings zu verstehen. Und wenn man diese Erkenntnisse hat, diese Daten miteinander in Beziehung setzt und zusammenführt, kann man diese Daten wiederverwenden und erhält außerdem Echtzeit-Analysen darüber, wie der Stand des Programms ist, wie der Stand meiner Lieferanten ist, wie viele von ihnen ich überprüft habe und wie viele von ihnen diesen Korrektur- und Genehmigungsprozess durchlaufen. Es gibt also definitiv einige Lösungen, die dabei helfen, die Fragebogenmüdigkeit zu beseitigen.

Brenda Ferraro: Ja, und ich denke, das Interessante daran ist, dass man, um zu den Grundlagen zurückzukommen, genau wissen muss, wie das Portfolio oder Profil seiner Lieferanten aussieht. Wir beobachten derzeit einen Trend, dass Einzelpersonen beginnen, sich über ihr inhärentes Risiko zu informieren, indem sie einfach nach den wesentlichen Punkten fragen. Wenn man also versteht, was dieses Unternehmen macht, was es für einen tut und wie man mit ihm interagiert, kann man alle Komponenten der riesigen Liste mit Tausenden von Anbietern und Drittanbietern kategorisieren, einstufen oder filtern und dann diese Informationen auf ihre Relevanz hin überprüfen und fragen, was man wissen muss, im Gegensatz zu allem, was es unter der Sonne gibt. Ich beginne also, solche Dinge zu erkennen, was nicht nur den Unternehmen hilft, die die erforderliche Sorgfalt walten lassen müssen, sondern auch den Anbietern und Drittanbietern, die auf diese Punkte reagieren müssen. Es geht also in eine gute Richtung.

Jeremiah Salberg: Das ist es auf jeden Fall. Und darf ich noch einmal kurz auf einen letzten Punkt zurückkommen? Ich weiß, dass wir etwas überziehen, aber als Verantwortliche für Drittanbieterprogramme ist eine der ersten Fragen, die man einem Anbieter stellt, wenn man mit ihm spricht, welche Dienstleistungen er für ein Unternehmen anbietet, und man muss auch prüfen, ob es Überschneidungen zwischen Anbietern gibt, die ähnliche Dienstleistungen anbieten. Und das wirkt sich wiederum auf die Geschäftsresilienz aus. Wenn man erkennt, dass es sich um zwei Anbieter handelt, die genau dasselbe leisten, kann man dies kennzeichnen und verstehen. Oftmals überprüfen wir Anbieter, von denen einer vielleicht einen Drittanbieter aus dem Werbebereich nutzt, ein anderer vielleicht aus dem Finanzbereich oder ein weiterer vielleicht aus dem Bereich Inhalte oder Betrieb, aber vielleicht leisten sie alle dasselbe, sind aber einfach zwei verschiedene Unternehmen, weil sie zufällig Kontakte und Beziehungen haben. Wenn Sie zu einem mittelständischen Unternehmen kommen, sehen Sie plötzlich viele sich überschneidende Funktionen in Ihrem Lieferanten-Ökosystem, was, wenn Sie diese Informationen richtig verfolgen, eine Möglichkeit sein kann, Ihre Prozesse widerstandsfähiger zu machen.

Brenda Ferraro: Genau, da stimme ich vollkommen zu.

Jeremiah Salberg: Ähm, also die Aufsichtsbehörden, ähm, alle sind derzeit sehr flexibel und erlauben Unternehmen, Fernbewertungen und Fernaudits durchzuführen, aber im Kern all dieser Rahmenwerke ist es eine der Kernkomponenten, dass man Einblick in die Programme seiner Drittanbieter und manchmal auch der Viert- oder N-Anbieter haben muss, die kritische Dienstleistungen erbringen. Einige der Dinge, die Sie sicherstellen sollten, sind, dass Sie diese Anforderungen kennen, die von Ihnen verlangen, dass Sie über ein Inventar verfügen, darüber haben wir bereits gesprochen, ein gutes, vollständiges Inventar aller Ihrer Dienstleister, aber nicht nur das, es muss auch in Ihren Onboarding-Prozess integriert werden, wenn Sie einen neuen Lieferanten hinzuziehen. Sie müssen einen Überprüfungsprozess haben, um sicherzustellen, dass diese über die richtigen Sicherheitskontrollen verfügen. Letztendlich möchten Sie sicherstellen, dass diejenigen, die Dienstleistungen erbringen, Ihren eigenen Richtlinien und Erwartungen zur Informationssicherheit entsprechen und dass sie mindestens die Mindeststandards erfüllen, die Sie für Ihr Unternehmen festgelegt haben.

Jeremiah Salberg: Ähm, diese Rahmenwerke erfordern auch, dass Sie Ihre Drittanbieter regelmäßig überprüfen. Diese Plattformen und Tools, Prevalent, können Ihnen dabei sicherlich helfen. Ähm, wenn ich mit unseren Kunden über diese Programme spreche und ihnen bei der Verwaltung helfe, sind einige der KPIs, die sie betrachten, wie lange dieser Überprüfungsprozess dauert. Ein System, mit dem Sie die Zeit vom Versand des Fragebogens über die Zeit, die für das Ausfüllen des Fragebogens und die Analyse benötigt wird, bis hin zur Ermittlung der für die Bewertung zuständigen Person und der Erteilung der Genehmigung oder Ablehnung messen können, ist sicherlich ein wichtiger Indikator. Ein weiterer wichtiger Indikator ist es, zu verstehen, wie viele Ihrer Lieferanten Sie überprüft haben und ob Sie mit diesem Überprüfungsprozess übereinstimmen. Ein wirklich kritischer Punkt ist es, zu verstehen, wie viel ich pro Lieferant für mein Überprüfungsprogramm ausgebe. Wenn ich also zurückblicke und sage: Okay, mein Programm kostet X, ich habe Y Lieferanten, wie hoch sind meine Kosten pro Überprüfung und stelle sicher, dass dies für das Risiko der Risikotoleranz des Unternehmens sinnvoll ist. Ähm, und das Wichtigste ist wahrscheinlich, dass Sie in der Lage sind, die Disposition Ihrer Lieferanten zu messen und aufrechtzuerhalten, also wie viele von ihnen zugelassen sind, wie viele sich in der Nachbesserungsphase befinden, mit denen Sie aber weiterhin zusammenarbeiten, weil sie einen Nachbesserungsplan haben, ähm, und wie viele von ihnen vielleicht abgelehnt wurden. Das sind also einige wichtige Punkte, die Sie bei der Bewertung eines Programms berücksichtigen sollten, wobei Sie letztendlich verstehen müssen, dass, wie ich bereits erwähnt habe, das Ziel des Programms zur Bewertung von Drittanbietern wirklich darin besteht, diese Risiken im Zusammenhang mit Outsourcing zu verstehen und Einblicke in sie zu gewinnen. Ich weiß, dass wir uns dem Ende nähern, aber haben Sie, Brenda, aus Ihrer Sicht irgendwelche Gedanken zu diesen Punkten?

Brenda Ferraro: Ja, kurz zum Thema Compliance: Es ist wichtig, sicherzustellen, dass Sie, selbst wenn Sie eine Excel-Tabelle verwenden, was Sie nach dem Anhören dieses Beitrags hoffentlich nicht mehr tun werden, die Möglichkeit haben, diese Inhalte aus verschiedenen Blickwinkeln und Perspektiven zu betrachten, Wenn jemand beispielsweise sehen möchte, wie die Inhalte von einem Dritten zurückgegeben wurden und inwiefern sie mit der Einhaltung von PCI, DSGVO oder HIPAA zusammenhängen, können Sie diese Inhalte an alle weiterleiten, die sie aus dieser Perspektive betrachten müssen, und die für sie irrelevanten, für das Unternehmen als Ganzes jedoch wichtigen Informationen herausfiltern. Und natürlich sollten Sie Ihre Zahlen kennen und entsprechend handeln. Ich lege großen Wert auf Kennzahlen, also stellen Sie sicher, dass Sie über diese Informationen verfügen. Ich stimme Ihnen da vollkommen zu. Wenn wir uns also ansehen, wie wir hier helfen können, bietet Prevalent jedem ein kostenloses Angebot zur Stärkung der Unternehmensresilienz an. Damit wollen wir in den Zeiten, in denen wir leben, helfen und sicherstellen, dass wir diese Inhalte und Bemühungen miteinander in Verbindung bringen, um zu wissen, was wir in Zukunft brauchen, wenn die Regulierungsbehörden sich einigen und uns sagen, dass wir über X, Y und Z Bescheid wissen müssen. Wir haben proaktiv über die Dinge nachgedacht, die aus einer sehr begrenzten Perspektive relevant sind und die Sie herausfinden müssen. Hier sind die Links für heute, aber Peter wird diese Präsentation auch als PDF zur Verfügung stellen, sodass Sie sie einfach anklicken oder per E-Mail erhalten können. Es gibt Demos, Beispielberichte und PDF-Dateien, die zeigen, wie die Fragen aussehen, und, ähm, was macht Tevora, um uns in der heutigen Situation zu helfen?

Jeremiah Salberg: Auf jeden Fall. Also, äh, eines der wichtigsten Dinge, bei denen wir unseren Kunden in diesem Bereich helfen, äh, wir haben hier zwei primäre Serviceangebote. Erstens helfen wir unseren Kunden beim Aufbau, Umbau oder der Umrüstung ihrer äh, Drittanbieterprogramme, und wir helfen ihnen beim Betrieb dieser Programme. Natürlich muss man über die richtigen Tools und Plattformen wie Prevalent verfügen, aber es bedarf auch einer Menge Beratung, um sicherzustellen, dass man die richtigen Eingaben in die Bestandsverwaltungssysteme seiner Lieferanten macht, dass man diese aus den Vertragssystemen bezieht und nicht aus anderen Quellen. Und dann müssen Sie sicherstellen, dass Sie eine angemessene Abstimmung haben, nicht nur zwischen Ihren eigenen Informationssicherheitsrichtlinien und den Sicherheitsverträgen, die Sie mit Ihren Drittanbietern abgeschlossen haben. Wenn Sie also diesen Vertragsprozess durchlaufen und Sie eine Sicherheitsvereinbarung oder etwas anderes haben, in dem Sie festlegen, welche Verpflichtungen Sie von ihnen erwarten, müssen diese beiden Aspekte in Einklang stehen, ebenso wie der Überprüfungsprozess, wenn Sie Fragen stellen: „Hey, machen Sie das?“ Stimmt das mit dem überein, was Sie bereits aus Sicht der Sicherheitsanforderungen in den Vertrag mit ihnen aufgenommen haben, und stimmt es mit Ihrer eigenen Informationssicherheitsrichtlinie überein? Die richtige Abstimmung ist also ein wichtiger Faktor, um sicherzustellen, dass Sie über ein effektives und effizientes System für Drittanbieter verfügen. Dabei helfen wir Ihnen.

Jeremiah Salberg: Wir helfen Unternehmen dabei, diesen Prozess innerhalb ihrer eigenen Organisation zu sozialisieren, um sicherzustellen, dass diese Unternehmen während des Beschaffungsprozesses frühzeitig mit dem Programm zur Überprüfung durch Dritte beginnen, da dies einige Zeit in Anspruch nimmt. Und schließlich helfen wir Unternehmen dabei, Regeln für Eskalationen festzulegen, wenn sie vielleicht dem Prozess entkommen wollen oder wenn es Ausnahmen gibt, bei denen eine Führungskraft vorgeschrieben hat, dass wir einen bestimmten Drittanbieter verwenden, obwohl dies mit Sicherheitsrisiken verbunden sein kann. Und verfügt dieses Unternehmen dann über den richtigen Prozess zur Risikoakzeptanz, um dies zu dokumentieren? Es kann also einige Ausnahmen von der Regel geben, aber wir sind auf jeden Fall auf der Seite der Cybersicherheitsberatung für Programme von Drittanbietern.

Brenda Ferraro: Ja, als wir darüber gesprochen haben, hat mir besonders gefallen, dass Ihr Unternehmen dabei hilft, den Fragebogenprozess zu optimieren, indem es die Fragen, den Workflow, die Verträge usw. harmonisiert. Das fand ich wirklich sehr gut. Okay, kommen wir nun zu Umfragefrage Nummer drei, und dann werden wir uns um alle kümmern, die noch Fragen haben und in der Leitung geblieben sind. Peter, möchten Sie das übernehmen? Wären Sie daran interessiert, Prevalent mit einer kostenlosen Bewertung Ihrer Unternehmensresilienz zu beauftragen, um Ihr Programm zu benchmarken? Wir haben damit große Erfolge erzielt, da die Leute so einige der kritischen Lieferanten und Drittanbieter identifizieren können, und wir können Ihnen dabei helfen. Wir geben Ihnen also die Möglichkeit, das zu tun. Und dann werden wir zu den Fragen übergehen.

Peter Schumacher: Ja, ähm, wir brauchen jetzt, dass Sie Ihre Fragen in die Q&A-Konsole eingeben, die Sie auf Ihrem Zoom-Bildschirm sehen, ähm, und bitte nutzen Sie diese Gelegenheit. Wir haben zwei, äh, externe Risikoexperten in der Leitung, die bereit sind, alle Fragen zu beantworten. Geben Sie Ihre Fragen also entweder in den Q&A-Bereich von Zoom ein oder Sie können sie sogar im Chat eingeben. Wir geben Ihnen allen einen Moment Zeit, um Ihre Fragen einzugeben.

Peter Schumacher: Und dann sieht es so aus, als ob die meisten Leute die letzten 36 Minuten durchgehalten haben, das sind also gute Nachrichten.

Brenda Ferraro: Danke, dass Sie bei uns geblieben sind. Ja.

Jeremiah Salberg: Wir wissen es sehr zu schätzen, dass Sie sich heute trotz Ihres vollen Terminkalenders die Zeit genommen haben, um mit uns einige unserer Gedanken zu diesem Thema zu besprechen. Auch wenn Sie nach der heutigen Sitzung noch Fragen haben oder Ihnen etwas einfällt, wenden Sie sich bitte an uns. Es wird sicherlich noch weitere Gespräche geben. Brenda und ich stehen Ihnen gerne zur Verfügung, um diese Fragen zu beantworten, vielleicht nicht sofort, aber sobald sie auftauchen. Wir unterstützen Sie gerne dabei.

Peter Schumacher: Ja, danke, Jeremiah. Ich glaube, es sieht so aus, als hätten ein paar Leute ihre Hand gehoben. Ich glaube, es gibt einen Button, um die Hand zu heben. Wenn es Ihnen nichts ausmacht, geben Sie Ihre Frage einfach in den Q&A-Bereich ein. Ich möchte die Audio-Leitungen nicht öffnen, wenn es nicht unbedingt notwendig ist.

Brenda Ferraro: Aber keine Sorge, wenn sie doch ihre Audioverbindung öffnen müssten, könnte ich auf jeden Fall mitmachen, indem ich einen Hund mitbringe und ihn im Hintergrund bellen lasse, falls nötig.

Jeremiah Salberg: Ja, zum Glück arbeite ich schon seit einigen Jahren von zu Hause aus, sodass ich meine Situation hoffentlich unter Kontrolle habe, da die Kinder zu Hause sind und keine Haustiere in der Nähe sind. Aber wir alle haben kürzlich erlebt, dass Kollegen, die normalerweise nicht von zu Hause aus arbeiten, einige Ablenkungen haben, die wir alle teilen können. Ähm, ich sehe im Chat einige positive Rückmeldungen, äh, und dann kommt hier die Frage. Mal sehen, wie würden Sie die Belastbarkeit anhand einer fragebogenbasierten Bewertung beurteilen und wie würden Sie das überprüfen, Jeremiah?

Brenda Ferraro: Möchten Sie, dass ich das übernehme, oder möchten Sie lieber anfangen? Ich kann das ergänzen, wenn Sie nichts dagegen haben.

Jeremiah Salberg: Okay, super.

Brenda Ferraro: Fragebögen dienen also nicht nur dazu, das Gespräch in Gang zu bringen, sondern auch dazu, sich der verschiedenen vorhandenen Kontrollen bewusst zu werden. Und wenn es um die Widerstandsfähigkeit Ihres Unternehmens geht, sollten Sie sicherstellen, dass Sie Fragen stellen und auf der Grundlage der Antworten Maßnahmen ergreifen. Wenn Sie beispielsweise 10 Fragen stellen, sollten Sie sicherstellen, dass diese Fragen entweder an eine bestimmte Abteilung weitergeleitet werden, dass die Informationen, die Sie benötigen, nachverfolgt werden oder dass Sie Maßnahmen ergreifen und Anstrengungen unternehmen, um dieses Wissen zu erlangen. Am wichtigsten ist es, zu wissen, ob sie betroffen sind, und an zweiter Stelle steht die Frage, ob sie ihr Geschäft schließen müssen, da Sie eine risikobasierte Entscheidung für eine Umstellung treffen müssen. Aber das Sammeln von Informationen ist entscheidend, denn wenn Sie das mit Ihren aktuellen Fragebögen bisher nicht wussten, wirft dies ein sehr, ähm, helles Licht auf den Aufbau von Beziehungen zu diesen Anbietern, die stärker sind, und hilft ihnen, gemeinsam mit Ihnen genau zu navigieren, was getan werden muss, wenn Veränderungen stattfinden müssen. Was denken Sie, Jeremiah?

Jeremiah Salberg: Auf jeden Fall. Und um Ihren Punkt aufzugreifen: Die Fragebögen dienen wirklich dazu, die Diskussion und den Dialog in Gang zu bringen, damit Sie diese zweiten, sekundären Fragen stellen und Folgefragen stellen können. Jeder Anbieter, der Ihnen Dienstleistungen anbietet, wird ein wenig anders sein, was für Sie wichtig ist. Ähm, wissen Sie, vielleicht entwickeln sie Software, vielleicht liefern sie Ihnen Waren oder bieten Ihnen bestimmte Dienstleistungen an, ähm, ähm, auf irgendeine Art und Weise. Es ist also wichtig zu wissen, wo sie sich befinden, zu wissen, ähm, um was für eine Art von Unternehmen es sich handelt und wie groß es ist. Es gibt also einige Profilierungsfragen, die immer enthalten sind, um Ihnen einen Eindruck zu vermitteln und die Voraussetzungen zu schaffen. Aber wenn Sie diese Fragen stellen und wissen, welche Dienstleistungen sie anbieten, können Sie eine Entscheidung treffen, wissen Sie, brauchen sie, verlassen sie sich auf, wissen Sie, nutzen sie ein Rechenzentrum, welche Art von Rechenzentrum nutzen sie, nutzen sie AWS, nutzen sie vielleicht ein Off-Market-Rechenzentrum? Ähm, und dann, okay, was ist das für ein Off-Market-Rechenzentrum, haben sie die nötige Ausfallsicherheit, also vier Neuner, fünf Neuner, wie auch immer die Anzahl der Neuner lautet, um die Art von Dienstleistungen zu erbringen, die dahinter benötigt werden? Es ist also wirklich so, wie Sie gesagt haben, Brenda, es regt die Diskussion an, aber es hängt wirklich davon ab, welche Dienstleistung Ihnen angeboten wird, um die Was-wäre-wenn-Fragen zu verstehen und zu stellen und zu sagen: Okay, hat das genug Ausfallsicherheit für das, was Sie als Organisation brauchen? Hoffentlich eine gute Antwort. Wenn nicht, melden Sie sich bitte bei uns. Wir würden uns freuen, danach eine viel tiefere Diskussion zu führen.

Peter Schumacher: Danke, Jeremiah. Ja, und wir haben auf dieser Folie ein paar E-Mail-Adressen. Aber Sie erhalten diese Folien auch in einer Aufzeichnung dieser Sitzung. Ich werde sie bis morgen früh verschicken. Sie können also gerne darauf antworten, und ich werde Ihre Frage an Brenda und Jeremiah weiterleiten. Ähm, aber ich sehe nichts weiter in der Warteschlange. Ähm, Sie haben großartige Arbeit geleistet und Tipps und Tricks sowie gute Gespräche geliefert. Ich denke, Sie haben die Neugier aller hier befriedigt, also gibt es keine weiteren Fragen. Ich denke, wir werden jetzt zum Ende kommen. Vielen Dank, Brenda. Vielen Dank, Jeremiah, und bleibt alle gesund, ähm, ich würde sagen, da draußen, aber ich meine zu Hause. Bleibt zu Hause gesund und viel Glück euch allen. Passt auf euch auf.

Brenda Ferraro: Danke. Bleiben Sie gesund.