TPRM 101: Echte Wertschöpfung aus der Bewertung von Anbietern

Amy: Okay, wir sind live. Herzlich willkommen, liebe Teilnehmer. Amy: Ich sehe, dass einige von Ihnen langsam eintreffen. Amy: Während Sie sich einrichten und sich auf das heutige Webinar vorbereiten, stelle ich eine Umfragefrage, denn wir möchten wirklich wissen, was Sie heute hierher geführt hat. Die Umfrage ist gestartet. Amy: Okay. Amy: Ob es sich nun um reine Projektforschung handelt oder Sie ein bevorstehendes Projekt zum Risikomanagement von Drittanbietern haben. Amy: Wenn Sie sich nicht sicher sind, warum Sie hier sind, ist das auch in Ordnung. Amy: Bleiben Sie dran, denn vielleicht lernen Sie etwas, oder vielleicht sind Sie ein Kunde von Prevalent und möchten auf dem Laufenden bleiben. Amy: Mein Name ist Amy Tweet. Amy: Ich bin hier bei Prevalent in der Geschäftsentwicklung tätig und meine Aufgabe heute ist es, dafür zu sorgen, dass Ihre Fragen an Brenda Ferraro weitergeleitet werden. Amy: Sie sehen sie hier auf der Kamera. Amy: Stellen Sie uns Brenda vor. Amy: Sie ist unsere Vizepräsidentin für Risiken durch Dritte hier bei Prevalent. Amy: Sie hat mehr als 20 Jahre Erfahrung in der Entwicklung erfolgreicher Risikomanagementprogramme für Dritte. Amy: Und heute werden wir uns damit befassen, wie man echten Nutzen aus der Lieferantenbewertung ziehen kann. Amy: Ein paar organisatorische Hinweise, während ich diese Umfragefrage offen lasse. Amy: Sie sind alle außerhalb des Bildausschnitts und stummgeschaltet. Amy: Wir möchten wirklich, dass Sie dabei bleiben. Amy: Während dieses Webinars werden wir viele Fragen stellen und möchten auch Ihre Fragen hören. Amy: Bitte nutzen Sie dazu die Q&A-Funktion unten auf Ihrem Zoom-Bildschirm oder die Chat-Funktion. Amy: So oder so werde ich Ihre Fragen an Brenda weiterleiten. Amy: Ähm, das Ganze wird aufgezeichnet, wenn Sie also gehen müssen, können Sie es sich morgen früh in Ihrem Posteingang ansehen und so oft wiederholen, wie Sie möchten. Amy: Nun, Brenda, ich habe heute eine Menge Fragen, denn das ist ein wirklich heißes Thema, und ich freue mich darauf, viel von Ihnen zu lernen. Amy: Ich werde jetzt das Mikrofon weitergeben. Amy: Ähm, willkommen, Brenda.

Brenda: Danke. Brenda: Es ist mir eine Freude, hier zu sein, und Amy, ich freue mich, dass du dich so engagiert an diesem Gespräch beteiligst. Ich hoffe, dass das Publikum Fragen stellt, während wir diese fünf verschiedenen Themen durchgehen, denn das ist wirklich wichtig. Brenda: Die Themen, über die wir heute sprechen werden und die ihr sicher schon auf euren Einladungen gesehen habt, sind die Optimierung der Bewertungsabläufe. Brenda: Manchmal weisen Arbeitsabläufe viele Unstimmigkeiten und Lücken auf, und wir möchten schnellere Ergebnisse erzielen, oder wir haben nicht genug Personal, um die Arbeit zu erledigen, oder wir arbeiten uns im Kreis und kommen einfach nie an den Punkt, an dem wir auf die vorhandenen Datenquellen der Anbieter zugreifen müssen. Brenda: Wir haben also bereits so viele Bewertungen durchgeführt. Brenda: Warum nutzen wir diese nicht wieder? Brenda: Und wie können wir sie wiederverwenden? Brenda: Und was muss dafür vorhanden sein? Brenda: Wir wollen uns mehr auf Risikoinformationen konzentrieren als auf das Sammeln von Inhalten. Brenda: Auch darüber werden wir sprechen. Brenda: Skalierung, um mit weniger Ressourcen mehr Dritte abzudecken. Brenda: Ich habe das beim ersten Mal schon kurz angesprochen, aber wir müssen so viel wissen: Wo liegen die Risiken, welche Lieferanten gibt es, wie erstellen wir Profile von ihnen? Brenda: Ähm, und wir haben vielleicht nicht genug Ressourcen, um alles zu erledigen. Brenda: Wir fangen vielleicht bei Null an oder haben ein ausgereiftes Programm, bei dem wir sicherstellen müssen, dass wir die Risiken für die Bedrohungslandschaft im Blick haben. Brenda: Heute geht es auch darum, sicherzustellen, dass Risiken effizient gemanagt und behoben werden. Brenda: Ich habe viele Gespräche mit verschiedenen Unternehmen aus unterschiedlichen Branchen weltweit geführt, die hervorragende Arbeit leisten, und ich habe bereits zuvor darüber gesprochen, dass sie Informationen in höchstem Maße sammeln. Brenda: Sie leisten hervorragende Arbeit bei der Beschaffung von Informationen, aber sobald sie diese haben, streichen sie sie einfach ab und sagen: „Okay, ich habe die Informationen, ich kenne die Risiken“, und sie verwenden nicht so viel Zeit darauf, diese Risiken zu mindern. Brenda: Was uns sicherer machen würde, wäre, wenn wir das Risiko eingehen, das Problem beheben und uns dann den Risiken der nächsten Modeerscheinung des Monats oder der Woche zuwenden würden. Brenda: In letzter Zeit haben wir viele davon erlebt. Brenda: Und dann auch noch mehrere Compliance-Ziele erreichen. Brenda: Jetzt, da wir uns der Mitte nähern oder sogar schon über die Mitte des Jahres 2021 hinaus sind, stehen wir kurz vor dem siebten Monat. Brenda: Und was gerade passiert, ist, dass viele Abteilungen feststellen, dass wir unseren Lieferanten und Anbietern viel abverlangen. Brenda: Wir verlangen Fragebögen von der Rechtsabteilung, von der Datenschutzabteilung, von der Beschaffungsabteilung, von der Abteilung für Dritte, und diese armen Anbieter sind immer noch erschöpft. Brenda: Wir wollten das letztes Jahr angehen, aber natürlich hatten wir noch andere Dinge zu tun. Brenda: Aber jetzt kommt es wirklich zu dem Punkt, an dem alle zusammenkommen und sich mit einem unternehmensweiten Ansatz für Compliance befassen, und alle Informationen, die gesammelt werden müssen, können mit einem anderen Blickwinkel betrachtet werden. Brenda: Also werden wir auch über diese Dinge sprechen. Brenda: Am Ende werden wir einige wichtige Erkenntnisse zusammenfassen, aber zunächst werde ich Amy bitten, die Fragen zu stellen, und auch Fragen von Ihnen, um uns einen Einstieg in die fünf Themenbereiche zu verschaffen. Brenda: Also, Amy, worüber werden wir zuerst sprechen?

Amy: Meine erste Frage lautet also: Was sind die drei wichtigsten Faktoren, die Bewertungsabläufe optimieren und beschleunigen?

Brenda: Okay, also die drei wichtigsten Dinge für mich sind eine Plattform mit Automatisierung, und ich schaue mir meine Notizen an, weil ich nichts vergessen möchte, und ich scheine über viele Dinge zu sprechen, und ich werde eines vergessen, und ich möchte heute nichts vergessen. Brenda: Plattformautomatisierung ist für mich also ein Prozessmeister. Brenda: Als ich noch bei Charles Schwab war, habe ich die MIT- und Harvard-Kurse von Dr. Michael Hammer zum Thema Prozessbeherrschung besucht und dabei so viel über Agilität und Lean gelernt und darüber, wie man einen effizienteren Workflow erstellt, indem man das Vorhandene nimmt, es sich ansieht, es auseinander nimmt und sicherstellt, dass man Verzögerungen und Verschwendung beseitigt und schließlich eine Plattform, einen Vorschlag oder einen Workflow zu entwickeln, mit dem man ohne Probleme von Punkt A nach Punkt Z gelangt und ohne manuelle Eingriffe, die Verschwendung und Verzögerungen verursachen. Brenda: Suchen Sie also nach einer Plattform, die automatisierte Benachrichtigungen basierend auf dem Status versendet oder Informationen mit Algorithmen auswertet, um zu sagen: „Wissen Sie was, Sie werden Ihren Termin für die Risikomediation verpassen. Brenda: Wir müssen sie daran erinnern, dass dieser Termin bevorsteht oder bereits verpasst wurde und was dann passieren wird. Brenda: Es ist also so, als hätte man seinen besten Freund oder Tinker Bell oder einen Glücksbringer in der Plattform, der die Arbeit für einen erledigt, sodass man sich auf die Dinge konzentrieren kann, die wirklich manuelles Eingreifen erfordern. Brenda: Das andere ist Profiling und Tarierung. Brenda: Viele Unternehmen, mit denen ich gesprochen habe, haben Profiling und Tarierung durchgeführt, aber auf einem sehr hohen Niveau. Brenda: Und wir stellen fest, dass wir bei der Erfassung von Informationen diese Informationen so erfassen, dass sie für das Engagement nicht besonders relevant sind. Brenda: Wenn ich zum Beispiel einen Cloud-Anbieter oder -Lieferanten habe, möchte ich mir die Cloud-Sicherheit in ihrer offensichtlichsten Form ansehen. Brenda: Und es gibt noch andere Dinge, nach denen ich wahrscheinlich fragen werde, aber ich muss nicht unbedingt alles fragen, was es gibt. Brenda: Früher hatten wir Fragebögen mit 1.700 Fragen, und das war lächerlich. Brenda: Es war verrückt, alles zu fragen, denn man sollte sich auf das konzentrieren, was gerade passiert. Brenda: Ransomware ist also eines davon. Brenda: Man möchte herausfinden, was genau sie für einen tun, und die richtigen Sicherheitsinformationen dafür erfragen. Brenda: Ein weiteres Beispiel wäre Software. Brenda: Bei Software gibt es ein paar andere Dinge, auf die man achten muss, als wenn man sich mit der Cloud befasst. Brenda: Und entweder einen CAIQ verwenden oder, wenn Sie sich mit Software befassen, einen VBSIM-Fragebogen verwenden oder einen Fragebogen für ein gängiges Kontroll-Framework verwenden. Brenda: Sie alle haben ihre Gründe und ihren Zweck für das, was Sie herausfinden müssen. Brenda: Und schließlich wäre das dritte Element Plattformbenachrichtigungen und die Automatisierung der Berichterstellung. Brenda: Wir haben über Automatisierung und Benachrichtigungen gesprochen, aber die Berichterstellung ist bei weitem das Wichtigste, was Sie haben können. Brenda: Sie haben all diese Daten, die Sie aufnehmen. Brenda: Sie müssen in der Lage sein, sie so aufzuschlüsseln, dass Sie erkennen können, wo Sie mit Ihrer Bewertung stehen, wo Sie mit Ihrer Sorgfaltspflicht stehen, wo Sie mit Ihren Abhilfemaßnahmen stehen, wo Sie auf Portfolioebene stehen, wo Sie auf Abteilungsebene stehen, wo Sie im gesamten Unternehmen stehen. Brenda: Und wenn Sie maschinelles Lernen und künstliche Intelligenz nicht nutzen können, um sofort zu berichten, was Sie sehen müssen, dann sind Sie im Nachteil. Brenda: Und das führt dazu, dass Sie nebenbei eine Menge Tabellenkalkulationen erstellen oder Berichte, die Sie von Grund auf neu erstellen oder Informationen von Grund auf neu kombinieren müssen. Brenda: Das wären also die ersten drei Dinge. Brenda: Haben wir irgendwelche Fragen bekommen, Amy, während wir darüber gesprochen haben?

Amy: Noch nicht, aber ich habe eine Frage. Amy: Ich möchte noch einmal auf Profiling und Tarierung zurückkommen. Amy: Ich habe mit einigen Leuten hier bei Prevalent gesprochen, die daran interessiert sind, sich aber noch nie mit Tiering beschäftigt haben und deren Lieferanten überhaupt nicht nach Tiers gegliedert sind. Amy: Wie fängt man damit am besten an?

Brenda: Darüber werden wir im weiteren Verlauf dieser Präsentation noch ein wenig sprechen. Brenda: Aber einige der wichtigsten Punkte beim Taring sind, dass Sie zunächst festlegen müssen, wie Ihr Tiering-Ansatz in Ihrem Unternehmen aussieht, da jeder das manchmal anders sieht. Brenda: Wenn Sie das unternehmensweit vereinheitlichen können, wird es viel einfacher, da Sie keine Umrechnungen vornehmen müssen. Brenda: Wenn beispielsweise Ihr Risiko- und Compliance-Unternehmen oder Ihre Abteilung die Stufen 1, 2, 3 und 4 verwendet, finden Sie heraus, nach welchen Kriterien diese Stufen festgelegt wurden, und prüfen Sie, ob Sie diese Kriterien wiederverwenden können. Brenda: Wenn das nicht möglich ist, können Sie einen Tiering-Ansatz für das Risikomanagement von Drittanbietern oder das Lieferkettenmanagement entwickeln. Brenda: Sie können ABCD verwenden. Brenda: Sie könnten Rot, Orange, Gelb und Grün verwenden. Brenda: Sie können verwenden, was immer Sie möchten, aber die Profilerstellung und das Tiering sind wichtig. Brenda: Und das alles geschieht ganz am Anfang, wenn Sie sich mit der Auswahl eines Lieferanten oder Anbieters befassen. Brenda: Wenn Sie also den Ausschreibungsprozess durchlaufen, wird die Beschaffungsabteilung sagen, dass diese fünf oder so Unternehmen in Frage kommen. Brenda: Sie sollten von Anfang an über Informationen verfügen, die Ihnen Kriterien liefern, um zu sagen, was diese Unternehmen für Sie tun werden. Brenda: Hier ist der Standort, an dem die Arbeiten stattfinden werden. Brenda: Hier sind die Ansprechpartner, mit denen Sie sprechen werden. Brenda: Hier sind die Finanzinformationen auf sehr hoher Ebene. Brenda: Sie können Threat-Intelligence-Berichte über sie erstellen, damit Sie eine Grundlage dafür haben, was in der Praxis vor sich geht. Brenda: Aber es geht wirklich darum, schon vor Beginn der Zusammenarbeit herauszufinden, um was für ein Unternehmen es sich handelt, was es für Sie tut und auf welche Fallstricke Sie achten müssen. Brenda: Es gibt etwa 11 oder 12 davon, und Prevalent kann Ihnen dabei helfen, diese herauszufinden. Brenda: Wir haben einen Aufnahmeprozess und einen Grundprozess, der Ihnen die inhärenten Risiken aufzeigt, noch bevor Sie mit ihnen ins Geschäft kommen, und der Ihnen hilft, herauszufinden, welche Schwierigkeiten auf Sie zukommen, wenn Sie sich für dieses Unternehmen entscheiden, da wir bereits wissen, dass es einige Dinge gibt, die wir untersuchen müssen.

Amy: Super. Amy: Danke. Amy: Noch keine Fragen aus dem Publikum, aber zur Erinnerung: Wenn Ihnen etwas einfällt, schreiben Sie es bitte auf, dann fragen wir Brenda, und wir sind hier, um zu helfen. Amy: Okay, nächste Frage. Amy: Welche vorhandenen Lieferantendaten können für sofortige Risikoinformationen verwendet werden?

Brenda: Wir haben das gerade eben schon kurz angesprochen. Brenda: Ich würde immer sagen, dass die Verwendung von Thread Intelligence eine der Möglichkeiten ist, Informationen zu verarbeiten, ohne einen Kontaktpunkt zu haben. Brenda: Man braucht nur einen Domainnamen und schon erfährt man, was da draußen in der Welt passiert, wenn bestimmte Sicherheitsdomänen nicht sicher sind. Brenda: Ähm, mit Prävalenz können Sie nicht nur die Cybersicherheit betrachten, sondern auch Business Intelligence und Financial Intelligence. Brenda: Es ist also sehr empfehlenswert, wenn Sie einen Priorisierungsaspekt oder sogar den gesamten Lebenszyklus der Zusammenarbeit mit Dritten betrachten, diesen Threat-Intelligence-Bericht auszuführen. Brenda: Eine weitere Möglichkeit ist die Umnutzung Ihrer Fragebögen. Brenda: Früher, und ich werde mich nicht verraten, wie alt ich bin, weil ich immer älter werde. Brenda: Das geht doch jedem so. Brenda: Ich tue so, als wäre ich noch 21 oder 25 oder 29, egal wie alt ich bin.

Amy: Wie auch immer du dich fühlst.

Brenda: But back in the day, um, we had a situation where every year when the questionnaire to gather content would change because the threat landscape changed. Brenda: But if you think about it, the threat landscape was changing and we were catching up. Brenda: We have to get ahead of that. Brenda: So, I really proposed um a strategy that’s going to say we’re no longer doing I’ve talked about this before in many webinars, the one and done. Brenda: It’s important to do continuous evaluation and continuous evaluation means you gather what you need to at the very beginning for inherent risk. Brenda: You do your assessment and add components that are important and relevant for the residual risk. Brenda: you track those risks to closure and then when things happen when ransomware becomes important when IoT devices become more important when smart car stuff starts becoming I mean we’ve got smart cars coming all over the place and it’s going to be coming you know become more and more apparent pipeline things those are wakeup calls and those wakeup calls should not be ignored until the next questionnaire comes out those wakeup calls are really to say do you know if those suppliers and third parties are impacted by this situation and if they are what are you doing about it now not at the halfyear mark or the nine month mark or when the year comes so that’s what I would say about questionnaires and repurpose their answers but ask them to remind them to say okay has anything changed you can’t just say what you answered last time is exactly what you’re going to be this year because you may have had an audit that says you’re not doing as well as you thought you were doing in incident response or in multifactor authentication or things like that. Brenda: So they have to at least and I I don’t like this word the word attest but they have to at least attest or say we’re doing the same in our effectiveness for this particular control domain and by the way we’re answering all the deltas as they’re coming. Brenda: So make relationships with your vendors and suppliers and let them know that we’re not just going going to talk to you once. Brenda: We have a relationship now and relationships have to have time together and time together for us is going to be whenever I reach out very thoughtfully about what is happening in the environment today. Brenda: The other thing is um key controls. Brenda: So if you have key controls in your organization and what those are are really musthaves, these controls are the ones that we require all of our suppliers to have by engagement. Brenda: Then those will help you to set up and configure platforms for automation on what’s important based on their service types. Brenda: So you can do uh in external and internal quantification and identifying exactly what’s happening with those vendors whether you have a point of contact or you don’t. Brenda: Or you can look up point of contacts. Brenda: Um prevalent has a point of contact lookup and that will help you at least find someone within the company. Brenda: So don’t fear that okay I have 10,000 vendors or 3,000 vendors or even 25 but I don’t know who to go to. Brenda: Um you can always use a lookup feature as well. Brenda: The other thing is preconfiguring those risks. Brenda: So when you know your key controls you can rank those at the highest risk and when you rank them at the highest risk then it’s going to be things that are apparent and bubble to the top for your assessors to review. Brenda: And sometimes people have managed services helping them with their assessment. Brenda: So if you’ve outsourced your assessment due diligence to a risk operation command center whether it be at prevalent or somewhere else then those items will be completely available for them as well as for your organization if you’re like doing a hybrid approach. Brenda: So either you’re handing it off to someone or you’re doing it yourself. Brenda: But everyone should have the same voice and everyone should know what the risks are and we’ll be talking about that a little bit more. Brenda: Um also use risk association. Brenda: So what that means is that if you have a content gathering in a questionnaire or in thread intelligence, those things should match up together. Brenda: If a question is asked of the supplier or the vendor and something’s seen in the wild, those two things should say what they said and what we see match. Brenda: And if they don’t match, then they should say, okay, we have a risk or we have something we have to look at because what they’re saying is not what we’re seeing or what we’re seeing is not what they’re saying. Brenda: because it could go vice versa. Brenda: It could say, “Okay, they say they’re doing very well or we’re looking at a threat intelligence that’s um providing information that says they’re doing a great job in this security domain, but their questionnaire came back saying we’re not doing good.”. Brenda: You could go back to them and say, “Okay, well, this doesn’t look right. Brenda: It looks good out there on the outside. Brenda: Why is it not looking good on the inside?”. Brenda: So, it helps you to figure out um how to balance and it’s like a a double check. Brenda: The other thing is risk association can help you with if a question is asked somewhere in your questionnaire and then it’s asked again differently in a different security domain and they answer one way in one place and another way in the other then you can kind of do some checks and balances with the risk association with that as well. Brenda: Um we talked about thread intelligence of cyber business and financial make sure you always have those three because without one you will definitely have a scenario where you’re only seeing a part of the picture and we talked about profiling and tiering. Brenda: Oh networks and changes. Brenda: That’s the biggest one. Brenda: I almost forgot it. Brenda: So, networks are there for us to store a library of suppliers and vendors already completed information. Brenda: So, it cuts down on the delay of gathering content. Brenda: And what happens when I as a supplier might be in a network or an exchange with my completed content, my evidence, all of the information where I’m already working on risks. Brenda: What happens is if new company wants to look at my content, I have the ability to either give permission to a a sector like I might say for every healthcare sector uh customer I want them to be able to see my information or for every legal um industry customer I want them to see my information or I should be able to have the ability to say yes I’m doing business with this requesttor go ahead and share my information with them so it stays protected so don’t be af afraid of, oh my gosh, my my content, my information is up in some cloud being serviced by a a third party vendor. Brenda: What’s going to happen to it? Brenda: There are protection mechanisms put all over that to make sure that it is secure and not shared with the wrong companies andor without your permission. Brenda: So, it looks like we have a question, Amy. Brenda: I’m looking at two.

Amy: Ja, hier sind ein paar Fragen aus dem Publikum. Amy: Die erste Frage betrifft gängige Produkte zur Bewertung von Cyberrisiken. Amy: Ähm, entwickeln wir unser eigenes Produkt und wie schneidet es im Vergleich zu Bitsite ab?

Brenda: Okay, über all diese Informationen kann ich in diesem Webinar nicht sprechen, aber wenn Sie sich an Amy wenden, die E-Mails unter [email protected] erhält, können wir Ihnen Vergleichsdokumente zur Verfügung stellen, damit Sie wissen, was die verschiedenen Thread-Intelligenzen leisten und wie wir das Beste daraus machen. In den meisten Unternehmen ist es üblich, dass wir dieselben Informationsquellen wie andere Unternehmen nutzen, aber wir zeigen sie anders an und/oder passen sie an die Eignung unserer Plattform und an das an, was wir für Sie tun und erreichen wollen. Brenda: Es gibt also verschiedene Unternehmen, die eine Zusammenführung dieser Organisationen darstellen. Brenda: Wir haben vielleicht andere als Bitsite, aber Sie müssen Ihre Sorgfaltspflicht erfüllen und sich diese Unterlagen, also die Vergleichsdokumente, besorgen und herausfinden, um welche Informationen es sich handelt.

Amy: Ja. Amy: Und nachdem das gesagt ist, habe ich mir notiert, wer eine Frage gestellt hat. Amy: Ich werde mich nach diesem Webinar gerne mit Ihnen in Verbindung setzen. Amy: Wir können dann noch ein bisschen mehr darüber plaudern. Amy: Äh, die nächste Frage aus dem Publikum. Amy: Ist also ein Managed Service für das Risikomanagement von Lieferanten weit verbreitet, oder verkaufen Sie eine Plattform, mit der Unternehmen dies selbst tun können? Amy: Wenn ja, welchen ungefähren Prozentsatz macht jeder dieser Bereiche Ihres Gesamtgeschäfts aus?

Brenda: Wir machen also drei Dinge. Brenda: Das erste ist, dass wir eine Plattform haben, die Sie selbst nutzen können. Brenda: Es ist also eine Selbstbedienungsplattform, die Sie selbst konfigurieren und nach Ihren Wünschen gestalten können, aber wir haben Mitarbeiter, die Ihnen mit professionellen Dienstleistungen zur Seite stehen. Brenda: Wir bieten Managed Services, die Ihnen dabei helfen, sowie Rock Services. Brenda: Das Risk Operation Command Center kann also die Datenerfassung übernehmen. Brenda: Sie können auch die Analyse für Sie übernehmen. Brenda: Sie können den Austausch zwischen dem, was Sie zu sammeln versuchen, und dem, was der Anbieter oder Lieferant bereitgestellt hat, sowie die Risikobeseitigung übernehmen. Brenda: So weit geht das also. Brenda: Wir bieten auch schnelle Reaktionszeiten. Brenda: Das gehört zum Bereich Incident Management, wenn wir sehen, dass etwas im Wall Street Journal und in der New York Times passiert und unsere Bedrohungsinformationen uns darauf aufmerksam machen und sagen, dass wir ein Problem haben. Brenda: Sie müssen Ihren Anbietern und Kunden helfen. Brenda: Es gibt auch schnelle Reaktionszeiten. Brenda: Und es gibt auch Beratungs- und Strategiedienstleistungen. Brenda: Wenn Sie also versuchen, Ihr Programm aufzubauen, haben wir Mitarbeiter, die sich mit Ihnen zusammensetzen, sich ansehen, was Sie heute tun, selbst wenn Sie bei Null anfangen oder schon sehr weit sind, und versuchen, Ihnen zu helfen, all die verschiedenen Möglichkeiten zu verstehen, wie Sie die Plattform nutzen können. Brenda: Wenn Sie also nach Prozentsätzen fragen, hängt das wirklich vom Unternehmen ab. Brenda: Jedes Unternehmen ist anders, was den Stand seines Programms angeht. Brenda: Einige fangen ganz von vorne an, andere sind schon sehr weit fortgeschritten, und das Schöne daran ist, dass alles, was wir tun, auf Ihre Bedürfnisse zugeschnitten ist. Brenda: Wir würden uns also mit Ihnen zusammensetzen. Brenda: Wir würden darüber sprechen, was Sie erreichen möchten, und dann könnten wir verschiedene Pakete zusammenstellen, die Ihnen helfen könnten.

Amy: Super. Amy: Danke, Brenda.

Brenda: In Ordnung. Brenda: Großartig. Brenda: Also, weiter zum nächsten Punkt. Brenda: Du dachtest, das würde nur eine halbe Stunde dauern, nicht wahr, Amy?

Amy: Ja, das habe ich. Amy: Wow. Amy: Nein, das ist großartig. Amy: Machen Sie weiter mit den Fragen. Amy: Und diese Frage gefällt mir wirklich gut. Amy: Also, offensichtlich sind wir alle sehr beschäftigt. Amy: Bei so viel zu tun, so wenig Zeit und sehr begrenzten Ressourcen, wie können wir mit weniger mehr erreichen? Amy: Teilen Sie Ihre Weisheit mit uns.

Brenda: So, a little tiny story. Brenda: When I started in thirdparty risk, I’m sure all of you have heard if you’ve listened to me before, is I had this fall in my lap. Brenda: I did know anything about third party and it was a body of one. Brenda: It was just me and they came at me with okay you have 3,000 or 5,000 or 10,000 vendors that you’re going to have to assess. Brenda: And so when I looked at that then I became a team of two brought on another resource and then it kept expanding and expanding. Brenda: Now two questions were um asked of me by my chief information security officer at the time and they said all right there’s two things that can happen. Brenda: Either you’re going to do this with managed services and get some help from the outside or you’re going to hire people and they both have pros and cons. Brenda: Which pro and con do you want to go forward with? Brenda: And as I retrospect on that, I don’t think that I made m what I would call mistakes, but there are some hybrid approaches that I would possibly look at. Brenda: If I’m wanting to get done um maybe like a campaign of assessing things very fast, I would have a risk operation command center. Brenda: or managed services help me with that because it will get things done quickly. Brenda: They’ll be able to look in their networks. Brenda: They’ll be able to find out if the information’s already been gathered. Brenda: They’ll be able to give me what I need to know from a risk perspective. Brenda: And then very quickly, we would be able to identify where we are with what’s already been done. Brenda: That’s great. Brenda: And then again, I call them Tinker Bells and Lucky Charms. Brenda: If all of those individuals were doing things at a a standard level where I would say, “Okay, I want to do 200 of a week or I want to do all 3,000 at one time. Brenda: There would they would have bench strength to do uh to watch all of the responses come in. Brenda: And by configuring a platform with all the risks, the recommendations, the remediation timelines and doing that prep setup, that’s going to make it so that everything would be consistent. Brenda: It would be what the way that my company, whoever I work for, wants to look at their key controls. Brenda: There’s um the network and exchanges that we talked about before. Brenda: So using those those and and for those that aren’t in there, you can use a hybrid approach where you’re launching things out yourself. Brenda: So for that question that we had earlier, if you do um have a platform that people can use themselves, you can have a hybrid approach where you launch things yourself, but you also have managed services doing something for you. Brenda: So look at your tiers and really focus on your criticals and your highs and then let managed services or rock services do your mediums and your lows or or campaigns or things of that nature. Brenda: Um expand support out to additional departments. Brenda: So if you take an approach where you’re asking what you need to ask for not only yourself in your risk management or your supplier or vendor management area and you ask questions that are pertinent to DR, pertinent to business continuity, legal, privacy, procurement, then your your vendor and supplier is going to say, “Wow, this is like going to I guess an experience that I had is I you know going to a Honda car shop versus a BMW car shop. Brenda: They’re different. Brenda: So, it’s kind of like going to a place that has their ducks in a row and they give more um white glove service to you. Brenda: So, that’s kind of what you want to be for your vendors and suppliers. Brenda: They need to work on remediation, not content gathering. Brenda: They need to work on servicing you, not content gathering. Brenda: So, that’s that’s one of the items there. Brenda: Rapid response, making sure that you know very quickly who’s been impacted by an incident or a breach or a ransomware attack or malware. Brenda: And then knowing that you can tell your board, here’s who we work with that is having impact. Brenda: Here’s what we’ve done and here’s how long we’ve given them to close that disconnect. Brenda: And we will give you updates on either a daily or a weekly progress so that you know that the the bar of um impact is going to come to slim or change. Brenda: and then having that a platform that has the ability to visualize all the different connections of your third parties. Brenda: So I I am a proponent for the last five years of going and making sure you have assessment information whether it be just identifying for fourth and fifth and sixth parties that an assessment has been done to what the risks are and how that risk will have impact on the company of which you’re directly contracted with and knowing that in a picture format like a spider diagram and who what business units are using them. Brenda: So for example when I was at again Charles Schwab they had a twostory building that had a screen up on the wall and it would show if an impact happened the daisy chain of events that was going to trickle from that impact to the business units to what trades couldn’t be made and all kinds of things. Brenda: And that was way back in the day. Brenda: I was at uh Schwab way before 2007, so I’m sure it’s even better now. Brenda: But I was flabbergasted by like, oh my gosh, you know how to pivot based on exactly what’s going on so that you can quickly make adjustments to your business. Brenda: That has to happen for resilience for all of our companies globally. Brenda: And we’ve felt some of that pressure based on what we experienced in 2020 and even in 2021. Brenda: So if you have a platform form like prevalent that has the spider diagram and all of the connections of what business units using it, what are they transferring for data, which direction is it going, if something impacts, you can highlight it and see all the connections of what’s going to occur. Brenda: So that I would highly recommend you get into to help with accomplishing more with less because I can tell you it took a lot of manual effort to do things manually when you found out someone was impacted to determine how is the business business going to be with this? Brenda: How is how are we going what do we pivot to? Brenda: What company can we pivot to? Brenda: Do we have a backup company or do we have a concentration risk? Brenda: So hopefully that’s helpful.

Amy: Gut, ich habe hier eine Frage zu Managed Services. Amy: Wie oft führt die Arbeit, die Prevalent als Managed Service Provider für einen typischen Kunden leistet, dazu, dass der Geschäftsinhaber aufgrund eines hohen verbleibenden Cyberrisikos den Anbieter wechseln muss?

Brenda: Ich kenne die genauen Prozentsätze nicht. Brenda: Aber Sie bringen in Ihrer Frage einen sehr guten Punkt zur Sprache: Wenn Sie Managed Services haben, die Ihnen zusammenfassende Risikoberichte für Führungskräfte liefern, Sie einen internen Prozess haben, der diese an einen Lenkungsausschuss oder ein anderes Dispositionsprogramm weiterleitet, um zu sagen, dass unsere Schwelle darin besteht, dass sie nur diese Dinge haben dürfen, die sich in einem bestimmten Zustand befinden, und wenn sie alles vermissen, müssen sie sich darum kümmern, sie zu entfernen und mit der Beschaffung zusammenzuarbeiten und die Beschaffung darüber zu informieren, dass wir einige sehr schwerwiegende Risikoprobleme haben und dass die Geschäftseinheit an deren Minderung beteiligt ist. Brenda: Es gibt also einige Dinge, die innerhalb der Plattform passieren können. Brenda: Sie können diese Abhilfemaßnahmen bis zum Abschluss verfolgen. Brenda: Sie können den zusammenfassenden Risikobericht für Führungskräfte und die verschiedenen Risikoregister-Linsen verwenden, um den Führungskräften zu zeigen, welches Risiko für das Unternehmen besteht, und Sie können Informationen mit dem Datenschutz- und Beschaffungs- sowie dem Risikokompliance-Team und anderen teilen, um zu sagen: „Ich empfehle entweder, dass wir mit diesem Kunden oder diesem Anbieter weitermachen, oder ich empfehle Abhilfemaßnahmen, oder ich empfehle nichts, basierend auf dem, was die Managed Services uns bieten.“ Brenda: Sie übernehmen also die ganze schwere Arbeit. Brenda: Sie liefern Ihnen die Informationen, die Sie für Ihre Entscheidung benötigen, und dann können Sie mit Ihren internen Prozessen fortfahren.

Amy: In Ordnung. Amy: Und um darauf aufzubauen: Das Publikum fragt: „Ich mache mir immer Sorgen, dass das Einzige, was schlimmer ist, als wenn ein interner Analyst für Lieferantenrisikomanagement ignoriert wird, wenn er auf Risiken hinweist, ist, als externer Dienstleister ignoriert zu werden.“ Amy: Das ist also keine richtige Frage, aber ich möchte sie an Sie weitergeben.

Brenda: Ja. Brenda: Und das stimmt, denn wenn wir unsere Sorgfaltspflicht erfüllen, egal ob es sich um Managed Services oder unsere internen Ressourcen handelt, sind unsere Aufgaben wirklich sehr wichtig. Brenda: Ich stelle sie mir wie eine Triage-Station in einem Krankenhaus vor. Brenda: Der Arzt, die Krankenschwestern und die Operationszentren wissen nicht wirklich, welche nächsten Schritte zu unternehmen sind, wenn nicht eine angemessene Triage erfolgt ist. Brenda: Wenn Sie also Ihre Sorgfaltspflicht erfüllen, egal ob Sie dies in Zusammenarbeit mit einem Managed-Services-Unternehmen, intern oder mit einem hybriden Ansatz tun, sind sie wahrscheinlich einer der wichtigsten Bestandteile des Prozesses, weil sie diejenigen sind, die diese Suche durchführen. Brenda: Ich nenne es die Risikosuche. Brenda: Und sobald sie ein Risiko finden, muss dieses Risiko gemanagt werden. Brenda: Machen Sie sich bewusst, was auch immer Sie mit denen vorhaben, die für Ihr Unternehmen eine akzeptable Toleranz darstellen. Brenda: Vielen Dank für diese Aussage, und ich bin fest davon überzeugt, dass diese Personen die wichtigsten innerhalb des Prozesses im Lebenszyklus sind.

Amy: Super. Amy: Ja, bitte stellen Sie weitere Fragen. Amy: Also, um weiterzumachen, ähm, wenn wir über Risikobeseitigung sprechen, den wichtigsten Aspekt im Risikomanagement von Drittanbietern, wie lassen sich diese am besten verwalten?

Brenda: Wie ich bereits gesagt habe, bedeutet Remediation, dass Sie einen kontinuierlichen Bewertungsprozess durchlaufen. Brenda: Nutzen Sie Ihre Bedrohungsinformationen und legen Sie Schwellenwerte und Warnmeldungen fest, die Ihnen mitteilen, wann sich Risiken ändern. Brenda: Halten Sie Berichte bereit, aus denen hervorgeht, welche Risiken auftreten können und wann deren Behebungsdatum und Frist bevorstehen. Brenda: Und dann sorgen Sie dafür, dass die Geschäftseinheit oder wer auch immer für diese Änderungen zuständig ist, Kontakt mit dem Lieferanten aufnimmt und sagt: „Sehen Sie, Ihre Frist für die Abhilfe läuft bald ab. Brenda: Sind Sie fast fertig und können Sie uns das schicken?“ Brenda: Und denken Sie auch daran, dass eine Risikobehebung nicht bedeutet, dass alles erledigt ist. Brenda: Es bedeutet, dass Sie es überprüfen und sicherstellen müssen, dass es erledigt ist. Brenda: Dafür gibt es bestimmte Protokolle. Brenda: Wir haben in anderen Webinaren schon ein paar Mal über virtuelle Validierung gesprochen. Brenda: Früher haben wir Vor-Ort-Besuche gemacht, wenn wir reisen konnten, und ich kann es kaum erwarten, bis das Reisen wieder etwas mehr möglich ist, aber wenn wir wieder reisen und uns als Unternehmen, Anbieter und Kunden wieder sehen können, bis es soweit ist, haben wir Wege gefunden, um die Validierung durchzuführen, und Validierung bedeutet, diese Risiken zu testen, um sicherzustellen, dass unter Verwendung spezifischer Protokolle das, was sie sagen und was wir sehen, aktiv ist und durchgesetzt wird. Brenda: Das sind also auch Dinge, die mit Risiken verbunden sind. Brenda: Ähm, aber der beste Weg, damit umzugehen, ist ein System, bei dem man seine Inhalte nicht aus der Plattform herausnimmt, in eine Tabelle einfügt und diese Tabellen dann ansieht. Brenda: Man möchte eine Plattform haben, die einem sagt, wo man sich im Lebenszyklus seiner Sorgfaltspflichtprüfung befindet. Brenda: Ähm, wenn sie sich in der Sanierungsphase befinden, wenn man sich noch in der Bewertungsphase befindet, und dann in der Lage ist, die Inhalte zu zerlegen und zu sagen: Wissen Sie was, dieses Jahr haben wir so viele Lieferanten zu bewerten. Brenda: Wir werden uns auf die kritischen und hohen Risiken für jede unserer Stufen und profilierten Lieferanten konzentrieren. Brenda: Ähm, und wir werden unterdrücken, wir werden das Risiko für die mittleren und niedrigen nicht ändern, aber wir werden es so gestalten, dass sie keine Aufgaben für uns generieren, an denen wir arbeiten müssen. Brenda: Wir werden wissen, dass sie da sind. Brenda: Wir werden ihre Existenz anerkennen, aber wir werden uns auf Dinge wie Ransomware, Multi-Faktor-Authentifizierung, ähm, Verschlüsselung des Datenverkehrs und Phishing konzentrieren. Brenda: Sie wissen schon, Dinge, die es Hackern leichter machen, an uns heranzukommen. Brenda: Wenn wir also zur nächsten Phase unseres Programms kommen, wird unsere Richtlinie besagen, dass wir die mittleren und niedrigen Risiken für das zweite Jahr hinzufügen werden, oder wenn wir die hohen und kritischen Risiken identifiziert haben. Brenda: Das ist also eine weitere Möglichkeit, mit ihnen umzugehen.

Amy: In Ordnung, großartig. Amy: Keine Fragen. Amy: Dann gehen wir zum nächsten Punkt über. Amy: In Ordnung, Brenda, ist es möglich, eine einzige Bewertung durchzuführen und mehrere Compliance-Ziele zu erreichen?

Brenda: Ja, und das ist eines der magischen Dinge, die innerhalb der vorherrschenden Lösung passieren. Brenda: Wir haben ausgezeichnete Content-Manager, die sich sehr gut mit NIST und ISO, DSGVO und CCPA auskennen. Brenda: Ich könnte jetzt noch alle möglichen Abkürzungen und alle regulatorischen Rahmenbedingungen aufzählen. Brenda: Und was ich sehr raffiniert finde, ist, dass das aus welcher Zeit stammt? Brenda: Aus den 1950er Jahren, ich habe nur ein schickes und raffiniertes Wort verwendet. Brenda: Was also wirklich toll ist, okay, zurück in den 90ern, was wirklich großartig ist, ist, dass man die Möglichkeit hat, Informationen aus einer anderen Perspektive zu betrachten. Brenda: Ich nenne das den Zauberknopf. Brenda: Es gibt Risikoregister und verschiedene Möglichkeiten, Compliance-Bildschirme zu sehen, und ich würde sagen, okay, ich bin aus der Datenschutzabteilung. Brenda: Ich möchte sehen, wie sich die gesammelten Inhalte auf die Einhaltung der DSGVO auswirken. Brenda: Und ich drücke diesen schönen Knopf innerhalb des Unternehmens und er zeigt mir genau, wo sie in Bezug auf die Einhaltung der Vorschriften stehen, basierend auf den gesammelten Inhalten. Brenda: Man muss also nicht zurückgehen und sagen: „Okay, ich möchte, dass Sie diesen DSGVO-Fragebogen ausfüllen, der möglicherweise bereits Fragen enthält, die Sie bei der Bewertung der gesamten Situation mit Dritten gestellt haben, aber können Sie das noch einmal machen? “ Brenda: Nein, man kann einfach ... Es ändert nur die Perspektive. Brenda: Es ist so ähnlich wie bei einer Kamera, bei der man fokussiert. Brenda: Man fokussiert also auf die DSGVO oder auf NIST oder auf ISO und kann es auf verschiedene Arten betrachten. Brenda: Also, ähm, wir werden damit ziemlich schick. Brenda: Und mir gefällt wirklich sehr, wie viel sie getan haben, damit wir es auf verschiedene Arten betrachten können.

Amy: Ich liebe das Wort „sch schick“. Amy: Es ist toll.

Brenda: Oh, das habe ich auch gesagt. Brenda: Meine Güte.

Amy: Ich wollte „rad“ sagen. Amy: Das klingt ziemlich nach den 90ern.

Brenda: Cool. Brenda: Cool.

Amy: Ich liebe es. Amy: Ähm, also noch keine Fragen. Amy: Äh, wenn Sie dennoch Fragen haben, ich weiß, dass wir uns dem Ende unserer gemeinsamen Stunde nähern, weniger als eine Stunde, also werden wir einige wichtige Punkte zusammenfassen. Amy: Wenn Ihnen etwas einfällt, um, bitte stellen Sie Ihre Fragen über die Q&A-Funktion. Amy: Ähm, und ich überlasse Ihnen, Brenda, die wichtigsten Erkenntnisse hier zusammenzufassen.

Brenda: All right. Brenda: So, I have I have five of them. Brenda: And so, because we had five topics, so I kind of like interlin linked that, but the first one is automation is key. Brenda: I want to make sure that you’re using the ability to push your life cycle with automation on status and certain criteria that’s being met and being able to use what we call active rules. Brenda: So, for example, if we have something that comes in at has a profile and tier intake process. Brenda: Then it will automatically launch the appropriate content that needs to be sent to the supplier. Brenda: And then when it comes back, the status will change as you know, you don’t have to go in and manually change the status. Brenda: And then when it’s assigned and the risks are identified and you push it along the process, um there’s certain things that can happen magically and automatically. Brenda: Otherwise, there’s a couple things that you may or may not have to do manually because you need to have that personal eye touch on it. Brenda: Having the notifications go out so that you don’t have to do the chaser emails. Brenda: That was one of the things that I just despise doing is having to chase people and you can make the information change and or be stagnant based on what notifications are going out. Brenda: You can tell them about your program at the beginning and give them expectations so that it’s very easy for them to identify what’s going to happen next. Brenda: You can remind them when things are coming. Brenda: do you have the ability to slice and dice the data? Brenda: So automation and having the ability to do that is like key for a process to move faster, but always have your program and process somewhat clearly defined in the beginning with the ability to change and tweak it as you go. Brenda: So do know that you’re not going to come in and say, “Okay, it’s going to be fantabulous and no hiccups are going to happen.”. Brenda: Hiccups will happen, but that’s supposed to because that means you have to improve something and it just continues to help you to grow in your life. Brenda: program. Brenda: The other thing is risk intelligence comes in many forms. Brenda: We’ve talked about cyber risk intelligence. Brenda: We talked about inherent risk. Brenda: We talked about profiling and tearing. Brenda: We talked about business intelligence, financial intelligence. Brenda: We now have uh uh other types of reports that we can give you that are even above and beyond what people have been expecting in the past that procurement can use. Brenda: Um share your information. Brenda: Risk intelligence should be shared and then make sure that you’re looking at that risk intelligence in different camera lenses, GDPR, CCPA, whatever that is. Brenda: The other one is obtain assistance from the experts. Brenda: So, if you’re just starting out, you’re you’re probably going to want to say, “Build this and give it to me so that it can be handed off so that I can just focus on risk remediation or risk management.”. Brenda: And that can happen. Brenda: Or you can have a hybrid approach where you have multiple people on staff and you’ve got this campaign that you need to do a lot with. Brenda: So they can help you with that campaign. Brenda: So think about when there’s temporary situations that you have to grow really quickly, they have the ability to help you with that. Brenda: So um don’t feel like you have to muddle along really slowly. Brenda: They can put a uh managed services can put a program together for you. Brenda: They consult with you. Brenda: They can do strategy services with you and a roadmap to say based on what we have in the platform today, which is a lot, we can help you do what you need to do. Brenda: But we’re also going to keep you apprised of the new things that are coming on a every month to every two month basis. Brenda: And we’ll be talking to you about leveraging those items based on what you’ve purchased from prevalent so that you can start using those because that’s the main goal is to make everything easier, faster, better, smarter, scalable. Brenda: And so you’ll want to keep up with the times on all the different components that are available. Brenda: Um run a relevant third party program or supply chain management program. Brenda: Don’t just have one question. Brenda: If you’re small, you can have one questionnaire. Brenda: I can understand maybe you have 25 assessments to do. Brenda: So, don’t think that you have to have different ones for each one. Brenda: But there’s situations where you may have contractors that are using your laptops. Brenda: So, why are you asking them questions about their laptop? Brenda: They’re using yours. Brenda: You should know how secure it is. Brenda: Or you may have someone who’s doing a software um coding for you and and you need to find out how they’re handling defect management. Brenda: because that’s how the hackers can get through is if there’s a code issue and then they come in through that way or um you might have ransomware that’s really important to you in the health care space and ransomware needs to be at the forefront of your questionnaires. Brenda: It’s nice to know all the other key controls but we’re dealing with ransomware right now. Brenda: So that’s something that could be a a proponent item for you. Brenda: And then finally the fifth thing is the responses need to be mapped to the compliance framework the regulatory require experiments and having that mapped will help you to use the camera lens to look at different views of the information that’s coming in and the way that you need to see it depending on who you are in what department. Brenda: So those are my five things. Brenda: So I will um I think we have one other polling question before we end today. Brenda: But as you’re looking at that polling question or a go ahead and put that up and then I could talk about the trusted partnership after you’ve put that up. Brenda: There it is.

Amy: Wir fragen also im Wesentlichen, ob Sie 2021 ein Programm zum Management von Risiken durch Dritte ausbauen oder einführen möchten? Amy: Und ich weiß, dass wir uns dem Jahr 2022 nähern. Amy: Vielleicht sollten wir also auch einen Blick auf den Anfang des nächsten Jahres werfen. Amy: Äh, ja, nein, ich bin mir nicht sicher. Amy: Geben Sie uns eine Antwort. Amy: Und, äh, lassen Sie Sie hier fertig werden, Brenda.

Brenda: Und diese Antwort geht wieder an Amy. Brenda: Wenn Sie also mehr mit Amy und vielleicht auch mit Amanda sprechen möchten, könnten sie es Ihnen vielleicht sagen. Brenda: Ich bin mir nicht sicher. Brenda: Aber es ist wichtig für uns zu wissen, was Sie vorhaben, denn es gibt Möglichkeiten, auf jeder Ebene zu helfen, und Sie befinden sich vielleicht an einem bestimmten Punkt in Ihrem speziellen Programm, an dem Sie vielleicht sogar herausfinden möchten, was es sonst noch gibt. Brenda: Es ist also wichtig, über alle verschiedenen Dinge auf dem Laufenden zu bleiben, die hilfreich sein können, und wie ich bereits sagte, beginnen viele Unternehmen, einen Unternehmensansatz zu verfolgen, und wenn Sie einen Unternehmensansatz verfolgen, gibt es andere Leute, die wissen möchten, wie Ihre Programmplattform Managed Services bei der Beschaffung hilft oder wie sie bei Risiken und Compliance hilft. Brenda: Es gibt also viele verschiedene Dinge, die wir Ihnen zeigen können. Brenda: Und natürlich sind wir laut Gartner Magic Quadrant 2020 führend in Sachen Strategie. Brenda: Und das ist wichtig, denn ohne Strategie kann man nicht weiterhin allen aktuellen Entwicklungen einen Schritt voraus sein. Brenda: Außerdem haben wir das am schnellsten wachsende Anbieternetzwerk. Brenda: Wir haben 2020 ein Wachstum von bis zu 128 % erzielt. Brenda: Und wir machen auch dieses Jahr wieder die Gartner-Quad-Versicherung. Brenda: Diese Berichte werden also bald veröffentlicht, ich glaube, im nächsten Monat oder so, höchstens in ein paar Monaten. Brenda: Ähm, wir haben einige wirklich gute, vertrauenswürdige Unternehmen, die wir als unsere Freunde bezeichnen, und wir arbeiten eng mit ihnen zusammen, um herauszufinden, was sie mit der Plattform erreichen wollen, die ihnen helfen wird. Brenda: Natürlich haben wir Experten, die wissen, in welche Richtung wir gehen wollen, aber wir hören auch unseren Kunden zu, und es macht einfach am meisten Spaß, mit unseren Mitarbeitern zusammenzuarbeiten. Brenda: Ich möchte also sicherstellen, dass Sie wissen, dass wir auch sehr stolz auf die Menschen sind, die in unserem Unternehmen arbeiten.

Brenda: Wenn Sie also Fragen haben, wie wir bereits besprochen haben, werden wir darauf eingehen. Brenda: Wenn Sie jedoch etwas direkt an Amy senden möchten, lautet ihre E-Mail-Adresse [email protected]. Brenda: Wir sind auf LinkedIn und Twitter vertreten, folgen Sie uns. Brenda: Wir versenden regelmäßig Whitepaper, um sicherzustellen, dass Sie immer auf dem neuesten Stand sind, sei es in Bezug auf ESG, ein sehr aktuelles Thema, oder auf Ereignisse im Ökosystem, mit denen wir uns befasst haben, oder andere Arten von Berichten. Brenda: Gibt es noch Fragen, Amy? Brenda: Haben wir noch etwas zu besprechen?

Amy: Ähm, noch nicht, aber ich werde noch ein bisschen weiterplappern. Amy: Wenn also jemand noch letzte Fragen hat, nutzt bitte die Q&A-Funktion. Amy: Vielen Dank an alle, die an unserer Umfrage teilgenommen haben. Amy: Wenn Sie mit „Ja” geantwortet haben, werden Sie von mir oder meiner Kollegin Amanda Fina eine Rückmeldung erhalten, um sicherzustellen, dass Sie versorgt sind und wissen, dass wir Ihnen gerne weiterhelfen. Ich weiß, dass Brenda unsere Plattform und unsere Managed Services ziemlich gut vorgestellt hat, aber wenn Sie noch weitergehende Fragen haben oder mehr erfahren möchten, wenden Sie sich bitte wie gesagt an info prevalent.net. Ich möchte noch erwähnen, dass Sie, wenn Sie an diesem Webinar teilgenommen oder sich dafür registriert haben, direkt im Anschluss eine E-Mail von Amanda oder mir erhalten sollten, damit Sie Ihre Informationen für alle Fälle zur Hand haben. Amy: Es kommen keine Last-Minute-Fragen mehr, aber Brenda, ich weiß, dass ich eine Menge gelernt habe, und ich bin mir sicher, dass das ein gutes Zeichen ist, denn alle, die hier sitzen, denken darüber nach, was sie als Nächstes tun werden.

Brenda: Ja. Brenda: Nun, hoffentlich ist es etwas Lustiges, wie zum Beispiel ihre Management-Reife.

Amy: Stimmt's? Amy: Im Ernst, Sie haben die Leute zum Nachdenken gebracht, und sie sind hier auf dem richtigen Weg. Amy: Also, ähm, ja, wissen Sie, wir sind hier, um zu helfen. Amy: Wie ich bereits erwähnt habe, ähm, nachdem das gesagt ist, denke ich, dass wir Ihnen etwas Zeit zurückgeben werden. Amy: Nochmals vielen Dank, dass Sie sich eine Stunde Zeit genommen haben, um mit mir und Brenda zu sprechen. Amy: Wenn Sie Fragen haben, wenden Sie sich bitte an uns. Amy: Ich hoffe, Sie nehmen einige umsetzbare Tipps mit, wie Sie die Daten erhalten, die Sie benötigen, um klare, fundierte Entscheidungen zu treffen und gleichzeitig das Vertrauen der Führungskräfte in Ihr Risikomanagementprogramm für Dritte zu stärken. Amy: Sonst noch etwas, Brenda?

Brenda: Nein, ich danke Ihnen vielmals. Brenda: Es war mir ein Vergnügen und eine Ehre, und wir sehen uns bald wieder.

Amy: Klingt gut. Amy: Vielen Dank, Brenda. Amy: Danke euch allen. Amy: Ich wünsche euch noch einen schönen Tag. Amy: Tschüss. Amy: Tschüss. Amy: Tschüss.