Beschreibung
Risikobewertungen auf der Grundlage von Fragebögen sind eine gute Möglichkeit, um zu verstehen, wie Dritte mit Ihren Daten umgehen, wie sie die Stabilität Ihres Unternehmens sicherstellen oder wie sie sich an vertragliche Anforderungen halten. Aber Fragen sind wertlos, wenn man keine Antworten bekommt! In einer kürzlich durchgeführten Prevalent-Studie nannten 57 % der Befragten mangelhafte Kommunikation mit den Anbietern und/oder auf Tabellenkalkulationen basierende Bewertungsmethoden als eines der größten Probleme beim Risikomanagement mit Dritten.
Wenn Sie zu den "57 Prozent" gehören, dann sollten Sie an der nächsten Sitzung unserer Webinarreihe TPRM 101 teilnehmen: Wie man Anbieter dazu bringt, auf Risikobewertungen zu reagieren. Brenda Ferraro, Prevalent VP of Third-Party Risk, wird bewährte Praktiken aus ihrer mehr als 20-jährigen Erfahrung in der Zusammenarbeit mit einigen der weltweit effektivsten Drittanbieter-Risikomanagement-Programme (TPRM) vorstellen.
In diesem Webinar erfahren Sie mehr:
- Wie man mit Anbietern kommuniziert, um eine höhere Rücklaufquote zu erreichen
- Wann man realistischerweise Antworten (und andere KPIs) erwarten kann
- Was ist zu tun, wenn Sie nicht den richtigen Ansprechpartner haben oder keine Antwort erhalten können?
- Wer kann Ihnen helfen, Antworten zu finden und Ihr Risiko zu analysieren?
- Wo man Informationen über die Risiken von Anbietern erhält, ohne auf eine Antwort zu warten
Sie erhalten praktische Ratschläge zur Verbesserung Ihres bestehenden TPRM-Programms sowie Empfehlungen für Tools und Techniken, die den Bewertungsprozess vereinfachen können.
Redner
Brenda Ferraro
Verbreitete VP des Drittparteirisikos
Abschrift
Amy Tweed: In Ordnung, willkommen an alle, die hier so früh eintrudeln. Okay, hier kommen ein paar Leute. Okay, großartig. Ich freue mich, dass Sie heute hier dabei sind, egal wo Sie gerade sind, egal wie spät es für Sie ist. Wir freuen uns sehr darauf, dieses Webinar durchzuführen. Ich werde gleich eine Umfrage starten, um zu erfahren, warum Sie hier sind, was Sie heute hierher geführt hat. Wir wollen wirklich erfahren, was Sie lernen wollen und warum Sie hier sind. Und während ich das tue, werden wir ein paar Hausregeln durchgehen und uns ein wenig vorstellen. Ich werde also diese Umfrage starten, während Sie sich einrichten, es sich bequem machen und sich einen Moment Zeit nehmen, um zu antworten. Ich bin hier mit Brenda Ferraro zusammen. Sie ist Prevalents eigene Vizepräsidentin für Drittparteirisiken. Sie wird uns das Einmaleins des Risikomanagements von Drittanbietern erläutern und uns zeigen, wie Sie Ihre Anbieter dazu bringen, auf Risikobewertungen zu reagieren. Wir werden heute also eine Menge wirklich guter Dinge besprechen. Mein Name ist Amy Tweed. Ich bin in der Geschäftsentwicklung hier bei Pre tätig. Ich werde immer wieder auf Ihre Fragen eingehen. Unten sehen Sie eine Q&A-Funktion. Außerdem gibt es eine Chat-Funktion. Während Sie also zuhören und lernen, stellen Sie bitte Ihre Fragen. Wir möchten, dass dies so interaktiv wie möglich bleibt. Das heißt, die Kameras sind ausgeschaltet. Sie sind absichtlich stumm geschaltet, aber bitte stellen Sie Ihre Fragen. Außerdem werde ich während der gesamten Sendung Umfragen einbeziehen. Also, Brenda, wie geht es Ihnen heute? Ich bin sehr aufgeregt.
Brenda Ferraro: Mir geht es gut. Wie geht es Ihnen?
Amy Tweed: Mir geht es gut. Ich danke Ihnen.
Brenda Ferraro: Außerhalb von aufgeregt.
Amy Tweed: Großartig. Heute gibt es viel zu berichten. Also, ähm, die Umfragefragen sind noch offen. Wir haben noch etwa 10 Sekunden Zeit. Machen Sie es sich gemütlich und lassen Sie uns wissen, was Sie heute hierher geführt hat. Sei es, dass Sie ein Bildungsprojekt recherchieren, dass Sie ein bevorstehendes Risikomanagementprojekt für Dritte haben, dass Sie nicht sicher sind, warum Sie hier sind. Sie fragen sich: Wo bin ich noch mal? Das können Sie sich selbst fragen. Sieht so aus, als ob niemand darauf antwortet. Also, die Leute sind absichtlich hier. Und dann haben wir auch einige Stammkunden. Also, schön, dass Sie da sind. In Ordnung, ich werde diese Umfrage beenden. Brenda, nimm sie weg.
Brenda Ferraro: In Ordnung, danke Amy. Wie sie bereits erwähnt hat, möchten wir, dass die Fragen während des gesamten Webinars gestellt werden, und Amy wird auf dem Bildschirm erscheinen und die Fragen für Sie stellen. Bitte stellen Sie also sicher, dass Sie sich beteiligen. Wir stellen auch gerne Umfragen während der Webinar-Präsentation, damit ich ein Gefühl für das Publikum bekomme, damit ich direkt auf Ihre Bedürfnisse eingehen kann. Wir werden also sicherstellen, dass ich, wenn Amy auftaucht, entweder unterbreche, was ich sage, oder wir beenden den Satz oder einen Bildschirm und beantworten dann Ihre Fragen. Nun gut. Also, wie bringen Sie Ihre Anbieter dazu, auf Risikobewertungen zu reagieren. Dies ist einer der größten Problempunkte, und dafür gibt es mehrere Gründe. In der heutigen Präsentation werde ich Ihnen daher einige Techniken und grundlegende Informationen vermitteln, die Sie auch in Ihr eigenes Programm einbauen können. Einige der Dinge, über die ich sprechen werde, sind Prozesse, die Sie außerhalb jeder Plattform, die Sie verwenden, einrichten müssen. Und dann werden wir auch über Dinge sprechen, die Teil Ihrer Plattform für das Risikomanagement von Drittanbietern sein sollten, denn Automatisierung ist der Schlüssel, um Dinge schneller zu erledigen, aber wir wollen, dass es richtig gemacht wird. Lassen Sie uns also mit unserer Agenda beginnen. Heute werden wir also über diese fünf Dinge und mehr sprechen. Ich werde so viel wie möglich in diese Stunde einbauen, weil dieses Thema so wichtig ist. Der erste Punkt ist die Sicherstellung einer höheren Rücklaufquote und die Kommunikation und die Fähigkeit, Ihren Anbietern, Ihrem Unternehmen und Ihrer Organisation mitzuteilen, was Sie tun und warum Sie es tun, schafft die Voraussetzungen für den Erfolg. Wir werden also über einige dieser Techniken sprechen. Ein weiterer Punkt sind realistische Erwartungen. Wir können also Erwartungen an unsere Lieferanten haben, wie schnell wir etwas brauchen, aber wir müssen auch darüber nachdenken, was wir von ihnen verlangen und wie schnell sie reagieren können. Und wenn ein Risiko oder eine Kontrolle festgestellt wird, die nicht vorhanden ist, wie lange sollte es dauern, bis sie etwas in die Wege leiten, damit die Sicherheit erhöht wird? Und was macht man, wenn man nicht den richtigen Ansprechpartner hat? Ich habe kurz vor dieser Telefonkonferenz an einer Konferenz teilgenommen, und ich werde sie mir noch einmal ansehen, wenn diese Telefonkonferenz zu Ende ist, aber es wurde speziell auf CISO-Ebene darüber gesprochen, was man tun sollte, wenn man keinen Ansprechpartner hat, und zwar im Rahmen der jährlichen Überprüfung. Denn wenn Sie die einzelnen Anbieter fragen, was sie für ihre Sicherheitslage tun, werden Sie in der Regel entweder eine Verbesserung oder eine Verschlechterung feststellen. Normalerweise verbessert sich das Sicherheitsniveau, oder es gibt Änderungen in der Bedrohungslandschaft, nach denen Sie sie fragen müssen, damit Sie wissen, dass ihr Sicherheitsniveau gut ist. Aber vor allem ist es wichtig, einen Ansprechpartner zu haben. Wenn Sie keinen Ansprechpartner haben, wie können Sie dann eine Bewertung durchführen lassen? Oder wenn man keinen Ansprechpartner hat, wie bekommt man dann eine Antwort auf einen Vorfall oder eine Art Schnellreaktionsszenario, zu dem man Informationen benötigt? Das ist also eine Sache, die wir ebenfalls besprechen werden. Dann werden wir uns mit der Suche nach Antworten beschäftigen. Wir befassen uns mit der Verwaltungsmüdigkeit und wie man ihr entgehen kann. Und schließlich geht es darum, was wir in Bezug auf die Risikoinformationen der Anbieter tun und wie wir diese nutzen oder ob wir auf Antworten warten. Wir werden also über all diese Dinge sprechen. Bevor wir über die Kommunikation für eine bessere Rücklaufquote sprechen, möchten wir unsere erste Umfrage starten, Amy, und sehen, was unsere Zuhörer heute denken und wo sie stehen.
Amy Tweed: In Ordnung, also eine Umfragefrage. Haben Sie Probleme, Antworten von Ihren Anbietern zu erhalten? Einfach ja, nein, nicht sicher. Nehmen Sie sich einen Moment Zeit für die Antwort. Ich erinnere mich, als ich in einem großen Unternehmen das Programm zur Risikobewertung von Drittanbietern entwickelte, war dies einer der Bereiche, der für uns sehr schwierig war, und wir versuchten, so viele Techniken zu entwickeln. Ich hoffe also, dass all die Dinge, über die wir heute gesprochen haben, entweder nachhallen und Sie daran erinnern, dranzubleiben, oder Ihnen ein paar Ideen geben.
Amy Tweed: Großartig. In Ordnung, ich werde die Umfrage in drei, zwei, eins beenden. Wir haben hier eine Menge Antworten. Ich werde sie teilen. Also, eine Menge Ja, ein bisschen Nein, nicht sicher.
Brenda Ferraro: Okay. Dieses Webinar und die Präsentation sind für Sie. Wir freuen uns, dass Sie hier sind. Das ist gut.
Brenda Ferraro: Wir werden Ihnen heute auf jeden Fall helfen. Vielen Dank, dass Sie dabei sind, und lassen Sie uns loslegen. Lassen Sie uns also über die vier proaktiven Kommunikationstechniken sprechen. Ich könnte jetzt auf die aggressive Kommunikation und die Vermeidungskommunikation und all diese sozialen Stile eingehen, aber das ist nicht wirklich das, worüber wir heute sprechen wollen. Wir werden gleich zu Beginn über diese vier Punkte sprechen. Es gibt Dinge, die Sie tun können, um sicherzustellen, dass sich Ihre Lieferanten an Ihr Programm halten. Damit werden wir uns also befassen. Als Nächstes werden wir uns mit der anfänglichen und der laufenden Sorgfaltspflicht befassen. Von dort aus werden wir über kontinuierliche Statusaktualisierungen und Berichte sprechen, denn eine Sache, die mich als Einzelperson wirklich stört, ist, dass ich, wenn ich einen Test mache oder auditiert werde, wissen möchte, was ich in Ordnung bringen muss, und dann muss ich wissen, wie lange ich dafür brauche. Die ausgereiftesten Unternehmen sind in der Lage, interne und manchmal auch externe Exposés oder Konferenzen zu veranstalten, um sich weiterzubilden und darüber zu informieren, was im Rahmen des Programms geschieht und wie gut es ihnen geht. Kommen wir nun zum Abschnitt über Verträge in diesem Webinar. Sie haben Dienstleistungsvereinbarungen, Sie haben Vereinbarungen über die Zusammenarbeit mit Geschäftspartnern und Sie haben vielleicht noch andere Arten von Vereinbarungen, die Sie verwenden. Aber bei jeder einzelnen Vereinbarung habe ich festgestellt, dass sie sich bewährt hat, und ich empfehle sie auch anderen Unternehmen, wenn ich mit ihnen Strategiegespräche führe: Es muss unbedingt ein Abschnitt über das Risikomanagementprogramm für Dritte in Ihrem Vertrag enthalten sein. Er muss nicht langatmig sein. Er kann sehr kurz sein, etwa ein, vielleicht zwei Absätze und einige Erwartungen an die Art der Bewertungen, die Sie durchführen werden. Dies ist völlig unabhängig von der jährlichen Prüfungsklausel, die normalerweise in einem Vertrag enthalten ist. Und ich hatte eine Menge Probleme damit, dass die vertragsschließende Organisation oder die Abteilung für Lieferantenmanagement oder die Beschaffung oder der Einkauf, wer auch immer zuständig war, von mir verlangte, rote Linien durchzugehen.
Brenda Ferraro: Und die roten Linien betrafen die Sicherheitsumgebung oder sogar das Risikomanagement Dritter oder die jährliche Bewertung. Ich kam an den Punkt, an dem ich dachte: "Wissen Sie was, ich verbringe viel zu viel Zeit damit, Fristen einzuhalten. Ich bin nicht von Natur aus Jurist. Ich habe keinen Abschluss in Jura. Ich möchte nur, dass sie verstehen, dass sie unser Risikoprogramm für Dritte einhalten müssen. Egal, ob es einen Vorfall gibt, sie müssen reagieren. Egal, ob es sich nur um eine Bewertung handelt, sie müssen die Bewertung abschließen. Wenn wir einige Ausnahmemöglichkeiten haben, werde ich diese im Vertrag aufführen. Aber ich wollte, dass er unredlinierbar ist. Das Wort "unredigierbar" steht nicht im Webster's Dictionary. Es ist also etwas, das ich mir vielleicht ausgedacht habe, oder etwas, das die Leute immer benutzt haben, aber wir haben es nicht offiziell gemacht. Aktualisieren Sie also diese Verträge mit einem TPRM-Abschnitt. Die andere Sache, die sehr hilfreich war, ist, dass wir in einigen Fällen einen Zusatz zur Informationssicherheit in den Vertrag aufgenommen haben. Bei bestimmten Kategorien von Anbietern oder Zulieferern haben wir dafür gesorgt, dass diese Informationen dem Vertrag beigefügt wurden und dass sie unseren Schlüsselkontrollen entsprechen, die für diese Art von Auftrag gelten. In anderen Webinaren haben wir über Schlüsselkontrollen gesprochen. Dabei handelt es sich im Grunde um die Kontrollen, die wir unbedingt durchführen müssen, um mit Ihnen Geschäfte für diese Art von Dienstleistung zu machen. Es würde also eine sehr kurze Zusammenfassung der Kontrolle geben und was erwartet wird und warum. Auf diese Weise wüssten die Kunden schon im Vorfeld, noch vor einer Bewertung oder direkt nach einer ersten Bewertung, dass dies die Dinge sind, auf die wir uns ganz besonders konzentrieren werden. Was die Leistungs- und Risikoindikatoren betrifft, so war dies sehr hilfreich, denn zu Beginn des Aufbaus eines Programms spielen die Abteilungen manchmal nicht gut zusammen.
Brenda Ferraro: Sie haben vielleicht eine Beschaffungsabteilung, die sich für bestimmte Dinge zuständig fühlt, eine Abteilung für Drittparteirisiken, die sich für bestimmte Dinge zuständig fühlt, eine Compliance-Abteilung, die sich für bestimmte Dinge zuständig fühlt, und bis das zentralisiert ist, müssen Sie in der Lage sein, diesen Organisationen und Abteilungen zu zeigen, wie dies nicht nur Ihnen beim TPRM hilft, sondern auch ihnen, denn denken Sie an die Zeit, die Sie sparen, wenn Sie keine roten Linien haben und hin und her verhandeln müssen, ob Sie wirklich diese Art von Bewertung durchführen müssen. Kürzlich fand eine Debatte mit etwa 25 Fachleuten aus dem Bereich Risikomanagement für Dritte statt, bei der wir darüber diskutierten, welche Erwartungen das Risikomanagement für Dritte in Bezug auf das Ausfüllen von Bewertungen hat. Müssen Sie einen firmeneigenen Fragebogen oder einen Standardfragebogen ausfüllen oder auf die Plattform von jemandem gehen und dessen Fragebogen für ein Netzwerk ausfüllen? Und die Antwort lautet: Ja. Sie als Unternehmen haben keinen Prüfer, der in Ihr Geschäft kommt und sagt: "Geben Sie mir Ihr Selbstaudit." Das tun sie nie. Sie machen ein Selbstaudit, um sich vorzubereiten. Aber Sie sagen nie: "Oh, hier ist mein Selbstaudit. Danke, dass Sie mich auditiert haben." Sie werden kommen und Sie auditieren. Nun, das werden wir mit den Drittanbietern von Risiken machen. Wir werden sie um Informationen bitten und Berichte über Bedrohungsdaten erstellen, um herauszufinden, ob ihre Sicherheitslage solide ist. Diese KPIs und KIS waren also sehr hilfreich, um zu sagen: Okay, es gibt Unternehmen, die die Vorschriften einhalten. Sie erfüllen ihre Anforderungen an das Risikomanagementprogramm für Dritte, das in ihrem Vertrag festgelegt ist, und die Verträge werden schneller abgeschlossen, weil wir die Informationen nicht hin- und herschieben müssen. Die andere Sache ist das Nicht-Reagieren. Wenn also ein Anbieter nicht antwortet oder den entsprechenden Abschnitt nicht ausfüllt, ist das ein Warnsignal. Warum sollten sie sich nicht an den Risiken Dritter beteiligen wollen, um sicherzustellen, dass das Ökosystem der Sicherheit solide ist? Das sind also die Dinge, die Ihnen in Bezug auf Verträge helfen werden. Wenn Sie das nicht bereits tun, würde ich darüber nachdenken, es ziemlich schnell zu tun. Das wird jetzt eine Informationsflut sein. Es ist ein sehr umfangreiches Bild mit vielen Schritten, die Sie unternehmen können.
Brenda Ferraro: Vielleicht möchten Sie das ja mit der Kamera aufnehmen. Sie erhalten dies in Ihrem Posteingang als aufgezeichnete Sitzung. Und manchmal, glaube ich, geben wir sie als PDF heraus. Während Sie also durchgehen, was Sie mit Ihrem Lieferanten tun, bauen Sie eine Beziehung auf. Und das sollten Sie frühzeitig und häufig tun, denn wenn ein Vorfall eintritt, möchten Sie eine Beziehung zu ihnen aufbauen, in der sie Ihnen Informationen über die Vorgänge geben, aber auch die Voraussetzungen dafür schaffen, dass Sie sagen können: "Ich bin hier, um Ihnen zu helfen, sicher zu sein und eine erfolgreiche Beziehung zu unserem Unternehmen zu haben, und dies sind die Dinge, die ich eingeführt habe, damit Sie genau wissen, was wir wann, warum und wie schnell mit Ihnen tun. Es muss also eine Art von anfänglicher Ankündigung über Ihr Programm an Ihre internen Hauptinteressenten erfolgen. Und Sie sollten auch Ihren Anbietern - egal, ob es sich nur um die kritischen und wichtigen Anbieter oder um alle handelt - mitteilen, dass Sie ein Programm haben und was Sie von ihnen erwarten werden. Dies schafft die Voraussetzungen und legt den Grundstein dafür, dass Sie ihnen sagen können, dass wir genau das vorhaben, was wir zu tun gedenken, und dass es sich vielleicht noch ändern wird, aber Sie müssen sich auch daran halten. Und es gibt Ihren internen Stakeholdern das Bewusstsein, dass Sie mit diesen Anbietern kommunizieren, denn manchmal kann es zu einer heiklen Situation kommen, in der die Beschaffungsbeauftragten oder das Beschaffungsbüro sagen: "Moment mal. Wir sind die Einzigen, die mit unseren Lieferanten sprechen, und jetzt sprechen Sie auch noch mit unseren Lieferanten. Was genau sagen Sie denn zu ihnen? Was sammeln Sie von ihnen?" So erhalten Sie eine bessere Kommunikationsstruktur mit Ihren internen und externen Stakeholdern für die Beziehung zu Ihren Lieferanten. Und nun das Willkommensprogramm. Dies geschieht, wenn Sie sich an einen Anbieter wenden, um eine Bewertung vorzunehmen. Sie sollten also die Erwartungen an das Programm festlegen und sagen: "Willkommen in unserem Programm. Das ist der Grund, warum wir es machen. Das werden wir von Ihnen erwarten. So wird es weitergehen." Und in vielen Fällen, wenn Sie über eine Plattform arbeiten, kann die Plattform diese Ankündigung für Sie machen.
Brenda Ferraro: Sie müssen das nicht außerhalb der Plattform tun, aber wenn Sie möchten, können Sie das tun. Es ist nur ein weiterer Schritt von etwas, das Sie verfolgen müssen. Wenn Sie sie über die nächsten Schritte informieren, sollten Sie mit ihnen darüber sprechen, was sie erwarten wird. Und hoffentlich wird es auf relevante Informationen hinauslaufen, die Sie sammeln müssen. Wenn Sie bereits einen Standardfragebogen verwenden, aber eine Einheitsgröße verwenden, ist diese Einheitsgröße möglicherweise nicht für jeden einzelnen Vertrag relevant. Vielleicht haben Sie einen Softwareentwickler, den Sie bestimmte Dinge fragen müssen. Möglicherweise möchten Sie Fragen zu Ransomware hinzufügen, und es muss auch darauf hingewiesen werden, dass es einen Abschnitt zu Ransomware geben wird, den sie beantworten oder auf den sie reagieren müssen. Und dann geben Sie ihnen einen Zeitplan und stellen Sie sicher, dass die E-Mail-Erinnerungen, die Sie in Ihr System oder Ihre Plattform eingebettet haben, sie auch in diesem Zeitrahmen daran erinnern werden. Normalerweise empfehle ich, die Leute mindestens dreimal zu erinnern. Einmal und dann einmal, um zu sagen: "Ich hoffe, Sie haben diese Benachrichtigung erhalten. Das zweite Mal, um zu sagen, äh, wir wollen nur sicherstellen, dass Sie diese Benachrichtigung erhalten haben. Sie haben noch ein paar Wochen oder Tage Zeit, wie schnell auch immer Sie das erledigen müssen. Und es sagt ihnen im Grunde, was passiert, wenn sie nicht reagieren, weil man ihnen nicht einfach etwas geben kann, ohne ihnen ein Fälligkeitsdatum zu nennen und ohne ihnen zu sagen, was die Konsequenzen sind. Es gibt Unternehmen, die mit einem sanften Hammer arbeiten, und andere, die mit einem harten Hammer arbeiten. Die harte Variante ist zu sagen: "Wir stellen die Zahlungen ein. Der weiche Hammer ist, zu sagen: "Wir haben die Möglichkeit, Ihren Termin zu verlängern, wenn Sie Probleme haben, die Sache zu Ende zu bringen, oder möchten Sie einen Anruf tätigen, oder Sie können eskalieren und diesen Ansatz intern verfolgen." Die entsprechende Due-Diligence-Prüfung ist wirklich wichtig, weil wir überall Ermüdungserscheinungen haben, vor allem angesichts der Tatsache, dass wir Ransomware-Angriffe hatten und die Leute Fragebögen verschicken. Sie müssen auch immer noch proprietäre Fragebögen ausfüllen. Niemand hat bisher herausgefunden, wie man proprietäre und Standardfragebögen so gestaltet, dass sie sich gegenseitig referenzieren.
Brenda Ferraro: Es gibt Unternehmen, die sich damit befassen, und wenn man damit anfängt, diese Zuordnung vorzunehmen, ist die Prävalenz eine davon. Wir haben begonnen, uns einige der Standardfragebögen anzuschauen und sicherzustellen, dass wir diese abbilden und Beziehungen herstellen. Aber solange es nicht nur einen Weg gibt, das zu tun, was sehr schwierig sein wird, haben wir noch keine Nuss gefunden, die wir knacken können. Wir müssen sicherstellen, dass wir zu unseren Anbietern freundlich sind, denn wir wollen, dass sie an der Behebung der Risiken arbeiten und uns nicht ständig sagen, dass sie eine Sicherheitslücke haben. Sie sollen an der Behebung arbeiten. Bauen Sie also diese direkte Beziehung zum Anbieter auf. Als Nächstes haben wir über die E-Mail-Erinnerungen gesprochen, die sicherstellen sollen, dass es Warnungen gibt, egal ob es sich um harte oder weiche Warnungen handelt. Bestätigen Sie, dass sie sie erhalten haben. Und wenn sie nicht reagieren, sollten Sie nicht nur die guten Lieferanten melden, sondern auch die, die nicht reagieren, denn dann sollte das Risiko für diese speziellen Lieferanten gekennzeichnet werden. Wenn wir nun zur ersten Risikozusammenfassung übergehen, werden Sie mit der Überprüfung beginnen. Die Informationen werden Ihnen zurückgegeben. Sie werden Thread-Intelligence-Berichte erstellen, wenn Sie das nicht schon getan haben. Sie werden hoffentlich eine eingebettete Risikotoleranz auf diese Risiken anwenden. Wenn Sie die für den Auftrag relevanten Risiken betrachten, können Sie erste zusammenfassende Risikoberichte erstellen. Dieser erste zusammenfassende Risikobericht sollte dem Anbieter übermittelt werden, um ihm mitzuteilen: "Danke, dass Sie uns die Informationen zur Verfügung gestellt haben. Sobald uns ein endgültiger Risikobericht vorliegt oder wir mit Ihnen über die Abhilfemaßnahmen verhandeln, können wir einen Nachverfolgungsmechanismus einrichten, um sicherzustellen, dass diese außerhalb einer jährlichen Überprüfung abgeschlossen werden, denn wir wollen in Echtzeit wissen, wann sie abgeschlossen sind. Amy, es sieht so aus, als hätten wir eine Frage.
Amy Tweed: Ja, wir haben ein paar. Und eine Sache, die wir haben ein paar Leute, die vor kurzem beigetreten sind. Wenn Sie also Fragen haben, nutzen Sie bitte die Frage- und Antwortfunktion oder den Chat und beantworten Sie sie so schnell wie möglich. Wir haben also zwei hier. Brenda.
Brenda Ferraro: Die erste Frage: Gibt es eine Vorlage für einen Ransomware-Fragebogen, die wir weitergeben können? Ja, Prevalent hat einen, den sie im Gesundheitssektor und auch in anderen Sektoren verwenden, und er enthält etwa 11 Fragen. Wir hatten ein Ransomware-Webinar, ich glaube, es war letzte oder vorletzte Woche, und darin sind diese 11 Fragen aufgeführt. Es gibt also eine Vorlage, die Sie verwenden können, und Sie können sie bekommen, indem Sie zum Ransomware-Webinar gehen und sich dafür anmelden oder Amy Tweet unter [email protected] kontaktieren, damit sie Ihnen eine Kopie zukommen lassen kann.
Amy Tweed: Ja. Ich helfe gerne. Noch eine Frage, die wir bis jetzt haben. Wie umgehen Sie das Problem, wenn Sie es mit einem Anbieter zu tun haben, der eine viel größere Organisation ist als wir? Beispiel: die Microsofts und Apples dieser Welt.
Brenda Ferraro: Ja. Es gibt also das, was ich die großen Unternehmen nenne. Und als ich mit diesen arbeitete, nahm ich hauptsächlich die Informationen, die sie bekamen, und manchmal haben sie Fragebögen zur Informationssammlung geteilt, manchmal füllten sie einen weit verbreiteten Kontrollrahmen aus, aber ich stellte sicher, dass sie zumindest das ausfüllten, was ich einen Fragebogen zur Informationssammlung nennen würde, der weniger als 10 bis 20 Fragen umfasst, und dann auf dieser Grundlage ihren Stop-2-Bericht überprüften und Risiken identifizierten. Jetzt sind sie in Bezug auf ihre Sicherheitsvorkehrungen vorausschauender. Wir stellen natürlich fest, dass sowohl die Giganten wie Microsoft als auch mittlere und kleine Unternehmen betroffen sein können. Versuchen Sie also, die Informationen relevant zu machen und in der Lage zu sein, auf ihre SharePoint-Site zu gehen, Informationen zu ziehen und sie so weit wie möglich in Ihr System zu integrieren, damit sie für Ihre Risikoidentifizierung relevant sind. Mit den Giants konzentrieren wir uns nun wirklich auf die Digitalisierung. Stellen Sie also sicher, dass Sie über Softwareprogramme verfügen, deren Fehlermanagement, Pen-Tests und dergleichen evaluieren. Und das ist es, was Sie wirklich wissen wollen, wenn es um die Giganten geht, denn sie arbeiten schon seit langem an ihrer Sicherheitslage. Manchmal beeinflussen sie unsere Sicherheitslage. Vertrauen Sie ihnen also, aber vertrauen Sie ihnen nur zu einem gewissen Prozentsatz. Ich hoffe, das war hilfreich. Wenn wir nun zur abschließenden Risikozusammenfassung und zur aktualisierten Risikozusammenfassung übergehen, die die letzten beiden Punkte zu diesem Thema sind, sollten wir diese Risiken normalisieren. Wenn Sie also Ihre Überprüfung durchführen und Ihre Risiken in eine Plattform einbetten oder eine Kalkulationstabelle verwenden, die Ihnen Ihre Risiken anzeigt, was Sie hoffentlich nicht tun müssen, weil das sehr manuell wird. Aber wenn Sie eine Plattform haben, die das automatisch für Sie erledigt, dann stellen Sie sicher, dass diese Informationen auch in Ihre Bedrohungsdaten einfließen und auch in eine Validierungsbewertung, wenn Sie eine durchführen. Diese Vor-Ort-Bewertungen, die wir früher gemacht haben, werden wir vielleicht in Zukunft machen können, aber bis dahin haben wir virtuelle Validierungsbewertungen, die durchgeführt werden können, um diese Kontrollen zu testen. All diese drei Risikofaktoren müssen also normalisiert werden. Informieren Sie auch Ihre Stakeholder darüber, was passiert ist. Lassen Sie sie intern nicht im Dunkeln, was mit diesem bestimmten Anbieter los ist. Geben Sie ihnen Einblick. Informieren Sie sie über die zusammenfassenden Risikoberichte. Lassen Sie sie wissen, wie die Lage ist, denn Ihr Risikomanagementteam für Drittanbieter ist eine Aufklärungsfunktion. Sie teilen dem Unternehmen die Warnzeichen mit und sind dafür verantwortlich, diese Warnzeichen auszuschließen oder dafür zu sorgen, dass ihre Lieferanten die Risikobeseitigung einhalten, unabhängig davon, ob dies Ihrem Risikomanagementteam obliegt oder ob sie als Kundenvertreter die Kontrolle darüber übernehmen. Anschließend müssen diese Risiken kontinuierlich verfolgt werden. Wir müssen alle von einer jährlichen Risikobewertung durch Dritte, die natürlich für die Kontaktstelle großartig ist, weil man das tun muss, zu einer Bewertung übergehen, die fortlaufend und im Wesentlichen in Echtzeit erfolgt. Ganz gleich, ob Sie etwas gefunden haben, das in der Bedrohungsüberwachung des Anbieters markiert ist, oder ob Sie etwas gefunden haben, das Sie reaktiv abfragen müssen, und wir wollen, dass Sie proaktiv vorgehen, z. B. bei Ransomware, einem Vorfall oder einer Art von Lösegeldzahlung. Teilen Sie also diese Risikoinformationen, verhandeln Sie mit ihnen und verfolgen Sie sie. Eine weitere Frage, bevor ich zum letzten Punkt komme.
Amy Tweed: Ja, eine weitere Frage. Wie gehen Sie mit Anbietern um, bei denen die Ausgabenschwelle zu niedrig ist, als dass sie auf den Fragebogen antworten oder Ergänzungen zur Vertragsausstellung akzeptieren könnten?
Brenda Ferraro: Das war eine sehr interessante Situation, in die ich geraten bin, und wir haben dafür gesorgt, dass die Geschäftsbereiche verstanden haben, dass sie bei einem kleinen Unternehmen nur nach relevanten, nicht zu umfangreichen Informationen gefragt werden. Nummer eins und Nummer zwei: Es gibt zwei Techniken, die man anwenden kann. Erstens können Sie sicherstellen, dass Sie dem Anbieter etwas mehr für die Beantwortung der Fragen zahlen. Und zweitens, wenn auch nur ein mittelgroßes oder großes Unternehmen sagt: "Hey, wenn Sie uns eine Bewertung machen lassen, erwarten wir 1000, 2000, was auch immer der Dollarbetrag ist, setzen Sie das in den Vertrag und bezahlen Sie sie dafür, damit wir die Informationen bekommen, die wir brauchen." Das ist also die Antwort, die ich darauf geben würde. Und beim letzten Punkt, dem aktualisierten Risikozusammenfassungsbericht, sollten Sie die Änderungen verfolgen und den Bericht entsprechend anpassen und ihn dann verschicken und sagen: "Danke, dass Sie es besser gemacht haben", oder ihn sogar verschicken und sagen: "Hey, wir haben etwas gefunden, das eine Schwachstelle ist oder etwas, das Sie sich ansehen müssen, wenn Sie es weicher und einfühlsamer machen wollen, und wir müssen herausfinden, was Sie gegen dieses spezielle Risiko unternehmen." Und auch hier gilt: Informieren Sie die Stakeholder intern und extern und eskalieren Sie alle verpassten SLAs. Service-Level-Ziele, Service-Level-Ziele und Service-Level-Vereinbarungen müssen also an einen Lenkungsausschuss gemeldet werden. Das hilft beim Aufbau von Beziehungen untereinander und auch mit den Anbietern. In Ordnung, nun zu Punkt drei, der aus 3A und 3B bestehen wird. Ich konnte nicht alles in einem Bereich unterbringen. Es gibt also bestimmte Berichte, die die Einhaltung der Vorschriften bei Ihren Lieferanten unterstützen. Einer davon ist ein Bericht zum Unternehmensprofil. Dieser hilft Ihnen als Prüfer, die verschiedenen Arbeitsabläufe wirklich zu verstehen, wo sie sich in ihrem Lebenszyklus befinden, wie die Risiken auf Ihr Benchmarking angewandt werden, welche Aufgaben auf die anfallende Arbeit angewandt werden, Verträge und Vereinbarungen können gespeichert und reflektiert werden. So können Sie aus einer Hand erfahren, wo sich Ihr Anbieter in seinem Lebenszyklus befindet. Der andere Punkt ist die Überwachung von Bedrohungen. Und das sollten Sie nicht nur als sekundären Ansatz nutzen, sondern für alle Ihre Lieferanten tun. Damit haben Sie schnell genug etwas in der Hand und können es mit Ihrem Anbieter teilen. Nehmen Sie es nicht einfach und sagen Sie: "Okay, wir haben einen Bedrohungsbericht über Sie erstellt". Und dann sagen sie zuerst: "Oh mein Gott, ihr könnt nicht in unser System eindringen. Ihr dürft das nicht tun, während wir live sind." Und das tut es auch nicht. Es sind alles Open-Source-Informationen. Also, entschuldigen Sie mich. Lassen Sie das laufen und geben Sie es ihnen. Zeigen Sie es ihnen. Und dann ist auch die Finanzberichterstattung wichtig. Ich werde also kurz durchatmen und etwas trinken, um meine Stimme zu schonen. Und Amy, Sie können mir eine Frage stellen.
Amy Tweed: Ja. Nehmen Sie sich einen Moment Zeit. Heiße Sache. Okay... Welche Automatisierungstools werden empfohlen oder sind Industriestandard für Anbieterbewertungen?
Brenda Ferraro: Unsere Prävalenz ist eine von ihnen. Es gibt die Überwachung von Bedrohungen durch Anbieter. Dann gibt es noch unser System. Sie sollten sich vielleicht die homamorphe Verschlüsselung ansehen. Das ist etwas, das hilft, einige der Verschlüsselungsszenarien zu vermeiden. Es gibt so viele davon. Aber aus der Perspektive einer Plattform sollten Sie sich unser System ansehen und so weit wie möglich Standards verwenden. Ich werde jetzt stumm schalten und husten, damit ich nicht die Kopfhörer von allen durcheinander bringe.
Amy Tweed: Das ist schon in Ordnung. Lassen Sie sich Zeit. Ich hatte heute Morgen einen Frosch im Hals.
Brenda Ferraro: In Ordnung. Also, ähm, was das angeht, geht es im Grunde nur darum, sicherzustellen, dass man eine Plattform benutzt, die einen Lebenszyklus hat, den man verfolgen und überwachen kann. Und es gibt Live-Bibliotheken für Fragebögen, und unsere hat das. Ich würde Sie also dringend bitten, einen Blick darauf zu werfen und sich eine Demo zu besorgen. Dies ist kein Verkaufsgespräch. Hier geht es eher darum, über Prozesse und Strategien zu sprechen. Aber um diese Frage zu beantworten: Es gibt uns. Die Finanzberichterstattung wird immer wichtiger, und das liegt daran, dass man die Cyber-Bedrohungsdaten auf die Geschäftsdaten und die Finanzdaten ausweiten muss, denn wenn ein Unternehmen finanziell nicht gut dasteht, sollte das für Sie ein Grund zur Sorge sein, so dass Sie vielleicht etwas tiefer in die Materie einsteigen können, wenn Sie eine Fusion oder eine Übernahme planen, oder wenn Sie eine Tochtergesellschaft haben, die Sie bewerten müssen. Dadurch erhalten wir Informationen über die Gewinn- und Verlustrechnung, über Kredite und Verbindlichkeiten, und es wird Sie in einen widerstandsfähigeren Zustand versetzen, wenn Sie wissen, dass Sie im finanziellen Bereich solide sind. In Ordnung, wir gehen zu 3B über. Es gibt also kontinuierliche Statusaktualisierungen und Berichte, die Sie auch von Managed Services oder sogar im eigenen Haus erstellen lassen können. Es gibt den Entitätsbericht, über den wir bereits gesprochen haben, aber dieser Entitätsbericht geht tiefer in die kontextuellen Bewertungsbindungen und dann in die Übersicht der Risikobewertungen, identifiziert die Hauptrisikobereiche und hilft Ihnen, den Hintergrund und den Workflow eines Managed Service zu verstehen. Wenn Sie also nicht genügend Mitarbeiter haben, können andere Mitarbeiter für Sie eingesetzt werden. Kontextbezogene Risikoberichte helfen Ihnen, die Risikobereiche zu verstehen, die fließend und anfällig sind. Listen von Drittanbietern und die Identifizierung von Beweisen für die Elemente, die zur Verfügung stehen, um sie zu überprüfen und von Managed Services durchforsten zu lassen. Als wir über die Giganten sprachen, konnten die Managed Services dabei helfen, dies zu tun. Sie können also die gigantischen Informationen der riesigen Unternehmen durchforsten und sicherstellen, dass das Risiko für Sie identifiziert wird. Ich werde hier für eine Frage unterbrechen. Es sieht so aus, als gäbe es eine, und dann gehen wir auf die anderen beiden Arten ein.
Amy Tweed: Ja. Und ich habe bemerkt, dass noch ein paar mehr Leute hereinströmen. Stellen Sie also bitte Ihre Fragen. Ähm, Bren beantwortet sie gerne. Zu dieser Frage: Viele Tools zur Überwachung von Bedrohungen zeigen falsch positive Ergebnisse für Cloud-Service-Unternehmen wie Microsoft an. Wie filtern Sie aus aussagekräftigen Daten?
Brenda Ferraro: Das ist eine sehr gute Frage, denn ich habe selbst daran gedacht, als ich vor über sieben Jahren anfing, mir die Informationen der Thread Intelligence anzuschauen, und dachte: Das ist doch nur ein Haufen Lärm. Was soll ich damit anfangen? Es gibt also Möglichkeiten, mit einer Threat-Intelligence-Lösung dafür zu sorgen, dass Sie die Schwellenwerte für die Dinge identifizieren, die für Sie wichtig sind und die Sie sich ansehen sollten. Das ist der erste Punkt. Zweitens: False Positives sind ähm, wenn Sie die Thread Intelligence mit Ihren Anbietern teilen, werden diese Anbieter Ihnen sofort sagen, was falsch positiv und was richtig ist. es. Und deshalb sage ich, tun Sie es von Anfang an. Informieren Sie sie darüber, was ihre Thread Intelligence sagt. Ich glaube, ich habe schon ein paar Mal darüber gesprochen, aber als ich eine Thread Intelligence für mein Unternehmen durchführte, brauchte ich ein oder zwei Monate oder vielleicht mehr, um den Thread Intelligence-Bericht zu bereinigen. Und wenn Sie ihn mit einer Art von Thread Intelligence bereinigen, egal ob Sie unsere Anbieter-Bedrohungsüberwachung oder äh Recorded Future oder äh Bitsite oder Security Scorecard oder Risk Recon verwenden, wenn Sie ihn in einem bereinigen, wird er für alle bereinigt, weil es sich um Open-Source-Intelligence handelt, die angezeigt und äh aggregiert und Ihnen zur Verfügung gestellt wird. Was immer Sie also in dem einen sehen, werden Sie auch in dem anderen sehen, und wenn Sie dann feststellen, dass es etwas gibt, das ein falsches Positiv ist, stellen Sie sicher, dass Sie ein System verwenden, mit dem Sie zurückmelden können, dass das entweder nicht richtig ist oder dass wir das vor drei, fünf, zehn Jahren bereinigt haben. Und wenn das dann bereinigt wird, ist es fast so wie bei einer Kreditauskunft, wenn Sie eine Finanzierung für Ihr Haus benötigen. Sie haben vielleicht einige Dinge in Ihrer Kreditauskunft, bei denen Sie sicherstellen müssen, dass sie korrekt sind, oder Sie haben vielleicht betrügerische Aktivitäten, die Sie bereinigen müssen. Es ist also derselbe Aspekt wie bei diesem. Okay, Amy, noch eine Frage.
Amy Tweed: Ja, tolle Fragen. Ich danke Ihnen. Was halten Sie von den Möglichkeiten, Finanzdaten von Privatunternehmen zu erhalten, die nicht verpflichtet sind, ihre Finanzdaten zu veröffentlichen?
Brenda Ferraro: Das größte Problem bei der Nichtveröffentlichung ist, dass einige Finanzberichte Informationen enthalten, die natürlich auf veröffentlichten Daten beruhen. Sie können sie immer fragen, und wenn sie in der Lage sind, sie Ihnen zu geben, haben Sie keine Angst, sie zu fragen. Ich glaube nicht, dass ich jemals ein Problem damit hatte, dass mir ein Finanzbericht auf eine Anfrage hin nicht zur Verfügung gestellt wurde. Und wenn du Beziehungen aufbaust und ihnen die Gründe dafür nennst und sagst, dass es eine Voraussetzung ist, gehe ich davon aus, dass sie ihn dir zeigen werden, denn ich glaube nicht, dass ich jemals ein Problem damit hatte, dass sie ihn mir nicht gezeigt haben. Wenn Sie also in einer öffentlichen Einrichtung etwas nicht bekommen, fragen Sie nach.
Amy Tweed: Nein, alles in Ordnung. Machen Sie weiter.
Brenda Ferraro: Wenn ich dein hübsches Gesicht da oben sehe, denke ich: noch eine.
Amy Tweed: Ich war wirklich interessiert. Ich wollte einfach nur bleiben.
Brenda Ferraro: In Ordnung. Der Bericht über die Risikobeseitigung sollte also eine Zusammenfassung aller identifizierten Risiken enthalten. Und stellen Sie sicher, dass dieser Bericht für Ihre Drittparteien oder Anbieter sehr leicht verdaulich ist. Wenn Sie ihnen die Dinge zeigen, die sie beheben müssen, ist das großartig. Wenn sie nach allen Risiken fragen, ob es sich um ein kritisches, hohes, mittleres oder niedriges Risiko handelt, das gemindert wurde, und sie das wissen wollen, dann stellen Sie sicher, dass Sie die Möglichkeit haben, den Bericht umzuschalten und zu filtern, damit er ihnen alles zeigen kann. Aber seien Sie sehr explizit, woran sie arbeiten sollen. Es gab eine Zeit, da habe ich einen Risikobericht an einen Anbieter geschickt, und der hatte über 50 davon, und er kam zu mir zurück und sagte: "Brenda, wir können Ihr Konto auf keinen Fall betreuen, weil wir an der Minderung all dieser Risiken arbeiten werden. An welchen soll ich wirklich arbeiten oder welche haben Priorität?" Aus diesem Grund sollten Sie sicherstellen, dass Ihre Risiken nach Wahrscheinlichkeit und Auswirkung sowie nach kritisch und hoch eingestuft sind. Lassen Sie sie zuerst an diesen arbeiten. Stellen Sie sicher, dass die kritischen Punkte erfüllt sind, denn diese sollten mit Ihren Schlüsselkontrollen übereinstimmen, und lassen Sie sie dann an den anderen arbeiten. Legen Sie aber auch ein angemessenes Datum für die Fertigstellung der Kontrollen fest. Das können drei, sechs, neun Monate innerhalb eines Monats sein, wissen Sie, all diese verschiedenen Arten von Fristen. Ja, Amy.
Amy Tweed: Frage. Also gut. Gibt es eine einfache Möglichkeit, festzustellen, ob gegen ein Unternehmen wesentliche Forderungen oder Urteile vorliegen?
Brenda Ferraro: Ja. In der Thread Intelligence und in den Geschäfts- und Finanzberichten gibt es also Abschnitte, die Ihnen helfen, wenn es irgendwelche Urteile gibt. Sie können also in den Geschäftsberichten und in den Finanzberichten nachsehen, ob es Einschätzungen gibt, und deshalb sagen wir, dass Sie nicht nur Cyber-Informationen als Thread-Intelligence-Feed verwenden sollten. Sie müssen sich auch die Geschäftsbereiche ansehen. Der Kontrollvalidierungsbericht, der auf diese Folie zurückgeht, ist etwas, über das ich im Hinblick auf die Validierung und die Durchführung von Vor-Ort-Besuchen gesprochen habe. Wir werden also über einen entsprechenden Ansatz sprechen, aber die Liste der Kontrollen muss überprüft und nachgewiesen werden, und wir verwenden ein Scoping-System und stellen sicher, dass es Empfehlungen gibt und wir all diese Risiken miteinander verbinden, um das Risiko zu normalisieren, und dieser Bericht sollte auch Ihrem Anbieter zur Verfügung gestellt werden. Sie geben ihm also nicht nur einen Überblick über den Stand der Sicherheit, sondern sagen ihm auch, wo die Risiken liegen und was er ändern muss. Das wird sie in allen Branchen-Ökosystemen gesünder machen. Sie sind einfühlsam und bauen eine Beziehung auf, indem Sie sagen: "Okay, ich werde Ihnen helfen, sicher zu werden. Ich werde Sie nicht nur testen und herausfinden, was Sie falsch machen. Ich möchte Ihnen sagen, dass Sie die Dinge tun können, um diese Lücken zu schließen. Amy, was haben wir?
Amy Tweed: Okay. Ja, wir haben zwei. Also, wenn sie keinen Sockel haben oder nicht börsennotiert sind, nach welchem Finanzbericht sollte ich fragen?
Brenda Ferraro: Ähm, darauf werde ich zurückkommen müssen. Ich glaube nicht, dass ich jemals speziell nach einer bestimmten finanziellen Anforderung gefragt habe, aber ich bin mir sicher, dass es einige gibt. Amy, wenn Sie sich eine Notiz machen und herausfinden können, ob diese Person nicht anonym ist, ob sie zurückgerufen werden möchte, können wir ihr eine Liste mit diesen finanziellen Bereichen geben oder ob unsere Finanzabteilung in der Prävalenzabteilung ihnen diese Antworten geben kann.
Amy Tweed: Klingt gut. Jepp. Es ist notiert. Eine weitere Frage noch. Wenn ein Anbieter bereit ist, seine Prüfberichte von Dritten zur Verfügung zu stellen, Typ zwei, Typ zwei oder hohes Vertrauen usw. Ist es eine gute Idee, immer noch mit Fragebögen in die Tiefe gehen zu müssen?
Brenda Ferraro: Ja. Der Grund, warum ich "ja" sage, ist, dass der Socken 2 Typ zwei einsatzweise eingesetzt werden kann. Stellen Sie also erstens sicher, dass es sich um das richtige Engagement handelt. Zweitens sollten Sie sich vergewissern, dass Sie die High-Trust- oder eine andere Zertifizierung ansehen, denn für die Durchführung eines Assessments erhalten Sie ein Pluszeichen oder einen goldenen Stern. Aber einige der Abschnitte innerhalb dieser Zertifizierungen und/oder Bewertungsarten enthalten möglicherweise nicht alles, was Sie brauchen, z. B. wenn Sie Fragen zu Ransomware stellen möchten. High-Trust hat das vielleicht nicht, oder wenn Sie anfangen wollen, Fragen zu Software, Mobile und Entwicklung zu stellen, die Sie sammeln müssen. Stellen Sie also sicher, dass Sie die Informationen, die Sie erhalten, mit dem abgleichen, was Sie wissen müssen. Ich würde also sagen, dass es einen hybriden Ansatz gibt, den Sie verwenden können, oder Sie könnten einen Schlüsselkontroll-Ansatz verfolgen, bei dem Sie nur 20 bis 25 Punkte haben, die sie auf jeden Fall beantworten sollen. Und dann stellen Sie sicher, dass alles, was Sie von ihnen erhalten haben, auf die Antworten in Ihrem eigenen Fragebogen anwendbar ist. Machen Sie den Fragebogen also nicht zu langatmig. Sie wollen ja nicht, dass sie die ganze Sache noch einmal durchgehen müssen. Aber ich stimme Ihnen zu, dass Sie auch eine Bewertung vornehmen müssen. Die Vorstellung von Anbietern und Konferenzen war eine meiner Lieblingsbeschäftigungen, als unser Programm reifer wurde. Wir haben ein System zur Identifizierung von Bedrohungsstufen eingeführt, das wir auf die Anbieter ausweiten konnten, um ihnen zu sagen: "Diese Informationen geben wir Ihnen monatlich oder vierteljährlich, und sie sind grün. Dies ist gelb. Wir möchten, dass Sie sich dessen bewusst sind, weil wir sehen, dass es eine Bedrohung gibt, die sich durch unser Ökosystem schleicht, oder hier ist etwas, das rot oder gelb ist, was bedeutet, dass Sie auf diese Ransomware reagieren müssen. Das war sehr hilfreich, weil wir ihnen nicht nur sagen konnten: Hey, wir sehen etwas, was passiert, sondern auch, was uns auffällt, um es zu beheben, und das war sehr proaktiv. Wir veranstalteten eine Konferenz, auf der wir Zertifizierungskurse für das Risikomanagement von Drittanbietern abhielten, und banden alle unsere wichtigsten Stakeholder intern ein. Wir hatten also einen Abschnitt über den Datenschutz, einen über die Einhaltung von Vorschriften. Wir würden die Beschaffungsabteilung einladen, um über ihr Programm zu sprechen, und wir würden alle unsere kritischen und wichtigen Drittparteien sowie unsere internen Ressourcen einladen, um gemeinsam zu erfahren, wie das Programm reagiert und wie es sich entwickelt oder wächst oder reift. Das sind also die Dinge, die sehr viel Spaß machen. Im Moment machen wir das alles virtuell, wie Sie auf dieser Folie sehen können. Ich habe versucht, es so zu gestalten, dass es eine virtuelle Situation ist, und ich vermisse es, Sie alle persönlich zu treffen, und ich hoffe, dass wir in naher Zukunft in der Lage sein werden, dies zu tun und auch persönlich Beziehungen aufzubauen. Bevor wir zu den realistischen Erwartungen kommen, haben wir noch eine Umfrage. Also lassen Sie uns darauf eingehen.
Amy Tweed: In Ordnung, ich starte jetzt. Die Frage ist, ob Sie einen Fragebogen zur Sturzbewertung verwenden, der für alle passt. Ja, nein, nicht sicher. Nehmen Sie sich einen Moment Zeit für die Antwort. Oh, das ist aber interessant. Es ist im Moment irgendwie alles durcheinander. Ich weiß, es ist noch früh. Ich spreche gerade mit einigen Leuten, aber es ist interessant. In meinen Strategie-Sitzungen gibt es eine Mischung aus so vielen. Sie verwenden hybride Ansätze. Sie verwenden eine Einheitsgröße für alle. Sie verwenden ein Testverfahren, das mich zu Tode erschreckt. Ähm, aber es gibt sehr unterschiedliche Ansätze.
Brenda Ferraro: Ein Ansatz ist besser als kein Ansatz.
Amy Tweed: Das ist wahr. Das ist absolut wahr. Ich gebe uns noch etwa fünf Sekunden. Wirklich interaktiv. Ich bin wirklich zufrieden mit allen Fragen und viele Leute machen die Umfrage mit. Das ist also wirklich toll. Ich danke Ihnen allen.
Brenda Ferraro: Mein Spaß am Sprechen.
Amy Tweed: Ja. Also gut. Ich beende jetzt die Umfrage. Ich werde die Ergebnisse hier mitteilen. Okay. 42% ja. 35% nein und 14% nicht sicher.
Brenda Ferraro: Okay. Nun, großartig. Wenn Sie also einen kleinen Fragebogen verwenden oder ein Unternehmen sind, das in einer Branche tätig ist, in der nicht sehr viele Kontrollfragen gestellt werden müssen, dann würde ich das verstehen. Aber ich würde Sie auch dazu ermutigen, sich nicht nur über Kontrollen zu informieren, sondern proaktiv herauszufinden, wie gut sie sind und wie effektiv sie sind. Deshalb habe ich hier einen Bereich für adaptive Befähigung für Sie eingerichtet. Sie können sich ein Bild davon machen, aber das sind die Schlüsselkontrollstandards, die Sie erstellen, und der Grund, warum Sie das tun sollten, ist, dass Sie sicherstellen wollen, dass sie Ihren Auftragstypen oder Ihren Kategorien von Anbietern zugeordnet sind. Fragen Sie sie, was Sie wissen müssen, nicht mehr. Ich mag es nämlich nicht, wenn mir Fragen gestellt werden, die für mich nicht relevant sind. Ich bin sicher, dass sie es nicht mögen, wenn man ihnen Fragen stellt, die für sie nicht relevant sind. Es ist einfach keine gute Technik, um Beziehungen aufzubauen, und es verschwendet Zeit. Definieren Sie Ihre kritischen Risiken und bewerten Sie diese. Stellen Sie sicher, dass Sie diese in Ihre Plattform einbetten, wenn Sie eine haben, und erstellen Sie dann das Klassifizierungsmodell für die Due-Diligence-Prüfung, damit Sie die entsprechende Automatisierung anwenden, welche Risiken für welche Due-Diligence-Prüfung, welches Profil und welchen Auftrag gelten. Es ist also eine Art Gänseblümchenkette, die dafür sorgt, dass es eine Verbindung gibt, und dann vierteljährliche Leistungsberichte über die Schlüsselkontrollen erstellt. Bewerten Sie diese also, denn sie ändern sich. Wir haben im letzten Jahr eine drastische Veränderung festgestellt, und jetzt sind wir auf dem Weg in die Software-Management-Kette: Wenn Sie heute keine Software-, Mobil- und Geräte-, ähm, Entwicklungsbewertungen in Ihrem Portfolio haben, sollten Sie sie morgen haben, denn das ist der Punkt, an dem wir getroffen werden. Melden Sie diese inkrementellen Zustände. Um also Ihre interne Kultur anzupassen, müssen Sie dafür sorgen, dass Ihre Mitarbeiter von Anfang an verstehen, was Sie tun. Sagen Sie, ich habe ein Programm und werde Ihre Anbieter bewerten, und hier sind diejenigen, mit denen ich anfange, und hier sind diejenigen, die ich auf einer Roadmap ansteuern werde.
Brenda Ferraro: Und dann, äh, übrigens, werde ich Ihnen nur die mitteilen, die schwach sind und oder nicht reagieren. Und die schicke ich dann normalerweise an die Abteilungsleiter oder die Vizepräsidenten. Und dann sage ich: "Ach, übrigens, ich werde einen ganzheitlichen Bericht erstellen, den wir mit allen teilen, und wir werden einen gesunden Wettbewerb darüber führen, wer mit seinen Anbietern sicherer ist." Es ist also sehr interessant, sie zu beobachten. Zuerst sagen sie: "Oh, mein Gott, ich habe einen unanständigen Bericht. Erzählen Sie mir nichts von meinem unanständigen Bericht." Ich sage: "Es ist kein unanständiger Bericht. Es ist ein Bewusstseinsbericht." Der nächste Satz lautet: "Okay, ich möchte, dass du mit diesem Bewusstseinsbericht Folgendes tust, damit wir dich sehr, sehr sauber bekommen." Und dann teilen wir es allen mit, und dann heißt es plötzlich, weil die Vizepräsidenten meistens miteinander befreundet sind oder ein gutes Verhältnis haben: "Oh, mein Gott, warum ist diese Person so viel besser als ich? Hilf mir, Brenda. Was kann ich tun?" Und dieser Vier-Monats-Zyklus sorgt dafür, dass sich die Dinge organisch verändern und Sie Hilfe für Ihre Kultur bekommen. Amy, es sieht so aus, als gäbe es eine Frage, bevor ich mit der Datenerhebung beginne.
Amy Tweed: Ja. Schön und einfach. Sind 80 Fragen eine Menge?
Brenda Ferraro: Nein. 1.500 Fragen sind eine Menge. Also nein, 80 Fragen sind nicht viel. Ich würde mir wünschen, dass ein Benchmark oder ein Lackmustest darin bestünde, möglichst nicht über 80 zu gehen, aber man sollte nicht auf die Anzahl der Fragen achten. Man sollte darauf achten, was man kontextbezogen sammelt. Wenn es also 80 sind und Sie dann sagen, okay, wir müssen noch eine hinzufügen, dann sollten Sie sich diese 80 ansehen und sagen, ist diese Frage wirklich so wichtig? Können wir dieses an seiner Stelle hinzufügen oder können wir etwas umformulieren, das eher eine Effektivitätskontrolle darstellt als ein binäres Ja-Nein-Szenario. So würde ich also vorgehen. Ich habe 75 als Prüfstein verwendet, aber ich hatte Fragebögen, die 145, 125, 350 erreichten, und es hängt wirklich von dem Auftrag ab und davon, was er für Sie tut. Wenn Sie also über einen ersten Fragebogen sprechen, nur um das inhärente Risiko und das Restrisiko meiner Schlüsselkontrollen zu ermitteln, dann sind 80 nicht zu viel.
Brenda Ferraro: Und wenn Sie tief in größere Situationen des Engagements eintauchen, dann haben Sie keine Angst, darüber hinauszugehen. Fragen Sie nur, was relevant ist. Und das führt mich zu dem, worüber ich gerade sprechen wollte, nämlich dass es wirklich keine Einheitsbewertung gibt. Es gibt eine Bewertung, die Ihnen Informationen liefert, aber wenn es um die Sorgfaltspflicht geht, kann ich es verstehen, wenn Sie eine Bewertung verwenden, es sei denn, Sie sind ein kleineres Unternehmen, das nur eine Sache macht, das nur ein paar Anbieter hat, dann ja. Aber sobald man 25 oder mehr Anbieter hat, muss man wirklich anfangen, sie zu kategorisieren, wenn es sich um verschiedene Arten von Aufträgen handelt. Aber machen Sie die Datenerfassung einfach, machen Sie Spaß, verwenden Sie Daten, die Sie wiederverwenden können, und nehmen Sie Standardfragebögen, die bereits ausgefüllt wurden. Werden Sie Teil eines Netzwerks. Auch hier hängt die Antwortzeit von den Anforderungen der Due-Diligence-Prüfung ab. Wenn Sie sie auffordern, Beweisdokumente beizufügen. Wenn Sie sie bitten, mehr als 80 Fragen zu beantworten, müssen Sie sich wirklich darauf einstellen, dass sie antworten müssen, wenn Sie ihnen etwas schicken. Es kann sein, dass sie die Fragen mit anderen Personen teilen müssen, um die Verantwortung für die Beantwortung und die Rückmeldung zu teilen. Und ich hoffe wirklich, dass die meisten Menschen anfangen werden, sich auf einen Austausch oder eine Netzwerkumgebung einzulassen, in der Informationen auf der Grundlage der Genehmigung, sie zu erhalten, umgewandelt werden. Die Sicherheit, die damit verbunden ist, ist ebenfalls sehr, sehr wichtig. In Ordnung, ich ziehe die Frage zurück. Als Nächstes sind die Herausforderungen der Kontaktstellen an der Reihe.
Amy Tweed: In Ordnung, hier bin ich. Okay, ich starte jetzt. Haben Sie Kontaktinformationen für alle Ihre Anbieter? Diese Frage kommt genau zum richtigen Zeitpunkt, denn ich war auch neugierig auf diese Frage. Nehmen Sie sich also einen Moment Zeit und beantworten Sie die Umfrage, wenn Sie dazu in der Lage sind. Auch hier ist die überwältigende Mehrheit der Befragten der Meinung, dass es überall so ist. Okay, dieses Thema ist mir schon sehr, sehr lange ein Dorn im Auge. Ich bin gespannt, mehr zu hören. Okay, ich beende dies in fünf, vier, drei, zwei, eins. Einige Antworten in letzter Minute. Okay, Ergebnisse teilen. 52% ja, 40% nein, 9% nicht sicher. Entschuldigen Sie mich. Ich habe auch den Frosch im Hals.
Brenda Ferraro: In Ordnung. Nun, gut.
Brenda Ferraro: Diejenigen, die das bereits tun, überprüfen also jedes Jahr diese Kontaktpunkte oder stellen sicher, dass sie eine Art von Lösung dafür haben. Ich gratuliere Ihnen. Für diejenigen unter Ihnen, die immer noch Schwierigkeiten haben, gibt es einige Möglichkeiten, wie Sie das Problem angehen können. Nutzen Sie Ihre Thread-Intelligence-Berichte, denn in einigen dieser Thread-Intelligence-Berichte können Sie genau herausfinden, wen Sie ansprechen müssen, oder beginnen Sie mit Ihrer Kreditorenbuchhaltung oder Ihrem Einkauf oder Ihren Beschaffungslisten. Sie können auch eine interne oder externe Kampagne durchführen, indem Sie einen Fragebogen mit weniger als 12 oder 15 Fragen ausfüllen, um herauszufinden, wer der Lieferant ist, wer der interne Ansprechpartner ist, wer der externe Ansprechpartner ist, was Sie für uns tun, ob Sie Hostessenbuchungen bearbeiten, ob Sie sensible Daten verarbeiten, ob Sie in verschiedenen Regionen tätig sind - diese Arten von Informationen sind sehr, sehr profilrelevant. Scheuen Sie sich also nicht, Ihre Anbieter zu kontaktieren und sie zu fragen, was Sie tun und wer ihr interner Ansprechpartner ist. Wenn Sie keine Möglichkeit haben, intern eine Liste von Ihrem Einkauf oder Ihren Beschaffungsagenten zu bekommen, und wenn Sie eine Liste vom Einkauf bekommen und diese zurückgeschickt wird, schicken Sie sie zurück und lassen Sie sie wissen, dass die E-Mail des Ansprechpartners nicht mehr gültig ist. Sie müssen eine andere finden. Sie können auch eine Kontaktsuche-Funktion in einigen Plattformen verwenden. Wir bei prevalent haben eine Funktion zur Kontaktsuche, mit der man zumindest einen Namen bei der um-Organisation herausfinden kann, der derzeit dort arbeitet, und sie haben die Möglichkeit, den Bewertungsfragebogen an diese Person weiterzuleiten. Dann wird aktualisiert, wer diese Person ist, und auf magische Weise wissen Sie genau, mit wem Sie sprechen müssen, indem Sie diese Suche durchführen. Sie erhalten ein paar Namen oder einen der wichtigen Namen, an die Sie sich wenden können. Es könnte ein CISO sein, es könnte eine Person in der Beschaffungsorganisation sein, aber wir haben eine Möglichkeit, Ihnen diese Informationen zu geben. Und dann nutzen Sie diese Kampagne, um Ihre Unterlagen zu sichern.
Brenda Ferraro: Wenn Sie also nicht der Master-Hold-Record im TPRM-Team sind, dies aber in der Beschaffung haben, heißt das nicht, dass es nicht genauso wichtig ist, dass Sie diese Informationen haben, insbesondere wenn es zu Zwischenfällen kommt. Diese Anlaufstelle ist wichtig. Machen Sie es also zu einem Risiko. Wenn Sie keinen Ansprechpartner haben, besteht ein Risiko für den Lieferanten und die Widerstandsfähigkeit Ihres Unternehmens, und Sie müssen Abhilfe schaffen. Das ist sehr, sehr wichtig. Wenn Sie also daran interessiert sind, mehr über die internen und externen Kampagnenmöglichkeiten zu erfahren, können Sie sich an Amy unter info prevalent.net wenden, und wir können Ihnen mehr darüber erzählen, wie erfolgreich es für andere Unternehmen war, denen wir in der Vergangenheit geholfen haben. Nächste Frage.
Amy Tweed: In Ordnung, hier bin ich. Okay. Umfrage. Ich sehe, die Frage ist hier. Haben Sie das Gefühl, dass der Hauptteil Ihrer Arbeit darin besteht, Anbieter zu jagen, um sie zum Antworten zu bewegen? Das hört sich nach einer Menge Spaß an. Ja. Nein. Ich bin mir nicht sicher.
Brenda Ferraro: Also, ich nenne das Verwalten: Haben wir es gestartet? Haben wir es zurückbekommen? Reagieren sie? Warum antworten sie nicht? Wie können wir sie dazu bringen, uns eine Antwort zu geben? Warum sind sie, Sie wissen schon, all diese verschiedenen Dinge? Und ich habe Ihnen gleich zu Beginn einige Techniken vorgestellt, wie Sie eine Beziehung aufbauen und dafür sorgen können, dass Ihnen Erinnerungen zur E-Mail-Generierung mit einer automatisierten Kapazitätsobergrenze helfen, wenn Sie eine Plattform wie unsere nutzen. Aber ähm, wir lassen Sie das hier abschließen.
Amy Tweed: Ja, noch etwa drei Sekunden. Letzte Antwort. Okay. Ergebnisse teilen. 38% ja, 53% nein, 9% nicht sicher. Ich schätze, bei all der Müdigkeit, die wir bereits erleben, ist das nur eine Sache weniger.
Brenda Ferraro: Nun, es könnte bedeuten, dass diese 53 % eine Plattform verwenden, die automatisiert ist, oder dass sie herausgefunden haben, wie sie ihr Programm von der Erfassung auf die Risikobeseitigung umstellen können. Hoffentlich ist ihre Risikobeseitigung genauso kohärent wie die Sammlung von Informationen. Eine Sache, die ich empfehlen würde, ist, wenn Sie müde sind und das nicht mehr selbst machen wollen, gibt es Risikobewertungsdienste, die Sie mieten oder automatisch in Ihre Plattform implementieren können. Von der Erfassung über die Analyse bis hin zur Risikoberichterstattung, über die wir bereits gesprochen haben, bis hin zur Validierung der Vor-Ort-Besuche, die wir heutzutage virtuell durchführen, und zur Verfolgung der Abhilfemaßnahmen. Es gibt also definitiv Dinge, die implementiert werden können, egal ob Sie eine Risikooperationszentrale aus der Perspektive der verwalteten Dienste nutzen, die unser Unternehmen und auch andere anbieten. Und dann kann man sie auch als Personalaufstockung nutzen. Selbst wenn Sie Ihr Programm gerade erst aufbauen und zu Beginn des Aufbaus sehr schnell viel tun wollen, ist das etwas, das Sie in Angriff nehmen können, und dann kann es an Ihr Team zurückgegeben werden, so dass Sie sich nicht um die Verwaltung kümmern und sicherstellen müssen, dass Sie alles haben, was Sie brauchen. Sie können sich das alles also ein anderes Mal ansehen. Aber es gibt Personalverstärkungen, die helfen können, und verwaltete Dienste, die helfen können, Ihre Plattform so einzubetten, dass sie Dinge automatisch für Sie erledigt. In Ordnung, die nächste Frage zur Umfrage.
Amy Tweed: Okay, wir fangen jetzt gleich an. Nutzt Ihr Risikomanagementprogramm für Dritte die Thread-Intelligenz der Anbieter für mehr als nur die Risikobewertung? Und das Gleiche wie zuvor: ja, nein, nicht sicher. Nehmen Sie sich einen Moment Zeit für Ihre Antwort. Nochmals vielen Dank für Ihre Fragen. Stellen Sie sie ruhig weiter. Zur Erinnerung: Das Gespräch wird aufgezeichnet. Wenn Sie also mal kurz weg müssen, schicken wir Ihnen das gleich morgen früh in Ihren Posteingang, damit Sie es in Ruhe anschauen können. Okay, wir geben dem Ganzen noch ein paar Sekunden. Diese Stunde vergeht wie im Flug. Das merke ich.
Brenda Ferraro: Ich weiß, dass wir nur noch etwa neun oder fünf Minuten haben, also werden wir den Rest schnell durchgehen.
Amy Tweed: In Ordnung, ich werde das in etwa drei Sekunden beenden. Okay, Umfrage beenden. Ergebnisse teilen. Ja. 46% nein 44% nicht sicher 30%. Okay...
Brenda Ferraro: In Ordnung. Was die Sicherheitsinformationen Ihrer Lieferanten betrifft, so haben wir bereits darüber gesprochen. Stellen Sie sicher, dass Sie Cybersicherheit verwenden und führen Sie diese frühzeitig durch. Wenn Sie diese Informationen an Ihre Beschaffungs- und Einkaufsorganisation weitergeben können und sie diese mit den Anbietern teilen, noch bevor diese ausgewählt werden, ist das sehr hilfreich, denn dann wissen Sie, was für eine schwere Aufgabe auf Sie zukommt, wenn es um die gründliche Bewertung geht. Die Cybersicherheit ist natürlich für alle Datenverarbeiter wichtig, aber auch für die Unternehmen, die andere Arten von Geschäften betreiben und Finanzinformationen benötigen... Wir haben bereits darüber gesprochen. Wir wollen eine Normalisierung des Risikos, damit Sie keine doppelten Risiken haben, die ihnen zeigen, dass sie schlechter dastehen, als sie wirklich sind, oder dass sie größer sind, als sie wirklich sind. Das sind also die Dinge, die ich in diesem Zusammenhang erwähnen würde. Und ich war von Anfang an sehr hartnäckig dagegen, Bedrohungsdaten zu verwenden. Und dann habe ich endlich das Licht gesehen und erkannt, wie sehr es bei der Priorisierung helfen kann. Es kann dabei helfen, zu wissen, wie es um ihre Position bestellt ist. Es kann ihnen Informationen darüber geben, woran sie arbeiten müssen, noch bevor sie ein Anbieter werden. Und es ist einfach ein gemeinschaftliches Unterstützungssystem, das genutzt werden kann, um den Vertrauensfaktor der Antworten aus Fragebögen oder Berichten oder Zertifizierungen zu normalisieren. In Ordnung, also die wichtigsten Erkenntnisse, auch wenn wir das Ende schnell hinter uns gebracht haben, lassen Sie uns sehen, was Ihnen am besten gefallen hat, bevor ich Sie daran erinnere.
Amy Tweed: Ja. Dies ist also eine Umfrage, bei der Sie so viele Antworten auswählen können, wie Sie möchten. Ähm, jedes einzelne Thema, das wir behandelt haben, ist hier. Lassen Sie uns also wissen, was Sie am wertvollsten fanden, was Sie am meisten mögen. Wenn Ihnen nichts davon gefallen hat, ist das auch eine Option. Wir wollen es wissen. Wir wollen, dass diese Um für Sie lehrreich sind. Also lassen Sie uns bitte wissen, was am besten funktioniert.
Brenda Ferraro: Ich mag das eine. Mir hat nichts davon gefallen. Das würde dazu führen, dass ich mir überlegen müsste, ob ich einen anderen Job brauche. Wir wollen das der Geschäftsleitung melden. Das war nicht in Ordnung.
Amy Tweed: Ich würde gerne mehr Informationen über den Grund erfahren, aber
Brenda Ferraro: Aber es ist alles anonym. Es ist nicht wie
Amy Tweed: Richtig. Wir werden dich jetzt nicht jagen. Mach dir keine Sorgen. Wir sind nur wirklich Okay, wir werden das in ein paar Sekunden beenden. Danach gibt es auch noch eine Umfrage. Ich glaube, wir kommen am Ende zu den Fragen und Antworten. Wenn Sie also ein Risikomanagementprojekt für Dritte haben, arbeiten Sie gerade an einem? Wir würden es gerne wissen. Ich werde diese Umfrage jetzt beenden. Also, vielen Dank an alle. Danke. Werde ich ein paar blaue Flecken haben? A: Ich habe 4% blaue Flecken. Das ist okay. Man kann sich immer verbessern. Also, ähm, toll. Nun, das wird mir helfen, die Themen, die den Leuten am wichtigsten sind, besser zu verstehen, wenn ich mit Präsentationen weitermache. Es freut mich also, dass Sie einen Nutzen daraus gezogen haben. Möchten Sie die nächste Frage stellen oder eine Antwort geben?
Amy Tweed: Ja, ich glaube, wir könnten auch eine Frage haben. Ich werde diese also stellen, während ich mir das ansehe. Wie ich bereits erwähnt habe, wollen Sie 2021 ein Programm für Risikoprüfungen durch Dritte einrichten oder aufstocken. Wenn ja, lassen Sie es uns wissen. Wir sind wirklich gerne bereit zu helfen. Ich und Amanda Fina, meine Kollegin, können Sie kontaktieren. Wir können uns mit Ihnen unterhalten und Sie mit einem Produktspezialisten hier verbinden, wenn das sinnvoll ist. Lassen Sie es uns also wissen. Ich werde mir die Frage hier ansehen. Oh, nur ein Dankeschön. Also, wir müssen Ihnen danken.
Brenda Ferraro: Es ist ein Pflaster für meine Die wichtigsten Dinge, die ich heute mitnehmen sollte, sind: Kommunikation, Aufbau einer Beziehung, Einfühlungsvermögen für Ihren Anbieter, adaptives Enablement, um Ihre Kultur zu ändern und die Anbieter zum Reagieren zu bringen. Kontaktstellen sind ein Muss. Nutzen Sie also die Möglichkeit, nach Lieferantenkontakten zu suchen. Wenden Sie sich an Ihr Beschaffungswesen, nutzen Sie Ihren Sourcing Agent, wen bezahlen Sie? Und dann starten Sie einfach Kampagnen. Das ist der beste Weg, wenn Sie nichts finden können. Managed Services sind dazu da, Ihnen den Einstieg zu erleichtern oder Ihr Programm zu verbessern, so dass Sie sich nicht mehr mit der Nachverfolgung und Verfolgung und der administrativen Müdigkeit sowie den Plattformen herumschlagen müssen. Machen Sie so viel wie möglich auf einer Plattform statt in einer Tabelle. Und dann die Risikoinformationen der Anbieter. Verwenden Sie diese nicht nur zur Validierung. Verwenden Sie sie im gesamten Programm. Es hilft Ihnen, in einer Vielzahl von Bereichen Prioritäten zu setzen. Wenn Sie sich einen Überblick über unsere Arbeit verschaffen wollen, dann ist dies der richtige Ort dafür. Wir sind also Intelligenz aus jeder Ecke und Prevalent ist hier, um Ihnen zu helfen. Wir helfen Ihnen aus vielen, vielen Gründen, aber heute haben wir darüber gesprochen, wie Sie diese Risikobewertungen abschließen und wie Sie die Anbieter dazu bringen, zu reagieren, und wenn sie auf bestimmte Weise reagieren, können wir Ihnen mit einem hybriden Ansatz helfen. Wir sind um ein vertrauenswürdiger Partner und im magischen Quadranten als führend eingestuft. Wir helfen Ihnen also sehr gerne. Und dann werde ich hier unsere Informationen unter [email protected] einfügen, um Amy zu kontaktieren. Und ich glaube, wir sind am Ende, wenn Sie noch eine letzte Frage stellen möchten.
Amy Tweed: Es sei denn, das war nur das Dankeschön. Jep, das war es. Also, ähm, keine weiteren Fragen, aber, ähm, ja, wir sind nur eine Minute über der vollen Stunde hier. Also, wir danken Ihnen allen für Ihr Kommen. Nochmals, dies ist aufgezeichnet, also wird es Ihnen zugeschickt. Sie können sich gerne an mich oder Amanda wenden. Wir sind hier, um zu helfen.
Brenda Ferraro: Danke, dass Sie sich Zeit für uns genommen haben. Ich wünsche Ihnen einen schönen Tag.
Amy Tweed: Vielen Dank, Brenda. Schönen Tag noch. Danke, allerseits. Wiedersehen. Wiedersehen. - Wiedersehen. Wiedersehen. - Wiedersehen.
©2026 Mitratech, Inc. All rights reserved.
©2026 Mitratech, Inc. All rights reserved.