2021 Plan de acción para la gestión de riesgos de terceros

Peter Schumacher: Muy bien, bienvenidos y gracias por participar en nuestro seminario web de hoy. Este es el plan de acción para la gestión de riesgos de terceros de 2021, con Brenda Ferraro y Alistister Parr. Brenda es nuestra vicepresidenta de riesgos de terceros y Alistair es nuestro vicepresidente sénior de productos y entregas globales. Mi nombre es Peter Schumacher. Seré el anfitrión del seminario web de hoy. Tengo un par de cuestiones administrativas que tratar antes de comenzar oficialmente. En primer lugar, les recuerdo que todas las líneas de los asistentes están silenciadas con el fin de reducir el ruido de fondo. No queremos que se oigan ladridos de perros, niños entrando en la habitación, vecinos cortando el césped, cosas así. También nos gustaría que esto fuera interactivo. Por lo tanto, les invitamos a enviar sus preguntas a través de la consola de Zoom. Durante toda la sesión, pueden introducir sus preguntas en la sección de preguntas y respuestas de Zoom. Si el tiempo lo permite, al final de la hora responderemos a esas preguntas y esperamos que se genere un buen diálogo. El seminario web de hoy se está grabando. Mañana por la mañana enviaremos la grabación al correo electrónico que utilizaron para registrarse en el seminario web. Sé que no se han unido para ver mi cara o escuchar mi voz. Así que, en este momento, me gustaría ceder la palabra a Brenda y Alistister. Alistister, Brenda, si no les importa, enciendan sus cámaras. Nos gustaría ver sus caras sonrientes. Ahí están, adelante. Gracias.

Alistair Parr: Muchas gracias, Peter. Hola a todos. Voy a hacer una breve presentación y, por supuesto, Brenda también puede añadir algo. Me llamo Alison P. Soy vicepresidenta sénior de productos y entregas aquí en Prement. Tengo experiencia en consultoría y llevo varios años realizando auditorías y gestionando programas de riesgo de terceros. Encantada de conocerlos a todos. Brenda Ferraro: Creo que este es nuestro primer seminario web formal juntos después de trabajar juntos durante casi un año. Así que estoy muy emocionada. Mi experiencia, por supuesto, mucha gente me conoce por mi trabajo en el sector sanitario y en instituciones financieras. Mi experiencia se centra realmente en el dominio de los procesos. Me gusta tomar programas e identificar exactamente en qué punto de madurez se encuentran y cómo ayudarles a escalarlos y utilizar la plataforma predominante para hacerlo. Estoy deseando participar en este debate sobre lo que hemos visto este año, que ha sido bastante difícil, pero lo hemos superado, y lo que vamos a experimentar el año que viene, en 2021, que se acerca rápidamente. Creo que vamos a apagar nuestras pantallas y centrarnos en nuestras diapositivas y nuestro contenido, así que empecemos, Alistister.

Alistair Parr: Fantástico. Muchas gracias, Brenda. Bien, lo que vamos a hacer es comenzar con un resumen detallado de 2020 y destacar las principales tendencias y observaciones que hemos visto a lo largo del año. Una vez hecho esto, pasaremos a las proyecciones más generales para 2021 y a lo que esperamos ver basándonos en las tendencias, los retos y los problemas que hemos observado a lo largo de 2020. Y sin duda ha habido algunos. Así pues, lo primero que hemos observado en general a lo largo de 2020 es que , independientemente del tamaño, estamos viendo los mismos retos de forma prolífica en todas las organizaciones. Y eso se debe realmente a la búsqueda y recopilación de los tipos de información adecuados antes de aplicar la coherencia a gran escala. Así que cada uno de los proveedores que gestionan nuestros clientes y que solemos ver es significativo, ya sean cientos en función de los recursos, miles, decenas de miles o cientos de miles en proporción a los recursos de las organizaciones con las que hablamos. No están preparados para gestionar los volúmenes y por eso han estado buscando tecnologías que contemplen procesos y flujos de trabajo automatizados para ayudar a optimizar y hacer que eso sea escalable. Pero, fundamentalmente, obtener suficiente información para alimentar esos respectivos procesos ha sido un reto habitual que hemos observado a lo largo del año. Entonces, ¿cómo ha evolucionado en general la madurez de los programas de terceros? La forma en que lo hemos analizado es aprovechando el modelo de madurez de capacidades de Carnegie y observando las puntuaciones de uno a cinco en todas las organizaciones. Cuando lo hacemos, normalmente nos centramos en cinco áreas clave:

• Cobertura
• Contenido
• Funciones y responsabilidades
• Remediación
• Gobernanza

Y cada uno de ellos tiene sus propios éxitos y retos que podemos observar. Pero, volviendo al punto que hemos destacado anteriormente, existe una gran tendencia y un gran reto a la hora de obtener suficiente información significativa. Y eso se debe a la falta de coherencia en los contenidos. Se debe a la falta de una cobertura adecuada en toda la propiedad. Las funciones y responsabilidades están mal definidas o el personal se centra en actividades equivocadas y, por lo tanto, no se impulsan las medidas correctivas ni se informa sobre la gobernanza. Así que abordaremos algunas de las cuestiones y retos habituales que solemos ver, pero empezaremos con un tema común y, Brenda, esperaba que pudieras hablar sobre la resiliencia operativa. Ha sido un tema bastante importante este año.

Brenda Ferraro: Sí, con todo lo que hemos pasado con la pandemia o el COVID, como quiera que se mire, hemos identificado algunas desconexiones y lagunas en nuestros programas de resiliencia. Y ahora nos damos cuenta de que no se trata solo de realizar una revisión perimetral inicial por parte de terceros y una diligencia debida de con quién se trabaja. Porque, como sabemos, si externalizamos o prestamos servicios o tenemos un proveedor o algún tipo de intercambio de datos con otra empresa, es posible que ellos también lo estén haciendo. Y en el pasado, los terceros y cuartos solían ser una de esas cosas a las que nos negábamos rotundamente y decíamos: «Por favor, no nos obliguen a hacerlo». Pero ahora nos vemos prácticamente obligados a ir en esa dirección. Y cuando miramos el comercio minorista y otros tipos de industrias, no solo desde una perspectiva cibernética, sino también en cuanto a cómo obtenemos nuestros productos, ¿somos capaces de trasladar nuestro trabajo de una empresa a otra? ¿Tenemos riesgos de concentración cuando solo utilizamos una empresa para un determinado servicio o producto o para el soporte de datos, o es necesario recurrir a otras adicionales, junto con las 25 empresas que pueden estar haciendo lo mismo y algunas de las cuales pueden ser muy sólidas en su postura de control, pero otras pueden ser débiles, por lo que queremos empezar a utilizar las que son débiles o ayudarlas a fortalecerse en un esfuerzo por mantener nuestra solidez en materia de seguridad tal y como la necesitamos? A lo largo de 2020, he visto cómo muchas empresas de todos los sectores han empezado a hablar de la gestión de la cadena de suministro y la externalización de la gestión de la cadena de suministro en el Reino Unido y en Estados Unidos. Así que vamos a empezar a ver cómo muchas empresas hablan de más controles, más diligencia debida, cosas que importan no solo desde el punto de vista cibernético, sino también fuera del ámbito cibernético y de los datos.

Alistair Parr: Muy interesante. En relación con eso, a medida que avanzamos en las siguientes diapositivas, hemos realizado un análisis de muchos clientes clave y personas a lo largo de 2020 para ver cuáles son las tendencias y los retos comunes. Como Brenda ha ilustrado acertadamente, la resiliencia operativa ha sido un tema recurrente a lo largo de 2020. Pero, Brenda, tengo curiosidad por saber qué opinas sobre la cobertura y, en concreto, cómo el hecho de detenerse en terceros ha supuesto un posible contratiempo en 2020. Brenda Ferraro: Sí, como acabamos de comentar en la diapositiva anterior, hemos hablado de que la ciberseguridad es el principal foco de atención de la mayoría de las empresas. Y verán aquí que ahora estamos incorporando el riesgo financiero, regulatorio y reputacional en un esfuerzo por saber cómo se aplicará el riesgo a los proveedores que se encuentran en nuestro primer perímetro y también en nuestro cuarto, quinto y sexto, a los que llamamos partes n. Y lo que sucede cuando se hace eso es que se empieza a tener una visión y una imagen del panorama de riesgos hasta el grado n o hasta el perímetro exterior donde se detiene. Así que, como solíamos decir, seguimos los datos de la A a la Z o seguimos el producto de la A a la Z, y solo llegábamos hasta el elemento OP, pero nunca llegábamos a la Z. Así que lo que ahora nos damos cuenta es que tenemos que empezar a considerar quiénes están trabajando juntos, no solo externamente, sino también por qué hacemos negocios con estas empresas internamente y, si ocurre algo en un enfoque en cadena del soporte quebuscamos de estos proveedores, subcontratistas y vendedores, qué nos pasará en caso de que algo salga mal o no se cumplan algunas dependencias, para asegurarnos de que, desde una perspectiva de resiliencia, podamos mantenernos a flote. ¿Tienes algo que añadir a este tema en particular, Alistister?

Alistair Parr: Sí. No, creo que es muy centrado, ya que la mayoría de las organizaciones con las que he hablado no han tenido la capacidad necesaria para superar la etapa de terceros, porque eso ya ha sido un reto suficiente para ellas. Pero estoy completamente de acuerdo. Hemos observado una cierta tendencia hacia finales de año en la que la gente ha comprendido al menos sus niveles uno y ha empezado a centrarse en el riesgo asociado a los cuartos y en la resiliencia operativa. Esto se ha visto favorecido por el hecho de que, a lo largo de 2020, no han tenido más remedio que empezar a profundizar en lo que hay bajo la superficie, por así decirlo, y ver qué hay allí. Así que ha sido una tendencia y un cambio de tendencias muy interesantes.

Brenda Ferraro: Sí. Y creo que a todo el mundo le cuesta determinar quiénes son mis cuartos o enésimos interlocutores. ¿Cómo puedo saberlo sin preguntar o sin ver algún tipo de pantalla que me muestre todas las conexiones? Hablaremos de eso en 2021. Gracias. Brenda Ferraro: Entonces, el contenido es algo... Alistair Parr: Oh, lo siento. Adelante, Alistair. Brenda Ferraro: Lo siento, después de ti, Brenda, por favor. Brenda Ferraro: No, solo iba a decir que, desde el punto de vista del contenido, has mencionado que hay muchas empresas que están analizando cuáles son mis controles clave y cómo correlaciono mis recomendaciones de riesgo para esos controles clave y qué tipo de diligencia debida de perfilado me preparará para identificar el riesgo que más me importa. Así que lo llamo riesgo significativo. Hay una automatización de la que todo el mundo habla, pero también tenemos que tener en cuenta que, al analizar estos diferentes tipos de perfiles, los riesgos residuales inherentes y cómo se ven desde la perspectiva de un registro de riesgos centralizado, tenemos que tener en cuenta que debemos analizar nuestro programa de manera que identifique el talento que se necesita para respaldar el ciclo de vida, las herramientas que se necesitan para proporcionar la información y las técnicas que se necesitan. Y los esfuerzos para empezar, parar y continuar. Y eso es lo mismo que las personas, los procesos y la tecnología. Pero hay una frase muy común que dice que no se puede medir ni gestionar lo que no se mide. Y medir es básicamente la clave. Así que esto es lo que estamos mostrando, donde la puntuación de probabilidad y el impacto global, y asegurarnos de que estamos haciendo un análisis coherente y completo de la centralización de esa información, va a ayudar. Así que aquellas empresas que solo utilizan una hoja de cálculo y la utilizan como su diligencia debida. Se están perdiendo la imagen de la inteligencia de amenazas. Se están perdiendo la imagen de los informes de validación. Y luego, aquellos que solo utilizan sistemas de puntuación se están perdiendo lo que el proveedor o el subcontratista dicen que tienen en marcha frente a lo que vemos desde fuera. Lo siento, Alistair, te he interrumpido. ¿Qué opinas sobre este tema?

Alistair Parr: No, creo que eso lo resume muy bien. Lo que yo observo es que, cuando hablamos de registros de riesgos centralizados, muy a menudo vemos que las organizaciones se centran específicamente en la ciberseguridad o la seguridad de la información, y estamos viendo una tendencia a consolidar los distintos tipos de riesgos que quieren controlar, ya sean operativos, financieros, de reputación o de seguridad de la información en general, etc., en vistas consolidadas. Eso no tiene por qué significar necesariamente el mismo registro de riesgos, pero hemos visto que la gente busca estandarizar las métricas que utiliza para calcular y realizar un seguimiento de eso, y sin duda ha sido una tendencia interesante.

Brenda Ferraro: De acuerdo. Alistair Parr: Gracias. En cuanto a las funciones y responsabilidades, ya he mencionado brevemente antes que aún no he visto ningún equipo de ITSM con todos los recursos y personal necesarios para impulsar la gobernanza de terceros. Pero, como pueden ver en algunos de los datos que tienen delante, no se trata solo de contar con los recursos adecuados. Se trata de tener los recursos adecuados para las tareas adecuadas. Por lo tanto, una tendencia que hemos visto gradualmente a lo largo de 2020 es que están aprovechando las tácticas y técnicas de automatización, e incluso la externalización en algunos casos, para poder centrar al personal cualificado y los recursos en las actividades adecuadas. Por lo tanto, si se cuenta con un especialista en seguridad de la información, un especialista en privacidad, etc., estos no deberían dedicarse a revisar los entresijos de la evaluación, sino centrarse en los principales puntos débiles y retos, y deberían centrarse en la corrección y los ejercicios de validación. ¿Esto coincide con lo que has observado, Brenda?

Brenda Ferraro: Me doy cuenta de que el compromiso del departamento. Si nos fijamos en el departamento jurídico, en el departamento de riesgos y cumplimiento normativo, en el departamento de compras, todos ellos están empezando a reconocer que hemos estado presionando mucho a los proveedores del mundo del suministro y la externalización, haciéndoles preguntas sobre lo que están haciendo desde una perspectiva cibernética y ahora sobre lo que no es cibernético. Y es muy difícil para ellos porque tienen mucho que responder y algunas de esas cosas son repetitivas. Así que estoy viendo en una revisión de estandarización que estos cuestionarios, desde un punto de vista interno, están ayudando a informar a los departamentos jurídicos, de riesgos y de compras sobre lo que está sucediendo a lo largo del tiempo. No se trata solo de decir: «Hola, vamos a averiguar cómo estáis ahora mismo. Vamos a archivar su información y luego la volveremos a sacar dentro de un año. Volveremos a revisarla y luego puede que la compartamos o no con otros departamentos. Ahora se está convirtiendo en una de esas situaciones en las que los departamentos de compras y de abastecimiento dicen: «¿Qué estáis descubriendo que me va a ayudar y complementar para pasar a ser consciente de lo que está sucediendo con un proveedor concreto, en lugar de limitarme a asegurarme de que podemos incorporarlo?». Correcto. Todos estamos mirando a la gente que habla, que nos cuenta lo que están haciendo mientras tanto y también nos cuenta cómo les va cuando los retiramos.

Alistair Parr: Muy interesante. Gracias. Alistair Parr: Entonces, desde el punto de vista de la reflexión, Brenda, ¿qué es lo que has observado típicamente a lo largo de 2020? Brenda Ferraro: Esta es mi favorita. Esta es realmente muy importante. Y sabrás que hay un 86 % de inconsistencia con las directrices de remediación de las personas a las que hemos realizado evaluaciones de madurez. Y estos encuestados realmente dicen que estoy haciendo un gran trabajo recopilando información. Estoy haciendo un gran trabajo identificando riesgos, pero tan pronto como llega el momento de remediarlos y hacer un seguimiento de esas remediaciones hasta su cierre, empiezo a quedarme corta. Y la razón es que podría haber situaciones en las que no se utilicen estándares para la remediación de riesgos. Podría ser que no se haya aplicado el riesgo a diferentes enfoques de clasificación. Y hay una gran necesidad y un gran reto para las empresas a la hora de aplicar esas correcciones con toda su eficacia. Los CIESO de hoy en día, perdón, dicen: «Ya no soy un recurso responsable únicamente de reducir el riesgo. Mi principal prioridad ahora como CISO es gestionar el riesgo. Estos riesgos están llegando. Estamos identificando lo que hay que remediar y necesito controlar lo que ocurre desde el principio hasta el final de esas medidas correctivas. Por lo tanto, si hay alguien que no responde, ¿qué hago con esas empresas que dijeron que tenían un plan, pero no completaron la medida correctiva, o tal vez la medida correctiva se completó y necesitamos poder validar que esa finalización se ajustaba a su postura y norma? Además, no se aplica una puntuación de riesgo generalizada a las respuestas que se reciben. Así pues, estamos descubriendo que el 59 % de nuestros encuestados hablaban del hecho de que están supervisando la inteligencia de amenazas, lo que debería ayudar a aplicar lo que están escuchando de los proveedores y los incendios, pero no encaja muy bien para mostrar una puntuación de riesgo normalizada o armonizada. Así pues, esas son las cosas que espero que se solucionen en 2020 y 2021.

Alistair Parr: Interesante. Sí. Para secundar lo que ha dicho Brenda. Desde el punto de vista de la estandarización de la remediación, lo que hemos visto es que muchas organizaciones simplemente tratan el riesgo de terceros como una casilla que hay que marcar. Esto está disminuyendo gradualmente a medida que la gente se da cuenta de su importancia y, como ha mencionado Brenda, los CESOS son cada vez más conscientes del hecho de que están identificando estos retos y que necesitan hacer algo al respecto, más allá de limitarse a observar el hecho de que existeexiste una cantidad de riesgo asociado a sus activos de terceros, y estamos viendo que cada vez más personas encuentran mecanismos y formas de empezar a abordar esos retos en su cadena de suministro, aplicándolo con T en forma de contratos y comenzando ese proceso de validación y control efectivo. Así que, si tuviéramos que resumir cómo ha sido 2020, diríamos que ha sido un poco como hacer daño a los gatos. Centrándonos exclusivamente en el riesgo de terceros, se trata de luchar por gestionar un programa eficaz que sea escalable. Hay una gran cantidad de colaboración, como es de esperar en este ámbito. No se trata únicamente de gestionar los recursos internos, sino que esa colaboración requiere conocimientos especializados, conocimientos sobre la materia en los respectivos ámbitos y, como es de esperar, una buena dosis de suerte. Sí, me encanta esta imagen porque realmente es como lastimar gatos.

Brenda Ferraro: Así lo parece. Alistair Parr: Bueno, esto resume nuestra perspectiva sobre lo que hemos visto hasta ahora en 2020. Algunos de los retos y temas clave de cara al futuro, vamos a hablar un poco sobre los temas clave que esperamos que surjan a lo largo de 2021. Ahora bien, algunos de ellos serán la evolución de las soluciones que hemos visto en 2020 y retos y enfoques completamente nuevos para hacer frente al riesgo de terceros. Bien, pasemos a la primera diapositiva. Ampliar los horizontes de los terceros a nivel interno y externo. Lo que queremos decir con esto es que hemos empezado a ver esto a lo largo de 2020, en parte debido a las reacciones a la resiliencia operativa, pero ha surgido la necesidad de empezar a comprender cómo interactúan específicamente los terceros con la empresa. Históricamente, demasiados programas han estado orientados exclusivamente hacia el exterior de la organización. Se obtiene una lista sin procesar de los terceros con los que se trata habitualmente y se les trata sin ninguna asociación con las respectivas áreas de negocio o el contexto empresarial al que están vinculados. Ahora lo que hemos empezado a ver es una asociación de terceros más allá de esa lista básica que puede proporcionar el departamento de compras, el jurídico o el financiero, sea quien sea, y que realmente empieza a hablar con el negocio. Entonces, ¿por qué se utiliza este tercero? ¿Qué valor tiene para usted? ¿Qué hace por usted, etc.? Y todo ese contexto es extremadamente importante. Al igual que bajar a la parte M en la dirección opuesta, es extremadamente importante comprender realmente el verdadero nivel de riesgo asociado a esa organización, a ese tercero en sí mismo. Y la forma en que vemos que la gente lo hace es empezando a considerar aspectos como los responsables de las relaciones dentro de la empresa. Si no están establecidos, esperamos que se defina una tendencia a que haya más responsables de relaciones en las organizaciones. Así, alguien tendrá la responsabilidad específica de gestionar y coordinar con ese tercero, y esperamos que haya múltiples partes interesadas. Lo que queremos decir con esto es que, muy a menudo, encontrará diferentes partes del negocio que tienen algún tipo de interés en ello. Así que cuando analizamos el riesgo de concentración de terceros específicos, y hablaremos de ello un poco más adelante, o simplemente analizamos el hecho de que vamos a tener dificultades para obtener ingresos porque un tercero ha desaparecido o porque están apoyando a diferentes partes de la organización, eso es algo que va a requerir una mayor atención y validación con respecto a la clasificación y la elaboración de perfiles preliminares. Una tendencia muy común que hemos observado es que el conjunto de datos inicial, y creo que Brenda lo ha mencionado antes, ese conjunto de datos inicial para comprender qué es el tercero, qué hace y aplicar un perfil inicial sobre él, históricamente no ha sido brillante. Los conjuntos de datos, los conjuntos de datos heredados, han sido insuficientes y estamos empezando a ver, y esperamos ver más en 2021, un mejor proceso de adquisición. Es compartir por adelantado los datos necesarios para llevar a cabo estos programas de manera eficaz. Por supuesto, eso nos lleva a la parte de gestión de las partes finales y, por supuesto, Brenda y yo hablaremos un poco más sobre eso en breve. Y eso nos lleva a los perfiles completos. Se trata de incorporar y fusionar las diferentes partes del negocio que tratan con un tercero. Es decir, finanzas, legal, compras, información, resiliencia informática, privacidad, quienquiera que sea. Y empezar a construir estos perfiles, en última instancia, de 360 grados sobre lo que está sucediendo con ese tercero. Y eso, por supuesto, nos lleva a nuestro punto final, que es el ciclo de vida más amplio de un tercero. Desde la incorporación hasta la salida, una mejor gestión y definición de cómo se gestiona. Abordaremos algunos de estos temas, pero Brenda, ¿hay algo que te gustaría añadir o que hayas visto en la práctica y que esperes para 2021?

Brenda Ferraro: Sí, por supuesto. La situación interna y externa para identificar un universo y un punto de contacto siempre ha sido uno de los elementos clave que han planteado retos, y creo que, a medida que avanzamos hacia 2021,habrá nuevos enfoques que la gente empezará a utilizar como técnica, ya que es posible que quieran acudir directamente al proveedor y hacerle esas preguntas preliminares de tarado y perfilado para remediar esa información o compararla con la que tienen en sus registros. Es como cuando alguien te pide que digas: «Este es el servicio que ofrezco. Esto es lo que hago por ti. Aquí es donde hago negocios». Y luego comparar eso y reflejarlo con la inteligencia de hilos que tienes. Así que, si tienes que empezar muy rápido, también veo que la inteligencia de hilos se utiliza como técnica de priorización. Por lo tanto, si realmente necesitas obtener información rápidamente, te da una idea de una parte del ciclo de vida de tu proveedor externo y puedes utilizarla desde el principio. Así que estamos empezando a encontrar nuevas formas poco convencionales de determinar a quién vamos a contactar en los proveedores si no tenemos esa información. ¿A quién podemos acudir internamente si necesitamos averiguar lo que necesitamos para empezar? Porque siempre hay que batear la pelota fuera del parque para poder correr todas las bases. Y si ni siquiera puedes batear la pelota desde el primer punto, empiezas a encontrarte con situaciones en las que, bueno, estás un poco atascado. Por lo tanto, estamos buscando formas de eliminar esas áreas en las que las empresas y los programas se encuentran estancados.

Alistair Parr: Gracias. Entonces, hay mucha complejidad. Hay muchas oportunidades basadas únicamente en esta diapositiva para 2021 y en la evolución de estos programas. Pero, eh, algo de lo que somos muy conscientes es del hecho de que, con toda esta complejidad, existe la posibilidad de que resulte excesivamente recargado y, por lo tanto, muy difícil de implementar y gestionar, y ese es un tema recurrente que intentamos transmitir a los respetados CISO, CIO, etc. con los que colaboramos: no sobreingeniencen estos programas de terceros. Pero los temas clave que vamos a tratar durante el resto de la sesión se centran realmente en racionalizar la eficiencia y obtener el máximo rendimiento de los programas de terceros tal y como están.

Brenda Ferraro: Sí. Y creo que me encanta esa imagen. No es necesario volver a ella, pero la evolución y la hoja de ruta para construir tu programa son fundamentales. No intentes abarcar más de lo que puedes. Volviendo a la imagen del elefante y el pájaro, hay una manera de llegar a donde necesitas estar, pero es un viaje. No es algo en lo que quieras causar demasiado caos. Alistair Parr: Brenda, tengo mucha curiosidad. ¿Qué has observado desde un enfoque inicial de información empresarial y elaboración de perfiles? ¿Hay algo que esperes que sea especialmente eficaz en 2021?

Brenda Ferraro: Sí, tengo muchas ganas de que llegue 2021, cuando empezaremos a analizar los perfiles, como has mencionado antes, Alistister, y veremostipo de empresa a la que vamos a proporcionar la debida diligencia y, contextualmente, cómo se aplica eso a mi empresa en particular. De esa manera, se lleva a cabo una gestión de riesgos significativa, en la que se analiza la información que es importante, pero antes incluso de llegar a eso, sabiendo que cuando se trabaja con esos negocios en particular, ¿dónde prestan sus servicios? Incluyendo información sobre amenazas que te indica las áreas sancionadas, teniendo la capacidad de ver cuál es el mecanismo de apoyo para esos clientes, y luego teniendo un diagrama definido, un registro de enlaces o un diagrama de araña que muestre las consideraciones internas que debes tener en cuenta cuando realizas tu diligencia debida. Algunos departamentos de su empresa pueden decir, por ejemplo: «Sé que tengo que trabajar con este proveedor en particular y que tiene riesgos, pero mi apetito de riesgo nos va a permitir seguir trabajando con él mientras lleva a cabo su remediación, pero lo controlaremos de forma más estricta y cercana. Puede que tenga algunas limitaciones de recursos. Por lo tanto, analizaremos cómo abordar esas limitaciones, ya sea algo interno o externo. Por lo tanto, creo que esta mayor importancia de la incorporación desde el principio ayudará a realizar la debida diligencia adecuada. Y luego, siempre hay que tener en cuenta que los contratos cambian, los compromisos cambian, y hay que contar con un proceso que tenga en cuenta cuándo se producen esos cambios, de modo que se pueda mejorar la revisión o asegurarse de que lo que se abordó en la revisión era exactamente lo que se necesitaba para este nuevo compromiso o modificación.

Alistair Parr: Y lo único que añadiría a eso, por lo que he visto, es que, como probablemente se puede apreciar en el gráfico que tienen delante, hay algunos temas comunes que observamos en esa consideración inicial. Así que, históricamente, hemos visto que la gente se basa únicamente en el valor del contrato y luego aplica cierto grado de tarado. Así que, independientemente de si utilizan herramientas de supervisión de amenazas para alimentar eso o no, fundamentalmente existe ese requisito de mirar dentro de la empresa. Entonces, ¿existe una obligación regulatoria asociada a esto basada en lo que hacen más allá del valor del contrato? ¿Qué partes del negocio están apoyando? ¿Son múltiples? ¿Existe un riesgo de concentración asociado a ello? ¿Qué es lo que realmente proporcionan? ¿Dónde se encuentran geográficamente? Y, por supuesto, esa es una situación fantástica. Pero si acabas con el 70 % de tu patrimonio empresarial clasificado como crítico o de nivel uno, aunque ese sea el caso, la realidad es que es posible que no tengas la capacidad interna para hacer frente a eso. Por lo tanto, ajustar y adaptar eso en función de lo que realmente se puede consumir y gestionar para poder tener un programa eficaz se ha convertido sin duda en algo cada vez más común y que esperamos ver en 2021, que es la planificación proporcional del patrimonio de los proveedores en función de esos perfiles iniciales y de lo que realmente pueden intentar y llevar a cabo. Ahora bien, no estoy diciendo que se ajusten los niveles para reflejar la capacidad, porque, por supuesto, va a depender del negocio y será el negocio el que decida, pero al menos hay que ser consciente y tener un punto de corte y un punto de corte claramente definido sobre lo que realmente se puede lograr al aplicar la elaboración de perfiles y la clasificación por niveles. De acuerdo. A continuación, las partes interesadas dentro del negocio de Brenda. ¿Hay alguna tendencia concreta que prevea?

Brenda Ferraro: Adquisiciones, adquisiciones, adquisiciones. Vamos a ver muchos cambios en el ámbito de las adquisiciones, porque cuando establecemos las cosas correctamente a través de las adquisiciones, entonces será complementario a los elementos identificados en las fases posteriores. Vamos a utilizar situaciones en las que se recopilan datos y se recoge información interna y externamente, de dentro hacia fuera y de fuera hacia dentro, a partir de cuestionarios y de la inteligencia de hilos que se aplicará para ver determinados registros de riesgos aplicados a diferentes organizaciones. Ya hemos hablado de esto anteriormente, cuando más departamentos decían: «Oye, departamento de gestión de riesgos de terceros, hazme saber lo que estás recopilando, porque puedo utilizarlo para responder a los requisitos normativos o para tomar decisiones sobre los riesgos de la empresa». Así que el departamento jurídico querrá poder ver en una herramienta completa y cohesionada lo que se ha recopilado y, desde su punto de vista, exactamente lo que necesita ver. Luego, el riesgo de la seguridad de la información y los riesgos técnicos tienen requisitos para evaluar la gestión continua. Por lo tanto, querrán poder configurar alertas para identificar que estas cosas no están del todo bien y que debemos asegurarnos de vigilarlas de cerca. Ahora, en cuanto a las operaciones, por supuesto, estamos hablando de la resiliencia en su conjunto y de asegurarnos de que esas eficiencias en 2021 muestren la conciencia del panorama de la cadena de suministro en una imagen pura. Y luego, por supuesto, la auditoría. Por lo tanto, si se analizan las tres líneas de defensa, se querrá tener la capacidad de, si se produce un incidente, poder tomar esa información y buscar rápidamente en la herramienta integral dónde se produjo la desconexión, cuál es la causa raíz del problema y cuáles son los efectos posteriores y anteriores de los mismos. Y la auditoría querrá poder ver todo lo que está haciendo sin tener que aprender todo su programa. Por lo tanto, asegúrese de que, en el marco temporal de 2021, está utilizando un producto completo que sea capaz de decir: «Muy bien, auditores, entren y vean cómo gestionamos y producimos la gestión de riesgos a lo largo del ciclo de vida de la relación con el proveedor». ¿Y tú, Alistister? ¿Qué ves?

Alistair Parr: Sin duda, estoy de acuerdo con esa introducción que has hecho, que es adquisición, adquisición, adquisición. Y fue una decisión deliberada que la adquisición ocupara un lugar tan destacado. Sin duda, estoy de acuerdo con eso y espero verlo con bastante frecuencia en 2021, ya que hay una gran cantidad de datos en la adquisición y ellosson esencialmente el primer punto de contacto cuando se trata con terceros y tienen bastante peso y poder en lo que respecta al proceso de negociación y a conseguir que esos terceros inviertan tiempo en el programa más amplio de recopilación de los datos necesarios antes de que se convierta en un contrato BAU y el proveedor o tercero tenga el dinero y entonces las cosas puedan volverse un poco más laxas. No digo que sea así, pero a veces puede serlo. Así que aprovechar esa herramienta de adquisición es sin duda algo que esperamos ver más en 2021. Ahora bien, todos los demás aspectos de la organización que tienen algún interés en los datos de terceros que recopilamos, ya sean operaciones de riesgo legal y auditoría, por supuesto tienen diferentes perspectivas y percepciones sobre lo que quieren ver. Lo que nos lleva a lo que esperamos que se convierta en la norma, que es un perfil completo o de 360 grados. Y la razón por la que esto está cobrando más importancia y, diría, está más extendido que nunca es el hecho de que ahora existen las tecnologías y están adecuadamente coordinadas para permitir su consumo en un único panel o en una vista más consolidada, independientemente de cómo se haga. Así que, en lugar de que cada una de esas áreas de negocio tenga un enfoque fragmentado que pueda agregar los mismos datos de formas ligeramente diferentes, en silos. Estamos viendo cómo se crea y se rellena el perfil central mediante diferentes fuentes y herramientas. Así que, para repasar algunas de las cosas que esperamos que se conviertan en la norma en 2021, hay fundamentalmente evaluaciones y, dentro de las evaluaciones, tenemos diferentes tipos de evaluaciones:

• Evaluaciones basadas en la privacidad
• Seguridad de la información
• Resiliencia operativa
• Evaluaciones basadas en el cumplimiento normativo
• Evaluaciones de perfiles empresariales
• Lucha contra la corrupción
• Evaluaciones sobre la esclavitud moderna

Hay toda una serie de contenidos diferentes que estamos viendo que se están convirtiendo en algo habitual, en lugar de ser solo un apéndice de seguridad desde el punto de vista cibernético. Capturar, como mencionaba Brendan anteriormente, capturar esa percepción inicial, esa perspectiva cibernética inicial. Ahora bien, aunque solo sea un punto de vista externo de terceros, te da una idea de cuál es su postura ante el riesgo y cómo pueden estar gestionando su entorno. Los datos empresariales los consideramos esencialmente acontecimientos empresariales, acontecimientos empresariales históricos asociados a la organización que pueden ser significativos. Por ejemplo, cambios en las operaciones, cambios en los territorios, cualquier lanzamiento relacionado con la fabricación de productos, cualquier nueva línea de servicios que ofrezcan, etc. Toda esa información relevante le permite comprender el espíritu de la empresa y lo que realmente está haciendo. Esperamos que los datos financieros cobren cada vez más importancia. Por supuesto, vemos que algunas partes del negocio los utilizan hoy en día, pero los datos financieros deberían integrarse en el perfil del proveedor. Es decir, su estabilidad financiera, las posibilidades de que quiebren en los próximos 12 meses, de que se declaren insolventes. Los eventos son cualquier evento proactivo más allá de este punto. Así que las infracciones de datos, las interrupciones del servicio, la información sobre fusiones y adquisiciones, cualquier cosa que sea relevante, se comunica de forma proactiva a ese perfil. El seguimiento de las certificaciones cuando sea relevante, siempre que podamos obtenerlas y demostrarlas, en lugar de repetir las mismas evaluaciones de forma ligeramente diferente. Y luego, por supuesto, como ha mencionado Brenda, la parte final. ¿A quién utiliza ese proveedor? ¿Cuáles son las cuartas, quintas, sextas y séptimas partes asociadas que tienen importancia para los servicios que prestan? En resumen, lo que espero ver a lo largo de 2021 es esta visión amalgamada, este perfil único que incorpora diferentes elementos, y cada una de las partes interesadas de la diapositiva anterior dedicará tiempo a los elementos o componentes de este perfil de proveedor. Pero en lugar de tener estos silos aislados, veremos un esfuerzo más conjunto entre las empresas para capturar esto desde el principio, haciéndolo más ágil para el proveedor, más accesible y permitiendo un mejor análisis de ese conjunto de datos. Brenda, tengo curiosidad por saber si eso es algo que tú también esperas ver a lo largo de 2021.

Brenda Ferraro: Estoy deseando ver esto en 2021. Hay muchas empresas que utilizan diferentes herramientas que no se comunican entre sí. Y lo que usted refleja aquí es este perfil completo y la capacidad de verlo todo desde una única perspectiva. De esta forma, cuando lo analiza, puede realizar una revisión analítica de lo que vendrá después. Sin ello, solo se tienen fragmentos y piezas, y solo se resuelve una parte del rompecabezas. Pero tener todo el rompecabezas completo y poder verlo todo en una sola pantalla va a ser muy útil para aquellos que tienen que hacer este tipo de trabajo. Porque si miras la diapositiva en la que se veía el edificio ornamentado, es realmente ornamentado. Todo el programa se vuelve bastante brillante y espectacular, pero hay que tener todas estas piezas y partes disponibles para que tenga ese enfoque brillante.

Alistair Parr: Gracias. Muy interesante. Entonces, si me permites preguntarte, ¿cómo ves el ciclo de vida completo de Brenda? Es decir, desde la contratación hasta la salida de la empresa, evolucionando hacia 2021. Brenda Ferraro: Si miras esta diapositiva, verás que hay dos colores diferentes. Los dos primeros chevrones son de un color azul más claro y los tres últimos son de un azul más oscuro con gris debajo. Si se centra en los tres últimos, el inventario y la admisión de proveedores, priorizándolos, y luego realizando su evaluación y supervisando la perspectiva de la diligencia debida, eso es en lo que muchas empresas se han centrado y lo que hemos visto como tendencia hasta 2020. Lo que veremos en 2021 es la incorporación de la capacidad de realizar el abastecimiento, las solicitudes de propuestas y las partes del contrato del ciclo de vida. Por lo tanto, estamos perfeccionando el proceso aportando información complementaria y preparándonos para el éxito más adelante en el ciclo de vida, lo que se adaptará a las empresas y garantizará que los requisitos aborden las complejidades de los terceros a gran escala. Así que no es que todo vaya a cambiar por completo. Simplemente nos estamos asegurando de centrarnos en algunas áreas que no utilizaban necesariamente las capacidades avanzadas de la gestión de riesgos de terceros desde el principio del ciclo de vida de las compras. Además, con la supervisión, se dará cuenta, por supuesto, de que eso se refleja en cada una de las fases del ciclo de vida. Por un lado, podría utilizar su inteligencia de amenazas para seleccionar a sus proveedores para sus solicitudes de propuestas o sus solicitudes de oferta. Y va a utilizar esos elementos de supervisión y su información de riesgo armonizada y normalizada para ajustar los contratos. Quizás alguien no esté rindiendo como debería o, por supuesto, como hemos comentado antes, haya empezado a hacer negocios diferentes con la empresa y tengamos que asegurarnos de que estamos haciendo la debida diligencia. Ahora, su inventario de proveedores y asegurarse de que obtiene la información cuando la necesita. Hemos visto que en 2020 se han presentado retos en los que se ha añadido a alguien, pero no lo sabíamos y no hicimos la debida diligencia porque no teníamos información. Esa base de datos de terceros o de enésimos será fundamental para que puedas entender no solo quién está en tu inventario, sino qué están haciendo, qué están haciendo por ti y cómo se interconectan con tus unidades de negocio internas hasta llegar externamente a tus partes finales. Y luego, la priorización... Estoy seguro de que algunos de ustedes se han sentido como yo en el pasado, cuando estaba creando un programa de riesgo de terceros, en el que estas oficinas de adquisiciones tuvieron la amabilidad de darme diferentes listas en diferentes momentos de aquíquiénes son nuestros terceros y cuartos, y al recibir miles y miles de ellas a la vez, tuve que asegurarme de adoptar un enfoque evolutivo para identificar qué era lo más importante, lo segundo y lo tercero, por lo que clasificar a esos proveedores y planificar la evaluación también es fundamental. Así que ver cómo todas estas cosas funcionan juntas y se complementan entre sí, y cómo dependen en cierta medida de las entradas y salidas, nos da un enfoque más cerrado, y me gusta que esa sea nuestra visión para 2021 de cara al futuro. ¿Qué opinas tú, Alistister?

Alistair Parr: Muy interesante. Veo algo muy similar y lo que me parece interesante de esta diapositiva es que las actividades iniciales de adquisición se muestran con un chevrón azul. Así que el elemento de supervisión y gestión de los KPI identifica las mejores fuentes y supervisa ese rendimiento de forma continua. Hasta hace poco, esto era algo bastante extraño en lo que respecta al programa de gestión de terceros. No está siendo gestionado por los mismos equipos que realizan las evaluaciones que impulsan esas relaciones con terceros. Pero cada vez es más común. Y lo que me parece interesante y espero que continúe en 2021 son esas métricas de rendimiento, esos requisitos de KPI que se incorporan al ciclo de vida más amplio. No son solo puntuales o para respaldar renovaciones de contratos, etc., y se está empezando a ver que las organizaciones hacen un seguimiento de las cláusulas, las cláusulas contractuales y las expectativas como parte de sus propios flujos de trabajo de evaluación y encuentran discrepancias. Un ejemplo claro sería cuando se proporciona un anexo de seguridad por adelantado como parte de la fase de contratación de la solicitud de propuestas y luego se valida eso más adelante, no solo en el momento de la evaluación inicial, sino en 3 meses, 6 meses, etc., y se utiliza para abordar el riesgo y, por supuesto, renegociar los contratos al final del plazo. Por lo tanto, obtener un retorno de la inversión en forma de ahorro de costes a través de negociaciones contractuales en forma de deficiencias de seguridad o deficiencias en la prestación de servicios es sin duda valioso, ya que se puede demostrar un retorno de la inversión definitivo para las actividades, algo que, en mi opinión, ha faltado durante muchos años en el sector, y por mucho que la gente se decante por modelos justos para intentar asociar el riesgo financiero y el coste asociado a estos riesgos que están identificando. Sigue sin resolverse el problema de qué retorno de la inversión estamos obteniendo realmente con este programa más amplio de gestión de terceros. Sabemos que deberíamos obtener al menos un ahorro de efectivo en nuestros bolsillos y estamos empezando a ver que las organizaciones lo hacen.

Brenda Ferraro: De acuerdo. Alistair Parr: Brenda, me gustaría saber qué opinas sobre el mapeo de las partes finales. Sin duda, es un tema candente de cara a 2021, pero ¿qué crees que es común? ¿Hay algo que vaya a ser más proporcional de cara a 2021? Brenda Ferraro: Sí, todo el mundo está empezando a profundizar. No se limitan al primer perímetro. Van más allá para identificar cuáles son mis riesgos. ¿Cómo voy a poder responder rápidamente a la gestión de incidentes? Y en lo que respecta a la gestión de la resiliencia, ¿cómo sabré exactamente qué tengo que ajustar o cambiar cuando las cosas no salgan según lo previsto? O si van muy bien, ¿cómo las incluimos para utilizarlas en más servicios? Por lo tanto, si nos fijamos en lo que realmente hace este flujo de trabajo de identificar, evaluar, contextualizar, asociar y mantener, es asegurarse de que se conoce contextualmente con qué terceros, cuartos y partes finales se está trabajando. Mapearlos interna y externamente para mostrar una base de datos, una base de datos de gestión para sus proveedores o para sus subcontratistas y vendedores. Y luego asegurarse de que, al mantenerla, se revisa todo lo que pueda suceder desde una perspectiva positiva o negativa. Ahora bien, si se entra en ese nivel de profundidad, al principio puede parecer intimidante. Es como hervir el océano, pero en 2021 existen técnicas y métodos que pueden ayudarle. Por ejemplo, puede obtener un informe de inteligencia sobre amenazas que le mostrará con qué empresas trabajan. Y luego, si se produce un incidente, puedes ir rápidamente y decir: «Bien, aquí está el tercero con el que se está produciendo el incidente. ¿Dónde va a tener impacto externo e interno para que pueda hacer ajustes en mi flujo de trabajo, mis procesos de negocio, o empezar a invocar planes de continuidad del negocio y planes de recuperación de desastres si es necesario?». Te puedo contar una historia muy rápidamente. En el pasado, tuve una situación en la que se produjo un incidente causado por un tercero y ese tercero también tenía involucrado a un cuarto, y sin que nosotros entendiéramos realmente qué diligencia debida había realizado el tercero para el cuarto, básicamente nos dejaba expuestos a un riesgo desconocido. Y queremos saber cuáles son nuestros riesgos. No queremos tener incógnitas, a menos que se trate de algo ambiental o que ocurra de forma inesperada. Por lo tanto, es importante gestionar esos riesgos. Y por eso te diría sin duda que, si no es algo que estés considerando ahora mismo para 2021, es sin duda algo que debes empezar a considerar de cara a 2021, porque querrás tener esa visión general a tu alcance cuando tu CISO y/o tus ejecutivos empiecen a preguntarte cómo nos va a afectar esto.

Alistair Parr: Sin duda, estoy de acuerdo con esa marca. Gracias. Y algo que está relacionado con eso y que sin duda estoy viendo en el Reino Unido es que hay directrices, marcos y normativas que están empezando a apoyar el análisis de la cuarta parte o la M-ésima parte. Así que, eh, o producido por organizaciones y, como el P, eh, lo apoyan en el sentido de comprender cuáles son los impactos en las fases posteriores y comprender cómo eso va a afectarle a usted. Así que estamos viendo que no solo los reguladores están empezando a visualizar y centrarse en la parte final, sino que, como has mencionado, más allá de las preocupaciones de seguridad, hay méritos y beneficios en las fases posteriores para la parte N que estamos empezando a ver traducirse. Has puesto un buen ejemplo, que es cuando se produce una violación de datos, una interrupción del servicio, etc. Comprender el impacto asociado a ello en toda tu cadena de terceros más amplia. Y creo que esta imagen lo ilustra bastante bien. Si elegimos cualquiera de estos puntos de forma aislada en esta red, se obtiene una imagen muy diferente a la que se obtiene al ver también las asociaciones que los rodean. Por eso esperamos que cada vez más personas empiecen a definir dónde tienen el recurso de ancho de banda en 2021. Y lo que eso significa fundamentalmente es que lo que se esconde bajo el buen barco del proveedor no es tan tolerable en 2021. Y lo que queremos decir con eso es que el mar de proveedores y entidades que dan soporte a todos sus terceros se ha vuelto prominente en 2020, en parte debido a la resiliencia operativa y a una menor tolerancia al riesgo, y esperamos que esa tendencia continúe en 2021. Hasta ahora nos hemos centrado bastante en los programas en evolución. Entonces, ¿a dónde va a llegar un programa basado en uno que ya se ha definido? Pero hay algo más que queríamos mencionar, que es esencialmente un programa nuevo o de base que comenzó a partir de una percepción cercana a la superior de 2021, y hay una serie de cosas que estamos viendo como parte de las consideraciones para establecer ese programa, que han evolucionado más allá de la mentalidad de 2020. Hay algunos que destacan ahora, pero los que me gustaría destacar y que creo que cobrarán mayor importancia en 2021 son la definición de las métricas clave. Establecer desde el principio qué es realmente el éxito y qué es el fracaso, algo que hemos visto una y otra vez en las últimas décadas, ha sido realmente intentar hacer demasiado y, en última instancia, prepararse para el fracaso. Así que estamos viendo que los programas de terceros que se acercan al final del año y al año que viene son más inteligentes en cuanto a cuáles son las métricas del éxito y, por lo tanto, qué y dónde debe estar el programa para lograrlo en un plazo de seis a doce meses. Pero en lugar de asignar recursos en función de la magnitud del problema, pueden tomar una decisión por adelantado y simplemente decir que, basándose en el presupuesto, en la capacidad y en el alcance total de nuestra organización desde una parte final, esperamos llegar a esto para nuestros niveles uno. Esperamos este nivel de validación y corrección para nuestros niveles dos, etc., y comprender qué métricas necesitamos para informar sobre el éxito en relación con eso. Otro tema clave que vemos como parte de un nuevo programa es el factor humano. Ahora bien, esto lleva evolucionando desde hace tiempo, pero el factor humano aquí se refiere principalmente a cómo vamos a crear esos perfiles completos de terceros y entidades después de la adquisición, cuando no existe ninguna obligación legal o contractual, o esta es muy laxa, que les obligue a hacer cosas y solo van a invertir el mínimo tiempo viable para informarle. Y eso se aplica tanto a nivel interno de la empresa como a los terceros. Así que lo que hemos visto evolucionar es que el departamento de marketing ha empezado a involucrarse y a apoyar algunas de estas actividades para ayudar a utilizar parte de su experiencia y orientación para conseguir la participación y el compromiso del personal con el fin de obtener respuestas y recopilar información. Eso podría ser utilizando voces de autoridad cuando se trata de comunicaciones internas de la empresa. Incluso hasta el punto de utilizar plazos muy específicos para emitir evaluaciones. Por ejemplo, emitir en fechas concretas esperando respuestas en plazos determinados, etc. Hay un comportamiento humano que se presta al proceso de obtener información de terceros y proveedores, y estamos viendo que se está volviendo cada vez más eficaz como herramienta para crear esos perfiles. Brenda, ¿hay algo más que quieras comentar sobre un nuevo programa que creas que será beneficioso en 2021? Brenda Ferraro: Creo que lo has expresado muy bien. Realmente no tengo nada importante que añadir a esto. Me gusta todo lo que has mencionado y lo que muestra.

Alistair Parr: Gracias. En ese caso, ¿qué opinas sobre la gestión continua? Una vez que se hayan establecido, ¿cómo crees que evolucionará hacia una especie de actividad habitual y mejora continua? Brenda Ferraro: Sí, en mi caso, definitivamente he cambiado y, cuando asesoro a las empresas, les digo que deben alejarse de las evaluaciones únicas de 21 y que deben centrarse realmente en la evaluación continua. Y digo evaluación continua porque siempre hemos oído hablar de la supervisión y de rellenar cuestionarios, y algunas empresas los tienen en ciclos de uno, dos o tres años, según su nivel, pero ahora hay duraciones más largas para los niveles bajos y medios, y lo entiendo. Así que, si no encuentras ningún riesgo con un proveedor concreto y este no está corrigiendo nada, y solo estás haciendo una comprobación puntual, entonces no hay problema. De acuerdo. Pero en el caso de aquellas empresas cuyos riesgos estás siguiendo hasta su cierre y que tienen planes de corrección en vigor, entonces querrás verificar y validar esos riesgos a medida que se completan, porque básicamente muestran no solo su postura de riesgo, sino también la tuya en una posición favorable si han implementado una corrección que es aplicable. Así que en lo que yo me centraría realmente es en asegurarme de que estás haciendo lo que estás haciendo hoy, pero adoptando un enfoque para evaluar continuamente a tus terceros de alto riesgo y, si se produce algún cambio en tu inteligencia de amenazas o si se produce un incidente, entonces, por supuesto, reevaluarlos. Pero intenta alejarte de eso y utiliza plataformas que te lo pongan muy fácil a gran escala. Ni siquiera tendrá que decir: «Vale, solo voy a fijarme en los altos o los críticos y dejaré los medios y los bajos a un lado». A veces, la automatización hará que pueda ver todos los niveles y podrá hacerlo con facilidad gracias a la automatización de la configuración que ha implementado en su plataforma. ¿Opina lo mismo, Alistair?

Alistair Parr: Así es. Sí. Ese aspecto de supervisión continua y mejora continua ha tardado en incorporarse a la gestión de riesgos de terceros, aunque solo sea por una cuestión de capacidad, más que por cualquier otra cosa, diría yo, y también por el deseo de mantener la continuidad y la coherencia año tras año. Pero, sin duda, estoy de acuerdo en que la gente está encontrando formas más intuitivas de mantener los estándares, los marcos y los requisitos heredados, pero luego evolucionando su programa y, por supuesto, asegurándose de que tienen una visión continua de esos terceros. Así que, Brenda, tengo mucha curiosidad por conocer tu opinión sobre las redes, ya que hay varias redes diferentes y es evidente que aportan un valor significativo cuando se aprovechan correctamente. ¿Cómo crees que evolucionarán el año que viene?

Brenda Ferraro: Estoy empezando a darme cuenta de que no nos estamos centrando solo en una empresa que impulsa una red concreta en lo que respecta a la estandarización. Por ejemplo, si hay una red de proveedores de servicios sanitarios o una red de proveedores de servicios jurídicos. Nos estamos centrando realmente en todos los tamaños. Y ese perfil completo va a dar a las empresas más pequeñas la capacidad de ver lo que necesitan ver y aliviar y recibir valor de lo que otras empresas están haciendo dentro de esa red. Así que empezarán a remediar el riesgo. Tienen la capacidad de hacerlo como comunidad o tienen la capacidad de ver información que se adapta al tamaño de su empresa. Puede que haya algunas empresas que solo evalúen a 25 proveedores al año. Puede que haya otras empresas que evalúen a 10 000. Por lo tanto, poder compartir esa información será algo muy extendido y familiar para todos en 2021. El riesgo de los proveedores va a empezar ahora, si alguien ha completado un riesgo o ha remediado algo, vamos a empezar a ver que eso se transmite a las empresas para que no tengan que ir y decirle a cada empresa que he remediado esta remediación en particular hasta su finalización. Ve a comprobarlo. Va a ser que lo he completado. Lo he puesto en mi portal de proveedores y entonces los clientes lo verán mágicamente en su sistema y podrán dar los siguientes pasos y tomar medidas para verificarlo o aceptarlo. Y luego, otra cosa que vemos en las redes y que va a ser muy útil son los feeds de respuesta instantánea. Así que si hay esfuerzos que deben realizarse en toda una industria o en una específica, o incluso en múltiples industrias. Empezaremos a ver cómo la gente puede utilizar estos diagramas web y la información desde un nivel superior, donde podrán compartir y comparar, y eso hará que podamos reforzar nuestra postura en todo el mundo, en lugar de hacerlo de forma individual para cada empresa o proveedor. ¿Qué opinas, Alistair?

Alistair Parr: Sí, estoy totalmente de acuerdo con todo lo que has dicho y espero que en 2021 las redes se centren más en los proveedores. Así que hay que cambiar el enfoque hacia los proveedores y proporcionarles formas fáciles y escalables de compartir información entre todos sus clientes. Por lo que he oído de los clientes y, por supuesto, también de los proveedores, el enfoque «uno a muchos» es cada vez más importante. Además de eso, hay líneas de servicio en la cantidad de datos de red que hay, que son muy específicas de una línea de servicio y que se interpretan como el proveedor en su conjunto. Y esto se aplica a las diversas redes de supervisión que existen, etc., lo que realmente no ofrece una imagen eficaz, y la única forma real de conseguirlo, por lo que hemos visto, es a través de la evaluación. Por lo tanto, volver a apoyar a los proveedores para que puedan proporcionar información sobre la línea de servicio y la evaluación de colisiones va a ser especialmente importante. Para resumir muy brevemente lo que vemos, esperamos que en 2021 veamos a más organizaciones estructurando su caos, lo cual, por supuesto, es música para los oídos de todos. Lamentablemente, esta no es una imagen que Brenda y yo hayamos recreado recientemente, debido al confinamiento, pero sin duda es lo que sentimos a veces cuando vemos que los programas de terceros de los que hablamos comienzan a dar sus frutos y son capaces de ofrecer resultados a gran escala.

Brenda Ferraro: Sin duda, ese es mi pelo. Brenda Ferraro: Es mi sonrisa. Alistair Parr: Nos quedan unos minutos para una sesión de preguntas y respuestas. Hemos intentado ir intercalando respuestas a las preguntas a medida que avanzábamos en la sesión. Pero si tienen alguna pregunta, no duden en escribirla ahora en la ventana de chat. Mientras lo hacemos, tenemos un par de encuestas que nos gustaría presentarles ahora. Por favor, voten y denos su opinión sobre su situación actual. Y mientras lo hacemos, responderemos algunas de estas preguntas. La primera pregunta que voy a seleccionar aquí, tenemos varias. Brenda, si me permites la pregunta, si la dirección no tiene un plan definido de evaluación de riesgos, ¿cómo puede la auditoría interna asesorar sin involucrarse directamente en la elaboración del plan?

Brenda Ferraro: Sí, esta es mi pregunta favorita del día. En realidad, yo adoptaría un enfoque desde una perspectiva de asesoramiento para realizar una evaluación de madurez sobre cómo está llevando a cabo su diligencia debida y qué diligencia debida está aplicando a su programa. Algunas empresas están realizando cuestionarios de certificación en el ciclo de adquisición. Por lo tanto, lo primero que diría es que se ponga en contacto con Prevalent si lo desea. Podríamos realizar una evaluación de la inmadurez de su departamento de compras o ayudarle a identificar las desconexiones y las lagunas, y luego usted podría utilizar eso como prueba de fuego para una auditoría interna realizada por una parte externa, lo que le resultaría beneficioso para mostrar el retorno de la inversión y otras cosas que serían aplicables a la implantación de un programa.

Alistair Parr: Gracias, Brandon. Tenemos otra pregunta relacionada con la N-ésima parte. La pregunta se refiere, parafraseando, a qué tipo de apoyo y atención cree que están prestando a las partes los reguladores o el sector empresarial en general, si es que lo hacen. Brenda Ferraro: Bueno, como ha mencionado Alistair, hay algunos requisitos normativos que están empezando a dar sus frutos ahora que hemos pasado por un año bastante complicado. Todos los reguladores están empezando a estudiar hasta qué punto, con qué profundidad y con qué amplitud hay que analizar la cuestión. Básicamente, diría que, si buscas ejemplos, hay algunos componentes dentro del NIST y la ISO que hablan de la cuarta parte en general y de la parte final en general, pero creo que a lo largo de 2021 esos requisitos normativos se irán aclarando.

Alistair Parr: Gracias. Pido disculpas a todos aquellos que han hecho preguntas que no hemos podido responder, pero espero que la mayoría de ellas hayan sido abordadas a lo largo de la conversación. Bueno, ya estamos a punto de terminar. En primer lugar, Brenda, muchas gracias por acompañarme hoy. Ha sido muy interesante y, sin duda, he valorado mucho tus aportaciones y tus opiniones. Brenda Ferraro: Gracias. Para mí también ha sido un placer. Cuando quieras, Alistair. Si quieres, puedo hacer uno cada día.

Alistair Parr: Creo que es muy probable que acabemos haciéndolo. Pero, a todos los asistentes, muchas gracias por acompañarnos hoy. Si tienen alguna pregunta, no duden en ponerse en contacto con nosotros en cualquier momento. Estaremos encantados de asesorarles y, como ha mencionado Brenda, de ayudarles proporcionándoles orientación para la evaluación de la madurez, etc. Pero por hoy daremos por concluida la sesión. Una vez más, muchas gracias a todos. Espero que tengan un fantástico resto de día.