5 pasos clave para integrar la gestión de riesgos en el ADN de su organización

Peter Schumacher: Muy bien, gracias a todos. Disculpen el pequeño retraso en el inicio. Pero bienvenidos y gracias por participar en nuestro seminario web de hoy. Se trata de cinco pasos clave para integrar la gestión de riesgos en el ADN de su organización. Tenemos la suerte de contar hoy con la presencia de Brian Johnson, director sénior de seguridad de la información de PayPal. Mi nombre es Peter Schumacher. Seré su anfitrión y el nuestro hoy. Tengo un par de cuestiones administrativas que comentar antes de comenzar oficialmente. En primer lugar, les recuerdo que todas las líneas de los asistentes están silenciadas para reducir al mínimo el ruido de fondo. Sin embargo, con el fin de mantener la interactividad de la sesión, les invitamos a que hagan preguntas a través de la consola de preguntas y respuestas. La encontrarán en la parte inferior de la pantalla. Al final de la hora, si el tiempo lo permite, realizaremos una sesión de preguntas y respuestas en directo con Brian. El seminario web de hoy se está grabando. Les ofreceremos una copia de la grabación y se la enviaremos por correo electrónico en un día o dos. Sé que no se han unido para escuchar mi voz, así que me gustaría ceder la palabra a Brian. Muchas gracias por acompañarnos, Brian, y adelante.

Brian Johnson: Bueno, gracias por invitarme, Peter, y bienvenidos a todos. Gracias por participar en este seminario web sobre el tema fundamental de la gestión de riesgos y cómo integrarlo en el ADN de su organización. Es un tema más relevante que nunca, especialmente dadas las circunstancias actuales y el clima global, con una pandemia mundial y cambios en nuestro entorno laboral. Nuestra vida social, nuestra vida laboral y todo lo demás se ha visto realmente alterado de un momento a otro. Y esto pone de relieve, de forma aún más importante de lo que hemos visto nunca en nuestra generación, la necesidad no solo de contar con planes bien pensados, planes de contingencia y planes de negocio preparados para que nuestra empresa esté preparada para tomar decisiones críticas de manera oportuna, sino también de hacerlo desde una posición informada. Ser capaz de tomar decisiones con la información adecuada en el momento adecuado es lo que diferencia a las empresas que prosperan y sobreviven en situaciones como esta de las que tienen dificultades. Por eso, incluso cuando planteamos este tema hace muchos meses, incluso antes de la COVID, era tan relevante como siempre. Ahora, cuando vemos que este tipo de condiciones se dan en nuestro entorno. Vemos la necesidad de tomar y proporcionar información a nivel directivo, de la junta directiva y de los ejecutivos para ayudar a que esas decisiones sean lo más relevantes y adecuadas posible. Así que, en primer lugar, espero que todos estén bien y a salvo. Es una gran señal que ahora puedan dedicar algo de tiempo a obtener créditos de formación continua, adquirir nuevas habilidades o incluso colaborar un poco en algunos temas relevantes, ya que tenemos tiempo para hacerlo. En nuestro entorno en PayPal, estamos muy ocupados. El mercado y el clima han cambiado mucho nuestra forma de trabajar y nuestras interacciones. Al reunirnos con nuestros compañeros de todo el mundo, escuchamos muchas historias diferentes sobre cómo, por supuesto, los puestos de trabajo se ven afectados y los cambios en el mercado están causando un gran impacto en nuestra forma de hacer las cosas. Pero, en todo eso, por supuesto, la unidad en torno a la humanidad y la construcción de la confianza mutua y el mantenimiento de la confianza son factores clave en los que estamos invirtiendo para asegurarnos de que las relaciones sigan siendo una prioridad, de que la gente se sienta lo más segura posible y de que estemos haciendo lo necesario para satisfacer esas necesidades. Dicho esto, voy a pasar a una breve introducción y luego entraré en el tema de hoy, y dejaremos algo de tiempo para preguntas y respuestas. Me encantaría escuchar algunos de sus comentarios sobre el tema, así como algunas de las ideas que voy a compartir, y me encantaría conocer sus puntos de vista y cualquier pregunta que tengan. Para dar un poco de contexto y antecedentes sobre mi papel en la tecnología. Llevo más de 20 años en puestos de liderazgo tecnológico y he desempeñado funciones tanto en infraestructura como en operaciones en grandes empresas financieras, en algunas pequeñas empresas tecnológicas emergentes en el pasado y, más recientemente, en el sector de la tecnología financiera con PayPal. Así que, en el mundo de la tecnología y la seguridad, he experimentado muchos modos diferentes de madurez y niveles de defensa de la seguridad, ya sea la resistencia a las filosofías de gestión de riesgos y cómo se ve la seguridad de la información y la confianza cibernética o la seguridad cibernética en una organización, hasta el apoyo total y la inversión significativa. Sé que ustedes también tienen perspectivas diferentes. Algunas de sus organizaciones estarán totalmente de acuerdo con un programa de seguridad y con las inversiones necesarias para mantenerlo y hacerlo crecer. Ese tipo de inversiones son cosas en las que tendemos a confiar, como modelos de condiciones operativas, y tenemos que trabajar para mantenerlas. Y luego, en muchos casos, estamos elaborando un caso de negocio para tratar de convencer a los líderes de que inviertan en un área particular del negocio o en una expansión particular a un nuevo mercado, o incluso solo para gestionar un programa básico de gestión de riesgos. Voy a hacer una pausa por un segundo. Veo una nota que dice que hay un eco muy malo. Déjenme ver si podemos arreglar el audio, enviándome el comentario allí. ¿Pueden responder si ha mejorado o si pueden oír mejor?

Peter Schumacher: Por lo que puedo ver, Brian, parece que está bien. Hay un poco de eco, pero el audio está sincronizado con el vídeo ahora, y creo que funciona.

Brian Johnson: Muy bien. Excelente. Entonces, continuaré. Entonces, la base y los antecedentes de lo que quiero discutir y presentarles es un tema sobre el que Gartner ha realizado algunas investigaciones y, como parte de ello, se trata de una metodología y un marco para desarrollar la gestión de riesgos. Lo que me gustaría compartir es cómo lo he visto yo y cómo lo han visto mi organización y mis socios como una forma de implementar esto en las prácticas de la organización, incluyendo la estructura, las funciones y las prioridades de cómo incorporarlo a su organización. Parte de ello ha dado lugar a formas en las que hemos visto a diferentes socios del sector dar forma a su organización. Quizás incluso cambiar la estructura de los equipos y también designar ciertas funciones en una organización que quizá no existían antes. Así que voy a tratar algunos de esos temas durante el tiempo que pasemos juntos. Y luego les presentaré algunos conceptos que quizá les resulten familiares o quizá nuevos. Espero que les proporcione algunas ideas y conclusiones que puedan utilizar en su organización. Quiero plantear la cuestión de lo cuantitativo o lo cualitativo en relación con la gestión de riesgos y la tecnología y la gestión de riesgos de seguridad. Por votación a mano alzada, si pueden utilizar la opción de levantar la mano en la función de la llamada de Zoom, levanten la mano, hagan clic en la opción de levantar la mano si han utilizado el análisis cuantitativo de riesgos en su negocio. En otras palabras, una forma de medir mediante modelos cuantitativos o algún tipo de análisis estadístico, mediciones de riesgo y gestión de riesgos en su organización. Estamos viendo algunas manos levantadas. Diez. Hasta ahora, tienen un incentivo de alrededor del 10 %. Gracias por sus comentarios al respecto. Por cierto, es bueno saber de dónde vienen ustedes. Muy bien. Parece que algo menos del 10 % de ustedes dice que ha utilizado el análisis cuantitativo de riesgos. Es bueno saberlo. Lo que voy a comentar en relación con el análisis cuantitativo de riesgos es nuevo para la mayoría de las organizaciones, porque, francamente, muchos de nosotros no hemos tenido una herramienta, un marco o una metodología para medir el riesgo de forma cuantitativa.

Brian Johnson: La mayoría de nosotros hemos estado midiendo el riesgo de forma cualitativa, normalmente mediante informes con semáforos, quizá con colores rojo, amarillo y verde, quizá con algún tipo de indicador de flecha hacia arriba o hacia abajo, quizá con bolas Harvey que indican el porcentaje de progreso completado o indicaciones del impulso del riesgo, así que esas son las cosas que queremos analizar en conjunto, ya que, en lo que respecta a un programa de gestión de riesgos en fase de maduración,vamos a descubrir que las herramientas y plataformas que vemos en el mercado y en el sector están empezando a evolucionar hacia un enfoque que combina ambos aspectos. Así que sí, hay que medir cualitativamente los riesgos en la organización y en toda la empresa, pero también hay que medirlos cuantitativamente para poder establecer una base de referencia, buscar tendencias y medir el progreso. Así que, a medida que invertimos en nuestras plataformas tecnológicas y de seguridad y en iniciativas empresariales, deberíamos ser capaces de medir la diferencia y el delta y el cambio en el riesgo a lo largo del tiempo para poder demostrar el valor a la empresa. Por lo tanto, gran parte del tema del que estamos hablando girará en torno al valor para la empresa, y el valor empresarial de la gestión de riesgos es un aspecto muy importante en el que también deberíamos centrarnos más en nuestras áreas de liderazgo empresarial. Así que avancemos un poco hacia algunos de los enfoques y los problemas del sector que se ocupan de esto. Cuando consideramos los retos del sector en este ámbito, sabemos que, por supuesto, cuando pensamos en el tipo de entorno en el que vivimos, este está cambiando rápidamente. En el sentido de cosas como una pandemia mundial o incluso en el curso normal de los negocios, cuando las cosas vuelven a la normalidad, por así decirlo, constantemente se proponen nuevas regulaciones. Y como entidad regulada, si trabajas en un negocio que sea de salud, energía, finanzas o cualquier otro segmento, es probable que te enfrentes a cierta presión regulatoria y a requisitos de los reguladores o organismos de cumplimiento que debes cumplir. Así pues, una de las tendencias que estamos observando en esos segmentos de la regulación es que las pruebas están dejando de ser meras pruebas para convertirse en pruebas proactivas y continuas.

Brian Johnson: Por lo tanto, parte del enfoque que vamos a abordar con este modelo de integración del riesgo en su organización consiste en ser más proactivos en la evaluación y la gestión de riesgos. Y la comprobación y validación continuas de los controles relacionados con el riesgo es uno de los principios que sugiero que se implementen. Gartner también recomienda encarecidamente que su programa se convierta en un modelo continuo y proactivo. Algunos de los métodos de los que hablaré más adelante en la presentación tratarán sobre cómo podemos ayudar a implementar eso. Otro es la integración y la automatización. Si se integra la gestión de riesgos en toda la organización, a menudo se trata de una organización compartimentada que trata los datos que obtenemos en las evaluaciones de riesgos como un complemento. Pero lo que voy a proponer es que se incorpore la gestión de riesgos como una práctica dentro de las funciones empresariales, al menos en una alineación virtual. Y hacerlo de manera que se automaticen los procesos de recopilación de datos, se automaticen los paneles de control o las relaciones entre los KPI y los KRI, de modo que los datos se recopilen de manera que puedan utilizarse en tiempo real, y no solo de forma trimestral o anual, sino que se puedan consultar en un panel de control en cualquier momento y, al menos, se disponga de indicadores clave de rendimiento para relacionarlos con esos factores de riesgo y poder integrarlos en las líneas de negocio, de modo que sus OKR, si se utilizan objetivos y resultados clave o si se utiliza cualquier modelo de alineación de objetivos empresariales con el riesgo, se integren en los planes de negocio y realmente impulsen las decisiones y prioridades en todo el grupo empresarial. grupos y socios de la organización. Eh... El tercer elemento aquí en el enfoque es cuantificar y contextualizar, y el punto clave aquí es que buscamos que el riesgo sea cualitativo y utilizaremos el stopw rojo, amarillo y verde o la flecha arriba y la flecha abajo, eh... El lenguaje empresarial no suele entender eso a lo largo de un período de tiempo.

Brian Johnson: Entonces, es bueno llamar la atención y presentar un informe o, a menudo, si gestionas el riesgo desde la perspectiva de un equipo de cumplimiento normativo o una organización tecnológica, presentas el riesgo de una manera que suena aterradora y dices: «Oigan, esta es un área realmente mala en la que debemos centrarnos». Pero cuantificar el riesgo en términos de impacto empresarial va a transmitir un mensaje mucho más sólido que perdurará, de modo que se puede demostrar el valor a lo largo del tiempo, en lugar de decir que hemos pasado de rojo a naranja o que hemos pasado a un tono ámbar o una variante. Y entonces empezamos a entablar debates cualitativos y estoy seguro de que algunos de ustedes se enfrentan a los mismos temas, en los que intentan elegir una analogía modelo para comunicar el riesgo. Hacerlo con un enfoque puramente cualitativo no siempre transmite el mensaje adecuado. Por lo tanto, contextualizarlo por negocio podría parecer algo más parecido a que si su aplicación de servicios de pago o su aplicación de transacciones que realiza transferencias con un banco o con un proveedor de atención médica es una red de socios SLA. Digamos que tienes un acuerdo de nivel de servicio y, contractualmente, perderás 10 000 dólares por hora por cada impacto, ya sea un impacto en el servicio o un tiempo de inactividad. Pérdida de productividad del cliente o si se trata de un impacto debido a multas y sanciones de un regulador. Estos se contextualizan por servicio empresarial y se cuantifican en dólares o en la moneda local de la empresa, y pueden unificarse hasta el punto de que se pueda medir el riesgo como un componente del valor empresarial y medir a su vez el valor empresarial del riesgo en términos de dólares reales o ahorros y, en definitiva, ahorros netos. Por lo tanto, la evitación de costes y un modelo de contextualización del riesgo para ser progresivo en la toma de decisiones deben contextualizarse y cuantificarse. La medición y la rendición de cuentas es algo que, en nuestra opinión, impulsaría más mejoras en todo el sector, pero se observa que muchas de las estructuras de comités a menudo no miden ni exigen responsabilidades por los resultados, ya que la mayoría de las veces no tienen un OKR o un tipo de asignación de objetivos y resultados clave.

Brian Johnson: Por lo tanto, sugeriría, y esto es de nuevo un modelo de buenas prácticas, que los líderes de las organizaciones no solo comprendan y participen en el proceso de establecer los objetivos que han fijado para los riesgos clave y para la medición de los riesgos en la organización, sino que también rindan cuentas de ellos a través de algún tipo de formato de responsabilidad del liderazgo o supervisión del comité, y que su estructura de supervisión desempeñe un papel a la hora de garantizar que los líderes de la organización y los responsables de los departamentos estén realmente gestionando esos objetivos de reducción de riesgos. Una cosa más sobre este tema de la medición y la responsabilidad: si su organización o empresa no ha adoptado líneas de defensa, ese es un modelo que está ganando mucho terreno y que ha evolucionado a lo largo de los años, así que le recomiendo encarecidamente que considere el modelo de tres líneas de defensa y cuál es el enfoque de las tres líneas de defensa, que consiste en contar con tecnología de primera línea y organizaciones funcionales y de productos. Tomemos como ejemplo la organización del director de sistemas de información, que puede estar prestando servicios corporativos a su empresa, y el equipo de servicios corporativos, que se encarga de garantizar que su sistema de mensajería, ya sea el envío de correos electrónicos o sus aplicaciones móviles, funcione correctamente. Ese equipo se considera una función de primera línea. Y en la designación de su función y responsabilidad, una función de primera línea es responsable de gestionar sus propios objetivos de riesgo, medir su propio rendimiento y, a continuación, sus funciones de ingeniería y operativas de apoyo. Como organización de segunda línea, a menudo una organización de riesgo se encargará de supervisar y mantener la definición de esos umbrales para definir los riesgos y los objetivos como un modelo tipo OKR y, a continuación, supervisar la tracción y el progreso en relación con los que se alinean con los objetivos empresariales. Así pues, su función de primera línea de entrega y operación de tecnología y, eh, propiedad del riesgo a nivel funcional, informa entonces a la organización de segunda línea como una función de supervisión para garantizar que se mantenga una separación de funciones y una estructura de responsabilidad y entrega, y que el negocio se alinee con los objetivos estratégicos generales.

Brian Johnson: Y su tercera línea de organización sería la auditoría interna, los reguladores externos, tal vez terceros a los que se recurre para realizar pruebas y funciones de garantía, ya sea en una evaluación HIPPA o una evaluación PCI o cualquier otro modelo al que se ajuste su sector. La tercera línea de defensa se considera la función de supervisión terciaria que valida que el alcance de los controles, la validación de los métodos y enfoques que ha adoptado se están probando adecuadamente en toda la segunda línea y se están cumpliendo. Y que se están cumpliendo los compromisos como organización de primera línea. Así que, de nuevo, para la medición y la rendición de cuentas, si no ha implementado un modelo de tercera línea de defensa, no tiene por qué ser un modelo excesivamente burocrático. Podría incluir solo un pequeño grupo de 10 o 12 personas en una empresa de tamaño medio, pero designarlas dentro de esas funciones ayuda a delimitar sus objetivos y la separación de funciones para gestionar los objetivos y las funciones de supervisión. Y en quinto lugar, pero no por ello menos importante, soy un firme defensor de que, por supuesto, las empresas sigan cumpliendo con la normativa. Pero el cumplimiento debe ser un resultado, no un objetivo. Uno de los errores más significativos que hemos observado en todo el sector es la suposición de que una empresa que cumple con la normativa es una empresa segura y que una empresa que cumple con la normativa es una empresa bien gestionada. Y eso simplemente no es cierto. Todas las infracciones que hemos visto en los últimos años han sido de empresas que cumplían con la normativa. Rara vez se ha visto que Equifax haya suspendido su evaluación PCI. Por supuesto, eso no ha ocurrido. No se ve que una empresa haya suspendido una auditoría SA SSA 16 justo antes de sufrir una infracción. El cumplimiento normativo no mide el nivel de SEC. Por supuesto, garantiza el cumplimiento de un nivel básico de controles. Pero hay que considerar el cumplimiento normativo como una función que los equipos, especialmente las organizaciones de segunda línea, miden como resultados. Por ejemplo, estamos llevando a cabo un programa de pruebas de penetración y este programa producirá resultados que contribuirán al informe que busca la organización de cumplimiento normativo.

Brian Johnson: Pero si estableces el cumplimiento como objetivo, te estás centrando en un listón fijado por las expectativas del sector que no es necesariamente adecuado para el riesgo de tu negocio. Por lo tanto, contextualizar el riesgo empresarial es algo que debes considerar como un ámbito de responsabilidades para afirmar que los resultados de nuestras pruebas y de nuestras funciones de supervisión se obtendrán como resultado de nuestras pruebas. Pero el alcance de tus pruebas puede ser más amplio que eso. En otras palabras, no te limites a un programa basado en el cumplimiento si puedes definir esos resultados. Muy bien, haré una pausa aquí un momento. Antes de volver al tema de los retos del sector. Ahora bien, ¿por qué nos importa llevar a cabo la gestión de riesgos? ¿Qué es lo que buscamos en cuanto al cumplimiento normativo y por qué es algo en lo que tenemos que trabajar? Por supuesto, como he mencionado anteriormente, las regulaciones están aumentando, estamos viendo un aumento de las regulaciones y la privacidad de los datos. Lo vemos en la forma de garantizar incluso los programas de gestión de vulnerabilidades que se están probando en función de los niveles de cumplimiento. Y si su empresa es global, lo ve de una manera significativamente diversa. A veces, incluso se identifican los tipos de datos de forma diferente según la región. Por lo tanto, a medida que aumentan las regulaciones, tenemos que adaptar nuestros modelos de riesgo y nuestros enfoques de riesgo al negocio. Medir el riesgo no es fácil. Sin duda, no es un proceso fácil medir el riesgo para su negocio. Pero es absolutamente necesario medir el riesgo y lo medimos de una manera que, de nuevo, puede mostrar cuantitativamente el progreso. La integración es clave. Por lo tanto, incorporarlo al negocio e integrar funciones dentro de cada una de las unidades de negocio o líneas de negocio que usted apoya no es un proceso fácil, pero es algo que debemos averiguar cómo integrar para que sea relevante. No queremos que la función de gestión de riesgos parezca un enfoque de torre de marfil que mide algo que las organizaciones funcionales descartarían por irrelevante, o que sea simplemente una función de marcar casillas que, sin duda, no asesorará a la empresa sobre las prioridades ni ayudará con la función de supervisión.

Brian Johnson: Y el potencial de mercado y el momento en que se encuentran nuestras empresas es, por supuesto, enorme, lo que significa que nuestras empresas se enfrentan a retos en cualquier sector y mercado para garantizar que cumplimos con los requisitos de riesgo, nos adherimos a ellos y los medimos. Así que esto va a ser un gráfico, pero nos vamos a detener en él solo un minuto. Haré una pausa para que se cargue. Um, y me voy a basar básicamente en la visión que ha propuesto Gartner y que ellos denominan el modelo Carter. El modelo Carter es un enfoque que se ha documentado como una visión. Y esta visión debe ser continua y adaptable a las evaluaciones de riesgos y confianza. Así que lo que realmente aborda es tomar lo que hemos construido en muchas organizaciones como un modelo funcionalmente aislado. Y los silos funcionales son aquellos en los que tenemos un equipo, tal vez dos personas que se encargan de escanear vulnerabilidades, dos personas que se encargan de la gestión de problemas y dos personas que se encargan de la arquitectura, o tal vez haya múltiples funciones en las pequeñas y medianas empresas. Puede que haya un arquitecto que también desempeñe el papel de tecnólogo y que también se encargue del correo electrónico. En cualquier caso, la definición de las funciones de esas personas como parte de una organización de riesgos debe hacerse desde un enfoque adaptativo y centrado en los riesgos. Y lo que eso significa es que, a menos que definamos cuáles son los riesgos empresariales a los que se ajusta realmente el trabajo de las personas, les resultará difícil comprender cómo su trabajo contribuye a la causa mayor o al bien mayor de la empresa. Por lo tanto, en nuestra calidad de gestores de riesgos, tenemos la responsabilidad de garantizar que no solo se adapten a los riesgos del negocio, sino que también tengamos una visión de los riesgos empresariales y de los principales impulsores del negocio en la organización en todo momento. Así que, en el sentido de definir este enfoque centrado en el riesgo, lo que he adaptado del modelo Carter es una especie de enfoque de cuatro vertientes, y así es como lo articulo.

Brian Johnson: Si incorporamos la seguridad de la información y la tecnología y la desglosamos en sus partes componentes, tenemos una gestión de riesgos, una gestión del cumplimiento, una función de aplicación y una función estratégica, y estas pueden escalarse en su organización a dos o tres personas, o pueden ampliarse en grandes empresas a dos o trescientas personas. El hecho es que seguimos desempeñando estas funciones como parte de la gestión de riesgos. Así que considere esto si tiene un gestor de riesgos en la organización que define y mide los riesgos y dice: «Estos son nuestros riesgos empresariales y esta es una lista de los 10 principales riesgos que estamos midiendo». Si su función no está directamente relacionada con el cumplimiento normativo. Entonces, lo que ocurre es que el equipo de cumplimiento normativo suele crear su propio programa de cumplimiento y, a continuación, la función de ejecución, gobernanza o supervisión, o tal vez la función de gobernanza tecnológica, crea su propio proceso y ofrece sus propios resultados. Y luego, el equipo de estrategia elabora una hoja de ruta de tres años sobre alguna tecnología interesante que le gustaría implementar. Y la estrategia suele ser más un resultado de los impulsores del negocio y del énfasis a largo plazo en la evolución tecnológica que de la gestión del riesgo. Por lo tanto, lo que propongo, y esto es algo que he adaptado de un modelo de Gartner, es que adoptemos un enfoque diferente para gestionar el riesgo de forma integrada, y esa visión integrada centrada en el riesgo dice que quiero que el equipo de gestión de riesgos mida y priorice los riesgos, al tiempo que transmite sus resultados al equipo de evaluación de la seguridad, lo que significa que sivayan a medir la propensión al riesgo de una organización y midan los umbrales de riesgo, dirán que el riesgo de violación de datos es realmente alto. Entonces, el equipo de evaluación de la seguridad debería tomar sus prioridades de la evaluación del equipo de riesgos. Y un equipo de evaluación de la seguridad podría ser un equipo de pruebas de penetración. Podría ser un equipo externo al que se contrata para realizar pruebas de penetración o algún tipo de evaluación tecnológica. Y deberían basarse en una evaluación de riesgos. Y esa evaluación de riesgos se mide y prioriza de nuevo en función de un objetivo empresarial y se alinea con la propensión al riesgo y las previsiones de la empresa.

Brian Johnson: Y ese programa de pruebas cuantificará los resultados. Proporcionarán su garantía de control y dirán que hemos medido cuatro incidentes de prioridad uno, hemos detectado dos incidentes de prioridad dos y estamos indicando que se trata de un entorno vulnerable. Eso, por supuesto, se traduce en cumplimiento y gobernanza. Y esta función o marco de creación de un proceso de riesgo adaptativo realmente ayuda a informar a cada uno de los equipos a lo largo del proceso, de modo que se mantenga un enfoque centrado en el riesgo a través de la garantía de seguridad, las funciones de gobernanza, la aplicación o el equipo de gestión de problemas, y luego se incorpore a la estrategia, y la función de la estrategia tiene que decir sivamos a redactar una política y, digamos que la organización es pequeña y se tiene una política para la tecnología que a menudo comienza con la gestión de los usuarios finales, si vamos a decir que la política de uso aceptable es que las personas utilicen el correo electrónico e Internet con fines comerciales y se definen algunos criterios en torno a esa dirección estratégica o el impulsor de la política, rara vez se informa del riesgo que se ha medido a través de los resultados de las pruebas. Por lo general, se trata de un objetivo aspiracional que redactaremos una AUP o una política de TI por obligación. Por lo tanto, tendemos a trazar una línea si miramos directamente a nivel horizontal, tendemos a trazar la línea del cumplimiento y la estrategia como el indicador clave de lo que debe estar en la política. ¿Cuál debería ser nuestra dirección estratégica? Bueno, veamos cuáles son las obligaciones de cumplimiento. Y mi argumento es que debería ser más que eso. También debería basarse en lo que hemos incorporado a una función de gobernanza, gestión de problemas, comentarios y resultados. Y luego priorizar y examinar en función de las evaluaciones de riesgos. Y para las evaluaciones de riesgos, de nuevo, se puede utilizar una hoja de cálculo o un enfoque sencillo, al menos para empezar. Pero siempre que se pueda decir que hemos medido un riesgo empresarial, podemos cuantificar los resultados, lo que servirá de base para cada uno de los planes de los responsables de las pruebas, la aplicación de la gestión de problemas, y luego el equipo de estrategia elaborará sus políticas y sus evaluaciones sobre cómo redactar la política o cómo impulsar una hoja de ruta en función de esos objetivos y del valor que se deriva de los resultados de las pruebas en las funciones gubernamentales.

Brian Johnson: Bueno, voy a reflexionar sobre eso un momento y luego también voy a abordar este punto. Entonces, al plantearnos incorporar una función de programas de seguridad de la información y gestión de riesgos en la organización, una vez más, si estás pensando en cómo empezar, esto puede parecer mucho que asimilar, pero si estás pensando en cómo empezar, yo empezaría por definir los objetivos y los resultados clave. Yo diría: ¿cuáles son los objetivos que queremos alcanzar en la organización? Si se trata de expandirse a un nuevo mercado o incluso de retirarse del mercado, queremos medir los resultados clave en forma de riesgo e indicadores clave de riesgo. En la actualidad, en muchos contextos, las empresas se plantean si van a reducir su tamaño o si van a reducir una función de la organización que ofrece un producto que también debe ser evaluado en términos de riesgo. Así que, aunque solemos pensar que la gestión de riesgos consiste en gestionar las operaciones y expansiones en curso, yo sostengo que la gestión de riesgos forma parte del ciclo de vida de cualquier negocio, ya sea en expansión o en recesión, y cuando pensamos en opciones de recesión, gestionar las decisiones de gestión de riesgos en esas consideraciones ejecutivas es tan importante, si no más, como cuando estamos terminando o manteniendo las operaciones existentes. Así pues, esos indicadores clave de riesgo podrían ser algo así como que, al reducir la actividad, nos aseguremos de haber validado el movimiento de datos, la destrucción de datos, el acceso y la salida de todas las funciones clave que se incorporarían a lo que podría suponer un impacto potencial en la marca o una pérdida de datos y un impacto en el negocio por alguna pérdida de registros, cuantificación que se podría construir. Y ese enfoque nos dará de nuevo una visión más holística del negocio, de cuál es el riesgo empresarial que queremos asegurarnos de que los ejecutivos tengan en cuenta al tomar decisiones, incluyendo eso y asumiendo el riesgo empresarial y las mediciones que proporcionamos. Um, así que la otra parte que yo diría que está en la evaluación del cumplimiento, si estamos mejorando la política, a menudo veremos que una política se elaborará, se redactará y se mantendrá en vigor durante un año más o menos.

Brian Johnson: Parte del modelo adaptativo consiste en utilizar políticas, y no es necesario que sean tan exhaustivas como para redactar 20 políticas, sino que basta con dos o tres políticas redactadas de forma adecuada, que deberían actualizarse trimestralmente o incluso actualizarse y comunicarse en función de las aportaciones de todos los equipos. Por lo tanto, si se redacta una política por primera vez, el proceso de revisión de la política incluiría, por supuesto, a una parte interesada clave de cada una de las funciones. ¿Hay algún líder del equipo de riesgos o algún analista representante? ¿Hay alguien del equipo de pruebas que pueda destacar las deficiencias que ve en los fallos de control? Alguien del equipo de cumplimiento que represente los componentes normativos y obligatorios de la política. Y luego, ¿cómo encaja la función de gestión de problemas y estrategia en la redacción de la política, como una especie de visión global, y así es como vamos a asegurarnos de que se aplique la política? Así que está redactada de tal manera que podamos medirla y el equipo de estrategia obtenga un beneficio futuro de una dirección que le dará un objetivo proyectado y que la política esté redactada para hacer avanzar realmente su estado de control, no solo para lograr el cumplimiento de lo que consideraríamos un nivel básico, eh, esperado. para las políticas. Así que esos son algunos de los componentes que destacaría mientras usted piensa en poner en marcha un programa de gestión de riesgos. Permítanme abordar también esos temas. Creo que he visto una pregunta sobre la que quiero intervenir y responder en tiempo real. Bob Shaw ha preguntado sobre la cobertura de elementos que son en su mayoría aspiracionales para muchas empresas y su cuantificación. La cuantificación del riesgo es, de nuevo, algo que está integrado no solo en la función del ADN de una organización, como decimos, sino que también es algo que se puede medir mediante un proceso repetible que dice que vamos a construir un modelo de cuantificación. Y ese modelo puede decir que vamos a medir el riesgo de las vulnerabilidades y que estas pueden tener una puntuación asociada.

Brian Johnson: Y si vamos a crear una puntuación de gestión de vulnerabilidades y ponderarla, tomemos como ejemplo la violación de Equifax: la gestión de vulnerabilidades podría tener una puntuación ponderada del 40 % del riesgo para la integridad del entorno o del impacto en la disponibilidad del sistema. Medir eso de una manera que permita cuantificar el riesgo significa que podemos tomar ese riesgo y articularlo en un sistema de puntuación. Así que, si se empieza con una puntuación de 1 a 10 para ese riesgo, se reduce el riesgo sumando o acumulando el total de esas puntuaciones, ya sea por vulnerabilidad o por acceso, tomando algo como el marco NIST CSF o un modelo de la ISO. Aunque hay algunas herramientas excelentes que permiten modelar y ponderar la forma de medir los dominios de seguridad, yo las asociaría a un riesgo objetivo, y esa puntuación o formato de riesgo objetivo se deriva o, en realidad, se suma a partir del control que se está midiendo. Así que, si se toma una puntuación de vulnerabilidad y se crea un modelo que dice: «Voy a tomar todas las vulnerabilidades pendientes, las mediré con respecto a un SLA y diré cuánto tiempo nos lleva corregirlas», entonces se cuantifica una puntuación y se dice, en una escala del 1 al 10 o del 1 al 100, lo granular que se desea para entregar esa puntuación. A continuación, voy a medir esa puntuación de gestión de vulnerabilidades y la asociaré con el riesgo. En su negocio, puede ser el riesgo de pérdida de disponibilidad. Puede ser el riesgo de la resiliencia del servicio si tiene la obligación contractual de prestar el servicio en un tiempo determinado, o puede ser un riesgo de violación de datos y de impacto comercial para la marca. Usted asocia esos controles, como los controles de vulnerabilidad para el escaneo, la aplicación de parches, la corrección y la configuración. Y asocia esos controles al riesgo y los suma para obtener un total. Las herramientas que verá en el mercado relacionadas con ellos comenzarán a evolucionar a medida que veamos más y más avances, como la prevalencia.

Brian Johnson: Verás que la suposición de esos controles y la cuantificación del riesgo comenzarán a derivarse en un modelo que puedes adaptar a tu negocio y construir de una manera que te ayude a gestionar los controles para mapear los riesgos y luego establecer un umbral de riesgo empresarial. Y la visión del progreso de la medición es mucho más fácil de transmitir cuando tienes un conjunto real de objetivos que has definido y una forma de medir y supervisar el riesgo en relación con ellos. Así que voy a hacer una pausa aquí. Creo que este es probablemente un buen punto, aunque haya cubierto mucho material. Veamos si hay alguna pregunta. Peter, ¿sigues ahí?

Peter Schumacher: Sí, sigo aquí. Y tenemos algunas preguntas que nos han llegado. Animo a todos a que escriban sus preguntas en la sección de preguntas y respuestas que hay en la parte inferior. Pero mientras tanto, voy a leerles un par de las que nos han llegado. Mientras tanto, voy a lanzar una encuesta. Voy a ponerla en su pantalla. Muy bien. Si no les importa responder a la pregunta de la encuesta mientras repasamos un par de preguntas, se lo agradecería. La primera pregunta es: ¿cómo sigue aportando valor empresarial la gestión de riesgos de terceros? Y la segunda parte de la pregunta es: ¿cómo se puede utilizar eso para obtener financiación de la junta directiva?

Brian Johnson: Excelente pregunta. Bueno, ya sabes, la gestión de riesgos de terceros como función de nuestros programas de gestión de riesgos se ha convertido no solo en una migración a más proveedores SAS o más proveedores de nube. Um, pero es este espacio interesante de casi um ignorancia es felicidad a veces. Tendemos a dar por sentado a los terceros y sus controles y, sin embargo, hemos visto repetidamente el riesgo de los proveedores terceros um que no medimos con la frecuencia suficiente. Y como el aspecto de la gestión de proveedores del ciclo de vida y los proveedores que miden el riesgo de estos para nuestro negocio está más asociado con las funciones empresariales, veremos que, ya sea un proveedor de servicios en la nube, un proveedor de nóminas o cualquier otro, la medición del riesgo en nombre de las integraciones de terceros en su negocio debe contextualizarse dentro del impacto de su negocio. ¿Verdad? En otras palabras, un proveedor de nóminas puede suponer un riesgo pequeño para una empresa y un riesgo más significativo para otra. Por lo tanto, cuantificarlo de manera que se espere a la puntuación y se espere. Le daremos una vista que puede tomar como un panel de control, como un mapa de calor o algún gráfico y se lo ofreceremos para que, cuando considere una presentación a nivel de palabras, tenga una vista que diga que el riesgo de terceros debe ser parte de un plan de inversión. Y ya sea en materia de personal, controles o herramientas, el coste de invertir en terceros debe asumir los riesgos que estamos sopesando, es decir, la validación de lo que esos terceros imponen como riesgo para nuestra empresa. Y reducir el riesgo significa que o bien vamos a aceptar el riesgo residual de que ese tercero imponga un alto riesgo, ya sabes, al negocio, o bien podemos invertir en controles y reducir ese riesgo y articularlo de una manera que diga que reducir el riesgo de un nivel alto de gravedad a un nivel medio podría ser mediante la imposición de controles adicionales o la realización de evaluaciones adicionales a terceros. Por supuesto, no medir no es una opción, porque no solo imponemos un riesgo que, entonces, es inherente y no se comprende ni se mide. Pero entonces la junta directiva es responsable ante quién, qué visibilidad y dejamos muchas lagunas en nuestra supervisión del liderazgo. Pero a menudo hemos visto en el sector que realizar evaluaciones de terceros y gestionar los riesgos de los proveedores, y plasmarlo todo en un informe más equilibrado con puntuaciones cuantificables, va a generar mucha atención y mucho más interés por parte del director financiero o del director de operaciones para decir: «¿cómo puedo reducir el riesgo?». Si has articulado el riesgo en esta área, la segunda pregunta que tenemos que responder es: «¿cómo lo reduzco?». ¿Cuál es la alternativa y la solución a eso? Y una reducción podría ser que hayamos buscado otros proveedores. De hecho, podríamos buscar otros proveedores externos que tengan un riesgo inherente menor y podríamos considerar eso como una opción en nuestro programa, o simplemente podríamos decir que vamos a aceptar este riesgo, pero al menos lo entendemos y lo medimos, o podríamos implementar controles adicionales. Puede que haya una discusión con el proveedor. Durante el próximo proceso de renovación, le pediremos que mejore su acceso de auditoría y su plan de evaluación para nosotros. Nos proporcionará un control o una herramienta adicional, o nos sugerirá algo que nos ofrezca garantías adicionales en materia de protección de datos, restricciones de acceso, sea cual sea el modelo que intentemos proporcionar para garantizar la seguridad de terceros. Pero yo se lo presentaría al consejo de administración de la forma más cuantitativa posible y con soluciones y propuestas de alternativas.

Peter Schumacher: Interesante. Sí, creo que la reducción del riesgo es un tema fascinante y sé que se podría dedicar todo un seminario web a ello. Tenemos un par de preguntas más que nos han llegado desde entonces. Pasemos a un tema similar. ¿Qué áreas de riesgo específicas sugiere incluir en su análisis cuantitativo para medir el riesgo y demostrar el valor del programa de gestión de riesgos para la empresa? Creo que probablemente pueda ver esa pregunta ahí.

Brian Johnson: Sí, buena pregunta, Rob. Bueno, creo que en lo que respecta a medir esas áreas específicas de riesgo, lo que se busca son cosas como, ya sabes, pérdidas financieras, es decir, pérdidas económicas. De hecho, hay una lista de ellas si miras a través de... y depende de tu sector, pero hay sectores específicos... ya sabes, el sector sanitario tiene uno, el energético tiene otro, tecnología, y muchos de esos marcos para eventos de riesgo se articularán específicamente para tu sector, pero en general, los eventos de riesgo son, en términos generales, impacto financiero, impacto en la marca, impacto regulatorio y multas. Si buscas un impacto específico para tu sector, puedes cuantificarlo basándote en lo que sabes que pueden ser esas sanciones o el coste por tipo de impacto, y luego lo que yo consideraría, y noprofundizar demasiado en ello porque quería ahorrar tiempo para las preguntas y respuestas, pero la gestión de amenazas y la parte de evaluación de amenazas del riesgo es una perspectiva interesante que también puede empezar a considerar y que sería algo que, si busca, si mira el NIST, si simplemente busca en Google el marco de ciberseguridad NIST CSF definido por el NIST, le dará una lista de perspectivas y relacionará los controles con los riesgos, y entonces podrá articular una perspectiva de riesgo. Gartner tiene un excelente artículo sobre cómo definir la gestión de riesgos y las tarjetas de puntuación de riesgos para su negocio. Forester también tiene uno. Me siento muy animado por el hecho de que los debates sobre los riesgos empresariales y la terminología relacionada con los riesgos están empezando a madurar bastante. De hecho, para aquellos que están relacionados con D&D o energía o, perdón, contratos gubernamentales, verán el CMMC. Pueden buscar CMMC en Google y lo encontrarán en el portal del gobierno. Hay una vista para Fed Ramp y para los requisitos de nivel mínimo de evaluaciones de madurez y, de hecho, articulan un marco que derivan del NIST, de la ISO y de otras normas que ofrecen una visión realmente excelente de la ciberseguridad y los niveles de madurez de la gestión de riesgos, ydesignarán ciertas cosas si estás en la entidad gubernamental o en el sector de la defensa, verás que muchas de esas expectativas de los contratistas de defensa aumentan los requisitos para las evaluaciones de madurez, y esas evaluaciones de madurez se realizan a través de la evaluación de riesgos. Así que recomiendo encarecidamente esos recursos y herramientas también.

Peter Schumacher: Gracias, Brian. Veamos qué viene después. Esto es interesante. No sé si tendrás una buena respuesta. Se trata de cómo abordar los riesgos futuros derivados de la pandemia de COVID-19, cuando la mayoría de las evaluaciones basadas en el riesgo se basan en datos históricos. Así que saca tu bola de cristal y cuéntanoslo. Brian,

Brian Johnson: Quiero decir, evitaré cualquier proyección económica o política, pero diría que las mediciones del riesgo empresarial nunca deberían, y sé que esto es una utopía, pero nunca deberían ser una sorpresa para su negocio. En otras palabras, con una planificación de contingencia adecuada, con evaluaciones de riesgo empresarial adecuadas, su plan debería estar diseñado para adaptarse a los altibajos del negocio, a la planificación de la continuidad y a entornos de trabajo alternativos. Ahora bien, por supuesto, una gran empresa tiene que hacer eso. Ya sabes, las grandes empresas que tenemos absolutamente la capacidad y la amplitud para gestionar esos planes de continuidad de los empleados. Pero también he trabajado con algunos propietarios de pequeñas empresas y socios de medianas empresas y compañeros míos y algunos amigos que solo dirigen pequeñas empresas que también han hecho lo mismo. Así que, si implementas una evaluación trimestral sobre cómo nos aseguramos de que nuestros empleados puedan conectarse de forma remota si el edificio explota, ¿verdad? O si los sitios no están disponibles. Incorporar esos sencillos planes de continuidad en tu plan de negocio te proporcionará una evaluación prospectiva de los riesgos. Así que los riesgos prospectivos tras la pandemia parecen muy interesantes, porque, en algunos casos, las empresas... El otro día intenté comprar en Walmart, y no es que tenga nada en contra de Walmart. Soy un gran admirador, pero al intentar comprar en walmart.com, mi mujer me dijo ayer que su sitio web no estaba disponible. Me parece interesante porque, ya sabes, puedes intentar ir a la tienda, pero entonces estás limitado por el número de personas. Pero la planificación del sitio web es algo que, cuando piensas en la asignación de capacidad, las empresas que ahora se están pasando a Internet, que antes eran una especie de refugio secundario, no han planificado ese tipo de crecimiento. Así que algunos de esos ajustes con visión de futuro están adoptando ahora el modelo de ver qué pasa y plantear hipótesis: ¿qué pasaría si nuestra evaluación de tres años indicara que trasladaremos el 25 % de las compras al pago online? ¿Qué pasaría si eso ocurriera mañana? Planteando esas preguntas interesantes, al menos obtendremos una planificación de escenarios, así que yo diría que los ejercicios de simulación, Patrick, para responder a tu pregunta lo más fielmente posible, diría que los ejercicios de simulación en torno a esas evaluaciones de riesgos con visión de futuro serían como tomar una proyección y revertirla hacia atrás. Entonces, ¿qué pasaría si creciéramos un 50 % en tres años? ¿Qué pasaría si nos redujéramos un 50 % en tres años? Y luego modelarlos en intervalos de seis meses. Entonces, si miramos atrás y nos preguntamos: ¿qué planeaba hacer la industria en los próximos tres años? En algunos casos, en la mayoría de los casos, las empresas han visto lo contrario de lo que parecen sus planes. Entonces, ¿con qué frecuencia planificamos las recesiones y evaluamos el riesgo en torno a la planificación de contingencias? Bien, si no lo hacemos como parte activa de nuestra actividad empresarial, diría que la visión prospectiva sobre cómo buscamos los riesgos futuros va a fijarse en esos modelos, cómo planificaremos la reducción de personal, qué buscaremos para expandirnos, si hay oportunidades de adquisición en este mercado en el que algunas empresas están muy infravaloradas y que nuestra empresa podría perseguir, y qué tipo de riesgo supondría eso para nosotros. ¿O estamos pensando en reducir y disminuir nuestra presencia y medir el riesgo en función de las decisiones que tome la empresa? Y todos esos escenarios deberían, como mínimo, documentarse como un ejercicio de simulación. Realizar un ejercicio de simulación, descartar la hoja de ruta de tres años, considerar qué pasaría si ocurriera en tres meses y luego revertirlo al revés. ¿Qué pasaría si volviéramos al negocio de hace un año y qué pasaría si eso ocurriera en los próximos tres meses? Y para mí es fácil lidiar con los tres. Tres años por delante con una opción de aceleración de tres meses, tres años por detrás con una opción de aceleración de tres meses. Quizás eso le dé algunas limitaciones para la planificación de escenarios.

Peter Schumacher: Buen consejo. Eh, tengo un par de preguntas más. Veamos qué hora es. Sí, nos queda un poco de tiempo. Entonces, déjame pasar a esta. Es algo parecido, pero ¿en qué crees que se centrarán los reguladores a finales de este año y el próximo en lo que respecta a la gestión de riesgos de terceros? ¿Crees que las regulaciones cambiarán o no? ¿Cuál es tu opinión al respecto?

Brian Johnson: Sí, de hecho, en algunas de las conversaciones que he mantenido con gente de las comunidades reguladoras y similares, ya hemos observado un cambio drástico en la atención que prestan los reguladores a los terceros. Ya estamos empezando a preguntar cuáles eran sus planes de contingencia y es parte de todas las conversaciones que mantenemos a nivel ejecutivo y directivo. Sus planes en torno a la dependencia de terceros, la resiliencia empresarial y la dependencia empresarial de terceros son partes importantes de su plan de negocio. Ahora bien, estamos viendo que los reguladores, por supuesto, están prestando atención y tomando nota del hecho de que nuestra dependencia como empresas se basa en gran medida en terceros. Los modelos de capacidad, la dependencia de su disponibilidad de recursos y personal para la entrega y la cadena de suministro han sido áreas de interés significativas. Por lo tanto, medir el riesgo de terceros creo que es y realmente no es solo una venta genuina. No podría ser más importante y crítico para un proceso de planificación empresarial, debido al hecho de que estamos viendo efectos de imitación en los proveedores descendentes, los socios de entrega ascendentes y las redes de distribución y logística. Es un marcado contraste con los problemas a los que estábamos acostumbrados. A menos que seas Amazon o Netflix, estás viendo el negocio desde un modelo completamente diferente y desde una perspectiva diferente sobre cómo prestamos servicios con nuestros proveedores y si estos pueden satisfacer las demandas a través de la lente de terceros que dice: «Oye, tercero, dime qué pasaría si el negocio aumentara un 50 %. ¿Cuáles son tus límites de capacidad si tu reducción de plantilla nos afecta? ¿Y cuáles son los acuerdos de nivel de servicio (SLA) que debo asegurarme de que se incluyan en el contrato y las obligaciones contractuales en torno a esos SLA? Es de esperar que esto te dé una idea del tipo de decisiones basadas en el riesgo que tomas. Tienes un contrato contingente con otro proveedor. Quizás tengas una opción de respaldo que te permita prestar servicios o capacidades y construyas un sitio de prueba. Y una cosa que hemos hecho a veces en diferentes empresas en las que he estado es tener al menos una parte que sea una especie de contingente y un tercero con el que al menos tengas una relación, que esté en espera o que aloje una función en ese sitio para que puedas estar listo para desplegar servicios en él. Pero sí, sin duda es un cambio significativo tanto en el panorama normativo como en lo que estamos viendo en materia de cumplimiento y rags, que aumentará el próximo año.

Peter Schumacher: Interesante. Um, creo que hay tiempo para dos preguntas más. Uh, y de nuevo, siéntete libre de pasarla por alto, pero um, ¿qué hace PayPal actualmente para gestionar el riesgo de terceros? Y entiendo si no puedes hablar de ello o prefieres no hacerlo.

Brian Johnson: Sí. Lo siento, Tony. No puedo hablar de eso en este tema ni en este foro. Estaría encantado de hacerlo en un foro de compañeros donde he, bueno, ya sabes, he planteado el tema, pero solo diré que, a nivel empresarial, las cosas que he mencionado hoy incluyen una visión holística con muchos niveles de gestión de riesgos y definiciones de apetito integradas en los programas.

Peter Schumacher: Muy bien. Eh... siguiente pregunta. ¿Cómo evitar riesgos al compartir datos en línea hoy en día? Eh... la mayoría de los días, la mayoría de las veces, a través de cualquier medio, especialmente cuando no hay otra opción. Cómo evitar riesgos al compartir datos en línea hoy en día es lo más importante.

Brian Johnson: Una cosa que me gustaría responder, y Ponita, voy a decirlo directamente: en primer lugar, no podemos evitar el riesgo, simplemente no hay forma de evitarlo. La única forma de evitarlo realmente es como el ordenador más seguro es el que está apagado, e incluso entonces hay riesgo, así que yo diría que evitar el riesgo cuando se comparten datos en línea tiene más que ver con mitigar y gestionar el riesgo, y esomide diferentes métodos de acuerdos de intercambio de datos a través de, ya sabes, ya sea mediante cifrado o túneles de intercambio a través de canales seguros. Sin embargo, he visto, especialmente en los últimos seis meses, que muchos proveedores, ya sea a través de Office 365 o Gmail, o incluso, por supuesto, los proveedores de datos con los que contratamos,hay una mayor cantidad de opciones y capacidades flexibles dentro de las ofertas de intercambio de datos que permiten un socket de datos seguro o, ya sabes, un método de correo electrónico cifrado, o si estás haciendo un flujo de datos y compartiendo datos con terceros a través de ese método, hay una cantidad significativa de nuevas características y nuevas capacidades disponibles en el mercado ahora para cifrar y gestionar datos a través de opciones de cifrado y gestión basadas en claves. Así que, a nivel tecnológico, las opciones han crecido significativamente a nivel organizativo. He visto que incluso Salesforce, Workday y muchos otros están mejorando su juego en cuanto al intercambio de datos, el cifrado y las capacidades de gestión de datos. Por lo tanto, en lo que respecta a terceros, si usted dice, por ejemplo, que va a enviar datos a ADP, que va a enviar datos a su proveedor y quiere asegurarse de que sean seguros, hay muchas opciones disponibles. Las opciones de entrega segura de datos están llegando al mercado a un ritmo mucho mayor, con una solidez industrial y una gran facilidad de implementación. Por lo tanto, yo diría que sus acuerdos de intercambio de datos, sus acuerdos con terceros, deben incluir clasificaciones de datos, utilizar una matriz de clasificación de datos y definir si tengo clase uno, clase dos, clase tres o clase cuatro. Utilice algún clasificador de datos y describa cuáles son los tipos de datos para cada uno de esos tipos en función de su negocio. Puede que la información de salud pública sea una clase en sus métricas de clasificación. Y luego esa matriz determina qué requisitos y qué controles aplicará con el tercero. Y usted los establece en su contrato y se asegura de que se intercambien los datos y, por supuesto, los supervisa y prueba para asegurarse de que se ajustan a su política, pero los define en la política con sus terceros. Mídalos como parte de sus cuestionarios. Obtenga datos y comentarios a través del producto para gestionar las evaluaciones de terceros y garantizar que se cumplan las normas de seguridad de los datos dentro de su clasificación y definición de intercambio de datos. Y luego haga auditorías rutinarias de eso. Haga comprobaciones rápidas de muestras, incluso pídales que lo certifiquen en ocasiones si puede incluirlo en su contrato y luego pida a su equipo o a usted mismo que solicite muestras para validarlo y mida los cambios según sea necesario en las herramientas y soluciones que implemente entre ellos. Pero me sorprendería mucho que algún tercero no ofreciera la opción de confidencialidad con datos privados o, sin duda, con información de nivel sensible, una opción de intercambio de datos segura, y si no lo hacen, por supuesto que buscaría otro proveedor.

Peter Schumacher: buen consejo, gracias, no es buscar otro proveedor, sino la respuesta general, hay muchos buenos consejos, así que creo que la última pregunta es buena, creo. Si formas parte de una empresa que depende en gran medida de terceros, ¿considerarías el riesgo de concentración de terceros como uno de tus principales riesgos estratégicos? Si no es así, ¿cómo abordarías ese riesgo? ¿Lo incluirías en otra categoría de riesgo o lo considerarías una categoría de riesgo independiente?

Brian Johnson: Sí. Es una pregunta muy interesante. Yo diría que la categoría de riesgo de terceros en la mayoría de las empresas es una categoría de primer nivel. El riesgo de terceros está relacionado, por supuesto, con muchas otras áreas del negocio, pero como función de gestión del riesgo de terceros. A menudo se relaciona como un elemento de riesgo de primer orden, incluso a nivel de informe de la junta directiva, por lo que la gestión del riesgo de terceros no está disminuyendo. No creo que hoy en día haya ninguna empresa que dependa menos de terceros que hace diez o cinco años. A medida que aumenta la dependencia de terceros, también deben aumentar los requisitos de diligencia y control, así como la validación de esos riesgos. Cuando la nube empezó a ser un tema popular, había quien decía: «Oye, la nube no es más que el centro de datos de otra persona y todo funciona igual». No, no lo es. Ningún tercero, ningún proveedor de servicios, hace negocios como lo harías tú si fuera interno. Por lo tanto, los controles deben adaptarse a eso, al igual que los riesgos y la cuantificación del riesgo para tu negocio deben adaptarse a esos riesgos. No necesariamente tienes el mismo impacto de una interrupción de un tercero o la indisponibilidad de recursos de un tercero o una huelga o un problema laboral o un litigio contra ese tercero que no se va a reflejar en tu propio negocio principal. Por lo tanto, tienes que gestionar esos riesgos de una manera única para representar que el riesgo de terceros, aunque se convierte en una parte más significativa de tu negocio, se mide y cuantifica de manera diferente y única como equipo de evaluación de riesgos de terceros.

Brian Johnson: Gracias por esa pregunta.

Peter Schumacher: Buen punto. Buena pregunta para terminar. Um, voy a terminar la encuesta aquí y muchas gracias por acompañarnos hoy. Gracias, Brian, por todas tus aportaciones. Um, les recuerdo que estamos grabando esta sesión y que la enviaremos mañana al final del día. Gracias a todos por participar. Disfruten el resto del día y nos vemos en el próximo seminario web.

Brian Johnson: Gracias, Peter. Muchas gracias.