Entrevista al CISO: Cómo construir un caso de negocio para TPRM

Melissa: Hola y bienvenidos a todos. Um, es genial ver a todos empezar a unirse a este miércoles. Les daré un minuto para que se ubiquen y se conecten y tal vez se tomen una cafeína si es el barco en el que están. Y mientras tanto, voy a lanzar nuestra primera encuesta. La verán aparecer en su pantalla en un segundo. Um, tengo curiosidad por ver, ya sabes, lo que te trae al webinar de hoy. ¿Es porque estás en las primeras etapas de tu programa de riesgo de terceros? ¿Es usted un cliente actual frecuente? Um, tal vez usted está haciendo un proyecto de investigación. Sea sincero. Uh tal vez usted está perdido. No estoy seguro. Um y vamos a patear algunas cosas. Uh algunas intros. Mi nombre es Melissa y trabajo aquí en el desarrollo de negocios. Y hoy estamos acompañados por un invitado, Eric Brown, que es el CISO en Cytokinetics. Bienvenido, Eric.

Hola a todos.

Melissa: Y tenemos a Mike Yaffy, director de marketing de Prevalent. Hola, Mike.

MIKE: Hola.

Melissa: Y por último, pero no por ello menos importante, tenemos aquí a Scott Lang, nuestro vicepresidente de marketing de producto. Hola Scott.

Hola Melissa.

Melissa: Y uh hoy Eric y Mike se sumergirán en los pasos clave en la transformación de TPRM en una conversación de negocios. Y eso es lo que hoy es más o menos una conversación entre Mike y Eric. Así que um usted sabe un poco de limpieza. El webinar está siendo grabado. Así que recibirán esto junto con una presentación de diapositivas más tarde uh en sus bandejas de entrada. Y todos están silenciados. Así que usen la caja de preguntas y respuestas si tienen alguna pregunta que se les esté ocurriendo. No sean tímidos tampoco. Siéntanse libres de preguntar. Um Y sin más preámbulos, voy a dejar que Eric y Mike saltar en las cosas. Adelante, chicos.

MIKE: Muy bien. Uh Eric, gracias por estar con nosotros hoy. Te lo agradezco, especialmente con el telón de fondo de que no estés en la RSA, de lo que ya hemos hablado. Así que, uh gracias, Melissa. ¿Por qué no vas a la primera diapositiva? Un par de cosas, también, chicos. Uh, ya sabes, para aquellos de ustedes que no están en la RSA, creo que todos hemos estado allí o ido allí. Es bueno no estar con 30.000 personas esta semana. Así que, un poco de silencio. En segundo lugar, me disculpo por esto. Bueno, en general la forma en que me veo en la cara, no puedo hacer mucho al respecto. Pero la naturaleza casual del enfoque, esposa acaba de tener un bebé hace poco, y sé que usted está pensando que es viejo para tener eso. Eso también es cierto. Pero um esto es lo mejor que puedo hacer ahora mismo. Así que, um estoy en ello. Tienes un sombrero. Hoy vas un poco más informal. Pero debería ser una conversación súper divertida. Mira, estoy emocionado. Eric ha sido un muy buen amigo para nosotros y tiene un montón de experiencia. Creo que um cuando usted tipo de combinar su TI y la experiencia de seguridad cibernética con lo que ha hecho y su formación técnica, es una muy buena combinación um de, ya sabes, la experiencia técnica, un tipo que puede cavar y tipo de trabajo en las trincheras un poco, pero debido a su posición en el título tiene realmente entiende cómo presentar a nivel ejecutivo y cómo traducir tipo de la técnica hasta el nivel de la junta. Y creo que en relación con lo que estamos tratando de lograr aquí. Es un reto conseguir CISOs o nivel de la junta todos a bordo, ya sea con un caso de negocio o el apoyo o la expansión o simplemente la profesionalización de su programa de TPRM. Y Eric probablemente no lo diría porque es humilde, pero es un experto en esto y creo que lo ha hecho muchas veces a lo largo de su carrera. Así que muy afortunado de que él tomaría tiempo de su día para ayudarnos y y ayudar a ustedes a entender. Así que de nuevo, uh si usted tiene alguna pregunta en el chat, uh arrancarlos. Intentaremos ponerlas en contexto. Si no, las dejaremos para el final. Entonces, Eric, ¿algo con lo que quieras empezar? Melissa, ¿por qué no pasas a la siguiente diapositiva?

Eric: No, agradezco la introducción. Estoy deseando profundizar.

MIKE: Muy bien, vamos a hacerlo. Así que, mira, la primera pregunta para que todo el mundo se alinee aquí es ¿cómo lo hiciste, verdad? Conseguir alinearlo no es tan fácil en las organizaciones. Siempre pregunto a los órganos, ¿qué tipo de tienda eres? ¿Quieres la respuesta? ¿Quieres y no quieres la respuesta, verdad? Entonces, um, ¿cómo conseguiste la alineación y y qué tipo de organización te clasificarías también?

Eric: Si. Responderé primero a la parte de la organización y lo haré de dos formas diferentes. Estoy en el sector farmacéutico en general, ¿verdad? Por lo tanto, algunas personas encontrarán que en la asistencia sanitaria. Um, pero es que es uh es un modelo de negocio diferente. Uh, y la farmacia vive y muere por la propiedad intelectual. Por lo tanto, eso es una cosa tipo de conocer al cliente, conocer a la audiencia. Um, Cytokinetics es una organización pequeña. Por lo tanto, pensar en tipo de 500 empleados, miles de usuarios con los contratistas, consultores, proveedores de servicios, etc. Así que no es una gran organización. Um, y realmente creo que una de las cosas que siempre tratamos de enfatizar en el inicio cuando llegué y me hice cargo como el CISO estaba tratando de tratar de enmarcar el programa de seguridad cibernética en general como no un problema técnico. Sí, habrá cosas técnicas y aspectos técnicos y habrá tecnologías, pero um es parte de un juego más amplio de gestión de riesgos empresariales que en última instancia mantiene a todos en nuestra organización y nuestras principales partes interesadas dentro y fuera feliz y seguro. Así que ese es el número uno es sólo el comienzo de la discusión de ser

MIKE: ¿Qué aspecto tiene? ¿Cómo se hace si la organización no lo ha tenido y estás intentando, ya sabes, que todo el mundo lo tenga en una cajita o en un rincón?

¿Verdad?

MIKE: Entonces, ¿qué es esa estafa elevada? ¿Cómo se empieza por dónde se empieza? ¿Cómo se empieza? ¿Con quién se empieza?

Sí. Algo de eso se hizo más fácil en los últimos años porque muchas cosas son titulares, ¿verdad? Ya sea que Solar Winds u otra universidad local u organización de atención médica haya sido vulnerada y haya ransomware o que la gente haya visto a Target, Visa o CASA, ¿no? Y tiendas al por menor en uh uh segmentos europeos más grandes se cierran por un tiempo porque están funcionando en uh uh sistemas POS que que se hackeado. Así que Nightly News, entre comillas, facilitó parte de esa discusión. Así que usted tiene la aparición de más miembros de la junta empezando a hacer preguntas, ya que sirven en múltiples consejos para decir ¿cómo estamos manteniendo nuestros activos seguros? Um usted tiene ráfagas de noticias y feeds de noticias. Así que hay una conciencia general en el agua que es diferente de hace 10 15 años, donde la cibernética era fundamentalmente una función de hey tenemos los últimos y mejores firewalls. Así que

MIKE: algunos de los algunos de los

Eric: problema tecnologico punto a a a a es igual a b era era era hay esta compra esto hace esto ejecuta bien y entonces Eric: asi que la otra parte de uh no el problema tecnologico en el que nos centramos era um legal como un departamento dentro de un dentro de una organizacion. Nadie piensa en legal como la función del sistema de gestión de contratos. Eric: Pero la gente piensa en cyber como una función de cosas como firewall y acceso e identidad. Y todo eso está bien, ¿verdad? Es una parte fundamental, como lo es el sistema de gestión de contratos. Pero hay que ayudar a la gente a entender que el aspecto jurídico está ahí para ayudar a las empresas a gestionar los riesgos a nivel contractual. El cibernético se ocupa de la gestión de riesgos de seguridad técnica y cibernética. Y sí, hay tecnologías, pero hay que ayudar a la gente a establecer esa analogía. Y luego creamos confianza porque también hicimos lo básico. Por lo tanto, tenemos una gran cantidad de las tecnologías, los procesos, los controles fuera del camino de tal manera que los auditores internos y externos podrían decir que no, es un buen barco. Así que eso ayuda a mover la conversación a un vernáculo mucho más amigable para los negocios fuera de las tecnologías.

MIKE: Si tuvieras que hacer un ranking, ¿por quién empezarías para que la gente se subiera a bordo? Legales uno, ¿quién es y eso es una pregunta, no una declaración, pero que son los tres principales orgs que tipo de necesidad de trabajar realmente con y y ayudarles a entender por qué.

Eric: Sí. Así que en el interior de nuestra composición particular, las tres funciones o yo diría que las pocas de las organizaciones funcionales o departamentos que fueron críticos inicialmente fueron el cumplimiento de calidad, pero preminentemente legal. Dicho esto, también hubo otro esfuerzo para interactuar con nuestro equipo de liderazgo senior. Así que su tipo de vicepresidentes y por encima de la organización para decir aquí está aquí está el amplio panorama de consultores y contratistas que trabajan con. Constituyen una tonelada de nuestras capacidades en la organización, ¿verdad? Están apoyando la automatización, los datos, las operaciones del día a día de nuestra organización. Y si no entendemos dónde está el riesgo en ese gran segmento, podríamos encontrarnos fácilmente no operativo, comprometido, hacer frente a daños a la reputación, ¿verdad? Cualquier número de efectos negativos en cadena que tendríamos que capear y superar. Así que..,

MIKE: ¿has tenido que contextualizar que dentro porque yo te había dicho antes, ¿verdad? Era PII, ¿verdad? Así que, ¿tuviste que ayudarles a entender que era que la preocupación abrumadora o primordial para la organización? Usted es como, ni siquiera sabemos cuántas personas y no estoy diciendo que lo hizo o no, pero

Sí,

Mike: tener acceso a la IIP o a dónde va o quién accede a ella o qué hace con ella.

Sí. Por lo tanto, PII no es es importante para nosotros claramente. Quiero decir, el GDPR europeo, las normas de privacidad de California, todo eso tiene sentido.

Eric: Um, la propiedad intelectual es la cosa más grande. Uh, así que cuando empezamos a ver ya sabes, las organizaciones en las noticias se pierda.

MIKE: Por cierto, me refería a IP. Mi cerebro trans que era lo siento primero, pero me refería a la IP y tenía las mismas letras en ella. Así que, disculpas.

Eric: No, no te preocupes. Sí. Entonces, ¿ayudarles a entender lo que podría parecer? Esto podría parecer como datos que se filtran fuera de la organización a las personas que no deberían tenerlo. Esto podría parecer uh como cosas donde nuestros líderes de opinión tal vez clave u otros profesionales de la salud no quieren tratar con nosotros porque no confían en nosotros. No podemos mantener los datos. No sabemos lo que está pasando. Así que los efectos negativos de los que siempre hablo tienen poco que ver con el hecho de que alguien haya pirateado un servidor y, en términos generales, se trata de un lenguaje empresarial para decir que este podría ser el efecto negativo con el que tenemos que lidiar y que estamos intentando capear el temporal. Así que ese era el enfoque por lo general

Mike: lo es y mira incluso en el marketing de seguridad y lo suficiente como para ser peligroso estado haciendo esto durante más de 20 años derecho hay dos maneras el enfoque de habilitación derecho eres mejor, más rápido, más fuerte, o más seguro o el factor FUD, ¿verdad? ¿Cómo crees que funciona? ¿Es un enfoque híbrido? Pero, ¿cuál es el mensaje que transmites a las partes interesadas? Y si quieres hablar de equipo ejecutivo frente a legal o tal vez es todo lo mismo, pero ya sabes, ¿qué es lo que es lo que es lo que la pista de la charla parece?

Eric: Sí, esa es una gran pregunta y creo que es realmente ambas cosas. Quiero decir, la realidad para nosotros en los espacios cibernéticos. Es más um no voy a decir necesariamente decir FUD, pero entiendo el punto de y voy a ponerlo en el riesgo de evitar el costo de evitar el tipo de cubo. Es decir, claramente el miedo, la incertidumbre y la duda son los motivadores en ese espacio. Eric: Uh, pero en general para decir está bien si estamos gestionando o mitigando el riesgo o hacer frente a la evitación de la carga de costes indebidos bien, pero también hay cosas que hemos tratado de tomar como una posición de principios dentro de dentro de la uh el equipo, que es siempre que podamos minimizar el riesgo, seguir empujando el riesgo hacia abajo como un objetivo general. Siempre que podamos hacerlo con poca o ninguna fricción operativa, genial. Vamos a hacer eso porque entonces eso comienza a permitir a la gente. Es como si estuviéramos minimizando o mitigando el riesgo a través de la tecnología. ¿Cómo hacemos que el acceso sea más fácil pero más seguro? Así que, ¿cuáles son las configuraciones MFA? ¿verdad? ¿Cómo pensamos en el SSO para facilitar el acceso a las aplicaciones pero con más controles? Así que hay una pieza de habilitación para ello y, a continuación, en última instancia, la construcción de un cierto nivel de credibilidad en la organización donde la gente dice hey estamos haciendo lo correcto a la derecha estoy estoy en más preguntas en lugar de tratar de introyectar el programa cibernético para ir déjame decirte por qué lo estás haciendo mal y aquí está aquí es cómo estoy aquí para ayudar. Ahora tengo socios de negocios que vienen a nosotros diciendo, ¿cómo podemos pensar en eso? ¿Cómo podemos utilizar la cibernética como un punto de decisión cuando estamos mirando a varios candidatos para los proveedores en lugar de, oh, Dios mío, es una actividad más casilla de verificación que tenemos que hacer y ralentizar el proceso.

MIKE: Sí, eso parece impresionante, ¿verdad? Si quiero decir, si se puede llegar al punto en que usted está evaluando sus controles um y es un diferenciador, ¿verdad? Un diferenciador súper positivo porque sientes que lo han hecho, eso es que estás muy por debajo de la pica en eso. Uh una pregunta más de seguimiento entonces tuvimos una pregunta de la audiencia. Hablamos de la aceptación del riesgo, en algún momento no tendrás suficiente dinero, tiempo y cuerpos para llenar todos los agujeros. ¿Cómo, quiero decir, vuelves al equipo ejecutivo y dices mira tenemos que reconocer esto como una amenaza potencial y está bien, pensamos que es un 4% de probabilidad, 1% de probabilidad, pero vamos a hacerlo? ¿Cómo consigues que el equipo ejecutivo ponga por escrito que estamos dispuestos a vivir con X o Y?

Sí. Supongo que es una gran pregunta. Empiezo este tipo de preguntas siempre con, a menos que realmente tengas un presupuesto matemáticamente infinito, siempre tienes que priorizar. Eric: Es sólo una función de lo grande que es el cubo, ¿verdad? Así que, no importa lo que priorices y si sólo inviertes basándote en el riesgo, puedes invertir más que los ingresos de cualquier empresa por definición, porque el riesgo no llega a cero cuando los ingresos no son infinitos. Así que, por definición, siempre estarás en un ejercicio de priorización para nosotros dada la importancia de la información que generalmente categorizamos el riesgo y no voy a entrar demasiado en los detalles por algunas razones obvias, pero voy a dar a la gente una idea de que espero que sea valiosa.

MIKE: Sí. Sí. Perfecto.

Eric: Generalmente categorizamos el riesgo en un par de dimensiones diferentes. ¿Cuál es la sensibilidad de los datos con los que estamos tratando? Y tenemos un esquema de clasificación interna que va desde lo público a la necesidad de conocer el rango de tipo. um cómo operativamente crítico es el particular uh proveedor de sistemas de plataforma, etc. Y entonces um usamos uh usamos prevalente como parte de nuestra solución TPRM y hacemos alguna categorización alrededor de uh SIG luz voy a utilizar como un ejemplo y luego tenemos un SOP oficial real que ha pasado a través de nuestro sistema de calidad que se entrena en y en que tenemos una matriz de decisión de riesgo que define si tenemos un si la clasificación de datos es esto es una tabla de verdad fundamentalmente la clasificación de datos y lo arriesgado es la cosa entonces que define en qué nivel se produce la aceptación del riesgo. Así que si se trata de un sistema que aloja nuestra Internet pública, de acuerdo, es información pública que por definición se supone que debe salir. Así que si hay un riesgo en esa plataforma podría ser algo que uh uno de mis analistas cibernéticos puede firmar y decir sí es un riesgo de bajo riesgo para un sistema uh disponible al público. Así que tenemos una tabla de verdad que sólo nos dice sobre la base de la sensibilidad de los datos y el nivel de riesgo que llega a firmar. Eso va todo el camino de uno de mis analistas cibernéticos hasta uh una asociación entre yo y el jefe funcional de la organización que se ocupa de esa área en particular. Así que es un POE oficial que se firma, se forma, se comunica. Así es como incorporamos los criterios de aceptación del riesgo para que la gente pudiera verlo. ¿Habrá futuros en los que haya una excepción y alguien quiera quejarse de ello? Sí, tal vez.

MIKE: siempre hay, ya sabes, eso es gracioso. Siempre hay manejo de excepciones, ¿verdad? Si intentas construirlo para abarcarlo todo, vas a fracasar antes de llegar allí, ¿verdad? Regla 8020, amigos. Um que responde a una de las preguntas que teníamos. La otra es, mira, alguien tenía una pregunta básica ¿cómo um cómo conseguir que su equipo ejecutivo se preocupe y dedique algún tiempo a la educación cibernética. Voy a tomar una postura bastante agresiva en eso. Uno, es el trabajo del CISO, ¿verdad? Y dos, no sé si siempre se puede hacer que el equipo ejecutivo dé un ya sabes qué sobre cibernética. Podría ser el ADN de la organización, ¿verdad? No preocuparse y simplemente vivir sin lujos. Y siéntete libre de decirme que crees que estoy equivocado, Eric, pero no sé si todas las organizaciones se van a preocupar lo mismo por la cibernética.

Eric: Sí, creo que es una afirmación cierta en la superficie, y he conocido a ejecutivos a los que les importa muy poco la mayor parte de su negocio. Pero, dicho esto, no sé, conociendo a tu audiencia, no sé si a la mayoría de los ejecutivos realmente les importa el programa cibernético, lo que les importa es si su fuerza de trabajo puede hacer su trabajo, si pueden irse a casa y dormir por la noche sin preocuparse de que algún MC gastó más de mil millones de dólares recuperándose de algún rescate o algo más hace unos años. A sus ejecutivos no les importaba de antemano. Les importó después. Así que a veces será una crisis. A veces no. No lances un producto que alguien no quiere. ¿No es así? Está en el equipo de seguridad tratar con cosas que sabes que la gente no quiere. No necesitan el detrás de escena. Pero hablar de las cosas que sí quieren. ¿Pueden trabajar sus empleados? ¿Están gestionando los riesgos? ¿Tienen áreas y puntos ciegos de los que deben ser conscientes? Todo lo demás hay que dejárselo a los magos detrás del telón.

MIKE: Bueno, y y mira, las dos cosas que siempre Es uno, es un seguro, es un seguro.

Sí.

MIKE: Correcto. ¿Cuánto seguro quieres en la vida? Sé que no es una analogía fabulosa para algunas personas, pero tienes una tolerancia al riesgo y yo tengo un seguro de vida, ¿no? Y lo aumentas o disminuyes a medida que avanzas. Eso es lo que vas a hacer, cuanto más inviertas en seguridad, probablemente mejor te sientas, pero cuanto más gastes. Es un centro de coste, pero tienes que verlo como si hubiera un problema, si hubiera una inundación en tu casa o, ya sabes, Dios no lo quiera, alguien no pudiera trabajar, eh, ya sabes, ¿estás cubierto? Y la tecnología de seguridad ayuda a eso. Voy a decir, Eric, la otra cosa, también, que yo veo mucho, y esto es uniforme en todas las empresas en las que he trabajado, es increíble cómo si hay un problema, todo el mundo encuentra la religión de seguridad casi de inmediato y los presupuestos, los presupuestos disponibles. Quiero decir, no hay nada que puedas hacer al respecto. Pero a veces eso es lo que se necesita en las organizaciones.

Eric: Yo Y yo voy a añadir voy a añadir un pensamiento final. Sí. Me refiero a que no hay que dejar que una crisis pase sin ser aprovechada, ¿verdad? Como alguien dijo una vez,

Mike: ¿verdad? Esa es la Sí, me encanta esa.

Eric: Creo que otra cosa que añadiría es que también puedo imaginarme un mundo en el que hay mucha gente que se gana la vida diseñando automóviles que creen que todo el mundo debería leer ese manual que viene en su coche y que ninguno de nosotros lo hace porque queremos subirnos, apretar el botón, llegar a nuestro próximo destino y salir. No queremos leer el manual del propietario. Así que a veces, a la derecha, podemos tener un deseo de convencer a alguien de la importancia de lo que hacemos y la necesidad de la misma, pero eso es que va a ser un duro que va a ser un producto difícil de vender. Concéntrate en los resultados y en la gestión del riesgo para la organización. Disculpen.

MIKE: Eso es Melissa, vamos a ir a la diapositiva dos. Um, pero eso es super importante, Eric. La salida. ¿Puedes profundizar en ello? Son los resultados, ¿verdad? Eso es lo que es. Mira, se salta al final de la historia, ¿verdad? Tenemos un BR como estamos dispuestos a hacerlo, ¿verdad? Eso es, quiero decir, incluso y como nos metemos en la siguiente pregunta hablando de un caso de negocio, el caso de negocio es potencial resultado negativo para la organización. Sé que estamos hablando de FUD frente a la habilitación, pero Mike : um Mike: usted sólo quiere cavar allí y ¿cómo cuando la gente en la seguridad, a la derecha, tienen que presentar un caso de negocio para usted, ¿qué estás buscando para ver? ¿Cuáles son las cosas que realmente le ayudan a decidir de una manera positiva y si no pueden si no se articula con claridad, ¿verdad? ¿Por qué patear un caso de negocio a la acera?

Eric: Sí, es una gran pregunta. Así que, uh voy a usar cuando empezamos a enmarcar um voy a utilizar TPRM para abreviar, pero cuando empezamos a enmarcar la comprensión de dónde estaba el riesgo en nuestra tercera parte y en algunos casos socios de cuarta parte, um no usamos el caso de negocio propiamente dicho ahora. Sí, claro. Así que, como no estamos generando un ROI, evitar el riesgo es un ROI B, ¿verdad? Es evitar costes o mitigar riesgos. Um, pero para poner el caso para decir aquí está la inversión, aquí está el valor que vamos a obtener, así es como vamos a manejarlo, y así es como vamos a usar una palabra antes, tipo de profesionalizarlo,

Eric: ¿verdad? Para conseguir que la gente vaya, esto no es sólo otra tecnología que unas pocas personas van a jugar con detrás de las escenas. U, pero aquí están los resultados que estamos tratando de hacer es porque estamos tratando de Encontrar a los vendedores a entender dónde está nuestro riesgo para que nuestros departamentos y colegas de negocios funcionales pueden gestionar en torno a eso o o minimizarlo a través de procesos y controles adicionales. Una vez más, ayuda tener miembros de la junta que se mueven por el espacio y vienen y dicen: "Hey, ¿qué están haciendo en su programa cibernético?"

Eric: Y cuando hablamos de TPRM, dicen: "Oh, es fantástico. Cuéntame más". ¿Verdad? Como un porque han sido quemados. Eric: así que cuando y y auditores externos como EY cuando van lo que me dicen acerca de su programa cibernético y CPRM es es una historia fácil derecho hay mucho menos tenemos que preparar porque es un costo de hacer negocios en algún nivel como los mercados se mueven um y así que esa fue la no estamos tratando de resolver todo el asunto en el primer día, vamos a facilitar nuestro camino en esto y evolucionar con el tiempo, pero si alguien en el equipo trae una propuesta para decir, "Hey, nos gustaría hacer esto o nos gustaría hacer esto." Um, en última instancia, que hay cuestiones presupuestarias que tenemos que. Pero, pero el mi mi criterio o mi obstáculo para que salten es el mismo que me gustaría saltar para los ejecutivos, que es ¿cómo es esto la gestión de riesgos para la organización? ¿Cómo pretendemos utilizarlo? ¿Cuál es la visión de dónde partimos y adónde creemos que podemos llegar? Y luego trabajaremos ese problema a lo largo del tiempo. Pero no es sólo vamos a firmar para arriba para la próxima herramienta obligatoria siguiente porque alguien salió de una llamada de ventas y no podemos no podemos apoyar citogenética sin estos próximos uno, dos, tres herramientas. Esa no es una conversación interesante.

MIKE: Sí. Y tiene que ser un tiene que ir creo que de nuevo resultado. Estás en el punto A. Queremos llegar al punto B. ¿Cómo es el punto B? ¿Cómo es el estado final aquí? ¿Correcto? ¿Cómo trabajamos hacia atrás? Y mira, he dicho durante mucho tiempo que cuando un CISO como tú está comprando algo, tiene que ser una victoria global, ¿verdad? Parece, a veces los cambios son incrementales, pero eso es todo lo que puedes hacer, ¿verdad? Y cuando estás moviendo una organización, no estás pasando de, ya sabes, un 60 sobre 100 a 92 de la noche a la mañana, ¿verdad? Tal vez vas de 60 a 62. El camino es llegar a 75 con esto y luego allí. Pero es una estrategia. Es un proceso. Y tengo que decirte que las personas que son siento que hay tantas personas de aceite de serpiente por ahí, a la derecha, que prometen demasiado y no cumplen. Pero muchas de las cosas en seguridad, ayudan con el tiempo, ¿verdad? No te están ayudando. No te ayudan en dos semanas. No funciona así.

Sí. Absolutamente. Abs.

MIKE: Entonces, ¿qué me puedes decir de todos los casos de negocio, el mejor que hayas visto? Y Melissa, pasa a la siguiente diapositiva, también.

Eric: El uh de un caso de negocio que me presentaron.

MIKE: Sí.

Entendido.

MIKE: ¿Y por qué?

Eric: Si. Um, esa es una buena pregunta. Dejame pensar. Déjame encontrar una que sea una buena explicación. Así que, lo que quiero que la gente haga es que me digan cómo están empezando y hacia dónde creen que va esto y cómo creen que avanzará. No porque crea que son omniscientes y que van a predecir el futuro, pero es que le han dado un poco de, ya sabes, tiempo de materia gris arriba para decir esto es lo que parece y así es como voy a avanzar.

Eric: Como parte de nuestra solución EDR, recientemente hemos añadido capacidades de detonación, ¿verdad? Así que, podríamos echar un vistazo a, uh, uh ejemplos específicos de un material uh malicioso. Bueno, Eric: ese fue el que probablemente fue bien pensado, ¿verdad? Esto es lo que va a costar. Aquí hay un par de opciones. Podemos enfocarlo de esta manera o de esta otra. Si lo combinamos con esta oferta, podemos obtener cosas extra que pueden o no ser significativas, pero el precio se parece a esto. Y creo que este es el grupo dentro de la organización que podría utilizarlo hoy. Puede ampliarse. Así es como nos gustaría usarlo. Y esto es lo que pensamos que significará para nosotros el próximo año. Vale, es suficiente, ¿no? No fue una no fue una inversión significativa. No fue de cinco dígitos ni nada. Um es como, está bien, alguien ha pensado las dimensiones del problema a cabo. I

MIKE: iba a decir que está bien pensado. Al igual que incluso lo que acaba de establecer que había super bien pensado. Como aquí es por qué lo queremos. Aquí está quién podría usarlo. Aquí está el beneficio. He aquí cómo podría expandirse y ayudarnos aún más con el tiempo. Aquí está el costo y por qué lo hacemos. Bang.

Eric: Y eso funcionó eso funcionó para mí y fue fue en última instancia algo que estaba en al menos mi hoja de ruta mental. para el próximo par de años. Así que está bien. Tenemos a alguien que lo supervisará y lo mantendrá cuidado. Eso es que está bien para moverse en eso.

MIKE: ¿Cómo, ya sabes, por lo que tiene una hoja de ruta mental que, obviamente, creo que todo el mundo lo hace. Yo tengo una en marketing, ¿verdad? Y esto es lo que estamos haciendo. ¿Qué tan flexible es? Siempre pienso que los CISOs hacen malabares con 20 proyectos que quieren hacer y uno que pueden ejecutar, ¿verdad? Y entonces, porque ni siquiera es el dinero, ¿verdad? Son los recursos para gestionar eficazmente las herramientas y la tecnología que estás trayendo para obtener valor de ella, ¿verdad? No vas a traer 10 cosas si nadie puede ejecutarlo y no se puede obtener el valor de la misma.

MIKE: Entonces, ¿cómo priorizas lo que traes? ¿Cómo su equipo priorizar a usted? Uno, y luego, ¿cómo se baraja la baraja si surge algo?

Eric: Sí, es una buena pregunta. Así que te daré dos respuestas: la respuesta de consultoría de arriba a abajo y la respuesta práctica operativa de abajo a arriba.

MIKE: bien bien

Eric: um en general así que mantengo una mantengo una lista de um y disculpas por las palabras de moda estas realmente significan algo para mí en uh uh en definición así que mantengo una lista de objetivos estas son cosas que tienen declaraciones direccionales a ellos aumentar disminuir maximizar minimizar así que tengo una lista de objetivos que creo que se alinean con los objetivos de la organización y que voy a actuar. Luego tengo una serie de estrategias que apoyan esos objetivos concretos. Así que estas declaraciones de acción que vamos a terminar haciendo y luego la hoja de ruta es un conjunto de objetivos y tácticas que realmente cumplen esas estrategias y apoyan esas metas. Así que eso es lo que pongo en el papel que dice en un mundo perfecto en un vacío donde nada cambia este es el plan, ¿verdad? Y los planes son planes. En la práctica, todo cambia todo el tiempo, ¿verdad? Esto nos lleva a la realidad de tu pregunta. Um, para mí, construir una capacidad no es tan significativo. Y siento decir algo que sonará estúpido. Ejecutar una capacidad es increíblemente crucial. Por lo tanto, he visto un montón de organizaciones que comienzan un montón de proyectos, desplegar una gran cantidad de tecnología sólo para tenerlo muerto en el segundo año.

MIKE: Lo mismo. Es como si fuera la adición de seguridad, ¿verdad? Son como, "Oh, mira esto. Oh, mira eso. Oh, mira aquí. Es increíble, francamente."

Eric: Por lo tanto, no había planificación del año 2, no había planificación de la sostenibilidad, Eric: no había ningún tipo de pragmatismo de la estructura operativa de lo que estaba pasando. Por lo tanto, a medida que nos acercamos a mirar ya sea en el despliegue de algo que está en este elemento intelectual llamado la hoja de ruta, o estoy examinando el lanzamiento de alguien en torno a, hey, sabemos que tenemos la hoja de ruta, pero estamos pensando en hacer esto adyacente donde este juego periférico en su lugar. Muy bien, ¿es esto sostenible? Entonces, ¿al menos no contradice nuestros objetivos y estrategias? ¿Apoya lo que estamos haciendo? ¿Quizás está ligeramente desalineado? No pasa nada. ¿Podemos ejecutarlo en el segundo o tercer año? Y por ejecutarlo, no me refiero sólo a si podemos saber qué dólares están asegurados para ello. ¿Tenemos compañeros de equipo de la organización interna que son responsables de ello o proveedores de servicios que van a ser responsables de ello? Eso está bien. ¿Tenemos alineación empresarial general? entonces nuestros socios están dispuestos a operar bajo esas esas condiciones también si se expone como un TPR. Así que

Mike: eso es realmente un buen punto, ¿verdad? Sinceramente, no había pensado en extenderlo a tus socios, a tus asesores y a toda la gente, como si estuvieras dispuesto a hacerlo. ¿Qué piensan de ello? ¿Puedes hacer que funcione con ellos? Porque si es demasiado difícil como que no deberías o no puedes

Eric: y simplemente morirá. Todo lo que hiciste fue malgastar dinero en el primer año, ¿verdad?

MIKE: Sí. Es demasiada inercia organizativa. contra la derecha así que um usted sabe en esta diapositiva que habíamos mencionado presupuesto un par de veces y luego te voy a preguntar sólo como un seguimiento así que vamos a hacer esto y luego alguien había hecho una pregunta en vivo en KPIs KIS pero

MIKE: Los presupuestos son los presupuestos, te dan un 5% más, te dan un 10% menos, son lo que son . MIKE: ¿Cómo consigues financiación para un proyecto que consideras crucial y que no está financiado? Es decir, hay compensaciones, tienes una serie de costes de software, X costes de personal, Y gastos de capital, y entonces tomas decisiones basadas en prioridades y probablemente en el impacto para ti o tus socios y la reducción de riesgos que consigues. MIKE: Um, Mike: pero ya sabes, siempre hay otras cosas que probablemente quieras hacer o que consideres críticas. ¿Cómo es eso?

Eric: Si. Entonces, algo de esto va a ser discrecional a mi nivel, ¿verdad? Dependiendo de lo que estamos haciendo y lo grande de un cambio si tenemos, ¿verdad? Si se tratara de una necesidad presupuestaria que se manifestara en un año, vale, ¿qué estoy dispuesto a intercambiar internamente y yo me encargaré de la gestión o hay algo que tenga que decir en la organización financiera o en el grupo ejecutivo más amplio para decir que me gustaría más y que voy a pedir implícitamente a alguien que renuncie a algo y este es el motivo? Um, en general, a la derecha, prefiero controlar los de mi espacio en lugar de tener que hacer la escalera. Pero estoy, ya sabes, eso es parte de mi trabajo también es a veces tienes que ir a preguntar.

Eric: Um, y luego como he dicho, antes, ¿verdad? Dado que los presupuestos no son matemáticamente infinitos, hay una prioridad. Así que, parte de nuestro caso para uh TPRM o VRM como algunos lo llamarán fue simplemente decir aquí es cómo vamos a priorizar entrar en esto. Vamos a centrarnos en los sistemas críticos, datos sensibles, nuevos proveedores, ¿verdad? Así, al menos puedo demostrar a mis electores, mis partes interesadas, que no estamos tratando de hervir el océano. Y así, la alineación se construirá con el tiempo. La gente se acostumbrará. Voy a encontrar mis evangelistas en la organización de una manera orgánica y creo que eso vendrá debido a un par de maneras y entonces podemos seguir adelante. Uh y y lo hicimos todo funcionó bastante bien. Así que es que era que era que era sí voy a tomar esa victoria cualquier día, pero hay un poco de hay un poco de suerte. Tuvimos una organización hermana que era, ya sabes, una especie de arrastrando los pies en hacer algunas de estas cosas porque lo veían como una tarea obligatoria. Terminaron la contratación de un proveedor que no fue bien en el transcurso de un año de tiempo de ejecución

Eric: y luego volvieron y y basándose en las cosas que hicimos con ese vendedor, dijeron: "Ah, lo tengo. Vamos a jugar mejor ahora". ¿Verdad? Mis palabras, no las suyas. Pero ese es fundamentalmente el sentimiento y ahora son un gran socio que dice: "No, no, no. Esto es un valor añadido para nosotros porque nos da una visibilidad que no teníamos la última vez. Sufrimos una mala relación. Así que aceptaremos esto cualquier día de la semana".

MIKE: Usted sabe, usted sabe, es gracioso. He oído muchas de las mismas cosas y parece que he tenido que aprender algunas de estas lecciones dolorosamente, pero para mí, se trata de comunicar lo que vas a hacer al equipo exacto, ¿verdad? Para que no se sorprendan, ayudándoles a entender las prioridades, el presupuesto, cómo se está aplicando, y conseguir que todos estén de acuerdo y compren, y luego decir: "Mira, aquí están las siete cosas que estamos haciendo". Y entonces, invariablemente, alguien siempre viene a ti, es un miembro de la junta, un equipo ejecutivo, o ya sabes, un tipo de ventas siempre dice que vio una nueva cosa brillante, y es como, "¿Por qué no podemos hacer esto, ¿verdad? Usted es como, nos pusimos de acuerdo sobre estos siete

MIKE: como una org, ¿verdad? Esa es nuestra estrategia. Me parece bien modificarla, pero ¿cuál de estas siete cosas podemos dejar de hacer o deberíamos dejar de hacer para añadir la octava, porque en eso estamos de acuerdo, verdad? Para mí, es que ese hiper nivel de comunicación, Eric, que lo hace Mike: exitoso.

Eric: Sí, estoy de acuerdo.

MIKE: Um, vamos a hablar de KPIs, KISS. Tenemos una pregunta del público al respecto. Quiero decir, ¿qué KPIs de Shirley, eh, ¿qué KPIs debe una org centrarse en el desarrollo de un programa de TPRM desde cero? Y Shirley, hemos hecho un montón de cosas sobre eso. Le pediré que le enviaremos algunas cosas después, pero me encantaría escuchar, Eric, lo que piensas.

Sí. Así que, sin duda, siento decepcionarte. Definitivamente me mantendré alejado de lo que otras organizaciones deberían hacer, pero estaré encantado de contarte algunas de las claves en las que nos centramos y que espero que sean significativas. Um, mantenemos uh al día uh uh voy a decir métricas de riesgo para todas las organizaciones que han pasado por el proceso de TPR. También utilizamos uh Bitsite para hacer una especie de puntuación de crédito externo si se quiere. Así que los guardamos. No he encontrado que sea tan convincente francamente para nuestros ejecutivos. Um, siempre y cuando estemos en la parte superior derecha verde mejor que los grupos de pares, que es una especie de titular de las noticias que quieren saber los más significativos que yo que socializar o entregar información son información sobre cuáles son los tipos de riesgos y lo que los líderes funcionales han aceptado esos riesgos. Así que eso es lo que nuestra cultura ejecutiva, la cultura de la seuite CC, si se quiere, cree firmemente que nuestros líderes funcionales son responsables del riesgo en sus departamentos funcionales. De modo que nuestros vicepresidentes, vicepresidentes senior y vicepresidentes ejecutivos tienen visibilidad para saber qué líder de su organización ha asumido qué riesgo y si eso tiene sentido. Sí. Eso es lo que quieren saber y ver. Por lo tanto, es realmente la métrica de aceptación del riesgo. Um, ¿cuánto trabajo hemos hecho con los proveedores para uh uh mitigar los posibles hallazgos en los que vinieron y dijo que simplemente no hacen esto y nos dijo que es realmente probablemente debería basarse en el trabajo con nosotros. Um, así que son esas cosas las que la cartera de riesgos, las puntuaciones de riesgo que eran las más significativas uh indicadores de la del programa TPRM más ampliamente, pero hacemos un seguimiento de las otras cosas también. Um, si alguien quiere saber cuánto tiempo se tardó en hacer la evaluación, a pesar de que por lo general es el tercero el que toma todo el tiempo, tenemos esos. Nadie en mi experiencia en esta organización realmente ha querido hablar de eso. Más bien quieren tener una visión del catálogo de su departamento.

MIKE: Sí. Um, yo yo trabajé con un CEO hace un tiempo y él siempre solía decir y fue una buena cosa buena que solía decir es que un buen número o un mal número derecho se podría presentar al equipo ejecutivo que eres como lo hicimos un millón de evaluaciones

Eric: Claro

Mike: Correcto, y quieres que todos estén impresionados con un millón de evaluaciones, y la respuesta podría ser 10 millones, así que sin contexto o benchmarking, los números no significan nada para mucha gente, todo son palabras de moda, y especialmente en tu programa, estoy de acuerdo contigo en lo de bitsite. Creo que es valioso para las pruebas delta si lo has configurado correctamente y luego algo cambia, pero ya sabes, es lo que es. Tenemos una pregunta de Pat, ¿qué tipo de métricas específicas relativas a TPRM estás midiendo? ¿Puedes decir tres o cuatro y Melissa pasar a la siguiente diapositiva?

Eric: Sí, es realmente alrededor del catálogo de riesgos. Y estoy siendo un poco esquivo sólo porque

MIKE: No, no, no te preocupes. Por lo tanto, no estamos pidiendo ninguna salsa secreta aquí. Así que..,

Sí. Sí. Si. Eric: Um y y y voy a tratar de hacerlo significativo. Así que, proceso de negocio general, ¿verdad? La gente viene, algún departamento encuentra una nueva herramienta o proveedor que quieren usar. Genial. Lo pondremos en marcha. Vamos a hacer una encuesta interna de perfiles y taring para que tengamos un contexto empresarial de cómo se va a utilizar este socio en particular. Esa encuesta, que creo que consta de unas 12 preguntas, la responden los compañeros de la empresa y luego nos dirigimos al propio proveedor con una luz SIG para que nos responda a esas cien preguntas, 36 o algo así, y realizamos el perfil. La pregunta número uno que la mayoría de los socios comerciales quieren hacer en ese momento es: ¿cómo de rápido podemos incorporar a estas personas? Porque es absolutamente crítico desde el punto de vista operativo contratarlos hoy mismo. Y aunque el ciberespacio no es un paso sincrónico, no permitimos ni denegamos esa transacción. Somos consultivos. Ellos todavía quieren saber si podemos superar los obstáculos una vez que empecemos a destacar el riesgo que tenemos de nuevo y estoy hablando de cosas de riesgo crítico que me gustaría ir a un director o un vicepresidente y tener esa conversación. ¿Te parece bien aceptar este riesgo? No creo que esto sea bueno, pero no tengo el contexto empresarial para saber si puedes encontrar un sustituto con suficiente antelación. Entonces, hablemos de esto. Entonces ese ejecutivo, en mi experiencia, empieza a preguntarse, vale, puede que estemos empujando esta roca demasiado rápido. Déjame hablar con el equipo para ver si debemos repensar esto. Y, por cierto, volviendo a las preguntas sobre métricas, ¿cómo es el resto de mi cartera? Así que, cuando traemos proveedores, los categorizamos organizacionalmente para que pueda ir a cualquier VP funcional, SVP, o EVP en el camino y decir: "Oh, los proveedores que apoyan las operaciones clínicas es este grupo de proveedores y aquí está su puntuación de riesgo". Y luego tengo una discusión en torno a

Eric: y Eric: ¿hay áreas que pensamos que eran demasiado vulnerables o no. Ellos no conocen un número de cualquier otra cosa, pero la métrica que es rastreable es cuál es la calificación global de riesgo para el proveedor alineado por la organización para que el para que yo pueda tener una conversación con el jefe funcional y que puedan averiguar si necesitan cambiar algo en lugar de cuáles son los cuáles son los puntos de referencia los KPIs KIS KAS que de alguna manera justifican mi programa cibernético.

MIKE: Muy bien. Um usted sabe que vamos a ir probablemente otros cinco siete minutos Melissa Scott y luego vamos a tener algunas preguntas al final. Así que sólo un par más Eric y luego vamos a uh vamos a concluir. Esto ha sido impresionante por cierto. Um dime cómo evalúas a los proveedores de soluciones. Uh um sólo en general cuando usted está buscando en las cosas y cualquier cosa cuando usted está buscando en TPRM como usted sabe donde lo hicimos bien donde lo hicimos mal como pero sólo estoy interesado ¿cómo piensa usted acerca de traer y sé que todo el mundo utiliza la palabra socios pero ¿cómo lo que quieras llamarlos en su org lo que es lo que es importante para usted

Eric: Sí, así que voy a omitir una gran parte del tipo de negocio es el derecho es el socio no es por lo general una puesta en marcha porque no tenemos el apetito de riesgo que va a trabajar normalmente en esos espacios. Por lo tanto, suponiendo que el socio con el que estamos trabajando es realmente un negocio sostenible, es rentable, ha existido por más de un minuto caliente, bien, ahora podemos llegar a algunas otras cosas que son significativas. Para mí, una de las cosas más críticas es especialmente en el espacio TPR uh, ¿es esta cosa fácil de usar? ¿Esta bien? El valor que estamos obteniendo de los beneficios particulares de este producto son realmente buenos, incluso teniendo en cuenta que es una cosa compleja, ¿verdad? Así es como Cisco sobrevivió con el Catalyst OS hace años o iOS es una interfaz de usuario horrible, pero era para ingenieros de redes. Te aguantas y sigues con tu vida. Pero cuando se habla de algo como TPRM, donde vas a poner encuestas a los colegas de negocios o enviarlo a los proveedores, la cosa que hace que este trabajo es cuando se obtiene respuestas de vuelta. Si no es fácil de usar y muy intuitivo, no durará mucho. Así que esos son los que es una dimensión para decir sí quiero que sea fácil de usar por lo que obtenemos el compromiso por lo que obtenemos el cumplimiento. Um, ¿hay algo que el proveedor en particular ha hecho para ponerlo en marcha porque mientras que la derecha todos somos copos de nieve especiales que hay una gran cantidad de las preguntas que no son realmente sí que puede no ser la forma en que yo haría la pregunta prevalente no se construye la forma en que necesariamente podría construir si yo fuera el ingeniero de software, pero eso no importa realmente, ¿verdad? Y que esos 9 dólares te dan una taza de café en Starbucks.

Eric: Por lo tanto, es que es sólo una opinión. Entonces, ¿hay cosas con las que nos estamos poniendo en marcha para ayudar a hacer avanzar el programa sin tener que hacer ingeniería inversa de todo y y tratar de hacerlo avanzar? Y en este caso en particular, una de las cosas que miramos fue si hay servicios de aumento que si queríamos externalizar un elemento de la TPR y el programa a alguien como prevalente para hacer en nuestro nombre para perseguir a un proveedor entonces podemos derecho así que hay catálogos de datos pre-existentes hay oportunidades de externalización donde podemos pagar por alguien para saltar en sólo para proporcionar escalabilidad así que esas son las cosas, pero que la simplicidad fue uno de los primeros que fue el más significativo uh para nosotros.

MIKE: Y voy a hacer un montón de preguntas, así que quiero aumentar lo que has dicho, pero déjame preparar esto. Creo que deberíamos hacer una pausa y dejar a Scott un par de minutos. Dejemos que cualquiera que quiera escribir una pregunta lo haga. Pero ya tenemos cinco preguntas aquí. Así que, quiero hacer eso y luego podemos quedarnos para las preguntas. Eric, la última cosa que has dicho es que cuando se empieza un programa como este hay que arrastrarse, caminar y correr, y sé que es un cliché. Lo entiendo, pero hemos visto a toda esta gente y hemos hecho cientos de implementaciones. Son como yo tengo 500 proveedores de nivel. Empiezo con lo consumible. Construye un programa. Se trata de la memoria muscular aquí, amigos. Especialmente con el programa TPRM, no siempre es fácil y no siempre es intuitivo. Fue la competición del copo de nieve, ¿verdad? Todos piensan que son diferentes y no necesariamente lo son,

Mike: ¿verdad? Creo que hay de nuevo, es 8020. 90 85% de esto ha sido resuelto. Calcula tu 15%, ya sabes, mientras haces esto y hazlo en un entorno seguro. Y Eric, de nuevo, dime que estoy lleno de mierda. si quieres, pero como ¿dónde te ¿dónde te vienes abajo en eso?

Eric: No. Así que, así que yo estaría en gran medida de acuerdo. Creo que el sólo para ampliar en el rastreo, caminar correr por un segundo. Quiero que nuestros procesos empiecen gateando y se muevan rápido. Quiero que nuestros controles para empezar a gatear. No necesito el software para empezar a gatear.

Eric: ¿Verdad? Así que los diferentes aspectos comienzan en diferentes partes de la madurez. Al final Eric: o al final podemos cambiar algunas cosas. a medida que descubrimos cosas pero lo que realmente no hago en la mayoría de las organizaciones o lo siento cuando estoy adquiriendo tecnologías o control de procesos uh plataformas que si bien hay cosas que hacen que cytokinetics único de otra compañía farmacéutica y hay cosas que hacen que las compañías farmacéuticas único de otros sectores de fabricación al por menor al por mayor etc eso es que está en el borde de estas plataformas que son más amplios que eso. Así que podemos hacer cambios, pero no creo que vayamos a hacerlos en los primeros cinco días de una tecnología, ¿verdad? Vamos a ir vamos a ir un año, dos años y decir, oh, ¿sabes qué? Hay una optimización que tiene sentido para nosotros. Y estamos pasando por un poco de eso ahora con

Eric: en el mundo de la privacidad, a medida que esto se dispare, haremos algunos ajustes para decir que tenemos que hacer más preguntas sobre esto debido a los mercados en los que podemos elegir operar. Pero eso es un ajuste. No lo empezamos el primer día. Lo hicimos después de dos años de funcionamiento. No se puede comparar lo que no se tiene. Usted no sabe. Y está bien meter la pata. Mira, hemos estado haciendo esto por un tiempo. Me gustaría decir que he cometido todos los errores posibles. Así que, de acuerdo, vamos con Melissa. ¿Vuelve a ti para una pregunta o a Scott? Debería saberlo, pero no lo sé.

Vamos a seguir adelante y pasar a Scott. Vamos a ver. Wow, tiene un buen número de preguntas. Allá vamos. Um, así que Scott, es todo lo que en este momento.

Impresionante. Gracias, Melissa. Um, adelante y ve a la siguiente uh pantalla. Ya sabes, más o menos lo que hemos oído, bueno, no tan lejos de todos modos, pero a la anterior uh Scott: Sí, lo que escuchamos de Eric durante la conversación de hoy es realmente acerca de tomar un conjunto consistente de buenas decisiones basadas en datos sobre terceros a lo largo del ciclo de vida, eso es lo que estoy aprendiendo de la conversación de hoy y cuáles son los criterios que ustedes utilizan para tomar esas buenas decisiones o qué tipo de datos utilizan que sean consistentes con lo que muchos de nuestros clientes nos dicen que realmente quieren de su programa de gestión de riesgos de terceros. Proporcionarles datos que les ayuden a tomar decisiones acertadas. Ayudarles a aumentar la eficiencia del equipo y a derribar los silos que separan a los equipos y departamentos y las herramientas que se utilizan para tomar esas decisiones acertadas. Y en tercer lugar, preparar el programa para que evolucione y se amplíe a medida que cambien sus necesidades de evaluación de riesgos de proveedores y vendedores externos. Estas tres cosas son, en general, lo que nos dicen los clientes y lo que quieren experimentar. Siguiente diapositiva, por favor. Uh Melissa, y luego puedes construir esto uh una vez más. Eso es. Um, ese es nuestro enfoque, ayudarte a lograr esas tres cosas en cada etapa del ciclo de vida de la gestión de riesgos de terceros. Usted sabe, nosotros no vemos el riesgo sólo desde la perspectiva de la investigación de los proveedores y conseguir que a bordo y luego te vas. Se trata de analizar y remediar los riesgos en cada una de las etapas en las que pueden surgir problemas. Y eso empieza con el abastecimiento y la selección. Ya sabes, conseguir una buena automatización e inteligencia para tomar buenas decisiones basadas en el riesgo de un potencial nuevo proveedor o vendedor de la misma manera que estás tomando una decisión sobre si ese proveedor o vendedor es o no un buen ajuste de negocio o o adecuado para el propósito. En segundo lugar, en lo que se refiere a la admisión y la incorporación, le proporciona una única fuente de la verdad en términos de perfiles de riesgo de proveedores, procesos de admisión, contratación y flujos de trabajo de incorporación, de modo que puede ampliar este concepto fundamental de gestión de la relación con terceros a todos los diferentes grupos de la empresa que tienen algo que ver con el riesgo de terceros, no solo la seguridad, sino también las adquisiciones, la gestión de riesgos, el cumplimiento legal, etc. En tercer lugar, una vez que se ha seleccionado a un proveedor que se ajusta al perfil de riesgo y a la adecuación al propósito, y se han realizado algunas contrataciones e incorporaciones, ¿cómo se obtiene una imagen inicial del riesgo que ese proveedor en particular aporta al entorno, no sólo para realizar una clasificación inicial, sino también para determinar cuál es la estrategia de evaluación continua a partir de ese momento? Y lo hacemos a través de datos para calcular una puntuación de riesgo inherente. Y luego, una vez que el ejercicio de clasificación y perfilado y la categorización han concluido, lo que les ayudamos a hacer es automatizar el proceso de llevar a cabo la diligencia debida y las evaluaciones continuas de sus terceros en toda una gama de diferentes áreas de riesgo: seguridad, informática, cibernética, privacidad de datos, cumplimiento de múltiples regulaciones diferentes, tanto relacionadas con la seguridad como no relacionadas con la seguridad.relacionados con la seguridad antiiryc corrupción ya sabes lo que sea ESG financiera y luego consolidamos esa visión juntos en uh esa única fuente de la verdad en un solo perfil para ayudarle a tomar una buena decisión un registro de riesgo que puede entonces uh utilizar para tomar buenas decisiones sobre lo que para remediar uh lo que usted sabe está por debajo de un umbral de un rep umbral de riesgo con el umbral de riesgo y lo que tipo de reforzar con el proveedor y que nos lleva a la supervisión y validación etapa del ciclo de vida. Uh de nuevo lo que vemos es una gran cantidad de empresas que utilizan una herramienta cibernética, una herramienta financiera, una noticia de negocios o herramienta de actualización operativa o una herramienta ESG, una herramienta de reputación y todo eso produce una buena visión, pero muy rara vez es el tipo de armonizado juntos. Uh lo que nos especializamos en el trabajo, ya sea con sus soluciones existentes o la entrega de nuestra propia donde podemos armonizar los diferentes uh entradas de riesgo en un solo uh solución para que todos alrededor de la empresa tiene usted sabe su visión de los datos de la manera que lo necesitan uh de acuerdo a los riesgos que les importan. Hablando de los riesgos que les importan, como ya hemos mencionado, KPI y KIS, tenemos la capacidad de extraer datos KPI y KRI de los contratos cargados en la plataforma y ayudarles a asignar la propiedad y la medición a lo largo del proceso contractual. Y hablando del proceso contractual, como dijo Neil Sodaka, todas las relaciones terminan en algún momento.

MIKE: Iba a decir muy bien que sé que uno. Sí.

Scott: Um, pero todos, pero si usted tipo de terminar esa relación de negocios que usted sabe que le entregamos el uh usted sabe tipo de la lista de comprobación para offboard ese proveedor de forma segura para que usted sabe que usted está cerrando elementos fuera de línea recoger los pagos finales y asegurarse de que el acceso se termina adecuadamente. De nuevo, al final del día esas tres cosas en la parte inferior de la pantalla es lo que estamos ayudando a lograr. Acelerar y simplificar el proceso de incorporación con una única fuente de información y un único proceso. Agilizar ese proceso para la evaluación de riesgos. el ciclo de vida y cerrar las brechas en la cobertura y luego unificar esos equipos uh a través del ciclo de vida. Siguiente diapositiva por favor Melissa. Lo hacemos mediante una combinación de la experiencia de nuestro personal, que hace el trabajo duro de incorporación, evaluación, corrección y gestión de todas las fuentes de datos que hemos mencionado antes, todo ello alojado en una plataforma que automatiza el flujo de trabajo, los informes y los análisis para ayudarle a controlar el patrimonio de terceros. Siguiente diapositiva, por favor, Melissa. Um, abordamos múltiples tipos diferentes de riesgos. Tengo seis de ellos enumerados aquí en amplios dominios, áreas que están cubiertas en nuestra plataforma, ya sea a través de cuestionarios o a través de un seguimiento continuo. Pero lo importante es que esta información se correlaciona en un único perfil de riesgo operativo para ayudarle a tomar esas buenas decisiones basadas en el riesgo. Siguiente diapositiva, por favor, Melissa. Esta es la última. Una vez más, sólo un recordatorio de que al final del día, lo que estamos tratando de ayudarles a lograr es darles la inteligencia para que la organización sea más inteligente en su enfoque de la gestión del riesgo de terceros. Unificar los equipos, los sistemas y los procesos y, a continuación, ofrecer orientación prescriptiva para que la relación con el proveedor o la gestión de los riesgos en esa relación con el proveedor avancen a lo largo del ciclo de vida. Eso es todo desde nuestra perspectiva.

Melissa: List pitch back over to you Mike uh Eric question time.

Melissa: Um sí voy a seguir adelante y lanzar nuestra segunda encuesta. muy rápidamente. Así que en su pantalla verá que al parecer no está funcionando en mi extremo. Así que eso es impresionante. Dame dos segundos. Tal vez tengo que terminar la primera encuesta. Muy quisquilloso hoy. De todos modos, um tengo curiosidad, ya sabes, ¿están buscando aumentar o establecer un programa TPRM en los próximos meses? Por favor, sean sinceros. Esto es algo que seguimos. Um usted verá una llamada mía o un correo electrónico o unos pocos. Así que ya sabes, respóndeme por favor. Pero quiero saber genuinamente si lo estás y si no estás seguro, pon eso también. Pero mientras tanto, sé que tenemos algunas preguntas. Así que Eric, si no te importa, ya sabes, responder a algunas de ellas. Sé que hay un buen puñado um y ya que sólo tenemos tal vez cinco minutos a la izquierda, ¿quieres elegir uno o dos que se adhieren a usted uh más que los demás?

Eric: Sí, en realidad voy a rebotar a través de todos ellos. Así que tuve que Fue bueno que Scott hiciera el lanzamiento porque me da un momento para pensar en las preguntas. Así que primero, gracias por las amables palabras. Um, voy a responder a la pregunta de Karen y el trabajo de la pila. Um, así que Karen, sólo para la nuestra, independientemente de lo que usted sabe, Prevalente va a decir, nos integramos Bitsite con prevalente. Así que Bitsite proporciona una especie de visión técnica externa de la puntuación de crédito. Pero también usamos las capacidades de VRM dentro de Prevalent para obtener una visión empresarial de una organización externa. Así que, pero, pero Bitside y eso se conecta. De hecho, puedes ver las puntuaciones de Bitside dentro del tablero de prevalent. hay una integración que es algo de lo que pueden hablarte específicamente. Um no tengo que uh uh a la cuestión de la transferencia o el cambio de herramientas TPRM. No tengo esa experiencia en particular. Podría decirte cómo enfocaría el problema si un regulador quisiera venir a preguntar o una agencia de inspección quisiera preguntar. Mi enfoque general sería que lo que rige nuestra gestión del riesgo de terceros no es la herramienta. Lo que rige nuestra gestión del riesgo de terceros es un conjunto de políticas, procesos, procedimientos y controles. Estos se apoyan en una herramienta. Por lo tanto, vamos a centrarnos en los procedimientos normalizados de trabajo y los controles, y vamos a automatizarlos de una manera que tenga sentido para nosotros como empresa. Y así es como manejamos el riesgo. Aquí está quién tiene que aprobar el riesgo. Esto es lo que llega a aceptar el riesgo. Por lo tanto, esa es la discusión que generalmente cambiaría con cualquier tipo de agencia inspectora si se preocupan tanto por el conjunto de herramientas en particular. Um, con respecto a la cuestión de los registros de riesgo, um, por lo que nos centramos y hemos tenido este tema un par de veces, pero nuestro enfoque es que se trata de la vigilancia y la gestión de un tercero. No se trata de gestionar un servicio. No se trata de gestionar un conjunto de herramientas. Por lo tanto, nos fijamos en el tercero. Por lo tanto, si tengo la pregunta de si tengo un proveedor que presta dos servicios dentro de la organización, ¿cómo podemos pensar en ello en el sentido de la gestión de riesgos? En general, si tienen una parte de la organización que está gestionando un nivel más bajo de sensibilidad de los datos, por ejemplo, y luego otra parte que tiene un nivel más alto de sensibilidad de los datos, simplemente los ponemos en el nivel más alto. Así que si tienen la especificación de operaciones de sistema más sensible, la ponemos en la clasificación de datos más sensible y la gestionamos a nivel de proveedor, no a nivel de departamento. Um y luego con respecto a los registros de riesgo, tenemos niveles oficiales de nivel de aprobación que son uh esbozado en un SOP. Así que tenemos un par de registros de riesgo uh que nos ocupamos. Uno es el perfilado y tarado y luego tenemos el maestro que es donde casi todo el riesgo de evaluación pre-planificado se cae en. Uh y entonces nuestro SOP dicta quién consigue firmar o quién tiene que firmar y aceptar un riesgo. Um y que hacemos un seguimiento a través de acciones y tareas dentro de la plataforma para uh para hacerlo. Um Por lo tanto, espero que creo que fue la respuesta, una respuesta rápida a cada una de esas preguntas. Puedo proporcionar más detalles si la gente quiere, pero eso es creo que tipo de llegar hasta allí.

Perfecto. Y creo que acabo de ver uno más emergente hace unos cuatro segundos. Um, ¿puedes ver ese? Los vendedores de empresas no públicas. ¿Cómo se altera tu DD? No estoy segura de si quieres responder a eso.

Eric: Vendedores de empresas no públicas. Um, déjame pensar en eso por un segundo. Así que.., no sé el acrónimo, no puedo contextualizarlo, pero creo que entiendo la idea central de la pregunta.las empresas no públicas en última instancia, no llegamos a ver nada que haya estado disponible públicamente, sin embargo, hay cosas que usted puede ir después si quería oh diligencia debida, gracias, se lo agradezco um, sí, así que parte de eso es la evaluación en sí misma, así que pedimos a la empresa que atestigüe, no hacemos inspección, no hacemos auditoría, así que trabajamos con las empresas y les damos la oportunidad de auto atestiguar y hablar de lo que están haciendo y cómo lo comprobamos. Pero en ese momento, nos fiamos de su palabra. Habrá otras cláusulas contractuales que traten de la aplicación. No hemos llegado a un lugar donde estamos haciendo la inspección de auditoría real para hacer la confirmación de lo que están tratando de uh lo que están tratando de hacer. Um, por lo que con los no públicos, todavía es el mismo enfoque. Es posible que pidamos un certificado de seguro adicional para la responsabilidad cibernética o general de la empresa para asegurarnos de que lo vemos, porque dejaremos que las compañías de seguros hagan parte de esa diligencia debida por nosotros, pero así es como lo hacemos en general en este momento.

Perfecto. Bueno, te agradezco tu tiempo, Eric. Um, sé que estás ocupado y Mike y Scott, muchas gracias. Y lo más importante, gracias a los que hicieron preguntas. Um, que estaba destinado a ser muy interactivo y, um, estamos en la parte superior de la hora en mi reloj. Así que, um, me adelanté y acabo de escribir mi correo electrónico en caso de que haya alguna pregunta. Sé que hay como un [email protected], pero que uno es mi directa si usted sabe que hay alguna pregunta después de esto. Y espero veros a todos en un futuro webinar y cuidaros todos. Gracias a todos.

MIKE: Gracias Eric.

Cuidaos, chicos.