Descripción
Si usted es responsable de gestionar el riesgo de los proveedores, entonces tiene mucha responsabilidad sobre sus hombros. Probablemente tenga las cicatrices de procesos de evaluación manuales largos y tediosos, pero eso es solo el comienzo. Si tiene la suerte de recopilar datos útiles, entonces se encargará de todo, desde puntuar y priorizar el riesgo hasta gestionar el proceso de corrección y comunicar los resultados. Incluso los equipos con buen personal y financiación pueden tener dificultades con la TPRM.
Afortunadamente, no tiene por qué hacerlo solo. Únase a Keith Lichtenwalner, director sénior de Gestión de Riesgos de Seguridad y Gobernanza en Pfizer, y Brenda Ferraro, vicepresidenta de Riesgos de Terceros en Prevalent, quienes compartirán herramientas útiles para madurar su programa de TPRM.
Durante el seminario web aprenderás a:
- Evalúa el nivel de madurez de tu programa.
- Perfiles y niveles de evaluación diagnóstica.
- Aplicar el protocolo de tratamiento de riesgos para la escala y el cumplimiento.
- supervisar el éxito
- medir continuamente el progreso
- reciba terapia de su sistema de apoyo
Altavoces
Keith Lichtenwalner
Gerente sénior de Gestión de Riesgos de Seguridad y Gobernanza en Pfizer
Brenda Ferraro
Vicepresidente de Riesgos de Terceros en Prevalent
Transcripción
Peter Schumacher: Muy bien, bienvenidos y gracias por participar en nuestro seminario web de hoy. «Sanar las heridas de la gestión de riesgos de terceros», con Keith Likton Walner. Keith es director sénior de gestión de riesgos de seguridad y gobernanza en Fizer. También nos acompaña hoy Brenda Ferraro, de Prevalent, nuestra vicepresidenta de riesgos de terceros. Mi nombre es Peter Schumacher. Soy el anfitrión del seminario web de hoy. Antes de comenzar oficialmente, tengo que tratar un par de cuestiones de organización. En primer lugar, les recuerdo que todas las líneas de los asistentes están silenciadas. Lo hacemos para reducir el ruido de fondo, como ladridos de perros, gritos de niños y, mi favorito, descargas de inodoros. Sin embargo, con el fin de que esta sesión sea interactiva, les invitamos a que envíen sus preguntas a través de la consola de Zoom. Por favor, háganlo. Si el tiempo lo permite. Al final de la hora, vamos a organizar una sesión de preguntas y respuestas en directo. El seminario web de hoy se está grabando y tenemos previsto enviarle la grabación a su bandeja de entrada mañana por la mañana. Sé que no se han unido para ver mi cara o escuchar mi voz. Así que, en este momento, me gustaría ceder la palabra a Brenda y Keith. Muchas gracias por acompañarnos hoy. Brenda, por favor, adelante.
Brenda Ferraro: Gracias. Estoy segura de que todos nos sentimos un poco animados y estamos buscando el equilibrio entre nuestra nueva vida laboral y personal. Antes de empezar, me gustaría expresarles a todos ustedes, en nombre de Prevalent y de Keith, nuestros más sinceros deseos. El seminario web de hoy va a ser presentado por Peter. Creo queno tienes el micrófono silenciado, quizá quieras silenciar tu teléfono. Allá vamos. El seminario web de hoy va a reunir a aquellos de vosotros que estáis empezando a descubrir o que ya sabéis que el riesgo de terceros es un tipo de situación evolutiva en la que, durante el último año, han cambiado muchas cosas. Muchas empresas han presentado formas de abordar cómo os encontráis en ese viaje y la madurez. Así que lo que Keith y yo decidimos hacer fue organizar este seminario web y, como yo solía trabajar en el sector sanitario y Keith trabaja actualmente en el sector farmacéutico y sanitario, elegimos un tema relacionado con la atención sanitaria y hablaremos de los procesos de los pasos lógicos que normalmente se dan si, por ejemplo, vas al hospital. Te harían un triaje. Te identificarían con un diagnóstico. Luego tendrías protocolos para curar esas situaciones, apoyo, algunas de las métricas y las máquinas que te dirían si vas por buen camino o si necesitas reiniciar. Pero estoy seguro de que, como dijo Peter al principio, no estás aquí para escucharle a él. Tampoco estás aquí para escucharme tanto como a Keith. Así que vamos a pasar rápidamente a las presentaciones. Keith, tú conoces a mucha gente, pero probablemente haya algunas personas en esta llamada que no te conocen. ¿Podrías hacernos una breve presentación de tu trayectoria y tu carrera, lo que haces hoy en Fiser y quizá algún dato curioso?
Keith Likenwaller: Claro. Eh, me llamo Keith Likenwaller. He pasado unos 15 años en el ámbito de las infraestructuras de las empresas Fortune 500, prestando servicio a casi todos los equipos que se puedan imaginar en cualquier empresa o gestionando esas organizaciones. En 2004 me propusieron crear un departamento de gestión de riesgos en una empresa Fortune 500, lo que supuso el inicio de mi carrera profesional, y uno de mis primeros retos fue establecer controles de riesgo para nuestros terceros. Así que llevo más de 16 años trabajando en este ámbito. Y en ese recorrido... Creo que hoy oirán muchas cosas que, ya saben, todos luchamos las mismas batallas. Han sido diferentes en los distintos sectores y empresas en los que he estado a lo largo de ese recorrido. Espero que algunas de las ideas que compartiremos hoy os ayuden a tranquilizaros y a daros cuenta de que estáis luchando contra lo mismo que todos los demás. También os daré algunas ideas sobre cómo abordar algunos de esos retos difíciles mientras seguís llevando vuestro programa y vuestras actividades en una dirección positiva. Como dato curioso, algunas de mis cosas favoritas son las actividades al aire libre, especialmente en el bosque. Así que paso mucho tiempo con los jóvenes de hoy en día en el programa de scouts. Pero también he sufrido heridas por ello. Me han picado docenas de veces, incluso este fin de semana, algunos de esos avispones que hay en el bosque, que juro que son mucho más potentes que los que se encuentran en la comunidad local. Así que ha sido una herida difícil para mí.
Brenda Ferraro: Muy bien. Gracias por la información. En cuanto a mí, me presentaron rápidamente al principio. Soy la vicepresidenta de riesgos de terceros en Prevalent. He trabajado en Charles Schwab, eBay, PayPal, Etna y en diversas comunidades con el objetivo de ayudar a las empresas a madurar su programa de riesgos de terceros, centrándome en las decisiones sobre datos de riesgos y en cómo aprovechar la plataforma Prevalent. Soy prácticamente la voz entre el cliente y el producto, para que puedan comunicarse entre sí y hacer lo correcto. En cuanto a una curiosidad sobre mí, yo también soy una persona amante de la naturaleza. Mucha gente no lo cree, pero me encanta salir a pasear y hacer senderismo entre los árboles y el bosque o junto a los arroyos. Y soy muy alérgico a las hormigas. Así que, si tienes un problema con las avispas, yo puedo estar de pie en un sitio, sin mirar al suelo, y al oír el ruido de una hormiga al morir, se desata el caos. Así que, lo que vamos a hablar hoy con respecto a los límites y a ser proactivos con... asegurándonos de que, si ocurre algún incidente, sabemos lo que tenemos que hacer de antemano. No hace falta decir que, con cualquier programa de riesgos, existe la posibilidad de que te piquen. Así que, vamos a daros algunas de esas ideas y técnicas para ponerlas en práctica en el futuro. Keith, lo primero, por ejemplo, es cómo hablamos del hospital: vas al hospital y te hacen un triaje para averiguar cuál es el problema. Eso es si no tienes que ir directamente a cirugía. ¿Cuáles son los diferentes tipos de técnicas de triaje que utilizaste para la madurez de tu programa con el fin de comprender exactamente lo que necesitabas para evolucionar o madurar desde la perspectiva de las herramientas o técnicas de talento?
Keith Likenwaller: Claro. Gracias, Brenda. Creo que lo más importante del triaje, en mi opinión, es rodearse de las habilidades adecuadas. Las habilidades necesarias para hacerlo. Voy a poner algunos ejemplos muy concretos. En primer lugar, para mí, clasificar significa rodearse de personas que están tratando de alcanzar y llevar su programa a los niveles que tú sueñas alcanzar. Por lo tanto, encontrar a alguien con un programa más sólido que el tuyo es excelente. Encontrar personas que están librando las mismas batallas que tú, excelente. Encontrar socios que realmente puedan ayudarte a conquistar el canal que ha ayudado a otros a madurar. Eso también es un paso excelente. Por lo tanto, en mi opinión, si buscas madurez y cómo clasificar tu programa, el objetivo principal es salir ahí fuera y encontrar buenos socios y buenas personas en otras empresas similares, tanto dentro como fuera de tu sector, con las que puedas intercambiar ideas, discutir retos y utilizar esas ideas para clasificar tu ejemplo. Me encanta tener socios con los que puedo compartir las cosas que son repetibles y que han madurado en nuestro entorno, como las colecciones de cuestionarios, etc., y externalizar esas actividades para poder centrar a mi personal principal en las actividades que van a remodelar y llevarnos a nuevos niveles de madurez. Creo que es muy importante pensar en diferentes formas de abordar las cosas, porque sin cambios, este entorno es uno que pensé que iba a madurar cuando empecé en él. Creo que todavía se encuentra en muchos aspectos en una fase incipiente de madurez que hay que impulsar. Los retos de la gestión de datos, etc., siguen aumentando.
Brenda Ferraro: Sí. Creo que una de las cosas interesantes del triaje es que, cuando tienes un programa y estás empezando desde cero o en una fase muy temprana, muchas empresas utilizan hojas de cálculo, lo que puede resultar muy tedioso. Por lo tanto, automatizar esa recopilación es una cosa. Y me gustó cómo mencionaste el hecho de que ponerse en contacto con otros compañeros con ideas afines que pueden ayudarte a aprender de lo que están haciendo, en comparación con cosas en las que quizá no hayas pensado, también es algo realmente clave para madurar tu programa. Y luego realizar evaluaciones maduras de tu programa para ver dónde te encuentras dentro del sector o para ti mismo, de modo que puedas determinar en qué áreas centrarte para obtener el mayor retorno de la inversión. ¿Estás de acuerdo con eso?
Keith Likenwaller: Por supuesto que sí, y añadiría otra cosa más. Creo que existe la falacia de que hay que hablar con personas de tu mismo tamaño o del mismo sector. En realidad, creo que se obtiene más beneficio haciendo lo contrario. Creo que he aprendido más de las pequeñas y medianas empresas que se enfrentan a los mismos retos. Ya sabes, al tener el privilegio de estar en una gran empresa, el reto es que la automatización se vuelve aún más crítica. Porque estamos hablando de cientos de miles de posibles compromisos que debemos asegurarnos de que se ajustan a nuestra propensión al riesgo. Pero los retos en una empresa mediana no son diferentes. Puede que solo tengan cien proveedores, pero la respuesta es que tienen muchos menos recursos. Para hacerlo. Por lo tanto, todos esos mismos factores son necesarios para crear un programa de automatización que reevalúe tus escenarios, tu situación, y que realmente sea capaz de determinar rápidamente si este es un espacio en el que quiero invertir un poco de tiempo para asegurarme de que está bien o si quiero desvincularme. ¿Necesito profundizar? Porque es muy importante para el éxito de la empresa y los objetivos del negocio.
Brenda Ferraro: ¿Verdad? Estoy de acuerdo. Pasemos al siguiente escenario. IO. Has hecho un gran trabajo al asegurarte de saber dónde se encuentra tu programa dentro de tu propia empresa. Has identificado algunas de las áreas que requerirían mejoras desde una perspectiva general del programa. Pero una vez que hayas terminado con esa clasificación de tu programa y tus indicadores de rendimiento, ¿cómo diagnosticas con qué evaluaciones empezar, qué perfiles utilizar, cómo determinar tus niveles o qué es lo que realmente merece la pena arriesgar? ¿Qué hiciste para eso?
Keith Likenwaller: Sin duda, es todo un viaje. Pero lo que hice fue aprovechar las conversaciones con compañeros y socios de otros sectores para preguntarles: «¿Qué factores utilizan para identificar los riesgos?». Creo firmemente que, si se quiere establecer los niveles de riesgo, hay que sentarse con la empresa, reunirse con los compañeros y recopilar todos los datos posibles para preguntarse: «¿Qué listas tenemos? ¿Qué factores desencadenantes tenemos de los que podríamos obtener datos? Y lo que he descubierto a lo largo de este viaje, especialmente en los últimos años, es que este ha sido un ámbito que, en mi opinión, ha recibido mucha atención para hablar de la eliminación de las diferencias lingüísticas entre empresas. Sin duda, hay algunos temas recurrentes. Los temas que veo que realmente destacan y que son muy útiles son, en primer lugar, los registros del cortafuegos. Muchas empresas tienen diferentes programas de cortafuegos que las conectan con sus socios, etc. Y pueden llamarlos como quieran, pero la respuesta son esas reglas por las que se conectan dos empresas. Es un lugar bastante importante para hacer un seguimiento de la conectividad y comprobar si ese socio al que ahora estás dejando entrar en tu empresa está operando en un entorno seguro. Veo que lo estás evaluando adecuadamente. Eso es solo un ejemplo, pero hemos hecho cosas para sentarnos con una empresa y decir cuáles son los productos de fabricación que generan los mayores ingresos. Asegurarnos de que entendemos la cadena de suministro desde el principio hasta que nos pagan. Analizar toda la cadena de suministro y todos los proveedores involucrados en esos pasos críticos. Además de volver atrás y analizar los datos de su programa DLP si tiene algún tipo de capacidad de análisis de tráfico externo. Mira lo que sale de tu sistema de correo electrónico. Comprende lo que fluye y observa con qué empresas probablemente interactúas en grandes volúmenes y/o con información altamente confidencial. Esto realmente puede indicarte dónde probablemente quieras asegurarte de tener una comprensión clara del nivel de riesgo con el que estás operando. Estos son solo algunos ejemplos, pero descubrí que hay muchos temas cuando empiezas a hablar con otras personas sobre lo que les motiva. Ves temas de cumplimiento normativo. Pero cuando todo el mundo dice: «Bueno, ¿cuáles son mis principales proveedores?», algunas de estas otras cosas que he mencionado me parecen formas estupendas de obtener datos, tomar las listas, compartirlas con las personas adecuadas dentro de la empresa, discutirlas y luego poner en marcha las capacidades de tu programa contra las que tengan sentido.
Brenda Ferraro: Sí. Me di cuenta de que, cuando empezamos a trabajar juntos como compañeros, tenías un modelo de clasificación de la información, un enfoque de tarado y controles clave que eran muy importantes para tu organización. ¿Crees que eso está cambiando en lo que respecta a cómo tenemos que conciliar la vida laboral y familiar y trabajar desde casa, o crees que los controles que tenías siguen siendo válidos y estás añadiendo un par más solo para facilitar esos mecanismos de gestión y mitigación de riesgos para esos otros elementos?
Keith Likenwaller: Lo que estoy descubriendo es que, a medida que maduramos, comprendemos realmente los riesgos que son importantes para nuestro negocio actual. Esto cambia los proveedores que quiero tener en cuenta, pero los controles están resistiendo el paso del tiempo. Creo que los controles básicos o la higiene son controles que realmente hacen bien lo básico y están preparados para responder si se produce un incidente, lo cual sigue siendo una filosofía que, en mi opinión, se ha ido revelando como una buena empresa.que las aplique, estará en una buena posición, y yo quiero asociarme con empresas que sigan las mejores prácticas del sector, se mantengan fieles a esos controles básicos y estén preparadas para responder en caso de que se produzca un incidente o ante la probabilidad de que todo el mundo tenga un incidente en algún momento. La forma de responder es realmente importante.
Brenda Ferraro: Y en cuanto a los controles clave, ¿utilizaste un cuestionario estándar o utilizas varios cuestionarios e información sobre amenazas para identificar los riesgos?
Keith Likenwaller: Empezamos con un cuestionario clave que es habitual en nuestro sector. Creo que es un buen punto de partida. Pero creo que, con el paso del tiempo, vamos madurando y avanzando para poder manejar múltiples cuestionarios, porque hay tantos proveedores con los que trabajas, tantos socios con los que trabajas, y yo los veo como sinónimos, y si tienen, por ejemplo, una luz SIG completada, lo importante para el negocio es saber qué controles son motivo de preocupación para el debate y qué no vale la pena debatir porque parece estar en una posición sólida. Cuanto antes lo averigües, más podrás ayudar a tu empresa a alcanzar el objetivo que se ha marcado. Así que, para mí, hay que utilizar cualquier cuestionario que se pueda, pero hay que ser consciente de que solo hay ciertos cuestionarios que estás preparado para analizar y revisar rápidamente. Sin embargo, si el proveedor o socio tiene un SIG o uno diferente, y usted está familiarizado con él, utilícelo, ahorre tiempo y vaya rápidamente a los controles que debemos debatir en este compromiso y que suponen un riesgo para su negocio.
Brenda Ferraro: Sí. Por lo tanto, los controles compensatorios de aceptar la recopilación de información de otras normas que tienen un contexto aplicado a esos elementos para una relevancia significativa. Estoy completamente de acuerdo con eso. Así que creo que Keith, en este momento íbamos a preguntar a los oyentes si había alguna técnica que pudieran estar utilizando para esta área concreta de fortaleza o que estuviera emergiendo con más fuerza y que quisiéramos comentar. Así que, en tu cuadro de chat, Peter, si no te importa, mira a ver si alguien introduce alguna otra técnica que haya estado utilizando para la evaluación de perfiles, la determinación de niveles, el uso de enfoques compensatorios para controles como la recopilación de cuestionarios o la recopilación de información, y asegurarse de que las cosas sean significativas y relevantes para el tipo adecuado de diligencia debida. Así que, Peter, avísanos si recibes algo en los próximos minutos, pero Keith y yo lo meditaremos. Hasta entonces, si nos necesitas.
Peter Schumacher: Sí.
Peter Schumacher: De acuerdo, te lo haré saber.
Keith Likenwaller: Sí, Brenda, añadiré otro espacio que nos ha resultado muy valioso para encontrar datos mientras la gente piensa y aporta ideas. Muchos no se dan cuenta de la gran cantidad de datos que hay en cualquier sistema de órdenes de compra que utilicen, ya sea Oraba o cualquiera de los otros principales. Si utilizan cualquier tipo de sistema de órdenes de compra o su departamento de compras realiza un seguimiento de las empresas más pequeñas, fíjense bien en ello. Hay muchos datos sobre el tipo de material que proporciona una empresa. Hoy en día, los sistemas más grandes están muy estandarizados, lo que puede ayudarte a encontrar palabras clave para ambas empresas. No vale la pena dedicarle tiempo. El valor real de un riesgo cibernético contra, digamos, el servicio de corte de césped, no está ahí. Pero, del mismo modo, he encontrado en algunos de esos análisis de órdenes de compra algunas joyas de información sobre zonas de nuestra empresa en las que puedo encontrar la lista de proveedores que la empresa ni siquiera sabe que tiene. Por lo tanto, buscar esos datos puede ser muy valioso. También hemos descubierto algo al examinar esos datos. No soy muy partidario de hacerlo estrictamente en función de la cantidad de dinero gastada. Porque a veces la empresa más pequeña con un contrato pequeño puede suponer un riesgo enorme. Pero a veces hay que recortar en algún sitio este año. Así que no hay que tener miedo de decir: «Voy a mirar primero los de mayor importe y luego profundizaré un poco más en otros criterios». Creo que para crear un programa de clasificación realmente eficaz hay que flexibilizarlo cada año y asegurarse de que así se está analizando el negocio desde diferentes perspectivas. Así que hacemos un seguimiento cuidadoso del análisis que hemos realizado y de cómo lo hemos activado, para poder ver realmente qué aspectos de los datos no hemos tenido en cuenta y que podrían aportarnos una zona de aplicación que no hemos vigilado lo suficiente. Se trata, por tanto, de encontrar el 10 % o el 20 % de su flota de proveedores y socios que son realmente importantes para el éxito de su empresa.
Brenda Ferraro: Sí, Peter, ¿recibimos algo?
Peter Schumacher: Parece que esta mañana tenemos un público bastante tranquilo. Lo cual es sorprendente, porque hay bastante gente aquí, pero bueno, nadie quiere compartir ejemplos de cómo identifican a sus proveedores críticos. No se preocupen, tenemos mucho de qué hablar. Esperamos que haya otras oportunidades dentro de nuestro tiempo. Otro tema del que tenemos que hablar es, por supuesto, los protocolos de tratamiento. Muchos de nuestros clientes, o con los que he hablado, dan mucha importancia a la escalabilidad y el cumplimiento normativo. Peter, ¿cómo estás abordando y haciendo un seguimiento de todo lo que la empresa está reteniendo o entendiendo sobre cómo escalar todo el trabajo que hay que hacer? Porque hay mucho.
Keith Likenwaller: Sin duda, hay muchos. Y ese es un problema que todas las personas con las que hablo, desde pequeñas y medianas empresas hasta grandes compañías, expresan la misma preocupación. Creo que hay un par de aspectos fundamentales para el éxito de un programa que hay que alinear con el liderazgo. El primero es mantener la responsabilidad con la empresa. Al fin y al cabo, los riesgos de ciberseguridad y las evaluaciones de los proveedores y socios tienen como objetivo ayudar a la empresa a tomar buenas decisiones. Siempre me gusta decir que la ciberseguridad es uno de los 18 riesgos que deben gestionarse con un buen socio o un tercero. Y, a veces, la decisión correcta para la empresa es decir que vamos a asumir cierto riesgo en materia de ciberseguridad porque los proveedores son únicos y excelentes en otros aspectos que la empresa necesita. Y eso es algo que realmente debe ser responsabilidad de la empresa. Así que establezca eso primero, piénselo bien y acuerde eso con su dirección. Teniendo esto en cuenta, creo que es fundamental intentar que todo sea lo más reutilizable posible. Evaluamos a los proveedores de forma individual. Y luego aplicamos esa evaluación a múltiples compromisos que podamos tener con el mismo proveedor o socio. Lo que significa que, si fallan, tenemos un indicador adelantado de que están fallando en un determinado control que consideramos inadecuado para nuestras expectativas normales. Puede que no se aplique al primer compromiso con ese proveedor y eso está bien, pero seguiremos mostrando ese control como una brecha de control, como un riesgo que existe. Digamos que no es aplicable a ese compromiso actual, pero cuando llegue el siguiente compromiso, tendrán que plantearse la misma pregunta. ¿Han fallado en ese aspecto concreto? Esta es una forma de analizar realmente la escalabilidad, así como de asegurarse de que se cumplen los compromisos y las actividades en curso que se están llevando a cabo en ese momento.
Brenda Ferraro: Sí, creo que, desde el punto de vista de la auditoría, cuando nos planteamos recopilar información, queremos que sea visible para los diferentes departamentos. Por ejemplo, si el departamento de compras quiere saber si estoy evaluando a cinco terceros diferentes para realizar un proceso de selección, quiero poder ver lo que necesito saber sobre la carga pesada después de seleccionar a ese tercero en particular, si es que va a haber una carga. para ayudarles a llevar su postura de seguridad al nivel de madurez de su empresa. La otra cosa son los acuerdos de nivel de servicio. Por lo tanto, es necesario disponer de indicadores clave de rendimiento e indicadores de riesgo para saber cuánto tiempo se tarda en recopilar información o con qué rapidez se mitigan los riesgos. Esos son aspectos que también tendríamos que tener en cuenta para el cumplimiento normativo. Pero la responsabilidad de la que hablas en relación con las unidades de negocio no todas las empresas la tienen. Su equipo de gestión de riesgos de terceros sigue asumiendo la responsabilidad y recorriendo ese camino. Tú y yo hemos tenido suerte en algunas de las empresas en las que hemos trabajado, porque las unidades de negocio ya reconocían que debían asumir la responsabilidad de ayudar con esa pesada carga, si la había, en materia de seguridad y mitigación de riesgos, pero hay otras que no lo hacen. Entonces, ¿qué técnica utilizaste para cambiar la cultura de las unidades de negocio y/o de adquisiciones para que asumieran la responsabilidad de la selección o la mitigación de riesgos?
Keith Likenwaller: Sí, Brenda, eso es absolutamente cierto. Hay una técnica que, por así decirlo, he descubierto por casualidad y que me encantaría que otros pudieran aprovechar. La técnica gira en torno a, en el caso de la gestión de riesgos de terceros, asegurarme de incorporar a mi programa y a mi conjunto de herramientas a personas con experiencia en el mundo de los negocios. Irónicamente, tengo una amplia experiencia en la gestión de restaurantes y en ayudar a mi esposa a gestionar funerarias en el pasado. Pero esa experiencia orientada a los negocios me ha permitido adoptar un enfoque diferente cuando yo o mi organización evaluamos un riesgo al completar la evaluación. No se limita a decir que este control es deficiente. Realmente pasamos al siguiente nivel, en el que decimos que este control parece ser inadecuado para nuestras normas. Así es como este control podría manifestarse en un problema, no solo desde el punto de vista del cumplimiento, sino también desde el punto de vista operativo. Y lo que he descubierto con el tiempo al explicar a la empresa con ejemplos, incluso de las cosas más simples, es que esta empresa carece de un programa sólido de gestión del cambio y cómo eso podría perjudicarles desde el punto de vista operativo. Lo que significa que son más propensos a realizar un cambio que realmente causaría una interrupción. Son más propensos a estar inactivos durante un período de tiempo más largo porque no tienen un registro para ver cuáles fueron los últimos tres cambios realizados. De repente, la empresa se interesa por decir que realmente le importan estos controles cibernéticos. Y eso les permite empezar a comprometerse. Así que, incluso si no tienes el compromiso de que la empresa sea responsable, a veces la forma en que transmites la respuesta al riesgo puede ayudarles a sentir más responsabilidad y compromiso, y ahí es donde puedes empezar a hacer que se produzca ese cambio cultural y ellos asumirán más responsabilidad de liderazgo porque sienten que realmente están en riesgo.
Brenda Ferraro: Sí, creo que tienes mucha razón en lo que respecta a que el conocimiento es poder y a presentar el contenido de los riesgos en un formato fácil de digerir, como por ejemplo un informe resumido de riesgos para decirles: «Esto es lo que hemos encontrado y esto es lo que vamos a mitigar», y luego empezar a informar a esas unidades de negocio para decirles: «Sabéis, tenemos todos estos proveedores diferentes que os prestan servicios». Aquí es donde son débiles. Aquí es donde son fuertes. Aquí es donde tienes demasiados proveedores que prestan el mismo servicio, algunos de los cuales tienen una postura de seguridad madura y otros no. Por lo tanto, esos informes y métricas son realmente importantes. Hablemos del seguimiento del éxito, Kri y los KPI. ¿Qué aspectos se tienen en cuenta en Fizer para saber si es necesario ajustar o mejorar el programa o si los riesgos parecen estar descontrolados y no se están atendiendo?
Keith Likenwaller: Sí. Hay un par de cosas que me gustaría dejar claras con respecto a esto. Um, supervisar el estado de la organización, eh, del programa y cómo funciona. Lo primero es que cualquier programa de métricas me parece mucho más sencillo de crear cuando empiezas a decir: «Vale, todo el mundo dice que hay que tener acuerdos de nivel de servicio (SLA), y los tienes, pero piensa también que necesitas algunas métricas que te ayuden tanto en las actividades operativas, como saber cuántas solicitudes estás recibiendo, si estamos recopilando las solicitudes en un plazo de dos semanas al menos el 50 % de las veces. Es necesario establecer esos objetivos y comprender cómo medirlos a nivel operativo. Pero también hay que dar un paso atrás y ver qué se puede hacer para asegurarse de que se está analizando más el nivel estratégico, que es el que realmente se compartiría con los altos directivos o incluso con el consejo de administración. Algunas de estas pueden ser bastante sencillas, como ver si estamos teniendo éxito si dijimos que había 400 proveedores con un nivel de riesgo adecuado para revisar, ¿estamos recibiendo al menos el 90 % de ellos? Una de las cosas que he aprendido a lo largo de mi trayectoria, y no importa con qué empresa haya hablado o en qué empresas haya dirigido el programa, es que conseguir que los proveedores respondan es difícil. Es una batalla cuesta arriba. Los contactos de la empresa con ese proveedor cambian constantemente. Los contactos del proveedor cambian constantemente. Los compromisos en los que estamos involucrados con una empresa determinada cambian cada día. Y el número de casos especiales con los que te puedes encontrar es infinito. Por lo tanto, hay que establecer expectativas realistas con los directivos y decirles: «Oigan, voy a decir que hay 400 que quiero ver, pero es posible que solo consiga 300». Y habrá docenas de razones para esos otros cien. Y puedes gastar todos tus recursos en rastrear y perseguir esos últimos cien y marcar la casilla de cumplimiento. Voy a conseguir todos y cada uno de ellos. O puedes decir: «Un momento. ¿He agotado el riesgo hasta un grado razonable y me conviene más empezar a gastar mis recursos en otro lanzamiento de un espacio que no he examinado antes?». Y tengo mucho cuidado de detectar cuándo estoy obteniendo rendimientos decrecientes de mis recursos. Por lo tanto, es importante disponer de métricas que controlen eso, que controlen dónde estás invirtiendo tu tiempo y que te hagan dar la vuelta y decir: «Un momento, creo que ya he llegado lo suficientemente lejos aquí. Aunque no haya completado el 100 %, es hora de dedicar algunos recursos a otra zona de lanzamiento en la que quiero centrarme para mi próxima oleada». Dividir las cosas en oleadas de forma lógica es otra técnica que me ha resultado extremadamente valiosa para ayudar al personal a centrarse en un punto, declarar el éxito y seguir adelante.
Brenda Ferraro: Sí. Y creo que el cambio es inevitable. Básicamente, lo que estás diciendo es que las cosas cambian constantemente. Y fíjate dónde vivimos ahora. Así que estoy totalmente de acuerdo con eso. La otra cosa es que muchas empresas están empezando a utilizar servicios gestionados o lo que llamamos el centro de operaciones de riesgo para ayudar a mejorar la escalabilidad o supervisar el éxito basándose en la administración y la verificación de que la información que se recibe es precisa o no es errónea en lo que se intenta determinar en cuanto al riesgo. Y luego hacer que las empresas no tengan que liberar necesariamente los recursos que se dedicaban al riesgo de terceros desde cero, sino hacer que se conviertan en gestores de riesgos. Así que realmente están analizando el riesgo, identificándolo e incorporándolo a un programa que pueden seguir hasta su cierre, con un enfoque de evaluación más continuo. Entonces, ¿qué tipo de evolución ha experimentado en lo que respecta a la identificación de riesgos y su posterior traslado a una técnica holística de gestión y mitigación de riesgos y a lo fundamental?
Keith Likenwaller: Claro. En primer lugar, creo que siempre hay que empezar por establecer una serie de criterios y no creo que el tamaño de la empresa importe. Porque en mis conversaciones se ha hablado más bien de que todas las empresas tienen menos recursos de los que podrían tener para supervisar toda su flota de terceros. Así que realmente se trata de establecer criterios que sean buenos para su negocio, su modelo de negocio, que digan cuáles son las cosas que será absolutamente necesario que vigilemos. Cada sector tiene sus propias regulaciones. Por lo tanto, comprender cuáles son los desencadenantes de esas regulaciones que impulsan a su empresa en particular es un criterio que debe incluirse en su proceso de selección para que realmente lo impulse. Pero creo que también se trata de no olvidar la importancia operativa. Ayudar realmente a definir cuáles son los criterios de actividad operativa que realmente nos llevarán a decir que esto es absolutamente importante para nosotros. Por lo tanto, en mi opinión, es fundamental definir esos criterios con la empresa, acompañándolos de ejemplos relacionados con las distintas unidades de negocio a las que prestas apoyo, para ayudarte a seleccionar en qué centrarte cuando empieces a analizar los datos. Creo que, con las políticas corporativas, sabes qué cosas deben evaluarse y por qué, pero al final, la supervisión de la gobernanza de riesgos debe tomar el programa de gestión de riesgos de terceros y decir: «Ahora veamos los datos de lo que realmente está sucediendo en la empresa y ayudemos a la empresa a ver dónde es posible que no hayan vigilado realmente a todos los terceros que deberían y analicemos eso», pero creo que es imperativo que, al hacer esto, cuando se realiza un seguimiento de los riesgos, se empiece poco a poco y se vaya creciendo. Empieza poco a poco y ve creciendo. Empieza por hacer un seguimiento de los proveedores más críticos identificados. Y luego, después de hacer un seguimiento de ellos, haz un seguimiento de las vulnerabilidades críticas que los controles críticos que están fallando y que quieres hacer un seguimiento hasta su cierre. Yo empiezo por ahí. Con esa lista, lo que suele ocurrir es que se obtiene rápidamente a partir de los datos. Pensábamos que estábamos analizando los principales, ya sabes, unos doscientos proveedores que se identificaron. A medida que vamos pelando la cebolla y hacemos la evaluación y hablamos con la empresa sobre los controles, descubrimos que algunos de esos proveedores ya no son críticos de primer nivel. En realidad, solo son medianos. Y eso está bien. Asegúrate de almacenar ese conocimiento para poder tomar decisiones más adelante. Pero sigue ajustando y ahí es donde creo que es realmente crítico analizar qué partes de la automatización y la externalización, como la recopilación, puedes hacer para tener más flexibilidad para cambiar. Este momento de la COVID es un gran momento. Tenemos ciertas piezas y partes en las que, obviamente, estamos muy centrados como empresa. Y, debido a eso, un programa de gestión de riesgos de terceros debe estar listo para dar un giro radical y decir: «Bueno, ¿sabes qué? Iba a evaluar a estos proveedores, pero esa unidad de negocio tiene una prioridad mucho más importante para los próximos cuatro meses. Así que voy a dar un giro y trabajar en esta otra unidad de negocio y ayudarles». Um, así que, para poder ser flexible y cambiar de rumbo, creo que es importante contar con un buen socio que se encargue de los cobros, etc. Um, y una caja de herramientas de automatización con flujo de trabajo que te permita cambiar de dirección. Um, y ser ágil de esa manera creo que es extremadamente importante para el éxito de tu programa.
Brenda Ferraro: Sí. Y, en primer lugar, quiero dar las gracias a Fizer por ser una de las empresas farmacéuticas que nos está ayudando a salir de la situación en la que nos encontramos. En cuanto a la facilitación a la que te refieres en relación con el aprendizaje automático o la inteligencia artificial o la vinculación de los riesgos. Muchas empresas recurren a cuestionarios para adoptar un enfoque holístico que, por supuesto, les permite evaluar el grado de confianza. Y luego hay empresas que utilizan diferentes informes de inteligencia sobre amenazas y vinculan esos dos elementos de contenido para decir: «Bueno, esto es lo que la empresa dice que está haciendo en materia de riesgos y esto es lo que estamos encontrando en las fuentes de código abierto». Sé que algunas empresas utilizan una solución como Prevalent para hacer todo eso. Pero desde su perspectiva, también es importante tener la flexibilidad de disponer de datos que puedan salir de Prevalent para poder introducirlos en, creo, un entorno Splunk o algo por el estilo, que le permita tomar y correlacionar esa información para su enfoque de gestión de riesgos empresariales, ¿verdad?
Keith Likenwaller: Sí, correcto. Creo que realmente hay que considerarlo como una gestión de riesgos de terceros, ya que es uno de los riesgos que gestionas como responsable de riesgos en una empresa. Para hacerlo bien, necesitas tener todas esas cosas en un lugar común para poder enriquecer las diversas actividades. Una de las mayores cadenas de valor que hemos tenido con el programa de gestión de riesgos de terceros es realmente vigilar de cerca a los proveedores y socios que informan de que han tenido interrupciones significativas o ransomware o malware o incluso una pequeña infracción a lo largo del tiempo. A medida que informan de esas cosas, hay que mirar atrás y decir: «Bueno, ¿qué indicadores tenemos, ya sea con las herramientas de información pública que tenemos para vigilar la información pública y proporcionar informes, y correlacionar esa información con cuestionarios que indican fallos de control, etc.? Con el tiempo, eso nos da una mejor idea, a partir de esos datos, de qué tipo de controles se incumplen normalmente o no están en buen estado con mayor frecuencia y cuáles de ellos son realmente los principales responsables de los incidentes reales. Y poder observar eso te ayuda a saber, ya sabes, qué controles quieres realmente controlar y a cuáles vas a responder, quiero decir, con más de tus valiosos recursos para discutir con la empresa.
Brenda Ferraro: Sí, es muy importante contar con ese manual y un enfoque para abordar esos riesgos. Y yo diría que si se preconfiguran las recomendaciones de riesgo para las diferentes técnicas que se utilizan, ya sea un cuestionario, información sobre amenazas o ambos. Y luego identificar el riesgo y hablar entre nosotros si realmente se trata de un riesgo o no. A continuación, esas clasificaciones de riesgo te permitirían saber si es importante abordarlo o no en función de tu compromiso. Creo que todas esas cosas son fundamentales para tener una plataforma flexible o una solución que te ayude a obtener esos datos.
Brenda Ferraro: Bueno, creo que esta es nuestra última pregunta antes de pasar a la enseñanza. Hoy estoy hablando muy bien. Puntos clave. ¿Alguna vez has hecho algo como el pig latin, en el que cambias todas las letras y es como si fuera a empezar a hablar así en un segundo, pero vamos a hablar de obtener terapia de tu sistema de apoyo? Así que, después de pasar por la clasificación, los protocolos, la curación y el seguimiento de esa curación y el enfoque, siendo una persona con visión de futuro y una innovadora, hablamos un poco de esto al principio, de que tendrás un sistema de apoyo de otras empresas de diferentes sectores. ¿Qué opinas de los sistemas de apoyo?
Keith Likenwaller: Sí, he descubierto que estos sistemas de apoyo, como los llamamos, son muy valiosos en todos los aspectos relacionados con el desarrollo y la gestión del programa, así como con la obtención del retorno de la inversión que los directivos me piden que consiga. Y al hacerlo, creo que hay un par de componentes clave. El primero y más importante es reducir tu propio estrés. Simplemente siendo consciente de que todo el mundo está librando batallas similares. Creo que eso te hace darte cuenta de que puedes hacerlo, pero que cuentas con una estructura de apoyo, y esa estructura de apoyo se traduce rápidamente en ideas. Cada empresa tiene su propia política interna, su propio camino que la ha llevado a donde está hoy y el camino que la llevará al mañana. Y lo que he aprendido con el tiempo es que la política y las leyes de cumplimiento a las que pueden estar sujetas, el enfoque de su liderazgo en ese momento, hará que ciertas cosas o ciertos proveedores o socios sean más importantes para tratar de forma adecuada y evaluarlos realmente bien. Pero escuchar lo que hacen otras empresas, escuchar cuáles son sus decisiones y qué les ha llevado realmente a tomarlas, ha sido muy valioso para ayudar a crear un buen sistema de apoyo y un buen conjunto de ideas para escribir mi propia hoja de ruta para el programa que estoy impulsando. Y, al hacerlo de forma estratégica, hay cosas que realmente considero fundamentales para el éxito, que, ya sabes, vuelven a lo básico. Siempre me gusta decir que uno de los mayores retos es conservar los conocimientos que se adquieren de manera que se puedan reutilizar. Y reconocer que los datos se vuelven obsoletos más rápido de lo que se pueden mantener.
Brenda Ferraro: Sí. Tan pronto como termines de rellenarlo,
Keith Likenwaller: el ejemplo perfecto de eso es
Brenda Ferraro: Oh, adelante. Lo más difícil del mundo de lidiar.
Brenda Ferraro: Adelante.
Keith Likenwaller: Lo siento, Brandon. Sí, los contactos son probablemente lo más difícil de mantener. Es difícil incluso dentro de tu propia empresa. Pero cuando empiezas a hablar de todos los representantes de ventas, etc., entre proveedores y todo lo que cambia en un día, una semana, un mes o un año determinados. Volviendo al tema, después de un tiempo prudencial, decir: «Todavía tenemos una exposición al firewall entre este socio y yo, así que quiero volver a evaluarlos». Probablemente, nueve de cada diez veces, las personas involucradas cuando los evalué, hace un año o año y medio, probablemente ya no sean las mismas. Por lo tanto, tener una documentación excelente sobre lo que realmente se quiere conseguir, compartir esos mensajes iniciales de forma muy clara y concisa, y estar preparado para documentar y hacer un seguimiento, así como tener contactos de respaldo para todas las diferentes partes y piezas, puede ahorrar mucho tiempo en el futuro. Por lo tanto, piense en lo que puede necesitar en el futuro. Documenta esas cosas mientras realizas tus eventos ahora para poder volver a ellas y utilizarlas más adelante. Te puede ahorrar mucho tiempo.
Brenda Ferraro: Sí, me gusta ver cómo tú y otros clientes hablan entre ustedes sobre su enfoque evolutivo y su trayectoria, porque siempre se aprende algo unos de otros. Así que, gracias por participar en ese tipo de iniciativas, ya sea HISAC, un grupo de trabajo o algún tipo de grupo entre pares. Hablemos brevemente de las conclusiones clave. ¿Cuáles son las cosas más importantes que quieres que la gente aprenda de lo que hemos hablado hoy para que no tengan que aprender de los baches que nosotros hemos tenido que atravesar en el pasado?
Keith Likenwaller: Sí. Bueno, creo que hay cuatro aspectos que me gustaría destacar y que diría que, al pensar en su propio programa, debería considerar cómo se podrían modificar para alcanzar el nivel de madurez que desea lograr. Eh... El primero es... Piense en sus actividades de externalización y automatización. Busque socios que puedan encargarse de los cobros por usted, de modo que pueda dedicar sus recursos más talentosos, que conocen su negocio y su empresa, que forman parte de sus equipos o que son usted mismo, y asegurarse de que se centra realmente en las conversaciones que tienen lugar al final del proceso. Intento eliminar el trabajo de cobro y, de hecho, hemos automatizado el proceso posterior al cobro, de modo que el borrador del informe se genera automáticamente en lenguaje automatizado. De forma instantánea. Con ese tipo de proceso, podemos centrarnos en si esto se aplica a este compromiso. ¿Qué tenemos que enseñar a la empresa? Esas son las conversaciones de gran valor que realmente requieren su conocimiento interno para ser realmente eficaces. Por lo tanto, centrar sus recursos en eso significa automatizar y externalizar las recopilaciones, y ese tipo de actividades realmente le ayudan a sacar el máximo partido a sus recursos internos. La otra conclusión es que hemos encontrado un enorme valor en relacionar nuestros cuestionarios con los controles que realmente indican que probablemente faltan o que no están al nivel de madurez que deseamos. Así que, si tomas y tienes preguntas clave que realmente identifican el fallo de control en lugar de simplemente intentar recopilar todo, creo que descubrirás que la empresa aprecia que te centres en que solo hay 50 preguntas que responder, no 500. Y que te centres realmente en las preguntas que realmente harán que la empresa diga: «¿Sabes qué? Quizás decida no utilizar este proveedor». Dudo mucho que las empresas digan, en general, que no comprueban los antecedentes todo el tiempo. No creo que eso vaya a cambiar su selección de proveedores, pero sí creo que, cuando empezamos a hablar de controles operativos, la falta de un programa de gestión del cambio es mucho más importante para el éxito y la relación continua entre un proveedor y el que estás utilizando. Por lo tanto, asegúrate de que realmente te centras en los controles que podrían provocar cambios. Especialmente con la modernización, cambiar un proveedor existente por uno nuevo supone un gran gasto para la empresa. Um, tendrá que haber una buena razón para hacer un cambio o presionar al proveedor para que cambie los controles. Um, cuando clasifiques a tus proveedores, sé creativo. Busque los datos, sus sistemas de adquisición, sus sistemas de órdenes de compra, su sistema DLP, sus reglas de firewall, todas las oportunidades de datos que podrían ayudarle a seleccionar qué empresas o socios son probablemente más importantes para usted o que realmente manejan datos que usted realmente dice: «Debería tener una buena evaluación en el archivo». Y luego, las asociaciones internas, especialmente, pero también con sus socios, como Prevalent u otros proveedores que utiliza en su caja de herramientas. Colabore con sus departamentos financieros y de compras para comprender realmente cuáles son sus retos, dedique tiempo a desarrollar material educativo. Están en conversaciones todos los días. Y, si puede convertirlos en esa fuerza de trabajo y ese socio que dice: «Un momento, esto realmente me asusta por algo que Keith me enseñó». Es una oportunidad increíble recibir esa llamada y decir: «Tenemos una oportunidad que no se ha detectado de otra manera, pero realmente deberíamos hablarlo». Ser capaz de detectar esas situaciones especiales de las que hablaba antes. Es muy importante formar bien a tus socios internos en compras y órdenes de compra. En este punto, obtenemos un gran valor al hacer ciertas preguntas durante el proceso de pedido que, en realidad, nos llevan a decir, basándonos en la forma en que respondieron a esa pregunta, que deberíamos tener una evaluación en el expediente. Lo vemos o no lo vemos. Y luego hacemos el seguimiento adecuado para decirles que, incluso si hay un archivo y hubo una laguna en su evaluación anterior, nos aseguramos de comunicarles de nuevo que esa es una laguna que deben reconocer y tener en cuenta si quieren tener una conversación sobre seguridad.
Brenda Ferraro: Sí, estoy de acuerdo con esos cuatro y con los tres que yo tengo, o quizá cuatro. Uno de ellos es realizar una evaluación de madurez sobre uno mismo que se pueda utilizar para identificar todas las cosas buenas que se han hecho para crear el programa y cualquier mejora que se quiera considerar antes de planificar el año siguiente. La otra cosa es tener una plataforma flexible que pueda recopilar datos en múltiples facetas e informar sobre esos datos, y proporcionar notificaciones por correo electrónico y respuestas para los informes de lo que no va bien, de modo que puedas ajustar tu programa y tus riesgos. Tener una plataforma que correlacione la información o que pueda proporcionarte los datos para que puedas correlacionarlos en otro lugar, como hace Fiser. Y luego compartirlo, como has dicho, con toda la empresa, de modo que si el departamento financiero necesita verlo, el departamento jurídico necesita verlo, el departamento de privacidad necesita verlo, puedan verlo desde la perspectiva que sea importante para ellos. Muchas gracias, Keith. Creo que tendremos un poco de tiempo para preguntas y respuestas, unos 10 minutos. Así que voy a pasarle la palabra a Peter para una pregunta de encuesta y luego responderemos algunas preguntas específicas del público.
Peter Schumacher: Gracias, Brenda. Sí. En este momento, voy a lanzar una encuesta. Debería aparecer en vuestras pantallas en cualquier momento, pero para aquellos que la estén esperando, la pregunta es: ¿tenéis intención de ampliar o establecer un programa de riesgos de terceros este año? Las opciones son sí, no o no estoy seguro. Hemos recibido varias preguntas. Voy a responderlas ahora mismo. En línea con lo que acabas de comentar sobre tus conclusiones clave, Brenda, hay una pregunta que dice: «¿Existe actualmente un modelo de madurez para la evaluación de terceros?». Has hablado de la madurez de la evaluación de terceros y de ciertas evaluaciones de madurez. ¿Existe algún modelo?
Brenda Ferraro: Sí. Hay varios modelos diferentes. El que utiliza Prevalent es un modelo CMMA, y ese modelo CMM está integrado en el protocolo pro. Básicamente, entras y rellenas el cuestionario como si lo hiciera tu proveedor, y luego obtienes un magnífico informe que te indica cuál es tu nivel de madurez en ese modelo de madurez continua. Hemos utilizado nuestra experiencia en todos nuestros sistemas y recursos. Y creo que Fizer incluso tomó esa evaluación del modelo de madurez y encontró algunas cosas que se podrían utilizar en el futuro para que usted las examine desde la perspectiva del retorno de la inversión y decida dónde invertir su tiempo.
Keith Likenwaller: Sí, por supuesto, Brenda. Quiero decir, hicimos esa parte de la oferta de prevalencia que nos ofrecieron. Y definitivamente hay varias cosas que hemos añadido a nuestra hoja de ruta para el próximo año o los dos próximos años en las que vamos a centrarnos. Al hacer ese modelo y analizar realmente cómo evaluarse a uno mismo, uno de los primeros pasos que creo que hay que dar, incluso antes de empezar a decir qué forma parte del programa y qué es... Si tienes un cuestionario o un método que estás analizando, lo primero que siempre digo que hay que hacer es experimentarlo por uno mismo. Así que una de las cosas que hice tan pronto como tuve la primera versión 10 fue solicitar evaluar a Fiser a través del mismo proceso que espero que sigan mis socios, y yo era el cliente, y realmente pasar por eso es revelador para saber si estás equilibrado. ¿Estás haciendo las preguntas correctas? ¿Eres realmente capaz de responder correctamente a las preguntas? ¿Cuánto te costó recopilar y hacer todo eso? Te ayudará a comprender con qué están luchando tus socios, porque te encontrarás luchando con algunos de los mismos problemas. Así que, a veces, el simple hecho de practicar y hacerlo tú mismo, irónicamente, es uno de los mayores beneficios que puedes obtener para decir realmente: «¿He conseguido lo que quería? ¿Estoy operando como quiero?». Y te da otra afirmación sólida que puedes devolver en tu madurez y en la evaluación de ti mismo: te ayuda a diseñar tus direcciones y controles futuros para decir: «Espero que mis socios tengan los mismos controles que yo cumplo cuando lo construyo internamente». Esa es una afirmación poderosa cuando estás sentado con una empresa. No les estás pidiendo más. Les estás pidiendo que cumplan con las mismas cosas que esperas si lo construyéramos internamente.
Brenda Ferraro: Sí. Y creo que esa es una forma adecuada de expresar tres frases diferentes que me vienen a la mente. Primero bebe tu propio Kool-Aid. Primero come tu propia comida para perros. O, como me gusta decir, primero come tu propio caviar, porque la comida para perros no es tan buena. A veces el caviar tampoco es bueno, pero así es como yo lo expreso. ¿Qué más tenemos, Peter?
Peter Schumacher: Bueno, tenemos un comentario, creo, relacionado con la conversación que intentaste iniciar sobre cómo identificar a tus proveedores críticos. Voy a leer ese comentario a ver si suscita más debate. Dice así: «Estamos intentando perfilar nuestra amplia red de proveedores enviando una encuesta para recabar información y combinando los resultados con inteligencia cibernética. La encuesta nos ayudará a estratificar a los proveedores según los datos compartidos, si los hay, la ubicación de los datos, el método de conexión y el uso de subcontratistas».
Brenda Ferraro: Sí, creo que es un enfoque muy bueno. A menudo, si no tienes la posibilidad de obtener un formulario de admisión que te proporcione los atributos que necesitas conocer para llevar a cabo la debida diligencia, está bien acudir a tus proveedores y pedirles esa información y luego utilizar la inteligencia de hilos para priorizar a quién quieres dirigirte. Y luego, a medida que cambias la cultura de tu empresa, si tu empresa no tiene responsabilidad de unidad de negocio o datos de adquisición deficientes, como punto de contacto. Creo que ese es el mejor enfoque a seguir. ¿Qué opinas?
Keith Likenwaller: Es un enfoque excelente. Quiero decir, salir ahí fuera e intentar asegurarse de que se entiende cómo funciona el compromiso y obtener los datos iniciales es una forma estupenda de seleccionar y descubrir dónde realmente queremos profundizar. Creo que comprender los controles que anticipas que encontrarás como fallos. Aquí es donde puedes acudir a tus socios y hacerles un par de preguntas, y planificar realmente ese cuestionario de selección puede llevarte a un lugar en el que tengas la mejor información para decir que aquí es donde tiene sentido para nosotros profundizar más. Um, así que piensa en qué controles um te dan realmente miedo y te llevarían a querer profundizar más um, obteniendo una pregunta indicativa de eso como parte del programa de una empresa con eso he visto a un par de empresas hacer lo que se describe um porque no tenían los datos internos. Um y uh he visto algunos buenos resultados en eso. Um, así que te animaría a que, si crees que eso es lo que te va a funcionar, lo intentes. Pruébalos. Amplíalos. Empieza poco a poco. Asegúrate de tener las preguntas adecuadas para no tener que volver a los proveedores de compensación varias veces. Y luego, asegúrate de obtener una buena cobertura en toda tu flota. A continuación, crea indicadores de dirección a partir de eso para que los líderes se comprometan a seguir adelante con tu programa.
Brenda Ferraro: De acuerdo. ¿Qué más tenemos, Peter?
Peter Schumacher: Eh, la siguiente pregunta es: ¿qué otras áreas considera fuera del ámbito cibernético?
Brenda Ferraro: ¿otras áreas de riesgo?
Brenda Ferraro: Sí, la inteligencia empresarial está cobrando mucha importancia, ya que permite ver si se han producido cambios en la empresa o si esta se ha visto afectada por restricciones financieras. Muchas de las capacidades de inteligencia de hilos que existen hoy en día cuentan con inteligencia cibernética, lo cual es muy importante y te proporciona la información que necesitas saber desde una perspectiva de inteligencia de fuentes abiertas, pero la unidad de negocio o la inteligencia empresarial son igual de importantes, especialmente para los casos de alto riesgo, así que yo añadiría eso como parte de ello. ¿Qué opinas, Keith?
Keith Likenwaller: Por supuesto, me refiero a la inteligencia empresarial, lo que me lleva de vuelta a mi comentario sobre asociarse con el departamento de compras. Nueve de cada diez veces, ellos cuentan con algunos de esos servicios que han adquirido y disponen de algunos de esos datos. Eh... Y yo personalmente he visto casos en mis 16 años en los que hay indicadores empresariales que muestran que el negocio no es tan sólido financieramente como solía serlo y entonces empiezas a ver recortes, servidores al final de su vida útil en línea, etc., que acaban teniendo un impacto operativo o suponiendo riesgos de incumplimiento. He visto algunos de esos casos a lo largo de mi trayectoria, especialmente los operativos. Por lo tanto, hay que estar atento a esos otros indicadores de riesgo que se suman. Yo lo llamo riesgo compuesto, y es absolutamente un gran lugar para estar en un programa maduro.
Brenda Ferraro: De acuerdo.
Peter Schumacher: Genial. Creo que tenemos tiempo para dos preguntas más, con suerte. Tenemos varias aquí, así que disculpen si no llegamos a la suya antes de que termine la hora, pero seguiremos adelante. ¿Pueden compartir algunos ejemplos de automatización para dejar de usar hojas de cálculo? Keith, ¿quieres hablar sobre cómo lo hiciste?
Keith Likenwaller: Claro. Probablemente hay dos aspectos de la automatización que nos aportan los mayores beneficios. Obviamente, la automatización de la recopilación es importante, pero además de eso, la automatización del flujo de trabajo en la caja de herramientas que hemos encontrado es fundamental para poder transmitir realmente los conocimientos de la coordinación de la recopilación al evaluador, que es en realidad el evaluador de seguridad que va a determinar si se trata de un riesgo o no, revisar el informe y transmitir el mensaje a la empresa. Eh... ser capaz de pasar eso, limpiar. Así que el flujo de trabajo es fundamental. Pero probablemente el punto de automatización número uno que ha aportado valor, eh... para aumentar nuestra capacidad, ya sabes, que un evaluador de seguridad pueda hacer más evaluaciones en esto en el mismo año, eh... realmente se trata de dedicar tiempo a mapear tus cuestionarios para que, si un proveedor proporciona, yovoy a decir la respuesta de fallo al cuestionario, um, para la pregunta número 10, que indica un fallo de control para elegir su control favorito, um, automatizando la respuesta o la respuesta al riesgo que generalmente diría el profesional de la seguridad con el ejemplo y poniéndolo realmente en su herramienta. De modo que, cuando termine de obtener las respuestas a la pregunta, su evaluador no esté mirando las 200 preguntas que se hicieron. Están mirando los cinco controles críticos que no están a la altura.
Keith Likenwaller: No están evaluando una gran pila de papeleo. En realidad, se centran en decir: «Aquí están los cinco. Déjame hablar con la empresa sobre ellos».
Brenda Ferraro: Entonces, la representación automágica, esa representación automágica que te muestra lo que necesitas investigar, en lugar de evaluar todo el documento que se devolvió y todas las respuestas que contiene, pero esto es lo que hemos identificado a través de la plataforma. Es importante que lo abordes.
Keith Likenwaller: Sí. Yo proporciono todos los fallos al negocio y digo que deben ser totalmente visibles. Y
Keith Likenwaller: Bueno, pero estas son las que hemos encontrado y creemos que deberían preocuparle más, y aquí le explicamos por qué. ¿De acuerdo?
Keith Likenwaller: Y obtenemos mucho tra, ahorramos muchos recursos al centrar la conversación. B obtenemos mucha tracción y respeto. Con el tiempo, he descubierto en múltiples negocios en los que he estado y donde la empresa dice: «Realmente aprecio el hecho de que me ayudes a centrarme en lo que probablemente sea más importante para mí».
Brenda Ferraro: Entonces, en la traducción, se filtra el ruido y se centra en lo que es importante. Sí.
Keith Likenwaller: Sí.
Brenda Ferraro: ¿Tenemos tiempo para una más, Peter?
Peter Schumacher: Vamos a incluir esta última pregunta. Disculpen que nos estemos extendiendo, pero cuando reciben una notificación de una infracción por parte de un tercero, ¿qué departamento de la organización se encarga de gestionar el seguimiento con el proveedor? ¿Es el departamento de privacidad? ¿Es el departamento de información? ¿Es el departamento jurídico, etc., o depende?
Brenda Ferraro: donde estaba antes prevalecía. Era el grupo de gestión de riesgos de terceros el que se encargaba de la coordinación entre nosotros y ellos. Keith, ¿es diferente para ti?
Keith Likenwaller: Para nosotros es diferente. Tenemos un proceso establecido para gestionar el incidente. Ya sea una infracción o no, hay procedimientos para todo eso. Pero al estar vinculados a esos procedimientos, el equipo de gestión de riesgos de terceros también está vinculado y, en mi opinión, hay dos fases en la respuesta. Está la respuesta inmediata. ¿Estás en riesgo? ¿Se han visto comprometidos los datos de tu empresa? ¿Y es interno porque las aberturas del cortafuegos que puedes tener con ese socio te exponen a un riesgo directo interno que debes empezar a comprobar? ¿El adversario también se ha afianzado en tu empresa debido a esa situación? Hay que revisar todos esos puntos rápidamente. Eso es cosa de la organización de respuesta y hay que dejar que lo hagan los que mejor lo saben hacer. Pero forma parte de asegurarte de que tienen todos los fallos de control que has visto al evaluar a ese proveedor o socio en el pasado. Hacer que esos datos estén visibles para ellos de inmediato y luego notificarles lo que está sucediendo y, en el momento adecuado, que puede ser literalmente un mes después, reevaluar a ese proveedor y decir: ¿han llevado sus controles a un nuevo nivel que sea adecuado o seguimos teniendo un problema de riesgo aquí en el que deberíamos trabajar con la empresa? Por lo tanto, tiendo a involucrarme un poco más tarde. Me aseguro de que los datos que tengo estén inmediatamente disponibles para la organización que responde. Sin embargo, porque deberían tener toda la información que les ayude.
Brenda Ferraro: Bueno, como siempre, Keith, ha sido un placer y muchas gracias por permitirnos acompañarte en este viaje. Y Peter, te cedo la palabra para que termines la llamada.
Peter Schumacher: Muchas gracias. Gracias a todos por asistir. Como recordatorio, estamos grabando esta sesión y enviaremos la grabación mañana por la mañana. Gracias a Keith por sus valiosas aportaciones y por compartir sus conocimientos. Espero que todos hayan encontrado esto útil. Gracias también a Brenda. Nos vemos la próxima vez. Que disfruten del resto del día. Gracias.
Keith Likenwaller: Cuídate.
Brenda Ferraro: Gracias.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.