Lowe's conoce la gestión de riesgos de terceros

Amanda: Hola a todos. Daré un segundo para que la gente empiece a conectarse: cinco, cuatro, tres, dos, uno. Empezamos. Bienvenidos a nuestro seminario web «Lowe's conoce los riesgos de terceros» con nuestro invitado especial Jefferson Pike, director sénior de seguridad informática de TPR. RM. También nos acompaña hoy nuestra vicepresidenta de riesgos de terceros, Brenda Ferraro. Mi nombre es Amanda Fina, aspirante a presentadora de televisión y esperanzada concursante de Bachelor si aún tengo la edad adecuada. Pero, por ahora, también soy su representante de desarrollo empresarial aquí. Tengo un par de cosas que comentar antes de comenzar el programa. Todos tienen el micrófono silenciado. Eso significa que todos, sabemos que están en casa. No queremos oír aspiradoras. No queremos oír cafeteras ni Amazon Prime llegando a su puerta. Así que vamos a ir al grano. Nadie puede hablar. Pero aunque no podáis hablar, queremos que esto sea interactivo. Por lo tanto, por favor, responded, no respondáis, perdón, nosotros responderemos, haced cualquier pregunta que tengáis en la consola de Zoom. Haced las preguntas y respuestas, no el chat. Así será más fácil para todos. Y esperamos que, cuando el tiempo lo permita al final, podamos responder a todas ellas. El seminario web de hoy se está grabando, así que se lo enviaremos mañana por la mañana y podrán compartirlo con quien deseen. Y eso es todo por mi parte. Le cedo la palabra a Brenda. Muchas gracias a ambos por participar y empecemos.

Brenda: Gracias, Amanda. Siempre me gusta cuando empiezas con esto porque es muy emocionante y divertido, y te recomendaré sin duda para el programa Bachelorette.

Brenda: Gracias a todos por vuestro apoyo.

Brenda: Estoy muy contenta de estar hoy aquí con Jefferson. Por cierto, todos nuestros anuncios lo han presentado como director sénior o gerente sénior. Recientemente ha sido ascendido a director de seguridad de la información. Enhorabuena por ello, Jefferson.

Jefferson: Gracias.

Brenda: Creo que hoy se cumple un año desde que nos conocimos y empezamos a hablar sobre el programa de riesgos de terceros para Lowe's. Yo estaba en Carolina del Norte por esas fechas y creo que también era tu primera semana.

Jefferson: Creo que es mi primer o segundo día en el trabajo.

Brenda: Fue como una tormenta de ideas en la que Brenda hablaba sobre terceros y todas las estrategias que cree que deberías seguir. Pero enhorabuena por lo lejos que ha llegado Lowe's en un año. Ha sido más rápido que cualquier otra empresa con la que haya trabajado antes en materia de estrategia. Así que felicidades a ti y a tu equipo. Enhorabuena por tu ascenso y por tu promoción. Y lo único de lo que me gustaría que hablaras, todo el mundo sabe bastante sobre mí. Vengo del mundo de las finanzas, de Charles Schwab, eBay y PayPal, y luego pasé al sector sanitario. También he trabajado en el comercio minorista y ahora estoy en Prevalent, donde puedo ayudar a otras empresas a desarrollar sus programas. Pero cuéntanos un poco sobre ti y quizá algún dato curioso sobre cuál es tu actividad favorita durante 2020.

Jefferson: Claro. Eh, gracias y, en primer lugar, gracias por invitarme. Me encanta estar aquí representando al equipo que realmente hizo todo el trabajo para que pudiéramos estar aquí. Pero, eh, mi nombre es Jefferson Pike. En primer lugar, soy un exmilitar de la Marina, probablemente lo que más me enorgullece, y trabajé en el sector de las telecomunicaciones, el sector financiero y, finalmente, llegué a Lowe's. En realidad, la ciberseguridad era mi pasión, pero la verdad es que la descubrí tarde. En realidad, durante años me dediqué más al aspecto técnico en otras áreas y al análisis empresarial, e incluso a la auditoría interna en un gran banco en su programa de terceros. Así que, bueno, no es el enfoque típico, pero lo que encontramos es que mucha gente en este sector no tiene una formación típica y proviene de una mezcla de... bueno, de diferentes ámbitos, lo que en realidad nos ayuda en nuestro caso particular con terceros. Así que... bueno, aprenderemos más sobre eso. Como he estado encerrado en casa durante todo este tiempo, intentando no ganar peso, ya sabes, es un buen momento para aprender, leer y obtener certificaciones y formación, porque ahora la mayoría de las clases son online bajo demanda e incluso puedes hacer el examen de certificación en casa. Así que he estado aprovechando eso para intentar aprender todo lo que puedo en todas las áreas. Es bastante aburrido, pero te saca de apuros.

Brenda: Bueno, es mucho más universitario que yo. En 2020 he estado intentando escaparme a lugares como Sedona, Arizona, para pasear por el arroyo y observar aves. Mucha gente sabe que soy una apasionada de la ornitología. Me gusta salir e identificar aves. Esa es parte de mi locura. Pero ahora vamos a dejar de lado lo que hemos estado haciendo en 2020 por nosotros mismos. Me gusta la forma en que has estado aprendiendo y ayudando a otros a aprender sobre lo que Lowe's ha estado haciendo con su programa. Nuestra agenda de hoy es que hemos intentado ser muy creativos y Lowe's es una tienda de bricolaje con muchos otros artículos que ofrece a sus clientes. Pero tomamos este seminario web y empezamos a pensar en cómo podríamos relacionarlo con un proceso de gestión de riesgos de terceros para construir una casa. Así que hay un plan que consiste realmente en evaluar lo que se necesita para construir. Hay que crear el equipo y saber cómo integrar todos los diferentes departamentos dentro de la organización. Por lo tanto, se trata de un enfoque empresarial. Hay que definir el alcance del trabajo. Se trata más bien de comprender el universo de proveedores que hay que evaluar. La preparación se centra más en cuáles son las competencias básicas que hay que implementar y ejecutar para el programa. Y luego, por supuesto, la ejecución, poner en marcha esa parte del programa. Y luego medir el progreso, mostrar lo bien que lo has hecho y qué riesgos has identificado para la empresa. ¿Quieres añadir algo más a esa agenda? Parece bastante sustanciosa para nosotros. Jefferson, ¿es suficiente?

Jefferson: Eso es más que suficiente. Vamos a ponernos manos a la obra.

Brenda: Bueno, empecemos rápidamente con... He visto crecer tu programa y hay muchas cosas diferentes que hay que tener en cuenta a la hora de diseñar o crear un programa. Según mi experiencia, hay que descubrir cosas. Se necesita planificación. Se necesita conocer múltiples fundamentos que deben incorporarse al diseño que vas a utilizar para crear el programa. Entonces, ¿qué hiciste para evaluar las necesidades para diseñar tu programa y crearlo?

Jefferson: Sure. Great question. And first of all, so it’s called thirdparty risk management for a reason. It’s not third-party compliance management. And I think a lot of people in including me in the in the past have had the mindset that, you know, you need to come in and and do everything. And you honestly just can’t do that. You have to figure out where to start and and not beat yourself up thinking, you know, you’re not accomplishing everything on day one. It does take time. And risk management is not new. In fact, when you study information warfare on the military side, you learned that the guy who wrote the art of war talked about risk management 7,000 years ago, Sunzu, and he said that if you know yourself and you know your enemy, you don’t need to worry about the outcome of a 100 battles and essentially saying you know if you assess yourself and you assess the threats to yourself you don’t need to worry about the outcome you’ll make it and with third parties we have to own them as part of us and actually you know assess them and assess the threats to them. So we we started with that and we had to look at our industry because the retail industry is totally different from financial or healthcare and uh you in the financial sector you have regulatory agencies telling you what to do for third party and the OC will tell you you have to have a continuous monitoring program in place which is great, but in retail, you don’t have those regulatory factors like you you do. There’s this there’s heavy fines. There are other things you can take into account. There’s guidance, but you don’t really have any kind of real regulation across the industry. So, you have to figure out what your own risk appetite is if you’re taking that that risk management approach. So, uh first it came from from leadership and our leadership a lot of them came from places like uh Target, Home Depot and other places that have experienced, you know, bad situations. and they don’t don’t want that to happen again. So, it’s something we’re very mindful of like how do we best protect ourselves in a retail environment which is totally different from uh from healthcare. So, had to look at that. And then you have to figure out, you know, if you’re out in the in the middle of the woods and you’re trying to uh you know, get out of the woods, a map won’t help you by itself. And the compass won’t help you by itself. You have to have the two together and use that compass. You identify a couple points, see where you are on the map, then you work your way out. And it’s the same thing with this. So, we had to look for a reference frame we could use and a a framework that we could figure out, you know, what the lay of the land would be. But but then we had to figure out where we were on that uh that map. And so we uh we conducted a couple self assessments and we found a framework one from shared assessments uh called the vendor risk management maturity model and we conducted a self-assessment on oursel and figured out where we score on this is very similar to doing a gap analysis for NIST or something else but much w better than this and we’re also looking at things originally from an information security perspective and every company does it differently but for us third party is embedded within information security. So when you have when you’re looking at an asset an asset can be anything of value to a a company typically you’re looking at just the confidentiality at first uh you know for example when you hear about most data breaches it’s because what’s making the news is how the confidentiality was breached there actually two other factors to it there’s integrity you know making sure that data stays accurate and availability which now is a big thing especially with supply chain. So u you can’t do all three at once. You start with what you know and in our case we knew information security. So we started there and we plotted ourselves on the self-assessment framework and figured out where our gaps were and and just like any organization we had some good gaps but then we would take that and actually plot that on a road map. Now that we know where we are how do we get out of there? And so we would take every domain from the uh the share assessments framework uh from that that room assessment and create really lanes on this road map and so program governance is a great example. We figured out okay for that category here are some issues where we’re we’re falling short so let’s put them on the road map and every subcategory from the framework we just plugged in the road map and started following that and if you follow the agile framework we then you’d understand this terminology where we’re taking all the u the big categories on the framework we made those are epics and then uh the subcategories, those big projects, those were our tasks for each epic. I’m sorry, our features. And then it breaks down into stories and and tasks. So, we’re using that as a framework really just to get us out of the woods and and to move forward. And rather than just assess ourselves once a year, we actually assess ourselves maybe every six months or so to get ready for our big annual assessment because we don’t want any surprises at the annual assessment. So, theoretically, just like when you do a a performance manager eval, when you get to the annual assessment, you should not be surp rise of what you see as the gaps. So, we like to know the gaps ahead of time and it’s just a continuous process of doing that.

Brenda: Sí. Y me gusta que esta no sea la única diapositiva que muestra cuáles son esas características o componentes o epopeyas. Tienes ocho de ellos. Y muchas empresas que están creando su programa no están teniendo en cuenta los ocho. Solo se fijan en cuál es el ciclo de vida de una evaluación. ¿Hasta dónde va a llegar? ¿Dónde me voy a atascar? Entonces, ¿quieres hablar un poco sobre esta hoja de ruta o quieres pasar a la siguiente diapositiva para mostrar los ocho componentes o hay algo específico sobre estos dos?

Jefferson: Claro, podemos pasar al siguiente. Esto solo es un ejemplo. Si miras ese marco de autoevaluación VRMM, verás que encajan perfectamente y comprenderás de dónde los hemos sacado. Aunque hemos añadido otra categoría, si pasas a la siguiente diapositiva. No estoy seguro de si está aquí o no. Y tenemos una categoría separada para flujos de trabajo adicionales del grupo de seguridad de la información. Y una gran parte de esto consiste en intentar averiguar cómo podemos colaborar mejor con todos los demás equipos y cómo podemos asumir el trabajo para apoyar a otros equipos, pero también, ya sabes, aportar valor a lo que estamos haciendo. Así que creamos un equipo independiente para eso o una vía independiente para eso. Y otras dos cosas que hicimos al principio fue que sabíamos que no se puede hacer esto en solitario. Nadie tiene todas las respuestas. Así que, de hecho, conseguimos que nos crearan un grupo de compañeros con líderes de otras empresas que quizá estaban a la vanguardia o que llevaban más tiempo que nosotros haciendo esto y eran expertos en su campo, y compartieron información con nosotros porque un lobo solitario no sobrevivirá en esto y otras personas han estado aquí y han hecho esto, así que es genial aprender de sus experiencias y, al igual que tienes fuerzas especiales, tienes un equipo, noel modelo Rambo, en el que un solo tipo sale ahí fuera y lo hace todo, realmente no funciona. Tienes un equipo de profesionales que tienen habilidades, y este grupo de pares es un grupo mixto de personas diferentes, de diferentes industrias, pero todos se centran en el riesgo de terceros. Y es una gran oportunidad para escuchar a los expertos y aprender lo que están haciendo. Y mencioné que me gusta leer. Bueno, si vas a Amazon y buscas un libro sobre el riesgo de terceros, no encontrarás casi nada.

Brenda: Solo tres.

Jefferson: Sí, hay muy pocos libros y ni siquiera son tan buenos. Bueno, en su mayor parte, pero no hay muchos disponibles. Así que tal vez alguien escriba el libro definitivo sobre gestión de riesgos de terceros para nosotros, pero no hay ningún libro bueno al que recurrir, excepto uno, y esto es lo que aconsejaría a todo el mundo si no han visto este libro. Hay un conjunto de dos libros llamado «SISO Desk Reference Guide», escrito por Bonnie Heslip y Stamper, y estos tres caballeros eran todos expertos en sistemas en sus empresas. Lo saben todo sobre seguridad de la información, pero hay un capítulo dedicado exclusivamente al riesgo de terceros y es el mejor recurso que he encontrado en papel sobre cómo gestionar el riesgo de terceros. Ahí es donde sale el friki y dice: «Bueno, si quieres un libro, ese es el libro que debes leer». Pero es el único que pude encontrar en cualquier sitio antes incluso de empezar esto.

Brenda: Bueno, yo también soy una friki en lo que respecta a terceros. Así que voy a cogerlo y leer ese capítulo, o te pediré que me lo copies y me lo envíes si solo es ese capítulo. Entonces, hablemos de cómo alineaste a otros departamentos, porque cada uno está haciendo evaluaciones a su manera. Es posible que el departamento de compras esté haciendo certificaciones o revisando cosas como verificaciones de crédito o lo que se hace en Brad Street. El departamento legal tiene su propia perspectiva. Necesitan revisar las evaluaciones. Hay seguridad de proveedores, seguridad informática, seguridad OT y, además, muchos equipos directivos que pueden tener cierto temor por cómo avanza su programa. Puede que sea a una velocidad con la que no se sienten cómodos. Entonces, ¿cómo abordó y analizó cómo cambiar la cultura de una manera normal que resultara atractiva para Lowe's?

Jefferson: Sabes, suena tonto, pero se trata de diplomacia y de ser el embajador ante otras unidades de negocio. Y estar ahí para ellos, porque muchas veces en las grandes empresas hay un problema de compartimentos estancos. Los diferentes equipos no se comunican entre sí. Cada uno hace lo suyo y ni siquiera es consciente de lo que ocurre en los demás. Así que nos posicionamos como una especie de embajadores entre todos estos equipos diferentes. Somos los que hablamos con terceros. También hablamos con el departamento jurídico sobre cuestiones legales y nos ofrecemos a revisar los contratos por ellos si surge la necesidad. Trabajamos con las unidades de negocio y les explicamos los riesgos asociados a los proveedores con los que trabajan. Y también trabajamos con el departamento de compras y les informamos de lo que vemos y de lo que recomendamos. Porque, por lo general, estos equipos no se comunican muy bien entre sí. Y si intentas explicar los riesgos de seguridad de la información o muchos de estos riesgos de terceros a una unidad de negocio o a un proveedor, no tienen ni idea de lo que estás hablando. Así que, en realidad, no solo hay que ser un embajador, sino también un traductor, y ser capaz de explicar en términos muy sencillos a personas sin conocimientos técnicos, explicar el riesgo y explicarlo en términos empresariales. Por lo tanto, se trata de un conjunto de habilidades únicas, por lo que el simple hecho de contar con personas con conocimientos cibernéticos en un equipo no te ayudará necesariamente a la hora de traducir. Descubrimos, y sé que hablaremos de esto más adelante, que al formar nuestro equipo, no fueron necesariamente las habilidades lo que los atrajo al equipo, porque no queríamos que las personas fueran siempre iguales. Y como tenemos ese conjunto de habilidades variadas, contamos con personas diferentes que pueden asumir diferentes tareas y seguir sus pasiones de manera diferente. Así que, en esencia, teníamos que ser los embajadores. Y en Lowe's, hay una mentalidad de que hay que llevar al cliente al pasillo. Y esperamos que lo hayas visto en las tiendas, donde si entras en una tienda y no sabes dónde está algo. Si le preguntas a alguien, no debería decirte: «Oh, está en el pasillo 12». No debería acompañarte al pasillo, llevarte a esa zona y mostrarte esa parte, asegurándose de que es lo que necesitas para lo que estás haciendo. Quizás incluso hacerte algunas preguntas más y ayudarte. Queremos hacer lo mismo con las unidades de negocio. Por lo tanto, queremos asegurarnos de que los llevamos al pasillo si nunca han visto una evaluación antes o si no entienden por qué lo hacemos. Queremos trabajar con ellos durante todo el proceso y conseguir que se realice esa evaluación, que la unidad de negocio quede satisfecha, que el proveedor quede satisfecho y desempeñar ese papel de embajador. Y el otro truco que hemos descubierto, no es un truco, sino algo en lo que realmente intentamos centrarnos, es algo que se llama la regla del atardecer, que probablemente existe en todas las empresas, pero muchos equipos de personas se relajan y no la siguen. Y es que, si recibes una solicitud por correo electrónico, debes responderla antes de que termine el día. Parece una tontería, pero descubrimos que, al convertirlo en una prioridad para nosotros, cuando otras unidades de negocio o divisiones de la empresa nos enviaban una pregunta, respondíamos el mismo día, y como normalmente tenían un proyecto que se ponía en marcha la semana siguiente, había que incorporar a un proveedor, preparar contratos para firmar, era la primera vez que oían hablar de nosotros y ahora estaban estresados, y nosotros siempre intentábamos responder el mismo día, y con ese respeto hacia una unidad de negocio que no era de terceros, volvían a nosotros más tarde y nos decían: «Oye, nos ayudaste mucho antes. ¿Qué opinas sobre esto?». Con el tiempo, esas relaciones se desarrollan, pero no es algo que ocurra de la noche a la mañana. Solo intentábamos ser relevantes y ser ese traductor para todos.

Brenda: Sí. En realidad, estás facilitando el negocio y permitiendo que la empresa identifique y reduzca los riesgos. Por eso me gusta tu enfoque de ayudarles y ser esa embajadora o traductora. Recuerdo que cuando tomé la decisión de pasar de una gran empresa a una empresa proveedora que tiene muchos clientes, lo que la hace grande y es lo correcto, una persona muy sabia me dijo: «Brenda, vas a ser la traductora entre el cliente, el producto y la empresa. Por lo tanto, tienes que ser capaz de hablar diferentes idiomas». Me gusta mucho cómo lo expresas. Ahora bien, lo primero que es importante en un programa de riesgo de terceros, e incluso para empezar, es ser capaz de saber cuál es tu universo de proveedores. ¿Te resultó difícil identificar y comprender esa lista holística?

Jefferson: Sí, y afortunadamente preguntamos a otras empresas de ese grupo de referencia y a otros auditores y a todos los expertos a los que pudimos preguntar, y les comentamos nuestro problema, y nos dijeron que era estupendo, que parecía que éramos como cualquier otra empresa del mundo, lo cual es bueno y malo en cierto modo, pero en esenciasiempre es un reto, parece que después de hablar con otras empresas también, tener esa lista definitiva y eso nos lleva de vuelta a toda la cuestión del riesgo frente al cumplimiento, nunca vas a encontrar esa lista totalmente completa y exhaustiva de proveedores, pero tampoco puedes esperar tres años para conseguir esa lista real. Así que, sí, puede que tengas algunos proveedores en la base de datos de compras. Puede que tengas algunos en la base de datos de cuentas por pagar, donde realmente ves a quién se le paga. Puede que lo tengas en alguna base de datos de riesgo y cumplimiento normativo. Pero obtener información de todas estas bases de datos diferentes y averiguar quién tiene realmente razón es un gran reto.

Jefferson: Y tampoco hay una solución milagrosa para ello. Es solo que requiere mucho trabajo de investigación y los chicos del equipo te dirían que gran parte de sus esfuerzos se dedican simplemente a intentar encontrar a los propietarios o averiguar quiénes son los proveedores y, a veces, acabas haciendo de detective, como si estuvieras tratando de seguir pistas.

Brenda: Sí. Me gusta uno de los enfoques que utiliza su organización, en el que, debido a la resiliencia y a lo que estamos viviendo en 2020, han analizado bien la situación y, si tenemos un punto de contacto interno, vamos a acudir a él y le pedimos información sobre la estratificación o el perfil del proveedor, con el fin de asegurarnos de que estamos realizando el tipo de evaluaciones adecuadas. Pero también han decidido, de forma innovadora, acudir directamente al proveedor y decirle: «Aquí tiene un cuestionario muy breve que nos proporcionará los atributos que necesitamos conocer para asegurarnos de que le estamos evaluando adecuadamente y, a continuación, utilizaremos esa información para reforzar los registros internos». Está bien hacerlo, aunque los proveedores puedan responder: «Bueno, ¿por qué no saben lo que estamos haciendo con ustedes?». Bueno, es que todo el mundo necesita reforzar y asegurarse de que sabemos lo que hace cada uno, porque las cosas pueden cambiar con el tiempo. Puede que tengas un proveedor que esté haciendo una cosa durante un año o un par de meses y, de repente, alguien diga: «Oye, ya hemos evaluado a este proveedor. Utilicémoslo también para X, Y y Z». Por lo tanto, es bueno que actúes desde esa perspectiva. Entonces, ¿qué es este guardián para terceros?

Jefferson: Sí, esa fue una analogía que utilizamos internamente en nuestro equipo. Muchos días parece que cada sector tiene sus propios parámetros, sabemos que hay miles de proveedores y que, en el sector minorista, una infracción media cuesta alrededor de 1,8 millones de dólares. Y sabemos cuál es la cantidad récord en dólares o la cantidad en dólares por registro en caso de infracción. Y puedes usar todo esto, ya sabes, el factor FUD, miedo, incertidumbre y duda, algo que nunca quieres hacer. Quieres tener datos y, de hecho, cuando explicas a la dirección cuáles son los riesgos, pero sabiendo que hay un gran número de estos proveedores por ahí y que cualquiera de ellos podría convertirse en un balón de fútbol explosivo, intentamos asegurarnos de que eso no se convierta en una violación para la empresa. Así que cada tercero que estamos analizando es como si fuéramos la última línea de defensa que intenta asegurarse de que no le marquen un gol a la empresa. Queremos que el negocio tenga éxito, pero si el negocio está obteniendo beneficios y luego tiene que pagarlos debido a, ya sabes, multas y todos los riesgos financieros asociados a una infracción, entonces la empresa no está obteniendo los beneficios que debería. Por eso intentamos protegerla y nos sentimos como un portero solitario en la portería, en lugar de tener solo un balón de fútbol que viene hacia nosotros. Imagínese miles de balones que intenta detener porque, desde la perspectiva de terceros, está intentando asegurarse de que ninguno de esos miles que hay en su inventario se convierta en el próximo gran balón explosivo. Así que, eh...

Brenda: Me gustó una de las presentaciones que hiciste antes y, de repente, era como miles y miles de balones de fútbol.

Brenda: Si fuera portera, no querría que todos ellos vinieran hacia mí. Sin duda. Entonces, ¿cuál es la estrategia que estás elaborando para asegurarte de tener una ventaja competitiva?

Jefferson: Claro. Entonces, en algunas empresas se puede adoptar el enfoque «nosotros contra ellos», en el que sabes que tienes, casi como en un equipo de fútbol americano, el equipo ofensivo, que es el que anota los puntos y genera ingresos, y sabes que todo se reduce a la ofensiva, o puedes tener al equipo defensivo en el campo, y elloses el que simplemente intenta hacer su trabajo, pero tienes casi dos equipos diferentes que juegan para el mismo bando, pero en el campo en momentos diferentes y que nunca trabajan realmente como uno solo, y este enfoque se parece más al fútbol real, al fútbol americano, el enfoque es que tienes las unidades de negocio y todos los demás equipos en el campo al mismo tiempo. Todos trabajamos juntos. Sabes que las unidades de negocio están intentando aumentar los ingresos y generarlos, y nosotros intentamos ayudarles a hacerlo y a hacerlo de manera que tengan éxito, pero que tengan éxito de forma segura, de modo que los ingresos que se obtienen se queden en la empresa y no se corra ningún riesgo de mala reputación y no entren manzanas podridas y mantengamos la empresa a salvo. Pero trabajando con todos estos equipos diferentes y todos en la misma línea, y eliminando ese enfoque diverso de pensar que, ya sabes, somos unidades de negocio o estamos jugando a la defensiva, por lo que no hablamos contigo. Ese no es el caso en absoluto.

Brenda: Sí. Y me gusta que haya diferentes niveles de filtro. Eso significa que todo el mundo trabaja en equipo y que, en algún momento, se va a producir ese control de acceso en lugar de ir directamente al objetivo y pasar por donde no se debería. Así que hay muchos productos y formas diferentes de gestionar el riesgo de terceros. Recuerdo que cuando trabajaba en una empresa y me encargaba de la gestión de riesgos de terceros, tenía tres empresas de Intel diferentes y tres cuestionarios estándar diferentes, y ninguno de ellos estaba integrado. Eso fue hace unos cinco o seis años, por supuesto, pero ¿qué proceso utilizaste para seleccionar las herramientas adecuadas y cómo sopesaste el proceso o las opciones?

Jefferson: Entonces, para nosotros no se trataba solo de herramientas, sino también de los procesos y las personas. ¿Cómo elegimos? ¿Externalizamos todo el trabajo? ¿Contamos con una sola persona en Lowe's que trabaje para un tercero? ¿Cómo queremos hacerlo? Eso se basó realmente en la propensión al riesgo y en las instrucciones de los directivos, que querían que fuera un programa internoprograma interno, así que ya sabes que hay otras soluciones, nuestra solución fue crear nuestro propio equipo y, como dije antes, todos los miembros del equipo que incorporamos tenían habilidades muy diferentes, ya sabes, uno es experto en redes y otro es experto en, ya sabes, relaciones con los proveedores y quizá conoce una empresa de arriba abajo, nuestra empresa de arriba abajo, pero lo que todos tienen en común es la pasión. Así que, cuando contratamos a gente, no nos fijamos necesariamente en que tuvieran ciertas certificaciones, porque si tienen pasión y ganas de aprender, podemos enseñarles y ellos aprenden unos de otros. Y luego teníamos un equipo central de analistas principales que formaban a todos los demás analistas y compartían sus perspectivas y, con el tiempo, todos aprendían de todos y aprendían estas diferentes perspectivas, y eso fue muy importante. Así que teníamos este equipo central que ahora es extremadamente talentoso y apasionado por lo que hace. Teníamos eso en marcha y, en cuanto a las herramientas, realmente queríamos que todos se convirtieran en gestores de riesgos, no solo en analistas de riesgos, pero no se puede tener a miles de analistas haciendo análisis de riesgos de terceros porque ninguna empresa podría permitírselo. Así que hay que encontrar un equilibrio entre cuántas evaluaciones puede hacer una persona y hacerlas de forma eficaz y eficiente. Por eso, buscamos múltiples opciones, no solo para gestionar las evaluaciones, sino también para analizar lo que llamamos «información sobre amenazas» y crear una plataforma de calificación de seguridad. Analizamos múltiples soluciones para ello. Sabíamos que no podíamos limitarnos a enviar hojas de cálculo a todo el mundo, que es la forma tradicional de hacerlo, enviando un documento de Word o una hoja de cálculo. Así que eso no nos servía. Ahora, para ser sinceros, lo que mejor nos funcionó fue la solución ent. Y el simple hecho de que aquí tenemos un portal en el que podemos automatizar, ya sabes, cargar a estos proveedores en un portal, invitarlos a entrar y rellenar la información, responder a las preguntas y, a continuación, generar automáticamente los resultados de riesgo que luego podemos validar, ver, ya sabes, si son precisos o no. Podemos trabajar con el proveedor para corregir esos resultados. Y todo eso en una sola solución. Así que para nosotros esa ha sido la mejor opción. Creemos que todos nuestros analistas pueden hacer probablemente un mayor número de evaluaciones al año de esta manera que si tuvieran que revisar hojas de cálculo y tratar de averiguar cómo traducir esas hojas de cálculo o documentos de Word.

Brenda: Sí. Me gusta que tu programa tenga incorporadas soluciones de riesgo preconfiguradas y que las utilices para orientar a los proveedores sobre lo que buscas. También tienes niveles preconfigurados de los que vas a hablar. Y ha identificado multiplicadores de riesgo para esos niveles, de modo que si busca un tercero de mayor riesgo, esos riesgos se reflejarían adecuadamente y, al tener ese portal u en el que se lleva un registro de todo en un solo lugar, es muy fácil para los proveedores, por lo que es como una ventanilla única no solo para usted, sino también para los proveedores y, en el futuro, quizás también para las unidades de negocio.

Jefferson: Por supuesto.

Brenda: Entonces, si nos fijamos en todo lo que tuviste que preparar, que era mucho. ¿Cómo abordaste los aspectos fundamentales para llevarlo a cabo? Si echamos la vista atrás a hace un año y miramos las hojas de cálculo y la decisión que tuviste que tomar sobre qué cuestionario ibas a utilizar como estándar, etc., ¿cómo fue todo eso? Me has dicho que estas son las diapositivas que vas a mostrar. Algunas tienen animaciones. Dime cuándo tengo que pulsar el botón para hacerlo en el momento adecuado.

Jefferson: De acuerdo. Bueno, una vez más, todo se reduce al hecho de que sabemos que no podemos hacerlo todo a la vez. Solo podemos hacer lo que podemos hacer actualmente y luego tener un plan para añadir capacidades en el futuro. Así es como empezamos, y ahora podemos pasar a la siguiente diapositiva. Como probablemente todos los aquí presentes saben, el enfoque convencional es que, cuando se incorpora a un tercero, se debe realizar una serie de evaluaciones. Muchas veces, es posible que solo se haya realizado una evaluación, si es que se ha realizado alguna, y eso es solo para incorporarlos al principio y, después, se les olvida. Hemos visto que eso ocurre. O, muchas veces, es posible que los proveedores se incorporen sin que se haya realizado ninguna evaluación y, cuando se pregunta por una evaluación, se obtiene una mirada perdida, pero eso no ocurre en Lowe's,, como en cualquier empresa, por lo que el enfoque convencional ideal sería realizar una evaluación inicial, una evaluación muy rápida, si se están considerando varios proveedores para un proceso de solicitud de propuestas, a medida que se incorporan, realizar una evaluación de incorporación y asegurarse de que cuentan con los controles críticos necesarios y de que no hay otros problemas importantes que se hayan detectado. Si encuentras algo, podrías remediarlo o informarles al respecto, informar a la unidad de negocio. Lo ideal sería volver a evaluarlos más adelante y luego podrías hacer evaluaciones virtuales o in situ y, si alguna vez terminas esa relación con ellos, lo ideal sería que se terminara en algún momento. Todas las cosas buenas tienen su fin. Así que, en teoría, ese proveedor desaparece del menú un día, se realiza una evaluación de salida y se comprueba que realmente han destruido todos los datos que se consideran vitales. Ese es el enfoque convencional, pero, de nuevo, si se hiciera eso con todos los proveedores, el personal que se encargaría de ello sería una locura y simplemente no sería asequible. Por lo tanto, estamos adoptando un enfoque más basado en el riesgo y ese sería el siguiente paso. Seguimos realizando la evaluación de la solicitud de propuestas, que en realidad te lleva bastante tiempo, y también ofrecemos acuerdos de nivel de servicio (SLA) o objetivos de nivel de servicio a las unidades de negocio, y tratamos de ceñirnos a eso para las nuevas evaluaciones. Así, la unidad de negocio sabe que si acuden a nosotros con dos o tres empresas y se preguntan cuál utilizar, realizaremos una mini evaluación rápida en varios días y sabrán lo que es. Nuestras evaluaciones de incorporación son un poco más largas, pero se lo decimos desde el principio, les decimos qué pueden esperar, somos muy claros con las expectativas, pero luego pasamos a un enfoque de evaluación continua en el que no hacemos necesariamente una reevaluación anual o semestral, sino que analizamos las cosas de forma constante y continua, por ejemplo, utilizamos nuestra plataforma de calificaciones de seguridad para buscar y supervisar las alertas que llegan. Si vemos que algo baja en la alerta. Ahora bien, esto podría ser una tarjeta de puntuación de seguridad, bitsite, uh risk recon, hay un montón por ahí. Pero cuando recibes alertas, entonces tomas medidas y, de hecho, activas una reevaluación si es necesario. Um, si tienen conclusiones de su evaluación de riesgos inicial, entonces trabajas con ellos para remediar esas conclusiones y hacer un seguimiento a lo largo del tiempo, lo cual, afortunadamente para nosotros, lo hace la plataforma predominante. Podemos trabajar con el propietario de la empresa y también analizamos las capacidades de respuesta ante incidentes. Así que, si nos enteramos de incidentes de seguridad con proveedores, eso también desencadenará una evaluación. En teoría, si son de bajo riesgo, si los estamos vigilando todo el tiempo y tienen esa calificación de riesgo, esa puntuación de crédito de seguridad es buena y sabes que no hay problemas, entonces seguiremos vigilándolos, pero no necesariamente entraremos y haremos una reevaluación cada año, cada dos años. Reevaluaremos según sea necesario y nos aseguraremos cada año de que el propietario de la empresa sigue manteniendo una relación con ese proveedor. Y ahora podemos hacer evaluaciones in situ. Así que, como sabes, el equipo está capacitado para hacerlo, pero tú no puedes. Por lo tanto, hay una gran presión para hacerlo de forma virtual, lo cual sé que enseñan las evaluaciones compartidas, pero también podemos hacerlo in situ si es necesario y, dependiendo de la situación y del proveedor, lo hacemos y luego realizamos la evaluación de salida según sea necesario. Por lo tanto, adoptar este enfoque basado en el riesgo le permite realmente hacer más evaluaciones y ser más eficaz con menos personal. Esa es la solución a largo plazo en este caso.

Brenda: Sí. Y me gusta que estés haciendo una evaluación continua. Muchas empresas lo hacen una sola vez, o una vez al año o cada dos años. Y cuando se mitigan los riesgos, es cuando se supone que hay que verificar o validar. Así que, buen trabajo en eso. Esta es una de mis dos diapositivas favoritas de las que estás hablando. Así que, estoy deseando oír más.

Jefferson: Oh, esto siempre requiere cierta discusión. Bueno, la mejor manera de explicarlo es que, muchas veces, la seguridad se considera un obstáculo y, ya sabes, lo he visto antes en empresas en las que la unidad de negocio realmente no quiere recurrir a la seguridad o pasar por un proceso de riesgo de terceros porque tienen prisa. No quieren que les frenen. Es muy parecido a cuando vas al aeropuerto, llegas, tienes que hacer una cola interminable en el control de seguridad, pasar por el proceso, atravesarlo y luego llegar a tu puerta de embarque. Ahora bien, no es culpa de la TSA si llegas tarde al aeropuerto. Dicen que debes estar allí dos horas antes, pero nadie llega nunca dos horas antes. Siempre llegas corriendo en el último minuto y luego te frustras con la TSA porque te están retrasando. Y, eh, el modelo típico para las evaluaciones de incorporación también es, ya sabes, retrasar. Veamos a la tercera parte. Veamos la evaluación. Asegurémonos de que estamos haciendo todo correctamente. Esperas hasta que te damos el visto bueno y entonces puedes proceder y dirigirte a la puerta de embarque y despegar, y entonces lanzas tu compromiso y disfrutas de los cielos amigables. Eso no funciona en un entorno minorista. Sabes, tenemos un apetito de riesgo que para nosotros se trata realmente de asegurarnos de que la empresa haga lo que tiene que hacer y no la frenemos, lo que nos coloca en una línea muy fina en materia de seguridad, porque quieres asegurarte de que la empresa avance y desarrolle todo lo que necesita para tener éxito, pero que lo haga de forma segura. Así que nuestro enfoque es un poco diferente y puedes pasar a la siguiente diapositiva. Cuando llega un nuevo compromiso, nos enteramos de un nuevo proveedor, le pedimos al propietario del negocio que cree una solicitud de admisión inicial y ahí es donde hacemos la diligencia debida inicial, los evaluamos y vemos cuál es el riesgo real. ¿Con qué datos trabajan? Aquí es donde los desglosamos. Y se oye hablar de desglosar todo el tiempo. Analizamos el verdadero riesgo inherente desde el principio. Imagina que estás caminando por el aeropuerto, pero ahora ya no tienes que parar en la TSA. Ahora, nada más entrar, obtienes tu tarjeta de embarque. Y mientras vas por el aeropuerto, quizá paras en Starbucks, compras un café, llegas a la puerta de embarque y ya estás listo para despegar. Y quizá haya alguien de la TSA que te diga: «Gracias por tu tiempo. Ya puede irse. Aquí tiene su... ya sabe, le sellaremos su tarjeta de embarque, que tenga un buen día». Y eso es lo que hacemos entre bastidores. Mientras ese compromiso avanza, nosotros hacemos cosas y analizamos la evaluación. Analizamos cualquier información que tengamos sobre ellos. Hacemos preguntas. Haremos un seguimiento de las preguntas. Al final del día, damos una recomendación al propietario del negocio. Ellos pueden recomendar eso o nosotros recomendamos el compromiso, y ellos pueden proceder. Recomendaremos que procedan, pero hay algunas cosas que deben remediarse y debemos remediar eso, ya sabes, dentro de un plazo determinado. O diremos que no lo recomendamos y, ya sabes, diremos que hay algunos problemas graves aquí y que realmente no recomendamos que continúen al final del día, aunquees la empresa la propietaria y utilizamos el modelo de gestión de riesgos de las tres líneas de defensa que, como ya sabes, es tan común que ahora se llama las tres líneas de defensa o el modelo de las tres líneas, porque la defensa ya no es realmente un problema, ya que quieren que las empresas sean proactivas, pero el modelo de las tres líneas dice que las unidades de negocio son la primera línea de defensa, son las verdaderamente responsables del riesgo, la segunda línea son todos tus equipos de riesgo y cumplimiento, legal, seguridad y todos los demás. Y luego la tercera línea es la auditoría interna. Se aseguran de que, desde un ángulo elevado, una perspectiva elevada, todo el mundo haga lo que dice que va a hacer. Así que, utilizando ese enfoque, le decimos a la unidad de negocio: «Bien, aquí está el compromiso, esto es lo que hemos descubierto y esto es lo que recomendamos, pero la decisión es suya». Si continúan con ese compromiso, entonces su vicepresidente tiene que firmar y aceptar el riesgo y luego nosotros hacemos un seguimiento. Pero no somos el departamento del «no». Y, como saben, en el banco se puede ser el departamento del «no» hasta cierto punto, y en la sanidad también, pero en el comercio minorista hay que hacer evaluaciones de riesgos de forma rápida y eficiente y actuar como asesor. Así que asesoramos a las unidades de negocio y no actuamos como el gran policía malo. Les damos toda la información y luego la decisión es suya.

Brenda: Sí. Me gusta cómo has organizado tu pirámide de niveles y cuántos días, y cómo has hablado de lo recomendado, lo recomendado con corrección o lo no recomendado. ¿Qué más puedes contarnos sobre el tarado y cómo te ha funcionado?

Jefferson: Claro. El tarado se basa esencialmente en la clasificación de datos de nuestra empresa. Cada empresa tiene su propia forma de ver los datos. Algunos datos pueden considerarse públicos o no tener mucha importancia. Otros datos pueden ser más confidenciales o constituir información personal. Así que, basándonos en los datos que obtenemos durante el proceso de admisión, los taramos. Y eso simplemente significa que, ya sabes, los proveedores de mayor riesgo son objeto de un mayor escrutinio y de una diligencia debida adicional. Y, de cualquier manera, todos ellos son evaluados. Incluso si se trata de una empresa que tiene datos públicos y no presenta ningún riesgo real, sigue siendo evaluada mediante el formulario de admisión. Así que tenemos constancia de ello. Tenemos su número de compromiso. Tenemos su URL, su dominio, que podemos introducir en nuestra herramienta de supervisión y supervisarlos para detectar incidentes de seguridad en el futuro. Por eso pedimos a todo el mundo que pase por el embudo, para poder al menos registrarlos y determinar si tenemos que hacer algo más. Una vez que pasan por el sistema para obtener esa revisión externa en la que miramos desde fuera utilizando la plataforma, utilizamos un cuestionario automatizado a través de Prevalent y obtenemos esa visión de dentro hacia fuera. A continuación, hacemos un seguimiento si es necesario y, al final del día, obtenemos el estado de la evaluación final y la recomendación.

Brenda: Excelente. Muy bien, pasemos a la siguiente pregunta. Supongo que querrás asegurarte de que dispones de indicadores clave de rendimiento e indicadores de riesgo que comunicar a la dirección. Una de las cosas que hicimos al principio fue utilizar no solo el vroom de las evaluaciones compartidas, sino también una evaluación de madurez de Prevalent. Entonces, ¿qué cosas hiciste y cuáles fueron los KPI y KIS que fueron importantes a medida que avanzabas en tu programa?

Jefferson: Claro. Las autoevaluaciones son una parte importante de eso y, a su vez, las utilizamos para las evaluaciones generales de la empresa, que sirven como aportaciones para la evaluación de la empresa. También es importante conocer la diferencia entre los KPI y los KRIS y saber quién es tu público. Por ejemplo, no querrás contarle a tu director general todos los pequeños detalles sobre qué analista tiene cuántas evaluaciones en un momento dado o cuántas han completado esta semana. A ellos no les importa. Lo que quieren saber al final del día es cuál es el riesgo de la empresa, en qué situación nos encontramos y cuál es el mayor problema. Por lo tanto, hay varios niveles de estos KPI y KIS que utilizamos. Los KPI pueden ser algo tan simple como el número de evaluaciones que estamos haciendo este año en comparación con el año pasado y luego, ¿cuáles son los resultados? ¿Cuál es el estado final de las evaluaciones que estamos haciendo? ¿Cuántas provienen de los diferentes puntos de entrada? ¿Cuántas son evaluaciones de RFP y cuántas son de incorporación? ¿No estamos recibiendo muchas evaluaciones de incorporación? Bueno, ¿por qué no? Centrémonos en cómo aumentar ese flujo de trabajo. Entonces también podemos desglosarlo. Gracias a la plataforma predominante, podemos ver todas las diferentes fases de la evaluación y tenemos objetivos de nivel de servicio para cada una de las fases. Sabemos cuánto tiempo nos debe llevar desde que llega la solicitud hasta que se lanza al proveedor. ¿Cuántos días u horas se tarda en realizar esa evaluación? ¿Cuánto tiempo deberían tardar en rellenar el cuestionario y enviarnos toda la información? Y luego lo analizaremos. ¿Cuánto tiempo deberíamos tardar en hacer la recomendación final una vez que tengamos la información? Así que hacemos un seguimiento de todo eso para mejorar el rendimiento. Um, así sabemos cuáles son las duraciones por fases. Pero para KRIS, ahí es donde realmente le dices a la dirección: «¿Qué significa todo esto?». Y ahí es donde se pone realmente interesante, porque los datos que podemos extraer de la plataforma nos permiten ver cosas como: ¿cuáles son nuestros 10 principales riesgos en este momento? ¿Qué riesgos vemos en toda la empresa con nuestros proveedores? ¿Cuáles son los más comunes? También podemos combinar eso con nuestra plataforma de supervisión de la seguridad y ver cuáles son las mayores vulnerabilidades que estamos observando en este momento con nuestros terceros y en qué deberíamos trabajar con ellos y qué deberíamos abordar con ellos. Podemos analizar el desglose por unidad de negocio, el desglose por nivel. Podemos averiguar cuál es la unidad de negocio más arriesgada. Cuántas unidades de negocio tienen la mayor cantidad de compromisos que hemos recomendado evitar y que están procediendo, y averiguar cómo debemos trabajar con eso. Así que realmente nos gusta desglosarlo a nivel de unidad de negocio. Eso es realmente hacia donde nos dirigimos y podemos mostrarle los terceros por unidad de negocio y mostrar ese nivel de riesgo basado en la acumulación de los hallazgos que obtuvimos de todas las evaluaciones de riesgo.

Brenda: Es bueno saberlo, y sé que has trabajado muy duro en los KPI y KIS para tu gestión, y por eso se te considera un programa y un equipo de recursos, junto con ti mismo, que ha llegado tan lejos tan rápido. Recuerdo cuando hablábamos de hacer solo un par de lanzamientos a la vez y ahora estamos aumentando a 250 a la semana solo para los cuestionarios de estratificación, para poder obtener la información y saber qué tipo de evaluación hay que enviarles. Así que has pasado de tener solo unos mil proveedores que evaluar a... Realmente necesito investigar todo mi universo y eso podría ascender a... Estoy inventándome esta cifra. No digo que sea Lowe's, pero podría ascender a unos 14 000. Así que estamos tratando de averiguar muy rápidamente, con inteligencia de hilos y con estratificación y cuestionarios esenciales o de perfil, en qué tengo que trabajar primero. Es muy interesante ver cómo lo haces, y puede haber muchos números ahí fuera, y hay una diferencia entre datos e información, ya que podemos extraer muchos datos de todas partes, pero a menos que esos datos tengan realmente valor, se convierten en información si tienen valor y se pueden poner en práctica. Así que intentar tomar todos estos datos que podemos extraer de múltiples plataformas, resumirlos y luego entregarlos a los líderes y darles eso, lo que es información real, es fundamental.

Brenda: Sí. Cuando diseñaste el programa, pensaste en categorías, pensaste en etiquetas, pensaste en las tareas que habría que realizar. Pensaste en cada pequeño paso que podría ser necesario dar. Y luego, cuando te encontraste con una situación que no habías previsto, reaccionaste rápidamente para averiguar, vale, dónde enviar un montón de elementos esenciales o cuestionarios de perfil o estratificación, lo que tú llamas el cuestionario de recopilación de información de proveedores. Y a medida que llegan las respuestas, hay algunas que no responden. ¿Qué hacemos con ellas? Hay algunas que respondieron en cuestión de minutos. Ahora están listos para una evaluación. ¿Qué hacemos con eso? Ha sido muy divertido verte pasar por todo esto. Pero dicho todo esto, ¿cuáles son quizás las tres conclusiones clave? Puedes decir más de tres si quieres, pero ¿cuáles son las conclusiones clave que le dirías a todos los que están escuchando esta llamada y que te gustaría que aprendieran de tus experiencias en lugar de tener que experimentarlas ellos mismos?

Jefferson: En primer lugar, no intentes ser un lobo solitario. Lo aprendí por las malas. Hay otras personas, otros equipos, incluso dentro de tu propia empresa, que tienen las respuestas. Tienes que averiguar quiénes son, y no lo sabrás hasta que preguntes. Eh, ya sabes, mirando atrás, creo que podría haber hecho mejores preguntas a otros equipos al principio y haber encontrado respuestas que acabamos descubriendo tres o cuatro meses después. Realmente debería haber habido más colaboración desde el principio y nosotros somos muy buenos colaborando, pero se podría haber hecho más rápido. Volviendo al modelo del lobo solitario frente al equipo de fuerzas especiales, realmente se necesita un equipo para hacer esto, nadie tiene todas las respuestas y, bueno, eso fue importante, pedir ayuda. En nuestro caso, utilizamos sus servicios de asesoramiento, los servicios estratégicos, que nos ayudaron mucho porque, en primer lugar, descubrimos que, bueno,no somos tan diferentes de los demás, así que no estamos tan atrasados como los demás. Eso es bueno. En realidad, tenemos nuestros propios problemas y eso es normal. Descubrir que somos normales fue genial, porque cuando estás aislado, piensas que todos los demás están muy por delante de ti en cuanto a desarrollo y madurez y que realmente tenemos que ponernos al día. Bueno, resulta que eso era solo una ilusión. Pero hasta que no escuchas a personas de otros grupos similares y hablas con ellas e intentas descubrir una perspectiva fuera de ti mismo, no te das cuenta de eso.

Brenda: Sí.

Brenda: Muy bien. Entonces, vamos a mostrar un par de diapositivas sobre prevalencia, pero prepárense. Hay algunas preguntas que nos han llegado. Lo único que quería decir es que hay dos diapositivas sobre prevalencia. Somos líderes en el cuadrante mágico. Gracias por la asociación estratégica de empresas como Lowe's por ponernos en esta posición. Tenemos puntos fuertes en el producto y el servicio, la estrategia de producto, como ha mencionado Jefferson, y también en la comprensión de los mercados verticales y las industrias, y en la ayuda con la estrategia en ese espacio. Nuestro programa y nuestra plataforma se han expandido exponencialmente. Al trabajar con empresas como Lowe's y Jefferson y su equipo, nos damos cuenta de lo que se necesita para que los terceros tengan éxito e incluso para que los n-tos tengan éxito. Jefferson puede abordar el tema durante la sesión de preguntas y respuestas, ya que en algún momento lo está ampliando a la gestión de la cadena de suministro. Y ese es el tipo de cosas que nos gusta integrar en el programa para tener una visión holística, y él ha sido muy amable, ya que tenemos un programa de monitorización de amenazas, que es VTM, pero ahora utiliza Bitsite para su inteligencia de amenazas y nos hemos integrado con ellos para identificar las puntuaciones más altas, de modo que pueda armonizar y normalizar sus riesgos y hacer que los riesgos provengan de una plataforma concreta en lugar de que el proveedor tenga que acudir a ambas. Así que, Amanda, te voy a pasar la pelota para la pregunta de la encuesta. He visto que han llegado un par de preguntas, así que le daré más tiempo a Jefferson durante los próximos 12 o 13 minutos para que las responda.

Amanda: Sí, por supuesto. Voy a publicar la pregunta de la encuesta ahora mismo. ¿Tenéis pensado ampliar o establecer un programa de gestión de riesgos de terceros en los próximos meses? Acabo de lanzarla. Os pido que respondáis con sinceridad. Nos pondremos en contacto con vosotros. Probablemente yo misma me pondré en contacto con vosotros. Si aún no lo he hecho, seré sincera. He visto un par de nombres que ya conocía. Así que, hacedlo. Además, revisad vuestro correo no deseado si esperáis una respuesta. Solo quería decir eso también. A veces nos caemos ahí. Pero tenemos muchas preguntas para vosotros. La primera es: ¿podríais compartir los detalles y el enlace del marco de evaluaciones compartidas? No sé si es posible que lo hagáis.

Brenda: Formo parte del comité directivo de Shared Assessments y, si visitas sharedassessments.org, verás que tienen una sección de herramientas en su sitio web y puedes buscar el proveedor Vroom. También tienen el SIG, que es un estándar, y el SCA, que es su protocolo de pruebas in situ, que ahora realizamos de forma virtual, por lo que Shared Assessments.org es el mejor lugar para empezar y luego tienen un recurso de ventas llamado Vicky Dean y, si necesitas su dirección de correo electrónico, estoy segura de que está en el sitio web o puedes ponerte en contacto con nosotros y te la daremos para que puedas obtener información directamente de ella.

Amanda: Perfecto. Gracias, Brenda. La siguiente pregunta es: ¿cómo trata Lowe's a los terceros frente a los proveedores que suministran productos a sus tiendas? Los equipos independientes están muy unidos, especialmente los proveedores que ofrecen productos inteligentes.

Jefferson: Buena pregunta. En realidad es una mezcla y no se pueden dar detalles sobre quién es propietario de qué, pero diré que realmente estamos analizando todo. Y realmente se remonta a, ya sabes, hablar de la tríada de la CIA. No tiene nada que ver con la agencia de espionaje, sino con la seguridad de la información de cualquier activo. Imagina un triángulo en el que tienes la confidencialidad en un lado, la integridad y la disponibilidad, y normalmente el riesgo de seguridad de la información se centra en la confidencialidad, pero con la cadena de suministronos centramos en la disponibilidad, por lo que realmente eso también entra dentro de nuestro ámbito de competencia, porque ahora estamos estudiando la necesidad de garantizar que exista un plan de continuidad del negocio para que todos los fabricantes con los que trabajamos y todos los proveedores puedan suministrarnos productos y tengan el control necesario para sobrevivir a un ataque de ransomware o para poder continuar si ocurre algo malo o incluso si llega la COVID. Hice un ejercicio de simulación una vez sobre la planificación de la continuidad del negocio y elegimos una pandemia como escenario, meses antes de que llegara la COVID. No teníamos ni idea de que realmente iba a suceder, pero el análisis del impacto en el negocio de esa empresa, su BCP, pensaba que una pandemia sería el mayor problema y resultó que tenían razón. Era una empresa totalmente diferente cuando yo era consultor, pero tenían razón. Correcto. Así que, en cuanto a la cadena de suministro, si quieres consultar el NIST, recientemente ha publicado un marco de ciberseguridad mejorado, llamado versión 1.1, y tiene una sección dedicada al riesgo de la cadena de suministro, dentro de la categoría de identidad o identificación, y eso es importante porque nos ayuda a combinarlo con evaluaciones compartidas para determinar realmente qué controles debemos buscar para la cadena de suministro. Así que lo analizamos todo.

Amanda: Perfecto. De acuerdo. La siguiente pregunta es: ¿cómo gestionas los proveedores que no responden? ¿Responsabilizas a ISG por los retrasos, etc.?

Jefferson: No. Bueno, en primer lugar, trabajamos con la unidad de negocio. Volvemos de nuevo al modelo de tres líneas, en el que la unidad de negocio es la primera línea de defensa. Trabajaremos con ellos y con el proveedor, y les enviaremos recordatorios, que en realidad son automáticos, lo cual es estupendo si se basa en un plazo determinado. Trabajaremos con la unidad de negocio y les diremos: «Oigan, esto es lo que estamos encontrando. Quizás quieran ponerse en contacto con su proveedor y decirles que no estamos obteniendo respuesta». Al final, si no nos responden y les hemos dado oportunidades, es posible que terminen recibiendo un estado de «no recomendado».

Brenda: Bueno, quiero decir.

Brenda: Son letras rojas, así que eso es malo.

Amanda: ¿Entiendes lo que digo? Vale, sigamos. Esto es para ti, Brenda. ¿La plataforma tiene acceso a un repositorio de datos de proveedores o se obtienen a través de evaluaciones?

Brenda: Entonces, hay dos enfoques diferentes. Tenemos redes y tenemos intercambios. Algunas empresas deciden que solo quieren solicitar sus cuestionarios propios o que utilizarán el cuestionario del marco de control predominante, y otras empresas utilizarán el siguiente enfoque: si usted pertenece a un determinado sector, contamos con una red legal, y si pertenece al sector sanitario, contamos con una red sanitaria. Estamos más que dispuestos a crear una red minorista, pero estamos esperando a conseguir un par más de ese tipo de empresas que quieran utilizar los mismos estándares. Así que, por ahora, todas están utilizando sus propios estándares y queremos asegurarnos de que entramos en un escenario de mercado para ellas. Por lo tanto, se pueden realizar y completar evaluaciones y, si usted es una empresa que quiere utilizar una que ya está disponible, le permitimos hacerlo. Y si tienes tu propio contenido de cuestionario que necesitas absorber o recopilar, también te ayudamos a hacerlo.

Amanda: Perfecto. Muy bien. Volvamos a Jefferson. ¿Cómo gestionas los cambios en las relaciones comerciales? ¿Cómo se reflejan estos cambios en el tarado interno?

Jefferson: Sabes, esa es una buena pregunta. Y, eh, una forma de verlo es desde el punto de vista de la relación, que en realidad es la relación con la empresa y el nivel de compromiso. En teoría, lo que se quiere es evaluar todo en función del nivel de compromiso, o al menos eso es lo que hacemos nosotros. Así que una relación podría tener múltiples compromisos con la empresa, funciones empresariales totalmente diferentes, tipos de datos diferentes, etc., y esos compromisos se filtrarían hacia arriba, idealmente, si se dispone de un sistema de gobernanza, riesgo y cumplimiento, esos múltiples riesgos de compromiso se filtrarían hacia arriba hasta convertirse en un riesgo de relación general.

Amanda: Perfecto. Y otra pregunta para ti, Jefferson. ¿Cuáles son los nombres y dónde se encuentran los grupos de pares a los que te referías?

Jefferson: Bueno, lo primero que diré es que voy a echarle la culpa a Brenda por eso, porque ella fue quien nos puso en contacto con otros clientes que habían tenido retos similares y trabajamos con ellos. RH Isac es genial, al menos para nosotros, para el sector minorista. Hay diferentes ISAC para grupos de intercambio de información, esencialmente para diferentes sectores. En realidad son muy informales y puedes ponerte en contacto con otras empresas a medida que desarrollas relaciones y compartes las mejores prácticas sin revelar nada confidencial. Luego también hay conferencias locales, como las conferencias Isaka que tenemos aquí en la ciudad, y otras conferencias de networking en las que puedes conocer a otros profesionales del sector, contactar con ellos y establecer vínculos. Al menos en nuestra zona, el círculo de la seguridad de la información es pequeño. Mucha gente conoce a personas de diferentes empresas y se hacen cosas entre bastidores. Todavía no hay un grupo oficial de networking, pero esperamos poder llegar a tenerlo.

Brenda: Entonces, desde la perspectiva de Prevalent, si ya eres cliente de Prevalent, puedes ponerte en contacto con info prevalent.net para averiguar si puedes formar parte del equipo estratégico entre pares. Tenemos aproximadamente cinco tipos diferentes de empresas en el grupo y estamos tratando de que no crezca demasiado porque tenemos un enfoque muy sistemático. Invitarán a algunos de sus líderes a escuchar y solo los directores o los líderes a cargo de los programas estarán a cargo de los temas de discusión y, a través de equipos y chats, obtendrán información. Así que Jefferson traerá a tres o cuatro de sus empleados y ellos estarán en segundo plano haciendo preguntas a Jefferson, quien las planteará si son pertinentes para los temas, pero, de lo contrario, únase a Pre Prevalent y averigüe cómo puede participar y nosotros encontraremos la manera de que funcione.

Jefferson: Así es.

Amanda: Eh, tengo un par de preguntas más. Me gusta esta. ¿Cuál es el área o el tema que podría estar en el horizonte y que te preocupa en relación con los terceros?

Jefferson: Si nos fijamos en las mayores amenazas a las que se enfrentan los terceros en la actualidad, el ransomware es un término antiguo, pero sigue siendo muy frecuente. Por lo tanto, hay que asegurarse de que las empresas estén seguras. La gestión de parches nunca desaparece. Sigue siendo un problema con los terceros. Y, a medida que dependemos cada vez más de la tecnología operativa frente a la tecnología de la información, no existe una buena conexión entre ambas. Existe un riesgo enorme entre la TI y la TO, y muchas empresas aún no se han dado cuenta.

Brenda: Sí. Y creo que desde tu perspectiva, Jefferson, al analizar la gestión de la cadena de suministro, la resiliencia para poder entregar contenidos, productos o servicios a los clientes también es igual de importante ahora, ya que no solo estamos analizando el ransomware y los ataques desde el punto de vista de la amenaza, sino también qué consecuencias tiene esa amenaza para el suministro, el transporte o la fabricación.

Brenda: ¿Qué tal esta pregunta? Oh, lo siento. Jefferson, ¿seguías hablando?

Jefferson: No. Adelante.

Amanda: De acuerdo. ¿Qué hay del SIG 2020 de las evaluaciones compartidas? ¿Hay alguna diferencia importante entre 2018 y 2019?

Brenda: Creo que esa respuesta puede obtenerse directamente de las evaluaciones compartidas. Hacen un gran trabajo al compartir las diferencias que han implementado. Y, de nuevo, sharedassessments.org puede decirte cuáles son las diferencias entre 2019 y 2020. Creo que ese es el mejor lugar al que acudir. Creo que nuestro objetivo es tener los datos de 2020 disponibles en un futuro muy próximo, siguiendo las directrices de shared assessments. Así que usted también podrá consultarlos y, con suerte, podremos compartir cuál es el contenido de Delta.

Amanda: Muy bien, un par más si podemos. ¿Cómo se consigue la aceptación de las diferentes unidades de negocio para utilizar un nuevo proceso de plataforma, etc.?

Jefferson: No es fácil hacerlo. Hay mucha concienciación sobre seguridad que se desarrolla entre bastidores, ya que, como sabéis, octubre es el mes de la concienciación sobre seguridad o el mes de la concienciación sobre ciberseguridad. Así que estamos aprovechando eso, haciendo muchas giras de presentación, muchas presentaciones dentro del equipo y difundiendo el mensaje y educando a la gente con el tiempo, solicitando sesiones de almuerzo y aprendizaje y hablando con diferentes equipos. Si tienes prisa, no se hará rápidamente, pero con el tiempo, cuando la gente vea que realmente estás aquí para quedarte, que no te vas a ir y que eres relevante para ellos, empezarán a acudir a ti.

Brenda: Otra cosa empática que has estado haciendo es, a veces, acercarte a personas como, por ejemplo, una unidad de negocio que tiene la responsabilidad de más de 20 proveedores. Me he dado cuenta de que también te has acercado a ellos y les has dicho: «Hola, aquí estamos. Vamos a ayudaros y esto es lo que creemos que os pertenece. ¿Es correcto?». Así que has sido muy empático y creo que ese enfoque te ha servido de mucho.

Jefferson: Es una buena observación.

Amanda: Muy bien. Una última pregunta para la que creo que tendremos tiempo es: ¿el acuerdo de nivel de servicio (SLA) de 25 días se refiere a una determinación o a completar todo el proceso de adquisición? Buena pregunta. Y no, eso es para que entreguemos nuestro informe final. Ese es nuestro objetivo.

Brenda: Sí. Es decir, desde la recopilación hasta el análisis, pasando por la identificación, verificación y validación de riesgos, con el fin de obtener un informe final que indique cuáles son los riesgos. Se recomienda, se recomienda con medidas correctivas o no se recomienda. Eso lleva 25 días. Y han cumplido bastante bien con ese plazo de entrega.

Amanda: Me encantaría verlo. Muy bien. Hay una última pregunta. En cierto modo, ya la habéis respondido, pero voy a repetirla una vez más. ¿Cómo gestionáis las evaluaciones de última hora en las que un proveedor no puede o no quiere participar? No se puede acceder... No se pueden evaluar los riesgos cuando no hay información. ¿Pregunta?

Jefferson: Entonces no hay información y nos basaremos en lo que tengamos. Si contamos con una plataforma de calificación de seguridad, como Bit Rating, la utilizaremos. Utilizaremos todo lo que podamos conseguir y analizaremos si han tenido incidentes de seguridad en el pasado. Daremos una recomendación, pero también lo diremos y lo subrayaremos con el conocimiento de que sabemos que existe el riesgo, pero no sabemos mucho. Necesitamos saber más y dejar que la unidad de negocio tome esa decisión.

Brenda: Creo que has estado aumentando un poco el riesgo al afirmar que son de mayor riesgo porque estás utilizando lo que hay disponible en lugar de lo que les pides que proporcionen.

Amanda: Correcto.

Amanda: Bueno, eso es todo por ahora. Es el comienzo o el final de la hora. ¿Cómo funciona eso? No lo sé. Son las 11:00 a. m. aquí en Arizona. Muy bien, todos. Espero que lo hayan disfrutado. Muchas gracias, Jefferson y Brenda. Un placer. Encantada de conocerte, Jefferson. Y nos vemos la próxima vez.

Brenda: Gracias, Amanda. Y felicidades de nuevo, Jefferson. Adiós.

Jefferson: adiós, Jefferson. Adiós.