NYDFS y la gestión de riesgos de terceros: Cómo le afecta a usted

Melissa: Hola y bienvenidos a todos. Es estupendo ver que empezáis a uniros. Os daré un minuto mientras esperamos a que la gente se sitúe y se conecte. Um, mientras tanto, voy a lanzar nuestra primera encuesta. La verán aparecer en su pantalla. Tengo curiosidad por saber qué te trae al webinar de hoy. Um ya sabes, ¿estás en las etapas iniciales de tu TPR y programa? Tal vez un cliente prevalente actual. ¿Es educativo? Tal vez simplemente te encanta. asistir a webinars, es tu hobby, házmelo saber. Y empecemos muy rápido con una introducción. Mi nombre es Melissa. Trabajo aquí en desarrollo de negocios. Y hoy nos acompañan dos invitados especiales. El vicepresidente senior de productos y servicios globales de Prevalent, Alistister Parr, y el experto en soluciones y gestor de contenidos Thomas Humphre. Hola, chicos.

Hola. Gracias por recibirnos. Sí, por supuesto. Y también tenemos aquí a nuestro Scott Lang, vicepresidente de marketing de producto. Hola, Scott. Hola Melissa, ¿cómo estás? Bien. Y hoy, sabes qué, Thomas y Alistair van a discutir NYDFS y la gestión de riesgos de terceros y cómo le afecta. Así, como un poco de limpieza, um, este webinar está siendo grabado, por lo que recibirá esto junto con la presentación de diapositivas poco después de este webinar. Y están todos silenciados. Así que usen el chat si necesitan comunicar algo que no sea una pregunta para el cuadro de preguntas y respuestas. Y sin más preámbulos, dejaré que Thomas y Alistair entren en acción. Adelante, chicos.

Muchas gracias. Y sólo para rein Por supuesto, si usted tiene preguntas que le gustaría que respondamos y tratar de tejer en nuestra conversación, por favor no dude en hacerlo. Uh reforzaría el Q & A en comparación con el chat que uh que tiene una oportunidad mucho mejor de llegar a nosotros y vamos a tratar de tejer en a medida que avanzamos a través de él. Muchas gracias por acompañarnos hoy. Sólo para reiterar para aquellos que no han oído hablar de nosotros antes, soy Alistister Parr. Soy el vicepresidente de productos y servicios de Prevalent. ¿Y por qué estoy personalmente cualificado para hablarles de esto? He tenido el placer de auditar durante la mayor parte de una década uh en el pasado sobre todo en torno a terceros programas de gestión de riesgos que he estado expuesto a cientos de terceros programas de ciclo de vida y estoy acompañado hoy por el uh el ilustre Thomas Humphre Thomas ¿por qué está calificado para hablar con nosotros hoy acerca de mi DFS

Thomas: um sí hola Alistister hola a todos um así que sí soy el gerente de contenido en prevalente así que ayudo a diseñar y uh implementar evaluaciones uh sentarse a través de una variedad de normas y marcos, no menos importante en la información, la seguridad cibernética y la privacidad. ISO, NIST, GDPR y, por supuesto, NYDFS. Antes de esto, he sido auditor ISO durante casi 10 años. Así que sí, muchas evaluaciones a través de muchas normas y marcos diferentes. Alistair: Muchas gracias, Thomas. Ahora todos vamos a disfrutar de sondear a Thomas hoy y obtener algunas ideas específicamente sobre NYDFS. Pero las cosas que vamos a cubrir con un poco más de detalle, vamos a introducir NYDFS en el sentido de um NYCR uh 500, lo que significa. Vamos a cubrir la forma de identificar y clasificar a los proveedores de servicios de terceros específicos para el marco. Veremos cómo aplicar la diligencia debida al evaluar a terceros y luego pasaremos a la continuidad. ¿Cómo mantenerla a lo largo del tiempo? ¿Cómo nos centramos en la resistencia y la recuperación y, en concreto, en los requisitos de notificación de incidentes? Thomas, para empezar, no dudes en darnos tu opinión.

Thomas: Sí, absolutamente. Um, y sí, bienvenidos todos al webinar de hoy. Así que, para aquellos de ustedes que no son conscientes de uh NYDFS uh marco de seguridad cibernética, voy a entrar en algunos de los detalles un poco más tarde, pero creo que vale la pena sólo tocar y tal vez dar un paso atrás en mirar lo que está sucediendo no sólo en Nueva York, pero en todo el sector financiero en general. Um, y si usted mira hacia atrás en los últimos dos o tres años, ha habido un aumento continuo de muchas amenazas diferentes um predominantemente amenazas cibernéticas. Um y estos están creciendo. Hemos visto muchas organizaciones como el FMI um destacar sus preocupaciones um donde se necesita un mayor enfoque en la aplicación de las mejores prácticas de seguridad. Se ha informado de que ahora hay cerca de 20 un poco más del 20% de los casos de pesca. En cuanto a las industrias más importantes a nivel mundial, más del 20% de esos casos en 2021 se centraron en el sector financiero. Ha habido un aumento año tras año en las amenazas de ransomware. Y, ciertamente, si nos remontamos a principios de 2020 hasta 22 e incluso a principios de este año, el volumen de ataques notables y de alto perfil, como Solar Winds, log 4J y otras amenazas dirigidas, han causado un efecto dominó y un daño dominante en las cadenas de suministro. Um y no menos importante esto ha impactado en el sector financiero. Ha habido un aumento en los ataques basados en la web, inyecciones SQL, cross-sight scripting, cualquier ataque dirigido a sitios web corporativos y sistemas web y cualquier cosa para implantar código malicioso a un nivel específico. Y, por supuesto, tenemos la tendencia creciente en el volumen de la cadena de suministro y el aumento de la cadena de suministro y la dependencia de los proveedores. Entonces, ¿qué está causando este aumento de las amenazas cibernéticas? Bueno, hay varias áreas diferentes que podemos discutir. Bueno, tal vez el más pertinente a destacar es este concepto de transformación digital. No es un tema nuevo. Ha estado en vigor desde hace probablemente cerca de 10 años, si no un poco más. Pero como estamos viendo que las organizaciones financieras gastan más tiempo y más dinero invirtiendo en nuevas tecnologías, nuevas aplicaciones y sistemas y soluciones, ha aumentado la dependencia de todas estas diferentes tecnologías y con ello esa mayor dependencia en el uso de múltiples terceros. Y así estamos viendo este efecto de um uh exposición y una mayor exposición a los gustos de estas amenazas de pesca y ransomware y y y y otros ataques. Y es muy cíclico en la naturaleza porque ahora aumenta la visibilidad a través de la cadena de suministro más amplia también. Y mirando hacia atrás hacia cómo estamos asegurando nuestro viaje a través de la transformación digital y el aumento de la inversión y la aplicación de tecnologías y servicios tecnológicos. Así que hay muchas amenazas que están aumentando significativamente y ciertamente lo suficiente como para justificar que muchos reguladores y organizaciones importantes a gran escala, como mi DFS, intensifiquen su juego y lleven la ciberseguridad a la práctica.

Alistair: Supongo que vale la pena señalar, Thomas, que antes de que empieces a entrar en más detalles sobre la regulación, entiendo que está muy centrada en la cibernética, pero para la edificación de todos, estamos viendo un montón de tendencias interesantes en las que estamos viendo un enfoque adicional. Así que el ciberespacio es, por supuesto, un componente central, como es de esperar, pero el aumento de la atención, como puede haber visto en algunas de nuestras otras sesiones de webinar sobre cosas como ESG, por ejemplo, es relativamente actual, una mayor resiliencia de la cadena de suministro y, por supuesto, la privacidad en muchas áreas. Este es sólo un segmento de una transformación digital más amplia que estamos viendo en el espacio donde la gente está empezando a considerar los acontecimientos geopolíticos, por ejemplo, o los acontecimientos ambientales que están ocurriendo o impactando en la cadena de suministro con un poco más de detalle. Por lo tanto, es um es ciertamente interesante, pero um para el enfoque de hoy en NYDFS, Thomas, ¿podría darnos un poco de penetración en la propia regulación y lo que está tratando de lograr?

Thomas: Absolutamente. Y empecemos con una introducción básica. Um así, yo uso el término NYDFS. Usted verá un nuevo término aquí. Um nos encantan nuestros acrónimos um para aquellos de nosotros que han estado en un webinar prevalente antes. Y estamos viendo la regulación 23 NYC RR500. Así NYDFS es el departamento real en el Estado de Nueva York responsable de la gestión y y y la distribución y y y um garantizar que los reglamentos se llevan a cabo um apropiadamente y y y correctamente. Pero el actual NYCRR son los códigos de Nueva York normas y reglamentos y es esta parte del marco um que se ocupa de la seguridad cibernética. Así que este es un reglamento que ha sido aplicado por NYDFS y el propósito es proporcionar un enfoque bastante prescriptivo um pero estructurado para que las organizaciones apliquen las mejores prácticas de seguridad cibernética. Um, como verás en las diapositivas que vienen um hay un montón de diferentes controles um a través de una gran cantidad de diferentes áreas de algunos de ellos que tal vez será muy similar a las organizaciones, ya que como veremos um a través de los gustos de ellos IDFS. Um cuando um reguladores como lo siento NYDFS desarrollar estos marcos, que siempre se centran en donde las mejores prácticas se encuentran, las mejores prácticas a través no sólo de su industria, pero las industrias más amplias y ciberseguridad um espacio también. Así que hay muchos puntos en común entre los conjuntos de control y las expectativas de la regulación NYCR 500 y las de ISO y NIST y otros estándares de mejores prácticas no regulatorios. Por lo tanto, se trata de la gobernanza y los controles operativos y vamos a desglosar los controles um en un corto tiempo. Um, pero en gran medida el enfoque es que la validación de decir estas son las mejores prácticas uh requisitos que requerimos uh las empresas a aplicar. Um y si se aplican correctamente, debe ser una buena demostración de su postura general de seguridad. Uh, por supuesto, hablo en el punto de vista singular en términos de la aplicación de una organización de la regulación. Um, pero como veremos hoy, también hay un fuerte vínculo y la expectativa de cómo aplicar este marco a sus terceros y para la cadena de suministro más amplia también. Interesante. Thomas, ¿hay algún factor que explique por qué se presta tanta atención a las normativas y marcos políticos específicos? Hacia la cadena de suministro. Obviamente ha mencionado el hecho de que previamente ha habido un aumento de los ciberataques, pero ¿hay algún motivo real por el que mi DFS se haya centrado en la resistencia de terceros y en el riesgo de la cadena de suministro?

Thomas: Interesante pregunta. Así que sí, como usted ha mencionado, obviamente uno de los impulsores siempre será donde hay amenazas nuevas y emergentes y donde hay un fuerte aumento de la amenaza, como la pesca y el volumen de ransomware. Pero es también Así que por lo general encontramos donde y tal vez aquí es donde la pieza de la transformación digital entra en bastante n bastante claramente porque fuera de um si usted toma um la seguridad cibernética fuera de la ecuación sólo se centra en la cadena de suministro um donde hay necesidad de mucho de mucho más interoperabilidad entre las organizaciones financieras por ejemplo um y la necesidad de tener una más abierta uh medio ambiente y más sociedad más abierta algo que por supuesto hemos visto um con bastante rapidez. Si nos fijamos en los últimos dos años y y una de las compensaciones de la pandemia um uh en 2020 que causó un enorme impulso para mucho más um uh capacidad para las organizaciones financieras y sus clientes para poder interactuar con sus clientes de una manera mejor, de una manera más fluida. Y, por supuesto, esto siempre ha conducido y siempre conducirá a una apertura de la cadena de suministro y y y y y agarrar y y y la interacción con más proveedores. Um, pero como usted ha indicado Alistair, por supuesto, uno de los otros vástagos de este um fuera de la seguridad cibernética, por supuesto, es mirar a esas otras áreas que se están convirtiendo en mucho más actual como ESG um y la y la procedencia del producto y el servicio que terceros que las organizaciones financieras están utilizando.

Alistair: Gracias, Thomas. Cuénteme más sobre el reglamento. Thomas: Sí. Um He mencionado al principio que esto se centra, obviamente, en Nueva York y el Estado de Nueva York y las organizaciones financieras um uh que son que se basan y operan dentro del estado. Sin embargo, es importante tener en cuenta que incluso desde el principio uh NY DFS estableció ciertas exenciones uh y el propósito de estas exenciones no es decir que usted no necesita cumplir con cualquier aspecto de la regulación, pero dado el tipo de organización que usted es puede haber una reducción del tipo de controles y el volumen de los controles. Así que si vemos en el lado izquierdo las organizaciones que tienen menos de 10 empleados, menos de 5 millones de dólares en ingresos brutos y menos de 10 millones de activos cercanos y en la parte inferior las organizaciones que no tienen ningún control o acceso a los sistemas de información de información no pública mirando a la derecha no necesitan cumplir con esos controles. Así que si usted ve en el nivel superior, que no necesitan un CESO formal. Um hay aspectos en torno a la seguridad de las aplicaciones, seguimiento de auditoría, uh formación y seguimiento que no son formalmente aplicables. ¿Qué quiero decir con esto? Que pueden seguir aplicándolos como marco de mejores prácticas y como metodología y enfoque generales de mejores prácticas. Pero significa que desde una perspectiva reguladora y cuando se valide ante el propio regulador. Ellos no necesitan proporcionar esa evidencia para decir um tenemos un CESO y los requisitos que vienen con tener un papel um uh global para gestionar la seguridad cibernética en la empresa. Um así que sí, por lo que NIDFS han establecido un conjunto de exenciones um que están llevando a cabo incluso ahora cuando estamos mirando las normas propuestas, algo que voy a entrar en un corto tiempo um porque ha habido actualizaciones recientes um um uh propuestas para el marco que estamos esperando para entrar en funcionamiento a finales de este año.

Melissa: Hey Thomas, muy rápido um llegó una pregunta rápida. ¿Puedes confirmar si estas excepciones son para la entidad y no para nuestros proveedores externos? Thomas: Así que estos son para lo que NYDFS listas como una entidad cubierta. Eso es que es correcto. Sí. Debería haberlo mencionado. Mis disculpas. Como toda buena regulación y marco. Um NYDFS establece um algunos claramente definidos uh terminologías. Um y uno de los cuales es lo que llama un um una entidad cubierta. Um y son estas organizaciones las que tendrían estas exenciones en su lugar. Um

Thomas: uh sí, Melissa: eso es. Gracias. Alistair: Gracias, Thomas. Y sólo para ampliar eso, apreciar que hay algunos cambios propuestos específicamente en torno a cosas como la ampliación de las obligaciones de información, etc. Vamos a tocar en eso un poco en un poco más de detalle más adelante también. Así que gracias. Por favor, sigan con las preguntas. Thomas, ¿podría explicar las diferencias entre los controles de gobernanza y los controles operativos? Thomas: Por supuesto. Ahora es cuando entramos en más detalles sobre cómo está estructurado el NYDFS como marco. Como pueden ver en la pantalla hay 17 viñetas diferentes. Cada uno de estos puntos representa un conjunto diferente de controles. Así, desde los programas de seguridad cibernética y las políticas a través de los controles que cubren la gestión de activos y la continuidad del negocio, un área que vamos a cubrir más tarde hoy, así como los controles operativos o técnicos, si se quiere, en torno a la gestión de la vulnerabilidad y las pruebas de penetración, el uso de aplicaciones, la gestión del acceso a los sistemas, el cifrado y muchos más. Y es importante señalar que he capturado específicamente de esta manera porque um, dado que hay hay un fuerte énfasis de NYDFS para crear un um estructurado, enfoque o sistema de gestión estructurado, si se quiere, um al desarrollar um o o o la aplicación de NYDF NYDFS requisitos de adoptar el enfoque de la gobernanza global enfoque. Así que la respuesta de la alta dirección desarrollando políticas y procesos, estableciendo evaluaciones de gestión de riesgos y luego buscando controles técnicos y operativos que puedan complementar esos controles de gobernanza, creo que es una forma sensata de enfocarlo. Habrán notado que hay cuatro áreas en particular que están en negrita y esto representa y aquí es donde las propuestas entran en las cuatro áreas donde la redacción del tema de las áreas de control ha cambiado. Así por ejemplo en 500.04 en el caso actual estamos viendo al jefe de seguridad de la información. Um esto ha cambiado ahora a la gobernanza de la seguridad cibernética y de nuevo subrayar algunos de los cambios propuestos uh que están llegando que son los que están explicando que sí los jefes de seguridad de la información son importantes y la supervisión general y la línea de información uh que proporcionan a una organización, pero hay más énfasis en el uso de la alta dirección y la gestión a nivel de consejo si eso es apropiado para la organización. Así que hay mucho más énfasis que estamos encontrando en la expansión de muchos de estos controles. Y en una vena similar a la respuesta a incidentes y continuidad del negocio. Um así que no es que estos temas no estaban allí en la versión actual, es sólo que se han ampliado. Um y al si no te importa hacer clic una vez más, Creo que hay una pequeña animación que debe venir. Sí. Y también vale la pena señalar esta pieza también. Así que hablé en la diapositiva anterior sobre cómo Hay algunas exenciones basadas en el tipo de organización que eres. Si usted no tiene información no pública, por ejemplo, o uh sistemas de información, bueno, hay otra regla uh alrededor del concepto de las llamadas empresas de clase A y como se puede ver, es casi llevarlo al otro extremo. Por lo tanto, las organizaciones que tienen ingresos superiores a 20 millones de dólares EE.UU., que tienen más de 2.000 empleados, y hay reglas adicionales y controles adicionales uh que están impresos en esas organizaciones. Um así que para darle un ejemplo, el requisito de tener una auditoría independiente en el negocio sobre una base anual para llevar a cabo una evaluación de su aplicación de NYDFS. Um así que de nuevo, es interesante ver donde están manteniendo um um esas excepciones para decir que entendemos las empresas de cinco empleados o menos que tienen muy mínima um o de o o muy mínima interacción con los sistemas de información sensibles. Algo de esto puede ser demasiado para ellos. Um y por eso necesitamos un conjunto más consolidado de controles. Y el otro extremo para los altos um uh esas organizaciones más grandes, son controles adicionales que necesitamos para impresionar a ellos. Así que mucho cambio, mucha similitud con la estructura y el propósito de la NYDFS, pero hay algunos momentos emocionantes en términos del tipo de controles que están sacando y que están ampliando.

Alistair: Ahora, una de las cosas que he encontrado particularmente interesante, Thomas, es cuando la gente ha estado planteando algunos de estos cambios propuestos, uh específicamente en torno a algunos de los uh la ampliación de las obligaciones de información, ha habido cierta preocupación sobre cómo la gente va a ser capaz de informar de manera efectiva, por ejemplo, digamos, digamos que hay una obligación de 72 horas se propone uh en el caso de una cuenta privilegiada o un usuario no autorizado obtener acceso a una cuenta privilegiada o eventos que han dado lugar a ransomware uh o incluso en algunos casos en los que ha habido extorsión y pagos, la gente está preocupada acerca de cómo van a cumplir con esas obligaciones. Lo que me pareció bastante interesante es que hay un poco de resonancia allí con lo que hemos visto en la privacidad en todos los ámbitos en los que hemos visto los requisitos de información impuestas por cosas tales como GDPR. Hubo cierta controversia y preocupación inicial sobre cómo se aplicaría y luego muy rápidamente vimos la industria y los mecanismos reaccionan en consecuencia para asegurarse de que la gente era capaz de a identificar este tipo de incidentes y eventos en el momento oportuno. A continuación, b) empezar a incorporarlo a los contratos de los proveedores, de modo que si, por ejemplo, un tercero tiene un incidente y una entidad cubierta tiene que reaccionar en consecuencia, los mecanismos estén establecidos tanto contractual como tecnológicamente para poder apoyarlo. Así que ciertamente ha habido algunas conversaciones interesantes relacionadas con las enmiendas propuestas. Estoy seguro de que has visto lo mismo.

Thomas: Absolutamente. Y sí, siempre es una de las áreas clave a las que nos enfrentamos. Sé que no sólo para um esto, pero para otros que usted ha mencionado um usted sabe que si nos fijamos en la privacidad en general en los gustos de GDPR e incluso el más reciente de la CPA en California con la nueva ley de derechos de privacidad y y y y es importante, obviamente, para los propios reguladores y y creo que en gran medida lo hacen um hacer um tener eso en cuenta en términos de um usted sabe notificaciones para responder a responder al regulador en particular el sufrimiento cuando cuando usted está mirando a las violaciones de datos um y y la diversidad del tipo de organización que están tratando también. Um, así que mucho de esto se tiene en cuenta y es importante tenerlo en cuenta. Um así que sí,

Alistair: fantástico. Thomas: Mirando hacia adelante entonces um así que he mencionado que ha habido algunos cambios. Voy a tocar brevemente tal vez algunas de las áreas más uh pertinentes. He identificado tres cambios clave. Uno que he etiquetado como el desarrollo de políticas y procesos, la mejora del control operativo y, a continuación, los incidentes y la continuidad del negocio. Todos ellos con el objetivo general de mejorar y reforzar los conceptos de las mejores prácticas de seguridad. Empezaremos con la primera parte, relativa al desarrollo de políticas y procesos. Siempre ha existido la necesidad de tener una política de seguridad dentro del NYDFS y a menudo han enumerado una serie de políticas que van desde el control de acceso a la gestión de activos, por ejemplo, la política de incidentes y así sucesivamente. Y hemos visto de nuevo un aumento, o parece un aumento, a través de la enmienda propuesta, no en el volumen de políticas y procedimientos o documentación de procedimientos, sino en la mejora de esos documentos. Así que, por poner un ejemplo, la gestión instantánea y la continuidad del negocio permanecen en el reglamento actual. Um que se ha ampliado a tener su propio conjunto de controles prescriptivos y cómo un plan de continuidad es realmente desarrollado um y los aspectos clave que deben ser cubiertos. Del mismo modo, para la gestión de activos, por ejemplo, una mejora de la política y la necesidad de que la política incluya productos al final de su vida útil, por ejemplo, qué ocurre con un activo al final de su vida útil y cómo se elimina de manera adecuada. Así que ha habido un aumento en la gobernanza desde el concepto de política y proceso antes de mirar a los controles técnicos, los controles operativos mejorados y he mencionado tres aspectos clave: autenticación de activos y monitorización de amenazas. por ejemplo, el NYDFS ha notado en los últimos dos o tres años que un control que no era suficiente para lo que no estaba siendo suficientemente implementado por muchas empresas era la autenticación multifactor. Ahora hay un control separado centrado en MFA y de nuevo este aspecto está incluido y ampliado dentro de los componentes de control de acceso de NYDFS. Así que se ve la necesidad de mejorar el requisito de cómo se desarrolla la MFA o en qué puntos del proceso o en el sistema se está utilizando la MFA. En la misma línea, la supervisión de amenazas y la frecuencia con la que se llevan a cabo las pruebas de penetración de las evaluaciones de vulnerabilidad. Y, finalmente, como veremos en unos momentos, una expansión bastante significativa en torno a la respuesta a incidentes, la gestión de incidentes y el ciclo de vida completo de la continuidad del negocio y la recuperación de desastres, el proceso de planificación y las pruebas, y lo interesante de estos tres aspectos es que cada uno de ellos ha mejorado en cierta medida desde la perspectiva de terceros. Así, por ejemplo, la forma en que la política de terceros es requerida y lo que se requiere dentro de esa política de terceros, la relación entre sus terceros y algunos de los controles técnicos, así como el nivel de respuesta que un tercero debe proporcionarle si sufre un incidente o un evento que le haría poner en marcha un plan de continuidad, por ejemplo. Así que hay un fuerte vínculo con la gestión de terceros a través de cada uno de estos tres uh cambios.

Alistair: Así que apreciamos que hay unos cuantos cambios más significativos que realmente van a impactar en cómo responde la gente. Thomas basado en lo que has visto con MIDFS en el pasado. Aprecio que ha estado yendo para el proceso de consulta ation buscando retroalimentación en enero. ¿Tiene alguna idea de cuándo espera la gente que entre en vigor? Thomas: Sí. Por lo tanto, por lo general cuando van a través de estos procesos, que ofrecen una que dan una orientación de um siempre lo hacen en días. Creo que son 180 días o 6 meses desde la fecha de la enmienda. Uh y la fecha de enmienda fue alrededor de octubre de 2022. Así que creo que estamos mirando entre la expectativa actual porque la pieza de consultoría se ha cerrado a finales de enero y por lo que si esa línea de tiempo es correcta estamos mirando a un período de tiempo de abril entre abril y mayo de este año. Así que no muy lejos de dos meses más o menos. Um, pero sí la pieza de consultoría se ha cerrado um a partir de finales de enero. Um lo que también significa que no debemos esperar ningún cambio significativo aparte de lo que ya está ahí en la propuesta.

Alistair: ¿Cuál sería su orientación general, Thomas, para empezar a asegurarnos de que disponemos de los mecanismos de control pertinentes para poder acomodar el proyecto actual en su forma actual? Thomas: Absolutamente. Sí. Quiero decir que una vez que se llega a esta etapa, hay que decir que una vez que se ha producido la enmienda, el proceso de revisión se ha cerrado, es un momento muy apropiado para empezar a mirar esos cambios, mirando lo significativos que son, mirando esa evaluación de la brecha entre lo que tienes ahora y lo que se requiere para cambiar y mirando quizás las áreas más significativas que han cambiado, como la continuidad del negocio. Um así que sí, es creo que es un momento adecuado para empezar a hacer esos ajustes o al menos la realización de esas revisiones para entender la importancia de esas lagunas se basan en lo que estás haciendo actualmente.

Alistair: Tiene sentido. Teniendo esto en cuenta, ¿cómo empezamos a identificar a los proveedores de servicios de terceros? Y una pregunta que nos han hecho un par de veces es cómo tenemos en cuenta a las grandes empresas de SAS, que normalmente son menos reacias a compartir y permitir cosas como el pentesting in situ. Thomas: Sí, eso es siempre un enigma. Siempre es un escenario que causa un poco de constonation cuando se trata de esas organizaciones muy grandes. Los proveedores de la nube son siempre un buen ejemplo de ello. Voy a llegar a eso en un momento. Así que sí, si usted piensa desde el principio de si usted está comenzando en el proceso, obviamente tenemos que entender nuestros terceros. Tenemos que ser capaces de identificar quiénes son nuestros terceros, lo que están haciendo, um donde están, geográficamente, el tamaño de ellos, la complejidad, lo involucrados que están. Um, así que, obviamente, desde una perspectiva MIDFS, tal vez estamos buscando si tienen acceso a cualquier información no pública o sistemas de información? Um cómo uh qué tipo de uh oferta de servicios están proporcionando que pueden ser considerados de misión crítica para nuestro objetivo final como negocio. Así que realmente la identificación de cada tercero individual y empezar a construir un perfil de ellos. Um, entender los volúmenes de datos que están procesando, dónde están geográficamente, qué tan grande es su organización. ¿Son proveedores de una sola fuente? Esto es a menudo un área crítica sólo para subrayar y tener en cuenta. Y toda esta información ayuda a construir esa imagen de dónde están sus terceros y comienza a armar cómo nos acercamos a evaluarlos o cómo vamos a acercarnos a evaluarlos o comprometernos con ellos en términos de entender qué controles necesitamos imponerles o evaluarlos con respecto al marco del NYDFS. Uno de los aspectos clave de esto, por supuesto, son las relaciones y empezar a pensar en la cadena de suministro y empezar a tender puentes entre las relaciones entre todos estos diferentes proveedores y empezar a ver lo compleja que es la cadena de suministro. Um um y y el uso de algunos de la información basada en el perfil, obviamente, para hacer eso. Um y una vez que, obviamente, estamos llegando a la etapa en la que sabemos quiénes son nuestros proveedores, sabemos lo grande que son, el volumen de los proveedores, sabemos dónde están um y y el tipo de productos y servicios que están suministrando a nosotros, entonces podemos, con suerte, empezar a ver cómo podemos nivelar estas organizaciones. Así que las organizaciones que tienen información o datos muy sensibles, por ejemplo, um que tienen tal vez grandes volúmenes de registros financieros que están ayudando a procesarlos para nosotros. Tal vez queramos naturalmente capturarlas como terceras partes críticas de prioridad uno frente a otras organizaciones que nos proporcionan trabajo de consultoría tal vez in situ dentro de nuestras instalaciones. Um, pero tal vez sobre la base de la complejidad de la empresa sería más abajo en la cadena de de proveedores escalonados. Así que niveles tres, cuatro, cinco si es necesario. Lo siento. Perdón, perdón. Una pregunta rápida. Entiendo que una gestión de riesgos pragmática y proporcionada, basada en el perfilado y el desglose, es más o menos la norma del sector desde esa perspectiva. ¿Cuánto margen de maniobra y flexibilidad da NYDFS en relación con la comprensión de cómo los controles compensatorios uh puede hacer frente a otros requisitos. Así, por ejemplo, pueden cumplir la mayoría de los requisitos básicos, pero digamos que hay una o dos lagunas que podrían no ser aplicables sobre la base de perfilado y tarado. ¿Pueden los controles compensatorios apoyar eso?

Thomas: Uh pueden hasta cierto punto. Depende del tipo de control. El NYDFS deja claro que en muchos casos podría considerar que un control compensatorio es una cobertura adecuada para algo que sería más ideal. Um todavía hay un requisito para el reconocimiento formal uh y firmar um desde una perspectiva de gobierno. Antes de la propuesta, la atención se centraba en el director general y en asegurarse de que había hecho la debida diligencia y supervisión para asegurarse de que esos controles son suficientes y se han aplicado correctamente. Um y sí, no veo que eso cambie en la propuesta también.

Interesante. Gracias. Así que cuando se trata de establecer realmente la remediación proporcional basado en la eficiencia controlada, es sobre la base de que tenemos un conjunto de obligatoria desde esa perspectiva y apreciar realmente tenemos que empezar a rastrear uh cualquier comentario u observaciones que hacemos ¿cómo tienden a ver la debida diligencia se aplica así y esto Thomas: Sí, así que supongo que hay un par de puntos clave aquí y aquí es donde la regulación NYDFS y y ciertos controles en la regulación se vuelven muy pertinentes y y y y crítico Así que cuando usted está pensando en el nivel superior de la aplicación de la revista y la evaluación por terceros por dónde empezamos y siempre debe comenzar con la comprensión de lo que su riesgo de terceros es. Ahora hemos pasado por el concepto de la construcción de una imagen de nuestros terceros um y otra vez tipo de énfasis uh la necesidad de desarrollar un marco claro de gestión de riesgos um que NYDFS sugiere um Proporciona esa estructura clara en términos de riesgos de terceros deben ser gestionados, deben ser identificados, deben ser registrados y revisados continuamente. Um, y ese es realmente el primer paso en la identificación de lo que tenemos que centrarnos en cuando estamos mirando a nuestros terceros, porque una vez que hemos identificado los riesgos, una vez que hemos establecido un programa en el lugar en um en la captura de esos riesgos, entonces podemos empezar a ver cuáles son los controles más apropiados um no sólo desde una perspectiva de gobierno, sino también desde una perspectiva de seguimiento que tenemos que impresionar a nuestros terceros. Ahora bien, cuando digo inculcar a nuestros terceros que es tanto desde un punto de vista contractual y diciendo que estas son las expectativas que necesitamos para poner en práctica sobre la base de lo que usted está proporcionando a nosotros, sino también que en curso um uh diligencia debida que en curso um revisión um auditoría um y y la supervisión del rendimiento para asegurarse de que los controles que son requeridos por NYDFS y que son necesarios para ayudar a hacer frente a esos riesgos um, obviamente, se están aplicando adecuadamente. Y, por supuesto, esta naturaleza cíclica en curso de este proceso um, obviamente, ayuda a construir um oportunidades de mejora y, obviamente, reconociendo um debilidades potenciales um ya sea más amplio para un programa de partido debilidades desde una perspectiva organizativa ive o la mejora de la postura de seguridad de esos terceros.

Thomas: en concreto. Sí . Así que um fuera de eso, así que una vez que hemos pasado por el proceso de ir a través de la evaluación de riesgos y y y sabemos el tipo de controles que tenemos que um tocar con el tercero, hay más preguntas que debemos estar preguntando a nosotros mismos. Como pueden ver, he resaltado las cinco áreas de control individuales. Estas cinco áreas de control representan notificaciones con terceros. Es decir, donde hay requisitos que implican la interacción con el tercero en alguna capacidad. Así que siempre es importante mirar para decir bien lo que estamos buscando y lo que tenemos que pedir a la tercera parte antes de comprometernos con ellos y cuando estamos empezando a formalizar esos contratos y acuerdos. En primer lugar, ¿qué grado de implicación van a tener los terceros en nuestro producto y servicio? ¿Vamos a subcontratar un componente o función importante a un tercero? ¿Vamos a entregar conjuntos de datos y otra información para que los gestione esa organización? ¿Se confía en el tercero para las prácticas de ciberseguridad? El concepto de externalización no es nuevo en el NYDFS. Y en particular para las organizaciones más pequeñas, lo vemos como un enfoque muy común um para contratar a profesionales de la seguridad cibernética, organizaciones profesionales y consultorías incluso hasta el nivel de um la externalización de la función de CIO um para las empresas. Um algo que era bastante um uh uh relevante y pertinente dentro dentro de la actual uh marco. Y, por supuesto, esto trae un nuevo conjunto de preguntas para asegurarse de que y de nuevo, algo que MIDFS subraya muy claramente que cuando hay un nivel de externalización o dependencia en particular de las mejores prácticas de seguridad o consultoría de un tercer proveedor o un tercero lo siento um que todavía se adhieren a los requisitos de mi DFS. No se trata tanto de decir que estamos entregando toda esta información a ellos o estamos dejando que un tercero um uh gestionar esto para nosotros así que no tenemos que hacer nada. Así que hay un fuerte énfasis en la norma para decir que si hay una gran cantidad de subcontratación y dependencia de terceros que usted todavía está haciendo su debida diligencia sobre ellos y asegurarse de que se adhieran a la MIDFS. Y por último, obviamente, ¿interactúa el tercero con sistemas e información críticos? Así que hay algunas preguntas críticas que hacer cuando se está comenzando el viaje, pero también regularmente cuando se está involucrando con el tercero para asegurarse de que las mejores prácticas que están siendo prescritas por el NYDFS se están cumpliendo suficiente y correctamente. Y puede que hayan visto en la última diapositiva, que había un control particular 500.11 centrado en una política de seguridad de la información de terceros. Y aquí es donde el marco realmente desglosa los componentes individuales para establecer la diligencia debida de terceros. Um así que si podemos ir a la siguiente diapositiva y toca cuatro áreas clave. Identificación y evaluación de riesgos para cada tercero. Prácticas de seguridad cibernética o mejores prácticas mínimas. Diligencia debida para evaluar la adecuación de las prácticas de seguridad cibernética y las evaluaciones periódicas que deben llevarse a cabo para cada tercero. Disculpen.

Alistair: Oh, Thomas, Thomas: como puedes ver, hay um así que sí, estas son cuatro áreas clave de la de la política de seguridad que um han sido um existen actualmente en el en el en el en el en la versión actual de mi DFS. expandido en gran medida a través de la versión propuesta, así, pero es realmente subrayar que todo el proceso de paso que he identificado en términos de riesgos comprensibles de la organización um um trabajar cuando usted está buscando en el NYDFS de uh cada cláusula de control que son las prácticas de seguridad más pertinentes que deben aplicarse a través de un tercero y, a continuación, los tipos de diligencia debida por lo que si se trata de um auditorías whe Ya se trate de evaluaciones proactivas, ya se trate de revisiones de rendimiento y todo esto, a continuación, subraya los más amplios programas de gestión de riesgos de terceros.

Alistair: Así que una pregunta Thomas que es Thomas: sí Alistair: por lo que vinculado a estos vinculados a la política de seguridad entiendo que es más de un documento prescriptivo que describe lo que vamos a hacer desde un alto nivel y que tienden a ser complementado por el proceso y, a continuación, la demostración de que el proceso se está siguiendo. ¿Qué tipo de pruebas cree que son aceptables para demostrar el cumplimiento de las declaraciones políticas generales? Sí . Así que, um, si nos referimos sólo a la política de seguridad de terceros, um, hay algunos puntos clave de aquí. Así que, como usted dijo, sí, parece muy centrado en torno a si usted tiene una política que establece todas estas prácticas, pero más allá de esto, también estamos mirando um acuerdos y declaraciones contractuales. ¿Cómo se incorporan estas prácticas en los acuerdos de un tercero en términos de reuniones de revisión del rendimiento y la comprensión del proceso paso a paso de cómo hacer que la debida diligencia y las consecuencias de que también es fundamental. Así que si usted está pensando en el concepto de que auditamos a nuestros terceros sobre una base regular, ¿qué pruebas podemos mostrar? para decir que hemos hecho la debida diligencia y que están actuando. Si no están funcionando, aquí es donde. Sólo buscando establecer un marco o proceso o una función que nos permita capturar los riesgos y problemas que surgen de esa diligencia debida y los procesos en curso para corregir esos problemas y acciones correctivas. Um si usted está buscando en las políticas de un sentido más amplio, um de nuevo, es importante señalar que um Um uh no he hecho el recuento de esto. Creo que las políticas se mencionan entre 12 y 13 veces en el marco. Um uh en algunas organizaciones si piensas en esas clase A o negocios, puede ser que si tienes clase A terceros, ellos tendrán 13 políticas separadas y subrayar esas políticas documentos de procedimiento individuales y y y y y otras evidencias. que ellos podrían mostrar. Pero si usted es otra organización que tiene cinco o cinco personal, ¿cómo aplicar eso? No puedes desarrollar tantas partes complejas, políticas y documentos. Pero hay importancia. Así que hay un montón de flexibilidad para decir um siempre y cuando sea apropiado para adaptarse a la organización. Así que hay algunas mejores prácticas que podemos aplicar en términos de búsqueda de pruebas o pedir pruebas, ya sea documentación, ya sea um um reuniones, actas de reuniones, ya sea um registros de cómo se están gestionando los riesgos. Pero todo esto debe tenerse en cuenta en función del tipo de negocio, el tipo de tercero o la complejidad, perdón, del tercero.

Alistair: Sí, es un buen punto. Creo que es ciertamente tranquilizador saber que hay un grado de pragmatismo en ello desde un sentido de asignación proporcional de recursos. Así que entiendo que algunas empresas van a tener la ventaja de tener equipos completos de auditoría y cumplimiento para trabajar con infosc para dirigir esto, mientras que otros, como usted ha dicho, ciertamente no tendrán esa oportunidad. Así que el pragmatismo parece ser la clave. Thomas: Sí, mucho. Brillante. Me encantaría saber un poco más sobre el proceso de respuesta a incidentes. Desde el punto de vista de la continuidad, la recuperación y la notificación de incidentes. Sí, ¿te importaría explicarme un poco más, Thomas?

Thomas: Absolutamente. He mencionado al principio que se trata de un área que ha sufrido bastantes cambios y, en términos de ampliación del control y de ampliación de la descripción del control, es interesante que lo agrupen todo. Um recuperación de continuidad instantánea o recuperación de desastres de continuidad de negocio instantánea. Todo un trabalenguas. Uh, pero todo está agrupado en un solo control. Y lo que han hecho es que han ampliado o van a ampliar um este concepto de desarrollo de un plan instantáneo, una política instantánea y el desarrollo de un conjunto de políticas BCDR. Tengo una cita en la parte superior de esta página um que las nuevas Nydfs requerirán y afirman que cuando están desarrollando planes de respuesta, las empresas deben tratar de abordar los eventos de seguridad cibernética, incluyendo eventos disruptivos tales como incidentes de ransomware. Y es interesante que esa es una cita específica que viene directamente del marco. Y creo que sólo ayuda a subrayar donde el marco o donde el regulador reconoce que algunas de estas amenazas son cada vez más relevantes, cada vez, ya sabes, cada vez mayores. Y por lo que están pidiendo a las empresas, deben prestar atención a la forma de abordar este tipo de eventos disruptivos. Así que está ampliando gráficamente um um el requisito de cómo debe definirse la gestión instantánea. Um la necesidad de establecer procesos de respuesta instantánea uh instantánea um uh conteniendo instancia, respondiendo a instancia um y escalando en términos de vías de comunicación. Um el informe real sobre el evento de seguridad cibernética y las actividades de respuesta relacionadas también ha sufrido um un cambio y una expansión. Por supuesto, aquí es donde el aspecto de terceros también puede entrar en juego. Así que, por supuesto, usted está viendo nuestros propios métodos de cómo responder a un incidente, un evento de seguridad cibernética. Cuando se trata de un tercero, la importancia de subrayar desde una perspectiva contractual si usted mismo que están cuidando estos sistemas uh, datos financieros, por ejemplo, si usted sufre una violación o un evento, le exigimos que nos notifique a través de un canal de comunicación adecuado. Así que hay un énfasis adicional en el concepto de funciones y responsabilidades, la toma de decisiones en la empresa en términos de qué acciones tenemos que tomar y en qué punto tenemos que escalar si se trata de la tercera parte de nuevo a theelves como una organización y la otra manera también. Así que de ustedes mismos como organización, luego de vuelta a sus clientes y um uh a los propios reguladores. Así que desde el punto de vista de la gestión instantánea, sí, ha habido una gran expansión en términos de cómo se desarrolla el plan de respuesta y las funciones, responsabilidades y objetivos que lo rodean. Y de nuevo, esto refleja muy bien cuando nos fijamos en el texto, cuando nos fijamos en el requisito de lo que otros marcos han estado diciendo en realidad desde hace muchos años, como los ISO y los NIST del mundo. Así que creo que es muy alentador que NYDFS haya tomado muchas de estas mejores prácticas bajo su ala también.

Alistair: Sí, creo que es muy revelador, así como en los cambios recientes. Así que su comentario allí y su cita eventos perturbadores como un ransomware el hecho de que se llama específicamente en algunos de los cambios propuestos sobre la notificación de creo que es 24 casa para un pago de extorsión. Thomas: Sí. Alistair: Con la posterior notificación de por qué era necesario. A mí personalmente me gusta el énfasis en el hecho de que la gente tiene que justificar por qué no tienen las medidas proporcionadas para reaccionar a través de la resistencia y ser capaz de recuperarse en el sentido de un evento de ransomware. Así que es um es bastante revelador y muestra la intención y la dirección creo uh de la uh de la documentación en cuestión.

Thomas: Absolutamente. Creo que hay mucha más responsabilidad y mucha más apertura por parte de estas empresas. Um sí, yo um sería va a ser interesante ver algunas de esas justificaciones Alistair: si si y si si y cuando si y cuando ocurren. Thomas: Esperemos que no haya demasiada gente haciendo pagos y por lo general tienen una forma robusta y resistente de recuperar uh datos comprometidos. Thomas: Y, por supuesto, que nos lleva al siguiente tema um que es de nuevo en torno a BCDR. He mencionado desde el principio que BCDR no es un término nuevo en NYDFS. Lo interesante, sin embargo, fue cuando usted está buscando en las versiones antiguas, era muy ligero toque. Um, que puede estar bien si si estás familiarizado con el tema. Um, la dificultad de hacer temas como BCDR, toque ligero, es que puede ser un tema bastante complejo en sí mismo y por derecho propio. Así que, de nuevo, creo que es alentador ver que han tomado esta idea de lo que se espera en el desarrollo de una continuidad en el plan de RD o un conjunto de planes con una gran cantidad de guías de buenas prácticas y expectativas, muchas de las cuales reflejan otras normas y marcos de buenas prácticas que ya existen. ¿Cuáles son algunas de las áreas clave que cubre? En primer lugar, esta expectativa de que debes identificar todos tus activos, toda tu infraestructura, tu infraestructura crítica que es esencial para una operación continua. Siempre es el punto de partida que miramos cuando estamos discutiendo una especie de planes de continuidad y y y una especie de puesta en escena, ya sabes, de las evaluaciones de impacto de negocio y la identificación sobre la base de lo que estamos haciendo como una organización, ¿qué activos son críticos para nosotros? ¿Si sufrimos un evento? ¿Qué necesitaríamos recuperar lo antes posible? En segundo lugar, la comunicación. Así que el uso de coordinadores de continuidad de negocio, la comunicación interna si un plan tiene que ser activado, pero la comunicación con todas las personas esenciales y el este es un texto que de nuevo se extrae del marco uh de la regulación. Todas las personas esenciales en caso de emergencia. ¿A quién nos referimos con una persona esencial? Nos referimos tanto a los internos como a los externos. Desde el exterior nos fijamos en las principales partes interesadas, desde los clientes hasta, obviamente, el propio regulador. Pero también a terceras partes, empresas en las que se puede confiar para ayudar a mantener una determinada pieza crítica de activos o infraestructuras o procesos. Así que hay una expansión en tener canales de comunicación claros cuando se está desarrollando un plan de continuidad y recuperación. Um ya sea como parte de la prueba de esos planes o ponerlos en acción. en caso de que ocurra un evento y la identificación de terceros que son necesarios para la operación continua. Es la continuación de la comunicación con las personas esenciales, no sólo notificarles en caso de que ocurra un desastre que te obligue a trasladar tu operación a un sitio de copia de seguridad, por ejemplo, o a diferentes entornos. Pero asegurándonos de que si dependemos de un tercero crítico que es necesario para nuestros activos de alto nivel y áreas de infraestructura que si se caen, si dejan de funcionar, podríamos estar en serios problemas con nuestra organización con nuestros con nuestros clientes, nuestras principales partes interesadas. Tenemos que implicarlos en nuestro proceso de continuidad. ¿Tenemos que implicarles desde el punto de vista de las pruebas? Y si tenemos un plan de recuperación, implica la recuperación a sitios de respaldo o a ubicaciones de respaldo. ¿Necesitamos implicar también a esos terceros para asegurarnos de que también pueden suministrar un alto nivel en los plazos que nos hemos fijado? Así que hay muchas expectativas y mucha expansión. Um yo personalmente creo que con razón en términos de asegurarse de que tiene una cobertura completa de la recuperación de cualquier activo y la infraestructura o sistemas um uh que son necesarios e importantes para el negocio.

Alistair: Una de las cosas que realmente saco de esto es interesante es que las cláusulas contractuales para la comunicación una interacción con la cadena de suministro es tan clave para ser capaz de aplicar realmente cualquier resolución significativa a esto. Así que ciertamente interesante. Thomas, si estuviera 30 segundos contigo en un ascensor, ¿cómo resumirías lo que tendríamos que hacer para abordar la normativa? Thomas: Sí. En primer lugar, identificar a terceros. Ese es siempre un punto de partida clave. Saber quiénes son tus terceros, qué tipo de datos manejan, qué tipo de activos, qué hacen por nosotros para nuestras operaciones críticas, y eso debería envolver o lo que debería envolver es el programa TPRM más amplio de cómo gestionamos a esos terceros e identificar el tipo de controles que necesitamos imponerles para revisarlos y evaluarlos contra, entre otras cosas, las áreas que acabamos de discutir sobre incidentes y continuidad y, obviamente, una vez que hemos identificado a esos terceros, empezar a entender y desarrollar esas evaluaciones de riesgo regularmente, y eso es lo importante. Nunca se trata de olvidarlo una sola vez y guardarlo en un cajón. Se trata de un proceso regular de revisión de los riesgos a través de su paisaje. Um, como los relacionados con la pesca y el ransomware que discutimos al principio del día. Revisando esa regulación, asegurándote de que conoces los controles, conoces los controles a los que terceras partes deberían adherirse. Si acceden a sistemas sensibles, ¿los controles de acceso son apropiados? ¿Ha considerado la autenticación multifactor? Si manejan datos sensibles, ¿tienes ese árbol de comunicación sobre cómo responden a un incidente o a un evento de continuidad? Y luego, en tercer lugar, utilizar ese control 500.11 para ayudar a construir una política de terceros, un programa de gestión de riesgos. Um, y empezar de nuevo a tener ese ciclo de revisión continua de si nuestros terceros um uh cómo tienen una buena postura de seguridad y lo más importante es que está alineado con lo que NYDFS está esperando.

Encantador. Muchas gracias, Thomas. Así que voy a pasar a nuestro encantador Scott Lang para hablar específicamente acerca de cómo prevalente puede apoyar uh cumplir contra algunas de estas regulaciones. Pero mientras lo hacemos vamos a lanzar una última encuesta. Así que te toca a ti, Scott. Scott: Muchas gracias Alistister. Sólo quiero asegurarme de que podéis oírme. De acuerdo, Melissa: efectivamente. Hola, Scott. Impresionante. Estupendo. Vale, genial. Uh, sólo muy rápido, chicos, uh, una o dos diapositivas de, ya sabes, cómo prevalente puede ayudarle a simplificar el proceso de cumplimiento de sus requisitos como NYDFS. Mira, al final del día, creo que quieres lograr tres cosas con tu programa de gestión de riesgos de terceros, independientemente de si estás tratando de apuntar a uh un régimen de cumplimiento de tipo NYDFS o simplemente una mejor práctica o simplemente para defenderse contra el potencial, ya sabes, las amenazas cibernéticas u otros problemas de cumplimiento que podrían venir abajo de la línea. Y ese es el número uno, obtener los datos que necesita para tomar buenas decisiones. Aumentar la eficiencia de su equipo y derribar los silos entre los grupos que discuten un poco sobre el riesgo de terceros. Y, por último, dar a su programa la oportunidad de escalar y evolucionar con el tiempo y cumplir con los requisitos cambiantes. Mira, si estás usando hojas de cálculo para hacer esto, creo que sabes, y sé que sabes que no es el enfoque correcto. Usted necesita tener un cierto nivel de automatización en allí para recoger la información de los controles adecuados de sus terceros subcontratistas, uh, vendedores y proveedores. Llevarla a un lugar donde pueda manipular esos datos, puntuarlos, comprender quién presenta el mayor nivel de riesgo para usted y, a continuación, recomendar medidas correctoras para reducirlos a un nivel aceptable de riesgo residual con el tiempo. No se puede prescindir de los datos, y no se puede hacer si todo el mundo tiene las manos en el arado. En definitiva, nuestro enfoque para abordar el problema de la gestión de riesgos de terceros consiste en simplificar y acelerar la incorporación de proveedores. Darle una única fuente de la verdad y un único proceso para gestionar los proveedores durante todo el ciclo de vida. Agilizar ese proceso y colmar las lagunas y la cobertura de riesgos y, a continuación, unificar todos los diferentes equipos internos que puedan estar implicados en el riesgo de terceros desde el momento en que se busca y selecciona un nuevo proveedor hasta el momento en que se le da de baja y se pone fin a esa relación. Y lo hacemos a través de una combinación de nuestros expertos uh nuestros uh datos de nivel sin precedentes de datos que traemos a la plataforma para ayudarle a tomar buenas decisiones de seguridad cibernética uh basado en el riesgo y, a continuación, una plataforma para automatizar el flujo de trabajo de anuncios y presentación de informes uh para cerrar el bucle en cualquier número de riesgos que usted ve uh justo en frente de usted. Ahora, de nuevo, nuestro objetivo es ayudar a que usted y su organización más inteligente para unificar sus procesos y darle un enfoque mucho más perspectiva para cerrar el ciclo de riesgo de terceros. Um lo que he preparado para ustedes es una lista de verificación de cumplimiento escrito específicamente para NYDFS uh 23 NYCRR 500 ya sabes da da lo que sea um uh es usted sabe 13 páginas uh va capítulo y versículo a través de la regulación y, a continuación, mapas de las mejores capacidades de práctica y, a continuación, en última instancia, cómo Premley puede ayudar a cada uno de los uh áreas de grupo de control que Thomas revisó uh en este al en el uh en el seminario web de hoy. Así que esto vendrá a usted como parte del seguimiento uh con la grabación y más. Uh y con eso voy a dejar de hablar y poner de nuevo a usted para preguntas. Lo siento.

Melissa: Ya sabes que estamos en la parte superior de la hora así que ya sabes que voy a decir mi thanks a Alice y Thomas y, por supuesto, Scott. Gracias por hacer todas estas preguntas. Intentamos hacer todas las que pudimos, pero no dudéis en enviar un correo electrónico a info at prevalent.net si aún tenéis alguna pregunta urgente y podremos dirigirla a la persona adecuada. Por último, me alegro mucho de que hayáis podido venir y espero veros a muchos de vosotros en vuestras bandejas de entrada y en futuros seminarios web. Cuídense todos. Gracias a todos.

Gracias.