Principales riesgos que su programa TPRM podría estar pasando por alto

Matt: Empecemos con las presentaciones. Me llamo Matt. Trabajo aquí principalmente en el desarrollo empresarial y hoy tenemos con nosotros a un invitado que ya nos ha visitado anteriormente, Brian Littlefair. Es el director ejecutivo de Cambridge Cyber Advisors. También tiene experiencia como antiguo director de seguridad de la información del Grupo Vodafone y A Viva. Bienvenido de nuevo, Brian.

Brian: Gracias, Matt. Hola, me alegro de veros a todos.

Matt: Y, por último, pero no menos importante, también contamos hoy con la presencia de Scott Lang. Scott es nuestro vicepresidente de marketing de productos y, al final de la sesión, nos explicará cómo podemos madurar su programa TPRM. Gracias, Scott.

Scott: Hola, Matt, ¿cómo estás?

Matt: Me alegro de verte. Me alegro de verte. Muy bien, solo un pequeño aviso: este seminario web está siendo grabado. Recibirán esta grabación y la presentación de diapositivas poco después del seminario. Por último, todos ustedes tienen el micrófono silenciado, así que utilicen el cuadro de preguntas y respuestas para cualquier pregunta que puedan tener durante el seminario. Y sin más preámbulos, le cedo la palabra a Brian, que nos hablará de los principales riesgos que su programa de TPRM podría estar pasando por alto. Adelante, Brian.

Brian: Gracias, Matt. Te agradezco mucho la presentación. Hola a todos. Como ha dicho Matt, soy Brian. Estoy deseando presentaros el tema de hoy. Un pequeño aviso. Estoy un poco resfriado, así que voy a beber agua. Me duele un poco la garganta, pero vamos a abordar este tema con mucho gusto. Como ha dicho Matt, hoy vamos a hablar de los principales riesgos que su programa TPM podría estar pasando por alto o que podría estar pasando por alto. Y, de hecho, nos vamos a centrar en los riesgos no relacionados con las tecnologías de la información, ¿de acuerdo? Creo que, como sabéis, los profesionales de la seguridad, que probablemente son la mayoría de los participantes en esta llamada, tendemos a centrarnos en la información, los datos, los riesgos cibernéticos, etc. Pero yo voy a analizar algunos otros riesgos y perspectivas que, en mi opinión, deben incluirse para tener un programa TPLR completo, y que quizá aún no hayamos incorporado del todo. ¿De acuerdo? Un poco sobre mí. Ahí está mi foto. Pueden verla. Un poco de contexto antes de entrar en materia. Sabemos por las estadísticas que la mayoría realiza sus propias revisiones y cuestionarios, etc. Pero, del mismo modo, en el ámbito más amplio de la gestión de riesgos de terceros, sabemos que, con bastante frecuencia o en la mayoría de los casos, la responsabilidad de llevar a cabo la TPRM recae tradicionalmente en la función de seguridad, sea cual sea el nombre que se le dé a dicha función y, por lo tanto, como he dicho, nuestra prioridad es centrarnos en los riesgos cibernéticos y de seguridad de la información, pero no somos los únicos destinatarios de estos datos y no somos los únicos que deberíamos contribuir a el conjunto de datos que se recopilan y analizan en nombre de nuestra base de clientes. Así que sigo pensando que esa tendencia va a continuar. El equipo de seguridad dependiente del CISO seguirá siendo el principal usuario. Pero para obtener una visión global del riesgo, sabemos que he impartido un seminario web sobre la importancia de colaborar con el departamento de compras, pero también tenemos el departamento jurídico, el de riesgos, el de cumplimiento normativo, si lo hay, y todos ellos tienen interés en los datos que deben figurar en su programa de TPRM.

Y, francamente, todos ellos tienen diferentes conocimientos especializados que complementan las habilidades en materia de seguridad y que pueden ayudar realmente a construir una imagen más completa de, ya sabes, cuán riesgoso es este proveedor para nuestro negocio en el futuro. Todos sabemos lo que es la regulación. Nos guste o no, ha llegado para quedarse. Y creo que el nivel de regulación al que todos vamos a estar sujetos, obviamente dependiendo del sector en el que trabajemos, no hará más que aumentar. Más adelante mostraré una diapositiva sobre la normativa, pero desde que empecé en el sector de la informática y la seguridad hace mucho tiempo, la cantidad de normativa que se aplicaba en ese momento es, como saben, 10 o 20 veces mayor que entonces. Por lo tanto, creo que esa tendencia solo va a continuar. Según el último informe de amenazas de Verizon, el 62 % de las vulnerabilidades del sistema se produjeron a través del canal de socios y proveedores. Creo que todos sabemos, a través de nuestras fuentes de inteligencia sobre amenazas, que los grupos activistas, etc., se centran definitivamente en la cadena de suministro, ya que, como saben, su vector de ataque más lucrativo es el phishing, que es el vehículo más utilizado, pero en términos de atacar a organizaciones, ¿por qué atacar a una organización específica y poner todo su esfuerzo en ello cuando se puede atacar a un proveedor importante y hacerse con miles o decenas de miles de sus clientes que están conectados a sus plataformas y sistemas? Así que se trata de una amenaza muy real, no es scareware ni miedo, incertidumbre y duda, como a veces se le llama. Es algo muy real y tenemos que estar atentos a ello y comprender cómo podemos mitigarlo en el futuro. Hoy en día, sabemos todo esto, ¿verdad? Lo entendemos. Entendemos en qué debemos centrarnos, pero, como digo, hoy nos vamos a centrar en aquellas áreas en las que probablemente no nos centramos en el día a día, que son las áreas no relacionadas con la tecnología de la información y lo importantes que pueden ser para garantizar nuestro riesgo cibernético holístico. Entonces, ¿cómo es realmente ese enfoque holístico alineado con el negocio?

Soy un gran defensor de la alineación con el negocio. Creo que si eres CISO o jefe de seguridad, sea cual sea tu cargo, si no estás totalmente alineado con la estrategia de tu empresa, entonces sabes que estás trabajando de forma aislada, y el aislamiento no ayuda a nadie. Por lo tanto, es importante que no solo tu estrategia de TPRM, sino toda tu estrategia de seguridad de la información/ciberseguridad, esté totalmente alineada con el negocio que intentas proteger. Es decir, comprender realmente ese negocio, qué productos ofrece, en qué zonas geográficas opera, cuál es su enfoque para llegar a los clientes. ¿Es una organización que vende directamente al consumidor o es una organización B2B? Porque todo esto, en última instancia, cambia tu perfil de riesgo. Por lo tanto, debe decidir, si va a ejecutar una función TPRM eficaz, cuáles son los resultados que debe ofrecer a la empresa para que esta pueda tomar decisiones sensatas sobre la estrategia a seguir en el futuro. Y eso es, en última instancia, lo que este programa está ahí para hacer, ¿verdad? Entiende qué proveedores externos son necesarios para que la empresa funcione y qué riesgos suponen para la continuidad del servicio y, potencialmente, para la reputación de la organización, y cómo nos aseguramos de que eso siga siendo así en el futuro. Llevo suficiente tiempo en el sector de la seguridad como para recordar cuando no existían herramientas tan buenas como Prevalent. Yo empecé cuando Microsoft Excel era la única herramienta disponible y teníamos hojas de cálculo enormes y complejas en las que intentábamos hacer un seguimiento de las correcciones en miles de proveedores diferentes, y sé que algunos de ustedes quizá sigan en esa situación hoy en día, y sin duda es un reto llevar a cabo un programa de TPRM eficaz en Microsoft Excel. Algunos de los trucos interesantes, como las actualizaciones en tiempo real sobre el rendimiento de los proveedores o los aspectos de inteligencia sobre amenazas, simplemente no se pueden hacer en Microsoft Excel. Es obvio que no fue diseñado para ejecutar una función de terceros y por eso se han desarrollado herramientas como Prevalent. Así que sí, es absolutamente necesario asegurarnos de que contamos con la herramienta adecuada. Tenemos que asegurarnos de que contamos con los recursos adecuados en términos de personal.

Nunca he entrado en una organización y he visto su función de gestión de riesgos de terceros (TPRM) y he pensado: «Vaya, hay demasiada gente en eso». A menudo entro en organizaciones y veo a dos o tres personas con procesos manuales que intentan controlar lo que es un riesgo estratégico clave para la organización y, francamente, les cuesta hacerlo porque o bien no tienen las habilidades suficientes o, lo que es más importante, no disponen de las herramientas adecuadas para llevarlo a cabo. Por lo tanto, debemos reconocer que estamos recopilando una fuente de datos muy rica. Tenemos que asegurarnos de que lo recopilamos todo. Obtenemos una visión alineada del riesgo en toda la organización. También hablo de ello en mis otros seminarios web para Prevalent. Lo de los silos, de nuevo, no es solo organizativo. No tiene sentido recopilar todos estos datos y mantenerlos solo dentro de la función de seguridad, del mismo modo que no tiene sentido tener dos visiones diferentes sobre el riesgo que un proveedor representa para su organización. Si el departamento de seguridad tiene una visión y el de compras tiene otra sobre un sistema diferente que están utilizando, entonces obviamente tenemos dos perspectivas dentro de la misma empresa y eso no tiene ningún sentido. Por lo tanto, una consolidación y una colaboración entre todas las diferentes unidades de negocio en una herramienta realmente profesional dará sus frutos a la hora de poder gestionar el riesgo dentro de su organización. Hablemos del alcance y la segmentación, porque son realmente fundamentales para poder evaluar el riesgo dentro de la huella de sus proveedores. Sabemos que no podemos prestar el mismo nivel de atención y enfoque a todos y cada uno de los proveedores que suministran productos o servicios a nuestra organización. Por eso, creo que, con demasiada frecuencia, los programas de TPRM a veces no son verdaderamente globales. Cuando visito grandes organizaciones multinacionales, veo un proceso realmente eficaz en su país o región de origen. Y entonces, cuando se pregunta: «¿Cómo se lleva a cabo este proceso en Asia? ¿Cómo se lleva a cabo este programa en Europa o América, etc.?», la respuesta es: «Bueno, en Asia lo hacemos así, en Europa lo hacemos así, en América lo hacemos así...».

No siempre se trata del mismo nivel de gobernanza, no siempre se trata del mismo nivel de estándares y cosas por el estilo. Así que realmente se trata de asegurarse de que, siempre que sea posible, se disponga de un proceso global, de una herramienta global, y hay una gran razón para ello, ¿verdad? Si inviertes esta pregunta y la miras desde la perspectiva del proveedor, es obvio que ellos tienen incentivos para vender tantos productos y servicios como puedan, y dividirán y conquistarán una organización. Lo he visto muchas veces, incluso en organizaciones que he dirigido, si nono se tiene la gobernanza adecuada sobre ese proveedor y el control sobre su interacción dentro de la organización, no se tienen realmente diferentes niveles de servicio y diferentes riesgos. También tendrás diferentes precios y diferentes acuerdos de nivel de servicio, etc., en todo el mundo. Por lo tanto, tiene mucho sentido comprender en todos los lugares donde opera ese proveedor e interactúa con tu organización. Y para hacer eso, obviamente, tienes que ser verdaderamente global. Um, sabes que definitivamente existe regulación en este espacio. Um, sería genial si los reguladores comenzaran a estandarizar su enfoque. He dedicado mucho tiempo personal a tratar con los reguladores y he observado que existe un gran solapamiento entre algunas de las regulaciones de todo el mundo, pero cada país o nación, etc., quiere tener su propio conjunto de normas reguladoras que se aplican a diferentes sectores dentro de su ámbito de competencia. Así que, aunque son bastante comunes, existen matices y diferencias entre ellas. Por eso es importante que las comprendamos plenamente y entendamos en qué consisten, y volveré sobre ello más adelante, pero, de nuevo, quiero hacer un poco de publicidad de Prevalent. Debo decir que, en mi trabajo, he colaborado con grandes organizaciones multinacionales y hablo en nombre de Prevalent porque he utilizado la herramienta de forma intensiva. Entiendo el valor que sin duda puede aportar a una organización. Por lo tanto, es realmente imprescindible que nuestro programa cubra también todo el ciclo de vida de un proveedor. Con demasiada frecuencia adelantamos ese esfuerzo y esos recursos.

Tenemos un nuevo proveedor que se incorpora a la organización. Por lo tanto, nos dedicamos a ello por completo, comprendemos el modelo de propiedad, entendemos dónde operan, etc. Sin embargo, no siempre mantenemos ese esfuerzo. Si se trata de un proveedor de primer nivel o crítico para nuestra organización, y obviamente también algunos de segundo nivel, debemos asegurarnos de que realizamos un seguimiento constante de esa organización. Y, de nuevo, para aquellos de ustedes que utilizan Microsoft Excel o incluso un proceso manual de envío de cuestionarios, si lo piensan bien, solo obtienen una actualización cada 12 meses. No tienen una visión en tiempo real de lo que está sucediendo en esa empresa, de su situación financiera, de si ha habido alguna infracción, etc. Y a veces puede que os pillen por sorpresa que uno de vuestros proveedores haya tenido un incidente grave. Los altos cargos de la organización lo saben, pero quizá vosotros no. Por lo tanto, queréis ser los primeros en enteraros y ser vosotros quienes asesoréis a la empresa, y no al revés. Para poder hacerlo de forma eficaz, que es lo que todos queremos, Tenemos que asegurarnos de que tenemos una cobertura holística de, ya sabes, todo aquello de lo que somos responsables. Y esa segmentación en niveles también es realmente crítica. Y llegamos al enésimo nivel. Mucha gente no se fija en el enésimo nivel y creo que es realmente importante. Por enésimo nivel me refiero a los proveedores de tus proveedores. Así que puedes adjudicar un contrato a uno de tus proveedores. Es posible que este lo subcontrate a otros proveedores que quizá usted no conozca, pero sin duda, en los sectores regulados, cuando hablamos de información de identificación personal (PII), es realmente fundamental que conozca el recorrido completo de esos datos, y hablaremos de ello un poco más adelante. Veamos las categorías de actividad en las que nos vamos a centrar para lo que, en mi opinión, son los riesgos no relacionados con la tecnología de la información que considero fundamentales que supervisemos en el futuro.

Por lo tanto, una es asegurarnos de que nuestros socios y proveedores tengan la capacidad de seguir prestando el servicio o suministrando el producto que les hemos solicitado. Debemos asegurarnos de que la continuidad de sus negocios, su recuperación ante desastres y toda una serie de otras medidas estén a la altura, porque si algo les sucede a ellos, por defecto, algo nos sucede a nosotros, y ¿cómo podemos protegernos también de ese riesgo? Luego, obviamente, tenemos el mundo del cumplimiento normativo, con el que estamos muy familiarizados en el ámbito de la ciberseguridad, pero que, evidentemente, va más allá de la información y la ciberseguridad. Hay muchas otras normativas de cumplimiento que también debemos conocer. Y luego, dependiendo de dónde te encuentres en el mundo, los requisitos de RSC/ESG, ya sabes, todos queremos ser buenos ciudadanos globales. Todos queremos asegurarnos de que nuestros productos y servicios sean increíbles. Por supuesto. Pero no queremos explotar a nadie para llegar a ese punto. Entonces, ¿cómo podemos asegurarnos de que, cuando externalizamos o deslocalizamos a países lejanos, tenemos el mismo nivel de gobernanza y control sobre lo que queremos lograr? Y luego, en el aspecto financiero, asegurarnos de que la liquidez de esa organización sea sólida, asegurarnos de que no vayan a quebrar mañana, lo que nos dejaría nuevamente, ya saben, en la imposibilidad de atender a nuestros clientes cuando un proveedor clave quiebra. Así que voy a profundizar un poco en cada una de estas áreas. Obviamente, voy a dar algunos ejemplos, pero, como dijo Matt al principio, no dudéis en plantear cualquier pregunta en el chat y yo también las responderé. Veamos el riesgo operativo. Un par de ejemplos. También voy a profundizar en ellos. Obviamente, tenemos la COVID. Tenemos una pandemia mundial que está causando problemas. Tenemos inestabilidad política. Tenemos la crisis entre Rusia y Ucrania. Tenemos la posibilidad de que China invada Taiwán. Y luego también tenemos retos logísticos.

Por lo tanto, no está directamente relacionado con la ciberseguridad, pero sin duda puede afectar a la capacidad de nuestra organización para gestionar sus actividades o llevar a cabo su negocio. Por lo tanto, los acontecimientos mundiales pueden afectar a su organización, como hemos visto. Y no creo que el riesgo operativo reciba a menudo la credibilidad o la seriedad que merece, teniendo en cuenta el impacto que puede tener en su organización. Obviamente, hemos visto lo que puede suceder con los conflictos globales entre naciones. Estos han perturbado significativamente el comercio mundial, tanto física como virtualmente. Por lo tanto, no se trata solo de una cuestión logística. Muchas personas tenían organizaciones que trabajaban tanto en Rusia como en Ucrania. Las relaciones con Rusia tuvieron que romperse. Gran parte de la población activa de Ucrania tuvo que tomar las armas, etc. Así que, de la noche a la mañana, la mano de obra y los empleados desaparecieron. Por lo tanto, no solo hay que adquirir activos físicos. Si el recurso desaparece, si se utilizan programadores o desarrolladores, etc., y estos ya no están disponibles, entonces ese activo digital también se ve afectado. Y, como saben, los retos operativos pueden llevar fácilmente a la quiebra a empresas muy conocidas. He puesto el ejemplo de Revlon y es realmente interesante que, en su solicitud de quiebra en Estados Unidos, citaran la incapacidad de fabricar suficientes productos y las multas impuestas por los mayoristas como motivo para declararse en quiebra. Así que, ya sabes, su cadena de suministro se vio interrumpida. El acceso a las materias primas se vio interrumpido. Se habían comprometido con sus proveedores a entregar una determinada cantidad de unidades cada mes. No pudieron cumplir esos compromisos. Las sanciones fueron significativas para la organización matriz y eso se convirtió en una bola de nieve y, finalmente, una marca tan conocida como Revlon tuvo que declararse en quiebra citando la cadena de suministro como su principal problema. Pero también hay muchas industrias que dependen de productos y servicios tanto de Ucrania como de Rusia, como acabamos de mencionar. Lo siento.

Bueno, si nos fijamos en la producción de cereales de Ucrania, se ha difundido mucho que hay enormes cantidades de cereales acumulados en Ucrania y que solo pueden conseguir un porcentaje muy pequeño de los barcos que normalmente transportarían esos cereales fuera de la organización, pero en realidad el 80 % de ese grano fue comprado por el Programa Mundial de Alimentos de las Naciones Unidas, por lo que tiene un enorme impacto en los países en desarrollo y en aquellos que necesitan ayuda, lo que perturba enormemente la cadena de suministro. Si nos fijamos en Rusia, sin duda en Europa teníamos una gran dependencia del gas natural que llegaba a varios países a través de grandes gasoductos desde Rusia, lo que se detuvo de la noche a la mañana y tuvo un impacto enorme en los precios del gas y el petróleo aquí en el Reino Unido, que ya eran altos, pero que a niveles exponenciales. Pero no solo en el caso de la gasolina, sino prácticamente en todos los derivados del petróleo, lo que provocó enormes retos en la cadena de suministro. Tenemos que pensar en si eso fue Rusia y Ucrania, si China invadiera Taiwán y si se impusieran a China las mismas sanciones que impusimos a Rusia. Y pensar en nuestra dependencia de productos, bienes, servicios, subcontratación de empresas y servicios chinos, etc. Incluso cosas como la logística y el transporte, que son prácticamente los magnates en ese ámbito, tendrían un impacto enorme en casi todas nuestras organizaciones, ya sea directa o indirectamente. Por lo tanto, tenemos que crear modelos basados en acontecimientos pasados. Entonces, ¿qué sabemos sobre lo que ocurrió en el pasado y cómo podemos predecir lo que podría ocurrir en el futuro? Si nos fijamos en nuestros proveedores, ¿están quizás sobreexpuestos en una ubicación específica que, ya sabes, podría sufrir alguna perturbación política? Ya sabes, si eres Intel o AMD o una organización de ese tipo, y miras a Ucrania, que produce el 54 % de tu, ya sabes, neón de grado semiconductor mundial, entonces, ya sabes, esperarías que tuvieran un plan para, ya sabes, el plan A, el plan B, el plan C y el D.

Para sustituir, en cierto modo, ese casi 55 % del neón que habrían comprado a Ucrania, porque eso se vio y se ve significativamente interrumpido y, sin duda, cuando vimos la invasión y el comienzo de la guerra, su industria de semiconductores se vio afectada por ello, así que veamos los riesgos de cumplimiento. Como he mencionado, cada ubicación individual y esto es realmente solo el cumplimiento en torno a la seguridad de los datos, que va con lo suyo. Así que hay muchas regulaciones y enfoques individuales, y esto está creciendo exponencialmente. Diría que el continente africano estará prácticamente lleno para el año que viene más o menos. Así que hay muchos enfoques individuales sobre cómo se deben gestionar los datos. Y si eres una organización nacional con sede en un solo país, entonces, obviamente, solo tienes que preocuparte por los ciudadanos de ese país. Pero si eres una multinacional global que opera en 60 o 70 países diferentes, etc. entonces esto se vuelve muy complejo de gestionar para ti. Lo siento, pasa a la siguiente diapositiva. La gente suele pensar que puede externalizar sus problemas. Hablo con muchas organizaciones que dicen que eso no es realmente un problema para ellas porque utilizan un proveedor externo, pero en realidad no es así, no se pueden externalizar los problemas cuando se trata de cumplimiento normativo, porque estos no desaparecen, tú sigues siendo el propietario de los datos y si tu proveedor tiene un problema en relación con tus datos, sigue siendo su problema. El panorama del cumplimiento normativo, como he mencionado, para las multinacionales, es complejo hoy en día. Y solo va a ser cada vez más complejo a medida que avancemos. Una herramienta como Prevalent puede ayudarle realmente a comprender sus requisitos de cumplimiento individuales en cada ubicación y a realizar auditorías internas o externas, por ejemplo, mediante la elaboración de informes sobre cómo funcionan las cosas en diferentes zonas geográficas y cosas por el estilo. Creo que el tema común, como acabo de mencionar, es que, de esos 60 requisitos diferentes, lo único que tienen en común es que usted sigue siendo responsable.

Puedes externalizar la responsabilidad, pero no puedes externalizar la rendición de cuentas. Puedes encargar a alguien que gestione un proceso o procese tus datos en tu nombre, o que dirija un centro de atención telefónica y tenga acceso a los registros de tus clientes, pero, en última instancia, a los ojos del regulador y de los sistemas legales de la mayoría de los países, tú sigues siendo responsable de esos datos y ahíahí es donde se vuelve realmente crítico comprender su exposición si ha firmado un contrato con una organización individual, si ellos lo han subcontratado a otra persona, y es realmente crítico cuando se trata de información de identificación personal, así que, ¿qué podemos hacer en este panorama crítico? Obviamente, utilizar una herramienta como Prevalent, que le será realmente útil si tiene una violación de datos, ya que los requisitos regulatorios en diferentes lugares tienen plazos muy diferentes. He pasado la mayor parte de mi vida trabajando en servicios financieros y telecomunicaciones. Por lo tanto, conozco muy bien el panorama normativo de esos dos sectores. Y sé que si tengo una violación en Singapur frente a una violación en la India, mis tiempos de respuesta tienen que ser, ya sabes, notablemente diferentes. La forma en que catalogo el incidente tiene que ser muy diferente. A quién se lo comunico y quién se involucra también es muy diferente. Por lo tanto, hay que comprenderlo perfectamente y ser capaz de tenerlo presente en todo momento. Bueno, hay dos cosas que son seguras. La complejidad y la incertidumbre son una frase mía. Son el enemigo de la seguridad. Si algo es muy complejo, es muy difícil de proteger. Y si tienes un entorno incierto con muchos factores cambiantes, es muy difícil aplicar la seguridad allí también. Y eso se reduce realmente a tu proceso de TPRM, así como a tu estrategia de seguridad más amplia. Así que, en un mundo así, los contratos y las formas de trabajar tienen que ser absolutamente claros. Sabes quién es el propietario de los datos, sabes un poco que siempre eres tú mismo, como dije antes, no puedes externalizar eso. Así que, reconociendo eso, no importa qué contrato estés estableciendo.

No importa quién realice las actividades diarias. Usted sigue siendo el propietario de los datos, quien realmente interactúa con ellos y los procesa. Y cuando se trata de información realmente confidencial, como registros de pagos, etc., hay que llegar hasta los nombres individuales. Hay que ser capaz de gestionar a distancia quién tiene acceso a su información en el día a día. ¿Cuál es su proceso de incorporación y salida como palancas? Ya sabes, si alguien abandona la organización, ¿se revoca su acceso al instante? Y ya sabes, cualquier nuevo empleado que se incorpore, si tiene acceso a información confidencial, ¿hemos realizado el nivel adecuado de investigación sobre él también? ¿Qué requisitos de cumplimiento se aplican a los datos de los ciudadanos individuales en cada país? Porque difieren. Ya sabes, en algunos países, por ejemplo, incluso si se externaliza, tiene que ser alguien de ese país el que acceda a esos datos. Y eso es demasiado difícil de hacer, por lo que no se hace, pero hay que tenerlo en cuenta como requisito. Y una buena forma de avanzar en este sentido es identificar cuál es el modelo perfecto. He descubierto que, cuando se entra en un nuevo espacio o se hace algo así, hay que asegurarse de encontrar lo que se considera perfecto. Ponte en contacto con organizaciones similares. Rara vez encuentro que las personas sean competitivas entre sí cuando se trata de la ciberseguridad o la seguridad de la información. Creo que la gente está dispuesta a ser realmente abierta y transparente en torno a lo que hace y los procesos con las personas en las que confía o en los círculos de confianza. Así que, ya sabes, participa en grupos de debate y foros y asegúrate de captar cómo lo hacen los demás y luego asegúrate de poner en marcha procesos similares, ya sabes, no tienes que empezar desde cero. Veamos los riesgos ESG y RSC. Dependiendo de dónde estés, como quiera que lo llames, como digo, queremos ser buenos ciudadanos.

Queremos asegurarnos de que estamos haciendo lo correcto desde una perspectiva organizativa, todos queremos tener productos y servicios excelentes, pero debemos reconocer que el mundo es un lugar muy grande y que no siempre es igual a como lo conocemos en nuestros países de origen. Así que, ya sea para ampliar las siglas, como la responsabilidad social corporativa, queremos asegurarnos de que estamos haciendo lo correcto, o el ESG, queremos asegurarnos de que estamos protegiendo el medio ambiente, que estamos haciendo lo correcto en el ámbito social y que tenemos la gobernanza adecuada, etc. Así que una de las tendencias que todos reconocemos es la deslocalización y la externalización. Y uno de los principales motivos para hacerlo es reducir costes. Por lo tanto, una de las cosas clave que ocurre es que nos trasladamos a regiones del mundo con menores costes. Sigue habiendo un alto nivel de cualificación, pero a un precio más bajo, lo que nos permite reducir los gastos generales de funcionamiento de ese servicio, lo que tiene un impacto en la rentabilidad de nuestra organización, pero debemos reconocer, como he dicho, que no todos los lugares son iguales, que no todos los países tienen el mismo nivel de ética corporativa que nosotros disfrutamos y que, en algunos lugares, es evidente que los empleados siguen siendo explotados, pero esoes un hecho al que tenemos que enfrentarnos en algunos otros países. Sin duda, en mi pasado he tenido que lidiar con esto, con el pago de sobornos para, ya sabes, «engrasar las ruedas» o hacer desaparecer de la noche a la mañana burocracias muy complejas. Han sido algo habitual durante generaciones. Ya sabes, es una forma muy normal de trabajar para algunas personas en algunos de estos lugares, pero ya sabes, diría que para la mayoría de nosotros en esta llamada, obviamente no conozco todas las zonas geográficas desde las que estamos llamando, pero diría que para la mayoría de nosotros, tenemos algunas normas legales y, ya sabes, otras normas de cumplimiento que estipularían que, ya sabes, es ilegal que nuestra empresa opere de esa manera.

Así que nos enfrentamos al reto de tener que aplicar nuestra forma de trabajar, nuestra ética, nuestros sistemas de creencias y nuestra cultura, y tenemos que, diría que imponer, porque es una palabra fuerte, peroes lo que quiero decir, tenemos que imponer esa forma de trabajar en una geografía lejana y no importa la forma en que hayan trabajado tradicionalmente si quieren trabajar con nuestra organización y tener nuestro negocio, estas son las normas que impondremos y, a continuación, tenemos el reto de asegurarnos de que se haga en primer lugar, pero igualmente asegurarnos de que tenemos la gobernanza adecuada sobre ello para garantizar que continúe después de la adjudicación de los contratos. Y todos hemos visto en las noticias y en los periódicos, etc., temas como este. Hemos visto, por ejemplo, derrames de petróleo que dañan el medio ambiente. Hemos visto a fabricantes de zapatillas deportivas que utilizan mano de obra infantil. Hemos visto a fabricantes de café que pagan un salario notable a su mano de obra. Y todos sabemos cuánto cuesta una taza de café hoy en día, ¿verdad? Por lo tanto, los márgenes deben ser inmensos. Así que, ya sabes, pagar a las personas que realmente cultivan el producto y, ya sabes, tuestan el producto y recogen los granos de café, etc. Ya sabes, asegurarse de que tengan, ya sabes, un salario justo por un producto justo es realmente importante para la mayoría de las organizaciones. Y esos son solo algunos ejemplos. Incluso las personas que trabajan en centros de atención telefónica, etc. Así que realmente hay que pensar: ¿qué hace mi organización? ¿Dónde estamos? ¿Cuáles son nuestros compromisos, nuestras posturas éticas, nuestro cumplimiento y nuestras regulaciones legales en este entorno, y cómo nos aseguramos de que contamos con un proceso de gobernanza eficaz que lo supervise? Realmente se trata de asegurarse, ya sabes, yo lo digo como profesional de la seguridad, pero todo esto va más allá de la seguridad, pero todo ello se integra en tu programa TPRM. Tenemos que asegurarnos de que comprendemos plenamente, ya sabes, toda la cadena de custodia dentro de la cadena de suministro. Y luego está el riesgo financiero, ¿verdad? Bueno, ya sabes, lo vimos en la pandemia mundial de COVID y sabes que fue una gran sorpresa para todos nosotros.

Sabes que la mayoría de los profesionales de la seguridad de la información, si te registras en el NIST o la ISO o algo por el estilo, siempre has tenido una política global contra la pandemia de gripe en tu arsenal, pero sabes que la mayoría de la gente habría pensado que era bastante poco realista y nunca pensaste que vería la luz, pero en realidad lo hizo y todos hemos visto que las organizaciones que sufrieron por ello no tenían la infraestructura informática adecuada para que sus empleados pudieran trabajar inmediatamente desde casa. No tenían la capacidad de adaptarse rápidamente en cuanto a su forma de operar o de entregar productos y servicios a sus clientes, ni de trasladar rápidamente sus actividades de las instalaciones físicas a Internet y cosas por el estilo. Eso tuvo un gran impacto en los resultados y el balance de varias organizaciones. Y luego, si añadimos a esa mezcla que ahora estamos saliendo de esa situación, pero si miramos al resto del planeta en este momento, ¿verdad? Tenemos una mezcla de inflación en aumento, tipos de interés en alza y un aumento del endeudamiento de los gobiernos de todo el mundo. Y para agravar aún más la situación de las organizaciones, tenemos la tasa más alta de malware criptográfico que jamás hayamos visto. Ya sabes, atacando a organizaciones, cifrando literalmente sus datos y exigiendo un rescate. Así que, ya sabes, si no tienen el seguro adecuado, ya sabes, eso puede, ya sabes, lo vimos con, ya sabes, varias organizaciones de todo el mundo, eh, ya sabes, que realmente tuvieron un incidente de cripto-malware. Sus finanzas no pudieron soportarlo. No tenían seguro o la póliza en ese momento no incluía el pago. No tuvieron la capacidad de restaurar rápidamente esa organización y, de hecho, quebraron. Y eso le puede pasar a prácticamente cualquier organización si no cuenta con los planes adecuados. Por lo tanto, debemos ser proactivos y pensar en todo esto detenidamente. Debemos hacernos preguntas que no solo se centren en la ciberseguridad y la seguridad de la información, sino también en la liquidez de la organización. ¿Qué capacidad tienen sus finanzas para soportar algunas de las cosas que acabamos de comentar?

¿Y qué tan estable es? Ya sabes, ¿podría fallar de la noche a la mañana en algunos de los ejemplos? Entonces, ¿qué podemos hacer? Ya sabes, ¿cuál es la tendencia con cada proveedor? La mayoría de las grandes organizaciones publican sus estados financieros, por lo que podemos empezar a consumir esa información y comprender, ya sabes, ¿cuál es la tendencia? ¿Están obteniendo más flujo de caja libre dentro de esa organización? ¿Están pagando sus deudas? ¿O están obteniendo menos flujo de caja y acumulando más deuda? ¿Empieza a parecer más arriesgado año tras año? ¿O ese riesgo empieza a disminuir? ¿Se han asegurado contra los posibles impactos en su organización? No solo desde la perspectiva del riesgo cibernético, sino desde la perspectiva del impacto empresarial. Entonces, ¿están asegurados contra las pérdidas que podrían incurrir por no poder prestar servicio a sus proveedores? Por ejemplo, si nos fijamos en Revlon, ¿han cubierto ese riesgo potencial y lo han asegurado en el mercado de seguros o no? Y, de hecho, ¿dónde tienen su sede? ¿Dónde se encuentran sus instalaciones en todo el mundo? ¿Dónde tienen su sede central? ¿Tienen la capacidad de ser manipulados o desafiados por gobiernos corruptos? ¿Están potencialmente expuestos a la inestabilidad política? Todas estas cosas son factores que hay que tener en cuenta y obtener información precisa es realmente clave, pero como dije al principio, es igualmente importante asegurarnos de que tenemos toda esa información a nuestro alcance y que podemos difundirla dentro de nuestras organizaciones, a las personas que necesitan consumirla y ser capaces de tomar decisiones basadas en el riesgo en el futuro. Así que, antes de ceder la palabra a Scott, ¿qué podemos hacer de forma diferente? ¿Qué es lo que realmente marcaría la diferencia? Creo que tenemos que trabajar en colaboración, a menudo lo hacemos y yotambién soy culpable de esto, somos profesionales de la ciberseguridad y la seguridad de la información, y puede que haya muchas otras disciplinas en la llamada, pero como he dicho, los usuarios más activos de esta herramienta, esta tecnología y este proceso.

Como profesionales de la seguridad de la información, debemos reconocer que no tenemos todas las respuestas. Tenemos una mentalidad y una visión determinadas sobre cómo abordar los problemas. Necesitamos colaborar ampliamente dentro de nuestra organización. Por lo tanto, como dije, vean mi seminario web sobre la colaboración con la función de adquisiciones y verán que el CISO y el director de adquisiciones o el director general de adquisiciones tienen responsabilidades que realmente se superponen en lo que respecta al riesgo. Y muchos de los indicadores de rendimiento compartidos. Por lo tanto, hay que asegurarse de aprovechar esas diferentes funciones con los diferentes conocimientos especializados. Trabajar con RR. HH., el departamento jurídico y el financiero para asegurarnos de que hemos establecido los KPI adecuados y poder empezar a ver cuándo las cosas van mal. Lo que no queremos es descubrirlo cuando ya sea demasiado tarde. Existen indicadores adelantados y atrasados que nos permiten empezar a ver cuándo empiezan a surgir los problemas y, cuando los vemos, podemos empezar a comprender bien cuál sería nuestra respuesta. La mayoría de las organizaciones maduras no pondrían todos sus huevos en la misma cesta con un único proveedor crítico. Así que ya tendrías esa resiliencia incorporada, ya sea porque obtienes las materias primas de dos o tres proveedores diferentes que están geográficamente dispersos. Así, si se produce un impacto, obviamente no supondrá un gran problema para usted. Entonces, obviamente, se asegurará de operar de forma holística en toda la huella de sus proveedores. Como he dicho, la mayoría de las organizaciones que utilizan una herramienta como Prevalent tienen la capacidad de hacerlo. Tienes la capacidad de programar dónde se encuentran tus proveedores que te proporcionan productos y servicios en todo el mundo. Pero si estás ejecutando un proceso manual, esto puede suponer un reto en términos de conexión, especialmente si eres una multinacional en la que tus proveedores interactúan con tu organización.

Por lo tanto, siempre que sea posible, cree ese proceso global, asegúrese de que está operando ese único proceso a nivel global y, a continuación, asegúrese de que ha pensado detenidamente en las relaciones finales en toda su organización y, a continuación, modele escenarios, sin duda antes de que llegara la COVID. Un buen CISO que conozco hizo un ejercicio con su junta directiva sobre una pandemia global de gripe y a todo el mundo le pareció muy bueno. Creo que el director general lo llamó aparte después y le dijo: «¿Podemos elegir un escenario un poco más probable la próxima vez?». Pero, obviamente, unos meses después, algo así ocurrió. Es una inversión muy sensata sentarse con las partes interesadas distribuidas y modelar lo que pasaría si el canal de alcantarillado se bloqueara de nuevo y no pudiéramos hacer llegar nuestros productos a los clientes o no pudiéramos obtener nuestras materias primas. ¿Qué pasaría? ¿Cuál sería el impacto en nuestra organización con los hutíes en este momento en el Mar Rojo, desviando 200 000 millones de comercio y añadiendo semanas al tiempo de tránsito a algunos países y lugares? Todas estas cosas tienen un impacto y es muy valioso modelar algunos de estos escenarios. Así que sí, haz los tradicionales cibernéticos, pero piensa también en un sentido más amplio y comprende bien lo que realmente podría afectar a nuestra organización, porque no siempre se trata de un ciberataque. Y creo que si somos responsables de este proceso de riesgo, tenemos que ser capaces de guiar el negocio de forma eficaz y eso, obviamente, significa pensar más allá de lo cibernético. Y luego hay que estar al tanto de todo. Obviamente, hay que disponer de información sobre amenazas en tiempo real. Una vez más, algo que no se puede conseguir con un proceso manual. Puedes introducir quiénes son tus proveedores críticos. Puedes tener una supervisión prácticamente en tiempo real de lo que está sucediendo. Puedes ver lo que otras personas han descubierto sobre ellos. Y eso es realmente fundamental, poder estar casi en tiempo real cuando se trata de gestionar y supervisar la huella de tus proveedores.

Cuando surgió el problema con Neon que mencioné antes en la fabricación de chips, hubo un empleado de IBM que estuvo muy atento y se dio cuenta de que esto sería un gran problema, por lo que compró grandes cantidades, millones de toneladas, para esa organización con el fin de garantizar que no se produjeran interrupciones en el servicio. No todas las organizaciones habrían tenido esa información en tiempo realinformación oportuna, no todas las organizaciones habrían podido reaccionar, porque este tipo sabía de antemano que tenía cobertura aérea para poder hacer algo así, así que realmente hay que trabajar en ello y asegurarse de que se integra en el proceso global, porque, como dice ahí abajo, si se está llevando a cabo un programa de riesgo de proveedores realmente eficaz, se habrá pensado en prácticamente todo lo que puede ocurrir en la cadena de suministro y que puede interrumpir, el funcionamiento de sus productos y servicios. Y entonces todo se reduce a una perspectiva de costes. ¿Cuánto está dispuesto a invertir para cubrir ese riesgo? ¿Va a acudir a una aseguradora? ¿Va a incluir en su cartera a otros proveedores que puedan ofrecer el mismo producto y servicio? Solo para asegurarse de que ha cubierto ese riesgo de cara al futuro. Bien. Espero que te haya resultado útil. Tengo muchas preguntas, así que voy a ceder la palabra a Scott para que muestre unas cuantas diapositivas y luego pasaremos a la ronda de preguntas y respuestas. Scott, te dejo la palabra.

Matt: Genial. Muchas gracias, Brian. Eh... y puedes pasar a la siguiente diapositiva si quieres.

Scott: Bueno, una de las cosas que realmente me quedé de la charla de Brian es que hay un montón de tipos de riesgos diferentes que tenemos que tener en cuenta y que todos hemos caído en la trampa de preocuparnos principalmente por los riesgos de ciberseguridad que un proveedor o distribuidor puede traer a la organización de dos maneras. Una es el riesgo de la cadena de suministro de software. Ya sabes, estás haciendo negocios con alguien o has comprado un software que has implementado en la organización. Se convierte en una situación del tipo «muévelo o véntelo». El código se ve comprometido. De repente, ese código está en tu entorno. Bueno, ese código también podría estar en los entornos de tus terceros. Y si ellos gestionan tus datos o tienen conexiones con tus sistemas, de nuevo, eso es una vía de acceso a tu organización. El segundo riesgo cibernético es el riesgo de una violación, ¿verdad? Una situación tipo PJNA en la que, por ejemplo, un proveedor de facturación médica que gestiona la base de datos de sus clientes para emitir facturas médicas es atacado. La información de sus clientes se ve comprometida y, de repente, acaba a la venta en algún lugar de la web oscura, y eso es responsabilidad suya. Son esas cosas las que salen en la prensa. Pero, como dijo Brian anteriormente en la presentación, son algunos de estos riesgos más sigilosos, menos tangibles y más cualitativos los que pueden acechar en segundo plano y a los que realmente debemos prestar atención para evitar que se conviertan en algún tipo de perturbación para nosotros en el futuro. Ya sabes, el impacto en la cadena de suministro, la interrupción de la cadena de suministro, la adquisición de alguien o una fusión o adquisición en un proveedor, de repente eso crea una implicación estratégica para tu ecosistema. En cualquier caso, lo que vemos que preocupa a las organizaciones desde el punto de vista de la gestión de riesgos de terceros son realmente tres cosas, ya que están tratando de controlar el programa, ya sabes, desarrollar ese programa, sea cual sea, y eso es lo primero: los procesos manuales.

Sabéis que cada año realizamos una encuesta al sector y una de las preguntas que hacemos en ella es si utilizáis hojas de cálculo o qué herramientas utilizáis para gestionar el riesgo de terceros, es decir, el programa de gestión. Casi la mitad, el 48 % de los encuestados, respondió que utiliza únicamente hojas de cálculo para gestionar su programa de riesgo de terceros. Sé que muchos de vosotros estáis hoy al teléfono. No pasa nada. Siempre hay un buen momento para empezar a deshacerse de las hojas de cálculo y, como saben, hoy podría ser el día para hacerlo, para tomar esa decisión. Es un proceso muy manual. Ustedes comprenden los riesgos que conlleva un proceso manual. Es difícil mantenerlo actualizado. Es difícil obtener información en tiempo real. Es difícil mapear los controles en una hoja de cálculo de manera muy eficaz para remediar y, en efecto, cerrar el círculo en el problema del riesgo de terceros. En segundo lugar, ese estudio mostró que aproximadamente el 20 % de las empresas están realizando un seguimiento de los riesgos en al menos una etapa del ciclo de vida del riesgo de los proveedores externos. El 20 %, dos de cada diez, están realizando un seguimiento de los riesgos a lo largo de ese ciclo de vida. Eso es problemático. Creo que nuestra inclinación natural es realizar una evaluación de diligencia debida bastante profunda cuando incorporamos a un proveedor o cuando evaluamos a un proveedor para ver si queremos hacer negocios con él. Analizamos su postura cibernética, su postura competitiva, su postura financiera, sus puntuaciones ESD, cuestiones de reputación, lo que sea. Y una vez hecho esto, seguimos adelante. Nos sentimos cómodos. Ellos se ajustan al apetito de riesgo de la empresa. Seguimos adelante con ellos. Y luego hacemos algunas reevaluaciones periódicas. Pero después de eso, ya sabes, pasa el tiempo y entonces, como es natural en los seres humanos, tendemos a centrarnos en el siguiente gran problema y tal vez tengamos algunos proveedores que, ya sabes, hemos tenido en el ciclo de vida durante un tiempo. Estamos haciendo negocios con ellos y siguen presentándonos algunos riesgos. Y los datos muestran que pocas empresas están realmente analizando los riesgos desde el principio hasta el final.

En tercer lugar está esta situación tan loca en la que todo el mundo tiene algo que ver con la gestión de riesgos de terceros en muchas organizaciones. El 71 % de las empresas afirman que el equipo de información es responsable del riesgo de terceros, pero el 63 % dicen que el equipo de compras es responsable de la relación. Así que te plantearé esa pregunta. ¿Es ese tu entorno? ¿Verdad? Entonces, tal vez tú, que formas parte del equipo de seguridad, cumplimiento o riesgo de terceros, seas el encargado de gestionar el proceso de evaluación o de comprender qué tipo de información tienes que gestionar con respecto a los terceros. Pero en realidad es el equipo de compras el que tiene el contacto diario con ellos, o al menos el que paga las facturas. Por lo tanto, es necesario mantenerlos informados. Esa dicotomía, esa responsabilidad, si no se gestiona adecuadamente, si no se proporcionan los conocimientos adecuados a todas las partes interesadas, podría dar lugar a conflictos o, en el peor de los casos, a una situación delicada en la que nadie gestiona realmente la relación. Siguiente diapositiva, por favor, Brian. En última instancia, lo que hemos aprendido tras 20 años haciendo esto es que las organizaciones quieren conseguir tres cosas con sus programas de gestión de riesgos de terceros. La primera es obtener los datos que necesitan para tomar mejores decisiones. Hemos hablado de lo manual que es ese proceso. Hablamos de cómo las fuentes de datos dispares pueden llevar a que no se adopte un enfoque en tiempo real o a que no se analicen los riesgos a lo largo del ciclo de vida. En segundo lugar, aumentar la eficiencia del equipo y eliminar los silos. Si su equipo de seguridad informática necesita realizar una evaluación para comprender la postura de seguridad de un posible proveedor, el equipo de compras querrá saber cuál es su salud financiera. ¿Pueden pagar sus facturas? Tienen una buena calificación crediticia. Quizás el equipo de cumplimiento normativo o de gestión de riesgos quiera saber si tienen algún problema de reputación. ¿Han salido en las noticias? ¿Hay algún problema de calidad de los productos que sea motivo de preocupación? Cosas así. Lo que acaba sucediendo es que hay tres públicos diferentes que quieren saber un poco de información sobre este tercero.

Y muy rara vez encontramos en empresas de cualquier tamaño la capacidad de reunir todo eso para tener una visión global de ese tercero, independientemente del tipo de riesgo que se quiera gestionar. Y, en tercer lugar, evolucionar y ampliar el programa con el tiempo. Lo entiendo. Es un reto, ¿verdad? Hay que estar preparado para nuevos terceros, para el desmantelamiento, ya sabes, proveedores con los que ya no se trabaja. Y se necesita cierta elasticidad en los procesos y soluciones para poder hacerlo, y ya sabes que las hojas de cálculo y los procesos manuales no van a servir para eso. Siguiente diapositiva, por favor, Brian. Lo que buscamos es analizar el riesgo de forma holística en toda la relación con un proveedor externo. Reconocemos que vemos riesgos en todas las etapas de esa relación, desde el momento en que se decide buscar un nuevo proveedor, se elige y se incorpora, hasta el momento en que expira el contrato y no se está interesado en renovarlo y se quiere dar de baja al proveedor y rescindir el contrato y la relación. Cada una de esas etapas presenta riesgos únicos y esos riesgos únicos se presentan a múltiples equipos diferentes de toda la organización, ya sea por no tener una buena visión basada en el riesgo de un posible proveedor que se quiere seleccionar. Una cosa es determinar que la oferta de un proveedor es adecuada para el propósito, pero ¿se ajusta al perfil de riesgo de su empresa? Los procesos tradicionales de RFX no suelen resolver esa cuestión. En segundo lugar, en lo que respecta a la incorporación, el proceso contractual tiende a no estar muy bien integrado con el análisis de riesgos o el proceso de mitigación de riesgos. ¿No sería estupendo que hubiera una forma de unificar la gestión de los KPI, Kri, SLA y medidas de rendimiento en un contrato y tratarlos como riesgos de incumplimiento o de no cumplir las expectativas, o como riesgos cibernéticos o algo así, para gestionar este tipo de cosas en su conjunto? Un tercer gran reto que vemos son todos los procesos manuales necesarios para medir el riesgo inherente.

Sabes que realmente no sabes cuál debería ser el siguiente paso si no tienes un punto de partida para decir: «Vale, estos, estos, estos, ya sabes, este grupo concreto de proveedores tiene, ya sabes, un perfil de alto riesgo en esta área». Tenemos que profundizar aquí para determinar cuáles son sus políticas en materia de privacidad de datos, por ejemplo. Tercero, evaluación y corrección. Ya sabes, hemos hablado de deshacernos de las hojas de cálculo y los procesos manuales y cosas por el estilo, pero creo que un factor crítico para el éxito en un proceso de evaluación es disponer de una biblioteca de cuestionarios o preguntas que aborden los riesgos sobre los que los diferentes departamentos de tu empresa querrán saber más. Como he dicho, el equipo financiero quiere saber esto, el equipo de compras quiere saber aquello, el equipo de TI quiere saber lo otro... Por lo tanto, hacer un proceso manual basado en hojas de cálculo o quizá mirar un cuestionario, ya sabes, normalmente no va a satisfacer a nadie. La supervisión y la validación son el quinto paso del proceso y lo que vemos aquí es que es donde empiezan a surgir este tipo de silos de información. Obtenés una puntuación cibernética, una puntuación ESD, una calificación crediticia financiera, algo así. Bueno, ¿qué hacés con todo eso? Si sos el que gestiona la relación, ¿con quién compartís esa información, cómo la compartís, en qué formato y cómo afecta eso a la decisión, como establecer terceros SLA y rendimiento, hemos hablado de la integración entre la contratación y la gestión de riesgos y, finalmente, la salida, llegas al punto en el que sabes que es hora de poner fin a esa relación, lo que vemos es que muchas organizaciones no tienen un proceso de incorporación muy prescriptivo que esté centralizado con la asignación de tareas y la priorización, más bien que te permita decir con mucha seguridad: «Bien, hemos terminado aquí y todos estos elementos se han marcado. Podemos seguir adelante». Eh, siguiente diapositiva, por favor, Brian. Ya sabes, lo que hacemos para abordar este problema es una combinación de tres cosas.

Lo primero es que, bueno, tenemos una plataforma de gestión de riesgos de terceros que utiliza nuestro equipo interno de servicios gestionados, si decides optar por esa vía. Pero nosotros nos encargaremos de todo el trabajo relacionado con los riesgos de terceros en tu nombre. Eso incluye la incorporación de proveedores, la realización de evaluaciones de riesgos inherentes, la emisión de valoraciones, el análisis, la formulación de recomendaciones de corrección, la ayuda con los contratos, lo que sea. Cubrimos todo el ciclo de vida del riesgo de terceros al detalle. Si quieres hacerlo tú mismo, también está bien, porque tenemos la plataforma para hacerlo. La segunda parte de la ecuación son los datos. Quiero decir, compararía nuestra plataforma con cualquier otra plataforma del sector. En términos de la cantidad y la calidad de la información que hemos importado a la plataforma y que luego le presentamos en tarjetas de puntuación de aspecto muy inteligente, así como en registros centrales de riesgos para ayudar a validar la presencia de ciertos controles, y esos datos son importantes para tomar buenas decisiones. Y, en tercer lugar, mencioné la plataforma, es decir, la capacidad de albergar todo el flujo de trabajo, los cuestionarios, los riesgos, los informes, los marcos de cumplimiento y mucho más en una única plataforma para ayudarle a ya saben, reducir la cantidad de tiempo y todo ese esfuerzo de corrección para ejecutar sus evaluaciones de riesgos. Siguiente diapositiva, por favor, Brian. Um, ya sabes, el núcleo de la presentación de hoy es, ya sabes, que hacemos esto para un montón de tipos diferentes de riesgos y acabo de poner seis categorías de ellos aquí en la diapositiva ahora mismo. Y todos los pequeños puntos son los datos o los cuestionarios que tenemos en la plataforma para ayudarte a recopilar esta información. Por supuesto, cibernéticos, operativos, financieros, ESG, reputacionales y de cumplimiento. Y, de nuevo, centralizamos esta información en la plataforma para ayudarles a tomar buenas decisiones basadas en el riesgo sobre si quieren o no hacer negocios con un proveedor en particular, seguir haciendo negocios con un proveedor o recomendar soluciones para llegar a un punto en el que estén satisfechos con una puntuación de riesgo residual que se ajuste al resto de la empresa.

Siguiente diapositiva, por favor, Brian. Y creo que eso es todo lo que quería compartir con ustedes hoy, que es más o menos cómo podemos ayudar a abordar el problema de los múltiples tipos de riesgos diferentes en el entorno y cómo podemos reunirlos en una única solución, ayudándoles a realizar análisis, informes y correcciones para, en última instancia, mitigar ese riesgo a largo plazo. Eso es todo lo que quería compartir con ustedes hoy. Creo que, Matt, te devolvemos la palabra y abrimos el turno de preguntas.

Matt: Muy bien, muchas gracias, Scott. De acuerdo, mirad. Ahora sería un buen momento para que todos vosotros introdujáis cualquier pregunta que tengáis en el cuadro de preguntas y respuestas. Voy a lanzar la última encuesta ahora mismo en la pantalla mientras lo hacéis, para que podamos hacer un seguimiento con vosotros sobre cualquier proyecto de TPRM que tengáis en mente. Básicamente, ¿os gustaría que Prevalent hiciera un seguimiento para discutir la mejora de vuestro programa de TPRM? Y, por favor, sed sinceros, porque realmente haremos un seguimiento con vosotros. Voy a lanzar la encuesta rápidamente. Sí. Bien. La encuesta está en marcha y parece que tenemos más preguntas que tiempo, Brian. Así que voy a daros un primer vistazo por si tenéis alguna pregunta que os llame la atención. Si no, puedo elegir una y podemos repasar algunas. No. Parece que tienes el micrófono silenciado.

Brian: Sí, voy a repasar rápidamente algunos puntos para ti, si te parece bien. Tenemos algunas preguntas sobre qué documentación necesitamos para supervisar a los subcontratistas. Entonces, para terminar con lo que estábamos hablando antes, en realidad hay que hacerles las mismas preguntas que se le harían al proveedor principal, ¿verdad? Si tienen acceso a los datos, también hay que saberlo todo sobre ellos. La ubicación y los modelos de propiedad, los productos, los servicios, las ubicaciones, etc. Es una extensión, no algo adicional. Es una réplica de lo que se le preguntaría al proveedor actual y hay que trasladarlo también a ellos. Un par de preguntas sobre ESG, ya sabes, no está clara la relación entre ESG y los retos que plantea para tu función de TPRM. Así que, imagina que se descubre que uno de tus proveedores clave está involucrado en la esclavitud infantil o en importantes infracciones de salud y seguridad, etc. Y, obviamente, los periódicos se enteran y dicen que la empresa X utiliza mano de obra infantil, etc. Eso no es algo con lo que realmente quieras que se asocie tu marca. Esos son los vínculos, ¿verdad? Y hay que reconocer que existen factores normativos y legales para garantizar que eso no suceda. Creo que sabes que la mayoría de las empresas tienen la responsabilidad de incorporarlos a su cadena de suministro para asegurarse de que no ocurran. Scott, creo que era para ti, de Patrick, el SIG actual que se está trasladando a la herramienta predominante.

Scott: Sí. Sí. La pregunta es: ¿se puede importar el SIG actual a la herramienta predominante para identificar las calificaciones de riesgo inherente y residual y luego compararlas con la propensión al riesgo empresarial? La respuesta es sí. Ya hemos importado el SIG 2024 a la plataforma predominante. A continuación, puede migrar las respuestas anteriores de 2023 y años anteriores a la nueva versión antes de empezar a evaluar a sus proveedores utilizando el 2024 de este año. Y eso incluye el análisis de riesgo residual inherente y, a continuación, las correspondencias con el riesgo empresarial y, posteriormente, las correspondencias del marco para el cumplimiento normativo.

Brian: Genial. Y luego tenemos una pregunta, ¿cuáles son los tres aspectos principales en los que hay que centrarse cuando se intenta madurar una organización de TPRM? No, cualquier pregunta sobre ciberseguridad, ¿verdad? Personas, procesos, tecnología. Y vi que Scott tenía una plataforma de datos de personas en su diapositiva 19. Así que es bastante similar, ¿verdad? Tenemos que asegurarnos de que contamos con las personas adecuadas, personas cualificadas que puedan reconocer los resultados que ofrece la herramienta y que impulsen las medidas adecuadas dentro de la organización. Necesitas procesos globales y buenos conjuntos de datos para asegurarte de que obtienes una buena visión global y, como ha dicho Scott y yo he dicho varias veces en este seminario web, si hoy en día estás ejecutando un proceso manual, creo que sabes que es un buen punto de partida, pero el mundo definitivamente ha avanzado. Creo que sabes lo que una herramienta como Prevalent puede hacer por ti y reconoces la transformación en tu capacidad para gestionar el riesgo de tu organización. Hay otra cuestión: ¿hay alguna razón por la que la unidad de negocio que contacta o contrata el servicio no sea la propietaria de la relación con el cliente? Creo que eso depende de cada organización. Sin duda, he trabajado para organizaciones que no tenían un sistema de compras centralizado y que sí controlaban la relación con el usuario final. Creo que se trata de configurarlo para que sea colaborativo. Creo que, siempre y cuando tengas esa visión única, eso es realmente fundamental. No quieres que el departamento de compras tenga una visión de la base de clientes y tú tengas otra, porque, obviamente, entonces ambos estarían guiando el negocio de maneras diferentes. Así que creo que eso es realmente fundamental. Scott, ¿quieres responder a eso? Con Prevalent, ¿podemos optar por una categoría específica de inteligencia de riesgos, por ejemplo, solo financiera?

Scott: Sí, por supuesto. La respuesta corta a la pregunta es sí. Si solo quieres supervisar el riesgo financiero de los proveedores, puedes hacerlo perfectamente con una plataforma habitual. Pero el mayor valor que obtienes de la plataforma es la visión global del riesgo en múltiples tipos diferentes de múltiples equipos internos de la empresa. Así que sí, hay herramientas que pueden servirte, como D&B o Credit Safe, que te proporcionan informes financieros de los proveedores, pero lo que importa es lo que haces con los datos, y ahí es donde entra en juego el valor que aportamos: tomamos los datos, los relacionamos con posibles riesgos, señales de alerta y avisos, y te permitimos tomar medidas al respecto.

Brian: Bien. Y la última, Scott, también es para ti.

Scott: Sí. Sí. La pregunta es: si utilizo la herramienta para enviar el SIG como cuestionario, pero mi proveedor me devuelve el SIG por correo electrónico, ¿puedo cargar sus respuestas en el cuestionario que envié? La respuesta es sí, puedes hacerlo. Y luego puedes llamar a ese proveedor y regañarlo por teléfono por haberlo hecho.

Brian: Bien, Matt. Lo logramos.

Matt: Muy bien. De acuerdo. Genial. Bueno, muchas gracias, Brian, y por supuesto, a Scott también. Y gracias a todos por todas las preguntas. Así que, si queréis estar al día de las novedades de TPRM, no dudéis en preguntarnos en LinkedIn. Y, por último, espero ver a algunos de vosotros en vuestros buzones de correo electrónico y quizá incluso en uno de nuestros futuros seminarios web. Muchas gracias de nuevo a todos y cuidaos.

Brian: Gracias a todos. Saludos.

Scott: Cuídense todos. Adiós. Saludos.