Los KRI y KPI adecuados para medir el riesgo de terceros

Melissa: Hola, bienvenidos a todos. Veamos. Ah, ya están entrando. Promete ser interesante. Feliz jueves. Es estupendo ver que todos se están uniendo. Mientras esperamos a que todos se conecten y se acomoden, voy a lanzar nuestra primera encuesta de dos. Si ya han asistido a alguno de nuestros seminarios web, ya saben cómo funciona. Siempre nos da curiosidad saber qué los trae al seminario web de hoy. ¿Es por motivos educativos? ¿Están en las primeras etapas de su programa de riesgos de terceros? Si son clientes actuales de Prevalent, háganmelo saber. Dejaré esa encuesta ahí mientras comienzo con las presentaciones. Tenemos un invitado muy especial aquí, Brian Littlefare, ex CISO global de Vodafone Group y Aviva. También contamos con Scott Lang, nuestro vicepresidente de marketing de productos aquí en Prevalent. Además de Amanda y yo, y somos Wave, ¿verdad? Nos dedicamos al desarrollo empresarial y solemos ser los que hacemos el seguimiento después de este seminario web, y seguro que hemos charlado con algunos de ustedes antes. Así que, si no somos nosotros, les llamarán Landon o Null. Estén atentos a ellos. Hoy, Brian profundizará en el tema titulado «Los KPI y Kri adecuados para medir el riesgo de terceros». Les mostrará cómo se pueden correlacionar las métricas de rendimiento y riesgo para obtener informes más informativos del programa TPRM. Como mi perro está ladrando, les recuerdo que queremos valorar su tiempo. Así que asegúrense de que están utilizando... Lo siento , Amanda, ¿puedes tomar el relevo y hablar sobre el chat?

Amanda: Sí, por supuesto. Perros, ya sabéis, hoy en día todo el mundo trabaja desde casa. Sí. Por eso, os vamos a pedir que participéis lo máximo posible. Así que, si tenéis alguna pregunta, utilizad la sección de preguntas y respuestas. En concreto, si tenéis alguna pregunta o simplemente un comentario, utilizad el chat. Pero queremos organizarlo y separarlo, porque estoy segura de que tenéis muchas cosas que comentar y preguntar a Brian y Scott. Eso es todo. Se va a grabar. Lo recibiréis en vuestro buzón de correo electrónico hoy o mañana. Podéis empezar, Brian. Estamos listos.

Brian: Great. Cheers, Amanda. Thanks, Melissa. So, yeah, a really important topic today. How we get the right KPIs and KISS and it’s something, you know, strangely enough, I’m quite passionate about and something that I spend a lot of time advising, you know, boards and executive teams because not a lot of us get it right, myself included. Um, you know, it’s a it’s a hard area to to mature, to get the right KPIs and messagings from your security program up to the board, but it is critical to get correct so that we get that right engagement. So, you know, today I’m going to give you my views and I’m hopefully going to leave plenty of time after Scott’s done his section at the end where we can, you know, get into some of your questions and answers and hopefully I can give you the benefit of some of my experience. So, uh, please, as as Amanda said, use the the Q&A aspect so that we can get those questions flowing in. I think, you know, one really interesting dynamic that I observe and I’m asked to speak at a lot at the moment is you know if you look at all the security conferences around the world so whether you’ve got RSA or infosc over in in Europe there’s specific streams that are pulling uh some fairly big CISOs and leadership teams in security organizations into into focus groups and the topic it might have a different title but it’s focusing on how does the CISO communicate with the board uh and the word chasm is is often used because there’s a gap there’s a there’s a misunderstanding or a miscommunication or the CESU isn’t getting through to the board with the right level of information. So, the board are ultimately disengaging. I just find it’s really interesting that, you know, these discussion groups are happening. If they’re happening, it’s it says there’s a problem because obviously the industry’s kind of picked up on that and how do we resolve that and how do we take it forward? And a lot of that comes down to to the KPIs, how we present, you know, the effectiveness or uneffectiveness of our security programs up to our senior management for intervention for support for backing all of those aspects. So it’s a really key important aspect that we get right. So I think you know it’s not just large enterprises facing this problem. So not all of you on the call will you know have a an expansive global board and leadership teams around the world etc. But it still is important because all of us are on a security journey. No one in security is ever finished. It’s the job for life. You never actually get to tick that box at the end and say well security is done. We can move on. There’s, you know, constant challenges that arise. So, it’s relevant for all of us understanding, you know, how do we capture where we are on that maturity journey and and reach out for that help and support from from upper management. I think the one thing I see and I’ll try and highlight it later on is when security leaders are communicating upwards in the chain around third party risk but but equally more holistic around the security program, they forget the language of the board which is risk and finance. And all too often we’re talking, you know, what a board member would call technical mumbo jumbo, right? They’re they’re very clever people. Uh they certainly shouldn’t be put down because they don’t understand the nuances of security technology. Uh they wouldn’t be on the board if they if they couldn’t add value, but it’s up for us to translate our security technical lingo, if you like, into the language of the board, which is purely centered around risk and finance. So, we can’t go in there with raw security events, firewall logs, and all of those aspects. they’re rapidly lost when they’re not you’re not talking to a technical audience. So, we need to recognize that and you know I’ve coined the phrase meaningful metrics uh because they have to be meaningful to the recipient. They have to understand what you’re trying to tell them. They almost have to jump off the page in terms of clarity and conciseness and you know a lot I see aren’t there and hopefully we can have a good conversation today about how we mature from where everyone is today and and how we kind of get to where we need to be at the end goal. Sorry. So, you know, third party risk management, I’ve run security for numerous organizations, some very big and and some not so big. Uh, so I’ve got a, you know, very good exposure to third party risk. I’ve always managed it when I’ve been a CISA. Um, and certainly if you listen to, you know, the government organizations around the world, so whether it’s NSA in in the US or the NCSC in the UK and the various other bodies around the planet, Everyone is sending out the advice and guidance that it’s not sufficient just to secure your organization. We all have a distributed risk in terms of managing the risk that presents itself from our supply chain. We will all have different levels of suppliers from people that supply ingredients into the kitchens for our staff all the way through to people and organizations that manage our data centers when we outsource them uh to them. So there’s a different complexity in that risk model and in that picture. But we need to get better at, you know, understanding what that risk is and how can that mis risk materialize because we need to know that because we need to mitigate it and if we don’t know about it then it’s really hard for us to actually mitigate it going forward. But many organizations uh and thankfully this is starting to change but certainly when I started in security uh probably 20 25 years ago uh platforms like prevalent weren’t around so we had to do our third party risk on on Excel spreadsheets and similar database processes. But now platforms like Prevalent are around, we really shouldn’t be using Microsoft Excel. And and I apologize in advance if you are a Microsoft Excel user because I’m going to give it a bit of a bashing today because u you know Excel has its its place within an organization, but it it it’s not on managing third party risk and and I’ll get on to that in a few slides. We need to get, you know, our interaction with our customers and suppliers in near real time as possible. uh an Excel won’t allow you to do that. Um we can’t be in a world where we’re gauging risk in a in an annual cycle where we’re sending out questionnaires. Uh uh third party suppliers are filling in those questionnaires. They come back into our analyst teams who are massively overstretched. Uh and then obviously they have to diagnose those results and try and produce a risk position. But as soon as that’s done, it’s out of date. As soon as you get that, you know, questionnaire back, it’s it’s practically useless because we all think about our own organizations, how much management changes, how much strategy changes, how we release new products and services, new policies and procedures that are released internally. That’s exactly the same in in the supplier world. And if you’re just capturing that and analyzing that annually, then you know thousands of changes are going to happen and occur between those cycles and you’re just not going to know about it. So you might think that a supplier is pretty unrisky, but actually they’ve, you know, launched on a new venture or a new product But that actually really increases their risk profile. So it’s about focusing on getting that risk trigger about focusing on getting that information from your suppliers as near real time as as possible. And I think you know moving away from the Excel way of the world into platforms like Prevenant is hopefully why you’re all on the call today to understand how you can achieve that if you’re not already on that journey.

Brian: Sorry, wrong way. So three of the common challenges that you know, I think organizations face and hopefully some of you might resonate with this and again feel free to put any questions in the chat and we’ll get into that later on. But I’ve coined this really the the art quadrant. Uh what I see are challenges in third party risk management around the approach, the tooling that’s being used and the resource that’s within the team. So let’s I’m going to run through these and and they all have a slide each but you know that art quadrant if you if you don’t have the right strategy in place, if you haven’t adopted the right tooling and you’re not optimizing your resource and I use optimizing you know why ask for more people when when ultimately you haven’t optimized your tooling. So if you have those three things then it’s almost the perfect storm and you’re going to have a challenge around doing third party risk management correctly uh or being able to advise the business in the right way. So if you if you’re in the art quadrant your priority today is is how do I get out of that and and hopefully we can help give you some answers to that as well. So if we look at the approach, you know, the third party risk management needs to have a strategic approach and and what I mean by that is it has to be designed to assess, evaluate, capture and ultimately treat risk. It can’t be just to run an annual cycle that sends an auditor out to a tier one supplier and sends a questionnaire out to a tier three. The results are assessed. You know, just because you’re running that cycle doesn’t mean to say you’re doing third party risk management. The who is in the M. You’re managing that risk. You’re effectively capturing it. You’re understanding the potential impact on your parent organization. You’re advising the business about that risk. You’re putting in treatment plans. You’re having the dialogue with with the supplier and you’re mitigating or accepting those risks, but you have that informed position. That is, you know, the risk management aspect of of the third party program. It absolutely, you know, needs alignment with the the broader business. But it shouldn’t be driven by the business and and what I mean by that is you are the expertise in this space. You are the expertise in in risk. You are the expertise in security. So it needs to be you know the accountable person whether you’re in procurement or whether you’re in the security function. It doesn’t make much difference. But whoever’s owning and running this process needs to have that pure direction around we’re here to tackle risk. If the business is you know trying to dictate how it happens and you know which which supply buyers get which attention. They need to have that security background. They need to have that risk background to actually understand what the potential impacts on that will be. So you can’t just be purely driven by the business because it won’t lower your risk profile. So let’s look at resources. So when I look around organizations, I think that the third party risk uh uh risk management teams are, you know, often heavily underresourced. But then I start to ask the question, you know, Have you optimized the the resource? If you’re trying to run, you know, three and a half, four and a half thousand suppliers around the globe in 60 70 countries using an Excel-based process, that’s never going to work. It doesn’t matter how many people you throw at it. It doesn’t matter if you spin up a captive in India and put 100 people on it and things like that. It’s just not going to work. Um, so rather than just thinking we haven’t got enough people, we need more people. You need to step back from the problem and say this process isn’t working. Are in the our quadrant. So rather than just looking at resource, what can we do around the technology, what can we do around the process and how do we actually optimize the resource that is needed to run an effective third party risk management program. So I personally have ran um obviously I’m on this presentation because I’ve used preent extensively in my past but I’ve personally ran you know global multinational organizations with four and a half thousand suppliers with a team of six people. U so it absolutely can be achieved if you’ve optimized the process, the technology and you know the data flows that are coming in and out of the team. But you know it is focusing down on how do you support those people bestly you know you need the right resource they need right skill uh they need to be focused in you know tiering the the the companies that are within there effectively so they know who to spend the most time with um and equally they need to know the the global ramifications of those suppliers and I’ll get on to that a little bit later on so Optimization is the key thing about resource. Don’t just throw people at the problem. It’s it’s not going to fix it. And then if we look at the the sorry you keep going the wrong way. And if you look at the uh the tooling aspect so so we talked earlier on around innovation in this space and there’s a lot of innovation in this space because you know governments and organizations are recognizing that they can’t just secure the mothership. They have to effectively secure everything that is interconnected with that mothership. And you know We’ve talked around different suppliers, different criticalities to the organizations. Some might have, you know, physical connectivity into your networks. Some might have staff members on their sites that have virtual logical access into your networks. And we need to understand what that looks like. And that’s a very complex picture. You know, building all of those nuances together and then actually understanding the the global aspect of that. So, for example, if you are working for a large organization, you might have a supplier in one country that is fairly insignificant but actually in another one of your countries they’re major. So you have to actually understand the global ramifications of of your suppliers as well. So we need to we need to mature we need to move up that maturity scale recognizing that if we are looking at what you do today and you would view it as a manual process in terms of manually sending out questionnaires relying on individual analysts to actually interpret those results and you know they’re very skilled people and I’m not doing them a disservice. But the challenge is if you give a questionnaire to analyst A and give a questionnaire to analyst B, you’re going to get two answers coming back. Um, so use the analysts to actually interpret the results that the modern tools are giving you. That’s where, you know, the best use of their skill is. It’s like if we look at a security operation center, we wouldn’t put our level one, two, and three sock analysts on looking at the raw data flowing into the sock. We rely on the scene technology to do the analysis. and we present them with the issues that we think need investigation and that’s the innovation that’s happened in this space. Let the tools like prevalent absorb all the information analyze where the key risks are that you can set the parameters on and then give that information to the analyst. That’s where they can have maximum traction and you know use their skill set to to best effect.

Brian: Pasemos ahora a los KPI y los KRIS. Quiero dejar clara mi referencia cuando hablo de KPI y KIS. En definitiva, esto es a lo que me refiero. Utilizamos los KPI para medir el rendimiento. La clave está en el nombre, ¿verdad? Indicador clave de rendimiento. ¿Funciona algo tal y como se diseñó? ¿Es eficaz el diseño? ¿Se ha diseñado de la forma adecuada? ¿Es eficaz desde el punto de vista operativo? ¿Lo estamos utilizando de la forma adecuada y obtenemos los flujos de datos correctos? Pero eso es lo que buscamos desde la perspectiva de los KPI. Los KRI son completamente diferentes. ¿A cuánto riesgo estamos expuestos? Hay riesgo bruto y riesgo neto. Tenemos una base de referencia de riesgo. Le aplicamos tratamientos y, obviamente, obtenemos el riesgo neto resultante. Esa es la base de referencia. Eso es lo que vamos a tratar a partir de ahora. Métricas significativas. Este es un panel de control de un cliente que utilizaba Excel. Es cierto que fue hace unos años, pero todavía veo cosas como esta hoy en día. Y, como pueden ver, esto se presentó a un miembro de la junta directiva. No había ningún análisis de los datos. No había documentación de apoyo. Era solo una hoja de cálculo de Excel que mostraba nuestros proveedores a la izquierda. Creo que hay unas 40 filas. Aquí están nuestros controles de seguridad de la información en la parte superior. Y aquí está el rendimiento de un proveedor en relación con esos controles de seguridad. Como pueden ver, hay dos tonos de amarillo, dos tonos de verde y dos tonos de rojo. Y, ya saben, reto a cualquiera a que mire esa matriz y entienda cuáles son las áreas clave que plantean retos. Creo que, si miran los controles de seguridad de la información, aproximadamente en tres cuartas partes del camino, verán que hay bastantes proveedores que obtienen una puntuación roja. Y, por experiencia, diría que probablemente se trate de algo relacionado con la seguridad física, ya que no todos los pequeños proveedores cuentan con cámaras de seguridad y vallas perimetrales, etc., que usted podría tener en sus controles de seguridad. Pero, independientemente de ello, es complejo, es ajetreado, es estático porque, como sabe, estas evaluaciones se realizan una vez al año.

Brian: Y luego está el diálogo con el proveedor sobre, ya sabes, que has fallado en este control, ¿puedes poner en marcha esta solución?, pero en gran medida sigue igual durante meses y meses. Así que cuando presentas un informe mensual a la junta, los miembros de la junta dicen: «Bueno, esto no ha cambiado. ¿Qué sentido tiene que vengas hoy a presentar algo que no va a cambiar en 12 meses?». Ya lo vimos el mes pasado. Y no puedes profundizar en los problemas. Depende del presentador conocer realmente el problema o el reto que hay detrás de cada uno de esos cuadrados, porque si un miembro de la junta se centra en un proveedor y en el control y pregunta cuál es la situación con este, tienes que ser capaz de hablar con entusiasmo sobre ello, en lugar de hacer clic en él y visualizarlo, pero obviamente notiene por qué ser así, eh, herramientas como Prevalent, obviamente, que es el panel de control de la derecha, puedes utilizarlo, que es lo que yo solía hacer para la comunicación con la junta, así que no entras con el PowerPoint, entras con un sitio web en directo, datos en directo, muestras los paneles de control y puedes profundizar y decir: «Mirad, estos son los riesgos actuales que estamos gestionando dentro de la cadena de suministro. Aquí están las áreas en las que creemos que debemos centrarnos y apoyar. Aquí es donde creemos que tenemos un reto. Vamos a debatir rápidamente qué vamos a hacer al respecto. Profundizar en el conjunto de datos. Todo el mundo está informado. Todo el mundo está contento. Seguimos adelante». Así que ya ven por qué critico un poco a Microsoft Excel. Y pido disculpas si lo utilizan hoy en día, pero, como he dicho, yo también he tenido que utilizarlo en el pasado, pero cuando se implementa una plataforma como Prevalent en una organización, realmente cambia las reglas del juego. Realmente permite ser más eficaz como responsable de seguridad, que es, en última instancia, lo que todos quieren ser capaces de hacer, creo. Entonces, ¿qué métricas son las mejores prácticas en mi opinión? Recuerden que esto es solo mi opinión y siéntanse libres de cuestionarla. Siempre me gusta un buen debate, pero ¿qué deberíamos medir? Yo lo divido en cuatro categorías. Y, bueno, el riesgo, lo estamos cubriendo bastante bien.

Brian: Creo que es bastante obvio que necesitamos evaluar nuestra cadena de suministro desde una perspectiva de riesgo. Otra ventaja de Prevalent es la amenaza. No se puede aplicar una lente de amenaza a una hoja de cálculo de Excel. Ser capaz de visualizar las amenazas potenciales a las que se enfrentan tus proveedores o las amenazas a las que se enfrentan ellos. Obtener esa inteligencia sobre amenazas, de código abierto, ya sabes, los datos OINT que llamamos «flujo» en la huella de tus proveedores, significa que empiezas a comprender mucho más sobre ellos y que también puedes desafiarlos, ¿verdad? Así que, si un proveedor le envía datos que no se corresponden con su inteligencia sobre amenazas. Por ejemplo, si cada semana actualizan su perímetro, pero usted puede ver vulnerabilidades en su perímetro durante dos meses. Esto le permite mantener una conversación informada sobre lo que es la realidad. Y, del mismo modo, las amenazas no siempre tienen que estar relacionadas con la ciberseguridad, y los riesgos no siempre tienen que estar relacionados con la ciberseguridad. La seguridad es más holística que eso. Por lo tanto, vamos a abarcar la continuidad del negocio. Vamos a abarcar la recuperación ante desastres. Vamos a reunir todos esos componentes en un único panel de control que le permita comprender qué pasaría si este proveedor ya no estuviera ahí. Piensa en las organizaciones de todo el mundo que han tenido que eliminar a Rusia de toda la ecuación. Piensa en las organizaciones de todo el mundo que están observando a China y analizando lo que podría estar haciendo desde el punto de vista militar con Taiwán, y comprendiendo lo que sucedería si China desapareciera y ya no pudiéramos contar con ella como parte de nuestros proveedores, de nuestra cadena de suministro, de nuestro desarrollo y de la creación de nuestro código. Todos esos aspectos, modelar lo que sucedería en su cadena de suministro, todos esos aspectos se vuelven mucho más fáciles de hacer cuando se utiliza una herramienta como esta. El cumplimiento normativo también se vuelve mucho más fácil. Y voy a profundizar en ellos también. No se preocupen, solo estoy saltándome los titulares.

Brian: Así que el cumplimiento se vuelve mucho más fácil porque, en lugar de tener que auditar a un proveedor en relación con su cumplimiento de lo que sea, PCI, Sarbain, Oxley, la Ley de California, lo que sea, puedes codificar esos requisitos marcando una casilla y diciendo que este proveedor está dentro del ámbito de este cumplimiento en relación con nuestra organización. Así que evalúalos en función de eso. Eso es muy valioso a la hora de obtener esas declaraciones de certificación que se pueden presentar a un auditor de pedidos y decir: «Hemos revisado los requisitos, esta es nuestra opinión y esta es la opinión de otras empresas en relación con su cumplimiento, lo cual también es muy útil». Y luego está la cobertura, y ya sabes, veo esto todo el tiempo, donde las organizaciones están ejecutando un programa de riesgo de terceros, pero no tienen una cobertura completa, noconocen a todos sus proveedores, y la computación en la nube no ayuda en este sentido, ya que permite poner en marcha un servicio con una tarjeta de crédito. La TI en la sombra también es un problema, ya que la empresa elude los procesos normales del director de informática y del director técnico y crea entornos técnicos con nuevos proveedores por su cuenta, pero nuestro trabajo consiste en ir más allá y captar eso y asegurarnos de que tenemos una buena visión holística, por lo que estamos evaluando a todos los proveedores de esa mezcla. Es un reto. Yo mismo lo he hecho varias veces y, sinceramente, es el mayor problema. Veamos cuáles son algunos de los KPI que yo evaluaría desde una perspectiva de riesgo y, del mismo modo, algunos de los KRIS. Hemos hablado de la cobertura, pero creo que es lo más importante.

Brian: Nadie quiere verse sorprendido por un proveedor que no conocía, que ha tenido un problema y ha afectado al negocio, y que ha aparecido en la CNN o en las noticias, dependiendo de dónde se encuentre en el mundo, y usted no sabía nada de él, nono has hecho una evaluación y está afectando al negocio, así que conseguir esa cobertura es absolutamente clave y la forma de hacerlo es ponerse en contacto con el departamento de compras e insistir en que nada pase por el proceso de compras de principio a fin sin que se haya completado tu proceso de diligencia debida y, ya sabes, el tercero de ahí abajo, el potencial de los proveedores que han completado la evaluación de incorporación, si hay flujo de efectivo de la organización A, es decir, de ti a un proveedor, y esa evaluación no está completa, entonces tienes un problema o puedes tener un problema. Ya sabes, no quieres alimentar el miedo, la incertidumbre y la duda, pero en términos de diseñar tu proceso para el éxito, eso debería ser al 100 %. Debes asegurarte de que te involucras en el proceso lo antes posible para poder realizar tu evaluación. Pero, de nuevo, voy a ponerme lírico con esto. La ventaja de utilizar una herramienta como Prevalent es que, si la empresa se dirige a ti y te dice: «Oye, ministro y señora CISO, vamos a necesitar que incorporéis a este nuevo proveedor. Es fundamental para nosotros. Vamos a lanzar un nuevo producto, etc. Necesitamos conocerlos muy rápidamente». En el mundo antiguo, con Excel y cuestionarios, eso no sería posible. Lleva tiempo porque solo vas a encontrar lo que sabes sobre ellos en Google, ¿verdad? Por lo tanto, no conoces a este proveedor. No sabes nada sobre ellos.

Brian: Cuando te unes a Prevalent, es muy probable que alguna otra persona en el mundo haya utilizado este proveedor y esté en la plataforma Prevalent, y que igualmente Prevalent se dirija a los proveedores de forma proactiva y les diga: «Venga, únase a nuestra plataforma, rellene sus cuestionarios aquí» y, obviamente, los nuevos proveedores obtienen acceso a esa información, por lo quete beneficias de esa gestión colectiva del riesgo, te beneficias de lo que otras organizaciones han preguntado a ese proveedor y puedes acceder a esa información, por lo que no te quedas mirando una hoja de Excel en blanco, sino que puedes empezar a ver que probablemente el 90-95 % de las preguntas que les vas a hacer de todos modos estarán en la plataforma, por lo que realmente puedes ponerte en marcha y seguir adelante. Pero creo que, desde el punto de vista de los KPI, esos son los pocos que yo destacaría. Pero lo único que hay que medir y lo que realmente daña la reputación de la seguridad es que te conviertas en un obstáculo. Probablemente ya lo hayas oído antes. No queremos comprometernos con la seguridad. Nos ralentizan o el departamento de compras dice que no quiere trabajar con nosotros en este proceso porque es demasiado lento. Así que haz un seguimiento del tiempo que tarda ese proceso en completarse a través de tu organización de seguridad y, de nuevo, analiza qué se puede optimizar y, obviamente, creo que también estamos pasando por mucho de eso y, si nos fijamos en el KRIS, ya sabes que siempre miro los indicadores de retraso y siempre miro los indicadores de avance, así que el retraso es loha sucedido en el pasado y el adelantado es una especie de mirada al futuro, lo que necesitamos vigilar constantemente y en lo que debemos centrarnos, así que ya sabes que siempre queremos estar atentos a los incidentes, saber quién en nuestra cadena de suministro nos ha causado problemas y retos, y ya sabes que eso no tiene por qué ser cibernético. El canal de alcantarillado estaba bloqueado. Es posible que tuvieras envíos en uno de esos barcos que no pudieron pasar. Eso es un problema de la cadena de suministro. No es un problema cibernético, sino un problema de la cadena de suministro. Y aún así hay que entender: ¿se puede mitigar ese riesgo? Y, ¿se puede pensar en ello con antelación, antes de que ocurra realmente?

Brian: Y cosas como el número de proveedores que siguen presentando un alto riesgo tras su incorporación satisfactoria. Es posible que, tras haber completado el proceso, sigan presentando un alto riesgo, ya sea por motivos geopolíticos o por los productos que fabrican. Esto podría dañar tu reputación o afectar a tu cadena de suministro, pero aún así tienes que trabajar con ellos. No hay otra opción o sabes que es a quienes ha elegido la empresa. Por lo tanto, los vigilarás muy de cerca. Los pondrás en el nivel uno y querrás seguir adelante con eso. Así que se trata realmente de centrar tu lente de riesgo. Tu lente de riesgo debería ser tu lupa, que realmente profundiza en lo que es, ¿verdad? Y luego mira la amenaza. La amenaza es clave. Si no estás gestionando las amenazas como parte de tu programa de gestión de riesgos de terceros en este momento, es absolutamente necesario que comprendas cómo puedes incorporarlas. Obviamente, forma parte de esta plataforma. Pero, del mismo modo, si no lo estás haciendo, tienes que hacerlo. Y eso significa fijarse en el número de proveedores sobre los que puedes obtener información sobre amenazas. La mayoría de los proveedores de la plataforma predominante ya estarán preconfigurados con inteligencia sobre amenazas. Pero esto realmente se reduce a sus programas de cumplimiento y a la información que realmente puede obtener sobre ellos, porque, más allá del riesgo, que es algo que realmente puede suceder, La amenaza es algo que ya ha ocurrido o está a punto de ocurrir y estás recibiendo indicios tempranos de que va a ocurrir. Por lo tanto, es muy útil que esa información sobre amenazas llegue a tu organización. Así que hay que analizarlo detenidamente, desde el punto de vista del cumplimiento normativo, pero también desde el punto de vista de los niveles. Si tiene un alto grado de amenaza, como que algo pueda ocurrir a corto plazo en su base de suministro de primer nivel, entonces sabe que eso va a ser un problema y cómo va a mitigarlo en el futuro. Por lo tanto, una vez más, esto es realmente útil si el riesgo es la lupa, entonces la amenaza es el microscopio.

Brian: Te permite comprender realmente lo que está sucediendo casi en tiempo real y, de hecho, podría tener un impacto bastante significativo en tu negocio, ¿verdad? Y si nos fijamos en el cumplimiento normativo, este solo va a aumentar. Si observamos a los reguladores de todo el mundo, que están empezando a armonizar sus programas de cumplimiento, porque, como sabes, cuando diriges una gran multinacional global, puede ser muy complejo debido a las diferencias entre los programas de cumplimiento de todo el planeta, por lo que están empezando a armonizarlos. Creo que sabes que, cuando miramos los datos,hay alrededor de 63 requisitos diferentes en todo el planeta que se refieren a los datos, así que en Europa tenemos el RGPD, en Estados Unidos la ley de California, Canadá tiene la suya, Sudáfrica tiene la suya, etc., y los que aún no las tienen las están desarrollando, pero estamos empezando a ver puntos en común en ese enfoque. Pero el cumplimiento normativo no va a desaparecer, especialmente si estás en un sector regulado. Y la razón por la que existe es porque, obviamente, los reguladores están observando a las personas que están dentro de su sector y no ven los comportamientos que quieren observar. Así que, en realidad, lo están impulsando a través de la regulación. Harás esto. Así es como queremos que lo abordes. Y se vuelven muy prescriptivos con eso en el futuro. Ahora bien, el cumplimiento solía ser un verdadero reto. Ya sabes, en un mundo manual, era muy difícil Para, ya sabes, aplicar esa perspectiva a toda la cadena de suministro. No solo intentas evaluarlos en función de tu propia política de seguridad, sino que ahora también tienes que evaluarlos en función de todos estos diferentes regímenes de cumplimiento. Pero, sinceramente, puede convertirse en un simple clic. No quiero simplificarlo en exceso porque, ya sabes, hay que diseñarlo bien en la plataforma y entender quién está dentro del ámbito de aplicación y quién está fuera. Pero es absolutamente revolucionario en términos de ritmo y capacidad para hacerlo lo más rápido posible. Así que, ya sabes, el cumplimiento normativo se convierte en un juego de niños. Y luego también está eso de la falta de cobertura. Por supuesto. Ya sabes, es realmente importante. Tenemos que asegurarnos de que lo tenemos cubierto. No puedo insistir lo suficiente en esto.

Brian: He visto cómo esto se convierte en un verdadero problema, especialmente para las grandes organizaciones, cuando segmentan su programa de gestión de riesgos de terceros por países. Simplemente no comprenden la importancia que un proveedor puede tener para su organización. Y, del mismo modo, se ven divididos y conquistados por el proveedor. Un proveedor no te va a decir que está suministrando de forma proactiva a una gran multinacional en todos sus diferentes países con diferentes precios y diferentes contratos, etc. Por lo tanto, es realmente responsabilidad del departamento de compras abordar esta cuestión, con el apoyo del programa de gestión de riesgos de terceros, para comprender cuál podría ser el impacto potencial de ello en el futuro. Y, de nuevo, asegúrate de que no haya flujo de dinero entre la empresa A y la empresa B hasta que eso se haya completado. Y, obviamente, haga un seguimiento de ese tiempo en una métrica de la junta directiva para asegurarse de que realmente comprende si está siendo un obstáculo porque sabe que, potencialmente, su proceso podría no estar optimizado, no tiene las herramientas adecuadas y podría ser muy complicado conseguir un proveedor a través de este programa y, si es así, sea proactivo a la hora de reconocer dónde están esos retos y solucionarlos, y luego, obviamente, asegúrese detiene los KRIS, centrándose en los de nivel uno, nivel dos, etc., aquellos con los que realmente quiere pasar tiempo, y que realmente ha comprendido su cobertura dentro de su organización y, a continuación, aplicar diferentes perspectivas para diferentes públicos, lo cual es realmente importante, y una herramienta como Prevalent le permite hacer esto, reconociendo que, cuando era CESO de una organización, nono creo que fuera demasiado controlador, pero quería mucha más información de la que le mostraba a la junta directiva. Quería una perspectiva que me permitiera profundizar y que me mostrara los detalles técnicos que podía asignar a mi equipo técnico para obtener una comprensión más profunda. Así que hay una perspectiva diferente que quiero ver como líder de seguridad y que tú también querrás ver como líder de seguridad.

Brian: Y luego poder modelar situaciones hipotéticas. ¿Qué pasaría si hiciéramos esto? ¿Qué pasaría si no hiciéramos aquello? ¿Qué pasaría si alguien más hiciera esto y nosotros no? Ser capaz de modelar escenarios y poder acceder a esa inteligencia sobre amenazas, así como comprender qué pasaría si esto le ocurriera a este proveedor. ¿Cuál era nuestro plan de respaldo? ¿Tenemos un proveedor B en este ámbito? Y ya sabes, un gran ejemplo en ese ámbito en este momento son los chips de silicio. Hay una enorme escasez mundial de chips de silicio y las organizaciones que, como sabes, se centraban específicamente en el proveedor A y no tenían un plan de respaldo ya establecido cuando experimentaron problemas para empezar a adquirir inmediatamente del proveedor B, simplemente perdieron el tren porque los que ya lo hicieron obtuvieron los chips del proveedor B. Así que ellos también quedaron fuera. Así que realmente hay que pensar más allá de la perspectiva cibernética, que es lo que sigo diciendo, que la ciberseguridad es absolutamente fundamental. Obviamente, es mi experiencia y mi trayectoria, pero estamos hablando del riesgo de la cadena de suministro y, como sabes, es más amplio que la ciberseguridad y la seguridad de la información. Por lo tanto, el CISO necesita una perspectiva. La empresa también necesita una perspectiva. Podemos debatir sobre esto, pero mi opinión personal es que el CISO no debería asumir ningún riesgo en lo que respecta a la remediación. Tenemos propietarios de negocios, o deberíamos tenerlos, que son responsables de gestionar a esos socios dentro de su negocio. Por lo tanto, los socios, los terceros externos, no establecen una relación comercial con el CISA. Establecen una relación comercial con una unidad de negocio o una división dentro de su organización, y debería ser su responsabilidad gestionar esa organización y ese proveedor en el futuro. Su trabajo consiste en proporcionarles la información necesaria para hacerlo. Permítales priorizar y entrar en detalles sobre, por ejemplo, que tenemos un problema con este proveedor o que quiere incorporar a este proveedor y que eso también nos plantea un reto. Preferimos que utilice ese. Pero puede presentar la información y los hechos, y darles la capacidad de impulsar ese plan de resolución en el futuro.

Brian: Y, de nuevo, en lugar de esa hoja de cálculo tan compleja que te mostré, algo como Prevalent te permitirá asignarla a diferentes usuarios. Así, tú no eres el responsable del riesgo, sino ellos, pero tú haces un seguimiento de la corrección en el futuro. También puedes recibir alertas si hay algún problema o dificultad. Así que, de nuevo, es muy potente desde ese punto de vista. Y luego está la junta directiva. Y yo utilizo el consejo y el equipo ejecutivo de forma intercambiable aquí, pero lo que buscan es una visión de muy alto nivel, una imagen de muy alto nivel. ¿Cuál es la imagen consolidada del riesgo? Dame el discurso de ascensor, los terceros 30 000 pies. Pero quiero poder profundizar. Si me dices que hay un problema, quiero poder acceder a esos datos porque, ya sabes, ellos son responsables personal e individualmente en muchos sectores en lo que respecta a la gestión eficaz del riesgo. Y si vas a esa junta y hay un problema o un posible desafío. Tienes que darles la información, pero ellos no pueden revisar, ya sabes, páginas y páginas de datos, necesitan que se les presente en bandeja. El análisis debe hacerse en su nombre. Y lo que realmente tienes que hacer es decir: «Creo que tenemos un problema. Creo que tenemos un problema. Necesito vuestro apoyo». Y si utilizas el lenguaje universal de la sala de juntas en materia de riesgos y finanzas, entonces, obviamente, conseguirás que los miembros de la junta se interesen y te apoyen. Eso también es muy importante. ¿Por qué defiendo las métricas significativas y los KPI en este ámbito? Para resumir la intervención de Scott antes de cederle la palabra, porque veo que hay muchas preguntas sobre este proceso, que existe por una razón y debemos recordar que veo a mucha gente pasando por el ciclo, pero la reducción del riesgo no se está produciendo. El proceso está en marcha, pero el riesgo no disminuye. Por lo tanto, debemos centrarnos absolutamente en que está ahí para reducir el riesgo y gestionarlo de forma eficaz en el futuro. Y, del mismo modo, aceptar el riesgo está perfectamente bien. Veo organizaciones que aceptan riesgos todo el tiempo.

Brian: Podría darte muchos ejemplos, ya que trabajé para una gran organización que invirtió mucho en impresoras. Estas impresoras eran del tamaño de un almacén, pero para sustituir la consola de gestión basada en Windows XP Service Pack 2, que todos sabemos que tiene vulnerabilidades, no había más remedio que gastar 10 millones en una impresora nueva, aunque la impresora funcionaba perfectamente. No había otra solución que gastar 10 millones en una impresora nueva, pero la impresora funcionaba perfectamente. El programa de gestión de riesgos de terceros podría decir: «Tenemos que sustituir la impresora». La empresa diría: «No voy a gastar 10 millones en una impresora nueva. Busca otra solución». Por lo tanto, no vamos a aceptar el riesgo en su totalidad. Vamos a elaborar un plan de tratamiento al respecto. Vamos a reducir el riesgo rodeándolo de medidas de seguridad. Pero hemos sacado a la luz el problema. Hemos mantenido una conversación informada. Ahora entendemos el riesgo y estamos llegando a un punto en el que es más manejable y podemos comprenderlo. Ese es el proceso que debemos impulsar en el futuro. La forma de informar de ese riesgo a la empresa también es absolutamente clave. Veo que muchos de los interesados en la empresa se mantienen al margen de este proceso porque no ven el valor que aporta, y es importante mantenerse cerca de ellos, de los líderes de las respectivas áreas dentro de la propia empresa, y comprender realmente si esto añade valor. ¿Está obteniendo lo que necesita de este proceso? Porque este es mi objetivo en términos de reducción de riesgos y necesito trabajar con usted para poder hacerlo de manera eficaz. Entonces, ¿estamos dando en el blanco? ¿Está obteniendo lo que necesita? ¿Qué más necesita? También hay que adaptarse a esos requisitos y tenerlos realmente en cuenta. Por lo tanto, no se encierre en su torre de marfil de seguridad. Derribe esos muros, colabore con la empresa y asegúrese de ofrecer un servicio de calidad, porque si no lo hace, buscarán esa información en otra parte. Y como responsable de seguridad, eso es algo que no le conviene.

Brian: Si lo piensas bien, si miras mi ejemplo de hoja de cálculo de Excel y piensas «oye, eso es más o menos lo que hago ahora mismo», sabes que no estoy aportando claridad al negocio, ellos tienen que hacer el análisis en mi nombre cuando lo presento, entonces tenemos que entender cómo se puede cambiar eso, tenemos que entender cómo adoptarlo para queprobablemente estés agotando tus recursos finitos desde el punto de vista de los recursos humanos dentro del equipo de seguridad, así que entiende lo que puedes hacer para madurar tu programa de gestión de riesgos de terceros lejos de las hojas de cálculo y las bases de datos, y fíjate en las plataformas innovadoras. Sabes que hemos innovado mucho en este ámbito porque reconocemos que es un problema. Reconocemos que hay retos. No podemos plasmar las amenazas en una hoja de cálculo de Excel. Por su propia naturaleza, no puede ser en tiempo real. Tenemos que adoptar un enfoque de riesgo impulsado por la comunidad, de modo que podamos aprovechar los cuestionarios y la información sobre amenazas y los enfoques de miles de otros clientes de ese proveedor. Podemos ver toda esa información. No nos basamos únicamente en nuestro conjunto de datos. Hay mucho poder en eso. La inteligencia colectiva que se puede obtener de plataformas como esta y, como saben, recuerden que una cosa que siempre le he dicho a mis equipos de seguridad es queno son responsables de este proceso de principio a fin, sino que deben trabajar con el negocio en general. He realizado muchos seminarios web para Prevalent y uno de los que les sugiero que vean es cómo conseguimos que la relación con los equipos de compras funcione realmente, porque nuestros objetivos están totalmente alineados, pero necesitamos esa claridad de comunicación en el negocio, necesitamos esas métricas significativas para poder informar a las partes interesadas de lo que está pasando. Es un verdadero reto recopilar todos esos datos y contextualizarlos, pero el uso de herramientas como Prevalent realmente ayuda. Voy a ceder la palabra a Scott, que hablará un poco sobre Prevalent y luego pasaremos a la ronda de preguntas y respuestas. Scott, te dejo la palabra.

Scott: Muchas gracias, Brian. Te lo agradezco. Bueno, todo lo que Brian ha comentado hoy se resume, en definitiva, en madurar tu enfoque actual sobre cómo entiendes, organizas y comunicas las métricas más importantes, ya sabes, ascendiendo en la jerarquía, por así decirlo, o en la cadena de mando de la organización. Esa es la razón fundamental por la que hemos diseñado nuestra solución de la forma en que lo hemos hecho: para llevarte del punto A al punto Z, al punto B, o al punto que sea, al final de la línea. Y ofrecemos nuestro enfoque de solución de tres maneras diferentes. La primera es ayudarte a familiarizarte rápidamente con las métricas de riesgo más importantes para ti, consultando una evaluación de riesgos completa, una evaluación de riesgos ya completada de nuestra biblioteca, nuestra red de inteligencia global. Ahora bien, esas evaluaciones se basan en tipos de evaluación estándar del sector y pueden ayudarle a descargar y asimilar esa información, cargarla en su instancia local, de modo que ya disponga de un registro de riesgos completado y de la capacidad de asignar los riesgos de ese proveedor al marco sectorial o de seguridad que sea importante para usted. De este modo, puede ayudar a priorizar y luego calcular los riesgos. Ahora bien, eso incluye los riesgos inherentes, ¿verdad? Es decir, los riesgos que el proveedor aporta a una organización sin el tratamiento de ningún control, sus controles, ¿verdad? Los controles que usted requiere específicos para su organización. Y luego puede ayudarle a cuantificar esos riesgos en lo que llamamos un mapa de calor basado en la probabilidad y la posibilidad de que se produzcan. El segundo mecanismo que empleamos para ayudarle a controlar el riesgo es hacerlo nosotros por usted. Ya sabe, tenemos tres centros de operaciones de riesgo diferentes, profesionales de operaciones de riesgo ubicados en Estados Unidos, Canadá y el Reino Unido que le ayudan a diseñar la evaluación adecuada quees importante que recopile de sus proveedores, recopile esa información, la analice y la presente de tal manera que pueda informar fácilmente en la organización cuáles son sus proveedores más riesgosos, qué áreas de control deben aplicarse más, para todo, desde la incorporación hasta la salida en ese ciclo de vida, o si desea utilizar la solución usted mismo, puede hacerlo. Eh, así que la plataforma de gestión de riesgos de terceros es, eh, nuestra solución principal que le permite, eh, incorporar proveedores, identificar riesgos, crear el contenido adecuado para recopilar esos riesgos una vez realizada la evaluación de riesgos inherentes, eh, y luego organizar, analizar y, eh, remediar los riesgos con recomendaciones integradas en la plataforma. Todas estas capacidades se ofrecen con un hilo conductor coherente, que es el riesgo cibernético, empresarial y financiero continuo de los proveedores, ya que recopilar los riesgos una vez al año no sirve de nada, porque tan pronto como se realiza la evaluación de riesgos, ocurre algo, por lo que incluimos un elemento continuo en tiempo real en la gestión de riesgos, junto con la recopilación y el análisis de la información sobre los riesgos. Siguiente diapositiva, Brian.

Scott: Um, y de nuevo, como he mencionado, nuestro objetivo es ayudarte a llegar del punto A al punto X, y para ello tenemos un enfoque muy prescriptivo. Todo, desde, digamos, que estás empezando en un lugar en el que ni siquiera tienes a todos tus proveedores en un mismo sitio, y mucho menos sabes qué métricas debes reportar. Podemos ayudarte a incorporar y puntuar a esos proveedores de forma programática para ayudarte a priorizar qué tipo de gestión de riesgos hay que hacer con ellos. Lo siguiente es, volviendo a lo que ha dicho Brian hace unos minutos, no criticar demasiado a Microsoft Excel. Sé que todos lo usamos en cierta medida, pero si estás listo para salir de la cárcel de las hojas de cálculo, podemos ayudarte a automatizar ese proceso en nuestra plataforma para crear el contenido adecuado, enviarlo a tus proveedores y luego analizarlo automáticamente en la plataforma sin tener que preocuparte por cambiar de formato. Podemos ayudarte a automatizar ese proceso, ya sabes, en nuestra plataforma para crear el contenido adecuado, enviar ese contenido a tus proveedores y luego analizarlo automáticamente en la plataforma sin tener que preocuparte por cambiar de hoja de cálculo. Mencionamos la validación de los resultados de la evaluación con una supervisión cibernética continua. Intel es el siguiente paso en el proceso. Te ayuda a tomar decisiones más inteligentes manteniendo esos datos actualizados, relevantes y al día. De este modo, cuando presente información sobre riesgos clave, o incluso sobre indicadores clave de rendimiento, sabrá que esos datos están actualizados, lo que le permitirá solucionar esos problemas con la guía de corrección integrada y las mejores prácticas de la plataforma y, finalmente, evaluar de forma proactiva y continua esos riesgos. A medida que su programa madura, se vuelve intrínsecamente menos reactivo y más proactivo. Tu visibilidad aumenta, tu eficiencia aumenta si adoptas el enfoque adecuado. Para llegar a ese punto. Siguiente diapositiva, por favor, Brian.

Scott: Bueno, lo que nos diferencia es, bueno, cómo recopilamos la información y todas las diferentes fuentes de las que la obtenemos. Esta explosión de estrellas, por así decirlo, es solo una muestra de las diferentes fuentes de datos que utilizamos para introducir información en el sistema y ayudarle a comprender cuáles son sus mayores riesgos y cómo cuantificarlos y comunicarlos. Todo, desde la comunidad de proveedores hasta el crowdsourcing, pasando por fuentes privadas de las que obtenemos información bajo licencia, la supervisión normativa que mantenemos actualizada en el sistema, las asociaciones industriales, las integraciones con sistemas que probablemente ya esté utilizando, las evaluaciones completadas en nuestro laboratorio o laboratorio, nuestra biblioteca y, por último, fuentes públicas como la información OSENT que también recopilamos. Así que toda esta información la recopilamos para que usted pueda añadir contexto, matices y claridad a su evaluación, de modo que cuando elabore sus informes, cuando defina sus KISS y KPI, no solo disponga de la información, sino también del contexto que hay detrás de ella. Ese es nuestro enfoque, en cualquier caso. Volvemos con usted.

Brian: Gracias, Scott. Bueno, ahora pasamos a la ronda de preguntas y respuestas. Creo que voy a ceder la palabra a Melissa y Amanda para que nos envíen las preguntas que todos ustedes han estado preparando, pero creo que primero hay una encuesta, ¿verdad, chicos?

Melissa: Sí, acabamos de lanzar nuestra segunda y última encuesta. Tenemos curiosidad por saber si estás pensando en establecer o ampliar un programa de riesgos de terceros en el plazo de un año. Por favor, sé sincero. Porque haremos un seguimiento. Como he dicho antes, seremos Amanda, Null, Landon y yo. Es decir, uno de nosotros. Definitivamente haremos nuestra debida diligencia. Pero sigamos adelante y abordemos un poco esta sesión de preguntas y respuestas. Hay mucho que hacer. Esta podría ser para Scott, pero dejaré que ustedes decidan. La primera pregunta es: ¿la plataforma predominante tiene información sobre grandes empresas como Microsoft?

Scott: Por supuesto que sí. Tenemos dos fuentes complementarias de información sobre grandes empresas como Microsoft. La primera es una evaluación completa que se ha realizado sobre ellas. Digamos que es una evaluación estándar de recopilación de información. Quizás sea un informe SOCK 2. Y luego la complementamos con un seguimiento continuo de la ciberseguridad, el negocio, las finanzas, la reputación y la información relacionada con la violación de datos. Para completar el perfil del proveedor y añadir información adicional a la evaluación completa. Así que sí, lo hacemos.

Melissa: Entendido. Muy bien. Siguiente pregunta. Según su experiencia, ¿cuál sería la mejor forma de calcular y comunicar la exposición global al riesgo anual desde la perspectiva de la gestión de riesgos de terceros?

Brian: Vaya. Sabes, eso es una de las cosas más difíciles de hacer, eh, ya sabes, colectivamente. Eh, la forma en que yo personalmente siempre lo he abordado es por niveles. Así que, ya sabes, mirando, ya sabes, los proveedores de nivel uno, nivel dos, nivel tres y tal vez bajando hasta el nivel cuatro. Porque si mezclas el nivel cuatro y el nivel uno, por ejemplo, entonces se confunde el panorama. Así que hay que centrarse realmente en aquellos proveedores que son absolutamente críticos para ti, para tus clientes o para el éxito de tu negocio. Quizás producen cosas en tu nombre. Y en cuanto a la eficacia del programa, se trata de saber por dónde empezaste. ¿Qué te propusiste conseguir en términos de reducción de riesgos en esos proveedores? Y luego, ¿qué has conseguido al final del año? Pero ya sabes que es un proceso iterativo. Así que ya sabes que yo no lo comunicaría una vez al año. Hablaría de ello cada mes porque, según mi experiencia, el equipo ejecutivo quiere apoyar la seguridad y las compras con estos retos, y se trata de que estamos trabajando con este proveedor, que quizá no cumple con esto o aquello, etc. Y de mover ese dial constantemente. Así que sí, si quieres hacerlo anualmente, asegúrate de hacerlo con un enfoque por niveles, pero al menos, ya sabes, divídelo en ciclos de 12 meses para que la gente no se sorprenda y se escandalice al final del año. Ellos reconocen lo que estás diciendo porque también han formado parte de la conversación a lo largo del año. Correcto.

Melissa: Perfecto. Gracias. Muy bien. Siguiente pregunta. ¿La inteligencia sobre amenazas de proveedores está automatizada, como una fuente automática, o Prevalent solo ofrece campos para que una organización realice su propia inteligencia sobre sistemas operativos, supongo que sobre sus proveedores? Quizás sea para Scott.

Scott: Sí. Um, ofrecemos nuestros propios feeds de monitorización continua nativos, ¿verdad? Incorporamos feeds cibernéticos. Um, también hemos creado nuestros propios feeds cibernéticos para recopilar información e introducirla en la plataforma. Y luego tenemos información sobre la reputación empresarial que también obtenemos de fuentes externas, así como información financiera. Así que es una combinación de fuentes que hemos creado, información que hemos recopilado, pero también tenemos una API abierta y un mercado de conectores que le permiten crear una conexión desde la plataforma predominante a cualquier otro sistema que esté utilizando actualmente para ello.

Melissa: Genial. Gracias, Scott.

Melissa: Muy bien, allá vamos. El proceso de incorporación de proveedores suele ser un misterio en muchas organizaciones en lo que respecta a los insumos y los resultados, que dependen de los responsables del proceso. ¿Cuáles son las mejores prácticas para la incorporación de proveedores que garantizan la solidez del proceso?

Brian: Sí. Bueno, creo que, de nuevo, se trata de un enfoque por niveles. Siempre pongo el mismo ejemplo: si tienes a alguien que suministra ingredientes para la cocina o a alguien que gestiona un centro de datos, el proceso de incorporación sería ligeramente diferente. Creo que todas las preguntas que le harías al proveedor de la cocina se incluirían en las del proveedor del centro de datos, pero este recibiría muchas más. Donde veo un proceso complejo es cuando se utiliza el mismo proceso de incorporación para ambos. Ahí es donde le preguntas al proveedor de ingredientes para la cocina si cuenta con privacidad, CCTV, vigilancia las 24 horas, puertas rápidas para entrar y salir, etc. Hay una relevancia que necesitas poder preguntarle a tu proveedor. Así que, de nuevo, adopta ese enfoque por niveles. Creo que para la incorporación, lo importante es conocer al proveedor, saber qué políticas y procedimientos tiene, quién es la dirección de la organización, cuáles son las finanzas de la organización. Es posible que no sepa nada sobre ellos. Necesita una captura rápida de datos. Y ahí es donde dije que, si utiliza Excel, está empezando desde una hoja en blanco. Eso es difícil de hacer. Si utilizas algo como Prevalent, normalmente puedes encontrar una gran cantidad de información sobre ese proveedor. Por lo tanto, la mejor práctica es no preguntarles todo como parte del proceso de incorporación. Pregúntales lo que es fundamental para continuar y, obviamente, podrás averiguar el resto a medida que avance la relación. Pero luego, aprovecha un proceso en el que puedas obtener esa información lo más rápido posible para no quedarte atrás.

Melissa: Muy bien, perfecto. Veamos. Tengo otra pregunta. Para una empresa que tiene que gestionar los presupuestos con rigor, ¿cuál es la mejor manera de equilibrar la necesidad de elegir proveedores más pequeños que respondan a las necesidades del negocio y se ajusten a su presupuesto con la reducción del riesgo, que es más probable que se dé en el caso de proveedores más grandes y caros?

Brian: Sí. Y esto es algo que tiene que suceder, ¿verdad? He visto a pequeños proveedores que podrían acabar en bancarrota por pasar por el proceso de gestión de riesgos de terceros de las grandes multinacionales, porque ya sabes que la inversión en tiempo que supone para ellos responder a todas las preguntas y introducir todos los datos, etc., puede ser un verdadero reto y, de hecho, puede frenar la innovación o disuadir a las organizaciones más pequeñas de acercarse a ti por tener un proceso tan exigente. Así que creo que todos debemos reconocer que, aunque las grandes multinacionales quieran trabajar con pequeñas empresas innovadoras, esto puede suponer una gran diferencia para ellas. Por lo tanto, debemos ser flexibles en nuestro enfoque y en nuestro proceso y, de nuevo, se trata de tener en cuenta no solo la importancia para la organización, sino también el tamaño y la escala de dicha organización. Si trabajas con una pequeña empresa emergente de cuatro personas, sabes que tienes que ser sensato con las preguntas que les vas a hacer y que debes tener cierta flexibilidad en tu programa en cuanto al tamaño y la escala de la organización, porque muchas de las cosas que esperarías encontrar en una gran organización no estarán presentes en una pequeña empresa emergente o en una empresa en expansión, pero eso no significa que no quieras trabajar con ellas. Y, de nuevo, tienes toda la razón. Sabes, puedes gastar muchos recursos internos tratando de captar cuál es el riesgo que presenta una gran organización, pero ahí es donde cosas como los informes sock two, sock three y sock one realmente cobran sentido. Así que, al final, lo que buscas es la seguridad de poder gestionar tu riesgo. Ya sea que tu equipo tenga que hacerlo de forma personal e individual, o que puedas aprovechar la inteligencia que prevalece o los datos que hay en los informes Sock Two y cosas por el estilo, que también resultan muy útiles. Así que...

Melissa: Gracias. Muy bien, sigamos adelante. Estamos avanzando mucho con todas estas preguntas. ¿Hasta qué punto se integran los matices culturales en el cálculo de la evaluación de riesgos para incluir el impacto de una organización en las costumbres o prácticas establecidas dentro de la comunidad en la que opera?

Brian: ¿Y qué moral establecida? ¿Crees que eso significa o...?

Melissa: Creo que sí. Sí. Bueno, puedes dar eso por hecho.

Brian: Sí. Creo que la cultura es un prisma muy interesante que siempre debemos tener en cuenta. Cosas como la lucha contra el soborno existen debido a la cultura que impera en algunos países en los que algunos de nosotros podemos operar. Era bastante normal que se pasara un sobre por encima de la mesa cuando se cerraba un acuerdo comercial. Por lo tanto, tenemos que comprender la cultura de nuestra organización y cómo esperamos que se comporte nuestra cadena de suministro. Y sabes que incluso puede haber organizaciones que operan en países donde no se observan las mejores prácticas y sabes que puede ser una aceptación cultural para ellos, pero sabes que estamos sujetos a regulaciones para garantizar que eso no ocurra dentro de nuestra cadena de suministro. Por lo tanto, tenemos que ser bastante firmes y, como sabes, tenemos que controlar esos aspectos en términos de lucha contra el blanqueo de capitales, lucha contra el soborno, todos esos aspectos, solo para asegurarnos de que estén cubiertos. Por lo tanto, tenemos que comprender que existen diferencias culturales y ser sensibles a ellas. Pero, del mismo modo, tenemos que comprender cuál es la cultura fundamental de nuestra empresa. ¿Cómo esperamos comportarnos? ¿Cómo nos hacemos responsables? Y eso es, en última instancia, los requisitos que se imponen a la cadena de suministro y, a continuación, se establecen los controles adecuados para poder medirlo también. Por eso decía que no se trata solo del riesgo cibernético, se trata del riesgo y la cultura en sí misma puede suponer un riesgo. Así que solo hay que ser consciente de eso. Perfecto. Muy bien, allá vamos. ¿Cómo se asigna un valor monetario a la puntuación o calificación global de un proveedor externo concreto?

Melissa: Lo siento, chicos. ¿Hay más?

Melissa: Eh, esta pregunta puede ser para ti o para Scott. No estoy segura de quién puede responderla mejor. Adelante.

Brian: ¿ Cómo se asigna un valor monetario a la puntuación global de un proveedor externo concreto? Siempre es difícil. Es como, ya sabes, ¿cómo se evalúa el impacto monetario de un incidente de seguridad? que acaba de ocurrir en todos esos aspectos. Así que, Scott, puedes responder después de mí, pero yo diría que puede ser en gran medida subjetivo, ya sabes, hay que entender tu negocio. Por ejemplo, yo trabajo mucho en el sector manufacturero. Ellos entienden cuántas unidades producen al día, por hora, por minuto, etc., que pasan por su fábrica. Si tienen un incidente cibernético, ya sabes, de un proveedor y su fábrica se cierra, pueden cuantificar muy fácilmente en términos de producto perdido lo que han fabricado, cuál va a ser el impacto financiero en esa organización. Sin embargo, sigue habiendo una dinámica diferente en torno al coste de restablecer el negocio, porque ¿se necesitan nuevos ordenadores portátiles, nuevos servidores? ¿Hay que pagar a los empleados mientras no trabajan? Hay muchos factores diferentes que hay que tener en cuenta. Y no estoy diciendo que se pueda hacer eso con todos y cada uno de los proveedores de la cadena. Pero, de nuevo, se trata de determinar cuáles de nuestros proveedores críticos vamos a tener que mapear. Mi perspectiva siempre es quién puede causarnos un problema, quién puede impedirnos atender a nuestros clientes, ya sea física o lógicamente, y qué podemos hacer para mitigar eso en el futuro. Y, como sabes, siempre habrá un margen. Por lo tanto, intenta que ese margen sea lo más pequeño posible. Pero, ya sabes, no te limites a una sola cifra. Siempre habrá un margen.

Brian: Scott, ¿tienes algo que añadir al respecto o...?

Scott: ¿Scottva a tomar un café? No.

Brian: Muy bien, está bien.

Scott: Lo siento, soy yo hablando por mi teléfono silenciado. Todavía estoy en modo vacaciones. Ayer por la tarde volví de vacaciones. Um, sinceramente, es algo muy individualizado para cada empresa. Quiero decir que hay un marco general para saber cuál es la prioridad, basado en la probabilidad y el impacto, y la metodología de puntuación de cada empresa, pero hay tan poca estandarización basada en cómo te afecta realmente que yo no añadiría nada diferente a lo que ha dicho Brian.

Melissa: Genial. Bien, tengo tiempo para una pregunta más. Según su experiencia, ¿en qué medida ha ayudado a una organización el hecho de recopilar datos en un formato más fácil de digerir a negociar los costes de sus seguros para incluir la cobertura de ciberseguridad?

Brian: Sí, ayuda mucho porque demuestra que has comprendido ese riesgo y que lo gestionas de forma eficaz. Hay que tener en cuenta que cada vez es más difícil conseguir un seguro cibernético. Su valor también se está viendo mitigado. Entiendo que está muy de moda tenerlo y que es una buena práctica contar con él, pero siempre hay una cláusula que te permite librarte de pagar. Es cierto. Así que, si no ha hecho lo correcto, puede que tenga un seguro cibernético, pero a la hora de cobrar, si vienen y le dicen: «Bueno, no cuantificó y gestionó eficazmente el riesgo en su cadena de suministro, entonces no va a recibir ningún dinero, ¿verdad? O no ha aplicado eficazmente su gestión de vulnerabilidades o sus parches». Es como si te robaran en tu casa, pero tú dejaste la puerta principal o la puerta trasera abierta. No van a estar muy contentos contigo. Por lo tanto, tener esa visión global desde el principio y demostrar, ya sabes, si estás utilizando un corredor o si vas directamente a una gran aseguradora, será un requisito que hayas comprendido este riesgo antes de que te den el seguro. Pero demostrar que ha sido proactivo y que está gestionando eficazmente ese proceso le permitirá obtener una prima más barata, ya que, cuanto más capaz sea y pueda demostrar que se toma en serio la seguridad en su organización, más se reducirán las primas para su organización en el futuro. Así que ya sabe que también tiene repercusiones en ese aspecto.

Melissa: Genial. Bueno, eso es todo por hoy. Espero que hayan disfrutado del seminario web impartido por Brian. Estoy segura de que les hemos dado mucho en qué pensar y nos veremos pronto en sus bandejas de entrada. Cuídense. Adiós.

Brian: Gracias a todos.