Riesgo de Terceros: Requisitos Críticos para la Evaluación Comparativa de su Negocio y Cadena de Suministro

Peter Schumacher: Bienvenidos y gracias por participar en nuestro seminario web de hoy, «Requisitos fundamentales para evaluar su negocio y su cadena de suministro». Hoy, como anfitriones, contamos con dos expertos en riesgos de terceros: Brenda Ferraro, vicepresidenta de Riesgos de Terceros de Prevalent, y Jeremiah Salberg, director general de Riesgos de Terceros Federales de Tevora. Mi nombre es Peter Schumacher y seré el anfitrión del seminario web de hoy. Antes de comenzar, hay un par de cuestiones organizativas que me gustaría comentar. En primer lugar, les recuerdo que todas las líneas de los asistentes están silenciadas. Sin embargo, con el fin de que esta sesión sea interactiva, les pedimos que envíen sus preguntas a través de la consola de Zoom. Si el tiempo lo permite, responderemos a esas preguntas al final de la sesión.

Peter Schumacher: Esto durará aproximadamente media hora y luego habrá un turno de preguntas y respuestas al final. Estamos grabando el seminario web de hoy, por lo que lo enviaremos en los próximos días con un enlace de seguimiento a la grabación. Sé que ustedes no se han unido para escuchar mi voz, así que en este momento me gustaría ceder la palabra a Brenda y Jeremiah.

Brenda Ferraro: Muchas gracias, Peter. Jeremiah, es muy emocionante estar aquí hoy contigo. Solo un poco sobre mi trayectoria para que aquellos que nos escuchan, si nunca me han conocido o no me conocen, Vivo, respiro, como y duermo pensando en terceros, tengo experiencia en respuesta a incidentes y soy maestra certificada en procesos, he trabajado en el sector financiero y sanitario, y estoy muy contenta de poder hablar hoy con ustedes sobre la resiliencia empresarial y cómo podemos ayudar a las comunidades en sus esfuerzos por abordar el riesgo de terceros con un enfoque diferente, ya que nuestro panorama ha cambiado.

Jeremiah Salberg: Muchas gracias, Brenda. Soy Jeremiah Salberg, para aquellos que aún no han tenido la oportunidad de conocerme, y gracias, Peter, por la presentación. Al igual que Brenda, llevo más de 20 años trabajando en el ámbito de la ciberseguridad. Empecé en el ámbito federal, pero luego me pasé a los mercados financieros y dediqué mucho tiempo al ámbito sanitario y al ámbito PCI. De hecho, he sido CISO, así que sé lo que es responder desde dentro a las solicitudes de riesgo de terceros de organizaciones muy similares a muchas de las que están al teléfono.

Jeremiah Salberg: Del mismo modo, he dirigido programas en grandes organizaciones de entretenimiento de 30 000 millones de dólares para gestionar el programa de riesgo de proveedores, así que espero poder aportar un poco de eso hoy. Y una de las cosas que me han pedido que comparta es un dato curioso sobre mí. Entonces, si no estuviera en el campo de la ciberseguridad, ¿a qué me dedicaría? Sinceramente, me encanta la comida, me encanta el desayuno, así que, en un mundo ideal, estaría en una pequeña cafetería gestionándola con una estantería llena de libros a la que los clientes pudieran entrar, coger un libro o leerlo mientras disfrutaban de un buen desayuno y una buena taza de café, y si les gustaba, lo compraran. Pero ese no es el mundo en el que vivimos, así que soy un profesional de la ciberseguridad. ¿Y tú, Brenda? ¿A qué te dedicarías si no estuvieras en el ámbito de la ciberseguridad?

Brenda Ferraro: Me encanta que desayunes. Yo iría a tu casa a cenar porque me gusta desayunar por la noche. A ver, para mí, si no trabajara en el mundo de la ciberseguridad, bueno, si lo miro desde la perspectiva de cuando era más joven, siempre acabas decidiendo lo que quieres ser cuando eres pequeño. Yo quería ser una triple amenaza, actuar, bailar y cantar, ser una especie de artista. Pero también viví en el mundo de los CISO cuando trabajaba en una empresa de salud, y creo que me gustaría seguir en el ámbito de la seguridad. Así que quizá volvería a trabajar como CISO si pudiera seguir en ciberseguridad y luego, supongo, dar clases. Hay tantas oportunidades para hacer cosas que, si no pudiera dedicarme a la ciberseguridad, quizá acabaría haciendo lo que hacía cuando era más joven o lo que quería ser cuando era más joven, pero si tuviera que cambiar el objetivo de lo que hago ahora y seguir en ciberseguridad, volvería a ser CISO.

Jeremiah Salberg: Oh, fantástico. ¿Cuál es tu plato favorito para desayunar, antes de entrar en materia?

Brenda Ferraro: Una buena tortilla con pan de masa madre y una taza de café con un poco de nata. Eso es lo que me gusta.

Jeremiah Salberg: Mmm, tengo hambre. Bueno, no estamos aquí para hablar de comida, aunque creo que podría ser un tema divertido para otro seminario web. Estamos aquí para hablar de la resiliencia empresarial, y tenemos varios temas que vamos a tratar a lo largo de la sesión de hoy. Vamos a hablar un poco sobre la planificación de la continuidad del negocio y lo que hay que tener en cuenta en los programas propios, cuáles son algunos de los aspectos clave que hay que considerar. Sin duda, nos encontramos en una nueva era, un nuevo espacio, así que...

Jeremiah Salberg: Eh, estamos recibiendo y viendo que los clientes, incluso nosotros mismos, tenemos que trabajar en algunos de nuestros planes de continuidad del negocio, así que hablaremos un poco sobre eso. Eh, parte de comprender la continuidad de su negocio será sin duda comprender cómo sus terceros completan, prestan servicios y, en última instancia, son su éxito en cómo pivota y cambia en el panorama actual. Así que profundizaremos un poco en eso. Al estar en el proceso de revisión de la cadena de suministro de terceros, se obtiene una visibilidad interesante de los proveedores que prestan servicios clave y críticos para la organización, así que una de las cosas de las que hablaremos es, ya sabes, ¿ves solapamientos ahí, hay capacidad para optimizar ciertas cosas? Sin duda, como antiguo CISO, estoy seguro de que tú, Brenda, como CISO también, has recibido cuestionarios. Hay muchos cuestionarios que te lanzan. A veces son iguales, a veces son diferentes, pero sin duda, se produce una fatiga por los cuestionarios.

Jeremiah Salberg: Y, como persona encargada de revisar esos cuestionarios, ¿hay alguna forma mejor de hacerlo? El problema del cansancio que provocan los cuestionarios nos afecta a todos desde diferentes ángulos. Así que hablaremos de ello. Y, por último, a medida que nos adentramos en, ya sabes, estamos pasando por este cambio ahora mismo con toda la continuidad del negocio, se va a hacer más hincapié en asegurarnos de que nuestras cadenas de suministro estén reforzadas, de que tengamos los controles adecuados. Y aunque todo esto son aspectos fundamentales en ciertos marcos de cumplimiento normativo actuales, sin duda esperamos que se evalúen con un poco más de detalle en el futuro, así que también abordaremos algunos conceptos clave al respecto. Pero esos serán los puntos clave de la charla, aunque también introduciremos otros elementos divertidos. Creo que tenemos un par de encuestas preparadas para hoy, así que, Brenda, ¿quieres empezar?

Brenda Ferraro: Sí, de hecho, esta es nuestra primera encuesta. Así que, si estás caminando y escuchándonos o si estás sentado en tu escritorio, participa en algo divertido. La primera pregunta es: cuando el mundo se dio cuenta del problema en la cadena de suministro con el TP, ¿tu cerebro pensó inmediatamente: «Un momento, TP no solo significa papel higiénico, sino también terceros»? Vamos a darte un momento para que lo pienses. Fue divertido cuando todo el mundo decía que había un problema con el TP, y lo primero que se me vino a la mente fue, por supuesto, que tenemos cosas de terceros en las que estamos trabajando y sí, habrá artículos de la cadena de suministro que tendremos que abordar, pero me hizo gracia pensar en TP como «terceros» en lugar de «papel higiénico», y creo que eso le pasó a todo el mundo. Sé que sin duda había escasez de suministros en todas partes donde vivo, pero las cosas están empezando a mejorar, según lo que veo, y a normalizarse. Pero, sin duda, sé que eso le ha pasado a todo el mundo. Veamos cuáles son nuestros resultados. Peter, me pregunto si puedes compartirlos.

Brenda Ferraro: Oh, sí, les parece gracioso. Oye, necesitamos más humor estos días, así que por supuesto. Me gusta esa respuesta.

Brenda Ferraro: Muy bien, perfecto. Entonces, Jeremia, ¿puedes ver la respuesta o solo la vemos nosotros? No lo sé.

Jeremiah Salberg: Yo también lo veo, así que parece que casi el 80 % de la gente pensó que era gracioso, mientras que el 20 % estableció una correlación entre el hecho de que TP tiene más de un significado y que allí puede significar «papel higiénico».

Brenda Ferraro: Qué divertido. Muy bien, genial. Bueno, sigamos con más contenido. Por supuesto. ¿Quieres tomar esto y explicar exactamente qué significa?

Jeremiah Salberg: Claro, por supuesto. La resiliencia empresarial es uno de los factores clave que determinan el éxito o el fracaso de una organización. Por eso, cuando se producen acontecimientos como los que estamos viviendo ahora, las organizaciones deben ser capaces de adaptarse rápidamente. Lo hemos visto en muchos sectores diferentes. Sin duda, en el sector de la restauración, ahora no se come en el local, sino que se recoge la comida en la acera y se realizan muchas entregas a domicilio. Pero una de las primeras cosas que las organizaciones tienen en cuenta es garantizar la seguridad de las personas. Esa tiene que ser la directriz principal en la resiliencia de su negocio, porque hay que cuidar de quienes apoyan a la organización. Lo segundo es analizar y comprender quiénes son los proveedores de servicios esenciales dentro de su organización. Sin duda, si se trata de una aerolínea, hay que contar con pilotos, ya que siguen teniendo que volar aviones. Si se trata de médicos, estos deben estar disponibles. Así que hay que fijarse en quiénes son esos proveedores de servicios críticos. Sin duda, los que trabajan en las tiendas de comestibles, hay que quitarse el sombrero ante todos ellos por asegurarse de que podamos recibir nuestros alimentos y que estén disponibles para nosotros. Así que hay que fijarse en quiénes son esas personas críticas y luego averiguar cómo proporcionar esos servicios empresariales básicos. ¿Qué intentas proporcionar y cómo te aseguras de poder atender a tus clientes en un entorno en constante cambio? Entonces, ¿cómo te preparas realmente para esto? Has analizado tus procesos de continuidad del negocio y tus procesos de recuperación ante desastres y, en última instancia, debes asegurarte de tener un plan de comunicación bueno y bien establecido, no solo a nivel interno, sino también con tus clientes, para garantizar que les estás proporcionando la vía para prestar los servicios que ofreces como empresa. Sé que tiene aquí una diapositiva que creo que profundizará un poco más en esta perspectiva, pero se trata de cómo seguir haciendo lo que hay que hacer.

Brenda Ferraro: Y creo que lo interesante de esto es que todos trabajábamos en oficinas y no pensábamos que íbamos a trabajar desde casa a tiempo completo en algunos casos y en algunas áreas. Por eso me pareció muy interesante que tuviéramos planes de continuidad del negocio, planes de recuperación ante desastres, que hubiéramos puesto cosas en marcha, pero el énfasis no estaba realmente en cómo hacer la transición de nuestra situación laboral y qué tipo de controles habría que aplicar. Así que, de las ocho cosas que hemos enumerado aquí, estamos empezando a buscar terceros que nos proporcionen información, no solo externamente, sino también internamente, dentro de nuestras propias empresas, porque esto es fundamental para nuestra resiliencia en su conjunto. Si nos fijamos en las ocho cosas que hay aquí, una de las que me gustaría comentar es la respuesta a incidentes cibernéticos. Un aspecto muy importante y crítico de una política de respuesta a incidentes no es solo saber que se cuenta con un plan, sino que se realicen pruebas periódicas basadas en escenarios y, a partir de ellas, se elaboren planes de medidas correctivas para detectar las incongruencias y las lagunas del plan, de modo que se esté mejor preparado para cuando se produzca un incidente. Jeremiah, ¿qué has observado en el campo de Tevora en las empresas con las que has trabajado desde la perspectiva de la respuesta a incidentes?

Jeremiah Salberg: Es una gran pregunta. Um, y solo quería contextualizarla un poco. Somos una organización dedicada a la investigación forense de PCI, por lo que nos ocupamos mucho de la respuesta a incidentes y la planificación de crisis, y hemos acompañado a varios de nuestros clientes a través de ese proceso como parte de un ejercicio anual en el que hemos reunido a los ejecutivos y les hemos guiado a través de varios escenarios. Eh, y es interesante que, al pasar a este modelo de trabajo remoto, eh, una de las cosas que hemos simulado en muchos de esos escenarios es lo que ocurre en, eh, escenarios físicos, eh, en los que no hay oficina y te ves obligado a trabajar desde casa. Con eso, pasamos por varios escenarios y es interesante que, si practicas tus planes de respuesta a incidentes, haces esos ejercicios de simulación, empiezas a adquirir cierta memoria muscular sobre cómo evolucionar y pivotar hacia una fuerza de trabajo alternativa. Y así hemos obtenido muy buenos comentarios de los clientes, que dicen que hace tres meses pasamos por este escenario sobre cómo llegar allí. Sabíamos que teníamos algunas carencias a la hora de conseguir que algunas personas se adaptaran al modelo de trabajo a distancia, pero pudimos tenerlo en cuenta. Sabíamos qué pasos teníamos que dar. Así que, ya sabes, practicar ese proceso de respuesta a incidentes, incluso si no se producen incidentes, pero, ya sabes, simplemente realizar esos ejercicios de simulación y repasar esos escenarios hipotéticos realmente da sus frutos. Por lo tanto, parte de la resiliencia empresarial consiste sin duda en tener esos, um, ya sabes, realizar esas actividades clave, aprender de ellas y asegurarse de que los ejecutivos sean conscientes de ellas para que puedan tomar las decisiones adecuadas cuando se produzca una situación.

Brenda Ferraro: Sí, estoy totalmente de acuerdo. Fue curioso cuando, bueno, quizá no tan curioso, pero cuando practiqué una prueba basada en escenarios en la empresa en la que trabajaba, dos semanas después, quizá entre dos y cuatro semanas después, nos encontramos con ese escenario hipotético y estábamos completamente preparados para ello. Así que eso demuestra que practicar ayuda. Bueno, ¿qué hay de la protección de infraestructuras críticas? Nuestra protección de infraestructuras críticas se centraba más en ir a la oficina o viajar a las instalaciones de un proveedor, o en asegurarnos de que nuestros portátiles y dispositivos estuvieran protegidos desde el punto de vista de poder ir a la oficina. Ahora hemos cambiado al teletrabajo, pero también estamos viendo situaciones en Internet en las que las empresas tienen que limitar el ancho de banda o se dan cuenta de la latencia y tienen que incorporar más servidores en sus planes de recuperación ante desastres y ese tipo de cosas. Entonces, ¿qué está viendo en el campo en relación con la protección de infraestructuras críticas?

Jeremiah Salberg: Sabes, eso es, eh, interesante. Realmente depende de cómo se haya configurado la infraestructura. Ha habido una gran aceptación y últimamente he visto un par de informes diferentes sobre, eh, cuánto se han adoptado los servicios en la nube, eh, no solo en las comunicaciones, las reuniones de Zoom, las teleconferencias, sino también en el cambio de esos servicios básicos, porque se está intentando limitar los que se encuentran dentro del edificio. Así que, eh, para aquellas empresas que hicieron esa inversión y aplicaron ese modelo de «lift and shift» hace un par de años y lo han optimizado durante los últimos dos años, vemos que son capaces de aprovecharlo y están preparadas para ello. Pero hay ciertas organizaciones, sin duda dentro del sector manufacturero y otras áreas en las que tienen plantas físicas, que están, están, están un poco atascadas, ya sabes, tienen que averiguar qué y cómo van a operar. Así que realmente, lo veo variando según el sector, pero, eh, aquellas que han invertido en algunas de esas optimizaciones, eh, la adopción de tecnologías en la nube están empezando a ver realmente los beneficios de las mismas. La seguridad de los puntos finales es algo que también entra en juego si, de repente, tienes datos que estaban en estaciones de trabajo y los estás pasando a ordenadores portátiles, asegurándote de que esos ordenadores portátiles estén correctamente configurados, gestionados y preparados para el tipo de actividades de trabajo con información que ahora pueden tener que realizar de forma remota. Así que, sin duda, esa planificación previa ha ayudado.

Brenda Ferraro: Sí, definitivamente he estado preguntando a algunas de nuestras 50 principales empresas, eh, si están viendo un cambio en su lista de terceros críticos, es decir, quiénes son críticos y quiénes no. Y me han respondido que no, que realmente no están observando ningún cambio en las empresas y en cómo están clasificadas, es decir, en el enfoque de nivel uno y crítico. Sin embargo, sí estamos observando un cambio en nuestros controles clave, ya que algunos de ellos no estaban implantados y ahora están cobrando mayor importancia. Por lo tanto, están empezando a aplicar esos controles, lo cual es muy positivo. Ahora, lo último de lo que quiero hablar en esta página, porque todo es importante, pero estaríamos aquí durante horas y horas, es la continuidad de las operaciones. Estamos viendo diferentes aumentos en la utilización de la gestión de la cadena de suministro y estamos viendo objetivos de nivel de servicio que pueden cumplirse o no según nuestras obligaciones contractuales. ¿Qué ejemplos tiene o qué consejos daría con respecto a la continuidad de las operaciones?

Jeremiah Salberg: Por supuesto. Bueno, ya sabes, si nos fijamos en la cadena de suministro y en cómo se adquieren los bienes y servicios, vemos que está evolucionando y cambiando. Los precios están cambiando en ciertos equipos, a medida que las cadenas de suministro se reducen un poco, y sin duda es importante contar con múltiples vías para adquirir productos y planificarlo todo, ya que eso forma parte de un buen modelo de resiliencia empresarial. Um, voy a poner un ejemplo muy personal, um, mi esposa me lo hizo ver, um, ella estaba buscando algo para, um, una cesta de Pascua para mi hija, um, y fue a comprarlo en Amazon, y no estaba disponible para su envío hasta el 20 de abril, y ella dijo, eh, bueno, eso es sorprendente. Y el modelo de Amazon cambió. Así que tuvimos que ir a Walmart. Tuvimos que recurrir a una cadena de suministro diferente. Del mismo modo, desde una perspectiva organizativa, estamos viendo que tienen que seguir caminos diferentes para obtener y adquirir algunos de los bienes o servicios que necesitan para mantener sus operaciones. Estamos a punto de ver eso con la situación actual, pero, al final, hay que asegurarse de tener planes y planes de respaldo sobre cómo obtener y proporcionar los servicios a través del ecosistema de terceros y darse cuenta de que puede ser necesario tener un respaldo allí. Puede que no siempre sea ese único proveedor con el que cuenta. Por lo tanto, una buena continuidad de las operaciones dentro de la resiliencia empresarial realmente requiere que tenga una cadena de suministro diversa.

Brenda Ferraro: Y como todos estamos trabajando desde casa, probablemente haya algunos niños por ahí, así que estamos ayudando al Conejo de Pascua a llenar esas cestas, lo cual es bueno.

Jeremiah Salberg: Por supuesto. Muy bien, pasemos a la segunda pregunta de la encuesta, Peter, si puedes mostrarla. Genial. Aquí va la pregunta para todos. Cuando te vestiste esta mañana, ¿te paraste a pensar si hoy ibas a tener alguna videollamada y cómo debías vestirte para ella? Sí, porque tengo que estar tan elegante como los meteorólogos de la televisión, que trabajan todos desde casa. No, porque no me importa, o no, porque a mis compañeros de trabajo no les importa, o no, porque no quiero que se vea cómo está mi casa, porque hay demasiada ropa sucia por todas partes. Um, sin duda he visto a un par de personas con, um, diferentes vídeos mostrando su casa y quizá demasiado de sí mismas en ocasiones. Pero lo que esto realmente significa es que tus necesidades han cambiado. Las necesidades que tenías como, uh, alguien que va a la oficina todos los días, uh, esas necesidades cambian, y eso cambia tu forma de abordar, uh, tus rutinas, uh, y lo que tienes que hacer. Del mismo modo, dentro de los negocios, tus requisitos van a cambiar y a transformarse, por lo que tendremos que analizar los requisitos cambiantes, ¿eso cambia lo que realmente se requiere? Quizás no tenga que hacer esa acción en particular y podamos cambiar y girar en una dirección diferente, y centrarnos en qué.

Brenda Ferraro: Ah, por cierto, me he arreglado, pero hoy no estamos grabando, así que... Pero hay veces que he aprendido que la nueva vestimenta para trabajar desde casa son las chaquetas de lana. Así que me pregunto en qué nos convertiremos cuando lleguen los meses de verano. Lo sé. Espero que no sea demasiada información. No sé si tenemos los resultados de la encuesta, Peter, si puedes mostrarlos en la pantalla o no, pero...

Peter Schumacher: Sí, deberías verlo.

Brenda Ferraro: No lo somos. Así que quizá puedas compartir la información por ti.

Peter Schumacher: Parece que hay opiniones muy diversas, así que el líder aquí era, sí, tengo que tener buen aspecto. Obtuvimos un 33 % con esa respuesta, seguida de no, sé que a mis compañeros de trabajo no les importará. Eso es un 31 %, y luego no, no me importa, con un 20 %, y luego la respuesta de la colada, con un 15 %. Así que hay opiniones muy diversas. Gracias por eso.

Brenda Ferraro: Muy bien, lo siguiente que tenemos aquí arriba, eso fue divertido. Ahora vamos a hablar de los indicadores clave de riesgo. Estamos identificando muchos cambios y transformaciones, tal y como comentábamos en relación con lo que llevas puesto en función del teletrabajo. Estamos centrando gran parte de nuestra atención en las partes finales y en el alcance del riesgo de cómo trabajamos con todas estas otras empresas y lo que podría estar sucediendo en el panorama de amenazas al que nos enfrentamos hoy en día. Al mismo tiempo, también estamos haciendo un seguimiento de los riesgos que hemos identificado en el pasado, um, ¿se están mitigando o es necesario ajustarlos, han perdido importancia con respecto a antes? Y luego, la supervisión de la puntuación de amenazas junto con cuestionarios que ofrecen una visión holística completa de lo que se está escaneando y de cómo estamos viendo el lado de la supervisión empresarial de la empresa, no solo el lado de la supervisión cibernética de la empresa, y luego vemos todo eso desde una perspectiva muy holística: ¿hay diferentes puntos de conexión?, ¿hay datos que se están manejando?, ¿hay unidades de negocio que dependen de que se transmita esa información?, ¿están prestando un servicio?, ¿están proporcionando una aplicación de software que debe estar disponible para que el negocio siga funcionando? Muchas veces nos fijamos en partes y fragmentos de estas perspectivas holísticas y tenemos que correlacionarlas con diferentes tipos de productos. Y lo que se necesita es un producto y una solución como Prevalent, que puede proporcionar toda esta información en una sola vista. Por ejemplo, si Acme Inc, que está en el centro, tiene tantas interconexiones y asociaciones con terceros o entidades de nivelación o subprocesadores o datos que fluyen de un punto a otro. Y he visto que esto es muy crítico e importante ahora, en el panorama actual y en la forma en que estamos cambiando nuestra forma de hacer negocios. Esta es una de las cosas en las que podemos ayudar a la empresa a comprender por qué estos terceros o n-tos son críticos para el negocio y si podemos cambiar alguna de las piezas móviles en función de lo que descubramos sobre si se ven afectados o no.

Jeremiah Salberg: Muy buenos puntos. Eh, sin duda es importante tener esa visibilidad y, ya sabes, ese diagrama de araña es muy bueno en el medio, porque, ya sabes, describe dónde se encuentran y, eh, qué terceros necesitas comprender en esos cuartos, eh, muy buenas ideas. Así que cuestiona tu fatiga. Has hablado un poco de eso. Profundicemos más en ello.

Jeremiah Salberg: Claro, por supuesto. Y esto realmente tiene varias facetas. Pero, desde la perspectiva de un tercero, cualquiera que haya sido CISO o haya sido responsable de responder o gestionar las respuestas de terceros sin duda lo entiende. Hoy mismo estaba rellenando otro cuestionario para nuestra propia organización, para una organización médica con la que trabajamos. Es una de esas cosas en las que nosotros, ellos, estamos constantemente ahí, y en general, es sorprendente que todavía haya gente que se queda atrapada en el modelo de los años 90 de usar hojas de cálculo. Y aunque el modelo de cuestionario ciertamente existe, el mecanismo para gestionar ese proceso es sin duda uno que se ha mejorado en los últimos años, y soluciones como Prevalent pueden ayudar a automatizar y simplificar ese proceso. Una de las cosas que, eh, al revisar el contenido que se obtiene de estos cuestionarios, es importante poder normalizar esa información entre las diferentes empresas que utilizan determinados proveedores o tipos de proveedores en determinados umbrales, ya sean pequeñas o medianas, ya sean proveedores de servicios en la nube, y analizarlos para poder aumentar la eficiencia de ese proceso de revisión por terceros. Lo bueno de estas plataformas es que se pueden empezar a crear algunas reglas automáticas en ellas. Uno de los problemas clásicos que veo en una organización es que se envía un cuestionario, y esto es con los antiguos, en los que se tenía una hoja de cálculo real que decía: «¿Realiza usted esta actividad determinada? Si es así, adjunte la política». Y ellos dicen que sí, pero no adjuntan la política. Y eso crea una transacción de ida y vuelta. Tenemos un sistema que puede automatizar y crear inteligencia y requisitos inteligentes en los que, si la respuesta es sí, obliga al usuario a adjuntar una prueba o algo similar. Sin duda, esto aporta eficiencia al proceso. Minimiza el tiempo de ida y vuelta, lo que al final del día reduce el tiempo necesario para completar esa evaluación, que es un indicador clave del éxito de estos programas. ¿Cómo puedo reducir el tiempo que lleva, cómo puedo hacer que se haga con precisión y cómo puedo tener marcas de tiempo para saber quién lo rellenó, qué y cuándo? Además, una vez que empiezas a tener toda esta información en tu repositorio, puedes volver atrás y decir y hacer algo como: «Oye, en este escenario, ¿qué proveedores tienen este tipo de perfil?». De repente, tal vez te enfrentes a una nueva vulnerabilidad que ha surgido y, oye, quiero saber cuántos de los míos son proveedores de servicios en la nube que podrían verse afectados por eso, porque tal vez quiera ponerme en contacto con mi ecosistema de proveedores para obtener información y poder gestionar mejor el riesgo de mi organización. Al fin y al cabo, y esto es algo que, como saben, repetimos constantemente, el objetivo de estos programas de evaluación de terceros es realmente comprender los riesgos de la externalización. Así que, al obtener información, correlacionar esos datos y reunirlos todos, se pueden reutilizar, además de obtener análisis en tiempo real sobre el estado del programa, el estado de mis proveedores, cuántos de ellos he revisado y cuántos están pasando por ese proceso de corrección y aprobación. Así que, sin duda, hay algunas soluciones que ayudan a eliminar el cansancio de los cuestionarios.

Brenda Ferraro: Sí, y creo que lo interesante es, volviendo a lo básico, que hay que saber exactamente cuál es la cartera o el perfil de los proveedores. Y estamos empezando a observar una tendencia en la que las personas quieren saber cuál es su riesgo inherente simplemente preguntando lo esencial. Por lo tanto, comprender en qué consiste este negocio, qué hacen por mí, cómo interactúo con ellos, ayudará a clasificar, ordenar o filtrar todos los componentes de la enorme lista de miles y miles de proveedores y terceros, y luego utilizar esa información por su relevancia y preguntar lo que necesitas saber en lugar de todo lo que hay bajo el sol. Así que estoy empezando a ver cosas como esa, lo que ayuda no solo a las empresas que tienen que hacer la diligencia debida, sino también a los proveedores y terceros que tienen que responder a estas cuestiones. Así que va por buen camino.

Jeremiah Salberg: Por supuesto que sí. Y permítanme retroceder un segundo para hacer una última observación. Sé que nos estamos alargando un poco, pero, bueno, como responsables de los programas de terceros, una de las primeras preguntas que se hacen al hablar con un proveedor es leer y comprender qué servicios ofrece a una organización, y otro punto a tener en cuenta es si hay solapamiento entre proveedores que ofrecen tipos de servicios similares. Y eso realmente repercute en la resiliencia del negocio. Si puedes empezar a saber, señalar y comprender que se trata de dos proveedores que pueden hacer exactamente lo mismo. A menudo hacemos revisiones de los proveedores, uno puede estar aprovechando un proveedor externo del ámbito publicitario, otro puede ser del ámbito financiero, y otro puede ser del ámbito de los contenidos o las operaciones, pero quizá hagan lo mismo y solo sean dos empresas diferentes porque tienen, eh, contactos, relaciones. Cuando llegas a una organización de tamaño medio, empiezas a ver muchas funciones que se solapan en tu ecosistema de proveedores, lo que puede ser, si se hace un seguimiento adecuado de esa información, una forma de proporcionar una resiliencia adicional a tus procesos.

Brenda Ferraro: Exactamente, totalmente de acuerdo.

Jeremiah Salberg: Bueno, los reguladores están siendo muy flexibles en este momento y permiten que las organizaciones realicen evaluaciones y auditorías a distancia, pero en el fondo, uno de los componentes fundamentales de todos estos marcos es que hay que tener información sobre los programas de terceros y, a veces, de cuartos o enésimos que prestan servicios críticos. Así que algunas de las cosas que querrás asegurarte de que, eh, ya sabes, estos requisitos exigen que tengas un inventario, ya hemos hablado de eso, un buen inventario completo de todos tus proveedores de servicios, pero no solo eso, sino que tiene que estar integrado en tu proceso de incorporación como parte de la incorporación de un nuevo, eh, proveedor. Debe contar con un proceso de verificación para asegurarse de que cuentan con los controles de seguridad adecuados. En última instancia, debe asegurarse de que quienes prestan los servicios se ajustan a sus propias políticas y expectativas de seguridad de la información y que cumplen, como mínimo, los requisitos que ha establecido para su organización.

Jeremiah Salberg: Eh, además, estos marcos requerirán que revises periódicamente a tus terceros. Así que estas plataformas y herramientas, Prevalent, sin duda pueden ayudarte a conseguirlo. Eh, cuando hablo y ayudo a gestionar estos programas con nuestros clientes, eh, algunos de los KPI que tienen en cuenta son, ya sabes, ¿cuánto tiempo lleva pasar por ese proceso de revisión? Por lo tanto, disponer de un sistema que permita medir el tiempo transcurrido desde el envío del cuestionario, el tiempo que les ha llevado completarlo para realizar el análisis, averiguar qué persona asignada está llevando a cabo la evaluación, darles luz verde o quizá luz roja para indicarles que no se puede seguir adelante, medir cuánto tiempo lleva completar ese proceso es sin duda un indicador clave. Otro indicador es comprender cuántos de sus proveedores ha revisado y si se ajusta a ese proceso de revisión. Uno realmente crítico es comprender cuánto estoy gastando en mi programa de revisión por proveedor. Así que, volviendo a eso y diciendo: «Bien, mi programa cuesta X, tengo Y proveedores, ¿cuál es mi coste por revisión?», y asegurándome de que eso tiene sentido para el riesgo de la tolerancia al riesgo de la organización. Y probablemente lo más importante es poder medir y mantener una disposición de sus proveedores, es decir, cuántos de ellos están aprobados, cuántos están en proceso de corrección, pero con los que sigue trabajando porque tienen un plan de corrección en marcha, y cuántos de ellos han sido rechazados. Esas son algunas de las cosas clave que hay que tener en cuenta al evaluar un programa, entendiendo en última instancia que, como he mencionado antes, el objetivo del programa de evaluación de terceros es realmente comprender y tener una visión de los riesgos que conlleva la externalización. Sé que se nos acaba el tiempo, pero, Brenda, ¿tienes alguna opinión sobre alguno de estos puntos desde tu perspectiva?

Brenda Ferraro: Sí, rápidamente en lo que respecta al cumplimiento normativo, es importante asegurarse de que, incluso si se utiliza una hoja de cálculo de Excel, que esperamos que no vuelva a ver en el futuro después de escuchar esto, se tenga la capacidad de ver ese contenido desde diferentes perspectivas y puntos de vista, por ejemplo, si alguien quisiera ver cómo se obtuvo el contenido de un tercero y cómo se relaciona con el cumplimiento de PCI, GDPR o HIPAA, para que puedas enviar ese contenido a quien necesite verlo desde esa perspectiva y eliminar el ruido que no les importa, pero que sí importa al negocio en su conjunto. Y, por supuesto, conoce tus números y actúa en función de ellos. Soy muy partidario de las métricas, así que asegúrate de tener esa información. Estoy totalmente de acuerdo con lo que ha dicho. Así que, en cuanto a cómo podemos ayudar, Prevalent ofrece una oferta gratuita de resiliencia empresarial a cualquiera, con el fin de ayudar en los tiempos que vivimos y asegurarnos de que correlacionamos ese contenido y esos esfuerzos para saber lo que necesitamos en el futuro, para cuando los reguladores se decidan y empiecen a decirnos que tenemos que saber sobre X, Y y Z. hemos pensado de forma proactiva en las cosas que, desde una perspectiva muy limitada, son las que hay que averiguar porque son relevantes. Aquí están los enlaces, pero Peter también va a proporcionar esta presentación en formato PDF para que, afortunadamente, podáis hacer clic en ellos o recibirlos por correo electrónico. Hay demostraciones, informes de muestra y un PDF con el aspecto de las preguntas y, eh, ¿qué está haciendo Tevora para ayudar en la situación en la que vivimos hoy en día?

Jeremiah Salberg: Por supuesto. Una de las cosas clave en las que ayudamos a nuestros clientes en este ámbito es que ofrecemos dos servicios principales. Uno, ayudamos a nuestros clientes a crear, reconstruir o reestructurar sus programas de terceros, y les ayudamos a gestionarlos. Um, sin duda hay que contar con las herramientas y plataformas adecuadas, como Prevalent, um, pero hay que realizar muchas consultas para asegurarse de que, en primer lugar, se dispone de los datos correctos en los sistemas de inventario de los proveedores, ¿se obtienen de los sistemas contractuales o de algún otro lugar? Y luego hay que asegurarse de que se tiene una alineación adecuada, no solo con las propias políticas de seguridad de la información, sino también con los contratos de seguridad que se establecen con los terceros. Así que, a medida que avanza en ese proceso de contratación, si tiene un anexo de seguridad o algo similar en el que establece las obligaciones que espera que cumplan, debe asegurarse de que ambos estén en armonía, así como con el proceso de revisión cuando hace preguntas del tipo: «¿Hacen esto? ¿Se ajusta eso a lo que ya ha establecido en el contrato con ellos desde el punto de vista de los requisitos de seguridad y se ajusta a su propia política de seguridad de la información? Por lo tanto, lograr una armonización adecuada es fundamental para garantizar que se dispone de un sistema de terceros eficaz y eficiente. Nosotros le ayudamos con eso.

Jeremiah Salberg: Ayudamos a las organizaciones a socializar ese proceso dentro de sus propias empresas para asegurarnos de que, a medida que avanzan en el proceso de adquisición, esas entidades empresariales inicien adecuadamente el programa de revisión por terceros desde el principio, ya que lleva cierto tiempo. Y, por último, ayudamos a las organizaciones a definir las normas para los casos de escalamiento, por ejemplo, cuando se quiere eludir el proceso o si hay excepciones establecidas por un ejecutivo que exige que se utilice un determinado tercero, aunque ello pueda suponer algunos riesgos de seguridad. Y entonces, ¿dispone esa entidad del proceso adecuado de aceptación de riesgos para documentarlo? Por lo tanto, puede haber algunas excepciones a la regla, pero nosotros nos dedicamos a la consultoría en materia de ciberseguridad de los programas de terceros.

Brenda Ferraro: Sí, creo que cuando hablábamos de esto, lo que más me gustó de lo que mencionaste fue que tu empresa ayuda a desarrollar el proceso del cuestionario armonizando las preguntas, el flujo de trabajo, los contratos, etc. Eso me pareció realmente muy bueno. Muy bien, pasemos a la pregunta número tres de la encuesta y luego atenderemos a cualquiera que tenga preguntas y haya permanecido en línea con nosotros. Peter, ¿quieres rellenarla? ¿Estaría interesado en participar en una evaluación gratuita de la resiliencia empresarial con Prevalent para comparar su programa? Hemos tenido un gran éxito con esto, ya que las personas pueden identificar algunos de los proveedores y terceros críticos, y nosotros podemos ayudarle con eso. Así que le daremos la oportunidad de hacerlo. Y, como estamos, pasaremos a las preguntas.

Peter Schumacher: Sí, bueno, ahora necesitamos que empiecen a escribir sus preguntas en la consola de preguntas y respuestas, que verán en su pantalla de Zoom, y aprovechen esta oportunidad. Tenemos a dos expertos en riesgos de terceros en línea, listos para responder cualquier pregunta. Así que pueden escribirlas en la sección de preguntas y respuestas de Zoom o incluso en el chat. Les daremos un momento para que introduzcan sus preguntas.

Peter Schumacher: Y parece que la mayoría de la gente se ha quedado durante los últimos 36 minutos, así que eso es una buena noticia.

Brenda Ferraro: Gracias por quedarse con nosotros. Sí.

Jeremiah Salberg: Agradecemos mucho que hayan sacado tiempo de sus apretadas agendas para pasar unos momentos con nosotros y repasar algunas de nuestras ideas sobre este tema. Así que, aunque estas preguntas o algo en lo que piensen después de la sesión de hoy, por favor, pónganse en contacto con nosotros. Sin duda habrá más comunicaciones al respecto. Sepan que Brenda y yo estamos aquí para responder a esas preguntas, quizá no ahora mismo, pero cuando surjan. Sin duda, es algo en lo que estaremos encantados de ayudarles.

Peter Schumacher: Sí, gracias, Jeremiah. Parece que hay un par de personas levantando la mano. Creo que hay un botón para levantar la mano. Si no les importa, escriban su pregunta en la sección de preguntas y respuestas. No quiero abrir las líneas de audio si no es necesario.

Brenda Ferraro: Pero no temas, si alguna vez tuvieran que abrir su línea de audio, yo podría participar llevando un perro y haciendo que ladre de fondo si fuera necesario.

Jeremiah Salberg: Sí, por suerte, afortunadamente llevo varios años trabajando desde casa, así que tengo mi situación, eh, espero que bajo control, con los niños en casa y sin mascotas cerca. Pero, eh, todos hemos experimentado recientemente, eh, compañeros de trabajo que no suelen trabajar desde casa y que tienen, eh, algunas distracciones que todos compartimos. Veo algunos comentarios positivos en el chat y aquí viene la pregunta. Veamos, ¿cómo evaluarías la resiliencia mediante una evaluación basada en un cuestionario y cómo lo verificarías, Jeremiah?

Brenda Ferraro: ¿Quieres que me encargue yo de eso o prefieres empezar tú? Si no te importa, puedo añadir algo más.

Jeremiah Salberg: Muy bien, genial.

Brenda Ferraro: Por lo tanto, los cuestionarios en sí mismos no solo sirven para iniciar la conversación, sino también para tomar conciencia de los diferentes controles que existen. Y cuando se trata de la resiliencia empresarial, asegúrese de hacer preguntas y de tomar medidas basadas en las respuestas. Por ejemplo, si tiene, supongamos, 10 preguntas que hacer, querrá asegurarse de que esas preguntas se remitan a un departamento determinado, que se haga un seguimiento de la información que necesita saber o que se tomen medidas para que usted pueda obtener ese conocimiento. Lo más importante es saber si se ven afectados o, en segundo lugar, saber si van a tener que cerrar el negocio, ya que tendrás que tomar una decisión basada en el riesgo para cambiar. Pero esa recopilación de información es fundamental, porque si no lo sabías antes con los cuestionarios que tienes ahora, esto pone de relieve la importancia de establecer relaciones más sólidas con esos proveedores y ayudarles a determinar contigo exactamente lo que hay que hacer cuando se producen cambios. ¿Qué opinas, Jeremiah?

Jeremiah Salberg: Por supuesto. Y para hacerme eco de tu comentario, bueno, ya sabes, los cuestionarios realmente inician el debate y el diálogo, de modo que puedes empezar a hacer esas segundas preguntas, preguntas secundarias y preguntas de seguimiento. Cada proveedor que te ofrece servicios va a tener una singularidad ligeramente diferente en lo que es importante para ti. Puede que se dediquen al desarrollo de software, que le proporcionen productos o servicios de algún tipo. Por lo tanto, es importante saber dónde se encuentran, qué tipo de organización son y cuál es su tamaño. Por eso, siempre se incluyen algunas preguntas de perfil para que se haga una idea y sentar las bases. Pero al hacer esas preguntas y saber qué servicios ofrecen, podrás tomar una decisión, saber si lo necesitan, si dependen de ello, si utilizan un centro de datos, qué tipo de centro de datos utilizan, si utilizan AWS o si quizá utilizan un centro de datos fuera del mercado. Y entonces, vale, ¿qué es ese centro de datos fuera del mercado? ¿Tienen el tipo de resiliencia, ya sabes, cuatro nueves, cinco nueves, sea cual sea el número de nueves que tengan para ayudar a proporcionar el tipo de servicios que se necesitan detrás? Así que, Brenda, lo que has mencionado ahí, ya sabes, inicia el debate, pero realmente depende del servicio que se te preste para comprender y plantear las preguntas hipotéticas y decir: «Vale, ¿tiene suficiente resiliencia para lo que necesitas como organización?». Esperemos que la respuesta sea afirmativa. Si no es así, ponte en contacto con nosotros. Estaremos encantados de profundizar mucho más en el tema después.

Peter Schumacher: Gracias, Jeremiah. Sí, y tenemos, eh, en esta diapositiva, um, un par de direcciones de correo electrónico. Pero, um, también recibirás estas diapositivas en una grabación de esta sesión. Las enviaré mañana por la mañana. No dudéis en responder y yo remitiré vuestras preguntas a Brenda y Jeremiah. Pero no veo nada más en la cola. Habéis hecho un trabajo maravilloso proporcionando consejos y trucos y manteniendo una buena conversación. Creo que habéis satisfecho la curiosidad de todos los aquí presentes, así que no hay más preguntas. Creo que vamos a dar por concluida la sesión. Muchas gracias, Brenda. Gracias, Jeremiah, y que todos se mantengan a salvo, diría que ahí fuera, pero me refiero a sus hogares. Manténganse a salvo en sus hogares y buena suerte a todos. Cuídense mucho.

Brenda Ferraro: Gracias. Cuídate.