TPRM 101: Obtener valor real de las evaluaciones de proveedores

Amy: Muy bien, estamos en directo. Bienvenidos a todos. Amy: Veo que algunos de ustedes están empezando a llegar. Amy: Mientras se acomodan y se preparan para el seminario web de hoy, voy a lanzar una pregunta en una encuesta porque realmente queremos saber qué les ha traído aquí hoy, y ya está en marcha. Amy: Muy bien. Amy: Así que, ya sea por motivos puramente educativos, para investigar un proyecto o porque tienen un próximo proyecto de gestión de riesgos de terceros. Amy: Si no están seguros de por qué están aquí, tampoco pasa nada. Amy: Quédense, porque quizá aprendan algo, o quizá sean clientes habituales y quieran estar al tanto de todo. Amy: Me llamo Amy Tweet. Amy: Me encargo del desarrollo empresarial aquí en Prevalent y mi trabajo hoy es asegurarme de que sus preguntas lleguen a Brenda Ferraro. Amy: La verán aquí, en cámara, justo ahí. Amy: Preséntenos a Brenda. Amy: Ella es nuestra vicepresidenta de riesgos de terceros aquí en Prevalent. Amy: Tiene más de 20 años de experiencia en la creación de programas exitosos de gestión de riesgos de terceros. Amy: Y hoy vamos a hablar de cómo obtener un valor real de la evaluación de proveedores. Amy: Un par de cuestiones de organización mientras dejo esta pregunta de la encuesta. Amy: Todos ustedes están fuera de cámara y con el micrófono silenciado. Amy: Realmente queremos que sigan participando. Amy: A lo largo de este seminario web, vamos a hacer muchas preguntas y también queremos recibir las suyas. Amy: Por favor, utilicen la función de preguntas y respuestas que se encuentra en la parte inferior de la pantalla de Zoom o utilicen la función de chat. Amy: De cualquier manera, le haré llegar sus preguntas a Brenda. Amy: Además, esto se está grabando, así que si tienen que desconectarse, podrán verlo mañana por la mañana en su bandeja de entrada y volver a verlo tantas veces como quieran. Amy: Dicho esto, Brenda, hoy tengo un montón de preguntas porque este es un tema muy candente y estoy deseando aprender mucho de ti. Amy: Así que voy a pasar el micrófono. Amy: Bienvenida, Brenda.

Brenda: Gracias. Brenda: Es un placer estar aquí y, Amy, me alegra mucho que participes activamente en esta llamada. Espero que el público haga preguntas a medida que avancemos por cada uno de estos cinco temas diferentes, porque son realmente importantes. Brenda: Entonces, lo que vamos a hablar hoy, y que habrán notado en sus invitaciones, es cómo optimizar los flujos de trabajo de evaluación. Brenda: A veces, los flujos de trabajo pueden tener muchas desconexiones y lagunas, y queremos resultados más rápidos, o puede que no tengamos suficiente personal para hacer el trabajo, o puede que estemos haciendo cosas de forma circular y nunca lleguemos al punto en el que necesitamos acceder a la fuente de datos existente del proveedor. Brenda: Ya hemos realizado muchas evaluaciones. Brenda: ¿Por qué no les damos un nuevo uso? Brenda: ¿Y cómo les damos un nuevo uso? Brenda: ¿Y qué tipo de cosas hay para que eso suceda? Brenda: Y lo que buscamos hacer es inteligencia de riesgos más que recopilar contenido. Brenda: Así que también hablaremos de eso. Brenda: Ampliar para cubrir más terceros con menos recursos. Brenda: Ya lo mencioné un poco en la primera, pero tenemos mucho que saber sobre dónde están los riesgos, qué universo de proveedores tenemos, cómo los perfilamos. Brenda: Y puede que no tengamos suficientes recursos para hacerlo todo. Brenda: Puede que empecemos desde cero o que tengamos un programa maduro en el que debamos asegurarnos de que estamos analizando los riesgos del panorama de amenazas. Brenda: Hoy en día también hay que garantizar que los riesgos se gestionan de forma eficiente para su corrección. Brenda: He mantenido muchas conversaciones con diferentes tipos de empresas de todo el mundo, independientemente del sector, y están haciendo un trabajo maravilloso. Ya he hablado antes de que están recopilando información hasta el infinito. Brenda: Están haciendo un gran trabajo obteniendo la información, pero tan pronto como la obtienen, la dan por buena, dicen «ya tengo la información, sé cuáles son los riesgos» y no dedican tanto tiempo a mitigar esos riesgos. Brenda: Y lo que nos hará más seguros es asumir el riesgo, corregir el problema y luego pasar a los riesgos del próximo tema del mes o de la semana. Brenda: Últimamente hemos tenido muchos. Brenda: Y también lograr múltiples objetivos de cumplimiento. Brenda: Así que, a medida que nos acercamos a la mitad o incluso ya hemos pasado la mitad de 2021, estamos a punto de entrar en el séptimo mes. Brenda: Y lo que está sucediendo es que muchos departamentos están determinando que ustedes saben lo que estamos pidiendo a muchos de nuestros proveedores y vendedores. Brenda: Estamos solicitando cuestionarios al departamento jurídico, al departamento de privacidad, al departamento de compras, al departamento de terceros, y esos pobres proveedores siguen estando agotados. Brenda: Queríamos abordar eso el año pasado, pero, por supuesto, teníamos otras cosas que abordar. Brenda: Pero ahora estamos llegando a un punto en el que todo el mundo se está reuniendo y están buscando un enfoque empresarial para el cumplimiento y cualquier información que sea necesario recopilar se puede ver con una perspectiva diferente. Brenda: Así que también hablaremos de esas cosas. Brenda: Ahora, a medida que avancemos hacia el final, tendremos algunas conclusiones clave, pero voy a pedirle a Amy que haga las preguntas y también las preguntas que nos hagan ustedes para ponernos en marcha en cada una de estas cinco áreas componentes. Brenda: Y entonces, Amy, ¿de qué vamos a hablar primero?

Amy: Entonces, mi primera pregunta es: ¿cuáles son las tres cosas más importantes que hacen que los flujos de trabajo de evaluación sean más ágiles y rápidos?

Brenda: Bien, para mí las tres cosas más importantes son una plataforma que tenga automatización y estoy mirando mis notas porque no quiero olvidarme de nada y parece que hablo de muchas cosas y se me olvida alguna y hoy no quiero olvidarme de nada. Brenda: Para mí, la automatización de la plataforma es fundamental, soy una experta en procesos. Brenda: Cuando trabajaba en Charles Schwab, me hicieron hacer los cursos de dominio de procesos del Dr. Michael Hammer en el MIT y Harvard, y aprendí mucho sobre agilidad y eficiencia, y sobre cómo crear un flujo de trabajo más eficiente basándose en lo que se tiene, analizándolo, desglosándolo y asegurándose de eliminar los retrasos y el desperdicio, y, finalmente, crear una plataforma, una propuesta o un flujo de trabajo que te permita llegar del punto A al punto Z sin contratiempos ni cosas automatizadas que no tengas que hacer manualmente y que causen ese desperdicio y retraso. Brenda: Así que busca una plataforma que pueda enviar notificaciones automatizadas basadas en el estado o examinar la información con algoritmos para decir, por ejemplo, que vas a incumplir la fecha de corrección de la mediación de riesgos. Brenda: Tenemos que recordarles que se acerca la fecha o que ya se ha pasado y lo que va a pasar. Brenda: Es como tener a tu mejor amigo, a Campanilla o a un amuleto de la suerte en la plataforma que hace el trabajo por ti para que puedas centrarte en las cosas que realmente requieren intervención manual. Brenda: La otra cosa es la elaboración de perfiles y el tarado. Brenda: Muchas de las empresas con las que he hablado han elaborado perfiles y han realizado tarados, pero a un nivel muy alto. Brenda: Y lo que estamos descubriendo es que, cuando recopilamos información, la recopilamos de forma que no sea extremadamente relevante para el compromiso. Brenda: Por ejemplo, si tengo un proveedor de servicios en la nube, quiero examinar la seguridad de la nube en su forma más evidente. Brenda: Y hay otras cosas que probablemente preguntaré, pero no necesito preguntar necesariamente todo lo que hay bajo el sol. Brenda: Solíamos tener cuestionarios con 1700 preguntas, lo cual era ridículo. Brenda: Era una locura preguntarlo todo, porque lo que intentas centrarte es en lo que está sucediendo en ese momento. Brenda: El ransomware es uno de ellos. Brenda: Quieres saber qué es exactamente lo que hacen por ti y pedir la información de seguridad adecuada para ello. Brenda: Y lo mismo ocurriría con otro ejemplo, como el software. Brenda: El software tiene un par de cosas diferentes que hay que tener en cuenta, a diferencia de si se trata de la nube. Brenda: Y usar un CAIQ o, si estás buscando software, usar un cuestionario VBSIM o si estás usando un cuestionario de marco de control prevalente. Brenda: Todos tienen sus razones y su propósito para lo que necesitas averiguar. Brenda: Y, por último, la tercera cosa serían las notificaciones de la plataforma y la automatización de los informes. Brenda: Hablamos de la automatización y hablamos de las notificaciones, pero los informes son, con diferencia, lo más importante que puedes tener. Brenda: Tienes todos estos datos que estás absorbiendo. Brenda: Necesitas poder analizarlos de manera que puedas saber en qué punto te encuentras en tu evaluación, en tu diligencia debida, en tu remediación, a nivel de cartera, a nivel de departamento y en toda tu empresa. Brenda: Y si no puedes utilizar el aprendizaje automático y la inteligencia artificial para informar de lo que necesitas ver en un instante, entonces estarás en desventaja. Brenda: Y eso hará que tengas que hacer muchas hojas de cálculo o informes que tendrás que crear desde cero o combinar información desde cero. Brenda: Y esas serían las tres primeras cosas. Brenda: ¿Tenemos alguna pregunta, Amy, mientras hablábamos de eso?

Amy: Todavía no, pero tengo una pregunta. Amy: Quiero volver al tema de la elaboración de perfiles y el tarado. Amy: He hablado con algunas personas aquí en Prevalent que están interesadas, pero que nunca se han dedicado al tarado y no tienen a sus proveedores tarados en absoluto. Amy: ¿Cuál es una buena manera de empezar a hacerlo?

Brenda: Hablaremos un poco sobre eso en el resto de esta presentación. Brenda: Pero algunos de los consejos para el tarado son que primero hay que determinar cuál es el enfoque de tarado de la empresa, porque cada uno lo ve de forma diferente a veces. Brenda: Si puedes consolidarlo en toda la empresa, será mucho más fácil y no tendrás que hacer traducciones. Brenda: Por ejemplo, si tu empresa o departamento de riesgo y cumplimiento utiliza los niveles 1, 2, 3 y 4, averigua cuáles son los criterios y comprueba si puedes reutilizarlos. Brenda: De lo contrario, si no puedes, puedes crear un enfoque de clasificación de gestión de riesgos de terceros o de gestión de la cadena de suministro. Brenda: Puedes utilizar ABCD. Brenda: Puedes utilizar rojo, naranja, amarillo, verde. Brenda: Puedes utilizar lo que quieras, pero la elaboración de perfiles y la clasificación son importantes. Brenda: Y todo esto ocurre al principio, cuando se está pensando en utilizar un proveedor o un vendedor. Brenda: Así que, básicamente, si se está pasando por el proceso de solicitud de propuestas, el departamento de compras dirá que estas cinco empresas son las que estamos barajando. Brenda: Tenga información desde el principio que le proporcione criterios para decir qué es lo que van a hacer por nosotros. Brenda: Aquí está la ubicación en la que se llevará a cabo. Brenda: Aquí están los puntos de contacto con los que hablarás. Brenda: Aquí está la información financiera a un nivel muy alto. Brenda: Puedes ejecutar informes de inteligencia sobre amenazas para tener una referencia de lo que está sucediendo en el mundo real. Brenda: Pero lo importante es averiguar, antes incluso de empezar a trabajar con ellos, qué tipo de empresa es, qué va a hacer por ti y qué tipo de trampas debes tener en cuenta. Brenda: Hay unas 11 o 12, y Prevalent puede ayudarte a averiguar cuáles son. Brenda: Tenemos un proceso de admisión y un proceso esencial que puede indicarte el riesgo inherente antes incluso de hacer negocios con ellos y que te ayudará a averiguar cuál es la carga más pesada que tendrás que soportar si decides trabajar con esa empresa, porque ya sabemos que habrá algunas cosas que tendremos que investigar.

Amy: Genial. Amy: Gracias. Amy: Todavía no hay preguntas del público, pero les recuerdo que, si se les ocurre algo, lo escriban y se lo preguntaremos a Brenda. Estamos aquí para ayudarles. Amy: Muy bien, siguiente pregunta. Amy: Entonces, ¿qué datos de proveedores existentes se pueden utilizar para obtener información inmediata sobre riesgos?

Brenda: Bueno, hemos hablado un poco de eso hace un momento. Brenda: Yo siempre diría que si utilizas la inteligencia de hilos, esa es una de las formas en las que puedes ejecutar información sin tener un punto de contacto. Brenda: Solo necesitas un nombre de dominio y te dirá lo que está pasando ahí fuera si no son seguros en determinados dominios de seguridad. Brenda: Con la prevalencia, no solo puedes ver la ciberseguridad, sino también la inteligencia empresarial y la inteligencia financiera. Brenda: Por lo tanto, es muy recomendable que, si estás buscando un aspecto de priorización o incluso a lo largo de todo el ciclo de vida de la participación de terceros, ejecutes ese informe de inteligencia de amenazas. Brenda: La otra cosa es reutilizar tus cuestionarios. Brenda: En el pasado, y no voy a revelar mi edad porque cada vez soy más mayor. Brenda: Todo el mundo lo hace. Brenda: Finjo que sigo teniendo 21, 25 o 29 años, sea cual sea la cifra.

Amy: como tú sientas.

Brenda: But back in the day, um, we had a situation where every year when the questionnaire to gather content would change because the threat landscape changed. Brenda: But if you think about it, the threat landscape was changing and we were catching up. Brenda: We have to get ahead of that. Brenda: So, I really proposed um a strategy that’s going to say we’re no longer doing I’ve talked about this before in many webinars, the one and done. Brenda: It’s important to do continuous evaluation and continuous evaluation means you gather what you need to at the very beginning for inherent risk. Brenda: You do your assessment and add components that are important and relevant for the residual risk. Brenda: you track those risks to closure and then when things happen when ransomware becomes important when IoT devices become more important when smart car stuff starts becoming I mean we’ve got smart cars coming all over the place and it’s going to be coming you know become more and more apparent pipeline things those are wakeup calls and those wakeup calls should not be ignored until the next questionnaire comes out those wakeup calls are really to say do you know if those suppliers and third parties are impacted by this situation and if they are what are you doing about it now not at the halfyear mark or the nine month mark or when the year comes so that’s what I would say about questionnaires and repurpose their answers but ask them to remind them to say okay has anything changed you can’t just say what you answered last time is exactly what you’re going to be this year because you may have had an audit that says you’re not doing as well as you thought you were doing in incident response or in multifactor authentication or things like that. Brenda: So they have to at least and I I don’t like this word the word attest but they have to at least attest or say we’re doing the same in our effectiveness for this particular control domain and by the way we’re answering all the deltas as they’re coming. Brenda: So make relationships with your vendors and suppliers and let them know that we’re not just going going to talk to you once. Brenda: We have a relationship now and relationships have to have time together and time together for us is going to be whenever I reach out very thoughtfully about what is happening in the environment today. Brenda: The other thing is um key controls. Brenda: So if you have key controls in your organization and what those are are really musthaves, these controls are the ones that we require all of our suppliers to have by engagement. Brenda: Then those will help you to set up and configure platforms for automation on what’s important based on their service types. Brenda: So you can do uh in external and internal quantification and identifying exactly what’s happening with those vendors whether you have a point of contact or you don’t. Brenda: Or you can look up point of contacts. Brenda: Um prevalent has a point of contact lookup and that will help you at least find someone within the company. Brenda: So don’t fear that okay I have 10,000 vendors or 3,000 vendors or even 25 but I don’t know who to go to. Brenda: Um you can always use a lookup feature as well. Brenda: The other thing is preconfiguring those risks. Brenda: So when you know your key controls you can rank those at the highest risk and when you rank them at the highest risk then it’s going to be things that are apparent and bubble to the top for your assessors to review. Brenda: And sometimes people have managed services helping them with their assessment. Brenda: So if you’ve outsourced your assessment due diligence to a risk operation command center whether it be at prevalent or somewhere else then those items will be completely available for them as well as for your organization if you’re like doing a hybrid approach. Brenda: So either you’re handing it off to someone or you’re doing it yourself. Brenda: But everyone should have the same voice and everyone should know what the risks are and we’ll be talking about that a little bit more. Brenda: Um also use risk association. Brenda: So what that means is that if you have a content gathering in a questionnaire or in thread intelligence, those things should match up together. Brenda: If a question is asked of the supplier or the vendor and something’s seen in the wild, those two things should say what they said and what we see match. Brenda: And if they don’t match, then they should say, okay, we have a risk or we have something we have to look at because what they’re saying is not what we’re seeing or what we’re seeing is not what they’re saying. Brenda: because it could go vice versa. Brenda: It could say, “Okay, they say they’re doing very well or we’re looking at a threat intelligence that’s um providing information that says they’re doing a great job in this security domain, but their questionnaire came back saying we’re not doing good.”. Brenda: You could go back to them and say, “Okay, well, this doesn’t look right. Brenda: It looks good out there on the outside. Brenda: Why is it not looking good on the inside?”. Brenda: So, it helps you to figure out um how to balance and it’s like a a double check. Brenda: The other thing is risk association can help you with if a question is asked somewhere in your questionnaire and then it’s asked again differently in a different security domain and they answer one way in one place and another way in the other then you can kind of do some checks and balances with the risk association with that as well. Brenda: Um we talked about thread intelligence of cyber business and financial make sure you always have those three because without one you will definitely have a scenario where you’re only seeing a part of the picture and we talked about profiling and tiering. Brenda: Oh networks and changes. Brenda: That’s the biggest one. Brenda: I almost forgot it. Brenda: So, networks are there for us to store a library of suppliers and vendors already completed information. Brenda: So, it cuts down on the delay of gathering content. Brenda: And what happens when I as a supplier might be in a network or an exchange with my completed content, my evidence, all of the information where I’m already working on risks. Brenda: What happens is if new company wants to look at my content, I have the ability to either give permission to a a sector like I might say for every healthcare sector uh customer I want them to be able to see my information or for every legal um industry customer I want them to see my information or I should be able to have the ability to say yes I’m doing business with this requesttor go ahead and share my information with them so it stays protected so don’t be af afraid of, oh my gosh, my my content, my information is up in some cloud being serviced by a a third party vendor. Brenda: What’s going to happen to it? Brenda: There are protection mechanisms put all over that to make sure that it is secure and not shared with the wrong companies andor without your permission. Brenda: So, it looks like we have a question, Amy. Brenda: I’m looking at two.

Amy: Sí, hay un par de preguntas del público. Amy: La primera es sobre el producto de calificación de riesgos cibernéticos más extendido. Amy: ¿Desarrollamos el nuestro propio y cómo se compara con Bitsite?

Brenda: De acuerdo, no puedo hablar de toda esa información durante este seminario web, pero si se pone en contacto con Amy, que recibirá los correos electrónicos en [email protected], tenemos documentos comparativos que podemos proporcionarle para que sepa qué diferencia hay entre los distintos tipos de inteligencia de hilos, cómo creamos la culminación y, normalmente, en la mayoría de las empresas, así como es habitual, utilizamos la misma fuente de información que otras empresas, pero mostrándola de forma diferente y/o según la idoneidad de nuestra plataforma y lo que buscamos hacer y lograr para usted. Brenda: Así que hay diferentes empresas que son una culminación de esas organizaciones. Brenda: Puede que tengamos otras diferentes a las de Bitsite, pero usted debe hacer su debida diligencia y obtener esa documentación, los documentos comparativos, y averiguar cuál es esa información.

Amy: Sí. Amy: Dicho esto, he tomado nota de quién ha hecho la pregunta. Amy: Estaré encantada de ponerme en contacto contigo después de este seminario web. Amy: Podemos charlar un poco más sobre eso. Amy: Eh... la siguiente pregunta del público. Amy: Entonces, ¿es habitual un servicio gestionado de gestión de riesgos de proveedores o vendéis una plataforma para que las organizaciones lo hagan por sí mismas? Amy: Si es así, ¿qué porcentaje aproximado representa cada uno de ellos en vuestro negocio global?

Brenda: Hacemos tres cosas. Brenda: La primera es que tenemos una plataforma que puedes usar tú mismo. Brenda: Es autónoma, ya sabes, puedes configurarla tú mismo, puedes crear lo que quieras, pero contamos con personal que puede ayudarte con servicios profesionales. Brenda: Contamos con servicios gestionados que también ayudan con eso y servicios rock. Brenda: Así que el centro de mando de operaciones de riesgo puede encargarse de la recopilación de datos. Brenda: También pueden hacer el análisis por ti. Brenda: Pueden hacer el intercambio entre lo que estás tratando de recopilar y lo que el proveedor ha proporcionado, así como la remediación de riesgos. Brenda: Así que llega tan lejos. Brenda: También tenemos respuesta rápida. Brenda: Eso es en el ámbito de la gestión de incidentes, si vemos que está pasando algo en el Wall Street Journal y el New York Times y nuestra inteligencia de amenazas nos avisa y nos dice que tenemos un problema. Brenda: Tienes que ir y ayudar a tus proveedores y a tus clientes. Brenda: También hay respuesta rápida. Brenda: Y también hay servicios de consultoría y estrategia. Brenda: Así que, si estás intentando crear tu programa, tenemos gente que puede sentarse contigo, ver lo que estás haciendo hoy, incluso si estás empezando desde cero o si eres el más maduro, e intentar ayudarte a comprender todas las diferentes formas de aprovechar la plataforma. Brenda: Así que, si te fijas en los porcentajes, realmente depende de la empresa. Brenda: Cada empresa es diferente en cuanto a dónde se encuentra con su programa. Brenda: Algunas están empezando desde cero y otras están muy maduras, y lo bueno es que todo lo que hacemos se adapta a sus necesidades. Brenda: Así que nos sentaríamos con usted. Brenda: Hablaríamos de lo que quiere conseguir y luego podríamos crear diferentes paquetes que le ayudaran.

Amy: Genial. Amy: Gracias, Brenda.

Brenda: Muy bien. Brenda: Genial. Brenda: Pasemos al siguiente punto. Brenda: Pensabas que esto solo iba a durar media hora, ¿verdad, Amy?

Amy: Sí. Amy: Vaya. Amy: No, esto es genial. Amy: Sigan con las preguntas. Amy: Y esta pregunta me gusta mucho. Amy: Obviamente, todos estamos muy ocupados. Amy: Entonces, con tanto que hacer, tan poco tiempo y recursos muy limitados, ¿cómo podemos lograr más con menos? Amy: Denos su sabiduría.

Brenda: So, a little tiny story. Brenda: When I started in thirdparty risk, I’m sure all of you have heard if you’ve listened to me before, is I had this fall in my lap. Brenda: I did know anything about third party and it was a body of one. Brenda: It was just me and they came at me with okay you have 3,000 or 5,000 or 10,000 vendors that you’re going to have to assess. Brenda: And so when I looked at that then I became a team of two brought on another resource and then it kept expanding and expanding. Brenda: Now two questions were um asked of me by my chief information security officer at the time and they said all right there’s two things that can happen. Brenda: Either you’re going to do this with managed services and get some help from the outside or you’re going to hire people and they both have pros and cons. Brenda: Which pro and con do you want to go forward with? Brenda: And as I retrospect on that, I don’t think that I made m what I would call mistakes, but there are some hybrid approaches that I would possibly look at. Brenda: If I’m wanting to get done um maybe like a campaign of assessing things very fast, I would have a risk operation command center. Brenda: or managed services help me with that because it will get things done quickly. Brenda: They’ll be able to look in their networks. Brenda: They’ll be able to find out if the information’s already been gathered. Brenda: They’ll be able to give me what I need to know from a risk perspective. Brenda: And then very quickly, we would be able to identify where we are with what’s already been done. Brenda: That’s great. Brenda: And then again, I call them Tinker Bells and Lucky Charms. Brenda: If all of those individuals were doing things at a a standard level where I would say, “Okay, I want to do 200 of a week or I want to do all 3,000 at one time. Brenda: There would they would have bench strength to do uh to watch all of the responses come in. Brenda: And by configuring a platform with all the risks, the recommendations, the remediation timelines and doing that prep setup, that’s going to make it so that everything would be consistent. Brenda: It would be what the way that my company, whoever I work for, wants to look at their key controls. Brenda: There’s um the network and exchanges that we talked about before. Brenda: So using those those and and for those that aren’t in there, you can use a hybrid approach where you’re launching things out yourself. Brenda: So for that question that we had earlier, if you do um have a platform that people can use themselves, you can have a hybrid approach where you launch things yourself, but you also have managed services doing something for you. Brenda: So look at your tiers and really focus on your criticals and your highs and then let managed services or rock services do your mediums and your lows or or campaigns or things of that nature. Brenda: Um expand support out to additional departments. Brenda: So if you take an approach where you’re asking what you need to ask for not only yourself in your risk management or your supplier or vendor management area and you ask questions that are pertinent to DR, pertinent to business continuity, legal, privacy, procurement, then your your vendor and supplier is going to say, “Wow, this is like going to I guess an experience that I had is I you know going to a Honda car shop versus a BMW car shop. Brenda: They’re different. Brenda: So, it’s kind of like going to a place that has their ducks in a row and they give more um white glove service to you. Brenda: So, that’s kind of what you want to be for your vendors and suppliers. Brenda: They need to work on remediation, not content gathering. Brenda: They need to work on servicing you, not content gathering. Brenda: So, that’s that’s one of the items there. Brenda: Rapid response, making sure that you know very quickly who’s been impacted by an incident or a breach or a ransomware attack or malware. Brenda: And then knowing that you can tell your board, here’s who we work with that is having impact. Brenda: Here’s what we’ve done and here’s how long we’ve given them to close that disconnect. Brenda: And we will give you updates on either a daily or a weekly progress so that you know that the the bar of um impact is going to come to slim or change. Brenda: and then having that a platform that has the ability to visualize all the different connections of your third parties. Brenda: So I I am a proponent for the last five years of going and making sure you have assessment information whether it be just identifying for fourth and fifth and sixth parties that an assessment has been done to what the risks are and how that risk will have impact on the company of which you’re directly contracted with and knowing that in a picture format like a spider diagram and who what business units are using them. Brenda: So for example when I was at again Charles Schwab they had a twostory building that had a screen up on the wall and it would show if an impact happened the daisy chain of events that was going to trickle from that impact to the business units to what trades couldn’t be made and all kinds of things. Brenda: And that was way back in the day. Brenda: I was at uh Schwab way before 2007, so I’m sure it’s even better now. Brenda: But I was flabbergasted by like, oh my gosh, you know how to pivot based on exactly what’s going on so that you can quickly make adjustments to your business. Brenda: That has to happen for resilience for all of our companies globally. Brenda: And we’ve felt some of that pressure based on what we experienced in 2020 and even in 2021. Brenda: So if you have a platform form like prevalent that has the spider diagram and all of the connections of what business units using it, what are they transferring for data, which direction is it going, if something impacts, you can highlight it and see all the connections of what’s going to occur. Brenda: So that I would highly recommend you get into to help with accomplishing more with less because I can tell you it took a lot of manual effort to do things manually when you found out someone was impacted to determine how is the business business going to be with this? Brenda: How is how are we going what do we pivot to? Brenda: What company can we pivot to? Brenda: Do we have a backup company or do we have a concentration risk? Brenda: So hopefully that’s helpful.

Amy: Muy bien, tengo una pregunta sobre los servicios gestionados. Amy: Entonces, ¿con qué frecuencia el trabajo que Prevalent realiza como proveedor de servicios gestionados para un cliente típico lleva al propietario de la empresa a cambiar de proveedor debido al alto riesgo cibernético residual?

Brenda: No sabría decirte los porcentajes. Brenda: Pero tu pregunta plantea un punto muy interesante: cuando se cuenta con servicios gestionados que proporcionan informes resumidos de riesgos ejecutivos, tendrías un proceso interno que lo llevaría a un comité directivo o al programa de disposición que tengas para decir que nuestro umbral es que solo pueden tener estas cosas que están en un estado determinado y, si les falta todo, entonces tienen que considerar eliminarlas y trabajar en contacto con el departamento de compras e informarles de que tenemos algunos problemas de riesgo muy graves y que la unidad de negocio está involucrada en mitigarlos. Brenda: Así que hay un par de cosas que pueden suceder dentro de la plataforma. Brenda: Puedes hacer un seguimiento de esas correcciones hasta su cierre. Brenda: Puedes utilizar el informe ejecutivo de resumen de riesgos y las diferentes perspectivas del registro de riesgos para mostrar a los ejecutivos cuál es el riesgo para el negocio y puedes compartir la información con los equipos de privacidad, compras y cumplimiento de riesgos, y con quien sea necesario, para decir que recomiendo seguir adelante con este cliente o este proveedor, o que recomiendo una corrección, o que no lo recomiendo basándome en lo que nos proporcionan los servicios gestionados. Brenda: Así que ellos se encargarán de todo el trabajo pesado. Brenda: Te darán la información para que tomes la decisión y luego sigas adelante con tus procesos internos.

Amy: Muy bien. Amy: Y para añadir algo más a eso, el público pregunta: «Siempre me preocupa que lo único peor que un analista interno de gestión de riesgos de proveedores que es ignorado cuando señala un riesgo es ser ignorado como proveedor de servicios externo». Amy: Así que, en realidad no es una pregunta, pero quiero hacértela llegar.

Brenda: Sí. Brenda: Y eso es cierto porque cuando hacemos nuestra diligencia debida, ya sea con servicios gestionados o con nuestros recursos internos, nuestro trabajo es realmente muy importante. Brenda: Yo los veo como un centro de triaje en un hospital. Brenda: El médico, las enfermeras y los centros quirúrgicos no sabrán realmente qué pasos dar a continuación a menos que se haya realizado un triaje adecuado. Brenda: Por lo tanto, si estás haciendo tu debida diligencia, ya sea combinándola con una empresa de servicios gestionados, haciéndola tú mismo internamente o con un enfoque híbrido, ellos son probablemente uno de los componentes más importantes del proceso, porque son los que se encargan de esa búsqueda. Brenda: Yo lo llamo la búsqueda de riesgos. Brenda: Y tan pronto como encuentran un riesgo, ese riesgo es algo que hay que gestionar. Brenda: Sea consciente de lo que haya decidido hacer con aquellos que son una tolerancia apetecible para su empresa. Brenda: Así que, gracias por esa declaración y, um, realmente creo que esas personas son las más importantes, um, dentro del proceso en el ciclo de vida.

Amy: Genial. Amy: Sí, seguid con las preguntas. Amy: Bueno, pasando a otro tema, hablando de la mitigación de riesgos, el aspecto más importante en la gestión de riesgos de terceros, ¿cuál es la mejor manera de gestionarlos?

Brenda: Entonces, la remediación, como dije antes, consiste en asegurarse de que se está llevando a cabo un proceso de evaluación continuo. Brenda: Ejecute su inteligencia de amenazas y establezca umbrales y alertas que le indiquen cuándo cambian los riesgos. Brenda: Um, tenga disponibles informes que indiquen: «Tengo estos diferentes riesgos que van a surgir, y su fecha de remediación y fecha límite se están acercando». Brenda: Y luego hazlo de manera que la unidad de negocio o quienquiera que esté a cargo de realizar esos cambios y mantenerse en contacto con el proveedor pueda decir: «Mira, estás a punto de agotar el plazo para la remediación. Brenda: ¿Ya casi has terminado y puedes enviárnoslo?». Brenda: Y también, recuerden que cuando se corrige un riesgo, eso no significa que ya está todo hecho. Brenda: Significa que tienen que verificarlo y asegurarse de que está hecho. Brenda: Por lo tanto, hay ciertos protocolos para hacerlo. Brenda: Hemos hablado un par de veces en otros seminarios web sobre la validación virtual. Brenda: Solíamos hacer visitas in situ cuando podíamos viajar y estoy deseando que se pueda viajar un poco más, pero cuando empecemos a viajar y a vernos de nuevo como empresas, proveedores y constituyentes, hasta que eso ocurra, hemos encontrado formas de hacer la validación, y la validación consiste en probar esos riesgos para asegurarnos de que, utilizando protocolos específicos, lo que dicen y lo que vemos está activo y se aplica. Brenda: Así que ese es el tipo de cosas que también entrañan un riesgo. Brenda: Pero la mejor manera de gestionarlas es tener un sistema en el que no se saque el contenido de la plataforma para ponerlo en una hoja de cálculo y examinar esas hojas de cálculo. Brenda: Lo que quieres es tener una plataforma que te diga en qué punto del ciclo de vida de tu evaluación de diligencia debida te encuentras. Brenda: Si están en la fase de remediación, si tú sigues en la fase de evaluación, y luego poder analizar el contenido para decir: «¿Sabes qué? Este año tenemos tantos proveedores que evaluar...». Brenda: Nos vamos a centrar en los riesgos críticos y altos para cada uno de nuestros niveles y proveedores perfilados. Brenda: Um, y vamos a suprimir, no vamos a cambiar el riesgo para los medios y bajos, pero vamos a hacer que no nos generen una tarea en la que trabajar. Brenda: Sabremos que están ahí. Brenda: Reconoceremos que existen, pero vamos a trabajar en cosas como el ransomware, el multifactor, el cifrado del tránsito, el phishing y cosas por el estilo. Brenda: Ya sabes, cosas que hacen que a los hackers les resulte más fácil llegar hasta nosotros. Brenda: Así que cuando lleguemos a la siguiente fase de nuestro programa, nuestra política establecerá que vamos a añadir los riesgos medios y bajos para el segundo año o cuando hayamos terminado de identificar los riesgos altos y críticos. Brenda: Esa es otra forma de gestionarlos también.

Amy: Muy bien, estupendo. Amy: No hay preguntas. Amy: Pasemos a la siguiente. Amy: Muy bien, Brenda, ¿es posible completar una única evaluación y cumplir varios objetivos de cumplimiento?

Brenda: Sí, y esta es una de las cosas mágicas que suceden dentro de la solución predominante. Brenda: Contamos con excelentes gestores de contenido que están muy bien preparados en NIST e ISO, GDPR, CCPA. Brenda: Es decir, podría seguir con todas las diferentes siglas y todos los marcos normativos. Brenda: Y lo que es muy ingenioso, creo que es de ¿De qué época es eso? Brenda: Como de los años 50, solo usé una palabra moderna e ingeniosa. Brenda: Entonces, lo que es realmente increíble, vale, allá por los años 90, lo que es realmente genial es que tienes la capacidad de ver la información desde una perspectiva diferente. Brenda: Así que lo llamo el botón mágico. Brenda: Hay registros de riesgos y diferentes formas de ver las pantallas de cumplimiento que yo diría, vale, soy del departamento de privacidad. Brenda: Quiero ver cómo se refleja el contenido que se ha recopilado en el cumplimiento del RGPD. Brenda: Y pulso este bonito botón dentro de la entidad y me muestra exactamente dónde están en cuanto al cumplimiento, basándose en el contenido que se ha recopilado. Brenda: Así que no tienes que volver atrás y decir: «Vale, necesito que respondas a este cuestionario del RGPD, que ya podrían ser preguntas que habrías hecho en la evaluación de la situación general de terceros, pero ¿puedes hacerlo de nuevo?». Brenda: No, solo tienes que cambiar la perspectiva. Brenda: Es como una cámara en la que enfocas. Brenda: Así que enfocas para el RGPD, o enfocas para el NIST, o enfocas para la ISO, y puedes verlo de diferentes maneras. Brenda: Así que, um, nos estamos volviendo bastante sofisticados con eso. Brenda: Y me gusta mucho lo que han hecho para que podamos verlo de diferentes maneras.

Amy: Me encanta la palabra «elegante». Amy: Es genial.

Brenda: Oh, yo también dije eso. Brenda: Dios mío.

Amy: Iba a decir «rad». Amy: Eso parece muy de los 90.

Brenda: Genial. Brenda: Genial.

Amy: Me encanta. Amy: Eh, bueno, todavía no hay preguntas. Amy: Eh, dicho esto, si tenéis alguna pregunta, sé que estamos llegando al final de nuestra hora juntos, menos de una hora, así que repasaremos algunos puntos clave. Amy: Si se les ocurre algo, por favor, envíenlo a la función de preguntas y respuestas. Amy: Y te dejaré a ti, Brenda, que repases los puntos clave aquí.

Brenda: All right. Brenda: So, I have I have five of them. Brenda: And so, because we had five topics, so I kind of like interlin linked that, but the first one is automation is key. Brenda: I want to make sure that you’re using the ability to push your life cycle with automation on status and certain criteria that’s being met and being able to use what we call active rules. Brenda: So, for example, if we have something that comes in at has a profile and tier intake process. Brenda: Then it will automatically launch the appropriate content that needs to be sent to the supplier. Brenda: And then when it comes back, the status will change as you know, you don’t have to go in and manually change the status. Brenda: And then when it’s assigned and the risks are identified and you push it along the process, um there’s certain things that can happen magically and automatically. Brenda: Otherwise, there’s a couple things that you may or may not have to do manually because you need to have that personal eye touch on it. Brenda: Having the notifications go out so that you don’t have to do the chaser emails. Brenda: That was one of the things that I just despise doing is having to chase people and you can make the information change and or be stagnant based on what notifications are going out. Brenda: You can tell them about your program at the beginning and give them expectations so that it’s very easy for them to identify what’s going to happen next. Brenda: You can remind them when things are coming. Brenda: do you have the ability to slice and dice the data? Brenda: So automation and having the ability to do that is like key for a process to move faster, but always have your program and process somewhat clearly defined in the beginning with the ability to change and tweak it as you go. Brenda: So do know that you’re not going to come in and say, “Okay, it’s going to be fantabulous and no hiccups are going to happen.”. Brenda: Hiccups will happen, but that’s supposed to because that means you have to improve something and it just continues to help you to grow in your life. Brenda: program. Brenda: The other thing is risk intelligence comes in many forms. Brenda: We’ve talked about cyber risk intelligence. Brenda: We talked about inherent risk. Brenda: We talked about profiling and tearing. Brenda: We talked about business intelligence, financial intelligence. Brenda: We now have uh uh other types of reports that we can give you that are even above and beyond what people have been expecting in the past that procurement can use. Brenda: Um share your information. Brenda: Risk intelligence should be shared and then make sure that you’re looking at that risk intelligence in different camera lenses, GDPR, CCPA, whatever that is. Brenda: The other one is obtain assistance from the experts. Brenda: So, if you’re just starting out, you’re you’re probably going to want to say, “Build this and give it to me so that it can be handed off so that I can just focus on risk remediation or risk management.”. Brenda: And that can happen. Brenda: Or you can have a hybrid approach where you have multiple people on staff and you’ve got this campaign that you need to do a lot with. Brenda: So they can help you with that campaign. Brenda: So think about when there’s temporary situations that you have to grow really quickly, they have the ability to help you with that. Brenda: So um don’t feel like you have to muddle along really slowly. Brenda: They can put a uh managed services can put a program together for you. Brenda: They consult with you. Brenda: They can do strategy services with you and a roadmap to say based on what we have in the platform today, which is a lot, we can help you do what you need to do. Brenda: But we’re also going to keep you apprised of the new things that are coming on a every month to every two month basis. Brenda: And we’ll be talking to you about leveraging those items based on what you’ve purchased from prevalent so that you can start using those because that’s the main goal is to make everything easier, faster, better, smarter, scalable. Brenda: And so you’ll want to keep up with the times on all the different components that are available. Brenda: Um run a relevant third party program or supply chain management program. Brenda: Don’t just have one question. Brenda: If you’re small, you can have one questionnaire. Brenda: I can understand maybe you have 25 assessments to do. Brenda: So, don’t think that you have to have different ones for each one. Brenda: But there’s situations where you may have contractors that are using your laptops. Brenda: So, why are you asking them questions about their laptop? Brenda: They’re using yours. Brenda: You should know how secure it is. Brenda: Or you may have someone who’s doing a software um coding for you and and you need to find out how they’re handling defect management. Brenda: because that’s how the hackers can get through is if there’s a code issue and then they come in through that way or um you might have ransomware that’s really important to you in the health care space and ransomware needs to be at the forefront of your questionnaires. Brenda: It’s nice to know all the other key controls but we’re dealing with ransomware right now. Brenda: So that’s something that could be a a proponent item for you. Brenda: And then finally the fifth thing is the responses need to be mapped to the compliance framework the regulatory require experiments and having that mapped will help you to use the camera lens to look at different views of the information that’s coming in and the way that you need to see it depending on who you are in what department. Brenda: So those are my five things. Brenda: So I will um I think we have one other polling question before we end today. Brenda: But as you’re looking at that polling question or a go ahead and put that up and then I could talk about the trusted partnership after you’ve put that up. Brenda: There it is.

Amy: Entonces, básicamente lo que estamos preguntando es si están pensando en ampliar o establecer un programa de riesgos de terceros en 2021. Amy: Y sé que nos estamos acercando a 2022. Amy: Así que quizá también habría que tener en cuenta principios del año que viene. Amy: Eh, sí, no, no estoy segura. Amy: Danos una respuesta. Amy: Y, eh, deja que termines aquí, Brenda.

Brenda: Y esa respuesta vuelve a ser para Amy. Brenda: Así que, si quieres hablar más con Amy y quizá también con Amanda, quizá ellas puedan compartirlo. Brenda: No estoy segura. Brenda: Pero, eh, es importante que sepamos qué estás intentando hacer, porque hay formas de ayudar en cada nivel diferente y quizá te encuentres en una posición determinada en tu programa concreto en la que incluso te interese averiguar qué más hay ahí fuera. Brenda: Por lo tanto, mantente al día de todas las diferentes cosas que pueden ser útiles y, como he dicho, muchas empresas están empezando a adoptar un enfoque empresarial y, cuando se adopta un enfoque empresarial, hay otras personas que quieren saber bien cómo ayuda tu plataforma de servicios gestionados con la adquisición o cómo ayuda con el riesgo y el cumplimiento. Brenda: Así que hay muchas cosas diferentes que mostrarte. Brenda: Y, por supuesto, somos líderes en el Cuadrante Mágico de Gartner de 2020, los más fuertes en estrategia. Brenda: Y eso es importante porque, sin estrategia, no se puede seguir estando a la vanguardia de todas las diferentes cosas que están sucediendo. Brenda: Y también tenemos las redes de proveedores de más rápido crecimiento. Brenda: Tenemos hasta un 128 % de crecimiento en 2020. Brenda: Y este año también volvemos a participar en el Gartner Quad Insurance. Brenda: Creo que esos informes saldrán pronto, en el próximo mes o incluso en un par de meses como mucho. Brenda: Tenemos algunas empresas de confianza realmente buenas a las que llamamos nuestros amigos de la familia y trabajamos con ellas de forma cohesionada en lo que quieren hacer con la plataforma que les va a ayudar. Brenda: Por supuesto, contamos con expertos que conocen la dirección que queremos tomar, pero también escuchamos a nuestros clientes y nuestra gente es, con diferencia, la más divertida con la que trabajar. Brenda: Por eso, quiero asegurarme de que sepan que también nos enorgullecemos de las personas que trabajan en la empresa.

Brenda: Y si tienen alguna pregunta sobre lo que hemos hablado, la responderemos. Brenda: Pero si necesitan enviar algo directamente a Amy, su dirección es [email protected]. Brenda: Estamos en LinkedIn y en Twitter, sígannos. Brenda: Estamos enviando informes técnicos constantemente para asegurarnos de que tengáis a vuestro alcance el liderazgo intelectual, ya sea en relación con los criterios ESG, que es un tema muy candente, o con algo que haya sucedido en el ecosistema que hayamos abordado, u otros tipos de informes. Brenda: ¿Alguna pregunta, Amy? Brenda: ¿Tenemos algo ahí fuera?

Amy: Eh, todavía no, pero voy a seguir hablando un poco más. Amy: Así que, si alguien tiene alguna pregunta de última hora, que utilice la función de preguntas y respuestas. Amy: Gracias a todos los que han participado en nuestra encuesta. Amy: Si han respondido que sí, esperen noticias mías o de mi compañera Amanda Fina como seguimiento, solo para asegurarnos de que están cubiertos y saben que estamos aquí para ayudarles. Sé que Brenda ha explicado muy bien nuestra plataforma y nuestros servicios de gestión, pero si tienen alguna pregunta más profunda o quieren saber más, pónganse en contacto con nosotros como han dicho en info prevalent.net. También quiero mencionar que, si han asistido o se han registrado en este seminario web, recibirán un correo electrónico de Amanda o de mí misma justo después, para que tengan la información por si acaso. Amy: No hay preguntas de última hora, pero Brenda, sé que he aprendido muchísimo y estoy segura de que es una buena señal, porque todos los que están aquí sentados están pensando en qué van a hacer a continuación.

Brenda: Sí. Brenda: Bueno, esperemos que sea algo divertido, como su madurez en la gestión.

Amy: ¿Verdad? Amy: En serio, has conseguido que la gente piense y que vayan en la dirección correcta. Amy: Así que, bueno, ya sabes, estamos aquí para ayudar. Amy: Como he dicho, dicho esto, supongo que te devolveremos algo de tiempo. Amy: Muchas gracias de nuevo por dedicarnos una hora para charlar conmigo y con Brenda. Amy: Una vez más, si tienes alguna pregunta, no dudes en ponerte en contacto con nosotros. Amy: Espero que te lleves consejos prácticos para obtener los datos que necesitas para tomar decisiones claras y fundamentadas, al tiempo que refuerzas la confianza de los ejecutivos en tu programa de gestión de riesgos de terceros. Amy: ¿Algo más, Brenda?

Brenda: No, solo muchas gracias. Brenda: Ha sido un placer y un honor, y nos vemos pronto.

Amy: Suena genial. Amy: Muchas gracias, Brenda. Amy: Gracias a todos. Amy: Que paséis un buen día. Amy: Adiós. Amy: Adiós. Amy: Adiós.