TPRM 101: Cómo conseguir que los proveedores respondan a las evaluaciones de riesgos

Amy Tweed: Muy bien, bienvenidos a todos, ya que han llegado muy temprano. Muy bien, aquí vienen algunas personas. Muy bien, estupendo. Me alegro mucho de que puedan acompañarnos hoy aquí, estén donde estén y sea la hora que sea para ustedes. Estamos muy emocionados por participar en este seminario web. En un momento voy a poner una pregunta en una encuesta sobre por qué están aquí, qué les ha traído hoy aquí. Estamos deseando saber qué es lo que quieren aprender y por qué están aquí. Mientras lo hago, repasaremos algunas normas de la casa y haremos algunas presentaciones. Voy a lanzar la encuesta mientras se acomodan, se ponen cómodos y se toman un momento para responder. Me acompaña Brenda Ferraro, vicepresidenta de riesgos de terceros de Prevalent. Nos va a explicar algunos conceptos básicos sobre la gestión de riesgos de terceros y cómo conseguir que sus proveedores respondan a las evaluaciones de riesgos. Así que hoy vamos a tratar muchos temas interesantes. Me llamo Amy Tweed. Me encargo del desarrollo empresarial aquí en Pre. Estaré atenta a sus preguntas. Abajo verán que hay una función de preguntas y respuestas. También hay una función de chat. Así que, mientras escuchan y aprenden, por favor hagan sus preguntas. Queremos que esto sea lo más interactivo posible. Dicho esto, sus cámaras están apagadas. Están silenciados a propósito, pero por favor hagan sus preguntas. Y además de eso, iré haciendo preguntas de encuesta a lo largo de la presentación. Brenda, ¿cómo estás hoy? Estoy muy emocionada.

Brenda Ferraro: Estoy bien. ¿Y tú?

Amy Tweed: Estoy bien. Gracias.

Brenda Ferraro: Más que emocionada.

Amy Tweed: Genial. Hoy tenemos mucho que tratar. Las preguntas de la encuesta siguen abiertas. Les daremos unos 10 segundos más. Mientras se acomodan, cuéntenos qué les ha traído aquí hoy. Ya sea para investigar un proyecto educativo, porque tienen un proyecto de gestión de riesgos de terceros en marcha o porque no están seguros de por qué están aquí. Ya saben, ¿por qué estoy aquí? Pueden preguntárselo. Parece que nadie responde a eso. Así que la gente está aquí a propósito. Y también tenemos algunos clientes habituales. Me alegro de que estén aquí. Muy bien, voy a dar por terminada la encuesta. Brenda, adelante.

Brenda Ferraro: Muy bien, gracias, Amy. Como ella ha mencionado a lo largo de este seminario web, queremos que nos envíen sus preguntas y Amy aparecerá en pantalla para responderlas. Así que, por favor, asegúrense de participar. También nos gusta incluir preguntas de encuesta a lo largo de la presentación del seminario web para que pueda hacerme una idea del público y así poder hablar directamente de lo que necesitan. Por lo tanto, nos aseguraremos de que, cuando Amy aparezca, yo interrumpa lo que estoy diciendo o terminemos la frase o la pantalla y luego respondamos a sus preguntas. Muy bien. Entonces, ¿cómo conseguir que sus proveedores respondan a las evaluaciones de riesgos? Este es uno de los puntos débiles que parece ser el mayor problema y hay múltiples razones para ello. Por lo tanto , durante la presentación de hoy, les voy a dar algunas técnicas e información básica que pueden considerar implementar en su propio programa. Algunas de las cosas de las que voy a hablar son procesos que deben crear fuera de cualquier plataforma que utilicen. También discutiremos aspectos que deberían formar parte de su plataforma de gestión de riesgos de terceros , ya que la automatización es clave para hacer las cosas más rápido, pero queremos que se hagan bien. Empecemos con nuestra agenda. Hoy hablaremos de estas cinco cosas y más. Voy a integrar todo lo posible en esta hora debido a la importancia de este tema. Lo primero es asegurarnos de que tenemos una mayor tasa de respuesta y comunicación, y ser capaces de comunicar a sus proveedores, su empresa y su organización lo que están haciendo y por qué, lo que sienta las bases para el éxito. Así que hablaremos de algunas de esas técnicas. La otra cosa son las expectativas realistas. Podemos tener expectativas sobre nuestros proveedores en cuanto a la rapidez con la que necesitamos algo, pero también debemos pensar en lo que les pedimos y en la rapidez con la que pueden responder. Y si se identifica un riesgo o no se ha establecido un control, ¿cuánto tiempo les llevará poner algo en marcha para que su postura sea más segura? Además, ¿qué haces cuando no tienes el punto de contacto adecuado? Estaba en una conferencia justo antes de esta llamada y voy a volver a ella cuando termine, pero estaban hablando específicamente a nivel de CISO sobre lo que se debe hacer cuando no se tiene un punto de contacto, que es en realidad lo que se debe hacer como revisión anual. Porque cuando se pregunta a los proveedores individuales qué están haciendo por su postura de seguridad. Normalmente, o bien mejorará o bien puede haber cambios en el panorama de amenazas que debes preguntarles para saber si su postura es buena en ese aspecto. Pero lo más importante es tener un punto de contacto. Si no tienes un punto de contacto, ¿cómo puedes realizar una evaluación? O si no tienes un punto de contacto, ¿cómo obtienes respuestas a un posible incidente o a algún tipo de situación de respuesta rápida sobre la que necesitas información? Así que eso es algo que también discutiremos. Luego pasaremos a buscar respuestas. Hablaremos del cansancio administrativo y de cómo salir de él. Y, por último, hablaremos de lo que estamos haciendo con respecto a la inteligencia de riesgo de los proveedores y cómo la estamos utilizando o si estamos esperando respuestas. Hablaremos de todas estas cosas. Antes de hablar de la comunicación para obtener una mejor tasa de respuesta, pasemos a nuestra primera pregunta de la encuesta. Amy, ¿por qué no la muestras y vemos qué piensa hoy nuestra audiencia y cuál es su postura?

Amy Tweed: Muy bien, pregunta de la encuesta. ¿Tiene dificultades para obtener respuestas de sus proveedores? Simplemente sí, no, no estoy seguro. Tómese un momento para responder. Recuerdo que cuando estaba llevando a cabo el programa de evaluación de riesgos de terceros en una gran empresa, esta era una de las áreas que nos resultaba muy difícil, e intentamos crear muchas técnicas, que son las que voy a compartir con ustedes, así como los talleres de estrategia que imparto hoy en día a otras empresas, en los que todo el mundo se muestra muy creativo e innovador. Así que espero que todo lo que hablemos hoy os resulte útil y os recuerde que debéis seguir adelante con ello o, al menos, os dé algunas ideas.

Amy Tweed: Genial. Muy bien, voy a cerrar la encuesta en tres, dos, uno. Tenemos muchas respuestas aquí. Las compartiré. Muchos votos a favor, algunos en contra y otros indecisos.

Brenda Ferraro: Muy bien. Entonces, este seminario web y esta presentación son para ti. Nos alegra que estés aquí. Bien.

Brenda Ferraro: Hoy sin duda les ayudaremos. Así que, gracias por acompañarnos y comencemos. Hablemos de las cuatro técnicas de comunicación proactiva. Ahora bien, podría entrar en detalles sobre la comunicación agresiva y la comunicación evasiva y todos esos estilos sociales, pero eso no es realmente de lo que vamos a hablar hoy. Vamos a hablar de estos cuatro puntos desde el principio. Hay cosas que pueden hacer para ayudar a consolidar el cumplimiento de su programa por parte de sus proveedores. Así que profundizaremos en eso. Lo siguiente que veremos es la diligencia inicial y la diligencia continua. A partir de ahí, hablaremos de las actualizaciones y los informes continuos, porque una cosa que realmente me molesta como individuo es que, si voy a hacer una prueba o me someten a una auditoría, quiero saber qué tengo que corregir y luego necesito saber cuánto tiempo tengo para corregirlo. Y hacer un seguimiento de ello y que me comuniquen cómo va progresando, e incluso saber que, si mi situación de riesgo mejora, me feliciten y me lo comuniquen. Y luego, las exposiciones y conferencias de proveedores para las empresas más maduras, que pueden celebrar exposiciones o conferencias internas y, a veces, externas para educar e informar sobre lo que está sucediendo dentro del programa y lo bien que lo están haciendo. Así que pasemos a la sección de contratos de este seminario web en particular. Tenéis acuerdos marco de servicios, tenéis acuerdos de socios comerciales y es posible que tengáis otros tipos de acuerdos que utilizáis. Pero en todos y cada uno de ellos, lo que me ha parecido eficaz y lo que aconsejo a otras empresas cuando mantengo conversaciones estratégicas con ellas es que realmente es necesario que haya una sección dentro de su contrato sobre el programa de gestión de riesgos de terceros. No tiene por qué ser extensa. Puede ser muy breve, como uno o dos párrafos y algunas expectativas sobre los tipos de evaluaciones que se van a realizar. Ahora bien, esto es completamente independiente de la cláusula de auditoría anual que suele figurar en los contratos. Y yo tenía muchos problemas con el hecho de que la organización contratante o el departamento de gestión de proveedores o de compras o de abastecimiento, quienquiera que estuviera a cargo, me pidiera que revisara las líneas rojas.

Brenda Ferraro: Y las líneas rojas se referían al entorno de seguridad o incluso a la gestión de riesgos de terceros o a la evaluación anual. Y llegué a un punto en el que pensé: «¿Sabes qué? Estoy dedicando demasiado tiempo a revisar plazos». No soy jurista. No tengo un título en Derecho. Y lo único que realmente quiero que entiendan es que deben cumplir con nuestro programa de riesgos de terceros. Si se produce un incidente, deben responder. Si solo se les está evaluando, deben completar la evaluación. Si tenemos alguna capacidad de excepción, la incluiré en el contrato. Pero quería que fuera «unredlinable». Ahora bien, «ininterpretable» no es una palabra que aparezca en el diccionario Webster. Por lo tanto, es algo que quizá me haya inventado o que la gente siempre ha utilizado, pero que no hemos oficializado. Así pues, actualicen esos contratos con una sección sobre TPRM. Otra cosa que resultó muy útil fue que, en algunos casos, añadimos un anexo sobre seguridad de la información al contrato. Así, para determinadas clases o categorías de proveedores, nos asegurábamos de que esa información se adjuntara al contrato y se correspondiera con nuestros controles clave aplicables a ese tipo de compromiso. En otros seminarios web hemos hablado de los controles clave. Básicamente, son los controles imprescindibles para hacer negocios con usted en ese tipo de servicio. Básicamente, se incluiría un breve resumen del control, lo que se espera y por qué. De esta manera, sabrían de antemano, incluso antes de realizar una evaluación o inmediatamente después de realizar una evaluación inicial, que esas eran las cosas en las que nos íbamos a centrar de manera muy específica. Ahora bien, desde el punto de vista de los indicadores clave de rendimiento y los indicadores clave de riesgo, esto resultó muy útil porque, al principio de la creación de un programa, a veces los departamentos no colaboran bien entre sí.

Brenda Ferraro: Es posible que haya miembros del departamento de compras que consideren que son responsables de ciertas cosas, miembros del departamento de riesgos de terceros que consideren que son responsables de ciertas cosas, miembros del departamento de cumplimiento que consideren que son responsables de ciertas cosas, y hasta que eso no se centralice, hay que poder demostrar a esas organizaciones y departamentos que esto no solo le ayuda a usted en la gestión de riesgos de terceros, sino que también les ayuda a ellos, porque piense en el tiempo que se ahorrará al no tener líneas rojas y tener que ir y venir negociando sobre si realmente hay que hacer este tipo de evaluación. Recientemente hubo un debate con un gran número de profesionales, unos 25, dedicados a la gestión de riesgos de terceros, y discutimos cuáles son las expectativas de la gestión de riesgos de terceros en cuanto a completar el contenido de la evaluación. ¿Hay que completar un cuestionario propio o un cuestionario estándar, o acudir a la plataforma de alguien y rellenar su cuestionario para una red? Y la respuesta es sí. Como empresa, no se pide a un auditor que venga a la tienda y diga: «Dame tu autoevaluación». Nunca hacen eso. Se hace una autoevaluación para estar preparado. Pero nunca se dice: «Aquí está mi autoevaluación. Gracias por auditarme». Ellos vendrán y te auditarán. Bueno, vamos a hacer eso con los proveedores de riesgos de terceros. Les pediremos la información y elaboraremos informes de inteligencia sobre amenazas para averiguar si su postura de seguridad es sólida. Así que esos KPI y KIS fueron muy útiles para decir: «Vale, hay empresas que cumplen con la normativa. Están cumpliendo con los requisitos para llevar a cabo el programa de gestión de riesgos de terceros que se estipula en su contrato y la finalización de los contratos se está acelerando rápidamente porque no estamos haciendo ese intercambio de información con correcciones». La otra cuestión es la falta de respuesta. Si tenemos un proveedor que no responde o que rechaza esa sección, eso es una señal de alerta. ¿Por qué no querrían participar en la gestión de riesgos de terceros para garantizar que el ecosistema de seguridad sea sólido? Estas son las cuestiones relacionadas con los contratos que le ayudarán. Si aún no lo está haciendo, yo pensaría en hacerlo rápidamente. Ahora bien, esto va a suponer una sobrecarga de información. Es una visión muy amplia de muchos pasos que puede dar.

Brenda Ferraro: Entonces, tal vez quieras tomar una foto con tu cámara. Recibirás esto en tu bandeja de entrada como una sesión grabada. Y a veces, creo que lo enviamos en formato PDF. Así que, a medida que avanzas en lo que estás haciendo con tu proveedor, estás construyendo una relación. Y es mejor hacerlo pronto y con frecuencia, porque cuando se produce un incidente, es importante tener una relación con ellos en la que estén dispuestos a proporcionarte información sobre lo que está pasando, pero también es importante sentar las bases para decirles que estás ahí para ayudarles a estar seguros y a tener una relación satisfactoria con tu empresa, y que estas son las medidas que has puesto en marcha para que estén bien informados o conozcan exactamente lo queestamos haciendo con usted, cuándo, por qué y con qué rapidez. Por lo tanto, es necesario que haya algún tipo de anuncio inicial que se envíe a su profesional sobre su programa a las partes interesadas clave internas. Y también querrá anunciar a sus proveedores, ya sean solo los críticos y los importantes o todos ellos, que tiene un programa y esto es lo que va a esperar de ellos. Esto prepara el terreno y siembra la semilla para que pueda decirles: «Esto es exactamente lo que pensamos hacer y puede que haya algunos ajustes, pero también necesitamos que lo cumplan». Y da a sus partes interesadas internas la conciencia de que se está comunicando con esos proveedores, porque a veces puede entrar en una situación delicada en la que los agentes de abastecimiento o la oficina de compras digan: «Bueno, bueno, un momento. Nosotros somos los únicos que hablamos con nuestros proveedores y ahora tú también estás hablando con ellos. ¿Qué les estás diciendo exactamente? ¿Qué información estás recopilando de ellos?». De este modo, se consigue una mejor estructura de comunicación con las partes interesadas internas y externas para la relación con los proveedores. Ahora, el programa de bienvenida. Esto es lo que ocurre cuando se contacta con un proveedor específicamente para realizar una evaluación. Por lo tanto, es conveniente establecer las expectativas del programa diciendo:«Bienvenido a nuestro programa. Estas son las razones por las que lo hacemos. Esto es lo que esperamos de usted. Esto es lo que va a pasar a continuación». Y, en muchos casos, si se trabaja a través de una plataforma, esta puede hacer este anuncio por usted.

Brenda Ferraro: No es necesario hacerlo fuera de la plataforma, pero si lo desea, puede hacerlo. Es solo un paso más de algo que debe controlar. Ahora bien, cuando les informe de los siguientes pasos, asegúrese de hablarles de lo que pueden esperar. Y, con suerte, se centrará en la información relevante que necesita recopilar. No lo haga si ya está utilizando un cuestionario estándar, pero está utilizando uno que sirve para todos, ya que ese cuestionario puede no ser relevante para cada contrato individual. Es posible que tenga un desarrollador de software y haya cosas específicas que deba preguntarle. Es posible que desee añadir preguntas sobre ransomware y también hay que señalar que habrá una sección sobre ransomware que deberán responder. A continuación, proporcióneles plazos y asegúrese de que los recordatorios por correo electrónico que ha incorporado en su sistema o plataforma también se los recuerden en ese plazo. Por lo general, recomiendo recordar a las personas al menos tres veces. Una vez y luego otra para decirles: «Hola, espero que hayas recibido esta notificación». La segunda para decir: «Solo queremos asegurarnos de que ha recibido esta notificación. Tiene un par de semanas, días o plazos adicionales, pero debe hacerlo lo antes posible». Básicamente, les informa de lo que sucederá si no responden, ya que no se les puede dar algo sin indicarles una fecha límite ni las consecuencias. Muchas veces hay empresas que utilizan un martillo blando y otras que utilizan un martillo duro. El duro es decir: «Dejaremos de pagarte». Y el blando es decir: «Tenemos la posibilidad de ampliar tu fecha si tienes algún problema para completarlo, ¿te gustaría que te llamáramos o prefieres escalarlo y adoptar ese enfoque internamente?». Ahora bien, la debida diligencia pertinente es realmente importante porque hay cansancio por todas partes, especialmente con el hecho de que hemos sufrido ataques de ransomware y la gente está enviando cuestionarios. Además, siguen teniendo que rellenar cuestionarios propios. Nadie ha descubierto cómo tomar los cuestionarios propios y los estándar y hacer que se crucen entre sí.

Brenda Ferraro: Hay empresas que están estudiando eso y, cuando empiezas a hacer ese mapeo, um prevalent es una de ellas. Hemos empezado a examinar algunos de los cuestionarios estándar y a asegurarnos de que los estamos mapeando y estableciendo relaciones. Pero hasta que haya una única forma de hacerlo, lo cual será muy difícil y aún no hemos encontrado la clave para resolverlo. Tenemos que asegurarnos de que somos amables con nuestros proveedores, porque lo que queremos es que trabajen en la corrección de los riesgos, no que nos digan constantemente y de forma continua que tienen una vulnerabilidad. Queremos que trabajen en la corrección. Por lo tanto, hay que establecer esa relación directa con el proveedor. A continuación, hablamos de los recordatorios por correo electrónico, asegurándonos de que hay advertencias, ya sean duras o suaves. Confirmar que lo han recibido. Y luego, si no responden, asegúrate de informar no solo de los buenos proveedores, sino también de los que no responden, porque entonces se debe señalar el riesgo de esos proveedores en particular. Ahora, al pasar al resumen inicial de riesgos, vas a empezar a realizar tu revisión. La información te será devuelta. Vas a ejecutar informes de inteligencia de hilos si aún no lo has hecho. Es de esperar que aplique la tolerancia al riesgo incorporada a esos riesgos. Lo que ocurre con esto es que, al examinar los riesgos que se aplican al compromiso, puede crear informes iniciales de resumen de riesgos. Y ese informe inicial de resumen de riesgos debe compartirse con el proveedor, diciéndole: «Gracias por cumplir con su obligación de proporcionarnos la información». Esto es lo que esperamos analizar en profundidad y, tan pronto como tengamos un informe de riesgos definitivo o negociemos con usted cuáles son las medidas para mitigar esos riesgos, podremos poner en marcha un mecanismo de seguimiento para asegurarnos de que se cierran fuera de la revisión anual, porque queremos saber cuándo se cierran en tiempo real. Amy, parece que tenemos una pregunta.

Amy Tweed: Sí, tenemos un par. Y hay algunas personas que se han unido recientemente. Así que si tienen alguna pregunta, por favor utilicen la función de preguntas y respuestas o el chat y estaremos encantados de responderles lo antes posible. Tenemos dos aquí. Brenda.

Brenda Ferraro: La primera es: ¿existe alguna plantilla estándar de cuestionario sobre ransomware que se pueda compartir? Sí, Prevalent tiene una que se utiliza en el sector sanitario y también en otros sectores, y contiene unas 11 preguntas. La semana pasada o la anterior celebramos un seminario web sobre ransomware en el que se enumeraban esas 11 preguntas. Así que hay una plantilla que se puede utilizar y que se puede conseguir accediendo al seminario web sobre ransomware y registrándose en él, o poniéndose en contacto con Amy Tweet en [email protected], que le proporcionará una copia.

Amy Tweed: Sí. Encantada de ayudar. Eh, una pregunta más. Pregunta que tenemos hasta ahora. ¿Cómo se aborda el tema cuando se trata con un proveedor que es una organización mucho más grande que nosotros? Por ejemplo, las Microsoft y Apple del mundo.

Brenda Ferraro: Sí. Existen lo que yo denomino corporaciones gigantes. Y, principalmente, cuando trabajaba con ellas, tomaba la información que obtenían y, en ocasiones, compartían cuestionarios de recopilación de información, otras veces completaban un marco de control prevalente, pero me aseguraba de que, como mínimo, completaran lo que yo denominaría un cuestionario de recopilación de información, que consta de menos de 10 a 20 preguntas, y luego, basándome en eso, revisaba su informe de la etapa 2 e identificaba los riesgos. Ahora son más previsores en su postura de seguridad. Por supuesto, estamos descubriendo que las gigantes pueden verse afectadas, como Microsoft, al igual que las medianas y pequeñas empresas. Por lo tanto, intenta que la información sea relevante y poder acceder a su sitio de SharePoint, extraer información e introducirla en tu sistema tanto como sea posible para que sea relevante para tu identificación de riesgos. Ahora, con las gigantes, nos estamos centrando realmente en la digitalización. Así que asegúrate de que dispones de programas de software que evalúen su gestión de defectos, sus pruebas de penetración y ese tipo de cosas. Y eso es lo que realmente quieres saber cuando se trata de los gigantes, ya que llevan mucho tiempo trabajando en su postura de seguridad. A veces impulsan nuestra postura de seguridad. Así que, confía en ellos, pero confía en ellos hasta cierto punto. Espero que esto le haya sido útil. Ahora, si pasamos al resumen final de riesgos y al resumen de riesgos actualizado, que son los dos últimos puntos de este tema en particular, normalice esos riesgos. Así que, cuando realicen su revisión e incorporen sus riesgos en una plataforma o utilicen una hoja de cálculo que les indique sus riesgos, lo cual espero que no tengan que hacer porque se convierte en una tarea muy manual. Pero si tienen una plataforma que lo hace de forma automatizada, asegúrense de que esa información también se vincule a su inteligencia sobre amenazas y también a una evaluación de validación, si la realizan. Esas evaluaciones in situ que solíamos hacer, um, quizá podamos hacerlas en el futuro, pero hasta entonces tenemos evaluaciones virtuales de validación que se pueden realizar para probar esos controles. Y entonces hay que normalizar esas tres palancas de riesgo. Um, también informe a sus partes interesadas de lo que está pasando. No les mantenga en la ignorancia interna de lo que está pasando con este proveedor en particular. Ofrézcales información. Envíeles copias de los informes resumidos de riesgos. Hágales saber cuál es la situación, porque, en realidad, su equipo de gestión de riesgos de terceros tiene una función de concienciación. Usted le dice a la empresa cuáles son las señales de alerta y ellos son responsables de descartar esas señales o de asegurarse de que sus proveedores cumplen con la corrección de riesgos, ya sea que recaiga en su equipo de gestión de riesgos de terceros o que ellos se hagan cargo de ello como representantes de cuentas. A continuación, realice un seguimiento continuo de esos riesgos. Tenemos que pasar de una evaluación anual de riesgos de terceros, que por supuesto es estupenda para el punto de contacto porque hay que hacerla, a una evaluación continua y, en esencia, en tiempo real. Tanto si ha encontrado algo que se ha señalado en el espacio de supervisión de amenazas de los proveedores como si ha encontrado algo sobre lo que acaba teniendo que preguntarles de forma reactiva, queremos que adopte una actitud proactiva, como en el caso del ransomware, los incidentes o algún tipo de respuesta al rescate. Así que comparta esa información sobre los riesgos, negocie y haga un seguimiento. Otra pregunta antes de pasar al último punto.

Amy Tweed: Sí, otra pregunta. ¿Cómo se trata con los proveedores cuyo umbral de gasto es demasiado bajo para que respondan al cuestionario o acepten adiciones al contrato de exposición?

Brenda Ferraro: Esa fue una situación muy interesante con la que me encontré y nos aseguramos de que las unidades de negocio entendieran que, si se trataba de una empresa pequeña, solo se les pediría información relevante que no fuera demasiado extensa. En primer lugar, y en segundo lugar, hay dos técnicas que se pueden utilizar. Una, asegurarse de pagar un poco más a ese proveedor para que responda a las preguntas. Y dos, si hay una empresa mediana o grande que dice: «Oye, si vas a hacernos una evaluación, esperamos 1000, 2000, sea cual sea la cantidad en dólares, ponlo en su contrato y luego págales por ello para que podamos obtener la información que necesitamos». Esa es la respuesta que yo daría a esos casos. Y luego, a partir del último, el informe resumido de riesgos actualizado, hacer un seguimiento de esos cambios y ajustar el informe resumido adecuadamente y luego enviarlo y decir: «Gracias por mejorar», o incluso enviarlo y decir: «Oye, hemos encontrado algo que es un problema o algo que debes investigar si quieres que sea más suave y empático, y necesitamos saber qué estás haciendo con respecto a este riesgo en particular». Y, de nuevo, informar a las partes interesadas internas y externas y escalar cualquier SLA incumplido. Por lo tanto, los objetivos de nivel de servicio, las metas de nivel de servicio y los acuerdos de nivel de servicio deben comunicarse a un comité directivo. Esto ayudará a establecer relaciones internas y con los proveedores. Muy bien, ahora pasemos al punto número tres, que será un 3A y un 3B. No he podido incluir todo en un solo apartado. Hay ciertos informes que respaldan el cumplimiento de sus proveedores. Uno de ellos es un informe de perfil de entidad. Esto le ayudará, como evaluador, a comprender realmente todos los diferentes flujos de trabajo, en qué punto del ciclo de vida se encuentran, cómo se aplican los riesgos a su evaluación comparativa, qué tareas se aplican al trabajo que se está generando, y los contratos y acuerdos se pueden almacenar y reflejar. Así que esto es como una ventanilla única para que usted comprenda en qué punto del ciclo de vida se encuentra su proveedor. La otra es la supervisión de amenazas. Y debería utilizarla no solo como medida secundaria, sino como algo que debería hacer con todos sus proveedores. Le proporciona información lo suficientemente clara como para compartirla con su proveedor. No se limite a decir: «Bien, hemos ejecutado un informe de amenazas sobre usted». Y entonces ellos dirán: «Vaya, no puede penetrar en nuestro sistema. No deberías hacer eso mientras estamos en funcionamiento». Y no es así. Toda la información es de dominio público. Así que, perdona. Ve, hazlo y dáselo. Deja que lo vean. Y luego, los informes financieros también son importantes. Voy a tomar un respiro y beber algo para mi voz. Y Amy, voy a dejar que me hagas una pregunta.

Amy Tweed: Sí. Espera un momento. Muy interesante. Vale. Eh... esta pregunta: ¿qué herramientas de automatización se recomiendan o son estándar en el sector para las evaluaciones de proveedores?

Brenda Ferraro: El nuestro es uno de ellos. Um, está la supervisión de amenazas de proveedores. Está nuestro sistema. Quizás te interese investigar el cifrado homomórfico. Es algo que ayuda a evitar algunos de los escenarios de cifrado. Hay muchos. Pero desde la perspectiva de una plataforma, echa un vistazo a nuestro sistema y utiliza los estándares tanto como sea posible. Voy a silenciar el micrófono y toser para no estropear los auriculares de todos.

Amy Tweed: No pasa nada. Tómate tu tiempo. Esta mañana tenía un nudo en la garganta.

Brenda Ferraro: Muy bien. Entonces, en lo que respecta a eso, básicamente se trata de asegurarse de que se utiliza una plataforma cuyo ciclo de vida se pueda rastrear y supervisar. Hay bibliotecas en vivo de cuestionarios y la nuestra las tiene. Así que le recomiendo encarecidamente que le eche un vistazo y solicite una demostración. No se trata de una llamada comercial. Se trata más bien de hablar sobre el proceso y la estrategia. Pero para responder a esa pregunta, estamos nosotros. Los informes financieros están cobrando mucha importancia, ya que es necesario ampliar la inteligencia sobre amenazas cibernéticas a la inteligencia empresarial y financiera, porque si una empresa no va bien financieramente, eso debería preocuparle para que pueda profundizar un poco más en si tal vez está llevando a cabo una fusión o adquisición, o si tiene una filial o una subsidiaria que necesita evaluar. Esto nos proporciona información sobre la cuenta de resultados, el crédito y el pasivo, y le permitirá estar en una situación más resistente si sabe que su situación financiera es sólida. Muy bien, pasemos al 3B. Hay actualizaciones de estado y informes continuos que también puede realizar mediante servicios gestionados o incluso internamente. Está el informe de entidad del que hablamos antes, pero este informe de entidad profundiza más en las vinculaciones de la evaluación contextual y, a continuación, ofrece una visión general de las puntuaciones de riesgo, identifica los ámbitos de riesgo clave y le ayuda a comprender los antecedentes y el flujo de trabajo de un servicio gestionado. Así, si no dispone de suficiente personal, se puede aumentar la plantilla. Los informes de riesgo contextual le ayudarán a comprender aquellos ámbitos de riesgo que son fluidos y vulnerables. Listas de cuartos y identificación de pruebas de los elementos que están disponibles para revisar y que los servicios gestionados los examinen. Cuando hablábamos de los gigantes, los servicios gestionados pueden ayudar a hacerlo. Así, pueden revisar la información de las grandes corporaciones, filtrarla y asegurarse de que se identifica el riesgo para usted. Y aquí voy a parar para responder a una pregunta. Parece que hay una y luego pasaremos a los otros dos tipos.

Amy Tweed: Sí. Y he visto que han llegado algunas personas más. Así que, por favor, hagan sus preguntas a lo largo de la charla. Um Bren estará encantado de responderlas. Esta pregunta: muchas herramientas de supervisión de amenazas muestran falsos positivos para empresas de servicios en la nube como Microsoft. ¿Cómo se filtran los datos significativos?

Brenda Ferraro: Esa es una pregunta muy buena, porque yo misma pensé lo mismo cuando empecé a analizar la información de inteligencia de hilos. Hace más de siete años, pensaba que era solo ruido. ¿Qué se supone que debo hacer con eso? Pues bien, hay formas dentro de una solución de inteligencia de amenazas que te permiten asegurarte de que estás identificando los umbrales de las cosas que son importantes para ti. Eso es lo primero. Lo segundo es que los falsos positivos son... Si compartes la inteligencia sobre amenazas con tus proveedores, ellos te dirán inmediatamente cuáles son falsos positivos y cuáles son precisos. Por eso digo que hay que hacerlo desde el principio. Infórmales de lo que dice su inteligencia sobre amenazas. Creo que ya he hablado de esto un par de veces, pero cuando ejecuté una inteligencia de amenazas en mi empresa, me llevó uno o dos meses, o quizá más, limpiar el informe de inteligencia de amenazas. Y si lo limpias con un tipo de inteligencia sobre amenazas, ya sea utilizando nuestro sistema de supervisión de amenazas de proveedores, o utilizando uh recorded future o um bitsite o security scorecard o risk recon, si lo limpias en uno, se limpiará en todos, porque se trata de inteligencia de código abierto que se muestra, se agrega y se te proporciona. Así que lo que veas en uno de ellos lo verás en los demás y, si encuentras algo que es un falso positivo, asegúrate de utilizar un sistema que te permita informar de que eso no es correcto o que, por cierto, lo hemos solucionado hace tres, cinco o diez años. Y luego, a medida que se limpia, es casi lo mismo que un informe de crédito para, ya sabes, obtener financiación para tu casa. Es posible que haya algunas cosas en tu informe de crédito que debas asegurarte de que sean correctas o tal vez tengas alguna actividad fraudulenta que debas limpiar. Así que es lo mismo. Muy bien, Amy, otra pregunta.

Amy Tweed: Sí, muy buenas preguntas. Gracias. Entonces, ¿qué opinas sobre las técnicas de opciones para obtener datos financieros de empresas privadas que no tienen la obligación de publicar sus datos de rendimiento financiero?

Brenda Ferraro: Entonces, el mayor problema de no tener que publicarlo es que algunos informes financieros contienen información basada, por supuesto, en datos publicados. Siempre puedes pedírselos y, si pueden proporcionártelos, no tengas miedo de pedirlos. No creo haber tenido nunca ningún problema con que no me facilitaran un informe financiero tras solicitarlo. Si se establecen relaciones y se les explican los motivos, y se les dice que es un requisito, supongo que se lo mostrarían, porque no creo haber tenido nunca ningún problema con que no me lo mostraran. Por lo tanto, si no se obtiene algo de un espacio público, hay que solicitarlo.

Amy Tweed: No, estamos bien. Sigue adelante.

Brenda Ferraro: Cuando veo tu bonita cara ahí arriba, pienso: «otra más».

Amy Tweed: Me interesó mucho. Solo quería quedarme.

Brenda Ferraro: Muy bien. Entonces, el informe de remediación de riesgos debería proporcionarle un resumen de todos los riesgos que se identificaron y asegurarse de que sea muy fácil de entender para sus terceros o proveedores. Hágalo de manera que, si les muestra las cosas que deben corregir, estupendo. Si le piden todos los riesgos, ya sean críticos, altos, medios, bajos o mitigados, y quieren saberlo, asegúrese de tener la capacidad de alternar y filtrar ese informe para que pueda mostrarles todo. Pero sea muy explícito sobre lo que quiere que trabajen. Bueno, básicamente hubo un momento, y no es algo habitual, pero hubo un momento en el que envié un informe de riesgos a un proveedor y ellos tenían más de 50, y me respondieron diciendo: «Brenda, no hay forma de que podamos atender su cuenta porque vamos a trabajar en mitigar todos estos riesgos. ¿Cuáles se aplican a lo que realmente quiere que trabaje o priorice?». Por eso es importante asegurarse de que sus riesgos tengan probabilidad e impacto, y que sean críticos y altos. Haga que trabajen en esos primero. Asegúrate de que se cumplan los críticos, ya que deben coincidir con tus controles clave, y luego haz que trabajen en los demás. Pero pon una fecha adecuada para que los completen. Podrían ser tres, seis, nueve meses dentro de un mes, ya sabes, todos esos diferentes tipos de plazos. Sí, Amy.

Amy Tweed: Pregunta. Muy bien. ¿Hay alguna forma fácil de determinar si una empresa tiene alguna reclamación o sentencia importante en su contra?

Brenda Ferraro: Sí. En la inteligencia sobre amenazas y en los informes comerciales y financieros hay secciones que le ayudarán si hay alguna sentencia. Puede consultar la sección comercial y, por supuesto, la sección financiera, ya que ambas le indicarán si hay sentencias, y por eso decimos que no utilice solo la inteligencia cibernética como fuente de inteligencia sobre amenazas. También debe consultar las secciones comerciales. Ahora, el informe de validación de controles, volviendo a esta diapositiva, es algo de lo que hablaba en relación con la validación y la realización de las visitas in situ. Hablaremos de un enfoque para hacerlo, pero la lista de controles está sujeta a revisión y pruebas, y utilizamos un sistema de alcance y luego nos aseguramos de que haya recomendaciones y vinculamos todos esos riesgos para normalizar el riesgo, y ese informe también debe proporcionarse a su proveedor. Así que, lo que realmente está haciendo es darles no solo una visión general de su madurez en materia de seguridad, sino también indicarles cuáles son los riesgos y qué deben corregir. Esto les hará más saludables en todos los ecosistemas industriales. Y usted está siendo empático y creando relaciones cuando dice: «De acuerdo, voy a ayudarle a estar seguro. No solo voy a ponerte a prueba y descubrir lo que estás haciendo mal. Quiero decirte qué puedes hacer para solucionar esas desconexiones y lagunas». Amy, ¿qué tenemos?

Amy Tweed: De acuerdo. Sí, tenemos dos. Entonces, si no tienen un informe o no cotizan en bolsa, ¿qué informe financiero debo solicitar?

Brenda Ferraro: Eh, tendré que volver a hablar contigo sobre eso. No creo haber solicitado nunca requisitos financieros específicos, pero estoy segura de que los hay. Así que, Amy, si puedes tomar nota y averiguar si esa persona no es anónima, si quiere que nos pongamos en contacto con ella, podemos darle una lista de cuáles son esas áreas financieras o si nuestra sección financiera puede darle también esas respuestas.

Amy Tweed: Suena bien. Sí. Ya está eliminado. Una pregunta más. Si un proveedor está dispuesto a proporcionar sus informes de auditoría de terceros, tipo dos, tipo dos o de alta confianza, etc., ¿es buena idea seguir realizando un análisis en profundidad con cuestionarios?

Brenda Ferraro: Sí. La razón por la que digo que sí es que el tipo dos del calcetín 2 puede ser compromiso por compromiso. Así que, en primer lugar, asegúrate de que ese compromiso es el adecuado. En segundo lugar, asegúrate de que estás buscando la certificación de alta confianza o cualquier otra certificación, ya que obtienen una marca positiva o una estrella dorada por realizar una evaluación. Sin embargo, es posible que algunas de las secciones de cada una de estas certificaciones y/o tipos de evaluación no tengan todo lo que necesitas, por ejemplo, si quieres empezar a hacer preguntas sobre ransomware. Es posible que High Trust no lo tenga, o si quieres empezar a preguntar sobre software, dispositivos móviles e información sobre desarrollo que necesitas recopilar. Así que asegúrate de comparar lo que recibes con lo que necesitas saber. Um, así que yo diría que hay un enfoque híbrido que puede utilizar o puede tener un enfoque de control clave en el que solo tenga entre 20 y 25 preguntas que quiera que respondan de todos modos. Y luego asegúrese de que todo lo que reciba de ellos sea aplicable a las respuestas que obtiene en su propio cuestionario. Así que no lo haga demasiado largo. No querrá que tengan que volver a pasar por todo el proceso de selección. Pero estoy de acuerdo en que también hay que hacer una evaluación. Ahora bien, las exposiciones y conferencias de proveedores eran una de mis cosas favoritas que podía hacer a medida que nuestro programa maduraba. Lo que hicimos fue implementar un sistema de identificación de protocolos de nivel de amenaza que pudimos ampliar a esos proveedores y decirles: «Esta es la información que les proporcionamos mensualmente o trimestralmente, y sería verde. Eh, esto es ámbar. Queremos que lo sepan porque vemos que hay una amenaza. Se está extendiendo por nuestro ecosistema o hay algo que es rojo o ámbar, que es el nivel de amenaza rojo, por lo que necesitamos que respondan a este ransomware. Así que utilizábamos eso y colaborábamos en el intercambio de información sobre incidentes, lo cual era muy útil porque no solo podíamos comunicarnos con ellos para decirles: «Oigan, estamos viendo que está sucediendo algo», sino también: «Esto es lo que estamos observando para solucionarlo», por lo que era muy proactivo. Celebrábamos una conferencia en la que se impartían cursos de certificación educativa sobre cómo gestionar los riesgos de terceros, y en la que participaban todas nuestras partes interesadas clave a nivel interno. Así que teníamos una sección de privacidad, una sesión sobre cumplimiento normativo. Contábamos con el departamento de compras, que se unía y hablaba de su programa, e invitábamos a todos nuestros terceros críticos y de alto nivel, así como a nuestros recursos internos, para aprender juntos cómo respondía, se desarrollaba, crecía o maduraba el programa. Esas son las cosas que resultan muy divertidas. En este momento, como pueden ver en esta diapositiva, lo estamos haciendo todo de forma virtual. Intenté que fuera una situación virtual, pero echo de menos ir y verlos a todos en persona, y espero que podamos hacerlo y construir relaciones en persona también en un futuro muy próximo. Ahora tenemos una pregunta de encuesta antes de entrar en las expectativas realistas. Así que vamos a ello.

Amy Tweed: Muy bien, vamos a empezar ahora mismo. La pregunta es: ¿utilizas un cuestionario de evaluación de caídas válido para todos los casos? Sí, no, no estoy seguro. Tómate un momento para responder. Oh, esto es interesante. Ahora mismo hay un poco de todo. Sé que es pronto. Estoy hablando con algunas personas, pero es interesante. En mis sesiones de estrategia, hay una gran variedad. Están utilizando enfoques híbridos. Están utilizando un enfoque único para todos. Están utilizando una prueba ATT, lo que me da mucho miedo. Pero hay enfoques muy, muy diferentes.

Brenda Ferraro: Es mejor tener un enfoque que no tener ninguno.

Amy Tweed: Es cierto. Es totalmente cierto. Nos daré unos cinco segundos más. Muy interactivo. Estoy muy contenta con todas las preguntas y mucha gente está participando en la encuesta. Así que es genial. Gracias a todos.

Brenda Ferraro: Mi diversión al hablar.

Amy Tweed: Sí. Muy bien. Voy a cerrar la encuesta. Compartiré los resultados aquí. De acuerdo. El 42 % dice que sí. El 35 % dice que no y el 14 % no está seguro.

Brenda Ferraro: De acuerdo. Muy bien. Entonces, para aquellos que utilizan un enfoque único para todos, supongo que la información que les proporcionaría es que, si se trata de un cuestionario breve o si su empresa pertenece a un sector en el que no es necesario formular muchas preguntas de control, lo entendería. Pero también les animaría a empezar a diversificarse y a pensar no solo en averiguar cuáles son los controles, sino en ser proactivos a la hora de averiguar si son adecuados y eficaces. Por eso he incluido aquí un área de habilitación adaptativa para ustedes. Puede tomar una foto de esto, pero ahí están los estándares de control clave que usted crea y la razón por la que quiere hacerlo es para asegurarse de que se ajustan a sus tipos de compromiso o a sus categorías de proveedores. Pregúnteles lo que necesita saber, nada más. Porque no me gusta que me hagan preguntas que no son relevantes para mí. Estoy seguro de que a ellos tampoco les gusta que les hagan preguntas que no son relevantes para ellos. Simplemente no es una buena técnica para establecer relaciones y es una pérdida de tiempo. Defina sus riesgos críticos y compárelos con los de referencia. Asegúrese de incorporarlos a su plataforma, si tiene una, y luego cree el modelo de clasificación de diligencia debida para aplicar la automatización adecuada a los riesgos que son aplicables a la diligencia debida, al perfil y al compromiso. Es como una cadena en la que hay que asegurarse de que hay una conexión y luego mantener informes trimestrales de rendimiento sobre los controles clave. Evalúalos porque cambian. El año pasado encontramos un cambio drástico y ahora nos dirigimos hacia la cadena de gestión de software, de modo que si hoy no tienes evaluaciones de desarrollo de software, móviles y dispositivos en tu cartera, más vale que las tengas mañana, porque ahí es donde nos estamos viendo afectados. Informe de esos estados incrementales. Por lo tanto, para adaptar su cultura internamente, asegúrese de que entiendan lo que está haciendo desde el principio. Digamos que tengo un programa y voy a realizar evaluaciones a sus proveedores, y estos son los que voy a empezar a evaluar y estos son los que voy a evaluar en una hoja de ruta.

Brenda Ferraro: Y luego, eh, por cierto, solo voy a compartir con ustedes los que son débiles o no responden. Y normalmente los envío a los jefes de departamento o a los vicepresidentes. Y luego digo: «Por cierto, voy a elaborar un informe holístico que compartiremos con todos y vamos a organizar una competición sana para ver quién es más seguro con sus proveedores». Y es muy interesante ver cómo reaccionan. Al principio dicen: «Dios mío, tengo un informe negativo. No me digas cuál es mi informe negativo». Yo les respondo: «No es un informe negativo. Es un informe de concienciación». Lo siguiente es: «Bien, esto es lo que necesito que hagan con ese informe de concienciación para que podamos dejarlo todo muy, muy limpio». Luego lo compartiremos con todos y, de repente, como los vicepresidentes suelen ser amigos entre sí o tienen una buena relación, dirán: «Dios mío, ¿por qué a esa persona le va mucho mejor que a mí? Ayúdame, Brenda. ¿Qué puedo hacer?». Y así, ese ciclo de cuatro meses hará que las cosas cambien de forma orgánica y que recibas ayuda con tu cultura. Amy, parece que hay una pregunta antes de que pase a la recopilación de datos relevantes.

Amy Tweed: Sí. Bonito y sencillo. ¿Son muchas 80 preguntas?

Brenda Ferraro: No. 1500 preguntas son muchas. Así que no, 80 preguntas no son muchas. Espero que el punto de referencia o la prueba de fuego sea no superar las 80 si es posible, pero no hay que fijarse en el número de preguntas. Hay que fijarse en lo que se está recopilando contextualmente. Así que, si llegas a 80 y piensas: «Vale, tenemos que añadir otra», entonces quizá quieras mirar esas 80 y preguntarte: «¿Es esta realmente tan importante?». ¿Podemos añadir esta en su lugar o podemos reformular algo que sea más eficaz para recopilar información en lugar de un escenario binario de sí o no? Eso es lo que yo haría. He utilizado 75 como mi número de referencia, pero he tenido cuestionarios que han llegado a 145, 125, 350, y realmente depende del compromiso y de lo que estén haciendo por ti. Así que, si te refieres a un cuestionario inicial solo para comprender cuál es el riesgo inherente y el riesgo residual de mis controles clave, entonces no, 80 no es demasiado.

Brenda Ferraro: Y si estás profundizando en situaciones de compromiso más amplias, no temas ir más allá. Solo pregunta lo que sea relevante. Y eso me lleva a lo que iba a comentar, que realmente no existe una evaluación única que sirva para todos. Hay una evaluación que te dará información, pero cuando se trata de la debida diligencia, a menos que seas una empresa pequeña que solo hace un tipo de cosa, que solo tiene un par de proveedores, entonces sí, puedo entender que se utilice un solo tipo de evaluación. Pero en cuanto llegas a 25 o más proveedores, entonces realmente tienes que empezar a clasificarlos si son diferentes tipos de compromisos. Pero haz que la recopilación de datos sea fácil y divertida, reutiliza los datos que puedas reutilizar y utiliza cuestionarios estándar que ya se hayan completado. Forma parte de una red. Y, de nuevo, el tiempo de respuesta dependerá de los requisitos de diligencia debida de la evaluación. Si les pides que incluyan documentos probatorios. Si les pide que respondan a más de 80 preguntas, tiene que tener muy claro que, cuando les envíe cosas, tienen que responder. Es posible que tengan que compartirlo con otras personas para facilitar el reparto de la responsabilidad o de responder y contestar. Y realmente espero que la mayoría de la gente empiece a entrar en un entorno de intercambio o de red que reutilice la información basándose en la aprobación para obtenerla. La seguridad que rodea a eso también es muy importante. Muy bien, pregunta final. Los retos de los puntos de contacto son lo siguiente.

Amy Tweed: Muy bien, aquí estoy. De acuerdo, voy a empezar ahora. ¿Tienes la información de contacto de todos tus proveedores? Esto es muy oportuno, porque yo tenía la misma curiosidad. Así que, si puedes, tómate un momento para responder a la encuesta. Una vez más, la respuesta es abrumadoramente unánime: está en todas partes. De acuerdo, esto ha sido una espina clavada para mí durante mucho, mucho tiempo. Estoy deseando saber más. Bien, voy a terminar en cinco, cuatro, tres, dos, uno. Algunas respuestas de última hora. Bien, compartiendo los resultados. 52 % sí, 40 % no, 9 % no estoy seguro. Disculpen. Yo también tengo ese nudo en la garganta.

Brenda Ferraro: Muy bien. Bueno, perfecto.

Brenda Ferraro: Entonces, los que ya lo están haciendo lo hacen revisando anualmente esos puntos de contacto o asegurándose de que tienen algún tipo de solución para ello. Enhorabuena. Para aquellos que todavía tienen dificultades, hay un par de formas de abordar esto. Utilicen sus informes de inteligencia de amenazas, ya que hay algunas formas de averiguar exactamente a quién dirigirse en algunos de esos informes, o comiencen con sus cuentas por pagar o sus listas de adquisiciones o abastecimiento. Otra cosa que se puede hacer es llevar a cabo una campaña interna o externa mediante un cuestionario de recopilación de información de menos de 12 o 15 preguntas para saber quién es el proveedor, quién es el punto de contacto interno, quién es el punto de contacto externo del proveedor, qué hacen por nosotros, si se encarga de la publicación, el procesamiento o el tratamiento de datos sensibles, si trabaja en diferentes regiones, ese tipo de información muy, muy relevante. Por lo tanto, no tema ponerse en contacto con sus proveedores y preguntarles qué hacen y quién es su contacto interno. Si no tiene ninguna forma de obtener una lista internamente de sus agentes de compras o de abastecimiento, y luego, si obtiene una lista de compras y las cosas rebotan, envíesela de vuelta y hágales saber que el correo electrónico de esta persona de contacto ya no es válido. Necesito que encuentres otro. Para mí, o también puedes utilizar la función de búsqueda de contactos de algunas plataformas. En Prevalent tenemos una función de búsqueda de contactos que puedes utilizar para, al menos, obtener un nombre de la organización en la que trabaja actualmente y ellos tienen la capacidad de reenviarle el cuestionario de evaluación. Así se actualizará quién es esa persona y, como por arte de magia, sabrás exactamente con quién tienes que hablar al hacer esa búsqueda. Te dará un par de nombres o uno de los nombres importantes a los que dirigirte. Podría ser un CISO, podría ser una persona de la organización de compras, pero tenemos una forma de proporcionarte esa información. Y luego utiliza esta campaña para reforzar tus registros.

Brenda Ferraro: Entonces, si usted no es el responsable principal del registro en el equipo de TPRM, pero lo es en el departamento de compras, eso no significa que no sea igual de importante para usted disponer de esta información, especialmente cuando se producen incidentes. Ese punto de contacto es importante. Por lo tanto, conviértalo en un riesgo. Si no tienes un punto de contacto, entonces existe un riesgo para ese proveedor y para la resiliencia de tu empresa, y debes remediarlo. Es muy, muy importante. Por lo tanto, si estás interesado en conocer las capacidades de las campañas internas y externas, puedes ponerte en contacto con Amy en info prevalent.net y te contaremos más sobre el éxito que han tenido otras empresas a las que hemos ayudado en el pasado. Siguiente pregunta de la encuesta.

Amy Tweed: Muy bien, aquí estoy. De acuerdo. Encuesta. Veo que la pregunta está aquí. ¿Crees que la parte principal de tu trabajo consiste en perseguir a los proveedores para que respondan? Suena muy divertido. Sí. No. No estoy seguro.

Brenda Ferraro: Entonces, yo llamo a esto «administrar»: ¿lo hemos lanzado? ¿Lo hemos recuperado? ¿Están respondiendo? ¿Por qué no responden? ¿Cómo conseguimos que nos den una respuesta? ¿Por qué están, ya sabes, todas esas cosas diferentes? Y te di algunas técnicas sobre cómo construir la relación desde el principio y hacer que los recordatorios por correo electrónico te ayuden con una capacidad de captación automatizada, si utilizas una plataforma como la nuestra. Pero dejaremos que tú cierres este tema.

Amy Tweed: Sí, unos tres segundos más. Última respuesta. Vale. Compartiendo resultados. 38 % sí, 53 % no, 9 % no estoy seguro. Supongo que con todo el cansancio que ya estamos experimentando, esto es solo una cosa menos.

Brenda Ferraro: Bueno, podría significar que ese 53 % está utilizando una plataforma automatizada o que han descubierto cómo migrar su programa de la recaudación a la corrección de riesgos. Así que, con suerte, su mitigación de riesgos también es tan coherente como la recopilación de información. Por lo tanto, lo único que recomendaría es que, si estás cansado y ya no quieres hacerlo tú mismo, existen servicios de evaluación de riesgos que puedes contratar o implementar automáticamente en tu plataforma. Desde la recopilación hasta el análisis, pasando por los informes de riesgos de los que hemos hablado antes, hasta la validación de las visitas in situ que estamos realizando virtualmente en la actualidad y, a continuación, el seguimiento de la corrección. Por lo tanto, hay cosas que se pueden implementar, tanto si utiliza una perspectiva de centro de mando de operaciones de riesgo en servicios gestionados, que nuestra empresa y otras tienen, como si las utiliza como refuerzo de personal. Y también utilizándolos como refuerzo de personal. Incluso si solo está creando su programa y quiere hacer muchas cosas muy rápidamente al principio de la creación, eso es algo en lo que puede participar y luego se puede devolver a su equipo para que usted no tenga que ocuparse de la administración y asegurarse de que tiene lo que necesita. Así que todo esto es para que lo examine detenidamente en otro momento. Pero hay aumentos de personal que pueden ayudar y servicios gestionados que pueden ayudar a integrar y configurar tu plataforma para que haga cosas automáticamente por ti. Muy bien, siguiente pregunta de la encuesta.

Amy Tweed: Muy bien, vamos a empezar ahora mismo. ¿Su programa de gestión de riesgos de terceros utiliza la inteligencia sobre amenazas de proveedores para algo más que la puntuación de riesgos? Y, al igual que antes, sí, no, no estoy seguro. Tómese un momento para responder. Una vez más, gracias a todos por sus preguntas. Sigan haciéndolas. Les recuerdo que esto se está grabando, así que si tienen que ausentarse, se lo enviaremos a su bandeja de entrada a primera hora de mañana, para que puedan verlo cuando les venga bien. Bien, daremos unos segundos más. Esta hora está pasando volando. Se nota.

Brenda Ferraro: Sé que solo quedan unos nueve o cinco minutos, así que vamos a acelerar el resto.

Amy Tweed: Muy bien, voy a terminar esto en unos tres segundos. De acuerdo, fin de la encuesta. Compartiendo resultados. Sí. 46 % no, 44 % no estoy seguro, 30 %. De acuerdo.

Brenda Ferraro: Muy bien. En cuanto a la información de seguridad de sus proveedores, ya hemos hablado de ello anteriormente. Asegúrese de utilizar la ciberseguridad y de ponerla en práctica desde el principio. Si puede hacerla llegar a su departamento de compras y aprovisionamiento y que ellos la compartan con los proveedores incluso antes de que sean seleccionados, eso será de gran ayuda, ya que así sabrá qué tipo de trabajo le espera en lo que respecta a la evaluación en profundidad. La ciberseguridad es importante para todos los que manejan datos, por supuesto, pero también para aquellos tipos de empresas que se dedican a otros tipos de negocios y necesitan información financiera. Ya hemos hablado de esto, así que asegúrate de utilizar estos tres componentes para tu inteligencia de amenazas y de que estén normalizados. Queremos normalizar el riesgo para que no haya duplicación del riesgo, mostrándoles que son más... que lo que realmente son o que son mayores de lo que realmente son. Así que esas son las cosas que mencionaría al respecto. Y yo era muy firme en no utilizar la inteligencia sobre amenazas desde el principio. Y entonces, finalmente, vi la luz y me di cuenta de lo útil que puede ser para establecer prioridades. Puede ayudar a saber cuál es su postura. Puede proporcionarles información sobre lo que deben mejorar incluso antes de convertirse en proveedores. Y es básicamente un sistema de apoyo comunitario que se puede utilizar, además de normalizarlo con el factor de confianza de las respuestas que se obtienen de los cuestionarios y/o informes o certificaciones. Muy bien, así que, aunque hemos ido rápido hasta el final, veamos qué es lo que más te ha gustado antes de recordarte cuáles son.

Amy Tweed: Sí. Esta es una encuesta en la que puedes elegir tantas respuestas como quieras. Todos los temas que hemos tratado están aquí. Así que dinos qué te ha parecido más valioso, qué es lo que más te ha gustado. Si no te ha gustado nada, también puedes indicarlo. Queremos saberlo. Queremos que estos contenidos sean educativos para ti. Así que, por favor, dinos qué es lo que mejor te funciona.

Brenda Ferraro: Me gusta esa. No me gustó nada de esto. Eso me obligaría a ir y averiguar si necesito buscar otro trabajo. Queremos informar de esto a su dirección. Esto no estuvo bien.

Amy Tweed: Me gustaría saber más información sobre el porqué, pero...

Brenda Ferraro: pero todo es anónimo. No es como

Amy Tweed: Correcto. No vamos a ir a por ti ahora. No te preocupes. Solo estamos... Vale, terminaremos en unos segundos. Después habrá otra encuesta. Um, creo que al final habrá una ronda de preguntas y respuestas. Um, si tienes algún proyecto de gestión de riesgos de terceros en marcha, ¿estás trabajando en él? Nos encantaría saberlo. Voy a terminar esta encuesta ahora mismo. Muchas gracias a todos. Vale. ¿Voy a tener moretones? Tengo un 4 % de moretones. No pasa nada. Siempre hay margen de mejora. Genial. Bueno, esto me ayudará a comprender mejor, a medida que avance con las presentaciones, los temas que más importan a la gente. Me alegro de que le haya resultado útil. ¿Quiere mostrar la siguiente pregunta o la ventana emergente?

Amy Tweed: Sí, creo que nosotros también tenemos una pregunta. La voy a mostrar mientras lo compruebo. Como he mencionado, ¿están pensando en ampliar o establecer un programa de gestión de riesgos de terceros en 2021? Si es así, háganoslo saber. Estamos aquí para ayudarles. Amanda Fina, mi compañera, y yo nos pondremos en contacto con usted. Podemos charlar con usted y ponerle en contacto con un especialista en productos si le parece bien. Así que háganoslo saber. Voy a comprobar la pregunta. Oh, solo dar las gracias. Tenemos que darle las gracias.

Brenda Ferraro: Es un parche para mi. Las cosas más importantes que hay que recordar hoy son: comunicarse, construir una relación, ser empático con su proveedor, utilizar la habilitación adaptativa en los esfuerzos por cambiar su cultura y conseguir que esos proveedores respondan. Los puntos de contacto son imprescindibles. Así que utilice la función de búsqueda de contactos de proveedores. Vaya a su departamento de compras, utilice su agente de abastecimiento, ¿a quién le paga? Y luego simplemente comience las campañas. Esa es la mejor manera de proceder si no encuentra nada. Los servicios gestionados están aquí para ayudarle a empezar y/o mejorar su programa, de modo que pueda liberarse del seguimiento, la persecución y la fatiga administrativa, así como de las plataformas. Haga todo lo que pueda en una plataforma en lugar de en una hoja de cálculo. Y luego , la inteligencia de riesgo de los proveedores. No la utilice solo para validar. Úsela en todo su programa. Ayuda a priorizar en multitud de áreas. Por último, si alguna vez quieres ver una imagen de todo lo que hacemos, esta es la adecuada. Somos inteligencia desde todos los ángulos y Prevalent está aquí para ayudarte. Estamos aquí para ayudar por muchas razones diferentes, pero hoy hemos hablado de cómo completar esas evaluaciones de riesgo y de cómo responder a esos proveedores y, si responden de determinada manera, del enfoque híbrido que podemos ayudarte a adoptar. Somos un socio de confianza y estamos en el cuadrante mágico como líderes. Por lo tanto, estamos muy contentos de poder ayudarle. Y aquí pondré nuestra información en [email protected] para que se ponga en contacto con Amy. Y creo que hemos llegado al final, si quiere hacer una última pregunta.

Amy Tweed: A menos que eso fuera solo el agradecimiento. Sí, eso fue todo. Entonces, eh... No hay más preguntas, pero eh... sí, ya hemos superado el tiempo previsto en un minuto. Así que les agradecemos a todos por participar. Les recuerdo que esto se está grabando, por lo que se les enviará la grabación. No duden en ponerse en contacto conmigo, Amanda. Estamos aquí para ayudarles.

Brenda Ferraro: Gracias por dedicarnos su tiempo. Que tenga un buen día.

Amy Tweed: Gracias, Brenda. Que tengas un buen día. Gracias a todos. Adiós. Adiós. Adiós.