Gestión de riesgos de terceros 101: Fundamentos para crear un programa TPRM de éxito

Anfitrión: Hola y bienvenidos. Es fantástico ver que todos empiezan a unirse. Anfitrión: Les voy a dar un minuto mientras esperamos a que todos se acomoden y se conecten. Anfitrión: Pero antes de eso, ¿qué les ha traído al seminario web de hoy? Anfitrión: Parece que tenemos un pequeño problema con el audio de Ashley esta mañana. Anfitrión: Veremos si podemos solucionarlo. Anfitrión: Mientras tanto, vamos a lanzar una encuesta a medida que la gente se vaya uniendo esta mañana. Anfitrión: Vamos a hacerlo. Anfitrión: Ashley, si me oyes, ¿podrías lanzar la encuesta? Anfitrión: Si no, veré si puedo hacerlo yo mismo. Anfitrión: Ya está. Anfitrión: A ver si Ashley puede volver.

Ashley: Hola. Anfitrión: Ahí lo tienes. Muy bien. Creo que estás listo. ¿Estás donde lo dejaste? Ashley: Sí, Scott. Ashley: Um, también nos acompaña nuestro vicepresidente de marketing de productos, Scott Lang. Ashley: Y, eh, solo un recordatorio, se está grabando y enviaremos la grabación junto con las diapositivas de la presentación poco después del seminario web. Ashley: Eh, ahora mismo todos tienen el micrófono silenciado, pero les animamos a participar. Ashley: Así que, por favor, no duden en escribir cualquier pregunta en el cuadro de preguntas y respuestas. Ashley: Eh, hoy Bob repasará los fundamentos del TPRM y establecerá un marco de TPRM. Ashley: Así que, Bob, te cedo la palabra.

Bob: De acuerdo. Gracias, Ashley. Bob: Eh, bienvenidos a todos. Bob: Eh, hoy vamos a hablar de, eh, la primera parte de una serie de cuatro partes, eh, que yo llamo «Creación de un programa sostenible de gestión de riesgos de terceros». Bob: Ahora, a medida que avancemos, si tienen alguna pregunta, eh, utilicen la función de chat, eh, estaré encantado de responder a sus preguntas sobre la marcha y, eh, empecemos. Bob: Hoy nos centraremos en establecer un marco de TPRM. Bob: Hablaremos del modelo de madurez y del papel de la resiliencia operativa en la gestión de riesgos de la cadena de suministro. Bob: Y la razón por la que lo llamo cadena de suministro es porque realmente estamos analizando todos los proveedores que su organización puede estar utilizando, no solo los terceros, sino también sus terceros, los subcontratistas, para comprender realmente el panorama de riesgos y lo que hay que abordar. Bob: Entonces, ¿qué tienen en común los siguientes acontecimientos recientes? Bob: Ya sabes, tuvimos la situación en la que un barco se quedó atascado en el canal de Suez y ningún otro barco podía transitar por el canal. Bob: Hemos tenido los problemas del puerto de California con la descarga de barcos. Bob: Ya sabes, en 2021, tuvimos una tormenta invernal en Texas que dejó sin electricidad a la red eléctrica. Bob: Hemos tenido Solar Winds, CASA, Log 4J, Octa... La lista de problemas de software de terceros es interminable. Bob: Y hay otros muchos problemas que podría citar. Bob: Podría quedarme aquí sentado hablando de ellos todo el día. Bob: Pero la cuestión es que todos ellos, antes de que ocurrieran, se consideraban acontecimientos imprevistos. Bob: Y cuando utilizamos el término «cisnes negros», nos referimos a cosas que rara vez esperamos que sucedan, pero que tienen una pequeña probabilidad de ocurrir. Bob: Y lo que hemos descubierto con nuestras cadenas de suministro es que lo que antes considerábamos cisnes negros, en realidad están ocurriendo con una frecuencia demasiado habitual y que, en ese proceso, tenemos que ajustar nuestra forma de pensar. Bob: Los cisnes negros son la nueva norma. Bob: Lo aprendimos con la COVID. Bob: Lo aprendimos con los impactos que todavía estamos sufriendo en las cadenas de suministro por las interrupciones de acontecimientos que no podíamos prever fácilmente. Bob: Como la situación en Ucrania y el cierre temporal de China debido a todos los picos de COVID que tuvieron.

Bob: Así que tenemos que adaptarnos a este nuevo mundo en el que lo que antes se consideraba anormal se ha convertido, de hecho, en la nueva normalidad. Bob: Hoy vamos a hablar de cómo empezar a establecer un programa de gestión de riesgos de terceros. Bob: Vamos a hablar del proceso de gestión de riesgos de terceros y de la importancia de saber por dónde empezar. Bob: La necesidad de adoptar un enfoque proactivo en la gestión del riesgo de la cadena de suministro con el objetivo de garantizar el establecimiento de la resiliencia operativa. Bob: ¿Quiénes son sus terceros clave? Bob: ¿Cuáles considera críticos? Bob: ¿Y cómo se ha asegurado de que tengan la capacidad suficiente para respaldar sus iniciativas y funciones empresariales críticas? Bob: Vamos a adoptar una visión holística del riesgo operativo en lo que se refiere a la gestión de riesgos de terceros. Bob: No solo nos centraremos en el riesgo cibernético o la continuidad del negocio, sino que también analizaremos el riesgo financiero, el riesgo operativo, el riesgo de concentración geográfica y de desastres naturales, el riesgo de cumplimiento y, por último, el riesgo medioambiental, social y de gobernanza. Bob: Todos estos factores son importantes, y cualquiera de ellos podría dar lugar a una situación en la que su tercero no pudiera prestarle un servicio crítico. Bob: Vamos a explorar el marco y el ciclo de vida de la gestión de riesgos de terceros, hablando de las cinco fases de ese proceso, desde la planificación y el descubrimiento hasta la evaluación de riesgos, el papel fundamental de la supervisión continua y la corrección de los riesgos de terceros, que es una de las áreas que, lamentablemente, tiende a descuidarse. Bob: Cuando hacemos una evaluación de riesgos, el objetivo no es completar la evaluación. Bob: El objetivo es remediar los problemas identificados como parte de la evaluación de riesgos, ya que solo a través de esa remediación se reduce realmente el riesgo y, finalmente, se termina con los terceros. Bob: Después de hacer eso, hablaremos sobre el modelo de madurez de la gestión de riesgos de terceros, la importancia de comprender en qué punto del camino se encuentra, desde dónde parte y cuál es un objetivo de madurez razonable para su programa. Bob: Entonces, comenzaré diciendo que, en una escala del uno al cinco, no se trata de llegar al cinco.

Bob: También hablaremos sobre cómo crear consenso en la organización y la cadena de suministro, y sobre la importancia de fomentar las relaciones con los terceros con los que trabajas. Bob: Y también hablaremos sobre la importancia de las distintas partes interesadas con las que debes trabajar al crear tu programa de gestión de riesgos de terceros. Bob: Cuando hablamos de gestión de riesgos de terceros, nos referimos al camino que estás recorriendo. Bob: Y cada vez que cuentas una historia como esta, tienes que saber por dónde empezar. Bob: Tienes que saber adónde vas y tienes que tener un medio para comunicárselo a las distintas partes interesadas con las que trabajas. Bob: Así que cuando informe a su dirección, cuando informe a la junta directiva y les ayude a comprender por qué deben financiar un programa de gestión de riesgos de terceros. Bob: La mejor manera de hacerlo es contar la historia. Bob: Aquí es donde empezamos. Bob: Aquí es donde queremos llegar y esto es lo que se necesita para hacerlo. Bob: Por lo tanto, mientras cuenta su historia, también tendrá que respaldarla con datos. Bob: Y a medida que avancemos en este curso y lleguemos a otros módulos, hablaremos mucho sobre los indicadores clave de rendimiento y de riesgo. Bob: Y cuando piense en respaldar su historia con datos, es muy importante comprender que esos datos muestran tendencias. Bob: Cada vez que pienses en los datos que estás utilizando para respaldar tu historia y en hacia dónde te diriges, debes preguntarte si te dicen algo sobre tu tendencia. Bob: La primera pregunta que siempre debes hacerte sobre los datos es: ¿qué me están diciendo? Bob: ¿Me están indicando una tendencia sobre la que debo hacer algo? Bob: Pero hablaremos más sobre eso en un curso futuro. Bob: Así que recuerda: conoce tu punto de partida y cómo puedes comunicárselo a tus partes interesadas para que confíen en que estás creando un programa sostenible. Bob: Gestionar de forma proactiva los riesgos de la cadena de suministro. Bob: Lo que realmente intentamos hacer es asegurarnos de que incorporamos suficiente resiliencia operativa en la forma en que gestionamos a nuestros terceros, de modo que nuestras funciones empresariales críticas puedan seguir prestando servicio a nuestros clientes.

Bob: Y como parte de eso, es necesario comprender de forma continua dónde se producen los riesgos. Bob: Hace un momento he hablado un poco sobre los acontecimientos imprevistos. Bob: Bueno, a medida que se vuelven más comunes y tenemos que lidiar con ellos, debemos asegurarnos de que contamos con las capacidades necesarias, no solo dentro de nuestra organización, sino también con nuestros socios comerciales clave. Bob: Que puedan seguir prestando los servicios que esperamos. Bob: Por eso no puedo dejar de insistir en la importancia del término «resiliencia operativa». Bob: Es clave para tener éxito en la prestación de servicios a los clientes. Bob: De este modo, podremos prevenir las interrupciones. Bob: Seremos capaces de detectar rápidamente cuándo se ha producido un evento y, del mismo modo, podremos recuperarnos rápidamente para seguir prestando esos servicios a nuestros clientes. Bob: Ahora bien, una de las cosas que, en mi opinión, no se valora lo suficiente es el hecho de que más de la mitad de los incidentes de seguridad que tenemos en nuestras organizaciones son el resultado de una vulneración que se produce en un tercero. Bob: Lo que se reconoce aún menos es que, a menudo, ese compromiso en el tercero comenzó en uno de sus subcontratistas, uno de sus cuartos o quintos, como los llamamos. Bob: Por lo tanto, comprender los controles y los procesos que utilizan nuestros terceros y su supervisión de sus subcontratistas, así como su clara divulgación de que están utilizando contratistas, en particular para prestar servicios críticos, se convierte en un componente clave para gestionar el riesgo operativo y garantizar la resiliencia. Bob: Así que hay diferentes tipos de riesgos operativos y a todo el mundo le gusta centrarse en los cibernéticos, le gusta centrarse en la recuperación ante desastres y la continuidad del negocio, pero cualquiera de estos riesgos podría afectar definitivamente a su negocio. Bob: negocios. Bob: Así que tenemos el riesgo financiero. Bob: ¿La empresa, el tercero con el que trabaja, sigue operando de forma sólida y rentable? Bob: ¿Ha experimentado un cambio drástico en sus finanzas, lo que podría indicar que tiene problemas y que podría ir a la quiebra? Bob: Y en el caso de aquellos terceros que son fundamentales para su negocio, ¿tiene un plan de contingencia en caso de que se vean afectados negativamente desde el punto de vista financiero y puedan ir a la quiebra? Bob: Desde el punto de vista operativo, es importante tener en cuenta la resiliencia.

Bob: ¿Tienen la capacidad de recuperarse rápidamente para garantizar un servicio ininterrumpido? Bob: ¿Están gestionando sus recursos de forma eficaz? Bob: ¿Tienen altas tasas de rotación de personal que puedan afectar a su capacidad operativa? Bob: ¿Se ha visto afectada la empresa por una adquisición o una desinversión y eso ha provocado una pérdida de enfoque en la prestación de servicios? Bob: ¿Tienen suficiente capacidad de infraestructura para seguir prestando servicios? Bob: Pasando a otro tema, es importante, especialmente en el mundo actual, comprender los riesgos geopolíticos relacionados con la ubicación y la concentración a los que podemos enfrentarnos. Bob: Por ejemplo, una cosa que han descubierto las empresas es que gran parte de la actividad de desarrollo de software subcontratada se lleva a cabo en Ucrania y Rusia, que pueden haberse visto directamente afectadas por los acontecimientos que están teniendo lugar actualmente en esa parte del mundo. Bob: ¿Ha localizado esto, es decir, ha comprendido la ubicación de los servicios que le presta un tercero? Bob: Es posible que tengan su sede corporativa en Estados Unidos, pero si ese servicio se presta, por ejemplo, en Turquía hoy en día y se han visto afectados por un terremoto, eso puede haber causado una interrupción en los servicios que le prestan. Bob: Por lo tanto, es muy importante comprender desde dónde se presta el servicio en el que usted confía, no dónde se encuentra la empresa con la que ha contratado, sino desde dónde se presta ese servicio. Bob: Y, por último, sobre ese tema, comprender dónde puede tener riesgo de concentración y que el riesgo de concentración puede adoptar varias formas. Bob: Puede darse el caso de que varias de sus actividades y unidades de negocio dependan de un mismo tercero para la prestación de servicios y que se produzca una interrupción en dicho servicio. Bob: En un sentido más amplio, por ejemplo, el sector bancario depende de determinados actores clave en ciertas partes del mundo y, si se produjera un impacto en esas empresas o en esa ubicación física, podría tener un efecto dominó en todo el sector bancario desde el punto de vista cibernético. Bob: Los ataques son cada vez más complicados y sofisticados, lo que denominamos amenazas persistentes avanzadas y ataques contra organizaciones.

Bob: Estamos viendo que incluso las organizaciones medianas y pequeñas son víctimas de ataques criminales organizados o incluso de ataques de estados nacionales. Bob: Por lo tanto, es aún más importante garantizar que se utilicen medidas de seguridad adecuadas en lo que respecta a la ciberseguridad y la frecuencia con la que se producen nuevos ataques. Bob: Y, en particular, en este sentido, voy a hablar del software. Bob: Cuando se utiliza software de terceros, es necesario saber qué software de terceros se está utilizando en la organización. Bob: Así que, al igual que hablaremos en breve sobre la creación de un inventario de quiénes son sus terceros, es igualmente importante comprender el inventario del software de terceros que se utiliza en su organización, porque, como hemos visto con Solar Winds, CASA y Log 4J, esas cosas tienen un impacto real en su organización. Bob: Y cuando hay un problema con ese software, la gente de su empresa tiene que dejar todo lo que está haciendo, pasar por un simulacro de incendio y averiguar si está utilizando alguno de esos programas. Bob: A continuación, tenemos el ESG y los temas medioambientales y sociales, que cada día cobran más importancia. Bob: Creo que todo el mundo entiende el enfoque en el medio ambiente. Bob: Por lo tanto, las empresas deben ser conscientes de que las personas con las que trabajan y las prácticas medioambientales de esos terceros que utilizan se están llevando a cabo de manera adecuada y responsable. Bob: Desde una perspectiva social, es importante saber que las empresas con las que trabajas tratan a sus trabajadores de forma justa, que no se aprovechan del trabajo infantil y que tienen en cuenta la diversidad y la inclusión, así como la forma en que hacen negocios y otros temas relacionados. Bob: Y, por último, en cuanto al tema del cumplimiento normativo, que los terceros con los que trabajamos cumplan con las leyes y normativas necesarias, porque si no cumplen con las leyes y normativas a las que estás sujeto, puedes incurrir en responsabilidad y tu reputación se verá muy afectada por ello. Bob: Así que eso es realmente el universo del que estamos hablando. Bob: Ahora bien, cuando hablamos del ciclo de vida de la gestión de riesgos de terceros, este comienza con la planificación y el descubrimiento.

Bob: Y lo que nos interesa hacer allí es identificar cómo es nuestro inventario de la cadena de suministro. Bob: Así que, obviamente, queremos conocer a los terceros con los que trabajamos. Bob: Obviamente, queremos centrarnos en los terceros que afectan a nuestras actividades comerciales críticas. Bob: Y hay varias formas de empezar en este ámbito cuando se trata de identificar el inventario de la cadena de suministro. Bob: Puedes centrarte en, y esto es algo que resulta especialmente útil. Bob: ¿Cuáles son mis terceros críticos? Bob: Y una de las mejores formas de averiguarlo es hablar con su departamento de tecnología de la información, las personas responsables de la continuidad del negocio y la recuperación ante desastres, ya que suelen saber muy bien quiénes son los proveedores críticos que necesitan para seguir prestando sus servicios. Bob: Esa es una forma de hacerlo. Bob: Cuando intentas validar que tienes un inventario completo de la cadena de suministro, es muy útil acudir a tu personal de cuentas por pagar y preguntar a quién hemos pagado en los últimos dos años, porque si tienes un proveedor y le están pagando, lo descubrirás a través de tu proceso de cuentas por pagar. Bob: Otro aspecto es asegurarse de que existen contratos y, cuando hablamos de contratos, que estos aborden adecuadamente los riesgos. Bob: Muchas de las relaciones que tienen las empresas llevan años en pie. Bob: Pero cuando les pides que busquen una copia del contrato, te dicen: «Llevamos 20 años trabajando con ellos y nadie sabe dónde está el contrato». Bob: Eso es un problema. Bob: A continuación, pasamos a la evaluación de riesgos, donde analizamos cómo llevamos a cabo la diligencia debida y nos centramos en la incorporación. Bob: Y uno de los mayores problemas que encontramos en el riesgo de terceros es que el proceso de incorporación de nuevos terceros es demasiado engorroso y se prolonga demasiado. Bob: Y que cuando hablas con tus socios comerciales, ellos están listos para aprovechar una oportunidad de mercado o para asegurarse de que pueden seguir prestando sus servicios con rapidez, y nosotros tenemos que ser muy eficientes en la forma en que se lleva a cabo ese proceso de evaluación de riesgos.

Bob: Conozco grandes organizaciones en las que, si se trata de un proveedor crítico, pueden tardar tres meses o más en incorporar a ese tercero crítico, y eso es demasiado tiempo desde el punto de vista empresarial en términos de productividad. Bob: Una vez más, ese es un tema del que hablaremos en un futuro seminario web. Bob: Lo importante es que hay que ser eficiente en la forma de llevar a cabo la diligencia debida y el proceso de incorporación, y hay que pensar muy seriamente en cómo automatizar esos procesos para tener éxito. Bob: A continuación tenemos la supervisión continua. Bob: Y, desde mi punto de vista, la supervisión continua es absolutamente fundamental para la gestión de riesgos de terceros. Bob: Cuando se realiza una evaluación de riesgos, se está evaluando en un momento dado los controles que tiene implantados el tercero. Bob: Bueno, eso está bien para el día en que se hace, pero hay 364 días más en el año en los que es necesario comprender y tener visibilidad sobre el rendimiento de los terceros. Bob: Por lo tanto, puede empezar con la evaluación de riesgos, pero es necesario, especialmente en el caso de los terceros críticos, supervisar continuamente todos los riesgos operativos de la cadena de suministro a los que se enfrentan los terceros y asegurarse de que se gestionan adecuadamente para respaldar su negocio. Bob: A partir de ahí, tenemos el tema de la corrección y la gestión de problemas. Bob: Y para mí, este es quizás el tema más frustrante de todos, porque he visto muchos casos en los que las empresas no lo hacen bien. Bob: Si vas a dedicar tiempo a realizar una evaluación de riesgos y esta identifica problemas, entonces dedica tiempo a asegurarte de que los problemas se solucionen y validen adecuadamente. Bob: De lo contrario, francamente, no te molestes en hacer una evaluación de riesgos. Bob: Si no vas a solucionar los problemas identificados, porque ahí es donde se produce la verdadera mitigación del riesgo. Bob: Disculpa. Bob: Y cuando identificas problemas, tienes tres formas de abordarlos. Bob: Puedes solucionar el problema, puedes aceptarlo o puedes transferirlo, junto con el riesgo asociado a él. Bob: Ahora bien, la transferencia de riesgos se suele realizar a través de lo que llamamos seguro cibernético.

Bob: Por ejemplo, si tienes muchos clientes y te preocupa que se produzca una filtración de datos, puedes contratar un seguro cibernético, que te ayudará a compensar el riesgo de una posible vulneración de la seguridad de los clientes. Bob: Pero la única forma de que te suscriban un seguro cibernético es tener un programa de gestión de riesgos sólido. Bob: Cuando se trata de aceptar riesgos, una de las cosas importantes que hay que hacer es que la empresa no puede limitarse a decir «de acuerdo, acepto el riesgo», la empresa contrató a un tercero, la empresa es responsable de lo que ocurra con ese tercero y, si hay problemas que no se pueden remediar, entonces se deben establecer controles compensatorios para compensar el riesgo, y que una empresa que simplemente acepta el riesgo puede estar aceptando el riesgo no en nombre de su unidad de negocio, sino en nombre de la empresa, y eso nos pone en una posición inaceptable. Bob: Por lo tanto, se debe remediar aceptando controles compensatorios y transfiriendo el riesgo a través de un seguro cibernético, por ejemplo, cuando sea posible, y luego la parte final del ciclo de vida es la terminación, y uno de los objetivos es garantizar que se obtengan adecuadamente los datos que estaban siendo manejados por el tercero o que se destruyan, y que se remedie adecuadamente el acceso de todo el personal del tercero que tenía acceso a su entorno. Bob: El modelo de madurez del TPRM es solo uno de los muchos modelos que existen en este ámbito, pero transmite los puntos críticos. Bob: Así que hay cinco etapas. Bob: En el nivel uno, el proceso de gestión de riesgos de terceros es de naturaleza muy ad hoc y es posible que no se disponga de los recursos adecuados. Bob: No se dispone de procedimientos documentados. Bob: No se sabe cuál es el inventario de terceros y se está tratando de averiguar cómo empezar. Bob: Y desde la perspectiva del TPRM, ahí es donde empiezan muchas personas. Bob: Pero, eh, los riesgos que existen son bastante significativos. Bob: A partir de ahí, avanzamos al nivel dos, en el que al menos se han asignado recursos, sus procesos aún no están bien documentados y usted reacciona principalmente a los acontecimientos que se producen. Bob: Así que, en el nivel dos, está tratando de averiguar qué tiene que hacer. Bob: ¿Cómo consigo los recursos necesarios? Bob: ¿Cómo estructuro mi programa?

Bob: Y esas cosas son muy importantes para el éxito de tu programa e incluyen cómo vas a conseguir el patrocinio de las partes interesadas clave. Bob: En el nivel tres, tienes un plan y una hoja de ruta documentados. Bob: Sabes adónde quieres llegar, las cosas que quieres lograr. Bob: Ahora tienes una estructura organizativa para tu programa. Bob: Y has establecido algunos procesos de gobernanza y has comenzado a dialogar con las diferentes partes interesadas de tu organización. Bob: Al hacerlo, empiezas a abordar algunas de las cuestiones que se han identificado y a garantizar que tu programa comience a madurar. Bob: Muchas organizaciones consideran que, una vez que han implementado estos pasos del nivel tres en su negocio, han avanzado lo suficiente. Bob: Sin embargo, aún queda trabajo por hacer y otras cosas que considerar. Bob: Y ahí es cuando llegamos al nivel cuatro, en el que se ha implementado un programa de gestión de riesgos de terceros. Bob: Es posible que tenga políticas y normas. Bob: Entiende los riesgos, los supervisa activamente y ha comenzado a realizar un cierto nivel de supervisión continua del estado de sus terceros críticos. Bob: En el nivel cinco, al que generalmente nos referimos como el nivel de optimización, está mejorando continuamente su programa de riesgos de terceros. Bob: Está abordando los riesgos de forma proactiva. Bob: Está analizando más a fondo el riesgo de sus subcontratistas. Bob: y está gastando mucho dinero. Bob: Por lo tanto, para muchas organizaciones, llegar al nivel cinco, a ese estado optimizado, es más de lo que su negocio puede necesitar y quizás más de lo que su presupuesto puede soportar. Bob: Por lo tanto, si al final del día puede situarse en algún punto entre el nivel tres y el nivel cuatro y madurar su programa de esa manera, se asegurará de abordar tanto los riesgos críticos que ha identificado como los riesgos que han surgido. Bob: De forma continua. Bob: Por lo tanto, crear consenso en la organización y la cadena de suministro para el éxito del programa de riesgos de terceros. Bob: Hay una serie de factores empresariales que explican por qué necesitamos crear cadenas de suministro resilientes. Bob: Entre ellos se encuentran la ventaja competitiva, la capacidad de una empresa para entrar rápidamente en nuevos mercados y la mejora de la dependencia de la empresa respecto a la cadena de suministro, ya que cada vez más empresas externalizan constantemente sus actividades.

Bob: Por lo tanto, ese es un factor clave en lo que hacemos y probablemente la razón por la que muchos de ustedes están aquí hoy, porque a medida que aumentamos la dependencia empresarial de las cadenas de suministro, también debemos asegurarnos de tomar medidas para compensar ese riesgo. Bob: Tenemos acontecimientos inesperados que, como he dicho antes, ya no son inesperados, sino que se producen a diario, y debemos estar mejor preparados para hacer frente a ese riesgo. Además, en ámbitos como la sanidad y los servicios financieros, tenemos que cumplir requisitos normativos cada vez más estrictos, por lo que, en definitiva, lo que intentamos hacer es generar confianza en nuestras cadenas de suministro. Los terceros con los que trabajamos son nuestros socios, no son el enemigo. Bob: No son personas con las que solo tengamos que actuar con la debida diligencia, sino personas con las que debemos fomentar las relaciones, porque nuestros terceros pueden enseñarnos mucho sobre cómo van nuestros negocios y cómo se perciben. Bob: Y si creamos confianza con ellos, y la confianza hay que crearla con cada tercero por separado, podemos encontrarnos en un círculo virtuoso que acaba reportando beneficios para todos. Bob: Por lo tanto, la confianza en toda la cadena de suministro es un concepto clave, en el que debemos centrarnos más, la importancia de las partes interesadas en la gestión de riesgos de terceros. Bob: Para mí, comprender quiénes son las partes interesadas en cualquier negocio con el que trabajo es fundamental para alcanzar el éxito. Bob: Cómo cultivamos esas relaciones, quiénes son nuestros socios lógicos en este viaje. Bob: El viaje llamado TPRM en el que estamos embarcados. Bob: ¿Cómo pueden esas partes interesadas ayudarnos a garantizar nuestro éxito? Bob: He enumerado aquí una serie de partes interesadas diferentes. Bob: No voy a hablar de ellas necesariamente en el orden en que aparecen aquí, sino por orden de importancia. Bob: Una de las organizaciones clave en las que debemos centrarnos y con las que debemos establecer relaciones es nuestra organización de compras y abastecimiento. Bob: Son los que tienen más visibilidad de lo que las empresas intentan hacer en toda nuestra organización y están sometidos a mucha presión para incorporar a nuevos terceros y, a medida que avanzamos en el proceso de incorporación, uno de los pasos clave es realizar una evaluación de riesgos de terceros. Bob: Por lo tanto, fomentar la relación con el departamento de compras ayuda a comprender las tendencias clave que se están produciendo en la organización.

Bob: cuando las empresas buscan nuevos terceros, porque a menudo es el departamento de compras el que se entera primero, mucho antes de que se le solicite realizar una evaluación de riesgos de terceros. Bob: Al establecer esa relación y apoyarles cuando acuden a usted y necesitan realizar evaluaciones de riesgos para completar la incorporación, se crea una relación saludable y se obtiene visibilidad sobre lo que realmente está sucediendo y cómo sus empresas están planteándose desarrollar sus relaciones con terceros. Bob: Ahora bien, si en su organización se centran en la gestión de riesgos empresariales u operativos y tienen una función responsable de ello, pueden ser grandes socios para usted, porque su trabajo se enmarca en un modelo que llamamos «tres líneas de defensa», en el que la primera línea de defensa son las unidades operativas que trabajan a diario para gestionar diferentes funciones. Bob: La segunda línea de defensa, los equipos de gestión de riesgos empresariales y operativos, tiene la función de supervisar y validar que los controles que ha establecido la primera línea de defensa se administran de manera eficaz. Bob: Establecer una relación con el personal de riesgos empresariales, proporcionándoles transparencia sobre lo que está haciendo con TPR. Bob: La forma en que gestionas los riesgos y los problemas que surgen les ayuda a colaborar de forma más eficaz con la primera línea y con el negocio para que hagan lo necesario para mitigar el riesgo y gestionarlo mejor, tal y como necesita tu negocio. Bob: Otra relación clave es la que se establece con los gestores de relaciones con terceros. Bob: Las unidades de negocio deben, aunque no siempre lo hacen, designar a alguien dentro de la unidad de negocio que se encargue de gestionar la relación y supervisar el rendimiento del tercero. Bob: Se trata de personas clave desde el punto de vista de la gestión de riesgos de terceros con las que se puede colaborar y trabajar para garantizar que los terceros conozcan sus requisitos de evaluación de riesgos, que sean responsables y respondan cuando se identifiquen problemas para mitigar ese riesgo y que le ayuden en este esfuerzo general por gestionar mejor el riesgo con los terceros.

Bob: La seguridad de la información es un factor importante porque tiene muchas funciones que están directamente relacionadas con la gestión de riesgos de terceros y, en la mayoría de los casos, los programas de gestión de riesgos de terceros forman parte de la organización de seguridad de la información. Bob: Por lo tanto, cuando se produce un incidente en un tercero, normalmente se notifica a la empresa, que puede notificárselo a usted o puede que llegue a conocimiento de su centro de operaciones de seguridad o SOCK, como se le denomina a veces. Bob: Y cuando el SOCKS tiene conocimiento de incidentes de seguridad en terceros que su empresa podría estar utilizando, necesitará información al respecto. Bob: Se pondrá en contacto con el equipo del tercero o el equipo del tercero puede ponerse en contacto con el SOC de forma proactiva para ayudar en la gestión de un incidente. Bob: Del mismo modo, si la función de inteligencia cibernética de su equipo de seguridad de la información, que busca posibles vulnerabilidades futuras, es consciente de las relaciones críticas que su empresa tiene con terceros, puede ser más proactiva a la hora de examinar los riesgos que puedan surgir o evolucionar. Bob: en lo que se refiere a esos terceros. Bob: Ahora, volvamos al principio de la lista, al consejo de administración y a la alta dirección. Bob: El consejo debe comprender claramente el riesgo que representa la decisión de las empresas de externalizar las relaciones con terceros. Bob: De hecho, antes de tomar decisiones críticas de externalización, se debe consultar al consejo de administración sobre la naturaleza de la relación y acordar que es una relación adecuada para las empresas. Bob: ¿Ocurre eso siempre? Bob: No, no siempre. Bob: Pero si nos fijamos en la normativa, y en particular en lo que se aplica a los servicios financieros, se espera que el consejo de administración conozca los riesgos de terceros y que desempeñe un papel activo en la supervisión del programa de riesgos de terceros. Bob: Y que sea responsable de comunicar su apetito de riesgo en lo que respecta a la externalización a terceros al equipo directivo. Bob: El equipo directivo superior es responsable de comunicar la tolerancia al riesgo de la junta directiva a las unidades de negocio y a todas las funciones dentro de la empresa, de modo que no se asuman riesgos indebidos a través de la subcontratación. Bob: a terceros.

Bob: La dirección de la unidad de negocio es la encargada de tomar las decisiones clave en cuanto a la identificación de necesidades y oportunidades de externalización a terceros. Bob: Como parte de ello, la dirección de la unidad de negocio debe tener una definición muy clara de lo que se pretende conseguir y comprender los riesgos, además de designar a alguien dentro de la unidad de negocio que se encargue de la gestión de esos riesgos de terceros. Bob: Y eso es a lo que me refería con los gestores de relaciones. Bob: Dependiendo de la naturaleza del negocio y de la información o el acceso que se comparta con un tercero, si se expone información financiera, existe el riesgo potencial de fraude. Bob: Por lo tanto, es importante saber quiénes son las personas encargadas de la gestión del riesgo de fraude, especialmente en una organización en la que se realizan transacciones financieras, ya que cada vez más se está explotando a terceros para obtener esa información financiera y cometer fraudes. Bob: El departamento jurídico tiene un gran interés en la gestión de contratos y en comprender qué riesgos pueden surgir al establecer relaciones con terceros. Bob: Por lo tanto, el tema de los contratos es realmente importante. Bob: Y una de las cosas que hacen las empresas, además del contrato marco de servicios que firman con una empresa, es añadir a menudo un apéndice de seguridad al contrato. Bob: Y al firmar esos contratos con terceros, hay tres cosas clave que deben incluirse. Bob: Son el derecho a ello, un requisito por parte del tercero de notificar a su organización cualquier violación de datos y, por último, el compromiso de remediar cualquier problema que se identifique. Bob: Así que ese apéndice de seguridad se convierte en un aspecto importante de la relación con terceros y, a menudo, implica en cierta medida alguna conversación con su personal jurídico, que también puede surgir junto con cuestiones no solo legales, sino también de cumplimiento, en caso de que se produzca, por ejemplo, una violación de datos o algún otro incidente de seguridad desde el punto de vista del cumplimiento. Bob: Si trabajas con un tercero, no quieres ver noticias negativas sobre ese tercero que cuestionen sus prácticas laborales, su compromiso con el medio ambiente o cualquier otro tipo de problema que pueda surgir.

Bob: Por lo tanto, poder trabajar con el departamento de cumplimiento normativo para ayudarles a comprender dónde se han identificado noticias negativas u otros comportamientos anormales en un tercero es una relación importante para garantizar la continuidad del negocio y la recuperación ante desastres. Bob: Como he dicho antes, son un gran socio en este viaje y comprenden muy bien quiénes son los terceros críticos que hay que conocer bien para apoyar su negocio de forma continua. Bob: Por lo tanto, cuando empiece, lo primero que debe hacer al crear su inventario es identificar quiénes son esos terceros críticos. Bob: Y la mejor manera de adelantarse a eso es trabajar con su personal de continuidad del negocio y recuperación ante desastres. Bob: La privacidad es una consideración importante si comparte información con terceros. Bob: Ahora, cuando pienso en quiénes son mis proveedores críticos, mis terceros críticos. Bob: Pienso en dos cosas. Bob: ¿Con quién comparto información y a quién le concedo acceso a mi infraestructura y mi red? Bob: Eso es lo que me lleva a tener muy en cuenta quiénes son mis terceros críticos. Bob: Así que, cuando piensas en la información, en compartir información confidencial con terceros, la privacidad es sin duda un tema crítico. Bob: Las finanzas, obviamente, porque necesitas tener una forma de comprobar la salud financiera de los terceros y, luego, de tus terceros, cuartos y quintos. Bob: Entender qué es la cadena de suministro, la gente dice: «Bueno, acabo de empezar con mi programa y estoy identificando a los terceros». Bob: ¿Cómo voy a llegar a mis cuartos, quintos y sextos terceros? Bob: Bueno, empieza por esos terceros, cuartos y quintos terceros que están vinculados a las actividades comerciales críticas que involucran a terceros. Bob: El resto lo puedes hacer más tarde. Bob: Y luego, por supuesto, si trabajas en un área en la que la regulación es una consideración importante, querrás asegurarte de mantener un diálogo abierto con tus reguladores, de comunicarte de manera adecuada y de seguir supervisando las regulaciones a medida que evolucionan, porque hay muchas regulaciones nuevas en el horizonte. Bob: En las cosas que se publican y, dependiendo del país en el que hagas negocios, se aplican diferentes regulaciones. Bob: Eso es todo por lo que respecta a la presentación.

Bob: Si tienen alguna pregunta, estoy abierto a responderla y me encantaría escucharla. Bob: Y si tienen preguntas después de este seminario web, aquí tienen mi información de contacto, bobcyms.net y mi número de móvil. Bob: No duden en ponerse en contacto conmigo. Bob: Me encanta hacer esto. Bob: Así que estaré encantado de conversar con cualquiera de ustedes. Bob: Muy bien, en este momento voy a detener mi presentación y le cedo la palabra a Scott Lang. Bob: Scott, te dejo a ti.

Scott Lang: Genial. Muchas gracias, Bob. Scott Lang: Eh, bueno, rápidamente, eh, para asegurarme de que todos me oyen. Scott Lang: Vale. Scott Lang: ¿Me oís? Scott Lang: Vale, Ashley, ¿me oyes? Scott Lang: Vale. Ashley: Sí, señor.

Scott Lang: Genial. Scott Lang: Bien. Scott Lang: Bueno, gracias a todos por dedicar una hora de su tiempo hoy a escuchar algunas de las increíbles mejores prácticas que Bob tiene para compartir basadas en su experiencia y algunos de los elementos fundamentales para crear un programa de TPM. Scott Lang: Lo que quiero hacer hoy es simplemente explicar algunas cosas sobre cómo pueden empezar rápidamente y cuál es nuestra perspectiva al respecto. Scott Lang: Así que, mientras yo sigo con mi presentación, empezad a pensar en las preguntas que queréis hacerle a Bob, si aún no las habéis hecho en la pestaña de preguntas y respuestas de Zoom. Scott Lang: Como sabéis, cuando hablamos con nuestros clientes, la gran mayoría nos dice que quiere lograr tres cosas con su programa de riesgos de terceros. Scott Lang: Lo primero es ayudarles a obtener los datos que necesitan para tomar mejores decisiones empresariales sobre los proveedores, para incorporar a terceros, para evaluar y determinar cuáles son los criterios adecuados para descartar potencialmente a un proveedor. Scott Lang: Lo tercero es aumentar la eficiencia en las evaluaciones, la supervisión y la corrección, entre otras cosas, rompiendo los silos de información, herramientas y sistemas que son inherentes a casi todas las organizaciones, y lo tercero es desarrollar y ampliar sus programas a lo largo del tiempo a medida que aumenta el número de terceros con los que trabajan. Scott Lang: Um, ya sabes, cómo se posicionan de manera eficaz para adaptarse al nivel adicional de trabajo de evaluación y corrección que hay que realizar, ya sabes, en consecuencia. Scott Lang: Pero el problema es que, um, gestionar el riesgo de terceros de forma manual o gestionar el riesgo de terceros de forma manual, um, acaba costando mucho tiempo y mucho dinero, con muy pocos resultados que mostrar. Scott Lang: Y algunas pruebas de ello son... hacemos una encuesta cada año en el sector y una de las preguntas que hacemos es: ¿qué porcentaje de empresas sigue utilizando hojas de cálculo para realizar sus evaluaciones de riesgo de proveedores? Scott Lang: Bueno, en los últimos tres años, esa tendencia se ha mantenido prácticamente igual. Scott Lang: Era del 42 %, pasó al 45 %, luego al 46 % y volvió al 42 %.

Scott Lang: Algo menos del 50 % de las personas siguen utilizando hojas de cálculo para evaluar a sus terceros, comparar sus resultados con los umbrales de control aceptables y, a continuación, aplicar algún tipo de medida correctiva o elaborar informes, y todos sabemos que eso no se puede hacer de forma eficaz con hojas de cálculo. Scott Lang: En segundo lugar, están trabajando con información desactualizada. Scott Lang: Alrededor del 46 % de las personas con las que hablamos dicen que no tienen información en tiempo real sobre el riesgo de los proveedores. Scott Lang: Y como mencionó Bob hace un momento. Scott Lang: Hacer eso, ya sabes, una vez cada tanto, la evaluación de riesgos es valiosa. Scott Lang: Te da una buena base de referencia, pero suceden muchas cosas entre esas evaluaciones de riesgos. Scott Lang: Y sin ese flujo constante de información sobre el riesgo cibernético de un tercero, noticias negativas o relacionadas con el negocio, problemas de reputación, cuestiones financieras, hallazgos de ESG, lo que sea, realmente te estás exponiendo a muchos riesgos adicionales. Scott Lang: Y en tercer lugar, y esto tiene que ver con la diapositiva anterior, muchas organizaciones tienen a mucha gente diferente en esa organización trabajando en ello. Scott Lang: Sabes que aproximadamente el 50 % de las organizaciones que vemos tienen equipos de TI e información que se encargan de los riesgos de terceros, y el otro 50 % se distribuye entre otros cuatro departamentos más o menos, y eso es probablemente similar a lo que ocurre con mucha de la gente que participa en esta llamada hoy, con un 50/50 entre seguridad y noseguridad, pero el problema es que todos esos departamentos están ahí y luego los números que ni siquiera tenemos aquí, los departamentos que no tenemos aquí, cada uno tiene algo que ver con el riesgo de terceros de alguna manera. Scott Lang: Así que hay muchas herramientas diferentes en juego, muchas de ellas manuales, y muy pocas ofrecen información en tiempo real. Scott Lang: Eso solo añade mucha confusión y solapamientos en la empresa. Scott Lang: Por lo tanto, nuestro enfoque para resolver el problema es ser mucho más prescriptivos con usted, y esto se aplica a todos los departamentos, desde compras, gestión de proveedores, gestión de suministros, seguridad informática y privacidad de datos, hasta cumplimiento normativo, etc. Scott Lang: Y para analizar los riesgos de forma específica en cada paso del ciclo de vida de los terceros, vemos retos en cada uno de esos pasos, pero también vemos soluciones, necesidades y deseos en cada uno de ellos.

Scott Lang: Ya sabes, conseguir automatización e inteligencia cuando evalúas a los proveedores. Scott Lang: Ya sabes, averiguar si un proveedor es adecuado para el propósito o adecuado para el uso, ya sabes, es genial para el negocio, pero también es malo para el negocio porque no sabes si se ajustan, ya sabes, a tu riesgo. Scott Lang: umbral. Scott Lang: Um, crear una única fuente de información veraz en términos de perfiles de riesgo de los proveedores, procesos de admisión, contratación y flujos de trabajo de incorporación, uh, tiende a ser un reto para muchas organizaciones. Scott Lang: Ya sabes, las diferentes herramientas implantadas y los procesos solo contribuyen a agravar el problema. Scott Lang: Y en tercer lugar, no disponer de una buena puntuación de riesgo inherente, um, um, uh, que te sirva de base para construir el resto de tu estrategia de evaluación, ya sabes. Scott Lang: Um, a continuación, ya sabes, otro gran reto al que se enfrentan las organizaciones y que nosotros ayudamos a abordar es la racionalización del proceso de evaluación continua frente a múltiples requisitos diferentes, porque no se trata solo de la seguridad informática y la privacidad y, ya sabes, cuestiones específicas de cumplimiento normativo, aunque la gran mayoría lo es, lo reconozco, sino también de comprender su situación financiera o sus métricas ESG específicas o la lucha contra el soborno y la corrupción o la lucha contralas declaraciones de blanqueo de capitales, ya sabes, cosas así. ¿Cómo se puede reunir todo eso en una sola solución? Lo siguiente es supervisar y validar continuamente esos resultados. Scott Lang: Ya lo hemos dicho antes, ver una instantánea de los controles internos de una empresa sobre sus riesgos de seguridad informática, por ejemplo, solo será válido el día en que se capturaron esos controles. Scott Lang: Lo siguiente es medir el rendimiento a lo largo del tiempo. Scott Lang: Ya sabes, si un proveedor o un tercero cumple o no con tus requisitos contractuales, es necesario, ya sabes, para poder ver tus KPI y KIS y medirlos en función de los niveles de servicio. Scott Lang: Y, por último, dar de baja y dar de alta a organizaciones.

Scott Lang: Sabes, se pueden ver algunos paralelismos con lo que Bob presentó en su ponencia sobre, ya sabes, el ciclo de vida de los proveedores externos y los suministradores, pero asegurándose de que, cuando se rescinde una relación, una relación con un proveedor, se han abordado las políticas de destrucción de datos, se han abordado los términos del contrato, se han abordado los pagos finales y mucho más. Scott Lang: Así que, ya sabes, vemos muchos retos a lo largo de ese ciclo de vida, pero también vemos soluciones. Scott Lang: Y al final, ya sabes, el objetivo es lograr tres cosas. Scott Lang: Simplificar y acelerar la incorporación con una única fuente de información veraz y un único conjunto de procesos para agilizar ese proceso y cerrar las brechas en la cobertura de riesgos, que, como sabes, muchas empresas nos dicen que tienen. Scott Lang: Dicen que solo revisan los datos periódicamente. Scott Lang: Y, por último, unificar los equipos a lo largo del ciclo de vida de los terceros. Scott Lang: Esa es la base de lo que intentamos ayudarle a conseguir en materia de riesgos de terceros. Scott Lang: Y para ello, ofrecemos una combinación única de expertos que se encargan de realizar el arduo trabajo de gestionar el riesgo de terceros en su nombre, desde la incorporación de proveedores, su evaluación y la corrección de los resultados, que es un punto clave que ha mencionado Bob, hasta la gestión continua, proporcionándole el conjunto más completo de datos de inteligencia para sus perfiles de proveedores, con el fin de ayudarle a tomar buenas decisiones basadas en el riesgo en una multitud de áreas de riesgo de los proveedores. Scott Lang: Todo ello alojado en una plataforma que automatiza, gestiona y centraliza el proceso para todos los departamentos de la organización. Scott Lang: Eso es lo que ofrecemos para ayudarle a ponerse en marcha y empezar a automatizar su programa de riesgos de terceros muy rápidamente. Scott Lang: Nos ocupamos de múltiples tipos de áreas de riesgo. Scott Lang: Así que, en lugar de comprar seis u ocho herramientas diferentes para evaluar y supervisar los distintos tipos de riesgos a los que su organización podría estar expuesta por el uso de terceros, Prevalent se especializa en reunir todo eso en una sola solución. Scott Lang: Y el resultado es realmente triple.

Scott Lang: Y, en primer lugar, para ayudarle a ser más inteligente y tomar buenas decisiones basadas en el riesgo, con buenos análisis de informes basados en funciones y análisis de riesgos exhaustivos para unificar los procesos, las evaluaciones de perfiles y el ciclo de vida, desde la incorporación hasta la salida, y luego ser muy prescriptivo con un flujo de trabajo de inteligencia integrado y toda la experiencia que hay detrás para ayudarle a lo largo de su trayectoria en la gestión de riesgos de terceros. Scott Lang: Y hablando de ese proceso, un buen punto de partida es realizar una evaluación de madurez. Scott Lang: Bob mencionó una evaluación de madurez durante su parte de la presentación. Scott Lang: Eh, ya saben que ofrecemos una evaluación de madurez que realmente pone en práctica lo que Bob ha comentado y que consiste en realizar una evaluación bastante rápida de 45 minutos, eh, perdón, 45 preguntas de opción múltiple en nuestra plataforma, que luego creará un informe que les indicará en qué punto de la escala de madurez se encuentra su organización y les dará algunas pautas muy específicas sobre, eh, qué hacer a continuación en los siguientes pasos, dependiendo de lo que su organización, eh, quiera conseguir. Scott Lang: Así que, como parte del proceso de seguimiento de este seminario web de hoy, recibirás la grabación, las diapositivas y también te enviaremos un enlace a la evaluación de madurez. Scott Lang: Puede concertar una cita con nuestro equipo y le guiaremos a lo largo de ese proceso. Scott Lang: Es un gran primer paso para determinar dónde se encuentra ahora y dónde quiere estar. Scott Lang: Bien, con esto, eso es todo lo que quería compartir con ustedes hoy. Scott Lang: Le devuelvo la palabra a Ashley. Scott Lang: Ashley, creo que a partir de aquí podemos abrir el turno de preguntas.

Ashley: Gracias. Ashley: Pero primero, voy a lanzar nuestra segunda encuesta. Ashley: Tenemos curiosidad por saber si están pensando en establecer o ampliar un programa de riesgos de terceros durante este año. Ashley: Y, por favor, sean sinceros, porque haremos un seguimiento. Ashley: Pero vamos a ver algunas de estas preguntas. Ashley: Me encanta ver tanta participación. Ashley: Y tenemos bastantes. Ashley: Bob, ¿por qué no eliges algunas que creas que pueden ser más valiosas para nuestra audiencia? Bob: De acuerdo. Bob: Voy a pasar al chat. Bob: Voy a repasar tantas como pueda de forma secuencial. Bob: Vale, la primera. Bob: Mi cliente ha tenido al menos un proveedor que utiliza un tercero de ciberseguridad gestionada que subcontrata la supervisión de eventos de su cortafuegos. Bob: Vale. Bob: ¿Hay alguna forma de que el departamento jurídico de mis clientes pueda estructurar un contrato con el proveedor principal para minimizar su riesgo frente a todos los demás proveedores y terceros? Bob: Bueno, por lo general, cuando se trata con un tercero y un contrato con un tercero, se hacen que los términos del contrato con el tercero se apliquen por igual a cualquier cuarto, quinto o sexto tercero que ese tercero pueda estar utilizando. Bob: En otras palabras, los términos del contrato que tienes con el tercero se aplican a cualquier tercero que utilicen. Bob: Y que el tercero es responsable de la diligencia debida con respecto a ese cuarto, quinto y sexto tercero, y esa es generalmente la forma en que se maneja. Bob: Porque, al fin y al cabo, hay una cantidad limitada de recursos que realmente puedes utilizar tú mismo. Bob: Muy bien. Bob: Siguiente pregunta. Bob: Veamos. Bob: Eh, ¿cuándo se espera que un programa de TPRM incorpore las normas ESG con las nuevas reglas y regulaciones que se avecinan? Bob: En lo que respecta a ESG, eh, no hay mucha regulación específica. Bob: Ahora bien, depende del sector vertical en el que trabajes. Bob: Depende de la posición de tu empresa en relación con ESG. Bob: Por ejemplo, si trabajas en banca, la OC está considerando actualmente publicar una política o directrices sobre el impacto medioambiental en las empresas de servicios financieros. Bob: Tienes que seguir eso. Bob: Por lo tanto, gran parte de ello depende específicamente del negocio en el que te encuentres. Bob: Si eres gestor de activos y estás sujeto a la normativa de la SEC. Bob: Ya sabes, la inversión ESG es un tema muy candente. Bob: Se han impuesto varias multas a empresas. Bob: Es un ámbito al que hay que prestar atención. Bob: Pero siempre hay que tener en cuenta el riesgo que supone para la reputación de la empresa en cuestiones medioambientales, sociales y de gobernanza. Bob: De acuerdo. Bob: Veamos cuál es la siguiente pregunta. Bob: ¿Los participantes recibirán tanto la presentación de Bob como la de Scott? Bob: Lo dejaré a criterio de los asistentes. Bob: Creo que sí.

Ashley: Sí, lo hacemos. Ashley: Sí, lo haces. Bob: Entonces, tendrás que pasar por eso. Bob: Um, está bien. Bob: Ahora pasamos a la pregunta de Scott. Bob: Scott, ¿tiene algún coste la evaluación de madurez? Scott Lang: No. Scott Lang: Si te interesa, nos pondremos en contacto contigo, ya sea Ashley o Melissa, o alguna de ellas se pondrá en contacto contigo como seguimiento de este seminario web, si te interesa. Scott Lang: Programaremos una llamada con uno de nuestros especialistas. Scott Lang: Ellos le guiarán a través del proceso. Scott Lang: Y ya sabe, puede realizar esa evaluación bastante rápido. Scott Lang: El único requisito es que nos gusta contar con una audiencia ejecutiva en la presentación de los resultados para asegurarnos de que todo el mundo en la organización comprenda la profundidad y la amplitud del problema y cómo podría ser la posible solución.

Ashley: Muy bien. Ashley: Tengo algunas preguntas más. Ashley: ¿Cómo ves los problemas frente a los hallazgos? Bob: Desde mi punto de vista, los problemas y los hallazgos son lo mismo. Bob: Bueno, déjame aclararte que si tienes un hallazgo, debes validarlo para determinar si se trata de un problema. Bob: Los problemas necesitan una solución. Bob: Cuando hablo de software, la pregunta es: ¿te refieres al software con licencia local? Bob: frente al SAS. Bob: Me refiero a que las empresas necesitan tener un inventario de todo el software que utilizan, porque todo ese software es potencialmente objeto de un ataque y la capacidad de tener un inventario completo de todo el software que se utiliza en tu empresa, que de hecho puedes tener. Bob: Y tienes que hablar con tu organización de desarrollo de software y ver si realmente han conseguido crear un inventario. Bob: Pero, ya sabes, Bob: tanto si se trata de software con licencia local como de software SAS, cualquiera de los dos puede sufrir un compromiso y necesitas saber qué es eso cuando, eh, cuando ocurre. Bob: Eh...

Ashley: Bob, ¿por qué no sigues adelante y eliges una pregunta más? Ashley: Estamos a punto de cumplir la hora. Bob: De acuerdo. Bob: De acuerdo. Bob: ¿Qué pasa si un analista de TPRM rechaza a un proveedor, pero la empresa sigue incorporándolo? Bob: Sí, la decisión final la toma principalmente la empresa. Bob: La cuestión es entonces la compensación de controles. Bob: Si la empresa está dispuesta a aceptar el riesgo y no quiere imponer controles compensatorios, esa es la situación menos deseable, pero ahí es donde TPRM tiene la obligación de escalar el asunto y garantizar la visibilidad. Bob: La clave de todo esto es la visibilidad y la transparencia en toda la organización. Bob: Y ese es un caso en el que hay que escalar el asunto. Bob: Así que eso es todo. Bob: Volvemos contigo, Ashley. Bob: Y si alguien más tiene alguna pregunta, no dude en hacerla. Bob: Tienen mi correo electrónico, mi contacto, mi teléfono. Bob: Responderé si se comunican conmigo.

Ashley: Genial. Ashley: Gracias, Bob, y gracias a todos por vuestras preguntas. Ashley: Bob y Scott nos han dado hoy información muy interesante, y espero veros a todos en vuestro buzón de correo electrónico o en un futuro seminario web de Prevalent. Ashley: Saludos a todos.