Mejores prácticas para la mitigación de riesgos de terceros

Melissa: Me llamo Melissa. Trabajo aquí, en Prevalent Business Development. Hoy nos acompaña un invitado muy especial, Jeff Kramer, de Ford Motor Company. Seguro que lo conocéis. Es el director de gestión de riesgos cibernéticos de terceros. Bienvenido, Jeff. También nos acompaña Mike Yaffy, nuestro director de marketing. Hola, Mike.

Mike: Oh, hola.

Melissa: Lo averiguaré pronto. Y por último, pero no menos importante, una de mis personas favoritas aquí en esta llamada, concretamente Scott Lang. Hoy está con nosotros. Scott es nuestro vicepresidente de marketing de productos y nos hablará un poco sobre cómo Prevalent puede ayudarles. Bueno, solo un pequeño aviso. Este seminario web está siendo grabado. Recibirán la presentación de diapositivas después, así que no se preocupen. No tienen que tomar notas ni nada. Y, bueno, sí, todos tienen el micrófono silenciado, así que si tienen alguna pregunta, simplemente la envíen a la sección de preguntas y respuestas e intentaremos responderlas como mejor nos parezca. Y sin más preámbulos, le cedo la palabra a Jeff. Adelante.

Jeff: Muy bien. Muchas gracias, Melissa. Te lo agradezco. Y agradezco la oportunidad de hablar ante un público cada vez más numeroso. Llevo 34 años trabajando en Ford y llevo unos cuatro años dedicándome a la gestión de riesgos de terceros en Ford, un campo en auge y muy importante. Me alegro de poder compartir algunas de las cosas que hacemos aquí en Ford. Espero con interés algunas de las preguntas. No sé si Melissa, ¿podrías pasar a la siguiente diapositiva? Siempre me gusta empezar con una introducción. Mi nombre es Jeff Kramer. Trabajo para Ford Motor Company. Me licencié en Informática por la Universidad Central de Michigan en 1984 y por la Universidad Estatal de Wayne, en Detroit, con un máster en Informática en 1991. Vivo en la zona de Detroit, en los suburbios de Detroit, y, bueno, cosas sobre mí: llevo casado 38 años. Tengo tres hijos adultos. Y diré que, durante la mayor parte de mi vida, me han molestado las personas que muestran fotos de sus nietos todo el tiempo. Y eso se acabó cuando me convertí en abuelo. Así que...

Melissa: Entonces, ahora eres ese tipo, ¿verdad? Eres ese tipo.

Jeff: I am exactly that guy now. And so, uh so I have two uh two granddaughters, uh two adorable granddaughters. Uh you see their picture there. The one-year-old, that’s about as close as we can get to getting her to sit still for a picture. And her uh 5-year-old sister is a little bit annoyed by that. Thought that was a pretty nice picture from our Fourth of July gathering. Um the little more about myself. I’m a sports enthusiast, which um living in the Detroit area for the last 10 years or so has been challenging. Um but uh we do have um some uh opportunity here that we’ve never had before. Our our NFL team has never been to the Super Bowl ever. It’s been around for 60 years and we’ve never been there. Um not even really close. Uh but they’re getting better and this is going to be the year. So, Um, you’ve heard it here first if that happens. Um, and then then hell might freeze over at that point, too. But we’ll see. Um, as far as professional experience, uh, out of coming out of college, I I spent four years at the National Security Agency in Fort Me, Maryland. Um, got a lot of really good experience there. Um, but we wanted to come back to southeastern Michigan and and start a family. So, ended up getting a job as an agency employee uh, at Ford Motor Company doing a little bit of programming um, for the transmission division. Uh and about a year later uh they hired me in. So uh started at Ford in 1989. U been doing several different roles over the years from um setting up uh token ring networks to um setting up our first IBM PS2 model8s, working with uh Windows 3.1, all those really old types of things. Um um all the way through and did a lot of PC support, did a lot of uh Unix support. Um And then um sometime in the late 90s I I started working with Oracle databases and and um and and I uh led a team of Oracle database administrators and and part of that was making sure that you know everything was secure with our databases. So I got a lot of um a lot of exposure to what’s needed to um make sure that what your infrastructure is doing is uh is secure. Um when I about five year no more that eight years ago now. Uh I uh decided that I was um getting getting tired of doing uh 24 by7 uh uh support uh being on call. I wasn’t always on call, but being the supervisor, you’re the first person, the on call person call. So I was uh I was getting a little bit tired of that. And I I ended up moving into cyber security, so out of an operations role. And uh did some work with some of our plans for for uh for for, you know, their cyber security needs. But then, um, about four years ago, we had an issue with a, um, with one of our suppliers at our, uh plant uh plants where we built um the F-150s. Now, uh, if you, uh, know anything about Ford, uh, you’ll know that the F-150 is our money maker. When that shuts down, when that line shuts down, it uh, it gets the attention of a lot of people. And, um, and we had, uh. We had a line shut down for uh for a couple of shifts uh because of a um uh of a a ransomware attack of one of our suppliers um directly. So uh one of the things that they wanted to uh to do they came to our CESO and said uh we need to incorporate uh uh cyber risk into our supplier risk management processes. Um they you know um purchasing um our purchasing organization, our supply chain organization uh does a really good job of um addressing supplier risk and has always done that u for things like uh you know financial uh sustainability are they u mining materials correctly um you know just all these all these types of things uh but cyber risk was never part of it. Um so um our management tked me to uh start leading the team to to uh to provide some of that risk information to our suppliers. Um so um so that’s uh so that’s why we are where we are today. I have a team of um seven people and uh we we go out and we do assessments. A lot of them are on the line today giving me great support and uh and uh so we’re I’ll just wanted to talk a little bit about uh what it is we do um how we prioritize our suppliers, what kind of level of assessments we send out. Uh how we deal with uh suppliers that we see as problematic and uh just uh some questions that we had about um you know some of our challenges and and uh some of these other things that uh that we wanted to uh share with you today. So if Melissa you can go to the next slide. So so what we uh what we uh decided that we wanted to do is that we wanted to send uh some assessments out to our suppliers. Um, but one of the things about uh Ford is that um we have and and this number fluctuates on a daily basis. We have roughly 14,000 suppliers. Very daunting task to go out and uh assess all of them. And in fact, we’ve never done that. What we’ve done is um now we are um we’ve prioritized and we continue to prioritize which suppliers we send assessments to. Uh and that’s based upon some of the risks. And some of the things that we look at were are um you know we have um we have uh uh purchasing uh applications that provide some uh some indication of the types of services that uh each of the purchase orders that go out provide. And uh we’re able to take a look at that and and we make some determinations based upon this code uh of we call a commodity code um as to what services are provided and we we identify some of the ones that we’re most interested in. And I mean some of the ones that we’re most interested like uh engineering suppliers um the suppliers that do transportation for us um some of our marketing suppliers spend a lot of money on marketing uh and um and like companies that do consulting. So those are some of the suppliers that we do put up on kind of a higher u level um suppliers that um manage Ford’s data and IT services for us. One such example of that would be prevalent. Um they um it’s a SAS or u a SAS offering and uh they manage uh this data that is for its data. They do that for us. Um so we have uh many um suppliers that do that. Um Prevalent is not a uh they don’t hold a lot of our any of our secret information. information, but we do have suppliers that do um you know, health care, uh employee benefits, um some that have a lot that have some customer data, some perh personalized information. So, um those are also suppliers that we do, um, uh we do uh prioritize and uh and then also um I mentioned that there were suppliers that do uh that have the ability to if they shut down their operations, um it would have a negative impact upon uh Ford’s operations. and uh and so our our production um you know if if we don’t have um transmissions or or wiring our seats to put inside of vehicles that’s a problem and a lot of our suppliers have very I’m sorry a lot of our plants have um uh very distinct plans and u and for sequencing as the cars go by uh they’re building for an order so it has to have this kind of seat um that’s going into the to the vehicle this kind of engine or um or anything and if it’s not there it shuts down the plant. So um we with the help of our um supply chain organization um we’ve identified those uh those particular suppliers. Um the assessment that we chose um is the u is the the an industry standard uh called the SIG light. And I’m just going to check to make sure that I’m still being heard.

Melissa: Sí, te escuchamos alto y claro, Jeff. Solo hemos tenido un pequeño problema técnico con la diapositiva. Lo estamos solucionando.

Jeff: De acuerdo. Sí, no hay problema. Es solo que... no sabía si ellos... A veces he tenido problemas con mi propio proveedor de Internet. Así que hoy estoy en mi casa. Seguiré adelante y creo que Melissa se pondrá al día. Um, y creo que es un par atrás o uno atrás. Sí. Bueno, la evaluación que elegimos es la SIG light, que consideramos una evaluación estándar en el sector. Incluso en los primeros años, cuando empezamos, creo que la SIG light completa tenía entre 250 y 300 preguntas, dependiendo de lo que respondieras. Y, eh, con el paso de los años, ahora estamos en, eh, ya sabes, 2023, y la han condensado mucho, lo que la ha hecho un poco menos engorrosa, eh, pero sigue proporcionando la información que necesitamos para, eh, proporcionar la información sobre riesgos, eh, a nuestros socios compradores. Pero lo que descubrimos fue que, eh, algunas de las preguntas ni siquiera se referían a algunos de nuestros proveedores. Por ejemplo, había muchas preguntas en el sigalite que decían: «¿Cómo gestionas los datos de alcance?», siendo los datos de alcance los datos que Ford te proporciona para que los gestiones, y muchos de nuestros proveedores de producción que nos proporcionan esos asientos y esos mazos de cables no gestionan nuestros datos de alcance y ni siquiera saben lo que son los datos de alcance. Así que estaban respondiendo a algunas preguntas que, según nuestra opinión, no era apropiado ni siquiera plantearles. No aporta más información. Solo causa agitación y confusión en todo el sistema. Así que decidimos crear cuatro niveles de la luz SIG. Si se trata de uno de estos servicios, uno de los proveedores que prestan servicios de TI, obtienen la luz SIG completa para los proveedores de producción que tienen el potencial de paralizar las operaciones de Ford. También obtienen el SIG light completo, pero se eliminan todas las preguntas sobre el alcance de los datos, ya que realmente no les conciernen. Y luego tenemos un par de niveles más. El otro, el cuarto nivel, el tercer nivel, básicamente es un poco menos detallado, no profundiza tanto en el SIG light y... Y esos son realmente casi como un cajón de sastre en ese tercer nivel. También tenemos un nivel mínimo y eso es simplemente... ¿Este proveedor proporciona solo lo básico que esperaríamos de cualquier empresa? En realidad no lo utilizamos porque damos prioridad a nuestros proveedores más arriesgados. Ahora solo lo usamos con algunos de nuestros procesos de preselección, en los que, si un comprador quiere ver parte de esta información, le enviamos un cuestionario mínimo de 20 preguntas y obtiene esa información.

Mike: Hola, Jeff, ¿puedo intervenir sobre el perfil y la clasificación? Me parece que mucha de la gente con la que hemos hablado ha hecho algo y ha fracasado o está haciendo hojas de cálculo, y eso parece ser el mayor reto, ¿no? Me encantaría conocer tu opinión al respecto. Nadie dice que cuando se recurre a terceros hay que abarcar todo el universo de una vez, ¿verdad? Hay que entender quién es más importante y hacer diferentes preguntas a las personas, con diferente frecuencia y tipo, y cómo se persigue a alguien que proporciona algo, ya sabes, el F-150 frente a algo que tiene un impacto marginal en tu organización es muy diferente, ¿verdad? Y

Mike: La mayoría de la gente empieza por intentar averiguar cómo hacerlo de forma eficaz dentro de un determinado nivel antes de expandirse a nivel mundial. Yo solo quería saber, ¿qué importancia tenía para ti la clasificación por niveles?

Jeff: Bueno, eh, muy importante. Y a medida que avanzaba, eh, nos dimos cuenta de lo importante que era, ¿verdad? Al principio, enviábamos la misma evaluación completa a todo el mundo. Y, de nuevo, las preguntas no eran pertinentes para todos. Así que intentamos asegurarnos de que fueran pertinentes para todos. Pero, pero cómo lo configuramos, sigue siendo un reto. Lo diré, Mike. Quiero decir, con respecto a, ya sabes, el número de proveedores que tenemos y estamos obteniendo mucha información de muchos sistemas dispares que, y no está todo realmente conectado. Hay mucha actividad en torno a eso. Eh, todavía no lo hemos conseguido. Y tú y yo sabemos, por hablar con algunos de nuestros colegas, que es un problema bastante común, bastante común entre las empresas de nuestro tamaño, sin duda, pero incluso entre empresas más pequeñas que tienen muchos de los mismos problemas. Lo estamos intentando. Eh, todavía no lo hemos conseguido, pero algún día lo conseguiremos.

Mike: Y eso está bien. Quiero decir, así son las cosas, ¿no? Hay que poner un

Jeff: El término que sigo utilizando para esto es «memoria muscular», ¿verdad? No es necesariamente...

Jeff: una capacidad integrada dentro de una organización. Y tienes que enseñar no solo a ti mismo y a tu equipo, sino también a la organización cómo consumir, gestionar y lidiar con ello a medida que avanza. Lo siento, no era mi intención, pero pensé que no había ningún problema si había preguntas, incluso si las veías en el chat, si eran especialmente importantes y tenían que ver con lo que estaba hablando, no dudaras en intervenir. Me da la oportunidad de obtener un

Mike: tómate un pequeño descanso para beber agua, recuperar el aliento y ordenar un poco tus pensamientos.

Jeff: También quería preguntarle a Melissa por qué tú y yo no éramos sus personas favoritas, pero podemos dejar eso para otra ocasión.

Melissa: Abordaré ese tema al final.

Jeff: De acuerdo.

Mike: Well, I just met Melissa, so I’m hoping I’m getting getting up there. Um uh so, uh just the last thing on here. I mean, we have expectations of our suppliers for sure. One is that um when we we send them uh this assessment that they they complete it and they complete it truthfully, right? Um quite honestly, this is a self assessment given the uh number of people that we have and the uh and the the number of suppliers that we have. Um we can’t we can’t go out and review evidence. If someone says they have a a a business continuity plan, we we can’t we can’t review all of those. So this is a self assessment and what what we’re as what we expect is that the supplier will um will uh complete it with integrity. Um certainly we have um within our um uh terms and conditions. We do have a uh clause that says that you will complete this um assessment complete um the various assessments on a on a regular basis. Um and and essentially we give them with a month to complete it. Um certainly if people need more time we do it. Um and uh and then um we uh and then we they’ll come then they’ll they’ll get some uh some reviews. Um and I I think I just saw a little snippet at the bottom uh from the chat that uh perhaps we um about certifica asking about certifications and uh just mentioning here that we um it doesn’t make a lot of sense for us to uh send an assessment out to a team and then they come back and say well we have this uh this ISO 2701 certification we got we went through the time and effort and money to do this um why why are we uh why are you sending us this assessment? Why should we complete this assessment? And essentially, we say, well, that’s a good point. There’s really no reason. If someone uh independent has reviewed your um your assessment uh reviewed your uh cyber security posture, we will take that in lie of your u completing this assessment. It it saves us time and it saves them time for sure. Uh and there’s and and things like we mentioned it’s reviewed um There are um we do accept SOCK 2 type 2 reports and potentially there could be um exceptions within that report and we do review that for exceptions and do uh manually create risks within the system and ask them to address those. Okay. Um next uh next slide please Melissa. So when the assessments um you know uh are sent out um within a set period of time. They get completed by the supplier uh and they get uh submitted. It uh it goes to the prevalent risk operations center first and and they review it uh you know fairly quickly for um for completion. Um I mean we ask for u things like uh whether or not uh any of the uh u replies that come back is not applicable. If there’s comments around it for um uh for uh you know to to tell us why it’s not applicable. That’s something that we uh that we ask for. Um so um they do a quick u quick uh uh search through the assessment as it’s submitted. If there’s concerns, they’ll they’ll pop it back to the supplier. If not, they uh put it in the queue for um for my team to take a look at and to uh to review. And um and and what what we do is u uh a few things. Um first of all, if there are comments or notes within um uh some of the answers um and and I will say that uh you know in the SIG light I mean if you’re not familiar essentially it’s and it’s probably true with everyone is basically we’re asking yes no right yes no not applicable um generally one of the yes nos is a risk response um and uh and and when that risk response is uh completed, it generates a uh a a risk record. And sometimes uh suppliers will put in notes that say, “Okay, here’s here’s a compensating control. We don’t have this, but we do have a compensating control for this.” And they uh designate that. And uh and then we we just we review those and uh I mean, if if it’s uh suitable, uh we’ll we’ll mark that risk as remediated. But generally um there’s not a lot of that. There’s there’s it’s mostly comes back as yes, no. And within the SIG light, what we found was a couple different types of questions and uh and these are kind of our own terms. U so it doesn’t may not make a lot of sense. One is anformational question and I mean essentially that is does a situation exist where a risk may occur right so things like um do you use uh servers internally on your data center to uh do you use Unix servers to um um uh at all within your data center. And um and so if if that’s the case or if uh or if you have some kind of a DMZ um where the where if there there’s data shared externally, uh does a DMZ exist and things like that. If they answer yes, well, a risk record gets generated. Um but there may be uh policies, procedures, standards in place that would mitigate that risk. And um that’s what we we’re calling here is the policy questions. And that’s those are just exactly what I mentioned. Do you have this policy in place? Do you have this procedure? Do you have a a a standard or uh some process that would help mitigate um the potential risks as as I was uh just saying. I mean, these are things like uh do you do access reviews? Do you have uh physical security in your um in your um uh in your facility so that visitors have to sign in or is the doors just wide open? So um so a lot of cases theseformational questions that generate risks um will get mitigated based upon the policy questions that are associated with them and we review that on a yearly basis as to okay theseformational questions would generate rate of risk. What do we think um would be a uh compensating control the controls that would help mitigate that risk?

Mike: Hola, Jeff, ya sabes que vengo del mundo de la seguridad de la información, donde he trabajado. Soy un tipo de marketing, lo que significa que no sé realmente de lo que estoy hablando, pero lo suficiente como para que resulte peligroso. Pero mira, me remonto a las pruebas de penetración y a la creación de kits de herramientas de explotación para que la gente no tuviera que pasar 40 horas escribiendo código Python y pudiera ejecutarlo. Ya sabes.

Mike: Creo que las revisiones y la recopilación es donde mucha gente se queda atascada con el riesgo de terceros, ¿verdad? Correcto. Parece abrumador debido al trabajo manual. Mira, yo defiendo totalmente el enfoque híbrido o algún tipo de enfoque en el que tú y tu equipo reviséis los resultados. Lo siento, puede que me equivoque, pero creo que es una pérdida de tiempo que vosotros salgáis ahí fuera intentando que la gente responda a la pregunta 38. Y D, ya sabes, sois demasiado inteligentes para eso. Quiero decir, ¿cómo se integra ese tipo de cosas? ¿Qué opinas al respecto?

Jeff: Bueno, en lo que respecta a responder preguntas individuales o realizar las evaluaciones, dependemos de Prevalent para hacerlo con gran parte de su automatización, ya sabes, si quedan dos semanas, les enviamos un correo electrónico. Si queda una semana antes de la fecha de vencimiento, o si la fecha de vencimiento es al día siguiente, o si no has empezado en las próximas dos semanas, se envía un correo electrónico al contacto. Um, así que, uh, no hacemos mucho de eso, pero confiamos en nuestros socios de compras, que tienen gente y, de hecho, mantienen la relación con estos proveedores, y tienen algo que decir en cómo se hacen estas cosas, tienen mucho que decir, pero también hacen mucho para conseguir que se hagan algunas de estas cosas. Por lo tanto, intentamos no involucrarnos demasiado en eso porque, bueno, eso no aprovecha realmente la fortaleza de nuestro equipo y nos gusta asegurarnos de que estamos haciendo cosas como revisar las evaluaciones a medida que llegan. Y luego también hablaré un poco sobre cómo nos relacionamos con los proveedores si consideramos que son un problema. ¿Responde eso a tu pregunta, Mike?

Mike: Sí, así fue. Mira, lo que pasa es que, para mí, lo importante es que, independientemente de cómo se llegue allí, no importa. Sinceramente, es como hacer salchichas. Vosotros tenéis problemas más importantes que resolver que...

Mike: Ya sabes, conseguir que la gente responda a las preguntas. Deberíais revisar los resultados y tomar decisiones basadas en el riesgo, decidir a quién corregir y qué decirle a la gente para que el negocio siga por buen camino, en lugar de dedicar una cantidad ridícula de tiempo a tareas sin importancia, francamente.

Jeff: Sí. No, lo entiendo. Eh, bueno, voy a repasar esto rápidamente. Hay un nivel de riesgo que determina el número total de registros de riesgo y el número de riesgos críticos. Y, de nuevo, hacemos algunos ajustes con respecto a lo que es un riesgo crítico y lo que no lo es, basándonos en los comentarios que recibimos de nuestros socios de compras o de cualquiera de nuestros colegas del departamento de ciberseguridad, o simplemente en nuestra propia experiencia. Así que hacemos eso y luego el número de riesgos determina si se trata de un estado rojo, amarillo o verde, y si es un estado rojo, entonces nos comprometemos con el proveedor y creo que esa es la siguiente diapositiva, Melissa.

Melissa: Antes de pasar al siguiente tema, hemos recibido dos preguntas que preguntaban lo mismo: la gente tiene curiosidad por saber cuántas personas forman el equipo que se encarga de la gestión de riesgos de terceros.

Mike: Sí, los he visto. Jeff, ¿podrías explicarnos cuáles son las responsabilidades de cada uno? Porque supongo que tú estás en la cima, ¿no? En cuanto a apoyo en términos de mano de obra. Así que sería genial identificar qué hace cada persona o cada grupo, sin obviamente...

Mike: también lo estoy haciendo.

Jeff: Sí. Así es. Y, sinceramente, todo nuestro equipo realiza este tipo de revisiones con frecuencia. Sin embargo, hay muchos tipos diferentes de actividades en las que he asignado a subgrupos o individuos la responsabilidad de proponer diferentes soluciones. Quiero decir que tenemos gente que se encarga de, ya sabes, cada año los mismos cambios de luz y, eh, tenemos gente que se encarga de eso. Tenemos gente que se encarga de, ya sabes, el proceso que utilizamos, cómo podemos hacerlo más eficiente. Solo el proceso de identificar... Tenemos gente, tenemos gente en compras y sistemas que identifica quiénes son nuestros contactos en los proveedores, pero tenemos que echar un vistazo y asegurarnos de que estamos enviando a las personas adecuadas. Y luego, cuando hacemos una campaña, hay bastantes personas que se involucran en ese proceso. En general, mi equipo tiene... eh... siete personas además de mí. Y tienes razón, yo estoy ahí arriba. Ellos no, ya sabes, yo intento no estropear las cosas... eh... haciendo el trabajo, el trabajo real, pero... eh... ya sabes, ellos hacen un gran trabajo y nos reunimos a menudo para... eh... algunas de estas... eh... subtareas. Eh... entonces, ¿te parece bien, Mike?

Mike: Sí, señor.

Jeff: Muy bien. Muy bien. Y creo que he respondido a las preguntas de Melissa, del equipo de participantes. Así que sí. Vale. Reunión sobre el estado rojo. Sí. Si determinamos que alguien es un proveedor en estado rojo, lo que hacemos es pedir al departamento de compras que convoque una reunión y, en muchas ocasiones, contamos con la presencia del departamento de compras o del enlace de compras en esa reunión. Hay ocasiones en las que contamos con el comprador que forma parte del departamento de compras, que es el que más trabaja y el que mantiene la relación con ese proveedor. Y luego, por parte del proveedor, pedimos a las personas que han completado la evaluación y a cualquier otra persona que sea apropiada. Durante la reunión inicial, revisamos el riesgo centrándonos principalmente en los riesgos críticos. Y les pedimos que se comprometan a completar esto y que vuelvan y elaboren algún tipo de calendario sobre cuándo pueden remediar estos riesgos. Sabemos que, para muchos de estos proveedores, no es una tarea fácil. No es algo que se pueda hacer en un mes, en dos meses o, a veces, en seis meses. Pero lo que pedimos es que se sigan haciendo progresos y que se mantenga la comunicación a través de la plataforma predominante. Esta plataforma hace un buen trabajo a la hora de facilitar la comunicación desde dentro, y luego recopilamos nuestra comunicación y la ponemos a disposición de cualquiera que necesite consultarla. Y ese es nuestro principal método de comunicación entre nosotros y los proveedores. Y después de esa reunión, tenemos una reunión de seguimiento en la que les pedimos que pongan en los comentarios cuál es su calendario para la remediación y los revisamos en esa reunión de seguimiento y respondemos a cualquier pregunta a medida que profundizan en lo que tienen que hacer. Si tienen alguna pregunta, la respondemos durante esa reunión de seguimiento. Pero intentamos mantenernos involucrados hasta que se produzca la corrección y el proveedor salga del estado rojo y elimine sus riesgos críticos. Lo hacemos volcando los comentarios en los registros de riesgos, más o menos una vez al mes, para ver qué han estado haciendo. Si quieren tener otra reunión, también lo haremos. Pero, en general, después de las primeras reuniones, lo gestionamos por correo electrónico o, principalmente, a través de la plataforma. Hemos tenido bastante éxito con esto y, en muchos sentidos, creo que es donde aportamos más valor. Nos hemos dado cuenta de que hemos tenido más de 100 proveedores. Nos hemos reunido con más de 250 de nuestros proveedores durante el último año y hemos conseguido que unos 120 de ellos pasen de un estado rojo a uno más conforme, y ahí es donde, como he dicho, creo que es donde aportamos valor. Sabemos que es un pequeño subconjunto de nuestros proveedores, sin duda. Pero, en mi opinión, está elevando el nivel de todos.

Mike: Hola, Jeff, hemos recibido tres preguntas y creo que vamos a pasar a nuestra sección de preguntas y respuestas, en la que yo te haré preguntas, pero también estaremos encantados de responder a las preguntas del público. Eh...

Mike: El primero trata sobre el tarado, un poco alejado de lo que hemos hablado. Voy a leerlo. Muchos equipos de compras utilizan un enfoque por niveles para segmentar a los proveedores de la empresa. ¿Cómo se aborda el problema de que las partes interesadas de la empresa consideren que los proveedores de nivel inferior no son tan importantes desde el punto de vista cibernético como los de nivel superior? Mi hipótesis es que no quieren que su personal trabaje con proveedores de nivel superior, donde se les somete a un escrutinio excesivo.

Jeff: Sí. Bueno, quiero decir que a veces hay ejemplos clásicos en los que intentas citar, eh, empresas de climatización que, eh, que, eh, ya sabes, tuvieron algunos, eh, problemas en los que, eh, los hackers entraron en, eh...

Jeff: Sí, diría que ese es el objetivo, ese es el objetivo. Así que eso es sin duda lo que...

Jeff: Eh, es el ejemplo principal que utilizamos. Pero, eh, pero, de nuevo, solo explica que, eh, ya sabes, las amenazas están por todas partes. Las amenazas afectan a todo el mundo. No siempre se trata de hackers que entran a través de un proveedor. Muchas veces ni siquiera tienen conexión. Pero tenemos que asegurarnos de que ese sea el caso. Una de las preguntas que hemos añadido al sig lighter. Una adición que hicimos a una pregunta fue: ¿tienes un plan de recuperación ante desastres y este implica acudir a nuestro equipo de búsqueda, nuestro equipo de respuesta a incidentes, con un correo electrónico? ¿Tienes eso en tu plan? Y esa era solo una forma de saber que nuestros intereses están ahí para eso. Así que... Tenemos que comprobar eso para todos los proveedores y... Y realmente... Y luego hay otros proveedores que... Que tendrían un impacto negativo en nuestro negocio o en nuestras instalaciones de fabricación y... Y muchas veces simplemente no sabes de dónde vienen las amenazas y cuál podría ser el impacto. Así que...

Mike: Sí.

Mike: Um, veamos, tenemos una pregunta de Janet y otra de un asistente anónimo. Se trata del mismo tema: cómo se recopilan las pruebas de la mitigación de riesgos y cómo... Y voy a ir un paso más allá. ¿Cómo se puede hacer cumplir la mitigación? Siempre me parece que los programas de TPRM se enfrentan a un reto porque se puede identificar algo, pero si no se puede hacer cumplir la solución, a veces puede carecer de fuerza. Así que, eh, cómo se recopila es la primera pregunta y luego, ¿cómo se hace cumplir, cómo se hacen cumplir las actividades correctivas? Eh, bueno, quiero decir que son preguntas estupendas, sin duda. Eh... y me gustaría tener una respuesta realmente buena para eso, y la respuesta es... eh... no lo capturamos, creo que mencioné que el siglet es una autoevaluación y, con el volumen de personas, eh... de proveedores que tenemos, simplemente... eh... no podemos hacerlo. Entonces, lo que sucede en Ford, no estoy diciendo que simplemente digamos «oye, lo que sea que haga el proveedor», sino desde el punto de vista del nivel de servicio. Eh, si un proveedor, eh, ya sabes, proporciona a Ford un servicio de TI, eh, el propietario del negocio, eh, tiene una evaluación separada, eh, o separada, eh, bueno, supongo que es una evaluación que hay que hacer desde ese nivel de servicio. Y ahí es donde recopilan pruebas de que esas cosas se hacen. En ese momento, depende del propietario de la empresa para ese servicio en particular. Desde nuestro punto de vista, no... no... bueno, simplemente no tenemos los recursos para hacerlo y, en este momento, no tenemos la autoridad para hacerlo. ¿Había una segunda parte a esa pregunta?

Mike: No, tú respondiste a ambas preguntas que teníamos.

Jeff: De acuerdo.

Mike: Continuando con el tema, para añadir a mi adquisición, a menudo los equipos de adquisición asignan niveles basados en el coste, sin embargo, incluso los proveedores que cuestan un poco pueden tener importantes problemas cibernéticos o repercusiones importantes. Estoy completamente de acuerdo con eso, pero Jeeoff, ¿no sería eso algo así como tener que establecer un criterio que sea algo binario? Si creas algo relacionado con el F-150, eres de nivel uno. Y punto. Como yo, ya sabes, porque si no podemos fabricar el F-150, y creo que hubo un fabricante alemán durante la COVID que no pudo conseguir una pieza y tuvo que cerrar. Así que...

Jeff: Correcto. Correcto.

Mike: Bueno, eso es lo que parece, pero yo no soy un experto.

Jeff: Bueno, hay ciertos criterios que utilizamos para evaluar la prioridad. El coste es uno de ellos, pero no es el único ni, desde luego, el más importante. Pero tenemos, ya sabes, obtenemos de compras una lista de los proveedores del F-150, que son los que están en lo más alto de la lista. Tenemos... bueno, cualquier otro proveedor secuencial que necesite el inventario para fabricar esa pieza, esos tienen prioridad. Cuánto gastamos con ellos... Eso es uno de ellos. Diría que probablemente sea uno de los últimos.

Mike: Sí. No es cuestión de costes. Es cuestión del impacto que tiene en el negocio, ¿no?

Jeff: Sí. Exactamente. Sí.

Mike: Eh, ¿cómo se trata a un empresario que prefiere asumir el riesgo en lugar de obligar al proveedor a remediarlo? No sé si tienes algo que decir al respecto, pero...

Jeff: No, no lo hacemos. Como he mencionado, estamos proporcionando información al equipo de gestión de riesgos de los proveedores. Ellos tienen sus propias políticas y procesos de aceptación de riesgos. Nosotros no formamos parte de eso, pero sin duda eso es lo que ocurre. Quiero decir que, en muchas ocasiones, las prioridades empresariales son primordiales.

Mike: Interesante. Sabes, estamos viendo esto cada vez más y estoy empezando a darme cuenta, ya sabes, estoy ahí fuera hablando con clientes y gente y parece que se están creando más centros de compras en los que hay alguien de compras, alguien de legal, alguien de riesgos, alguien de seguridad.

Mike: A medida que incorporan proveedores, están empezando a pensar en esto de forma más coherente, en lugar de...

Mike: Sabes, yo dirigía un sitio en Brad Street. Dirigíamos ese sitio, ¿verdad? Oh, tú te encargabas de eso.

Mike: hecho, ¿verdad?

Jeff: Sí.

Mike: En contraposición, ¿necesitamos riesgos a nivel empresarial? ¿Necesitamos un montón de otras cosas que, claro, podrían afectar a esto?

Mike: Entonces, voy a ampliar un poco la pregunta de Joel, pero ¿el departamento jurídico tiene algún papel en la gestión de riesgos de terceros? La respuesta puede ser sí o no, y puede explicarla, pero ¿quién más tiene voz y voto en este asunto? O bien, el programa se ha creado y sigue evolucionando, ¿cuál sería su configuración ideal en este sentido?

Jeff: Bueno, tenemos algunos consejos de administración a los que rendimos cuentas a través de algunos de nuestros directivos y de las personas que, como sabes, están realmente al mando. Está nuestro OGC, claro, y ya sabes que hay contratos con estos equipos y tenemos que asegurarnos de no sobrepasar cuáles son sus obligaciones. Y también está la gestión de riesgos de los proveedores de compras. Está nuestro equipo de operaciones de compras generales. Nuestro equipo de TI que da soporte a las compras, nuestro CISO... Y, en realidad, esas son las personas que participan, los equipos que participan en la toma de decisiones sobre lo que haremos en el futuro.

Mike: Entendido. Alguien preguntó... Bueno, una de las cosas que vemos aquí cuando hacemos... Ya sabes, sé que todos están en nuestra base de datos, ¿verdad? Y les enviamos muchos correos electrónicos. Los temas de cumplimiento normativo generan un interés desproporcionado. NIST ICE. Ya sabes, ese tipo de cosas. Entonces, ¿cómo han recibido los reguladores su enfoque y su proceso? ¿Hay algún aspecto que, si pudiera volver atrás, cambiaría? ¿Ha sido una transición bastante fluida? Solo por curiosidad.

Jeff: Bueno, sé que si volviéramos a hacerlo, probablemente tendría un mejor plan de comunicación tanto a nivel interno como externo, eh, dentro de la empresa.

Jeff: Bueno, porque hay ocasiones en las que dependemos mucho de nuestra gestión de compras, así que es una especie de efecto dominó, y esto es lo que va a pasar: enviamos estas evaluaciones y, muchas veces, el efecto dominó no se produce, por lo que el proveedor vuelve y se dirige a su comprador y le dice: «Oye, esto parece un intento de phishing». Viene de Ford, porque teníamos un correo electrónico de relay.com. Pero, chico, esto parece pesca. He hecho mi formación y tengo que asegurarme de que esto es correcto, de que es apropiado. Pero entonces nuestros compradores en algunos casos no lo saben, ¿verdad? No saben que estamos haciendo esto y es una empresa global y hay diferencias, ya sabes, así que probablemente habría hecho mejor el plan de comunicación, tanto a nivel interno como, bueno, sobre todo a nivel interno, desde lo que estamos tratando de hacer. Así que...

Mike: solo una pregunta.

Jeff: Sí, así fue. Y, bueno, siempre hacemos una de mis preguntas favoritas: si fueras rey por un día o si pudieras retroceder en el tiempo, ¿qué consejo te darías a ti mismo? Acabo de ver The Flat. Así que, ya sabes...

Jeff: así que además de darme un ascenso con eso.

Mike: Sí, ahí lo tienes.

Jeff: De acuerdo.

Mike: ahí lo tienes. O quizá no haber dejado que Barry Sanders se retirara demasiado pronto. Pero eso es otra conversación para otro día.

Jeff: Eso es otra conversación.

Mike: Este año os va a ir bien, pero eso no viene al caso. Oye, Melissa, llevamos bastante tiempo lanzándole preguntas a Jeff. Sé que teníamos más, pero quería darle una oportunidad a Scott. Sé que tenemos, eh... ya sabes, Scott, una oportunidad para poner a todos al corriente en solo dos minutos, hacer la última pregunta de la encuesta y dejar que todos se sirvan otra bebida antes de que lleguemos al final de la hora. Entonces, ¿estaría bien hacer una pausa aquí por un minuto y dar los siguientes pasos? Es que, ya sabes, mira, Jeff, tal vez solo hagamos una ronda de preguntas y respuestas. Ya sabes, sé que esto ha llevado bastante tiempo. Tenemos mucho, pero nunca hemos tenido tantas preguntas activas a lo largo de todo el proceso, así que está claro que hay demanda para escuchar lo que tenías que decir. Así que quizá podríamos hacer una ronda de preguntas y respuestas contigo en algún momento. Y cuidado, hemos tenido algo de gente, así que es posible que tu correo electrónico se llene pronto, pero...

Jeff: Vale. No es nada sorprendente, ya sabes.

Melissa: Sí. Eh, sí, y no es nada raro, así que no te preocupes.

Scott: Uh, awesome. Yeah, great. Thanks, Mike. Uh, and thanks, Jeff. I’m just going to take, uh, you know, just a couple of minutes to talk about, you know, prevalence approach to addressing the third party risk management challenge. And then once I’ve kind of walked through a little bit of our approach, then we’ll pass it back over to Jeff and I imagine there’ll be some more questions to answer. So, Melissa, if you could move to the next slide, please. Um, ultimately what we’re trying to help organizations accomplish is to three primary uh questions or issues or to address three primary goals and the first of those is to uh get the data you need to make better insights. You know, maybe you’ve got it in silos. Maybe different departments are managing uh the vendor relationship. Maybe you know your procurement team uh owns the relationship but it’s IT security or risk management that executes the uh the actual assessments, right? Bringing that information together into one place uh that helps you make good uh informed decisions on um you know risk scoring, risk posture, remediation and next steps with vendors. Item number one. Item number two kind of relates to number one is increasing team efficiency and breaking down silos. You know you’ve got uh you know as I mentioned procurement might own a vendor relationship, excuse me, it might execute on the assessment. You finance might be involved. You’ve got the external auditors to deal with and everybody has a little piece of the puzzle that they’re that they’re playing with here. So pulling everything together into a single uh platform that enables you to action risk uh execute on reporting efficiently um is uh is is one of the ultimate goals here. And then third and the big one frankly is evolving and scaling your program over time. Uh whether you’re adding suppliers, making an acquisition, did a devestature, you know, reducing suppliers, going through rationalization process, whatever, you have to be able to have a a nimble and agile program that kind of flexes with uh you know, business requirements. Uh and that’s what, you know, a a a TPRM platform like Prevalent uh can can really help you accomplish. Next slide, please. Um so our approach is to and you can build it out a little bit more, Melissa, till you see the little blue bars at the bottom. There you go. Uh what we what we what we really talk about is and what we see in the market is that there are distinct risks at every stage of your third party vendor and supplier relationship. You know, you see risk during sourcing and selection. These guys have a kind of a a early sock 2 report or some spotty financial issues, maybe poor credit rating or maybe they’ve got some sanctions or reputational problems you have to address. That’s a very different type of uh risk to look at and manage and frankly sometimes a different department to take a look at that risk than at the top of that uh graphic right there in the assess and remediate function where you’re doing a much deeper dive on your on particular due diligence topics, you know, uh security um uh policies um ESG program um data privacy and protection policies you know financial compliance and more. You know every one of these stages around this this this life cycle presents its own unique challenges mostly related to a lack of insight not having stuff you know kind of pulled together having a very manual uh approach and then the solutions are also unique to every one of these wedges uh in this life cycle as well from being much more prescriptive about getting intelligence uh into your RFX processes to onboarding and contracting and building in the right uh right right to audit clauses automating your assessment processes enabling continuous monitoring of data so that you’ve got feeds of information coming into your environment continuously in between your regular assessments or your triggered assessments monitoring the SLAs’s and the KPIs and the KIS for each of those vendors make sure things are followed up on appropriately and then eventually as all relationships do um you know and they come to an end and you know what are the specific tasks and process that have to be addressed before you, you know, uh, you know, terminate a particular contract. At the end of the day, we’re trying to accomplish for you, you know, a a simplified and sped up process for onboarding vendors, getting you to a single source of the truth, closing gaps and processes, excuse me, and then unifying uh, everybody in the organization uh, around the third party life cycle. Next slide, please Melissa. You know, we address uh, a whole host boost of risks in a prevalent platform. Here are six categories of them. And this is just a sample of what I could squeeze in the tiniest type I could find on a slide. Uh but it just gives you an idea of how um elastic the platform can be in uh managing risk whether you’re issuing a dedicated assessment for one of these categories or you’re consuming you know monitoring feeds to make decisions. Next slide please Melissa. Um you know what we actually deliver as far as solution is really three-part harmony. Uh first is the expertise that we deliver uh through our risk operations center which Jeff mentioned uh you know earlier on in the presentation. You know this is this is our managed services organization that does a lot of the hard work for you from onboarding uh assessment and scheduling uh collection and management uh analyzing responses and evidence and documentation and then helping you define the right remediations to go back out to your to your vendors with. Um a whole host of data sources that we pre-integrated ready on your behalf. So you don’t have to try and tie a bunch of data feeds together into the platform. We pump it all in there for you right into the same risk register that your assessment responses appear in with some correlating between uh the the disperate findings so you can then take action on on uh you know potential gaps or or problems when you’re validating uh assessment controls with uh with outside monitoring data. And then finally we has it all in one platform that enables you to get great workflow uh reporting and then risk management guidance. um to share with the rest of the organization. Next slide, please Melissa. I mean really at the end of the day, our objective is to help you um make good well-informed decisions, be smarter uh by giving you comprehensive risk and performance insights, great analytics and role-based reporting for your internal and external stakeholders to unify your teams under a single source of the truth. To look at the life cycle on a unified basis from onboarding to offboarding and then give you descriptive guidance and intelligence to help you to understand what to do with the risks you find and uh and how to dispose of them of uh and uh and triage them from there. So honestly that’s our approach to thirdparty risk management to take a look at the life cycle address those risks at every life cycle and then give you you know the the process the intelligence uh and the guidance to help you improve that program over time and I think that’s pretty well representative of of some of the capabilities we’ve been able to uh to deliver forward And I’ll kind of pitch back over to Melissa if you want to open up for questions or Mike.

Melissa: Antes de pasar a esas preguntas, veo que se nos han acumulado algunas. Así que voy a lanzar nuestra segunda pregunta de la encuesta. Seguid enviando preguntas, chicos. Y, bueno, ya sabéis que tenemos curiosidad. ¿Estáis pensando en ampliar o crear un programa y un TPR? Como he dicho, sed sinceros. Haremos un seguimiento con vosotros. Soy yo en persona. Soy una persona real. Haré un seguimiento con vosotros. Y, bueno, ya sabéis que quiero asegurarme de que no dejamos a nadie atrás. Así que responded lo mejor que podáis. Una vez hayamos terminado con eso, creo que tendremos tiempo para dos preguntas más. Mike, si quieres repasar algunas de ellas, o Jeff, las que creáis que son más valiosas, os las pasaré a vosotros.

Mike: Sí, déjame echar un vistazo... Esta es una buena pregunta de Katherine. Cuando realizas tus revisiones anuales, ¿cómo te aseguras de que se cumplen los acuerdos de nivel de servicio (SLA)? Si no es así, ¿qué medidas tomas para garantizar que el proveedor vuelva a cumplir con lo acordado?

Jeff: Bueno, eh, de nuevo, eh, lo que pasa es que nosotros, eh, quiero decir, enviamos muchos, eh, muchos correos electrónicos que son, eh, correos electrónicos de recordatorio, e incluso, eh, vamos a intentar que el departamento de compras envíe un par de correos electrónicos después de que haya finalizado el periodo de evaluación. Muchas veces recibimos una evaluación, recibimos una solicitud para ampliarla y, por supuesto, lo hacemos. He mencionado un estado rojo, amarillo y verde. Hay otro estado que utiliza el departamento de compras, que es el estado naranja, y el estado naranja significa que no han cumplido con la evaluación. No la han completado a tiempo. Quizás ni siquiera la han empezado. Y tuvimos un caso, y este es el primer ejemplo que he oído de que esto haya sucedido. Un proveedor estaba trabajando con el comprador para, ya sabes, para una compra, y el comprador vio que había un naranja en el panel de control junto al nombre del proveedor para indicar que no habían completado la evaluación, y detuvieron la compra, y eso se convierte en un proveedor motivado en ese momento. Así que aprovechamos eso tanto como cualquier otra cosa.

Mike: Bueno, esta será la última pregunta. Solo quiero darle la oportunidad a todo el mundo y luego Melissa te devolverá la palabra, pero... Me gusta esta pregunta. ¿Alguna vez has... Es una pregunta larga, pero ¿alguna vez has dejado de evaluar a alguien por ser alguien como Microsoft? ¿Qué opinas al respecto?

Jeff: Sí, prácticamente nos ignoran. Me refiero a las grandes, como Cisco, Microsoft, Amazon, Oracle... Bueno, no es que nos ignoren del todo. Lo que suele pasar es que cada uno de los miembros de nuestro equipo directivo o del equipo de gestión de TI... Quiero decir, a través de nuestro director de informática, gran parte de la dirección es una especie de gestor de relaciones con algunas de las grandes empresas, como Microsoft y todas las demás, y trabajamos con ellos para asegurarnos de que tenemos lo adecuado, ya sabes, que tienen todo lo que necesitan y, en general, lo hacen a través de otros directores. Así que otros métodos y, bueno, ellos no rellenan un formulario SIG, sinceramente.

Mike: Apuesto a que no.

Jeff: Sí.

Mike: Apuesto a que no. Oye, déjame volver a poner el vídeo. Es que mi conexión a Internet ha estado fallando. Pero Jeeoff, esto ha sido increíble. Gracias. Sabes, la cantidad y la calidad de las preguntas creo que representan el deseo de escuchar a alguien como tú en un programa consolidado, y has hecho un gran trabajo. Te agradezco mucho el toque personal. Ha sido increíble. Así que gracias de parte de todos los que estamos de viaje. Ha sido genial.

Jeff: De acuerdo. Gracias, Mike. Te lo agradezco. Y creo que la presentación se va a enviar. ¿Es eso correcto?

Melissa: Sí, así es.

Jeff: Muy bien. Creo que tengo mi dirección de correo electrónico ahí. Estaré esperando tus correos.

Mike: Ahí lo tienes. Melissa, ¿algo más?

Melissa: Sabes, realmente valoro mucho esta interacción. Creo que es muy útil en comparación con todas las preguntas y respuestas que solemos recibir. Esto es bastante. Así que espero que todos lo hayan encontrado valioso. Quizás incluso tengamos la suerte de contar con él en el futuro. Así que estad atentos, todos. Gracias, Mike, por participar. Sé que hoy tienes mucho que hacer, y Scott también. Y, por última vez, gracias, Jeff. Nos vemos en un próximo seminario web y en vuestros buzones de correo electrónico. Cuidaos, chicos. Que tengáis un buen día.

Jeff: Muy bien. Gracias. Adiós.