Creación de un inventario de proveedores: la base para la respuesta a incidentes de terceros

Ashley: Hola a todos. Ashley: Feliz miércoles. Ashley: Estamos encantados de teneros aquí. Ashley: Espero que estéis teniendo un buen día hasta ahora. Ashley: Voy a daros un minuto para que os acomodéis y os conectéis. Ashley: Mientras tanto, voy a lanzar nuestra primera encuesta. Ashley: Tenemos curiosidad por saber qué os ha traído al seminario web de hoy. Ashley: ¿Es por motivos educativos? Ashley: ¿Estáis en las primeras etapas de vuestro viaje con TPRM? Ashley: ¿Sois clientes actuales? Ashley: ¿Simplemente os encantan Bob y Scott? Ashley: Sea cual sea el motivo, contádnoslo. Ashley: Y no puedo olvidarme de las presentaciones. Ashley: Me llamo Ashley. Ashley: Trabajo en desarrollo empresarial aquí, en Prevalent. Ashley: Y nos acompañan unos invitados muy especiales. Ashley: El director ejecutivo de Cyber Marathon Solutions, Bob Wilkinson. Ashley: ¿Qué tal, Bob?

Bob: Todo va genial, Ashley.

Ashley: Y nuestro vicepresidente de marketing de productos, Scott Lang. Ashley: ¿Qué tal, Scott?

Scott: Hola, Ashley. Scott: Hoy estoy muy bien.

Ashley: Excelente. Ashley: Eh, solo un pequeño aviso. Ashley: Este seminario web está siendo grabado y enviaremos una copia junto con las diapositivas de la presentación poco después del seminario web. Ashley: Eh, actualmente todos ustedes están en silencio, pero nos encanta que participen. Ashley: Por favor, escriban sus preguntas en nuestro cuadro de preguntas y respuestas, y las responderemos al final del seminario web. Ashley: Hoy, Bob compartirá sus ideas sobre cómo crear de manera eficiente un inventario de proveedores. Ashley: Dicho esto, Bob, te cedo la palabra.

Bob: De acuerdo. Bob: Muchas gracias, Ashley. Bob: Hola a todos. Bob: Vamos a hablar sobre el inventario de proveedores y el papel que desempeña a la hora de ayudarnos cuando nos encontramos con incidentes de terceros. Bob: Como alguien dijo una vez: «Hay empresas que saben que han sido hackeadas y otras que aún no se han dado cuenta». Bob: Por lo tanto, es un verdadero desafío para el que debemos estar preparados. Bob: Y una de las cosas clave que nos ayuda a prepararnos para gestionar un incidente es tener un buen control de nuestro inventario de proveedores. Bob: Y eso se extiende no solo a los terceros, sino a todos los subcontratistas, los cuartos y quintos. Bob: Se extiende al software de terceros que nuestras organizaciones podrían utilizar. Bob: Hay varias formas de analizarlo. Bob: ¿Dónde residen nuestros datos? Bob: ¿Están en tierra? Bob: ¿Están en el extranjero? Bob: ¿Y entendemos realmente todas esas cosas? Bob: Así que hoy vamos a empezar hablando de algunos incidentes recientes y destacando la tendencia de que lo que antes se llamaba incidentes de cisne negro, debido a su rareza, se está volviendo demasiado común en estos días y cómo eso está ejerciendo mucha presión sobre las organizaciones. Bob: A partir de ahí, pasaremos a una visión general de la gestión de incidentes y luego hablaremos de la gestión de incidentes para cadenas de suministro ampliadas. Bob: A partir de ahí, hablaremos de las técnicas para crear un inventario completo de la cadena de suministro y de algunos de los riesgos que conlleva intentar crear ese inventario, así como de algunas cosas que hay que tener en cuenta. Bob: A partir de ahí, hablaremos de los desencadenantes de eventos que pueden dar lugar a incidentes y que debes tener en cuenta e incorporar a tu programa. Bob: Y luego, ¿quiénes son las partes interesadas clave que pueden ayudarnos a ser más eficaces en la creación de nuestro inventario y a quienes no debemos descuidar en el proceso de creación de ese inventario? Bob: A partir de ahí, voy a pasar a discutir el valor de categorizar a nuestros terceros en lo que yo denomino «dominios de riesgo» y cómo eso es un aspecto valioso para ayudar a limitar el riesgo para la organización y centrarse en los controles realmente importantes en tipos específicos de relaciones con los proveedores. Bob: Siempre que hablamos de gestión de incidentes.

Bob: Siempre que hablamos de gestión de inventario, es importante mencionar la importancia de los terceros con los que trabajamos. Bob: ¿En qué debemos centrarnos para determinar la importancia de esos terceros? Bob: A partir de ahí, hablaremos del proceso de incorporación de terceros y de lo importante que es para ayudarnos a tener un inventario preciso. Bob: A partir de ahí, pasaremos a la supervisión continua y también hablaremos de algunas cosas que debemos tener en cuenta en la supervisión continua y del reconocimiento de que las relaciones que mantenemos con terceros cambian con el tiempo y de cómo necesitamos contar con un proceso que nos permita volver periódicamente y asegurarnos de que realmente comprendemos claramente la naturaleza de la relación. Bob: porque las relaciones cambian con el tiempo y luego concluiremos con algunas conclusiones clave de la conversación. Bob: Entonces, pasando al tema, ¿qué tienen en común los siguientes incidentes recientes? Bob: Y lo importante de esta lista es que sigue creciendo y que se trata de acontecimientos significativos. Bob: Hemos tenido varios incidentes en el canal de Suez que han bloqueado el canal y han paralizado la cadena de suministro global. Bob: Recientemente hemos tenido un terrible accidente en Baltimore, donde un barco chocó contra un puente y bloqueó el puerto, lo que tuvo importantes repercusiones no solo para el comercio, sino también para las personas que vivían en la zona. Bob: Todos sabemos lo que es la COVID-19, pero, para aquellos que quizá no estén al tanto, la gripe aviar H5N1 es ahora un problema en Estados Unidos y, si no tomamos las medidas suficientes para abordarlo ahora, podría ser nuestra próxima crisis. Bob: Hace 15 años viví un brote de gripe aviar en México y fue absolutamente terrible, y personas que conozco murieron como consecuencia de ello. Bob: Así que se trata de cosas serias. Bob: Probablemente todos hayamos oído hablar de los recientes ataques de ransomware a casinos, en los que un casino pagó el rescate y envió una nota a todos sus miembros diciendo: «Hemos pagado el rescate, sus datos están a salvo», o quizá no, y la otra empresa que no pagó el rescate y tuvo que acabar gastando cuatro veces más dinero para hacer frente a las consecuencias de ese ataque de ransomware. El cambio climático.

Bob: Bueno, si estás en Estados Unidos, lo más probable es que esta semana tengas días con temperaturas de 32 °C durante los próximos días, ya que se avecina una ola de calor. Bob: Recientemente hemos visto ataques a software de terceros en muchos casos que son críticos para la infraestructura de Internet, SolarWinds Log 4j Move It, y cuando ocurren esos incidentes, nos cuesta averiguar si estamos utilizando alguno de esos programas y no tenemos una buena visibilidad de ellos, lo que alarga el tiempo de respuesta al incidente y pone a todas nuestras organizaciones en mayor riesgo. Bob: Así que la conclusión es que las cosas están empeorando y lo que solíamos llamar incidentes infinitos de cisne negro se están volviendo demasiado comunes. Bob: Empecemos hablando de la gestión de incidentes. Cuando lo pensamos, tener un proceso dentro de nuestra organización que hayamos desarrollado, documentado, compartido y probado se vuelve fundamental para nuestra capacidad de responder a un incidente, y tiene muchas dimensiones cuando hablamos de ello. Bob: Pero si no tenemos ese proceso bien definido y no lo probamos con antelación, cuando lo necesitemos, lo más probable es que el proceso nos falle. Bob: Por lo tanto, al contar con un buen proceso de gestión de incidentes, aumentamos la probabilidad de ser operativamente resilientes y de poder hacer frente a un incidente con una interrupción mínima de la actividad empresarial. Bob: Por lo tanto, cuando se produce un incidente, lo primero que tenemos que hacer, después de que se haya notificado, es clasificarlo. Bob: Por lo tanto, lo que solemos decir es que tenemos un evento, pero no sabemos qué es. Bob: Así que lo clasificamos y determinamos que se trata de un incidente, cuál es su posible impacto y urgencia, y entonces sabemos cómo priorizarlo. Bob: Por lo tanto, no todos los eventos anómalos que ocurren son necesariamente incidentes, y debemos seguir ese proceso para determinar si lo son o no. Bob: Así que nos hemos preparado, hemos documentado nuestro proceso, lo hemos probado y hemos realizado simulacros con nuestras empresas para que todos los que puedan verse involucrados en un incidente sepan cómo responder. Bob: A continuación, detectamos el incidente.

Bob: Y aquí es fundamental que contemos con mecanismos eficaces de detección y supervisión en nuestro entorno para que podamos saber cuándo se ha producido un incidente. Bob: Clasificaremos y analizaremos ese incidente para determinar su gravedad, su impacto y su urgencia. Bob: A continuación, procederemos a contener el incidente y trabajaremos para recuperarnos del mismo y restablecer nuestros servicios a los clientes. Bob: Y, por último, en algunos aspectos, la parte más importante de este proceso es el seguimiento posterior al incidente. Bob: ¿Qué lecciones hemos aprendido? Bob: He visto numerosas ocasiones en las que las empresas se han visto afectadas por incidentes. Bob: No han aprendido de ellos. Bob: No han vuelto atrás y han corregido sus sistemas, y vuelven a sufrir el mismo incidente. Bob: Por lo tanto, es fundamental dedicar tiempo después de recuperarse de un incidente a realizar un seguimiento y aprovechar las lecciones aprendidas en ese incidente. Bob: Por lo tanto, en lo que respecta a la gestión de incidentes de terceros. Bob: La necesidad de disponer de un inventario de terceros preciso y fácilmente accesible es fundamental para gestionar eficazmente los incidentes, responder a ellos y mantener disponibles los servicios de su empresa. Bob: Ahora bien, cuando hablamos de cadenas de suministro ampliadas, es importante comprender dónde se originan la mayoría de los incidentes. Bob: Y cuando hablamos de dónde se originan, una de las cosas que es importante comprender es que la mayoría de los incidentes se originan en terceros. Bob: Lo que es menos conocido, discutido y reconocido es que, a menudo, esos incidentes de terceros comienzan en un cuarto o quinto tercero. Bob: Por lo tanto, una de las cosas que defiendo es que, una vez que identifique cuáles son sus procesos empresariales críticos, dedique su tiempo a comprender todas las relaciones que intervienen en ese proceso empresarial crítico. Bob: Por lo tanto, es posible que su tercero crítico esté utilizando cuartos y quintos. Bob: Profundice en la comprensión de quiénes son esos cuartos y quintos, en lugar de ampliar el enfoque en el sentido de que desea cubrir a todos sus terceros. Bob: Hay que empezar por algún lado. Bob: Si va a empezar por sus terceros críticos, asegúrese de comprender quiénes son esos cuartos y quintos que participan en esa relación.

Bob: Porque lo más probable es que, cuando se produce un incidente, no se trate de si habrá una tercera, cuarta o quinta parte involucrada en ese incidente. Bob: presidente. Bob: También es importante tener en cuenta que los contratos que tienes con tus terceros, los términos de esos contratos e incluyendo tres elementos clave, que son el derecho a auditar, lo que te da el derecho a realizar una evaluación de riesgos, la necesidad de que el tercero se comprometa a remediar cualquier problema que se identifique. Bob: Pero, en tercer lugar, que te notifiquen tan pronto como tengan conocimiento de un incidente que pueda haber ocurrido, lo cual también es vinculante para los subcontratistas de terceros, las cuartas y quintas partes, y que deben seguir el mismo proceso y los mismos términos que figuran en el contrato entre tu empresa y el tercero. Bob: Y luego, con el aumento de los ataques al software de terceros, las organizaciones tienen un inventario de quiénes son sus proveedores de software de terceros. Bob: Y, por lo general, dentro de sus organizaciones de desarrollo de software, sus funciones de seguridad o de arquitectura de software, pueden tener un inventario de todo el software de terceros. Bob: Si lo tienen, eso se convierte en un elemento crítico para usted. Bob: Y si puede vincularlo a su inventario de terceros, tendrá la capacidad de responder mucho más rápidamente en caso de que se produzca un incidente con el software de terceros y de determinar dónde se podría utilizar ese software de terceros en su empresa y si el incidente podría afectarle. Bob: Entonces, ¿cuáles son algunos de los principales riesgos del inventario de terceros a los que nos enfrentamos? Bob: Vaya. Bob: Creo que sí, me he saltado una diapositiva. Bob: Lo siento. Bob: Eh, cuando creas tu inventario de la cadena de suministro, ¿cómo lo haces? Bob: La mayoría de la gente se dirige a sus diferentes unidades de negocio y les pregunta: «Oye, ¿puedes enviarme una lista de todos los terceros con los que trabajas?». Bob: Y ese proceso, que es manual, a menudo da lugar a informes incompletos y, por lo tanto, tu inventario de terceros no está completo. Bob: Una de las cosas que me gusta hacer cuando trabajo con una organización es acudir al personal de cuentas por pagar y pedirles que me den una lista de todos los proveedores, de todos los terceros a los que han pagado en los últimos dos años.

Bob: Porque si tu empresa está pagando a alguien, ahí tienes la lista real de quiénes son tus proveedores. Bob: Y hay que recordar que, en algunas organizaciones, debido a que pueden estar federadas o ser más descentralizadas, es posible que haya varios departamentos de cuentas por pagar a los que hay que hacer esa pregunta y, a partir de ahí, hay muchas herramientas emergentes que te ayudan a identificar las relaciones comerciales que pueden existir entre tu empresa, un tercero y algunos de sus cuartos y quintos terceros. Bob: Y al aprovechar ese tipo de software, te permite descubrir relaciones que nunca supiste que tenías. Bob: También te permite comprender los efectos en cadena cuando te das cuenta de que tu inventario puede tener solapamientos entre diferentes funciones. Bob: Así que tu tercero puede que solo te esté prestando un servicio, pero puede que haya varios terceros que dependan de un cuarto, ya sea para el alojamiento web, para la actividad del centro de llamadas o para otras cosas, y descubras que hay efectos en cadena en los que tienes un riesgo de concentración geográfica más abajo en tu cadena de suministro. Bob: Por lo tanto, si te tomas el tiempo necesario para asegurarte de recopilar estos datos y aprovechar algunas de las herramientas que tienes a tu disposición, podrás descubrir relaciones con terceros y proveedores ampliados que de otro modo no conocerías. Bob: Ahora bien, ¿cuáles son algunos de los riesgos de inventario con los que te encuentras y que pueden causarte problemas en la respuesta a incidentes y en otras áreas? Bob: El más obvio es un inventario incompleto. Bob: Y cuando se crea el inventario, hay que asegurarse de capturar todos los campos relevantes que son importantes para esa relación. Bob: Una de las cosas que a veces se pasa por alto es que no se trata solo del nombre de la empresa, sino del lugar desde el que esa empresa presta el servicio. Bob: Por ejemplo, si utilizas servicios de procesamiento de datos y dices que utilizas IBM en la sede corporativa de IBM o en Armach, Nueva York, y lo incluyes en tu inventario, esos servicios de procesamiento de datos no se prestan en Armach, Nueva York. Bob: Probablemente se prestan en Bombay o Singapur o en algún otro lugar del mundo.

Bob: Y lo que hay que saber es desde dónde se presta ese servicio, porque eso tiene todo tipo de implicaciones, incluso cuando te encuentras en una situación de incidente en la que las normas y reglamentos locales pueden suponer un impedimento para resolver algo. Bob: Es absolutamente fundamental disponer de la información de contacto actualizada de tus terceros, cuartos y quintos interlocutores en caso de que se produzca un incidente y poder ponerse en contacto con ellos y obtener información cuando la necesites. Bob: Y eso significa que debe comprobar periódicamente, ya sea cada 3, 6 o 12 meses, con su tercero y cuarto, y asegurarse de que esa persona sigue trabajando allí y de que sigue siendo el contacto correcto en caso de incidente. Bob: Y por eso es importante realizar pruebas periódicas de sus procesos de gestión y respuesta ante incidentes, porque con el tiempo se detectan fallos. Bob: Por lo tanto, identificar su importancia y reflejarla en su inventario, comprender el volumen de información confidencial al que puede tener acceso su tercero, comprender cómo ese tercero se conecta a su red y puede crear una exposición son aspectos importantes de la gestión del inventario. Bob: Otro aspecto de esto es que, con el tiempo, las relaciones con los proveedores cambian. Bob: Por lo tanto, debe contar con un proceso mínimo para que sus terceros críticos vuelvan al menos una vez al año y comprueben que no se han producido cambios significativos en la relación. Bob: con su tercero. Bob: Algunas de las áreas en las que se manifiesta esto es en un programa piloto en el que se produce un intercambio mínimo de datos. Bob: Ese programa piloto ha pasado a implementarse durante el último año y, mientras que en un principio solo se compartían 100 registros de clientes, ahora se comparten 10 millones de registros. Bob: Ahora se comparten 10 millones de registros. Bob: Eh, terceros que quizá hayan estado realizando un procesamiento mínimo para usted, ahora están procesando información confidencial. Bob: Por lo tanto, si no vuelve a comprobar qué ha cambiado en esas relaciones con los proveedores a lo largo del tiempo, eh, puede correr un riesgo real. Bob: Otro aspecto a tener en cuenta a la hora de mantener el inventario es no hacerlo en hojas de cálculo de Excel. Bob: La automatización es clave para la escalabilidad y para poner fin a cualquier programa de gestión de riesgos de terceros y no tener un inventario automatizado centralizado.

Bob: Esto conduce a lagunas y, a partir de ellas, se producen incidentes. Bob: Otro riesgo al que te enfrentas es tener una cadena de suministro ampliada incompleta para los proveedores críticos. Bob: Necesitas saber quiénes son esas cuartas y quintas partes, especialmente para tus procesos empresariales críticos. Bob: Algunas de las cosas que podrían desencadenar un evento que condujera a un incidente. Bob: Es importante tenerlas en cuenta y, cuando se produzcan, vale la pena consultar con su tercero para comprender qué cambios se han asociado a estos desencadenantes. Bob: Así que, obviamente, en el caso de una violación de datos, querrá volver atrás y comprender cómo ocurrió esto en el tercero, si el tercero ha tomado medidas correctivas o si sigue habiendo una exposición. Bob: Los cambios en la propiedad, ya sea por fusión, adquisición, desinversión o cualquier otro motivo, suelen implicar la consolidación de funciones y sistemas. Bob: El lugar donde se realiza el procesamiento puede migrarse y, cuando se producen cambios de este tipo, suponen un riesgo sustancial de interrupción de su negocio. Bob: Tenga siempre en cuenta que los cambios normativos suelen ser la fuente de problemas dentro de las organizaciones y que debe estar al tanto de cómo cambian. Con los recientes cambios de la FFIC en la gestión de riesgos de terceros que se han publicado en los últimos meses, es importante comprender qué repercusiones tienen en su organización. Bob: Trasladar un centro de datos, ya sea a otra ubicación física en el extranjero o, como es más habitual hoy en día, a la nube, puede dar lugar a la exposición de información y provocar incidentes. Bob: Debe asegurarse de que en su inventario se recoge dónde se procesan las cosas. Bob: Y aunque en la nube es complicado y un proveedor de servicios en la nube dirá: «Bueno, nosotros lo procesamos por usted». Bob: Debe presionarlos para que comprendan dónde residen y se procesan realmente sus datos en la nube. Bob: Ha habido varias interrupciones de archivos de alto perfil con AWS y Azure, en las que se descubre que se tiene un centro de datos redundante en la nube, pero ambos están ubicados en la costa este y, cuando los servicios de Amazon en la costa este se interrumpen, se queda completamente fuera del aire. Bob: Por lo tanto, debe ser consciente de ello y comprenderlo.

Bob: La expansión de la que acabamos de hablar, con nuevas funcionalidades empresariales o cambios significativos en el volumen, es un factor desencadenante, y es necesario comprender las implicaciones que eso podría tener en su organización. Bob: Y, por último, el deterioro de la situación financiera de un tercero es un desencadenante definitivo. Bob: Podría ser cualquier cosa, desde que el tercero cierre su negocio y usted pierda la funcionalidad. Bob: Por lo general, se tiene una buena advertencia previa de eso, especialmente si se supervisan las finanzas de los terceros. Bob: que están en problemas, pero cuando empiezan a tener dificultades financieras, lo primero que hacen es recortar gastos. Bob: Cuando las organizaciones recortan gastos, lo primero que desaparece son los controles. Bob: Por lo tanto, ser consciente de estos desencadenantes de eventos podría serle útil y ayudarle a saber dónde pueden originarse los incidentes y a tomar medidas de forma proactiva para evitar que se produzcan. Bob: Las partes interesadas en su inventario de TPRM. Una de las cosas que considero esenciales para un programa de TPRM eficaz es establecer relaciones en toda su organización con otras partes interesadas clave con las que tiene y necesita trabajar. Bob: Por ejemplo, he visto demasiadas veces programas de terceros que intentan funcionar en el vacío. Bob: Las organizaciones son grandes, pueden ser burocráticas, pero si se toma el tiempo para establecer contacto, y yo siempre sugiero empezar por las organizaciones de compras y abastecimiento, porque son las que suelen contactar con las unidades de negocio para establecer relaciones y firmar contratos con nuevos terceros, estas pueden informarle de quiénes son los nuevos terceros que se incorporan a su empresa. Bob: Demasiadas veces hemos visto cómo se contacta con los programas de terceros el día después de firmar el contrato y este entra en vigor el lunes siguiente, y dicen: «Oh, haz una evaluación de riesgos de terceros». Bob: Bueno, esa es quizás la posición más incómoda en la que se puede estar.

Bob: Entonces, al tener esa relación con tu personal de adquisiciones, eso ayuda a evitar ese tipo de situaciones, comunicarte con tus unidades de negocio, comprender cuáles son sus iniciativas comerciales clave y saber si planean utilizar terceros como parte de esas iniciativas comerciales, lo que te permite asociarte desde el principio con esas unidades de negocio y abordar cualquier inquietud desde el inicio de la relación, lo que mantendrá el proyecto en marcha y permitirá que la unidad de negocio aproveche las capacidades de terceros más rápidamente. Bob: Um, tus funciones operativas y tecnológicas, especialmente en lo que se refiere a cuestiones como la continuidad del negocio y la recuperación ante desastres. Bob: Si estás empezando y tratando de averiguar quiénes son tus terceros críticos, uno de los mejores lugares para empezar es hablar con las personas que trabajan en tus equipos de continuidad del negocio y recuperación ante desastres. Bob: Ellos sabrán quiénes son los terceros críticos para tu empresa. Bob: Um, de nuevo, finanzas y cuentas por pagar, uh. Ellos pagan las facturas. Bob: Saben dónde está el dinero y adónde va. Bob: Tu personal jurídico y de cumplimiento, al igual que el de adquisiciones y tu unidad de negocio. Bob: Muchos terceros entran en la organización a través de la función jurídica y de cumplimiento, y cualquier tercero que entre debe cumplir con la ley y la normativa. Bob: Por lo tanto, tener una relación con tu personal jurídico y de cumplimiento es muy útil. Bob: Y, por último, está la gestión de riesgos empresariales. Bob: Ahora bien, en el caso de la gestión de riesgos empresariales, al contar su historia, lo que está haciendo en su programa, las cosas en las que se está centrando e incluso compartir algunos de los retos a los que se enfrenta, puede aprovechar su organización de gestión de riesgos empresariales para ayudar a destacar esos cambios y aumentar la visibilidad ante la alta dirección y su organización. Bob: Y también para ayudar a la junta directiva a comprender lo que está sucediendo en la empresa. Bob: Para mí, en todo esto, si quieres tener un programa de gestión de riesgos de terceros exitoso, conocer quiénes son tus partes interesadas, establecer relaciones con ellas y trabajar con ellas es una de las formas más efectivas de hacerlo. Bob: Categorización del dominio de riesgo.

Bob: Entonces, lo que quiero decir es que, cuando incorporas a terceros, ¿tienes una metodología para clasificarlos en función de las funciones o los servicios que prestan u otros criterios, como si tienen acceso a información de identificación personal (PII) o información médica protegida (PHI)? Bob: Otras cosas que podrías tener en cuenta son: ¿desde dónde se presta el servicio o se suministra el producto? Bob: ¿Es en el país o en el extranjero? Bob: Al hacer esto, estás identificando los servicios que se prestan a tu empresa, de modo que cuando una empresa se presenta y dice que necesita un tercero para hacer X, esto resulta especialmente útil para trabajar y compartirlo con tu personal de compras y aprovisionamiento, de modo que cuando una empresa dice que necesita un tercero que haga X, puedes consultar tu inventario y ver que ya tienes tres o cuatro terceros que prestan exactamente ese servicio. Bob: Una de las mejores formas de mitigar el riesgo y reducir el coste de su programa de gestión de riesgos de terceros es evitar la duplicación de incorporar sin cesar a nuevos terceros que realizan una función que ya se presta. Bob: por otro tercero a su organización. Bob: Eso no quiere decir que solo quiera uno porque necesita redundancia, pero no necesita cinco que presten el mismo servicio. Bob: Cuando aprovecha las empresas que ya prestan un servicio a su empresa en lugar de incorporar un nuevo tercero, reduce el riesgo porque disminuye la cantidad de información que comparte y el acceso a la infraestructura que comparte. Bob: Tienes una relación probada con el tercero existente. Bob: Esa relación puede pasar de táctica a estratégica y ampliarse, y no tienes que volver atrás y realizar constantemente nuevas evaluaciones de riesgos o supervisiones adicionales porque ya lo has hecho y tienes estas cosas en marcha. Bob: Para mí, esa es una parte absolutamente esencial de la conversación. Bob: Las organizaciones están experimentando un rápido crecimiento en el número de terceros que utilizan. Bob: Según los datos anecdóticos, podría ser un 10 % al año. Bob: Nadie le da un 10 % más de presupuesto o un 10 % más de recursos para gestionar todos esos nuevos terceros que se incorporan a su programa de gestión de riesgos de terceros.

Bob: Por lo tanto, lo mejor que puedes hacer para limitar el riesgo y gestionarlo de forma eficaz es cuestionar la incorporación de nuevos terceros cuando ya cuentas con terceros que prestan un servicio. Bob: Así pues, esta categorización de los ámbitos de riesgo te ayuda realmente a gestionar de forma más eficaz el riesgo global de tu programa y, sin duda, reduce el número de incidentes que se producen. Bob: Si trabajas con menos terceros, la probabilidad de que se produzca un incidente es menor y, al mismo tiempo, el coste total de propiedad de tu programa se reduce. Bob: Criticidad de los servicios de terceros. Bob: Establecer y capturar eso en tu inventario es absolutamente crítico. Bob: Jaja. Bob: La criticidad de los servicios de terceros determina dónde centrar tus escasos recursos para gestionar de forma más eficaz el riesgo de tu organización. Bob: ation. Bob: Por eso utilizo una definición sencilla cuando intento determinar la importancia de un tercero. Bob: ¿Cuáles son tus procesos empresariales clave? Bob: Si se trata de un proceso empresarial clave, lo más probable es que ese tercero sea importante. Bob: La función que proporcionan, especialmente cuando proporcionan funciones clave de control interno, las organizaciones a veces las externalizan. Bob: Puedes pensar en proveedores como Octa para el inicio de sesión único y cosas por el estilo. Bob: ¿Qué información maneja el tercero y qué volumen de información? Bob: Si se trata de información confidencial o restringida, lo más probable es que se trate de un tercero crítico. Bob: Y luego, dependiendo del acceso a su infraestructura que haya concedido, eso puede ser motivo suficiente para clasificar a un tercero como crítico. Bob: Pero recuerde, no puede centrarse únicamente en sus terceros críticos. Bob: Es necesario comprender el inventario completo de todos los terceros y, al clasificarlos en dominios de riesgo y comprender el servicio que prestan, se pueden gestionar de forma más eficaz. Bob: He visto y he sido víctima de excluir a ciertos terceros de la supervisión activa y luego he descubierto que, de hecho, eran críticos y que cometí un descuido importante. Bob: Por lo tanto, la incorporación de terceros es un punto de control clave en el que se puede recopilar esta información. Bob: Si tienes un gestor de relaciones con terceros en tu unidad de negocio que se encarga de gestionar esa relación con terceros, relación.

Bob: Son una gran fuente de información para interactuar y supervisar esa relación con terceros, y también para ayudarte a estar al tanto de cuándo se incorporan nuevos terceros. Bob: Por lo tanto, debes aprovechar esa relación con los gestores de relaciones con terceros. Bob: Es importante recordar que este es un problema que ocurre constantemente con los programas de terceros. Bob: El programa de terceros acaba siendo de alguna manera responsable de gestionar la relación con el tercero. Bob: La persona responsable de gestionar la relación con el tercero es aquella cuyo nombre figura en el contrato entre su empresa y ese tercero. Bob: Y aunque pueden subcontratar al tercero, no pueden subcontratar su responsabilidad o rendición de cuentas. Bob: Ellos lo firman. Bob: Es suyo. Bob: Es su responsabilidad. Bob: Y cuando algo sale mal, es su unidad de negocio la que tendrá que lidiar con las consecuencias directas. Bob: Así que, de nuevo, ¿mi empresa necesita a otro tercero para proporcionar el servicio o producto? Bob: Es la primera pregunta que siempre hay que hacerle a la empresa. Bob: Pero también hay que tener acceso a un inventario en el que se puedan proponer soluciones alternativas con terceros con los que ya se cuenta. Bob: Otro aspecto de esto es, especialmente en las adquisiciones más grandes, las empresas más grandes que son propensas a realizar adquisiciones. Bob: Cuando se realiza una adquisición, no solo se adquiere una nueva empresa, sino que se adquieren todos los terceros que suministraban algún servicio o producto a esa adquisición. Bob: En las adquisiciones , es necesario comprender cuáles de los terceros utilizados en la adquisición son críticos para ellos. Bob: Y, en segundo lugar, hay que decidir si son necesarios o si duplican a otros terceros que ya prestan ese servicio a la empresa. Bob: Esta es un área que generalmente se descuida y que da lugar al crecimiento de terceros y a la imposibilidad de capturar a esos terceros en su inventario, lo que conduce a inventarios incompletos y a incidentes. Bob: Por lo tanto, el proceso de incorporación es un punto de control clave para comprender de dónde provienen los nuevos terceros. Bob: Monitoreo continuo.

Bob: La supervisión continua nos ofrece la posibilidad de ver lo que ocurre de forma constante con nuestros terceros. Bob: Y no vivimos en un mundo en el que realizar una evaluación periódica o una evaluación inicial de un tercero sea suficiente para gestionar el riesgo en un espacio de terceros. Bob: Cuando completamos una evaluación, solo es válida para el día en que la completamos. Bob: Al día siguiente, podríamos tener un incidente de seguridad y correr el riesgo de exposición durante los siguientes 364 días del año. Bob: Por lo tanto, es necesario contar con un programa de supervisión continua para supervisar el estado actual de su tercero, y esa supervisión continua tiene tres aspectos. Bob: El primero es comprender los niveles de los subcontratistas, los cuartos, quintos y enésimos terceros que existen dentro de esa relación. Bob: El segundo aspecto es asegurarse de que su programa de gestión de riesgos de terceros realmente gestiona los riesgos que existen. Bob: Y no se trata solo del riesgo cibernético o del riesgo de continuidad del negocio. Bob: Es el riesgo financiero. Bob: Es el riesgo geográfico. Bob: Lo que ocurre en los países donde se procesan sus datos. Bob: Es riesgo operativo. Bob: Degradación y rendimiento, marcha de personas clave. Bob: Riesgo reputacional. Bob: Noticias negativas sobre uno de sus proveedores y prácticas laborales poco éticas o exposiciones medioambientales que puedan existir o incumplimientos normativos, tráfico de personas, anticorrupción, todas estas cosas. Bob: No se puede limitar a supervisar el riesgo cibernético o de continuidad del negocio. Bob: Si no supervisas todos estos riesgos y lo haces de forma continua, quedas expuesto a que se produzcan incidentes. Bob: Y luego, el descubrimiento continuo de inventario, porque al igual que tu empresa añade constantemente nuevos terceros y nuevas relaciones comerciales, también lo hacen tus terceros, y necesitas comprender cuáles son esas relaciones en lo que respecta a la relación que ese tercero tiene con tu empresa. Bob: Una cosa que hay que tener en cuenta es que un programa de supervisión continua requiere habilidades y conocimientos diferentes a los que utilizan las personas encargadas de la evaluación de riesgos de terceros, y que debes asegurarte de que comprendes que tienes una buena combinación de habilidades en tu programa de supervisión continua.

Bob: Pero lo que es aún más importante, desde el punto de vista operativo, si vas a realizar una supervisión continua, debes incorporar esa supervisión continua a tu actividad empresarial habitual. Bob: Flujos de trabajo de procesos operativos, porque he visto muchas veces que, con la supervisión continua, la supervisión comienza y, cuando se generan alertas o se producen eventos que requieren la adopción de medidas, nadie mira la información generada y nadie hace nada. Bob: Por lo tanto, si vas a implementar o mejorar tu supervisión continua, asegúrate de analizar el proceso de principio a fin. Bob: Comprende dónde van a ir las alertas de supervisión, quién va a tomar medidas en qué plazo y que has documentado el proceso. Bob: Aquí tienes una lista que te ayudará con la supervisión continua y algunos puntos que es útil tener en cuenta a medida que la vas llevando a cabo. Bob: Necesitas información de terceros de calidad. Bob: Si tienes lagunas o hay problemas de calidad de los datos, tu programa de supervisión continua no será tan eficaz como podría ser. Bob: ¿ Ha implementado los procesos operativos de los que acabo de hablar para gestionar y responder a las alertas y posibles incidentes que se generan a través de la supervisión continua? Bob: ¿Está completo su inventario de terceros? Bob: No es algo que se haga una sola vez. Bob: Está en constante evolución y ¿cómo se mantiene al día con los cambios y comienza a profundizar, empezando por sus terceros críticos, en quiénes son sus cuartos, quintos y sextos terceros? Bob: No cuesta mucho añadir los cuartos, quintos y enésimos terceros a su plataforma de supervisión continua para tener una visibilidad más profunda de sus procesos empresariales críticos de forma continua. Bob: ¿ Dispone de información fiable y actualizada periódicamente sobre la clasificación y el volumen de datos que se comparten con sus terceros, comprobando periódicamente con la empresa para comprender, empezando por sus terceros críticos, cómo han cambiado las relaciones con los terceros, lo que le ayuda a centrarse en aquellas áreas donde existe el mayor riesgo? Bob: ¿Entiende qué acceso tienen sus terceros a su red corporativa, sistemas, datos, etc.?

Bob: ¿Conoce las ubicaciones físicas donde se gestiona su información, donde se procesan realmente los datos y donde se almacenan? Bob: ¿Qué cuartas, quintas y enésimas partes tienen acceso a su información confidencial o a sus redes corporativas? Bob: Los terceros son conocidos por acceder a la información o a los sistemas a los que usted les ha dado acceso y concederlo a cuartas y quintas partes sin decírselo. Bob: Debe estar al tanto de este tipo de cosas. Bob: ¿Tiene información actualizada y al día sobre sus terceros para que, cuando se produzcan eventos e incidentes, pueda ponerse en contacto con las personas adecuadas a tiempo y no tenga que buscar a quién llamar? Bob: ¿ Y se ha formado a sus recursos en procesos eficaces de supervisión, revisión y escalado de registros para que, cuando se produzca un evento y se determine que se trata de un incidente, pueda tomar las medidas adecuadas? Bob: ¿ Y ha realizado simulacros con su personal comercial para que, en caso de incidente, todos sepan cuál es su función y cómo responder? Bob: En resumen, las conclusiones clave son: comprender y dejar que los recursos clave y las partes interesadas que tiene a su disposición en su organización. Bob: Invite a almorzar a cada una de las partes interesadas de las que he hablado. Bob: Pague el almuerzo. Bob: Será la mejor inversión que haya hecho para su programa de riesgo de terceros. Bob: Debe validar continuamente su inventario, ya que cambia constantemente. Bob: Y eso significa revisar al menos una vez al año la clasificación de riesgo de los proveedores y los factores clave de la relación. Bob: Asegúrese de que se comprenda la importancia de los proveedores antes de incorporarlos. Bob: ¿A qué tienen acceso? Bob: ¿A qué información? Bob: ¿Qué infraestructura utilizan para llevar a cabo un proceso de control crítico para usted? Bob: ¿Con qué procesos empresariales están asociados? Bob: El inventario de proveedores se extiende al software y se cruza de forma óptima con terceros críticos y procesos empresariales. Bob: que tienes en tu inventario. Bob: Trabaja con tus organizaciones de desarrollo y arquitectura de software para ver si tienen ese inventario de software de terceros. Bob: Y si no lo tienen, trabaja con ellos y averigua cómo conseguirlo. Bob: Aprovecha la automatización.

Bob: La única forma de conseguir escalabilidad y ser eficaz es automatizando tu programa. Bob: Se acabaron las hojas de cálculo de Excel, las tareas puntuales y el mantenimiento de una lista de inventario. Bob: De esa forma, necesitas tenerlo todo centralizado si quieres escalarlo. Bob: Asegúrate de contar con programas de respuesta a incidentes eficaces y actualizados, tal y como comentamos al principio. Bob: Asegúrate de tener los contactos definidos, que los números de teléfono funcionen, que los correos electrónicos funcionen y que, periódicamente, cuando realices simulacros para aquellos terceros críticos que participan, también los incluyas como parte de ese simulacro. Bob: Y si implementas estas prácticas de gestión de inventario de terceros, tu gestión de incidentes será más eficaz. Bob: Tu resiliencia operativa mejorará. Bob: Evitarás posibles repercusiones negativas en tu reputación, tus finanzas y el cumplimiento normativo. Bob: Y para terminar, aquí tienes mi información de contacto. Bob: Si alguno de ustedes quiere ponerse en contacto conmigo, si alguno tiene alguna pregunta sobre lo que hemos discutido aquí, si alguien quiere hablar sobre los problemas que tiene en su negocio y cómo resolverlos, eh, la llamada telefónica es gratuita y el asesoramiento es gratuito, y yo estoy aquí y les animo a que lo aprovechen. Bob: Bueno, eso es todo por hoy. Bob: Scott, te dejo la palabra.

Scott: Thanks so much, Bob. Scott: I appreciate that. Scott: Uh, thanks everybody for listening into uh, our presentation today. Scott: Bob’s presentation on vendor inventory and uh its critical role in incident response and uh an overall third-party risk management program. Scott: Uh what I’m going to do in the next 5 minutes or so is just to explain some ways that prevalent can help you achieve the objectives that that Bob talked about in uh in his presentation uh uh today. Scott: So I just have a few slides. Scott: Uh first off, oh and by the way, while I’m uh uh kind of going through kind of the prevalent uh perspective on this, this is a great opportunity for you to um think about the questions you’d like to ask, enter them into the Q&A window in uh in Zoom and then uh Ashley will kind of triage those questions and uh elevate those to to Bob as soon as I’ve kind of wrapped up my part of the presentation. Scott: Okay, so first off, everything that Bob talked about today, I think from a challenge perspective revolves around one of these three things. Scott: Number one, um a lot of companies are still using spreadsheets to manage their third party inventory or to execute their third-party risk assessments. Scott: We know this because we survey the industry every year. Scott: Uh and earlier this year, uh we released the results of our annual thirdparty risk management study showing that 50% of companies still use spreadsheets uh to manage their third party risk, their auditing, and their controls. Scott: So, look, I understand it’s hard to get away from spreadsheets. Scott: It might seem easy. Scott: There’s some benefits to it. Scott: It’s free. Scott: You’re already paying for it with your uh IT license of office, you know, whatever. Scott: I get it. Scott: Um but there comes a time when that spreadsheet just can’t scale. Scott: It doesn’t have the controls validation. Scott: It doesn’t have the reporting and the metrics. Scott: in it that will really help you dive deep into you know what a what an enterprise third party risk management program should be. Scott: Problem number one. Scott: Problem number two uh not enough coverage. Scott: Uh you know the results of our our survey said that organizations are only actively managing about a third of their vendors. Scott: Uh which was pretty shocking to me. Scott: The average company um you know 30 to 33% of vendors actively tracked monitored remediated risks. Scott: The other twothirds uh get a ing blow occasionally or maybe a little bit of effort during the onboarding phase or maybe a contract renewal but there really isn’t a whole lot being done to to manage that um that twothirds of vendors. Scott: Third big problem is a no life cycle coverage. Scott: Uh we find that a lot of companies uh you know roughly 29% only 29% of companies are actively tracking risks across the third party vendor supplier life cycle. Scott: Right? Scott: So half of you are using spreadsheets a third of you are uh you’re only able to manage a third of vendors and you know roughly 30% uh are are looking at risk across the life cycle. Scott: Look, I get it. Scott: It’s a problem. Scott: Third party risk is a challenge and it’s getting worse with the more regulations, more thirdparty breaches uh and uh and increasing numbers of third parties you have to manage. Scott: Look, what I think the outcomes are for a good third party risk management program are three-fold. Scott: Uh number one is get the data you need to make better decisions and that’s where a solution can help uh by centrally aggregating uh into a single uh vendor profile, the information that you need to manage that vendor across the life cycle, basic uh demographic information, uh ultimate business owner information, reputation, uh finances, cyber security post or whatever, all in one place so that everybody is singing from the same himnil. Scott: Second, uh that helps you to increase your efficiency for not just your team responsible for conducting those assessments, but breaks down the silos between different teams that also might want to have some sort of a say in thirdparty risk, procurement, risk management, intern audit, uh, legal, others. Scott: And then third, that enables you to evolve and scale your program, uh, over time. Scott: You know, we we know that spreadsheets are problem. Scott: We know that, uh, you’re not managing a life cycle because a lot of those spreadsheets just get in the way. Scott: Uh, this allows you to um, you know, good a good third party management solution allows you to evolve and scale your program over time using automation, uh, using analytics, and maybe even using AI to help automate the process. Scott: You know, here’s our tips on on building a a a comprehensive vendor inventory. Scott: From our perspective, it it all starts with um you know, centralizing your vendors, getting all your vendors uh under one pane of glass out of the accounts payable department, out of the procurement department, out of the individual business units to central management. Scott: And that has to happen easily. Scott: It can’t be a cumbersome process as you know. Scott: It could be as simple as a spreadsheet upload, automatic mapping of fields into kind of a preset form uh you know, in a platform. Scott: or an API connected into an uh account accounts payable tool or maybe just a simple questionnaire that’s available to anybody across the enterprise without requiring them to log in or or whatever just via an email link have everybody contributing information so that you know you begin to set that foundation for for vendor inventory. Scott: Second, once that vendor inventory is create uh created the next best practice is to um aggregate intelligence about that vendor so you have that one source of the truth that single source of the truth and that can include demographic info, UBOS’s, fourth party technologies that that vendor might have in place so that you can kind of visualize, you know, potentially weak points or concentration risk in your in your ecosystem. Scott: You know, CPI scores, modern slavery statements, ESG scores, things like that that provide a level of information about that third party from which you can then make decisions on and kind of build, you know, a broader risk assessment strategy around. Scott: And that really starts with conducting an inherent risk assessment, which is the third best practice here. Scott: Um, asking a set of simple questions on calculating the risk that that particular vendor or supplier introduces to your organization, which then dictates your due diligence strategy going forward. Scott: Um, and then as you tar and categorize those vendors based on that inherent risk score, that allows you to go kind of that the final mile and um, prescribe an assessment strategy and a continuous monitoring strategy to bring in information in and kind of help you bear with the rest of the organization, recommend remediations uh and ultimately close the loop on on thirdparty risk. Scott: Um that’s our approach to addressing thirdparty risk management. Scott: We look at risk at every stage third party life cycle from the point where you on uh store them select a vendor to the point where you uh offboard and terminate them. Scott: We deliver our capabilities through a combination of our expertise uh the data and the intelligence in the platform and in the platform itself in terms of its uh reporting, analytics, uh workflow and compliance mapping. Scott: And I realize you can’t click on this uh link because uh uh you’re watching the presentation, but watch for the presentation and the recording tomorrow. Scott: Uh we have a thirdparty incident response strategy guide available to you as well that has a lot of the information that Bob covered today in terms of building an inventory and kind of understanding, you know, who your vendors are, what risk they pose to the business before you, you know, go about uh um you know, determining the the best approach for assessing those vendors on an ongoing basis. Scott: So, that’s what I wanted to share with you today. Scott: Um, I will turn it back over to Ashley. Scott: Ashley, open it up for questions.

Ashley: Gracias, Scott. Ashley: Quizás hayan notado que lancé nuestra segunda encuesta para poder hacer un seguimiento de cualquier iniciativa o proyecto que puedan tener. Ashley: Tenemos curiosidad por saber si están pensando en establecer o ampliar un programa de riesgos de terceros durante este año. Ashley: Y, por favor, sean sinceros, porque haremos un seguimiento. Ashley: Pero nos quedan un par de minutos. Ashley: Así que sigamos adelante y respondamos algunas de estas preguntas. Ashley: Eh, Bob, tengo una para ti. Ashley: Krishna pregunta: ¿podrías dar un ejemplo para relacionar a terceros, cuartos y quintos? Ashley: Claro. Ashley: Eh, eso es bastante sencillo.

Bob: Entonces, firmas un contrato con un proveedor de servicios de centro de llamadas para tu empresa, que responderá a las llamadas de las personas que llamen con preguntas. Bob: Y ese proveedor de servicios de centro de llamadas no cuenta con los recursos suficientes para hacer frente a los picos de volumen de llamadas que puedan producirse. Bob: Por lo tanto, ese centro de llamadas firmará un contrato con otro centro de llamadas para que le proporcione capacidad adicional, y este le proporcionará dicha capacidad, pero se trata de una empresa independiente. Bob: Así que la cuarta empresa, la cuarta parte, la tercera parte, son dos empresas independientes. Bob: Y han establecido una relación comercial entre ellas. Bob: Otro ejemplo podría ser el procesamiento de nóminas. Bob: Así que subcontratas el procesamiento de nóminas a una empresa y este es un caso real, un incidente real en el que estuve involucrado. Bob: Esa empresa subcontrató parte del procesamiento de nóminas a una cuarta parte, que lo subcontrató a una quinta parte, que lo subcontrató a una sexta parte, que lo subcontrató a una séptima parte, y la séptima parte realmente la fastidió y fue un incidente enormemente embarazoso. Bob: Pero las empresas no siempre tienen las capacidades por sí mismas, y en particular las empresas de desarrollo de software. Bob: Así que si quieres que desarrollen una nueva aplicación para ti, ellos desarrollarán la aplicación. Bob: No pueden alojar la aplicación. Bob: Acudirán a una cuarta empresa de alojamiento web para que aloje esa aplicación por ti. Bob: Estos son algunos ejemplos.

Ashley: Gracias, Bob. Tengo otra pregunta de Bradley, que pregunta: «Cuando hablas de inventario, ¿te refieres solo a la documentación de datos, software, hardware, redes, etc., o también te refieres a los bienes físicos del inventario, como los clientes y la fabricación?».

Bob: Bueno, normalmente lo que hablamos en estos seminarios web, dado que el riesgo de terceros es un tema que, en cierta medida, está impulsado por la regulación y las empresas de servicios financieros, solemos hablar de servicios, pero todo lo que hablamos aquí es absolutamente relevante para la parte del producto de la ecuación. Bob: Por ejemplo, los procesos de fabricación de una empresa como Proctor and Gamble o Campbell Soup utilizan entre 50 y 150 000 terceros para proporcionar diferentes elementos de los productos y bienes que producen y venden en el mercado. Bob: Por lo tanto, todo lo que hablamos aquí, que generalmente está orientado a los servicios, es igualmente válido para los productos. Bob: Y cuando te adentras en el lado de los productos, tienes otras preocupaciones y controles diferentes, como los procesos de control industrial. Bob: Entonces empiezas a hablar de OT y de IoT mucho más de lo que normalmente hablarías aquí. Bob: Así que esos son otros ejemplos en los que es relevante. Bob: Por lo general, hablamos de servicios, pero es igualmente relevante en el aspecto de la cadena de suministro global de productos.

Ashley: Gracias, Bob. Ashley: Scott tiene un par de preguntas para ti antes de terminar. Ashley: Schilpa preguntó por qué cuantificar los riesgos inherentes frente a la puntuación de riesgo residual.

Scott: Sí, buena pregunta. Scott: Yo haría ambas cosas. Scott: El riesgo inherente te ayuda a hacerte una idea inicial de cómo clasificar y categorizar a ese proveedor en función de una serie de criterios, como el acceso a información protegida, el acceso a los sistemas, la aplicabilidad o la importancia para los procesos del cliente, cosas así. Scott: Y una vez que tienes esa puntuación de riesgo inherente calculada en función de esos criterios, puedes determinar tu estrategia de diligencia debida continua, lo que en última instancia ayuda a reducir la cantidad de riesgo residual continuo a un nivel aceptable para el negocio. Scott: Así que haz ambas cosas, pero el riesgo inherente se calcula de forma un poco diferente al riesgo residual.

Ashley: Gracias, Scott. Ashley: Dos más para ti y luego terminamos. Ashley: Alguien preguntó cómo gestionas el volumen de respuestas a esos cuestionarios de evaluación de riesgos de terceros.

Scott: Eh... ¿cómo hace nuestra solución para alcanzar ese volumen?

Ashley: ¿correcto?

Scott: Bueno, hay varias formas diferentes. Scott: Como el sistema está automatizado, el proveedor entra y completa su evaluación de riesgos. Scott: Todas las respuestas se introducen previamente en un registro central de riesgos, al que usted, como usuario, puede acceder para comparar y buscar respuestas que no coincidan con sus um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um Así que el proceso está muy automatizado. Scott: Eh, el segundo enfoque es la IA, eh, le ayudamos, eh, aplicando, eh, principios de IA, aprendizaje automático, análisis, eh, para, eh, consumir información, rellenar previamente las evaluaciones y, a continuación, le ayudamos a extraer algunas conclusiones iniciales de los datos que encuentra, eh, asegurando la gobernanza humana sobre el proceso. Scott: No nos limitamos a publicar algo. Scott: Nos aseguramos de que usted apruebe lo que se publica. Scott: Y el tercero son los servicios gestionados. Scott: Le ayudamos a gestionar el volumen de evaluaciones externalizándonoslo a nosotros si así lo desea.

Ashley: Gracias, Scott. Ashley: Y una última pregunta. Ashley: Para terminar. Ashley: Hablando de IA, ¿cuáles son los parámetros para evaluar a un proveedor externo de IA?

Scott: Eh... los parámetros para evaluar a un proveedor externo de IA. Scott: Eh... Creo que son tres. Scott: El primero es la seguridad y la privacidad de los datos, es decir, la función de IA que utiliza ese proveedor externo. Scott: ¿Es un sistema cerrado? Scott: ¿Es un LLM gestionado? Scott: ¿O es un LLM abierto? Scott: ¿Y qué datos se utilizan para entrenarlo? Scott: Eh, ese es el segundo, ya sabes, no quieres tener datos, eh, ya sabes, acceso a datos desde API externas y demás en ese conjunto de datos. Scott: Si vas a introducir información de la empresa, información potencialmente sensible, tiene que haber un buen proceso de seguridad. Scott: Eh, el número dos es, eh, las alucinaciones y los sesgos, y asegurarse de que esos sistemas se entrenan utilizando datos reales, no datos falsos, y datos aplicables a tu conjunto de procesos empresariales. Scott: Así, lo que sale por el otro extremo es preciso. Scott: Por lo tanto, un sistema seguro, un procesamiento preciso y, en tercer lugar, que ese sistema se evalúe y actualice continuamente y que haya un control humano, como he mencionado antes, sobre cuáles son esas entradas y cuáles son esas salidas, para que no estés simplemente entregando tu vida a Skynet.

Ashley: Excelente. Ashley: Bueno, muchas gracias, Scott Bob y a todos por todas sus preguntas. Espero que hayan obtenido información útil hoy y espero verlos a todos en su bandeja de entrada o en un próximo seminario web. Ashley: Saludos a todos y que tengan un excelente resto de semana. Ashley: Cuídense.

Bob: Gracias a todos.

Scott: Adiós.

Bob: adiós.