Elegir el marco adecuado para la gestión de riesgos de terceros

Melissa: Y unas cuantas presentaciones. Me llamo Melissa. Trabajo aquí como gestora de cuentas. Hoy tenemos algunos invitados especiales, algunos de ellos ya conocidos. Tenemos al experto en cumplimiento normativo Thomas Humphre. Bienvenido de nuevo, Thomas. Thomas: Me alegro de estar aquí. Melissa: Y también tenemos a Matt Delman. Él es nuestro gerente de marketing de productos. Hola, Matt. Matt: Hola, Melissa. Melissa: Matt intervendrá al final y hablará sobre cómo Metate, la plataforma con Meteor, puede ayudar a madurar algunos de sus programas existentes y ver qué más hay disponible. Un pequeño aviso. Este seminario web se está grabando, por lo que recibirán una copia poco después de que concluya. Tenéis el micrófono silenciado, así que utilizad el cuadro de preguntas y respuestas para plantear las dudas que tengáis durante el seminario. Podemos responderlas durante o después del seminario. Y ahora, sin más preámbulos, le cedo la palabra a Thomas, que nos hablará de algunas consideraciones clave a la hora de elegir el marco adecuado para la gestión de riesgos de terceros. Thomas, tienes la palabra.

Thomas: Muchas gracias, Melissa. Y sí, buenos días, buenas tardes, buenas noches, señoras y señores. Bienvenidos a este seminario web. Para aquellos que no me conocen, mi nombre es Tom Humphre. Soy el gestor de contenidos de Prevalent. Mi principal función es crear evaluaciones y marcos dentro de nuestra plataforma. Llevo más de 15 años trabajando en el ámbito de la auditoría. Mi experiencia se centra en la auditoría de diversas normas, entre las que destacan las relacionadas con los dominios ISO, tanto en el Reino Unido como en Singapur y, a nivel más global, para diversas organizaciones. Y sí, hoy vamos a explorar diferentes marcos de gestión de riesgos de terceros, diferentes marcos de información y ciberseguridad, y cómo podemos tomar decisiones informadas para asegurarnos de que estamos utilizando la evaluación adecuada. Como parte de nuestro compromiso con la TPM y del proceso más amplio de la TPM. Como ha indicado la Sra., siempre reservamos tiempo para preguntas y respuestas. Encontrarán un cuadro de preguntas y respuestas dentro de las herramientas necesarias. Por favor, suban cualquier pregunta que tengan y siempre reservaremos tiempo al final para responderlas. Sin más preámbulos, comencemos. Solo quiero desglosar la agenda.vamos a echar un vistazo a algunos de los marcos de ciberseguridad más utilizados antes de profundizar en algunas de las fortalezas y limitaciones de estos y otros marcos más generales que se utilizan en el ámbito de la gestión de riesgos de terceros (TPOM) y, en particular, hablaremos un poco más sobre cómo estas fortalezas y limitaciones pueden, si las utilizamos en el sentido más positivo posible, ayudarnos a mejorar y a tomar decisiones informadas en cuanto a cómo nos relacionamos con nuestros terceros y cuáles son las áreas de control clave que queremos buscar y preguntarles.

Thomas: Analizaremos algunos de los marcos comunes a nivel industrial y, en general, cómo podemos utilizar nuestros propios perfiles de riesgo internos y enfoques de evaluación de riesgos y, de nuevo, cómo eso influye en algunas de nuestras decisionesen lo que respecta al marco adecuado que nos conviene y, por último, repasar algunos pasos que alinean las prácticas con nuestros propios objetivos organizativos en lo que respecta a la comprensión y el uso de los marcos adecuados en el momento adecuado para los tipos adecuados de terceros. Así pues, algunos marcos clave de ciberseguridad. Creo que es justo decir que, obviamente, los marcos normativos en materia de ciberseguridad de la información son de todo tipo y tamaño y tienen diferentes grados de complejidad. Hay ciertos nombres que podemos ver en la pantalla con los que creo que mucha gente estará muy familiarizada. Sin duda, algunos como ISO 27001, NIST CSF o el marco de ciberseguridad son ejemplos de lo que consideramos normas superiores independientes del sector. Se utilizan normalmente en cualquier tipo de organización de cualquier industria y sector. En particular, una norma como la 270001, que sigue siendo uno de los marcos más utilizados en lo que respecta a la gestión de la seguridad de la información y, en particular, cuando vemos que las organizaciones adoptan los controles de la 270001 y los utilizan para impulsar el riesgo de terceros y la gestión del riesgo de terceros. También hay muchos marcos específicos para cada sector, y cada vez son más. He puesto un par de ejemplos en la pantalla. La HIPPA, desde la perspectiva de la sanidad estadounidense, desarrolla normas basadas en la seguridad y la privacidad para las organizaciones que gestionan información de salud pública (PHI) o EPI, como a veces se la denomina. Y quizás uno de los más conocidos desde el punto de vista de la seguridad y la privacidad sea el de Nueva York. El marco NYDFS 23500, que se utiliza para... y profundizaremos un poco más en él más adelante... se utiliza para las organizaciones financieras que operan en el estado de Nueva York y en el espacio financiero de Nueva York tal y como existe hoy en día. Fuera de esos marcos de mayor alcance, como la ISO, muchas normas del NIST, así como la 27,8 53 para el NIST SIG en los Estados Unidos.

Thomas: Por supuesto, encontramos que siempre hay marcos específicos para determinados temas que están muy orientados a tecnologías concretas o casos de uso concretos. La norma ISO 42001 es un ejemplo de ello, desarrollada por la ISO IEC para la gestión de sistemas de IA. Por lo tanto, el diseño, el desarrollo y la aplicación de sistemas de IA suelen ofrecer orientación y requisitos para definir e implementar controles para esos sistemas tecnológicos específicos, y en algunos casos también para industrias. Y no olvidemos el volumen cada vez mayor de requisitos normativos. Ya sea en áreas como P o credenciales en el Reino Unido, que han desarrollado marcos para gestionar los acuerdos de externalización y la cadena de suministro en general, y algunas de las áreas que están imponiendo. para los organismos financieros que operan dentro del Reino Unido y más allá, y el marco NIS-2 o NIS 2 de la UE, que es para las organizaciones de la UE y establece prácticas y expectativas de ciberseguridad más amplias, de nuevo no muy diferentes de las que vemos en otros marcos. Así que hay muchos marcos diferentes, de todos los tamaños y complejidades, algunos que imponen requisitos más estrictos y otros. Y, sin duda, los que rodean a la ISO, los marcos del NIST, los SIG, el CIS y otros términos o acrónimos clave con los que quizá estén familiarizados tienen un alcance más amplio en términos de gobernanza de la ciberseguridad de extremo a extremo, riesgo y controles basados en el cumplimiento. Así que hay muchos marcos diferentes, lo cual, por supuesto, es bastante preocupante, ya que sin duda puede ser un dilema si se está empezando a buscar y a determinar qué marco de seguridad es el mejor para nosotros. ¿Qué marco debemos utilizar cuando queremos colaborar con terceros y evaluar a nuestros terceros y nuestra cadena de suministro en general? Echemos un vistazo rápido a tres ejemplos de marcos y profundicemos un poco más en cómo se desglosan y en sus casos de uso.

Thomas: En primer lugar, como ya he dicho, uno de los marcos más utilizados a nivel mundial sigue siendo el marco ISO 27001 para definir, implementar y gestionar un sistema de gestión de la seguridad de la información. No es muy diferente de otras normas ISO. Están estructuradas de manera que ofrecen una orientación clara desde el punto de vista de la gobernanza. Por lo tanto, se establece el liderazgo en la función y se identifican y gestionan los riesgos con un marco estructurado de gestión de riesgos antes de ampliar los conjuntos de controles que las empresas pueden utilizar para ayudar a gestionar esos riesgos. Como digo, está reconocido internacionalmente. Y realmente varía según los diferentes tipos de empresas, el tamaño y la complejidad de las mismas, ya sea una empresa de software, una gran empresa de software en Estados Unidos, por ejemplo, o una agencia de publicidad en Japón o una planta de fabricación en el Reino Unido. Muchas organizaciones adoptan la norma 27000 como una buena práctica reconocida. Es para una buena seguridad y también para la gestión de la seguridad. Y, por supuesto, dentro de esta, siempre se ha mantenido, desde la versión anterior hasta la actual de 2022, controles muy claros en torno a la gestión de terceros, la gestión de proveedores y la cadena de suministro. Así que, cuando pensamos en la gestión de contratos, cuando pensamos en identificar controles para sus terceros inmediatos y la gestión a través de la supervisión y el rendimiento y la auditoría, también las capacidades de la tapa. Por lo tanto, diría que es un marco de gran alcance y muy ampliamente adoptado. Y, obviamente, es importante señalar que es una norma certificable. Hay muchas normas y marcos que las empresas pueden utilizar y que no son certificables. Pero se siguen utilizando como mejores prácticas reconocidas. La norma 27K es un ejemplo de norma certificable a través de auditorías independientes y verificaciones de validación. Quizás más reciente es el NIST CSF. La versión dos de este marco salió a principios de este año, creo que a finales de enero o principios de febrero de 2024. No es muy diferente de la ISO, ya que es un marco cibernético en profundidad que proporciona una base estructurada para identificar controles, que se dividen en lo que ellos denominan sus cinco funciones básicas.

Thomas: Entonces, la gobernanza, gobernar, que es una nueva área que han incluido en la versión dos, y luego se identifican, protegen, detectan, responden y recuperan los controles basados. Así que hay cinco funciones básicas que luego se clasifican en gobernanza y lo que podríamos considerar controles organizativos y técnicos o tecnológicos. Así que todo, desde la gestión de personas y la seguridad física hasta el acceso lógico y físico, la continuidad, la recuperación, la respuesta a incidentes y mucho más, y de nuevo, en la misma línea que los controles de la norma ISO 2701 a nivel de gobernanza, que se centran en terceros y en la concienciación sobre terceros y los riesgos de terceros. Se trata de un enfoque bastante amplio, pero que permite su aplicabilidad en muchos entornos tecnológicos, lo cual también es importante destacar. Cuando se publican marcos como ISO y N CSF, uno de los aspectos que los hace tan atractivos, pero que también puede plantear algunos problemas potenciales, es el lenguaje que utilizan, ya que muchos de los detalles de los controles están diseñados para que puedan utilizarlos muchas organizaciones diferentes. Volviendo al ejemplo anterior, si tenemos una empresa de fabricación frente a un desarrollador de software frente a una agencia de publicidad, es evidente que cada uno de ellos abordará la ciberseguridad, el riesgo y la relación con sus terceros de una manera muy diferente, así como lo que consideran un riesgo real, y estos marcos les dan la capacidad de adaptarlos a sus propios casos de uso y, por último, un ejemplo muy diferente en Sock 2. Existe un marco ampliamente adoptado para evaluar a las organizaciones en función de cinco grupos de controles clave, los cinco que vemos en la parte inferior de la pantalla. Se trata de controles relacionados con la seguridad, la protección de la confidencialidad, la integridad y la disponibilidad de la información, los datos y los sistemas. También hay elementos relacionados con la privacidad. De nuevo, proporciona una evaluación detallada de la capacidad operativa y del sistema de una organización en general, así como de su eficacia. Sin embargo, hay algunas ligeras diferencias entre, por ejemplo, la ISO y Sock 2. Yo diría que ambos ofrecen un nivel de certificación. Ambos pueden ser evaluados de forma independiente por empresas de auditoría.

Thomas: Pero con Sock 2, las organizaciones tienen mucha libertad para determinar cuántos grupos de control desean incluir como parte de su evaluación Sock. Por lo tanto, encontramos que algunas empresas solo quieren centrarse en la seguridad y se limitan en gran medida a productos y servicios concretos o a las capacidades organizativas. Otras tienen en cuenta los cinco grupos de control clave. Y, por supuesto, esto proporciona diferentes niveles de profundidad y comprensión de las mejores prácticas que utiliza esta organización. Pero este es otro ejemplo en el que, si se analizan tanto la ISO NIST CSF como el Sock 2, los tres tienen controles o tipos de controles muy similares, ya sea en materia de control de acceso, formación del personal, seguridad de los datos e integridad, por ejemplo, o continuidad. Así que, a pesar de que solo hay tres de los muchos marcos diferentes que existen, supongo que también es reconfortante saber que hay muchos puntos en común en cuanto a algunas de las mejores prácticas y requisitos y requisitos de control que establecen estos marcos. Entrando en más detalle, echemos un vistazo a algunas de las fortalezas y limitaciones de marcos como los que acabamos de comentar, y pensemos especialmente en cuándo nos embarcamos en ese viaje de tomar la decisión de cuál es el marco de terceros adecuado para nosotros como empresa. ¿Dónde podemos tropezar a la hora de seleccionar el estándar o marco adecuado? Es evidente que hay muchos escollos potenciales que podrían causarnos cierta preocupación. Ya hemos hablado del gran volumen de normas, ya sean específicas de un sector, específicas de un tema concreto o más agnósticas. Por supuesto, cada evaluación y marco tendrá sus propios métodos e interpretaciones sobre cómo se identifica o se debe implementar un control. Sin duda, se pueden observar métodos ligeramente diferentes de riesgo o de cómo se captan las evaluaciones de riesgo.

Thomas: Por ejemplo, si pensamos en la norma ISO, la 2701 tiene un enfoque muy claramente estructurado sobre cómo identificar, gestionar, responder y tratar los riesgos de seguridad de la información, y cuenta con su propio conjunto de marcos de riesgo, como la norma ISO 31000, mientras que el NIST tiene su propio marco, denominado NIST RMF o marco de gestión de riesgos, e incluso marcos específicos para temas concretos, como el marco de gestión de riesgos de IA del NIST o la norma ISO 4201, quetienen ligeros ajustes que es importante tener en cuenta si se quiere elegir un marco y alinearlo con el enfoque actual en términos de cómo se gestiona, identifica y señala el riesgo. Y, por supuesto, la terminología siempre va a ser un área potencial a la que hay que prestar mucha atención, especialmente cuando hay diferencias sutiles entre cómo una organización denomina diferentes temas y hay ligeros ajustes en cuanto a los términos utilizados. ¿Qué significa esto o qué podría significar? Bueno, por supuesto, si nos lanzamos a la aventura y seleccionamos un marco sin hacer la debida diligencia necesaria y sin comprender realmente lo que este marco intenta lograr, puede dar lugar a cierta falta de familiaridad en algunas de las áreas del dominio. Hay algunos marcos, como el NIST 853, que se han adoptado ampliamente y que, en muchos sentidos, son elogiados por su profundidad y complejidad. Si tenemos en cuenta que hay más de 900 controles en el 853, frente a los 93 a 95 controles de seguridad que se recogen en el 27.01, podemos ver realmente la profundidad que puede alcanzar una norma como la lista 853. Pero, por supuesto, esto puede dar lugar a cierta falta de familiaridad tanto a nivel interno, como empresa, como a nivel externo, cuando se acude a los proveedores y se les hacen preguntas clave basadas en estos marcos. Y, por supuesto, si se opta por una evaluación muy profunda y se plantean no 20, 30 o 40 preguntas, sino quizá 300, puede que sea demasiada información y no se consiga captar la profundidad adecuada de los requisitos de control que son importantes para la empresa.

Thomas: Entonces, aprender a comprender en qué consisten estos marcos, cuáles son sus requisitos, pero también cómo se pueden adaptar para saber qué hay que tener en cuenta al interactuar con terceros. Y, por supuesto, esto podría dar lugar a una cobertura insuficiente en áreas de riesgo crítico que se desea explorar. Pero tal vez, debido a la falta de familiaridad con el ámbito o a la complejidad de lo que se pregunta en las encuestas o en las evaluaciones, podría dar lugar a una posible mala interpretación desde la perspectiva del proveedor. Entonces, ¿qué debemos preguntar cuando se trata de comprender cómo nuestro marco de trabajo puede satisfacer nuestras demandas? Supongo que la primera pregunta es: ¿permite el marco realizar evaluaciones en todos nuestros niveles? En la mayoría de los casos, muchas organizaciones tienen, obviamente, múltiples terceros, pero terceros en los extremos, ya sean operaciones globales muy grandes o pequeñas tiendas familiares, como se les llama en Estados Unidos, pequeñas y medianas empresas, organizaciones muy pequeñas, tal vez de cinco personas, que operan con el modelo de trabajo desde casa, que es muy diferente, por ejemplo, de un gran proveedor de centros de datos. Por lo tanto, queremos asegurarnos de que el marco que tenemos nos permita adaptar esas evaluaciones en función de los diferentes niveles y de la forma en que hemos perfilado y clasificado a nuestros terceros individuales. ¿Nos dará la capacidad de decirles a esos proveedores o terceros de nivel uno o críticos que tal vez tengamos que darles los requisitos completos de principio a fin? Pero también, si estamos considerando una única evaluación o utilizando múltiples marcos, ¿podemos hacerlo de manera que nos permita dar el volumen y la complejidad adecuados de preguntas en función del nivel adecuado? Por supuesto, ¿el marco se ajustará a un TPRM escalable? Ahora bien, el TPRM no es algo que se haga una sola vez. Es un proceso regular que debe revisarse semanalmente y, en algunos casos, mensualmente. También de forma anual.

Thomas: Y, por supuesto, lo que esto significa es que, con el tiempo, cuando analizamos las nuevas tecnologías emergentes dentro de nuestro propio negocio y nuestras operaciones, es posible que tengamos que ampliar el alcance de estos marcos y el tipo de terceros con los que colaboramos. Especialmente si se trata de analizar nuevos requisitos, nuevas regulaciones, por ejemplo, basadas en la dirección que está tomando el negocio. Y, por supuesto, a raíz de eso, ¿el marco está actualizado? ¿Está diseñado de tal manera que, cuando surjan nuevas tendencias, amenazas o tecnologías, la evaluación esté preparada para poder gestionarlas, o debemos considerar otras áreas? Por ejemplo, si estamos explorando la inteligencia artificial, la computación cuántica u otras tecnologías operativas, y el marco que hemos estado utilizando no satisface esas necesidades, ¿dónde más podemos buscar? ¿Podemos integrar algo en nuestro marco actual o tenemos que pensar en ampliarlo para ajustarnos y adaptarnos a estas nuevas tendencias o amenazas o a cualquier otra área que consideremos un riesgo? Entonces, ¿qué más podemos pensar que nos ayude a tomar una decisión informada sobre cuál es el mejor marco o estándar para evaluar a nuestros terceros? Demos un paso atrás y veamos cuáles son los factores típicos que impulsan el TPRM tal y como está hoy en día. Sin duda, y no menos importante, los reguladores, la legislación... Estamos viendo cómo cada vez más industrias y sectores están dando prioridad a este tema. Como he mencionado antes, el sector financiero en el Reino Unido, ya sea en Estados Unidos, Canadá, Reino Unido o Europa, es un ejemplo en el que ha habido un aumento constante de las expectativas sobre cómo las organizaciones responden y gestionan a los proveedores, la cadena de suministro y las prácticas externalizadas. Ya se trate de los tipos de informes que se envían a los reguladores, por supuesto, o de que sus propios clientes estén más informados y sean más cautelosos con algunas de las amenazas y problemas que se plantean en toda la cadena de suministro. Solo tenemos que fijarnos en los últimos dos o tres años, en el volumen de incidentes de ransomware y otros incidentes que han afectado a pequeñas partes o a cadenas de suministro a gran escala.

Thomas: Pero hay mucha más visibilidad por parte de nuestros propios clientes e incluso de la industria en general, y se habla de cómo nos estamos adaptando, cómo estamos abordando... eh... cuando proporcionamos a terceros sistemas que pueden incluir información o datos confidenciales. Y luego, por supuesto, como siempre, esas amenazas y vulnerabilidades nuevas y emergentes. Así que, de nuevo, si pensamos en algunas de las amenazas más notables que se han producido en los últimos dos o tres años, han sido algunas de estas amenazas las que han contribuido a impulsar a los organismos del sector o a los reguladores a decir que necesitamos más pruebas. Necesitamos más responsabilidad en la forma en que se gestiona no solo a los terceros, sino también a la cadena de suministro en general. Y pruebas de que, si hay puntos únicos de fallo, por ejemplo, o si hay áreas importantes que pueden interrumpir la cadena de suministro en general, ¿cómo afronta la empresa esa situación, ya sea desde el punto de vista de la continuidad y la recuperación? Por supuesto, el conocimiento también es muy importante. Creo que tenemos una amplia gama de marcos, pero sin duda, cuando utilizamos internamente normas, conocimientos y habilidades para marcos de evaluación concretos,obviamente va a sesgar nuestra decisión, pero también va a facilitar un poco la comprensión de qué marco funciona mejor para nosotros. Obviamente, si una organización ya está certificada, digamos 27,01, ya utiliza Sock 2, ya se ha auditado a sí misma, por ejemplo, tal vez utilice NIST 853 para impulsar sus propias mejores prácticas de ciberseguridad. Pero, por supuesto, si ya tenemos ese conocimiento y ese tipo de habilidades y comprensión a nivel interno en la empresa. Ser capaces de aplicar esas habilidades y comprender la mejor manera de utilizar esas normas, los controles clave que necesitamos y transferirlos a nuestros terceros o hacerles preguntas sobre esas normas sin duda lo hace mucho más fácil. Um, especialmente como punto de partida para crear un marco de riesgo de terceros um y un enfoque y, por supuesto, echar un vistazo al panorama más amplio de los terceros. También. Así que, de nuevo, mencionamos múltiples tipos de terceros.

Thomas: Bueno, puede que haya consultores, puede que haya centros de atención telefónica, puede que haya desarrolladores de sistemas o desarrolladores de software o hardware, puede que haya fabricantes de componentes individuales. Por lo general, encontramos que las empresas cuentan con muchos tipos diferentes de terceros. Y, por supuesto, esto puede ayudar a definir y comprender la profundidad y complejidad de la evaluación que debemos realizar. ¿Debemos centrarnos en marcos que tengan una buena solidez en el desarrollo de sistemas y software y en la tecnología operativa, especialmente si se trata de muchas empresas y capacidades de fabricación? Por lo tanto, pensar en ese producto y en la prestación de servicios sin duda puede ayudar a aclarar un poco el tipo de evaluación que estamos buscando y, por supuesto, la importancia de esas evaluaciones de terceros para el negocio, especialmente como podemos ver con el panorama más amplio de terceros, que también está creciendo. Tomando el ejemplo de la NYDFS, si, como parte de nuestra actividad empresarial, estamos en el sector financiero, ampliamos nuestra actividad y nos expandimos a Nueva York y al estado de Nueva York, por ejemplo, o empezamos a utilizar proveedores que operan en esa zona. Entonces, la NYDFS se convierte en algo muy importante para lo que estamos buscando y para el tipo de controles y evaluaciones de control que debemos aplicar también a nuestros terceros. Pasemos ahora a examinar los marcos comunes para la industria y los perfiles de riesgo más amplios. Y quiero prestar especial atención a cómo los requisitos específicos de la normativa o de la industria pueden utilizarse con un marco existente con el que podamos estar trabajando o si es necesario ampliarlos para adaptarse a algunos de estos nuevos requisitos. He mencionado el NYDFS. Lleva muchos años en funcionamiento y, de vez en cuando, el propio NYDFS actualiza el marco, de forma similar a otros organismos de evaluación. Sin embargo, la atención sigue centrada en los requisitos de ciberseguridad que protegen los datos de los clientes y los sistemas de tecnología de la información. Hay muchos controles que no son demasiado similares a los de las ISO y los NIST del mundo.

Thomas: Por lo tanto, se presta mucha atención a la política de seguridad, la gestión de la seguridad de los datos y la privacidad de la información, así como al control de acceso, el acceso lógico a la autorización, las autenticaciones y, de nuevo, a pesar de que se trata de un caso de uso muy particular para aquellas organizaciones, organismos financieros que operan en Nueva York, sigue habiendo muchos puntos en común con otros marcos de buenas prácticas existentes en lo que respecta a la seguridad de la información y la ciberseguridad. Obviamente, una de las cosas que destaca de los marcos del sector, y en particular de la normativa y la legislación, a diferencia de áreas como 27,0001 o NIST CSF o 853, es que las infracciones o el incumplimiento total o parcial de un marco pueden dar lugar a sanciones y multas, algo que el DFS de Nueva York y el superintendente de Nueva York han impuesto en los últimos tres o cuatro años. Por lo tanto, las organizaciones deben prestar aún más atención a la hora de plantearse si están aplicando una normativa por primera vez: ¿qué necesitamos saber, especialmente si colaboramos con un tercero y necesitamos saber cómo está utilizando esta normativa en particular? ¿Está haciendo lo suficiente en cuanto a la diligencia debida en lo que respecta a la capacidad de notificación y respuesta a incidentes, por ejemplo, en lo que se refiere al riesgo de terceros? Esta es un área que el NYDFS capta con bastante claridad y en la que destaca la identificación y la evaluación de riesgos de los proveedores de servicios externos, así como las prácticas mínimas de seguridad que deben cumplir dichos proveedores. Una vez más, no es muy diferente de lo que hacen la ISO, el NIST, el C, el SIG y muchos otros. Por lo tanto, hay que hacer que las organizaciones se planteen si han pensado en los riesgos en función del tipo de terceros con los que colaboran. ¿Cuáles son los requisitos mínimos que debemos tener en cuenta, especialmente en lo que respecta a algunos acuerdos contractuales con nuestros terceros, así como la determinación de los mejores marcos de evaluación para demostrar el cumplimiento normativo y sectorial?

Thomas: Y, por lo tanto, una de las áreas que también debemos tener especialmente en cuenta cuando observamos, digamos, un mayor aumento, ya sea por parte de la industria o de los organismos reguladores, de los requisitos y directrices en materia de información y ciberseguridad, así como de gestión de la cadena de suministro, es aquella en la que se exigen requisitos de control específicos, pero que guarda una estrecha relación con lo que ya estamos haciendo. Tenemos un ejemplo en esta página. La OSI, con sede en Canadá y, de nuevo, no muy diferente de la NYDFS, es un regulador que se centra en los servicios financieros y la industria financiera dentro de Canadá y, en 2023, desarrolló una directriz llamada B13 centrada en la tecnología y la gestión de riesgos cibernéticos, yhemos dado un par de ejemplos aquí en los que, como parte de esos requisitos, exigen a las empresas que establezcan normas y procedimientos para gestionar los activos tecnológicos y que también mantengan un sistema de gestión de activos actualizado y completo o un inventario que catalogue los activos tecnológicos a lo largo de su ciclo de vida. Por lo tanto, es necesario contar con buenos programas de gestión de activos, sistemas de gestión de activos e inventarios de activos. Obviamente, si se nos pide que adoptemos una práctica industrial, regulatoria o legislativa para la ciberseguridad de la información, si ya estamos utilizando un marco como ISO o NIST CSF, incluso SOCK 2, SIG y otros. Bueno, todos ellos cubren las mismas expectativas y requisitos. Todos ellos exigen que una empresa desarrolle un inventario de activos que cubra los activos de hardware, software y datos, así como cualquier otra forma de activo de información, y que los supervise a lo largo de todo el ciclo de vida de los activos, desde su incorporación hasta su eliminación. Por lo tanto, si ya contamos con un marco establecido, como el 27,01, y ahora nos dirigimos a los proveedores para hacerles preguntas pertinentes al respecto, ¿debemos descartarlo porque va a entrar en vigor la nueva directriz o normativa B13? En realidad, no.

Thomas: Porque sabemos que ya existe una estrecha relación entre muchos de los controles que, en este caso, B13 solicita y normas como la 27.0001, que también se reflejarán en la correspondencia entre normas. Si podemos mapear los controles que exige B13 en nuestro marco 27000 o en el marco CSS, eso nos permitirá demostrar, ya sea a nuestros clientes u otras partes interesadas clave, que seguimos cumpliendo los requisitos y que seguimos exigiendo lo mismo a nuestros proveedores en lo que respecta, en este caso, a la gestión de activos y al inventario de activos, así como a la gestión de la gestión. Sin embargo, por supuesto, hay ocasiones en las que el tipo de controles que se requieren son muy específicos de esa directriz, normativa o estándar industrial. Volviendo a OSI, también tienen una segunda directriz llamada B10, en la que se plantean la gestión de riesgos de terceros, y una de las cosas que exigen a las empresas es que evalúen el riesgo de concentración tanto antes de celebrar un contrato como de forma continua con sus terceros. Ya hemos mencionado que, ya sea la ISO, el NIST o los SIG del mundo, todos tienen expectativas en torno a la gestión de la cadena de suministro, la gestión de riesgos de la cadena de suministro y la gestión de riesgos de terceros, y todos tienen requisitos para establecer e identificar los riesgos que son apropiados para los terceros o que serán preocupantes, y que la empresa debe aplicar controles y políticas para mitigar esos riesgos. Pero no llega al nivel de decir que el riesgo de concentración debe ser un riesgo clave que la empresa deba evaluar. Así que pensemos en 27 000 o solo en CSF. Este es un ejemplo de cómo algunas de estas directrices pueden ir más allá de lo que cubre su marco de gestión de riesgos o su evaluación de proveedores. Del mismo modo, si nos fijamos en el NYDFS, hay controles específicos para la forma en que las empresas informan de incidentes y eventos de ciberseguridad, de forma similar al RGPD, donde se producen violaciones de la privacidad de los datos y se espera que las empresas informen también a las autoridades competentes en materia de riesgos de privacidad.

Thomas: Y luego, dentro del NIDFS, también vemos ejemplos de grupos de control más amplios que solicitan tipos específicos de autenticación, en este caso. Hay toda una sección que trata sobre la autenticación múltiple y, de nuevo, si nos fijamos en normas como la ISO y el NIST, hay muchos controles que hablan de la respuesta a incidentes y la gestión de la respuesta a incidentes, y que también se refieren a la autenticación de usuarios, ya sean usuarios internos, contratistas o usuarios externos de sus redes y sistemas de información, pero nono siempre llegan al mismo nivel de pedir específicamente que también se debe tener autenticación multifactorial, sino que, de nuevo, van más allá, volviendo a la ISO, que dice que se deben implementar la autenticación y las técnicas de autenticación adecuadas. Entonces, si pensamos que tenemos un marco muy claramente estructurado con el que evaluamos a nuestros terceros, ¿cómo adoptamos e implementamos estos controles adicionales que son exclusivos de los requisitos normativos o legislativos de la industria? En algunos casos, puede que tengamos que añadir preguntas adicionales para asegurarnos de que tenemos una cobertura del 100 %. Puede ser que si ya tenemos y estamos preguntando a terceros cómo gestionan los eventos de ciberseguridad y la respuesta a incidentes, y los eventos de continuidad, que también desglosamos a través de notas, mediante la carga de documentos, a través de otros medios, específicamente cómo informarían de esos eventos a las autoridades competentes, como el superintendente del NYDFS, o si gestionan e identifican el riesgo de terceros, si tienen en cuenta y planifican el riesgo de concentración cuando hay proveedores únicos, por ejemplo, por lo que hay diferentes técnicas que podemos aplicar antes de llegar a la etapa de decir que necesitamos crear un marco completamente nuevo. Por supuesto, en algunos casos, si se trata de algo muy singular, es posible que tengamos que añadir preguntas adicionales para asegurarnos de que tenemos una cobertura completa. Pero aquí es donde, obviamente, la importancia de tener la capacidad de evaluar las deficiencias y trazar un mapa de estas normas juntas puede facilitar mucho las cosas.

Thomas: Y eso es algo que a menudo vemos en muchas empresas, que empiezan con un único marco, como ISO, NIST o SIG, pero luego añaden más mapeos para asegurarse de que tienen una cobertura completa de las normativas específicas u otros requisitos clave de las partes interesadas. Por lo tanto, además de revisar uno o varios marcos, debemos tener en cuenta, obviamente, cómo se comparan con las áreas de riesgo y vulnerabilidades que son importantes para nosotros y que hemos identificado como críticas, así como aquellas en las que se producen cambios notables o nuevas amenazas. Obviamente, hemos mencionado las tecnologías nuevas y en expansión. La IA lleva muchos años creciendo y está llegando a un punto en el que cada vez más empresas quieren preguntar a terceros sobre su uso de la tecnología de IA, ya sea en plataformas de IA de código abierto o desarrollando algún nivel de capacidad de IA como parte de sus productos y servicios. Por lo tanto, volviendo a esos marcos estándar, tenemos que empezar a considerar cómo está afectando esto a lo que estamos haciendo ahora. ¿Hemos desarrollado cómo estamos utilizando un marco que ya capta esta capacidad en torno a las tecnologías nuevas y emergentes o la consideración de estas tecnologías? Sin duda, como hemos mencionado desde el punto de vista legal y normativo, cada vez hay más supervisión en cuanto a cómo las empresas gestionan a sus terceros, la cadena de suministro y la capacidad de la cadena de suministro. Por lo tanto, esa supervisión a través del riesgo y la elaboración de perfiles de terceros es importante y realmente nos permite comprender cómo gestionamos a nuestros terceros, cómo los perfilamos e identificamos y cuáles son los requisitos mínimos que exigen leyes como la OCB10 o la P SS221 y, de nuevo, cómo afecta eso al marco que estamos utilizando.

Thomas: Obviamente, hay una identificación de controles críticos a través de contratos y acuerdos, y está muy bien pedir, supongo, un conjunto estándar de controles en torno a, digamos, la gestión instantánea de la continuidad del negocio y los informes de recuperación, el control de acceso, pero también hay que prestar atención a dónde hemos identificado riesgos y vulnerabilidades que son críticos para nosotros como organización a la hora de hacer preguntas sobre esas áreas. ¿Cómo los revisamos? ¿Cómo los supervisamos? ¿Cómo gestionamos el proceso de corrección si esos controles críticos se convierten en riesgos cuando un tercero completa esa evaluación? Y, por supuesto, existe esta expectativa adicional por parte de los organismos legales y reguladores en torno a la revisión continua, ya sea mediante auditorías in situ o virtuales, que demuestre que el éxito de nuestro programa de terceros existe y puede demostrarse. Dicho todo esto, hemos explorado los diferentes tipos de marcos y, en algunos casos, hay marcos que se basan más en la normativa o en la industria y, obviamente, cuantas más preguntas nos hacemos sobre lo que queremos obtener de la evaluación, lo que queremos de nuestro marco, si es escalable, si puede adaptarse a las amenazas y tecnologías nuevas y emergentes. ¿Ofrece todo lo que necesitamos en términos de áreas de control clave o profundidad y complejidad basadas en nuestros terceros? ¿Cómo podemos reunir todo esto en términos de nuestro programa TPRM más amplio y nuestro ciclo de vida más amplio? Bueno, sin duda, si hemos llegado a la etapa en la que hemos podido identificar qué marcos son los más adecuados para nuestro negocio basándonos en nuestro propio conocimiento de la industria y en otros criterios clave. Cuando analizamos el proceso completo, hay preguntas clave que podemos utilizar para mejorar y aprovechar las áreas de control críticas. Por lo tanto, al pensar en la identificación de la evaluación, es importante señalar que se trata obviamente de un proceso repetitivo, ya que siempre estamos solicitando la evaluación que enviamos a nuestros proveedores de primer, segundo y tercer nivel. ¿Los criterios siempre se ajustan al propósito? ¿Estamos haciendo las preguntas adecuadas?

Thomas: ¿Estamos cubriendo las áreas adecuadas en función de lo que hacen nuestros terceros? Y, sin duda, en eso influye el concepto de cómo perfilamos y clasificamos a nuestros terceros. Así que llegamos a esa etapa en la que hemos establecido qué tipo de terceros tenemos y qué importancia tienen para el negocio. ¿Son proveedores únicos? ¿Suministran componentes críticos o sensibles, o servicios que, de nuevo, nos permiten configurar nuestra evaluación basándonos en la calidad de ese perfil y esa clasificación? Obviamente, la gestión de la respuesta es importante. Una vez que hayamos identificado qué marco estamos utilizando, o si estamos utilizando un marco combinado, tomamos las mejores prácticas de múltiples marcos. ¿Cómo colaboramos con ese tercero? Obviamente, será más fácil si tenemos un enfoque muy claro y estructurado sobre qué marco y qué evaluación estamos utilizando, así como la frecuencia de la evaluación, para poder comunicárselo al tercero y asegurarnos de que se implique lo máximo posible en todo el proceso. Y, por supuesto, una vez que hayamos identificado el marco, esperamos llegar a una etapa en la que podamos identificar cuáles son los controles críticos para nosotros. ¿Existen requisitos de control obligatorios que esperamos? ¿Existe una expectativa mínima sobre el tipo de cifrado, por ejemplo, que esperamos que estos terceros cumplan? Cómo establecen acuerdos contractuales con sus proveedores o con nuestros cuartos o quintos terceros. Así que, obviamente, una vez que hayamos identificado ese marco y conozcamos esas áreas de control críticas o controles obligatorios a la hora de gestionar el nivel de riesgo cuando se presentan riesgos y cuando estos vuelven a aparecer como resultado de completar ese marco, puede facilitar mucho ese proceso y esa parte del TPM a la hora de saber qué priorizar. Y, por último, desde el punto de vista de la capacidad de presentación de informes, si utilizamos un marco coherente en todos nuestros terceros, tal vez con diferentes volúmenes y tamaños, pero siempre el mismo marco.

Thomas: Cuando se trata de informar sobre las copias de seguridad en toda la empresa y hasta la alta dirección, poder demostrar y explicar los niveles de cumplimiento de ese marco o norma en particular sin duda puede facilitar las cosas, sobre todo cuando empezamos a ver tendencias y análisis de tendencias basados en el tipo de riesgos que surgen de nuestros respectivos terceros. Entonces, ¿qué dicen realmente estas normas, reglamentos y directrices con respecto a los terceros en la cadena de suministro? Obviamente, cada norma, como sabemos, tiene su propia agenda en cuanto a la forma en que estructura las cláusulas. Hay muchos puntos en común cuando nos fijamos en los terceros y vemos que no solo se trata de ISO, NIST y SIG, sino incluso de algunas de estas legislaciones. Hemos mencionado OVI y P, y muchas otras en el sector financiero. También vemos en el sector sanitario que, cuando se trata de requisitos para preguntar a terceros sobre la cadena de suministro en general, hay muchas expectativas sobre cómo las empresas identifican y saben quiénes son sus proveedores. Por lo tanto, el inicio del proceso de adquisición para la cadena de suministro, así como la identificación de los riesgos de la cadena de suministro y la existencia de un proceso para capturar esos riesgos. Por lo tanto, los enfoques formales de gestión de riesgos de la cadena de suministro, los contratos y los términos del acuerdo también son muy comunes. Lo vemos en todos estos marcos. Así pues, la forma en que se identifican los contratos con terceros o los contratos de la cadena de suministro y los controles que se recogen en dichos contratos, e incluso a nivel de control, encontramos mucha coherencia. Por ejemplo, los controles para responder a incidentes o eventos de continuidad del negocio son ejemplos de controles mínimos que vemos cuando observamos el amplio espectro de marcos, y alguna forma de gestión y supervisión de los proveedores es algo que vemos una y otra vez, sobre todo cuando se trata de algunos de estos marcos normativos que se están desarrollando.

Thomas: Bueno, ya sea específicamente en torno a la auditoría y la capacidad de auditoría, ya sea in situ o a distancia, o ya sean otras formas de supervisión del rendimiento y presentación de informes entre el proveedor y usted mismo, o entre su tercero y su tercero, su cuarto y la cadena de suministro en general. Así que hay muchos puntos en común en cuanto a cuántos de estos marcos capturan y requieren la gestión de riesgos de la cadena de suministro y buenas prácticas. Por lo tanto, buenas prácticas y criterios de éxito que podemos utilizar dentro de nuestro TP RM para ayudar a impulsar el programa de terceros más amplio y, en particular, en lo que respecta a los marcos. Pero, obviamente, hay que empezar por establecer grupos de dirección o de trabajo y comités de grupos de trabajo dentro de la empresa. Obviamente, como sabemos con la gestión de riesgos de terceros, cuanta más gente podamos involucrar dentro de la organización, más aceptación obtendremos y mayores serán los criterios de éxito a la hora de manejar y tratar con los proveedores, lidiar con los riesgos que surgen con el proceso y el programa TPM adicional. Obviamente, como sabemos, en algunas empresas podría tratarse del mismo grupo de personas, pero en las empresas muy pequeñas y en las organizaciones mucho más grandes podría tratarse de diferentes jefes de unidades de negocio y personas que puedan tener que interactuar con terceros.

Thomas: Así que, ya sea en el ámbito de las compras y adquisiciones, las operaciones, las tecnologías de la información y muchas otras áreas del negocio en las que intervienen terceros, es evidente que hay que determinar qué se necesita dentro del programa de gestión de proveedores (TPM) y hacerlo en una fase temprana, lo que sin duda será de gran ayuda a la hora de identificar ese marco y saber cómo se va a gestionar, con qué frecuencia, así como los KPI y los KIS, para saber qué objetivos y criterios de éxito estamos buscando cuando entregamos ese marco a nuestros terceros y obtenemos riesgos, y en particular cuando analizamos las tendencias a largo plazo, y si a través de los KPI y KISS y otras medidas de rendimiento podemos ver una disminución en el volumen de, digamos, riesgos críticos, como parte, obviamente, del programa TPRM, la política real en sí misma y tener una política más amplia y un programa de gestión de riesgos en términos de cómo tratamos con nuestros terceros es un primer paso crítico y, de nuevo, uno en el que los comités directivos, los comités de trabajo y los miembros de la junta directiva deben reunirse y decir que este es nuestro enfoque formal, enfoque estratégico de cómo gestionamos a nuestros terceros. Y, por supuesto, la formación empresarial y el marketing interno son igualmente importantes en este caso. Una vez que hayamos establecido el marco que vamos a utilizar, que vamos a enviar y la frecuencia con la que vamos a enviar este marco a las organizaciones, debemos asegurarnos de formar a aquellos que van a participar y que pueden verse afectados por los riesgos. Y también los requisitos de riesgo. ¿Y qué deben hacer? ¿Cómo se gestiona? ¿Es una plataforma o herramienta que van a utilizar para registrar las acciones y tareas relacionadas con los riesgos? Y, por supuesto, dado que se trata de un enfoque cíclico, de un programa continuo de mejora continua, ¿cómo mejoramos lo que estamos haciendo ahora? Y, de nuevo, especialmente con vistas a dónde estamos ampliando nuestros marcos y eligiendo ese tipo de marco y el final de ese marco para adaptarnos a las nuevas tecnologías emergentes, así como a los riesgos y amenazas. Me gustaría ceder la palabra a Matt. Matt: Gracias, Thomas.

Matt: Siempre es bueno que dejes de compartir. Gracias. Hablaremos de cómo Muterek, el programa de gestión de riesgos de terceros, puede ayudarle con la gestión de riesgos de terceros. Lo primero que hay que entender es que la gestión tradicional de riesgos de terceros se basa en gran medida en hojas de cálculo. Vemos que alrededor del 50 % de las empresas utilizan hojas de cálculo de alguna manera y se basan únicamente en ellas para gestionar la auditoría y el control de riesgos de terceros. Se trata de evaluaciones, alineación con marcos, etc. Solo alrededor de un tercio de los proveedores se gestionan de forma activa, y esto se aplica a todo el panorama de proveedores. En última instancia, esto da como resultado que solo el 29 % de las empresas realizan un seguimiento de los riesgos a lo largo de todo el ciclo de vida de los proveedores externos, desde la admisión y la incorporación hasta la salida y la rescisión. Y esto es realmente un problema, porque sin visibilidad a lo largo de todo el ciclo de vida del riesgo de los proveedores, se corre el riesgo de... ¿Cuántas veces puedo decir «riesgo» en la misma frase? Um, dejar algo fuera. Por desgracia, ahora nos encontramos con que los objetivos de un programa de TPRM son obtener los datos que su equipo necesita para tomar mejores decisiones basadas en el riesgo, aumentar la eficiencia y romper los silos. El riesgo de terceros debe gestionarse a través de varias partes interesadas de la organización. Puede ser el departamento de compras, el de seguridad informática o el equipo financiero. En realidad, la gestión de riesgos de terceros, una solución adecuada, se esfuerza por romper esos silos y realmente le ayuda a evolucionar y ampliar su programa TPRM con el tiempo. Ahora bien, la forma en que lo hacemos aquí con la plataforma de riesgos de terceros mutante prevalente es realmente un enfoque descriptivo a lo largo de todo el ciclo de vida del proveedor. Ya sabe, empezando por el abastecimiento y la selección con automatización, inteligencia y procesos RFX, racionalizando y proporcionando evaluaciones de riesgos de los proveedores. Alguien preguntó sobre otros marcos operativos, financieros, ese tipo de cosas. En realidad, muchos de ellos se basan en evaluaciones y no tienen necesariamente fuerza de ley, pero nosotros admitimos múltiples evaluaciones diferentes.

Matt: Creo que, según el último recuento, teníamos 750 plantillas de cuestionarios diferentes en la plataforma en alguna capacidad y permitimos la validación continua a través de la supervisión continua de los datos introducidos en la plataforma, lo que le ayuda a hacer todo tipo de cosas, como medir la eficacia de los proveedores mediante el análisis de los KPI y los KIS, y también gestionamos el proceso de salida y rescisión si rescinde un contrato con un proveedor. Así que estos son los ámbitos de riesgo que cubre la gestión de riesgos de terceros aquí en Meteorch. Tenemos seis categorías principales. Está la ciberseguridad, que incluye aspectos como la dark web, la supervisión del abuso de la infraestructura, las vulnerabilidades y las configuraciones erróneas, y ESG, como la salud y la seguridad, y la esclavitud moderna. Existen varias normativas en el Reino Unido, la UE y Canadá sobre la esclavitud moderna y el trabajo forzoso, y nosotros incluimos esos datos en la plataforma. También están los riesgos empresariales y operativos, el riesgo reputacional, el riesgo financiero y el riesgo de cumplimiento. Así que lo que hacemos es combinar personas, datos y plataforma. Contamos con servicios gestionados de gestión de riesgos de terceros. Nuestro centro de operaciones de riesgo, nuestro pilar, es uno de los mejores equipos del mundo. Todos ellos son profesionales certificados en gestión de riesgos de terceros. Se encargarán del trabajo diario de gestionar su programa de riesgos de terceros, es decir, salir a buscar evaluaciones, perseguir a los proveedores que no las han rellenado. Nosotros nos encargamos de la evaluación, la corrección, la gestión, todo, de forma totalmente externalizada. También contamos con unos 500 000 perfiles de proveedores constantemente actualizados, con acceso bajo demanda a información sobre riesgos de terceros en múltiples áreas de riesgo diferentes. Y nuestra plataforma le ayuda realmente a centralizar todo este trabajo en un solo lugar al que se puede acceder desde toda la empresa. Ahora bien, este es solo uno de los componentes de la que es realmente la plataforma de gestión de riesgos empresariales líder del sector. Ya sabe, con gestión ESG, planificación de la continuidad del negocio, gestión de políticas de ciberseguridad, línea directa de ética y formación en cumplimiento normativo, y realmente todo lo relacionado con GRC, gestión de riesgos empresariales. También me gustaría invitar a todos nuestros clientes a Interact Dallas, la gran conferencia de clientes.

Matt: Bueno, en abril se celebra en el Gaylord Austin y realmente te ofrece muchas oportunidades para aprender y formarte sobre GRC, y también para mantener conversaciones muy interesantes. Eso es todo. Esa es mi sección. Ahora pasemos a las preguntas y Melissa las clasificará.

Melissa: Entendido. Gracias. Matt, eh, sí, como has dicho, haz una pregunta en la sección de preguntas y respuestas. Voy a lanzar nuestra última encuesta. Tengo curiosidad, ¿estás buscando ampliar o establecer tus procesos actuales de TPRM? Quizás sigas utilizando esas hojas de cálculo. Eh, listo para salir. Sé que 2025 es un nuevo año, un nuevo yo. Quizás quieras crear una plataforma aquí. Ya sabes, hacemos un seguimiento, así que por favor responde con sinceridad. Creo que tenemos un par de preguntas en unos minutos. Thomas, ¿hay alguna que te llame más la atención que las demás? Puedo leerlas si quieres.

Thomas: Está silenciado. Tú estás silenciado. Oh, lo siento. Pido disculpas. No dije que todavía estaba silenciado. De acuerdo. Um, sí, echemos un vistazo. Entonces, centrémonos en los marcos de ciberseguridad, pero también en la salud financiera, la resiliencia operativa, los contratos, los acuerdos de nivel de servicio (SLA) y el cumplimiento normativo. Esto también debería revisarse y supervisarse para la gestión de riesgos de terceros (TPRM). ¿Qué marcos podrían incluir todas las áreas? Sí, esta es una pregunta interesante de la ACU, porque aunque hoy nos hemos centrado en la ciberseguridad, hay muchas otras áreas que son importantes para un programa de TPR. Um, diría que no hay demasiados marcos dedicados a todo. Um, hay algunos que están tratando de adoptar un enfoque mucho más amplio, no solo en materia de información y ciberseguridad, sino que también incluyen áreas como el cumplimiento normativo y la privacidad, así como otras capacidades quizás más tradicionales basadas en GRC. Um, y también algunas de las piezas de resiliencia. SIG es un buen ejemplo de ello, ya que, aunque cuentan con ciberseguridad y seguridad de la información, tienen secciones dedicadas exclusivamente a la amplia cadena de suministro. El cumplimiento legal incluye áreas como el fraude y la lucha contra el soborno, por ejemplo, e incluso temas más novedosos relacionados con la inteligencia artificial. Así que hay algunos marcos que se han creado para abarcar todo lo posible. Um, también vale la pena señalar que, aunque aquí hemos abordado aspectos concretos en torno a la ISO 27K y el NIST CSF, encontramos que algunas empresas um desarrollan um uno, desarrollan un marco ampliado um que recoge tantos componentes diferentes como sea posible um, y eso es algo que estamos viendo um aumentar bastante también. Así que hay algunos por ahí. Quiero decir, SIG es un buen ejemplo, supongo que quizás el mejor ejemplo que puedo dar, donde hay muchas expectativas y capacidad. La segunda pregunta es cómo lidiar con el hecho de que tu propia organización adopte un determinado estándar de seguridad, pero la parte contractual que ellos adoptan y otros de nuevo...es algo que vemos una y otra vez, um, Sock es un buen ejemplo, el número de organizaciones que acuden a sus proveedores con un marco concreto, como SIG, um, y luego obtienen un Sock a cambio, um, a menudo con un «¿es esto suficiente?», um, una de las mejores formas de lidiar con eso es a través de, um, datos y estándares de mapeo, cuanto más podamos hacer para decir cuánto se alinea Sock, por ejemplo, con nuestros criterios de sincronización o criterios ISO, significa que podemos cubrir muy rápidamente la brecha y si hay lagunas significativas, por ejemplo, que el Sock no tiene la cobertura completa que pedimos basándonos en nuestro marco básico SIG, ahora sabemos la diferencia que podemos señalar a ese proveedor y decirle que hay preguntas y áreas temáticas adicionales que aún necesitamos que responda y que profundice. Pero eso es algo que vemos con bastante frecuencia, cuando hay diferentes documentaciones y marcos recibidos del proveedor que no coinciden completamente con el marco que usted y la organización pueden estar implementando.

Melissa: Perfecto. Gracias, Thomas. Y gracias por todas vuestras aportaciones de hoy, tanto a ti como a Matt. Gracias a todos por vuestras preguntas. Ha sido estupendo y nos ha llevado hasta el final de la hora. Estoy segura de que veré a algunos de vosotros en vuestros buzones de correo, quizá en uno de nuestros próximos seminarios web. Y eso es todo. Espero que paséis un buen resto del día y de la noche, y nos vemos pronto. Cuidaos. Thomas: Gracias. Matt: Gracias a todos. Gracias.