Descripción
A medida que las organizaciones toman conciencia de las amenazas inminentes que plantean las entidades externas, los equipos de seguridad y gestión de riesgos están empezando a darse cuenta de que un programa de gestión de riesgos de terceros (TPRM) verdaderamente eficaz requiere algo más que tecnología sofisticada: depende de una comunicación interna fluida y de procesos a prueba de fallos. Sin embargo, para la mayoría de las organizaciones, la conversación sigue girando en torno a la tecnología.
Únase a Eric Brown, director de seguridad de la información (CISO) de Cytokinetics, en un animado seminario web en formato de preguntas y respuestas en el que analizará los pasos clave para transformar la gestión de riesgos de terceros (TPRM) en una conversación empresarial fácilmente comprensible para toda la empresa.
Eric en esta sesión:
- Explica cómo crea conciencia sobre los riesgos de terceros en toda la organización, incluyendo la cuantificación del impacto potencial de un incidente en las operaciones.
- Diagramas de procesos clave y mecánica del programa, incluyendo atributos utilizados para la elaboración de perfiles y clasificación de proveedores y distribuidores, disposición de riesgos y escalamiento.
- Analiza cómo mantener una relación continua con la junta directiva, el departamento de cumplimiento normativo, el departamento jurídico y otros equipos ejecutivos transformando el riesgo de terceros en una conversación empresarial.
Tanto si está estableciendo una nueva práctica de TPRM como si está perfeccionando un programa ya existente, este seminario web le ayudará a reflexionar sobre los atributos no técnicos de un programa bien gestionado.
Altavoces
Eric Brown
Director de Seguridad de la Información (CISO) en Cytokinetics
Transcripción
Melissa: Hola y bienvenidos a todos. Es fantástico ver que todos se unen a nosotros este miércoles. Les daré un minuto para que se acomoden, se conecten y, si lo desean, tomen un café, si es que les apetece. Mientras tanto, voy a lanzar nuestra primera encuesta. La verán aparecer en su pantalla en un segundo. Tengo curiosidad por saber qué les ha traído al seminario web de hoy. ¿Es porque están en las primeras etapas de su programa de riesgos de terceros? ¿Son clientes habituales? Quizás solo estén investigando para un proyecto. Sean sinceros. Quizás estén perdidos. No estoy segura. Empecemos con algunas cosas. Algunas presentaciones. Mi nombre es Melissa y trabajo aquí en desarrollo comercial. Y hoy nos acompaña un invitado, Eric Brown, que es el CISO de Cytokinetics. Bienvenido, Eric.
Eric: Hola a todos.
Melissa: Y tenemos a Mike Yaffy, director de marketing de Prevalent. Hola, Mike.
Mike: Hola.
Melissa: Y por último, pero no menos importante, tenemos a Scott Lang, nuestro vicepresidente de marketing de productos. Hola, Scott.
Scott: Hola, Melissa.
Melissa: Y hoy Eric y Mike profundizarán en los pasos clave para transformar el TPRM en una conversación empresarial. Y eso es lo que va a ser hoy, básicamente una conversación entre Mike y Eric. Así que, bueno, un poco de información práctica. El seminario web se está grabando. Más tarde recibirán esto junto con una presentación de diapositivas en sus bandejas de entrada. Todos ustedes están en silencio. Así que utilicen el cuadro de preguntas y respuestas si tienen alguna pregunta que se les ocurra. No sean tímidos. Siéntanse libres de preguntar. Y sin más preámbulos, dejaré que Eric y Mike se pongan manos a la obra. Adelante, chicos.
Mike: Muy bien. Eric, gracias por acompañarnos hoy. Te lo agradezco, sobre todo teniendo en cuenta que no estás en la RSA, como ya hemos comentado. Gracias, Melissa. ¿Por qué no pasas a la primera diapositiva? Un par de cosas más, chicos. Para aquellos que no están en la RSA, creo que todos hemos estado allí o hemos ido alguna vez. Es agradable no tener que estar con 30 000 personas esta semana. Así que estamos un poco tranquilos. En segundo lugar, pido disculpas por esto. Bueno, en general, por mi aspecto, no puedo hacer mucho al respecto. Pero por el carácter informal del enfoque, mi mujer acaba de tener un bebé hace poco, y sé que pensáis que es mayor para tenerlo. Eso también es cierto. Pero esto es lo mejor que puedo hacer ahora mismo. Así que estoy en ello. Te dan un sombrero. Hoy se está un poco más informal. Pero debería ser una conversación muy divertida. Mira, estoy emocionado. Eric ha sido un gran amigo para nosotros y tiene muchísima experiencia. Creo que cuando se combina su experiencia en TI y ciberseguridad con lo que ha hecho y su formación técnica, se obtiene una combinación realmente buena de, ya sabes, experiencia técnica, un tipo que puede profundizar y trabajar un poco en las trincheras, pero que, debido a su cargo, entiende realmente cómo presentarse a nivel ejecutivo y cómo traducir lo técnico al nivel de la junta directiva. Y creo que en relación con lo que estamos tratando de lograr aquí. Es un reto conseguir que los CISO o la junta directiva se sumen a un caso de negocio, al apoyo, a la expansión o simplemente a la profesionalización de su programa TPRM. Y Eric probablemente no lo diría porque es humilde, pero es un experto en esto y creo que lo ha hecho muchas veces a lo largo de su carrera. Tenemos mucha suerte de que haya dedicado parte de su tiempo a ayudarnos y a ayudaros a comprenderlo. Una vez más, si tenéis alguna pregunta en el chat, no dudéis en plantearla. Intentaremos responderla en su contexto. Si no, la guardaremos para el final. Eric, ¿quieres empezar con algo? Melissa, ¿por qué no pasas a la siguiente diapositiva?
Eric: No, te agradezco la presentación. Estoy deseando ponerme manos a la obra.
Mike: Muy bien, hagámoslo. Bueno, mirad, la primera pregunta, solo para que todos estemos en sintonía, es: ¿cómo lo hicisteis? Conseguir que todo el mundo esté en sintonía no es tan fácil en las organizaciones. Siempre pregunto a las organizaciones: «¿qué tipo de empresa sois?». ¿Queréis la respuesta? ¿No queréis la respuesta? Entonces, ¿cómo conseguisteis la sintonía y en qué tipo de organización os clasificaríais?
Eric: Sí. Responderé primero a la parte relativa a la organización y lo haré de varias maneras diferentes. Yo trabajo en el sector farmacéutico en general, ¿verdad? Algunas personas lo encontrarán en la sección de salud. Pero es un modelo de negocio diferente. El sector farmacéutico vive y muere por la propiedad intelectual. Eso es algo así como conocer al cliente, conocer al público. Cytokinetics es una organización pequeña. Piensa en unos 500 empleados, mil usuarios con contratistas, consultores, proveedores de servicios, etc. No es una organización grande. Y realmente creo que una de las cosas que siempre intentamos enfatizar desde el principio, cuando llegué y asumí el cargo de CISO, fue tratar de enmarcar el programa de ciberseguridad de manera amplia, como si no fuera un problema técnico. Sí, habrá aspectos técnicos y tecnologías, pero forma parte de una estrategia más amplia de gestión de riesgos empresariales que, en última instancia, mantiene a todos los miembros de nuestra organización y a nuestras principales partes interesadas, tanto internas como externas, contentos y seguros. Así que eso es lo primero, es solo el comienzo del debate sobre ser
Mike: ¿Cómo es eso? ¿Cómo es eso? ¿Cómo lo haces si la organización no lo ha tenido y estás intentando, ya sabes, todo el mundo lo tenía en una cajita o en un rincón?
Eric: ¿verdad?
Mike: Entonces, ¿qué es esa estafa elevada? ¿Cómo se empieza siquiera? ¿Por dónde se empieza? ¿Cómo se empieza? ¿Con quién se empieza?
Eric: Sí. Algunas cosas se han vuelto más fáciles en los últimos años porque hay muchos casos que aparecen en los titulares, ¿verdad? Ya sea Solar Winds u otra universidad local u organización sanitaria que ha sufrido una brecha de seguridad y hay ransomware, o la gente ha visto Target o Visa o CASA, ¿verdad? Y las tiendas minoristas de los segmentos europeos más grandes cierran durante un tiempo porque funcionan con sistemas POS que son pirateados. Um, así que Nightly News, entre comillas, facilitó en parte ese debate. Así que hay más miembros de juntas directivas que empiezan a hacer preguntas, ya que forman parte de varias juntas, para preguntar cómo mantenemos seguros nuestros activos. Um, hay noticias de última hora y fuentes de noticias. Así que hay una conciencia generalizada que es diferente a la de hace 10 o 15 años, cuando la ciberseguridad se reducía básicamente a preguntarse si teníamos los mejores y más modernos cortafuegos. Así que...
Mike: algunos de los algunos de los
Eric: problema tecnológico, punto a, a, a es igual a b, era, era, hay esto, compra esto, haz esto, ejecuta y luego Eric: así que la otra parte de, eh, no el problema tecnológico en el que nos centramos era, eh, el departamento jurídico dentro de una organización. Nadie piensa en lo legal como la función del sistema de gestión de contratos. Eric: Pero la gente piensa en lo cibernético como una función de cosas como el cortafuegos, el acceso y la identidad. Y eso está muy bien, ¿no? Es una parte fundamental, al igual que lo es el sistema de gestión de contratos. Pero hay que ayudar a la gente a comprender que lo legal está ahí para ayudar a las empresas a gestionar los riesgos a nivel contractual. La ciberseguridad se ocupa de la gestión de riesgos cibernéticos y técnicos. Y sí, hay tecnologías, pero hay que ayudar a la gente a establecer esa analogía. Y luego generamos confianza porque también hicimos lo básico. Así que eliminamos muchas de las tecnologías, los procesos y los controles para que los auditores internos y externos pudieran decir que sí, que todo estaba en orden. Eso ayuda a que la conversación se desplace hacia un lenguaje mucho más cercano a los negocios, alejado de las tecnologías.
Mike: Entonces, si tuvieras que hacer una clasificación, ¿por quién empezarías para que la gente se sumara a esto? Primero, los abogados, y eso es una pregunta, no una afirmación, pero ¿cuáles son las tres organizaciones principales con las que realmente necesitas trabajar y ayudarles a entender por qué?
Eric: Sí. Así que, dentro de nuestra estructura particular, las tres funciones, o diría que las pocas organizaciones o departamentos funcionales que eran fundamentales inicialmente, eran el cumplimiento de la calidad, pero sobre todo el aspecto legal. Dicho esto, también hubo otro esfuerzo por interactuar con nuestro equipo directivo superior. Es decir, con los vicepresidentes y cargos superiores de la organización, para decirles: «Este es el panorama general de los consultores y contratistas con los que trabajamos. Ellos constituyen una gran parte de nuestras capacidades en la organización, ¿verdad? Apoyan la automatización, los datos y las operaciones diarias de nuestra organización. Y si no entendemos dónde está el riesgo en ese gran segmento, podríamos encontrarnos fácilmente sin poder operar, comprometidos, lidiando con daños a nuestra reputación, ¿verdad? Tendríamos que soportar y superar cualquier número de efectos negativos en cadena. Por lo tanto,
Mike: ¿ Tuviste que contextualizar eso porque antes lo habías mencionado, verdad? Se trataba de información de identificación personal, ¿no? Entonces, ¿tuviste que ayudarles a comprender que esa era la preocupación principal o primordial de la organización? Es como si dijeras: «Ni siquiera sabemos cuántas personas hay, y no estoy diciendo que lo hicieras o no, pero...».
Eric: sí,
Mike: tener acceso a la información de identificación personal, saber adónde va, quién accede a ella o qué hacen con ella.
Eric: Sí. Por lo tanto, la información de identificación personal no es importante para nosotros, claramente. Quiero decir, claro, el RGPD europeo, las normas de privacidad de California, todo eso tiene sentido.
Eric: Eh, la propiedad intelectual es lo más importante. Eh, así que cuando empezamos a ver, ya sabes, organizaciones en las noticias que se pierden.
Mike: Por cierto, me refería a IP. Mi cerebro se equivocó la primera vez, pero me refería a IP y tenía las mismas letras. Así que, mis disculpas.
Eric: No, no te preocupes. Um, sí. Entonces, ¿cómo les ayudamos a entender cómo podría ser esto? Podría ser una filtración de datos de la organización a personas que no deberían tenerlos. Podría ser que nuestros líderes de opinión clave u otros profesionales de la salud no quisieran tratar con nosotros porque no confían en nosotros. No podemos mantener los datos. No sabemos qué está pasando. Así que los efectos negativos de los que siempre hablo tienen poco que ver con que alguien haya hackeado un servidor y siempre se trata de lenguaje empresarial en general para decir que este podría ser el efecto negativo posterior con el que tenemos que lidiar y que estamos tratando de capear. Así que ese era el enfoque habitual.
Mike: ¿ Es así? Y fíjate, incluso en el marketing de seguridad, y lo suficiente como para ser peligroso, llevamos más de 20 años haciendo esto, ¿no? Hay dos formas de enfocar la capacitación: o eres mejor, más rápido, más fuerte o más seguro, o está el factor FUD, ¿no? ¿Qué crees que funciona? ¿Es un enfoque híbrido? Pero, ¿cuál es el mensaje que transmites a estas partes interesadas? Y si quieres hablar del equipo ejecutivo frente al legal, o tal vez sea todo lo mismo, pero ya sabes, ¿cómo es el discurso?
Eric: Sí, es una gran pregunta y creo que realmente son ambas cosas. Me refiero a la realidad para nosotros en los ciberespacios. Es más... No diría necesariamente que es FUD, pero entiendo el punto y lo pondría en la categoría de evitar riesgos y evitar costos. Así que está claro que el miedo, la incertidumbre y la duda son los motivadores en ese espacio. Eric: Pero, en general, está bien decir que si estamos gestionando o mitigando el riesgo o lidiando con la evitación de una carga de costes indebida, pero también hay cosas que hemos intentado adoptar como postura de principio dentro del equipo, que es minimizar el riesgo siempre que podamos y seguir reduciéndolo como objetivo general. Siempre que podamos hacerlo con poca o ninguna fricción operativa, estupendo. Lo haremos porque eso empieza a capacitar a las personas. Es como si estuviéramos minimizando o mitigando el riesgo a través de la tecnología. Entonces, ¿cómo hacemos para que el acceso sea más fácil pero más seguro, verdad? Entonces, ¿cuáles son las configuraciones de MFA? ¿Cómo pensamos en el SSO para que podamos proporcionar un acceso más amplio y fácil a las aplicaciones, pero con más controles bajo el capó? Así que hay una parte de habilitación y, en última instancia, se trata de crear un cierto nivel de credibilidad en la organización, donde la gente diga: «Oye, ¿estamos haciendo lo correcto?». Yo tengo más preguntas que respuestas, en lugar de intentar introyectar el programa cibernético para decirles por qué lo están haciendo mal y cómo puedo ayudarles. Ahora son nuestros socios comerciales los que vienen a nosotros y nos preguntan: «¿Qué opinamos al respecto?». ¿Cómo utilizamos la ciberseguridad como criterio de decisión cuando estamos evaluando a varios candidatos para proveedores, en lugar de pensar: «Dios mío, es otra tarea más que tenemos que hacer y que ralentiza el proceso»?
Mike: Sí, eso es genial, ¿verdad? Quiero decir, si llegas al punto en el que evalúas sus controles y eso es un factor diferenciador, ¿no? Un factor diferenciador muy positivo, porque sientes que lo han conseguido, que estás muy por delante en eso. Eh, una pregunta más de seguimiento, luego recibimos una pregunta del público. Hablemos de la aceptación del riesgo, en algún momento no se dispone de suficiente dinero, tiempo y personal para cubrir todos los huecos. ¿Cómo se hace? ¿Se vuelve al equipo ejecutivo y se le dice: «Tenemos que reconocer esto como una amenaza potencial y está bien, creemos que hay un 4 % de posibilidades, un 1 % de posibilidades, pero vamos a hacerlo»? ¿Cómo se consigue que el equipo ejecutivo ponga por escrito que estamos dispuestos a vivir con ello X o Y?
Eric: Sí. Bueno, creo que es una gran pregunta. Siempre empiezo este tipo de preguntas diciendo que, a menos que se disponga de un presupuesto matemáticamente infinito, siempre hay que establecer prioridades. Eric: Es solo una cuestión de cuán grande es el presupuesto, ¿no? Por lo tanto, independientemente de las prioridades que se establezcan, si solo se invierte en función del riesgo, se puede superar la inversión de los ingresos de cualquier empresa por definición, ya que el riesgo no es cero cuando los ingresos no son infinitos. Así que, por definición, siempre estarás en un ejercicio de priorización para nosotros, dada la importancia de la información. Por lo general, categorizamos el riesgo y no voy a entrar en demasiados detalles por razones obvias, pero daré a la gente una idea de ello, con la esperanza de que sea valiosa.
Mike: Sí. Sí. Perfecto.
Eric: Por lo general, clasificamos el riesgo en función de un par de dimensiones diferentes. ¿Cuál es la sensibilidad de los datos con los que trabajamos? Y tenemos un esquema de clasificación interno que va desde el tipo público hasta el tipo «necesidad de conocer». Um, ¿qué importancia operativa tiene el proveedor de sistemas de la plataforma en cuestión, etc.? Y luego, um, utilizamos, um, utilizamos Prevalent como parte de nuestra solución TPRM y hacemos una categorización en torno a, um, SIG light, que utilizaré como ejemplo, y luego tenemos un SOP oficial real queha pasado por nuestro sistema de calidad, en el que se imparte formación, y en el que tenemos una matriz de decisión de riesgos que define si tenemos una clasificación de datos, si es así, es una tabla de verdad, fundamentalmente clasificación de datos, y cuán riesgoso es entonces eso, lo que define en qué nivel se produce la aceptación del riesgo. Entonces, si estamos tratando con un sistema que aloja nuestra Internet pública, está bien, esa es información pública, por definición se supone que debe salir. Así que, si hay un riesgo en esa plataforma, podría ser algo que uno de mis analistas cibernéticos pueda aprobar y decir que sí, que es un riesgo bajo para un sistema disponible públicamente. Así que tenemos una tabla de verdad que nos dice, basándose en la sensibilidad de los datos y el nivel de riesgo, quién puede aprobarlo. Eso va desde uno de mis analistas cibernéticos hasta una asociación entre yo y el jefe funcional de la organización que se ocupa de esa área en particular. Así que es un procedimiento operativo estándar oficial que se aprueba, se forma y se comunica. Así es como hemos integrado los criterios de aceptación de riesgos, para que la gente pueda verlos. ¿Habrá casos en el futuro en los que haya una excepción y alguien quiera quejarse? Sí, quizá.
Mike: Siempre hay, ya sabes, eso es curioso. Siempre hay que gestionar las excepciones, ¿verdad? Nunca vas a poder hacerlo y, si intentas construirlo para que lo abarque todo, vas a fracasar antes de llegar, ¿verdad? La regla del 80-20, amigos. Eso responde a una de las preguntas que teníamos. La otra es: alguien tenía una pregunta básica sobre cómo conseguir que el equipo ejecutivo se preocupe y dedique tiempo a la educación cibernética. Voy a adoptar una postura bastante agresiva al respecto. En primer lugar, es tarea del CISO, ¿no? Y dos, no sé si siempre se puede hacer que el equipo ejecutivo se preocupe por la ciberseguridad. Puede que sea el ADN de la organización, ¿no? No preocuparse y vivir sin preocupaciones. Y no dudes en decirme si crees que me equivoco, Eric, pero no sé si todas las organizaciones se van a preocupar por la ciberseguridad de la misma manera.
Eric: Sí. Creo que eso es cierto, al menos en apariencia, y escucha, conozco a ejecutivos a los que les importa muy poco cómo funciona su negocio. Pero dicho esto, no conozco a tu público, no sé si a la mayoría de los ejecutivos les preocupa realmente el programa cibernético, lo que les preocupa es que su personal sea capaz de hacer su trabajo, que puedan irse a casa y dormir por la noche sin preocuparse de que algún MC haya gastado más de mil millones de dólares en recuperarse de algún rescate, de algunas cosas más hace unos años. A sus ejecutivos no les importaba antes. Les importó después. Así que a veces será una crisis. A veces no lo será. No vendas algo que algunos no venden, un producto que alguien no quiere. ¿Verdad? Es responsabilidad del equipo de seguridad ocuparse de las cosas que sabes que la gente simplemente no quiere. No necesitan lo que hay detrás del telón. Pero habla de las cosas que sí quieren. ¿Puede trabajar su plantilla? ¿Están gestionando el riesgo? ¿Tienen áreas y puntos ciegos de los que deben ser conscientes? Todo lo demás, déjelo a los magos que están detrás de la cortina.
Mike: Bueno, y mira, las dos cosas que siempre... Es una, es el seguro, es el seguro.
Eric: Sí.
Mike: Correcto. ¿Cuánto seguro quieres tener en la vida? Lo miro y sé que no es una analogía fabulosa, eh, ya sabes, para algunas personas, pero bueno, tú tienes una tolerancia al riesgo y yo tengo un seguro de vida, ¿verdad? Y lo aumentas o lo reduces según vayas avanzando. Cuanto más inviertas en seguridad, probablemente mejor te sentirás, pero también más gastarás. Es un centro de costes, pero tienes que verlo como si hubiera un problema, si se inundara tu casa o, Dios no lo quiera, alguien no pudiera trabajar, ¿estás cubierto? Y la tecnología de seguridad ayuda a eso. Eric, otra cosa que también veo mucho, y que es común en todas las empresas en las que he trabajado, es que es increíble cómo, si hay un problema, todo el mundo se convierte casi inmediatamente en un fanático de la seguridad y se asignan presupuestos, presupuestos disponibles. Quiero decir, no hay nada que puedas hacer al respecto. Pero a veces eso es lo que se necesita en las organizaciones.
Eric: Yo... Yo añadiré una última reflexión. Sí. Quiero decir que una crisis es... No hay que dejar que una crisis se desperdicie, ¿verdad? Como alguien dijo una vez...
Mike: ¿Verdad? Eso es. Sí, me encanta esa.
Eric: Bueno, creo que otra cosa que añadiría es que también puedo imaginar un mundo en el que hay mucha gente que se dedica a diseñar automóviles y cree que todo el mundo debería leer el manual que viene con el coche, cosa que ninguno de nosotros hacemos porque lo que queremos es subirnos, pulsar el botón, llegar a nuestro destino y salir. No queríamos leer el manual del propietario. Así que, a veces, es posible que tengamos el deseo de convencer a alguien de la importancia de lo que hacemos y de su necesidad, pero eso va a ser difícil, va a ser un producto difícil de vender. Simplemente céntrate en los resultados y en gestionar el riesgo para la organización. Disculpa.
Mike: Esa es Melissa, pasemos a la diapositiva dos. Pero eso es muy importante, Eric. La salida. ¿Puedes profundizar en ello? Son los resultados, ¿verdad? Eso es lo que es. Mira, se ha saltado al final de la historia, ¿verdad? Tenemos un BR como si estuviéramos dispuestos a hacerlo, ¿verdad? Eso es lo que quiero decir, incluso cuando pasamos a la siguiente pregunta sobre el caso de negocio, el caso de negocio es un resultado potencialmente negativo para la organización. Sé que estamos hablando del FUD frente a la habilitación, pero Mike: um Mike: solo quieres profundizar en eso y cómo lo haces cuando la gente de seguridad, ¿verdad?, tiene que presentarte un caso de negocio, ¿qué es lo que buscas ver? ¿Cuáles son las cosas que realmente te ayudan a decidir de forma positiva y si no pueden, si no se articula claramente, ¿verdad? ¿Por qué descartas un caso de negocio?
Eric: Sí, es una gran pregunta. Bueno, cuando empezamos a definir el marco, utilizaré la abreviatura TPRM, pero cuando empezamos a definir dónde estaban los riesgos en nuestros socios externos y, en algunos casos, en nuestros socios de cuarto nivel, no utilizamos el caso de negocio propiamente dicho. Correcto. Como no estamos generando un retorno de la inversión, la evitación del riesgo es un retorno de la inversión B, ¿verdad? Es una cuestión de evitación de costes o mitigación de riesgos. Pero para presentar el caso y decir: «Esta es la inversión, este es el valor que vamos a obtener, así es como lo vamos a gestionar y así es como vamos a utilizar una palabra que hemos mencionado antes, para profesionalizarlo, por así decirlo».
Eric: ¿Verdad? Para que la gente se anime, esto no es solo otra tecnología con la que unos pocos van a jugar entre bastidores. Pero estos son los resultados que estamos tratando de conseguir, porque estamos tratando de encontrar proveedores que comprendan dónde está nuestro riesgo, de modo que nuestros departamentos y compañeros de trabajo puedan gestionarlo o minimizarlo mediante procesos y controles adicionales. Una vez más, es útil contar con miembros de la junta directiva que se mueven en este ámbito y que vienen y preguntan: «Oigan, ¿qué están haciendo en su programa cibernético?».
Eric: Y cuando hablamos de TPRM, dicen: «Oh, eso es fantástico. Cuéntame más». ¿Verdad? Porque han tenido malas experiencias. Eric: Así que cuando los auditores externos, como EY, nos preguntan por nuestro programa cibernético y CPRM, es fácil responderles, ya que tenemos mucho menos que preparar, porque es un coste inherente al negocio en cierto nivel, a medida que los mercados evolucionan, y eso es lo que les contamos: esto es lo que queremos invertir aquípor qué y esto es lo que vamos a obtener de ello y así es como evolucionará, no estamos tratando de resolverlo todo el primer día, vamos a ir poco a poco y evolucionar con el tiempo, pero poniendo cierto rigor en esa evolución interna cuando alguien del equipo traiga una propuesta para decir: «Oye, nos gustaría hacer esto o nos gustaría hacer aquello». En última instancia, hay cuestiones presupuestarias que debemos tener en cuenta. Pero mis criterios o el obstáculo que deben superar son los mismos que yo querría superar para los ejecutivos, que es: ¿cómo se gestiona el riesgo para la organización? ¿Cómo pretendemos utilizar esto? ¿Cuál es la visión de dónde estamos empezando y hacia dónde creemos que podría ir? Y luego trabajaremos ese problema con el tiempo. Pero no se trata solo de apuntarnos a la próxima herramienta obligatoria porque alguien ha recibido una llamada comercial y no podemos, no podemos apoyar la citoinética sin estas próximas una, dos, tres herramientas. Eso no es una conversación interesante.
Mike: Sí. Y tiene que ser un resultado, creo que otra vez. Estás en el punto A. Queremos llegar al punto B. ¿Cómo es el punto B? ¿Cómo es el estado final aquí? ¿Verdad? ¿Cómo trabajamos hacia atrás? Y yo creo, siempre he dicho que cuando un CISO como tú compra algo, tiene que ser una victoria global, ¿verdad? Mira, a veces los cambios son incrementales, pero eso es todo lo que puedes hacer, ¿verdad? Y cuando estás moviendo una organización, no vas de un 60 sobre 100 a un 92 de la noche a la mañana, ¿verdad? Quizás pasas de 60 a 62. El camino es llegar a 75 con esto y luego allí. Pero es... es una estrategia. Es un proceso. Y tengo que decirte que hay mucha gente que, en mi opinión, es como vendedores de humo, ¿verdad? Prometen mucho y cumplen poco. Pero muchas de las cosas relacionadas con la seguridad ayudan con el tiempo, ¿verdad? No te ayudan de inmediato. No te ayudan en dos semanas. No funciona así.
Eric: Sí. Por supuesto. Por supuesto.
Mike: Entonces, ¿cuál es el mejor caso de negocio que has visto de todos los que has visto? Y Melissa, pasa a la siguiente diapositiva también.
Eric: El... eh... de un caso de negocio que me presentaron.
Mike: Sí.
Eric: Entendido.
Mike: ¿Y por qué?
Eric: Sí. Eh, esa es una buena pregunta. Déjame pensar. Déjame encontrar una buena explicación. Lo que quiero es que la gente me cuente cómo están empezando, hacia dónde creen que va esto y cómo creen que va a avanzar. No porque crea que son omniscientes y que van a predecir el futuro, sino porque le han dedicado tiempo a pensar y han llegado a una conclusión sobre cómo ven las cosas y cómo van a avanzar.
Eric: Entonces, como parte de nuestra solución EDR, recientemente hemos añadido una especie de capacidad de detonación, ¿verdad? Así que podríamos echar un vistazo a ejemplos específicos de material malicioso. Vale, Eric: ese fue el que probablemente estaba mejor pensado, ¿verdad? Esto es lo que va a costar. Aquí hay un par de opciones. Podemos abordarlo de esta manera o de esta otra. Si lo combinamos con esta oferta, podemos obtener cosas adicionales que pueden ser significativas o no, pero el precio es este. Y creo que este es el grupo dentro de la organización que podría utilizarlo hoy en día. Puede que se amplíe. Así es como nos gustaría utilizarlo. Y esto es lo que creemos que significará para nosotros el año que viene. Vale, eso es suficiente, ¿no? No era una inversión significativa. No era una cifra de cinco dígitos ni nada por el estilo. Es como si alguien hubiera pensado en las dimensiones del problema. Yo...
Mike: Iba a decir que está muy bien pensado. Incluso lo que acabas de exponer estaba muy bien pensado. Por ejemplo, aquí está el motivo por el que lo queremos. Aquí está quién podría utilizarlo. Aquí están las ventajas. Aquí está cómo podría expandirse y ayudarnos aún más con el tiempo. Aquí está el coste y por qué lo hacemos. ¡Bingo!
Eric: Y eso me funcionó, y al final fue algo que, al menos, formó parte de mi hoja de ruta mental para los siguientes dos años. Así que está bien. Tenemos a alguien que lo supervisará y lo mantendrá en buen estado. Está bien seguir adelante con eso.
Mike: Entonces, tienes una hoja de ruta mental, como creo que todo el mundo tiene. En marketing también tenemos una, ¿verdad? Y esto es lo que estamos haciendo. ¿Cómo de flexible es? ¿Estás dispuesto a volver a hacerlo? Siempre pienso que los CISO están haciendo malabarismos con 20 proyectos que quieren llevar a cabo y uno que pueden ejecutar, ¿verdad? Y luego, porque ni siquiera es cuestión de dinero, ¿verdad? Son los recursos para gestionar eficazmente las herramientas y la tecnología que estás incorporando para sacarles partido, ¿verdad? No vas a incorporar 10 cosas si nadie puede ejecutarlas y no puedes sacarles partido.
Mike: Entonces, ¿cómo priorizas lo que traes? ¿Cómo lo prioriza tu equipo para ti? Uno, y luego, ¿cómo reorganizas las cosas si surge algo?
Eric: Sí, es una pregunta razonable. Bueno, te daré dos respuestas: una respuesta consultiva de arriba abajo y otra respuesta práctica y operativa de abajo arriba.
Mike: sí, sí.
Eric: Bueno, en general, mantengo una lista de... y perdón por las palabras de moda, pero estas realmente significan algo para mí en cuanto a su definición, así que mantengo una lista de objetivos, que son cosas que tienen declaraciones direccionales como aumentar, disminuir, maximizar, minimizar, así que tengo una lista de objetivos que creo que se alinean con los objetivos de la organización y que voy a llevar a cabo. Luego tengo una serie de estrategias que respaldan esos objetivos en particular. Así que estas declaraciones de acción que vamos a acabar haciendo y luego la hoja de ruta es un conjunto de objetivos y tácticas que realmente cumplen esas estrategias y respaldan esos objetivos. Así que eso es lo que pongo en papel, que dice que en un mundo perfecto, en un vacío donde nada cambia, este es el plan, ¿verdad? Y los planes son planes. En la práctica, todo cambia. Todo el tiempo, ¿verdad? Esto nos lleva a la realidad de tu pregunta. Para mí, desarrollar una capacidad no tiene mucho sentido. Y siento decir algo que puede parecer estúpido. Gestionar una capacidad es increíblemente crucial. He visto muchas organizaciones que inician muchos proyectos, implementan mucha tecnología, solo para que fracasen al cabo de dos años.
Mike: Lo mismo. Es como si fuera un añadido de seguridad, ¿no? Dicen: «Oh, mira esto. Oh, mira aquello. Oh, mira aquí. Es increíble, sinceramente».
Eric: Entonces, no había planificación para el segundo año, no había planificación de sostenibilidad, Eric: no había ningún tipo de pragmatismo en la estructura operativa de lo que estaba sucediendo. Así que, a medida que nos acercamos a considerar la implementación de algo que está en este elemento intelectual llamado hoja de ruta, o estoy examinando la propuesta de alguien, oye, sabemos que tenemos la hoja de ruta, pero estamos pensando en hacer esto adyacente, donde esta jugada periférica en su lugar. Muy bien, ¿es esto sostenible? Entonces, ¿al menos no contradice nuestros objetivos y estrategias? ¿Apoya lo que estamos haciendo? ¿Quizás está ligeramente desalineado? Está bien. ¿Podemos llevarlo a cabo en el segundo o tercer año? Y por llevarlo a cabo, no me refiero solo a saber cómo se va a financiar. ¿Tenemos compañeros de equipo internos que se encarguen de ello o proveedores de servicios que se vayan a encargar de ello? Está bien. ¿Tenemos una alineación empresarial general? Entonces nuestros socios también están dispuestos a operar en esas condiciones si se expone como un TPR. Entonces
Mike: Es una observación muy acertada, ¿verdad? Sinceramente, no había pensado en ampliarlo a tus socios, tus consultores y todas esas personas. ¿Estás dispuesto a hacerlo? ¿Qué opinan ellos? ¿Podrás hacer que funcione con ellos? Porque si es demasiado difícil, quizá no deberías o no podrías hacerlo.
Eric: y simplemente morirá. Todo lo que hiciste fue malgastar dinero durante el primer año, ¿verdad?
Mike: Sí. Es demasiada inercia organizativa. En contra, bueno, en esta diapositiva has mencionado el presupuesto un par de veces y voy a preguntarte como continuación, así que vamos a hacer esto y luego alguien ha hecho una pregunta en directo sobre los KPI y los KIS, pero...
Mike: Quiero decir, los presupuestos son presupuestos, si obtienes un 5 % más, obtienes un 10 % menos, son lo que son . Mike: ¿Cómo consigues financiación para un proyecto que consideras crucial y que no está financiado? Quiero decir, hay que hacer concesiones, ¿no? Tienes una cifra: el software cuesta X, el personal cuesta Y, gastos operativos, gastos de capital, y luego tomas decisiones basadas en las prioridades y, probablemente, en el impacto que tendrá en ti o en tus socios y en la reducción del riesgo que obtienes. Mike: Eh... Mike: Pero ya sabes, siempre hay otras cosas que probablemente quieras hacer o que consideras críticas. ¿Cómo se hace eso?
Eric: Sí. Entonces, parte de ello será discrecional a mi nivel, ¿verdad? Dependerá de lo que estemos haciendo y de la magnitud del cambio, si lo hay, ¿no? Si se tratara de una necesidad presupuestaria extraordinaria que se manifestara en un año, ¿qué estaría dispuesto a sacrificar a nivel interno y simplemente tomaría la decisión de gestión, o habría que presentar un argumento ante la organización financiera o el grupo ejecutivo más amplio para decir que quiero más y que voy a pedir implícitamente a otra persona que renuncie a algo, y aquí está el motivo? En general, prefiero controlar a los que están en mi ámbito en lugar de tener que subir peldaños. Pero, ya sabes, eso también forma parte de mi trabajo, a veces hay que ir a pedirlo.
Eric: Eh, y luego, como dije antes, ¿no? Dado que los presupuestos no son matemáticamente infinitos, hay que establecer prioridades. Por lo tanto, parte de nuestro argumento a favor del TPRM o VRM, como algunos lo llaman, era simplemente decir que así es como vamos a priorizar la implementación. Nos vamos a centrar en los sistemas críticos, los datos sensibles y los nuevos proveedores, ¿no? Así, al menos puedo demostrar a mis electores, a mis partes interesadas, que no estamos intentando abarcar demasiado. Y así, la alineación se irá construyendo con el tiempo. La gente se acostumbrará. Encontraré a mis evangelistas en la organización de forma orgánica y creo que eso llegará de varias maneras y entonces podremos seguir adelante. Y lo hicimos y todo salió bastante bien. Así que sí, lo aceptaré como una victoria, pero hay un poco de suerte. Teníamos una organización hermana que, ya sabes, se resistía a hacer algunas de estas cosas porque lo veían como una tarea obligatoria. Acabaron contratando a un proveedor que no funcionó bien durante el año que duró la ejecución.
Eric: Y luego volvieron y, basándose en lo que habíamos hecho con ese proveedor, dijeron: «Ah, ya entiendo. Ahora vamos a comportarnos mejor». ¿Verdad? Son mis palabras, no las suyas. Pero ese es básicamente el sentimiento y ahora son un gran socio que dice: «No, no, no. Esto es un valor añadido para nosotros porque nos da una visibilidad que no teníamos la última vez. Sufrimos por una mala relación. Así que lo aceptaremos cualquier día de la semana».
Mike: Sabes, es curioso. Yo escuché muchas cosas similares y, mira, tuve que aprender algunas de estas lecciones de forma dolorosa, pero para mí se trata de comunicar lo que vas a hacer al equipo concreto, ¿no? Para que no se sorprendan, ayudándoles a comprender las prioridades, el presupuesto, cómo lo vas a aplicar, y conseguir que todos estén de acuerdo y se comprometan, y luego decir: «Mirad, estas son las siete cosas que vamos a hacer». Y entonces, invariablemente, siempre hay alguien que se te acerca, ya sea un miembro de la junta directiva, un equipo ejecutivo o, ya sabes, un comercial que siempre dice que ha visto algo nuevo y brillante, y te dice: «¿Por qué no podemos hacer esto?». Y tú respondes: «Acordamos estas siete cosas...».
Mike: ¿ Como organización, verdad? Esa es nuestra estrategia. Estoy dispuesto a cambiar, pero ¿qué siete cosas podemos dejar de hacer o deberíamos dejar de hacer para añadir la octava, ya que estamos de acuerdo en eso, verdad? Para mí, es ese nivel tan alto de comunicación, Eric, lo que hace que Mike: tenga éxito.
Eric: Sí, estoy de acuerdo.
Mike: Hablemos de los KPI, KISS. Tenemos una pregunta del público sobre eso. Me refiero a los KPI de Shirley, ¿en qué KPI debería centrarse una organización al desarrollar un programa de TPRM desde cero? Y Shirley, hemos hecho muchas cosas al respecto. Te enviaremos algo de material después, pero me encantaría saber qué opinas, Eric.
Eric: Sí. Bueno, sin duda alguna, lamento decepcionarte. Definitivamente me mantendré alejado de lo que otras organizaciones deberían hacer, pero con mucho gusto les contaré algunas de las cosas clave en las que nos enfocamos y tal vez, con suerte, sean significativas. Nos mantenemos al día con las métricas de riesgo de todas las organizaciones que han pasado por el proceso de TPR. También usamos Bitsite para hacer una especie de calificación crediticia externa, por así decirlo. Así que las conservamos. Sinceramente, no me parece que sean tan interesantes para nuestros ejecutivos. Mientras estemos en la parte superior derecha, en verde, mejor que los grupos de referencia, eso es lo que quieren saber. La información más significativa que yo socializo o distribuyo es sobre los tipos de riesgos y qué líderes funcionales han aceptado esos riesgos. Así que eso es lo que nuestra cultura ejecutiva, la cultura CC seuite, si se quiere, cree firmemente: que nuestros líderes funcionales son responsables del riesgo en sus departamentos funcionales. Por lo tanto, tener visibilidad para nuestros vicepresidentes, nuestros vicepresidentes sénior y nuestros vicepresidentes ejecutivos para saber qué líder de su organización ha asumido qué riesgo y si tiene sentido. Genial. Eso es lo que quieren, eso es lo que quieren saber y ver. Así que, en realidad, se trata de métricas de aceptación de riesgos. ¿Cuánto trabajo hemos hecho con los proveedores para mitigar los posibles hallazgos en los que ellos vinieron y dijeron que simplemente no hacemos esto y nosotros les dijimos que probablemente deberían hacerlo basándose en su trabajo con nosotros? Son esas cosas, la cartera de riesgos, las puntuaciones de riesgo, las que eran los indicadores más significativos del programa TPRM en general, pero también hacemos un seguimiento de otras cosas. Si alguien quiere saber cuánto tiempo llevó hacer la evaluación, aunque por lo general es el tercero el que lleva todo el tiempo, tenemos esos datos. En mi experiencia en esta organización, nadie ha querido hablar de eso. Quieren tener una visión general del catálogo de su departamento.
Mike: Sí. Hace un tiempo trabajé con un director ejecutivo y él siempre solía decir, y era algo muy acertado, que lo importante no es si un número es bueno o malo, sino que se lo puedas presentar al equipo ejecutivo y decirles: «Hemos realizado un millón de evaluaciones».
Eric: claro
Mike: Correcto, y tú quieres que todos queden impresionados con un millón de evaluaciones, y tú dices: «Bueno, ¿cuántas necesitabas hacer?», y la respuesta podría ser 10 millones, así que, sin contexto o sin comparar los números, estos no significan nada para mucha gente, son solo palabras de moda, y especialmente en tu programa, estoy de acuerdo contigo en lo de bitsite, solo mira, es un escáner óseo externo, ¿verdad?creo que es valioso para las pruebas delta si lo has configurado correctamente y luego algo cambia, pero ya sabes, es lo que hay, ¿no? Tenemos una pregunta de Pat: ¿qué tipo de métricas específicas relacionadas con el TPRM estás midiendo? ¿Puedes dar tres o cuatro ejemplos? Melissa, pasa a la siguiente diapositiva, por favor.
Eric: Sí, realmente se trata del catálogo de riesgos. Y estoy siendo un poco evasivo solo porque...
Mike: No, no, no te preocupes. No te estamos pidiendo ningún secreto. Así que...
Eric: Sí. Sí. Sí. Eric: Um, y... y... y... intentaré que sea significativo. Entonces, proceso comercial general, ¿verdad? La gente llega, algún departamento encuentra una nueva herramienta o proveedor que quiere usar. Genial. Lo pondremos en marcha. Haremos un perfil interno y una encuesta de tarado para obtener un contexto empresarial sobre cómo se va a utilizar este socio en particular. Esa encuesta, creo que son unas 12 preguntas, la responden los compañeros internos de la empresa y luego nos dirigimos al propio proveedor con un SIG light tradicional y obtenemos esas cien y pico preguntas, 36 o algo así, y revisamos el perfil. La pregunta número uno que la mayoría de los socios comerciales quieren hacer en ese momento es: ¿cuánto tiempo tardaremos en incorporar a estas personas? Porque es absolutamente crítico desde el punto de vista operativo incorporarlas y contratarlas hoy mismo. Y aunque la ciberseguridad no es un paso sincrónico, no permitimos ni denegamos esa transacción. Somos consultivos. Ellos siguen queriendo saber si podemos superar los obstáculos una vez que empezamos a destacar el riesgo que nos devuelven, y me refiero a riesgos críticos que yo llevaría a un director o a un vicepresidente y con los que tendría esa conversación. ¿Estás de acuerdo en aceptar este riesgo? Creo que no es bueno, pero no tengo el contexto empresarial para saberlo, ¿puedes encontrar un sustituto con suficiente antelación? Hablemos de ello. Entonces, según mi experiencia, ese ejecutivo empieza a preguntarse: «Vale, quizá estamos yendo demasiado rápido. Voy a hablar con el equipo para ver si debemos replantearnos esto». Y, por cierto, volviendo a las preguntas sobre métricas, ¿cómo está el resto de mi cartera? Así que, cuando incorporamos proveedores, los clasificamos por organizaciones para que yo pueda acudir a cualquier vicepresidente funcional, vicepresidente sénior o vicepresidente ejecutivo y decir: «Los proveedores que dan soporte a las operaciones clínicas son este grupo de proveedores y esta es su puntuación de riesgo». Y luego mantengo una conversación sobre...
Eric: ¿ Hay áreas que consideramos excesivamente vulnerables o no ? No conocen ninguna cifra concreta, pero la métrica que se puede rastrear es la calificación de riesgo global del proveedor alineada por organización, de modo que yo pueda mantener una conversación con el responsable funcional y ellos puedan determinar si necesitan cambiar algo, en lugar de cuáles son los puntos de referencia, los KPI, los KIS y los KAS que de alguna manera justifican mi programa cibernético.
Mike: Muy bien. Bueno, probablemente nos quedemos otros cinco o siete minutos más, Melissa Scott, y luego tendremos algunas preguntas al final. Así que solo un par más, Eric, y luego terminaremos. Por cierto, esto ha sido increíble. Dime cómo evalúas a los proveedores de soluciones. En general, cuando analizas cosas y cualquier cosa, cuando analizas TPRM, como sabes, dónde lo hicimos bien, dónde lo hicimos mal, pero me interesa saber cómo piensas incorporarlos, y sé que todo el mundo utiliza la palabra «socios», pero cómo los incorporas a tu organización, ¿qué es lo que te importa?
Eric: Sí, así que voy a omitir gran parte del tema empresarial, ya que el socio no suele ser una startup, porque no tenemos la propensión al riesgo que suele funcionar en esos ámbitos. Por lo tanto, suponiendo que el socio con el que trabajamos es realmente un negocio sostenible, rentable y que lleva más de un momento en el mercado, ahora podemos pasar a otras cosas que son significativas. Para mí, una de las cosas más importantes, especialmente en el ámbito de TPR, es si es fácil de usar. ¿Verdad? Puedo imponer una solución pésima a los miembros del equipo interno y decirles que tendremos que aguantarnos, ¿no? El valor que obtenemos de las ventajas específicas de este producto es realmente bueno, incluso teniendo en cuenta que es algo complejo, ¿verdad? Así es como Cisco sobrevivió con el sistema operativo Catalyst hace años, o iOS es una interfaz de usuario horrible, pero era para ingenieros de redes. Simplemente hay que aguantarse y seguir adelante con la vida. Pero cuando se habla de algo como TPRM, en el que se van a realizar encuestas a compañeros de trabajo o se van a enviar a proveedores, lo que hace que esto funcione es obtener respuestas. Por lo tanto, si no es fácil de usar y en gran medida intuitivo, no durará mucho tiempo. Esa es una dimensión para decir: «Sí, quiero que sea fácil de usar para que obtengamos compromiso y, por lo tanto, cumplimiento». ¿Hay algo que haya hecho ese proveedor en particular para impulsarlo? Porque, aunque es cierto que todos somos únicos, hay muchas preguntas que realmente no... Sí, puede que no sea como yo haría la pregunta, no está construida como yo la construiría si fuera ingeniero de software, pero eso realmente no importa, ¿verdad? Y esos 9 dólares te dan para una taza de café en Starbucks.
Eric: Entonces, eso es solo una opinión. Entonces, ¿hay cosas con las que estamos empezando a avanzar para ayudar a que el programa siga adelante sin tener que hacer ingeniería inversa en todo y tratar de hacerlo avanzar? Y en este caso concreto, una de las cosas que analizamos fue si existen servicios complementarios que, si quisiéramos externalizar un elemento del TPR y del programa a alguien como Prevalent para que lo hiciera en nuestro nombre con el fin de buscar un proveedor, entonces podríamos hacerlo, así que ¿hay catálogos de datos preexistentes? ¿Hay oportunidades de externalización en las que podamos pagar a alguien para que se incorpore solo para proporcionar escalabilidad? Esas son algunas cosas, pero esa simplicidad fue una de las primeras que resultó más significativa para nosotros.
Mike: Y voy a... De hecho, estamos recibiendo un montón de preguntas, así que quiero ampliar lo que has dicho, pero déjame preparar esto. Creo que deberíamos hacer una pausa aquí y dejar que Scott se vaya un par de minutos. Que cualquiera que quiera escribir una pregunta lo haga. Pero ya tenemos cinco preguntas aquí. Así que quiero hacer eso y luego podemos quedarnos para las preguntas. Eric, la otra última cosa, y tú lo has dicho, es que al iniciar un programa como este hay que ir paso a paso, y sé que es un cliché. Lo entiendo, pero ya sabes que hemos visto a toda esta gente y hemos hecho cientos de implementaciones. Son como: «Tengo 500 proveedores de nivel». Empiezo con lo que es consumible. Construyo un programa. Se trata de la memoria muscular, amigos. Especialmente con el programa TPRM, no siempre es fácil y no siempre es intuitivo. Era la comparación con los copos de nieve, ¿verdad? Todo el mundo piensa que son diferentes y no necesariamente lo son.
Mike: ¿Verdad? Creo que, de nuevo, es el 80-20. El 90-85 % de esto ya está resuelto. Averigua cuál es tu 15 %, ya sabes, mientras haces esto, y hazlo en un entorno seguro. Y Eric, de nuevo, dime que soy un charlatán si quieres, pero ¿qué opinas al respecto?
Eric: No. Así que, en gran medida, estoy de acuerdo. Creo que solo hay que ampliar un poco el concepto de «gatear, caminar, correr». Quiero que nuestros procesos empiecen gateando y avancen rápidamente. Quiero que nuestros controles empiecen gateando. No necesito que el software empiece gateando.
Eric: ¿Verdad? Entonces, los diferentes aspectos comienzan en diferentes partes de la madurez. Al final , Eric: o puede que al final cambiemos algunas cosas. A medida que descubrimos cosas, pero lo que realmente no hago en la mayoría de las organizaciones, o lo siento, a medida que adquiero tecnologías o plataformas de control de procesos, aunque hay cosas que hacen que Cytokinetics sea única con respecto a otras empresas farmacéuticas y hay cosas que hacen que las empresas farmacéuticas sean únicas con respecto a otros sectores, como el comercio minorista, la fabricación, el comercio mayorista, etc., eso está al margen de estas plataformas, que son más amplias que eso. Así que puede que hagamos cambios, pero no creo que los hagamos en los primeros cinco días de una tecnología, ¿verdad? Pasaremos un año, dos años y diremos: «¿Sabes qué? Hay una optimización que tiene sentido para nosotros». Y ahora estamos pasando por un poco de eso con
Eric: en el mundo de la privacidad, a medida que esto explota, haremos pequeños ajustes para decir que necesitamos hacer más preguntas al respecto debido a los mercados en los que podemos decidir operar. Pero eso es solo un ajuste. No empezamos con eso el primer día. Empezamos después de dos años de funcionamiento. No se puede comparar lo que no se tiene. No se sabe. Y no pasa nada por equivocarse. Mira, llevamos un tiempo haciendo esto. Me gustaría decir que he cometido todos los errores posibles. Bueno, vale, pasemos a Melissa. ¿Te toca a ti hacer una pregunta o le toca a Scott? Debería saberlo, pero no lo sé.
Melissa: Vamos a pasarle la palabra a Scott. Veamos. Vaya, hay bastantes preguntas. Allá vamos. Scott, ahora te toca a ti.
Scott: Genial. Gracias, Melissa. Um, pasa a la siguiente pantalla. Ya sabes, más o menos lo que hemos oído, bueno, no tan lejos, pero a la anterior... Scott: Sí, más o menos lo que hemos oído de Eric durante la conversación de hoy es realmente sobre um tomar un conjunto coherente de, ya sabes, buenas decisiones basadas en datosbasadas en datos sobre terceros a lo largo del ciclo de vida. Eso es lo que he deducido de gran parte de la conversación de hoy. ¿Cuáles son los criterios que utilizas para tomar esas buenas decisiones o qué tipo de datos utilizas que sean coherentes con lo que muchos de nuestros clientes nos dicen que realmente quieren de su programa de gestión de riesgos de terceros? Proporcionarles los datos que les ayuden a tomar buenas decisiones. Ayudarles a aumentar la eficiencia del equipo y derribar los silos que separan a los equipos y departamentos, así como las herramientas que se utilizan para tomar esas buenas decisiones. Y en tercer lugar, preparar el programa para que evolucione y se adapte a medida que cambien sus necesidades en cuanto a la evaluación de riesgos de terceros y proveedores a lo largo del tiempo. Esas tres cosas son, en general, lo que nos dicen los clientes y lo que quieren experimentar. Siguiente diapositiva, por favor. Melissa, puedes volver a desarrollar esto una vez más. Ahí lo tienes. Ese es nuestro enfoque: ayudarte a lograr esas tres cosas en cada etapa del ciclo de vida de la gestión de riesgos de terceros. No consideramos el riesgo solo desde la perspectiva de evaluar a los proveedores, incorporarlos y listo. Se trata de analizar y remediar los riesgos en cada una de las etapas en las que pueden surgir problemas. Y eso comienza con la búsqueda y selección. Ya sabes, conseguir una buena automatización e inteligencia para tomar buenas decisiones basadas en el riesgo sobre un nuevo proveedor o vendedor potencial, de la misma manera que tú decides si ese proveedor o vendedor es adecuado para tu negocio o para tu propósito. En segundo lugar, en lo que respecta a la admisión y la incorporación, proporcionarle una única fuente de información veraz en cuanto a los perfiles de riesgo de los proveedores, los procesos de admisión, la contratación y los flujos de trabajo de incorporación, de modo que pueda extender este concepto fundamental de gestión de las relaciones con terceros a todos los diferentes grupos de la empresa que intervienen en el riesgo de terceros, no solo en materia de seguridad, sino también de adquisiciones, gestión de riesgos, asuntos legales, cumplimiento normativo y más. En tercer lugar, una vez que ha seleccionado un proveedor que se ajusta a su perfil de riesgo y a sus necesidades, y sabe que ha realizado algunos contratos y la incorporación, ¿cómo puede obtener una imagen inicial del riesgo que ese proveedor en particular supone para su entorno, no solo para realizar una clasificación inicial, sino para dictar cuál es la estrategia de evaluación continua a partir de ese momento? Lo hacemos a través de información basada en datos para calcular una puntuación de riesgo inherente. Y luego, una vez que se ha completado el ejercicio de clasificación y perfilado y la categorización, lo que le ayudamos a hacer es automatizar el proceso de llevar a cabo esas diligencias debidas y evaluaciones continuas a sus terceros en toda una gama de diferentes áreas de riesgo, seguridad, información, ciberseguridad, privacidad de datos, cumplimiento de múltiples regulaciones diferentes, tanto de seguridad como no relacionadas con la seguridad.relacionadas con la seguridad, como la corrupción, ESG, finanzas, etc. A continuación, consolidamos esa información en una única fuente de verdad en un único perfil para ayudarle a tomar una buena decisión, un registro de riesgos que luego puede utilizar para tomar buenas decisiones sobre qué remediar, qué está por debajo de un umbral, un umbral de riesgo, y qué reforzar con el proveedor, lo que nos lleva a la fase de supervisión y validación del ciclo de vida. Una vez más, lo que vemos es que muchas empresas utilizan una herramienta cibernética, una herramienta financiera, una herramienta de noticias empresariales o de actualización operativa, o una herramienta ESG, una herramienta de reputación, y todo ello produce una buena información, pero muy rara vez se armoniza. Nos especializamos en trabajar con sus soluciones existentes o en ofrecer las nuestras propias, en las que podemos armonizar esos diferentes datos de riesgo en una única solución, de modo que todos los miembros de la empresa tengan su propia visión de los datos según sus necesidades y en función de los riesgos que les afectan. Hablando de los riesgos que les importan, ya hemos mencionado los KPI y los KIS, pero también tenemos la capacidad de extraer datos de KPI y KRI de los contratos cargados en la plataforma y ayudarle a asignar la propiedad y la medición de los mismos a lo largo del proceso contractual. Y hablando del proceso contractual, ya sabe que todas las relaciones terminan en algún momento, como dijo Neil Sodaka, romper es difícil.
Mike: Iba a decir: «Vale, esa la conozco». Sí.
Scott: Pero bueno, si decides poner fin a esa relación comercial, te proporcionamos una especie de lista de verificación para despedir a ese proveedor de forma segura, de modo que sepas que estás cerrando los elementos fuera de línea, cobrando los pagos finales y asegurándote de que el acceso se cancela adecuadamente. Una vez más, al final del día, esas tres cosas que aparecen en la parte inferior de la pantalla son las que le ayudamos a conseguir. Acelerar y simplificar el proceso de incorporación con una única fuente de información veraz y un único proceso. Optimizar ese proceso para la evaluación de riesgos. El ciclo de vida y cerrar las brechas en la cobertura y, a continuación, unificar esos equipos a lo largo del ciclo de vida. Siguiente diapositiva, por favor, Melissa. Eh... y, eh... ya sabes que lo hacemos combinando la experiencia que aportan nuestros empleados, que se encargan del trabajo duro de incorporación, evaluación, corrección y gestión de todas las diferentes fuentes de datos que hemos mencionado antes, todas ellas alojadas en la plataforma que automatiza el flujo de trabajo, la generación de informes y los análisis para ayudarte a controlar ese patrimonio de terceros. Eh... siguiente diapositiva, por favor, Melissa. Eh... abordamos múltiples tipos de riesgos diferentes. Tengo seis de ellos enumerados aquí, en ámbitos generales, áreas que cubre nuestra plataforma, ya sea a través de cuestionarios o mediante una supervisión continua. Pero lo importante es que esta información se correlaciona en un único perfil de riesgo operativo para ayudarles a tomar buenas decisiones basadas en el riesgo. Siguiente diapositiva, por favor, Melissa. Esta es la última. Una vez más, solo un recordatorio de que, al fin y al cabo, lo que intentamos ayudarle a conseguir es proporcionarle la información necesaria para que su organización sea más inteligente en su enfoque de la gestión del riesgo de terceros. Unificar equipos, sistemas y procesos, y luego ofrecerle una orientación prescriptiva para mejorar la relación con el proveedor o la gestión de los riesgos en esa relación a lo largo de todo el ciclo de vida. Eso es todo desde nuestra perspectiva.
Melissa: Te devuelvo la palabra, Mike. Eric, es el momento de las preguntas.
Melissa: Sí, voy a lanzar nuestra segunda encuesta. Muy rápido. En vuestras pantallas veréis que, al parecer, no funciona por mi parte. Genial. Dadme dos segundos. Quizás tenga que terminar la primera encuesta. Hoy estoy muy quisquillosa. De todos modos, tengo curiosidad, ¿están pensando en ampliar o establecer un programa de TPRM en los próximos meses? Por favor, sean sinceros. Es algo que vamos a seguir de cerca. Recibirán una llamada mía o un correo electrónico o varios. Así que, por favor, respondan. Pero realmente quiero saber si es así y, si no están seguros, también indíquenlo. Pero, mientras tanto, sé que tenemos algunas preguntas. Así que, Eric, si no te importa, responde a algunas de ellas. Sé que hay bastantes y, como solo nos quedan unos cinco minutos, ¿quieres elegir una o dos que te llamen más la atención que las demás?
Eric: Sí, voy a repasar todas ellas. Tenía que hacerlo. Ha sido bueno que Scott hiciera la presentación, porque me ha dado un momento para pensar en las preguntas. En primer lugar, gracias por tus amables palabras. Responderé a la pregunta de Karen y luego seguiré con el resto. Karen, por nuestra parte, independientemente de lo que sepas, Prevalent dirá que integramos Bitsite con Prevalent. Bitsite proporciona una especie de visión externa de la puntuación de crédito técnico. Pero también utilizamos las capacidades de VRM dentro de Prevalent para obtener una visión empresarial de una organización externa. Pero Bitside se conecta. De hecho, se pueden ver las puntuaciones de Bitside dentro del panel de control de Prevalent. Hay una integración que ellos pueden explicarte específicamente. No tengo que responder a la pregunta sobre la transferencia o el cambio de herramientas TPRM. No tengo esa experiencia concreta. Podría decirle cómo abordaría el problema en general si un regulador quisiera intervenir y preguntar o si una agencia de inspección quisiera preguntar. Mi enfoque general sería que lo que rige nuestra gestión de riesgos de terceros no es la herramienta. Lo que rige nuestra gestión de riesgos de terceros es un conjunto de políticas, procesos, procedimientos y controles. Estos están respaldados por una herramienta. Por lo tanto, centrémonos en los procedimientos operativos estándar y los controles, y los automatizaremos de una manera que sea significativa para nosotros como empresa. Y así es como gestionamos el riesgo. Aquí está quién aprueba el riesgo. Quién puede aceptar el riesgo. Esa es la discusión a la que generalmente cambiaría con cualquier tipo de agencia inspectora si se preocupan tanto por el conjunto de herramientas en particular. En cuanto a la pregunta sobre los registros de riesgos, nos centramos en ello y lo hemos planteado un par de veces, pero nuestro enfoque es que se trata de supervisar y gestionar a un tercero. No se trata de gestionar un servicio. No se trata de gestionar un conjunto de herramientas. Por lo tanto, nos fijamos en los terceros. Entonces, si me preguntan si tengo un proveedor que presta dos servicios dentro de la organización, ¿cómo lo consideramos desde el punto de vista de la gestión de riesgos? En general, si tienen una parte de la organización que gestiona un nivel más bajo de sensibilidad de los datos, por ejemplo, y otra parte que gestiona un nivel más alto de sensibilidad de los datos, los colocamos en el nivel más alto. Así que, si lo tienen, lo colocamos en la especificación de operaciones del sistema más sensible, lo colocamos en la clasificación de datos más sensible y lo gestionamos a nivel de proveedor, no a nivel de departamento. Y luego, con respecto a los registros de riesgos, tenemos niveles de aprobación oficiales que se describen en un procedimiento operativo estándar. Así que tenemos un par de registros de riesgos con los que trabajamos. Uno es el de perfiles y taras, y luego tenemos el maestro, que es donde se incluyen casi todos los riesgos evaluados previamente. Y luego nuestro SOP dicta quién puede aprobar o quién tiene que aprobar y aceptar un riesgo. Y eso lo hacemos mediante el seguimiento de las acciones y tareas dentro de la plataforma. Espero que esa haya sido la respuesta, una respuesta rápida a cada una de esas preguntas. Puedo dar más detalles si alguien lo desea, pero creo que con esto ya se entiende más o menos.
Melissa: Perfecto. Y creo que acabo de ver otra aparecer hace unos cuatro segundos. ¿La ves? Los proveedores de empresas no cotizadas. ¿Cómo cambia tu DD? No sé si quieres responder a eso.
Eric: Proveedores de empresas no cotizadas. Um, déjame pensar un momento. No conozco el acrónimo, no puedo contextualizarlo, pero creo que entiendo el sentido de la pregunta. Um, claro, con las empresas no cotizadas, en última instancia, no podemos ver nada de lo quehaya sido de dominio público, pero hay cosas que se pueden investigar si se quiere, oh, diligencia debida, gracias, se lo agradezco, um, sí, parte de eso es la evaluación en sí, así que pedimos a la empresa que certifique, no hacemos inspecciones, no hacemos auditorías, así que trabajamos con las empresas y les damos la oportunidad de autocertificarse y hablar de lo que hacen y de cómo lo comprobamos. Um, pero en ese momento, nos fiamos de su palabra. Habrá otras cláusulas contractuales que se ocupen de la aplicación. Todavía no hemos llegado al punto de realizar una inspección de auditoría real para confirmar lo que están tratando de... lo que están tratando de hacer. Um, así que con lo que no es público, seguimos teniendo el mismo enfoque. Es posible que solicitemos un certificado de seguro adicional para, ya sabes, responsabilidad cibernética o empresarial general, para asegurarnos de que lo vemos, porque dejaremos que las compañías de seguros hagan parte de esa diligencia debida por nosotros, pero así es como lo hacemos generalmente en este momento.
Melissa: Perfecto. Bueno, te agradezco tu tiempo, Eric. Sé que estás muy ocupado, y Mike y Scott, muchas gracias. Y lo más importante, gracias a todos los que han hecho preguntas. Se suponía que iba a ser muy interactivo y ya se nos ha acabado el tiempo. Así que he escrito mi correo electrónico por si hay alguna pregunta. Sé que hay un [email protected], pero ese es mi correo directo por si tenéis alguna pregunta después de esto. Espero veros a todos en un futuro seminario web. Cuidaos mucho. Gracias.
Mike: Gracias, Eric.
Scott: Cuídense, chicos.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.