Seminario web para expertos: Perspectivas de dos profesionales sobre la gestión de riesgos de terceros

Ashley: Me llamo Ashley y trabajo en el departamento de desarrollo empresarial de Prevalent. Hoy nos acompañan unos invitados muy especiales. Samira Downer, directora de cumplimiento normativo de Booking.com. Hola, Samira.

Samira: Hola a todos. Me alegro de estar aquí.

Ashley: Eh, Bob Wilkinson, director ejecutivo de Cyber Marathon Solutions. ¿Qué tal, Bob?

Bob: Va muy bien.

Ashley: Y por último, pero no por ello menos importante, nuestro vicepresidente de marketing de productos, Scott Lang.

Scott: Hola, Ashley. Solo un pequeño aviso. Este seminario web se está grabando y enviaremos la grabación junto con las diapositivas de la presentación poco después del seminario web. Ahora mismo todos tenéis el micrófono silenciado, pero nos encanta que participéis. Por favor, escribid vuestras preguntas en nuestro cuadro de preguntas y respuestas y las repasaremos al final del seminario web. Hoy, Samir, Bob y Scott hablarán sobre sus perspectivas sobre el TPRM. Así que les cedo la palabra.

Scott: Genial. Gracias, Ashley. Hola a todos, bienvenidos. Como ha dicho Ashley, espero que todos hayan tenido un feliz Día de Acción de Gracias en Estados Unidos, si es que viven aquí, y que ya se hayan recuperado del malestar causado por el pavo o el triptófano, como lo llaman, y estén listos para volver al mundo laboral. Como ha dicho Ashley, hoy contamos con dos invitados muy especiales. El formato del seminario web de hoy será una sesión abierta de preguntas y respuestas, en la que plantearemos algunas preguntas y compartiremos diferentes perspectivas sobre esos temas concretos y el riesgo de terceros. Creo que será un seminario web animado y atractivo, que mantendrá vuestra atención y en el que quizá merezca la pena tomar algunas notas. Como ha mencionado Ashley, mañana les enviaremos la presentación con la grabación de este seminario web, para que puedan acceder a ella y volver a escucharla, leerla y obtener información adicional que les ayude a desarrollar y gestionar su programa de TPRM. Con eso, voy a pedir a Samira y Bob que se presenten brevemente, solo para sentar las bases del debate de hoy y explicar por qué deben prestar atención a estas personas tan inteligentes. Samira, tú primero.

Samira: Claro. Hola a todos. Me alegro de estar aquí. Soy Sama D Mayor. Vivo en Ámsterdam, así que, como podéis ver, ya está bastante oscuro fuera. Trabajo para una agencia de viajes online, Boogie.com, desde hace unos cinco años y medio. Dirijo el programa de gestión de riesgos de terceros y cumplimiento normativo en materia de delitos financieros. Antes de trabajar para una agencia de viajes online, trabajé en varios bufetes de abogados, donde asesoraba a grandes empresas sobre políticas de cumplimiento normativo y mejores prácticas para gestionar de forma óptima los riesgos de terceros. En Booking.com, creé desde cero el programa de gestión de riesgos de terceros, lo cual es realmente increíble, porque tienes mucha flexibilidad en el diseño. Actualmente dirijo un equipo en expansión y, para aquellos que no estén familiarizados con Booking.com, hemos pasado de ser una pequeña startup holandesa a una de las mayores empresas de comercio electrónico del mundo y, básicamente, invertimos en tecnología digital para eliminar las fricciones de los viajes. Empezamos solo con alojamientos, pero ahora nos hemos expandido a todas las áreas de la planificación de viajes, lo que básicamente permite a nuestros clientes hacer más cosas sin tener que acudir a múltiples plataformas y proveedores de servicios. Los clientes también tienen la opción de reservar transporte terrestre, alquiler de coches, atracciones y vuelos directamente en nuestro programa. Estoy encantado de estar aquí y espero que sea un panel muy interesante.

Scott: Genial. Bueno, bienvenido, Sam. Eh, Bob, te toca.

Bob: Gracias, Scott. Me llamo Bob Wilkinson y, después de pasar más tiempo del que puedo recordar en el sector de los servicios financieros, donde desempeñé el cargo de director de seguridad de la información, jefe de riesgos operativos y otras funciones, Durante los últimos ocho años he sido consultor independiente en el ámbito de la seguridad de la información y el riesgo operativo, y gran parte de mi tiempo lo he dedicado a la gestión de riesgos de terceros. Llevo trabajando en este sector prácticamente desde sus inicios y estoy deseando participar en la conversación de hoy con Samira y Scott.

Scott: Genial. Genial. Es fantástico. Bienvenido, Bob, y bienvenidos los dos. Muchas gracias por la oportunidad de mantener esta conversación, que creo que será muy instructiva para nuestros asistentes. Como he mencionado antes, el formato de la llamada de hoy consistirá en pasar directamente a algunas preguntas, y ya sabéis que se trata de temas que suelen surgir con bastante frecuencia en las conversaciones con profesionales y expertos en riesgos de terceros. Vamos a resumir esas cuestiones y ofrecer la perspectiva de Samaran Bob sobre estos temas concretos. A medida que avancemos en la presentación de hoy, quiero recordarles que, si tienen alguna pregunta, la introduzcan en la ventana de preguntas y respuestas de la aplicación Zoom. Las clasificaremos y se las plantearemos a Samir y Bob a medida que avancemos en nuestra presentación de hoy. Muy bien. Entonces, primera pregunta del día. Empecemos con una importante. La normativa. No hay escasez de normativa en el sector, especialmente en lo que respecta al riesgo de terceros. Y este último año, los reguladores han estado muy activos con nuevos requisitos de información sobre ciberseguridad de la SEC, directrices interinstitucionales del sector financiero estadounidense, varias normativas nuevas sobre IA y, por supuesto, múltiples normativas de tipo ESG que están surgiendo en Europa. Supongo que mi pregunta, Bob,empezaré contigo, ¿qué dirías que son algunos de los mayores retos? Vaya, creo que me he adelantado, ¿no? ¿Cómo crees que será el panorama de los riesgos de terceros en los próximos 12 a 24 meses? Me refiero a qué áreas deberían preocuparnos como profesionales y cómo priorizar algunos de esos cambios en el panorama del próximo año o los dos próximos años.

Bob: Bueno, bueno, Scott, creo que todo se reduce a la ejecución. Creo que los reguladores han dejado muy claro que lo que les interesa es la ejecución y si estás haciendo lo que dices que estás haciendo. Como has mencionado, ha habido muchas regulaciones nuevas de diferentes agencias y no solo en el ámbito bancario y financiero, ya sabes que siempre hay que estar al tanto de las regulaciones en otros sectores, como el sanitario, pero desde la perspectiva de los servicios financieros, que abarca un amplio espacio, el enfoque regulatorio es hacer lo que dices que vas a hacer y ser capaz de demostrar que lo estás haciendo. La orientación interinstitucional, la actualización que se produjo allí, lo interesante fue la expresión «interinstitucional», porque había ligeras diferencias entre la OC, la Reserva Federal y la FDIC y la orientación que ofrecían. El objetivo principal de sus regulaciones era la estandarización. Así que pongámonos todos de acuerdo y, principalmente, incorporemos las preguntas frecuentes de la OCC 2020, que eran orientaciones adicionales que la OC proporcionó en ese momento. Así que lo que más interesa a los reguladores, y que a veces entra en conflicto con lo que hacen los bancos y otras empresas de servicios financieros, es que los reguladores no quieren ver el cumplimiento. Quieren ver la gestión de riesgos. Y, con demasiada frecuencia, lo que ocurre es que los servicios financieros se centran en el cumplimiento. Bueno, el cumplimiento no equivale necesariamente a una gestión eficaz del riesgo. Así que, en mi opinión, esa es realmente la tendencia clave que se va a observar. No sé cuánta más regulación habrá en Estados Unidos, pero sin duda se va a producir un aumento de la regulación en torno al impacto medioambiental de las empresas de servicios financieros. Desde una perspectiva europea, se va a seguir prestando atención a la legislación medioambiental y social. Ya saben, a raíz de la diligencia debida de la cadena de suministro alemana, que entró en vigor en enero de este año. Oh, creo que hemos perdido a Bob.

Scott: Sí, creo que sí.

Scott: Hola, Bob. Hola, Bob, no te oímos, pero nosotros sí te oímos a ti. Muy bien. Haremos una pausa. Bob Simone, te cedo la palabra. Cuéntanos tu punto de vista sobre lo que estás viendo en la UE. ¿Hay algún tipo de incumplimiento o riesgo en el que los reguladores se estén centrando especialmente?

Samira: Sí, creo que Bob ha hecho un buen puente ahora mismo. Me escucho a mí misma.

Samira: Hola. Hola.

Scott: Sí, te entendemos. Sí, te entendemos. Me escucho a mí mismo repitiéndome.

Samira: Inténtalo de nuevo.

Scott: ¿Te oímos, Sam? ¿Podemos hacer una prueba de sonido? Sí. Sí. Todavía hay eco. Creo que todos tienen eco. Creo que todos lo tienen.

Bob: Bob, ¿qué tal tú? ¿Te oímos? ¿Te oímos?

Samira: Samira, inténtalo de nuevo.

Samira: Hola. Hola.

Samira: Creo que creo... Oh, no. No. Hola. Hola. Hola.

Bob: Solo te escucho una vez.

Scott: De acuerdo, Bob. Y yo pienso lo mismo.

Samira: Podría ser. Sí, creo que sí. Sí. Todo bien.

Scott: Excelente.

Samira: Bueno, voy a seguir con la normativa de la UE. Creo que Bob ya la ha presentado, pero, efectivamente, por parte de la UE, vemos claramente algunos movimientos en torno a la directiva sobre la diligencia debida en materia de sostenibilidad empresarial y, básicamente, esta legislación exige a las empresas afectadas que actúen con diligencia debida y asuman la responsabilidad de los derechos humanos de los usuarios y los daños medioambientales a través de sus cadenas de valor globales. Y lo que esto significa básicamente en la práctica, porque ya sabes que todo se reduce a la ejecución, y lo que esto significa realmente para las empresas es que hay que pensar en impulsar nuevas estrategias de mitigación de riesgos para la sostenibilidad, lo que significa que los programas TPM o las empresas podrían verse obligados a desarrollar y aplicar medidas para abordar los riesgos de sostenibilidad en sus cadenas de suministro. Lo que en la práctica significa... Vale, me repito otra vez.

Scott: Lo arreglé.

Samira: Todo bien.

Scott: Sí. Bien.

Samira: Entonces, las empresas están obligadas a cumplir con requisitos de diligencia debida ampliados. Me repito otra vez. No sé qué es.

Scott: Sí, parece que cada vez que Bob desactiva el silencio, te oímos dos veces. Así que, Bob, mantén el silencio si no estás hablando directamente.

Samira: Creo que Bob acaba de irse. Pero estoy encantada de continuar.

Scott: Sí. Bien.

Samira: Entonces, piensa en incluir, por ejemplo, con el fin de ampliar los requisitos de diligencia debida, piensa en incluir cuestiones de sostenibilidad, por ejemplo, en tus cuestionarios de diligencia debida o realiza una auditoría para poder evaluar realmente su cumplimiento de las normas reconocidas, pero también inclúyelas en tus obligaciones contractuales y en el código de conducta de los proveedores. Esto establece claramente las expectativas y los requisitos en materia de prácticas de sostenibilidad, con consecuencias en caso de incumplimiento, por ejemplo. Incluirá aquellos relacionados con prácticas laborales justas, reducción de residuos, control de emisiones, etc., en su código de conducta para proveedores y en sus obligaciones contractuales. Esto es realmente desde el punto de vista práctico, pero también lo que estoy viendo, y no solo en la UE, sino a nivel mundial, es que se están imponiendo cada vez más sanciones debido a la gran agitación que hay en el mundo en este momento, ¿verdad? Fíjese en la guerra en Ucrania o ahora en Israel. Mask Force, que básicamente significa que, cada vez que hay un conflicto, se imponen más sanciones a personas, entidades y, potencialmente, regiones, lo que en la práctica significa que, como organización, tienes que asegurarte de que tu cadena de suministro y las cadenas de suministro de tus proveedores externos no estén sujetas a la creciente lista de regímenes de sanciones. Así que creo que lo más importante es que, dependiendo del sector y del tipo de proveedores con los que trabajen las empresas, las normativas nuevas y existentes sean aplicables o no. Y es muy posible que, como empresa, tengas que examinar más normativas en materia de ciberseguridad o sostenibilidad, dependiendo del tipo de proveedores con los que trabajes.

Scott: Sí. Disculpa. Creo que, bueno, iba a hacerte una pregunta. Creo que quizá ya la hayas respondido, pero iba a preguntarte si existe algún tipo de equilibrio entre lo cibernético y lo no cibernético en lo que respecta a la aplicación de la normativa. ¿Ha cambiado un poco el enfoque, pasando de centrarse exclusivamente en los controles de ciberseguridad de terceros a algo más parecido a los controles de la cadena de suministro o, ya sabes, los controles de reputación o los controles financieros, cosas así? ¿Crees que hay un equilibrio al que estamos llegando poco a poco desde la perspectiva del sector, en el que estas cosas quizá se vayan equilibrando un poco?

Samira: Creo que realmente depende del tipo de organización en la que trabajes, del tipo de proveedores con los que trabajes y del tipo de normativas que debas cumplir. Pero, además, imagina que trabajas en una organización en la que el 80 % de tu inventario son empresas de software o tecnología, pero el 20 % restante son, digamos, empresas que realizan actividades de lobby. Nunca podemos decir que el 80 % del inventario se centra en el software, lo que significa que debemos dar prioridad a las actividades de gestión de riesgos cibernéticos sobre el 20 % restante, porque realmente depende del tipo de regulador y también de cómo miden el riesgo potencial. Sí, siempre es difícil, no hay una respuesta realmente buena, siempre es difícil de medir.

Scott: Sí, sí. Um, esto nos lleva directamente a la siguiente pregunta. Um, y Samir, esta también sería buena para ti. Ya sabes, una de las cosas que tienes que demostrar a los auditores es que cuentas con un programa TPRM en algún nivel que te permite controlar en cierta medida a tus proveedores y distribuidores. Estás haciendo informes periódicos y demás. Ya sabes, cuando estás creando tu programa, estás creando el programa de Booking.com, por ejemplo, u otros programas en el pasado, ¿cuáles fueron tus retos y cómo los abordaste?

Scott: ¿Sabes, al crear aquí algún tipo de programa sostenible para startups? ¿Cuáles fueron los mayores retos? ¿Cómo los superaste?

Samira: Sí. Bueno, sí, efectivamente, crear un programa de TPRM sostenible implica abordar diversos retos, ¿verdad? Y garantizar su eficacia a largo plazo. Pero creo que una de las primeras cosas que me viene a la mente es la complejidad y la habilidad. Creo que ya sabes que gestionar las relaciones con terceros puede ser complejo, especialmente para organizaciones con un gran número de proveedores o con una cadena de suministro diversa. Así que, o bien no sabes qué nivel de evaluación de riesgos o diligencia debida quieres aplicarles, o ni siquiera sabes dónde se sitúan los terceros en tu organización, y tal vez incluso tengas cinco canales de incorporación. En realidad, no se trata de una función centralizada. Así que realmente no sabes dónde se sitúan estos terceros. Por lo tanto, hay que pensar en un enfoque sistemático, categorizando a los proveedores en función de los niveles de riesgo, priorizando los esfuerzos de diligencia debida en los proveedores de alto riesgo, pero también, por ejemplo, utilizando la automatización tecnológica para agilizar los procesos y manejar de manera eficiente grandes conjuntos de datos. Creo que muchas empresas también se enfrentan a la limitación de recursos. Los recursos limitados, como el personal y la tecnología, pueden sin duda afectar a la eficacia de la TPRM. Por lo tanto, siempre es bueno aprovechar la tecnología si se dispone de ella. Sin embargo, lo que veo a menudo y he visto en el pasado es la búsqueda del equilibrio entre la mitigación del riesgo y la consecución de los objetivos empresariales. La mayoría de las empresas lo hacen.

Samira: salir ahí fuera para, ya sabes, ganar dinero, pero no olvides que no cumplir con el TPRM te costará dinero. Por lo tanto, es importante que alinees tus objetivos de TPRM con los objetivos generales de la empresa. Realiza una evaluación de riesgos que tenga en cuenta tanto los riesgos como los beneficios. Asegúrate de que las medidas de gestión de riesgos no obstaculicen innecesariamente las operaciones comerciales. Así que piénsalo bien, vale, los clientes son lo primero, e intenta equilibrar esto con la gestión de riesgos tanto como puedas.

Scott: Sí, ese es un punto fundamental muy importante. Esa fuerza opuesta del impacto empresarial frente al cumplimiento normativo, o el impacto empresarial frente a la sostenibilidad, o el impacto empresarial frente a, ya sabes, los buenos procesos que se están desarrollando para medir el riesgo. Ese es un punto de equilibrio muy importante que hay que alcanzar. Bob, ¿has observado lo mismo al desarrollar tus programas de TPRM? ¿Coincide con algunos de los retos a los que te has enfrentado?

Bob: Eh, ahora mismo tienes el micrófono silenciado.

Scott: Sigue en silencio.

Bob: Vale. ¿Me oyes ahora? Lo siento.

Scott: Ahora te oigo. Ahí lo tienes.

Bob: De acuerdo. Sí, he tenido un pequeño problema técnico. Pero sí, todo lo que ha dicho Samira es totalmente adecuado, especialmente el equilibrio entre los objetivos empresariales y la mitigación de riesgos. Algunas de las cosas que añadiría a esa base que ella ha mencionado es que es importante contar con el nivel adecuado de compromiso y apoyo por parte de la dirección. Por lo tanto, para mí, la forma en que se comunica a la dirección el riesgo que supone el uso de terceros es un aspecto fundamental. Hay que comprometerse. Hay que entender quiénes son las partes interesadas. Y cuando hablo de partes interesadas, lo hago desde una perspectiva muy amplia. No se trata solo de la dirección inmediata, sino también de la alta dirección, las unidades de negocio, el consejo de administración y toda una lista de partes con las que hay que coordinarse. Desde mi punto de vista, lo más importante es contar con las organizaciones de aprovisionamiento y aprovisionamiento, así como aprovechar la organización de riesgos empresariales que existe.

Bob: Dicho esto, otra cosa en la que me centraría es en conseguir un inventario adecuado desde el principio. Y cuando digo inventario, ya no soy muy partidario del término «terceros». Prefiero el término «cadena de suministro», porque si no sabes quiénes son tus cuartos y quintos terceros, muchas de las cosas malas que están sucediendo en este ámbito con actores maliciosos, piratas informáticos y cosas por el estilo son el resultado de la compromisión de terceros y cuartos terceros. Y si no examinas esa cadena de suministro en busca de los procesos empresariales que has definido como críticos, y eso es algo clave, la criticidad, y luego comprendes toda la cadena de suministro, eso es algo realmente importante que tienes que hacer en este ámbito.

Scott: Y creo que eso nos lleva a la siguiente pregunta, Bob, así que voy a dirigirla a ti. Como sabes, se empieza con una especie de ejercicio de clasificación por perfiles para categorizar y comprender quiénes son tus proveedores y, a continuación, se les agrupa para poder clasificarlos según corresponda. Pero, ¿cuál es la función de la clasificación de riesgos y la transición de ahí a la gestión de riesgos? ¿Cómo se hace esto realmente?

Bob: Bueno, hay que entender qué es lo importante para tu negocio, y eso varía según el sector. Así que tenemos que tenerlo muy claro. Con demasiada frecuencia, en estas conversaciones nos centramos en los servicios financieros y la sanidad. Y la razón es que son los sectores más regulados. También son los sectores que suelen tener las mejores prácticas de seguridad debido a la regulación. Porque sin regulación, a veces es difícil justificar la asignación de recursos. Pero cuando pienso en la criticidad, para mí suele reducirse a tres cosas. La información confidencial, el acceso a mi infraestructura y si un tercero gestiona alguna de mis funciones críticas de control interno. Y voy a poner a Octa como ejemplo de ello y de algunas de las cosas que han pasado allí. Pero si utilizas esas definiciones de criticidad, eso te ayuda a reducir las cosas en las que debes centrarte. Otra forma de hacerlo es hablar con su personal de TI, es decir, las personas responsables de aspectos como la continuidad del negocio y la recuperación ante desastres, ya que ellos sabrán quiénes son los proveedores críticos que deben estar disponibles para seguir prestando sus servicios empresariales.

Scott: Genial. Samir, ¿eso coincide con tu perspectiva sobre la elaboración de perfiles? ¿Cómo lo ves desde tu punto de vista?

Samira: Por cierto, sigues con el micrófono silenciado.

Scott: Tengo el micrófono silenciado.

Samira: Solo estaba siendo cautelosa.

Scott: Entendido. De acuerdo.

Samira: Como profesional del cumplimiento normativo, siempre diría que hay que integrar el cumplimiento como un área de riesgo a tener en cuenta, pero quizá haya otras áreas que sean más relevantes para su organización. En general, hay que asegurarse de gestionar los riesgos relacionados con la seguridad, la privacidad y el cumplimiento normativo, pero, dependiendo del tipo de terceros con los que se trabaje y de las herramientas de que se disponga para integrar más áreas de riesgo en el ámbito de evaluación, creo que, tanto si su organización trabaja con 10, mil o incluso 10 000 terceros, el problema siempre será el mismo, ¿verdad? Siempre se dispone de recursos limitados, por lo que hay que pensar en formas de desplegarlos de la manera más eficaz posible y, en general, creo firmemente que la TPRM consiste principalmente en hacer un uso inteligente de los, y que los diferentes equipos de riesgo se centren en los diferentes terceros y riesgos que tienen mayor impacto en su organización, y en qué tácticas ayudarán a su empresa a ser más proactiva en la gestión de los riesgos de terceros. Um, ya sabes, ¿cómo puedes optimizar tu programa TPM para tomar mejores decisiones para tu negocio? Um, así que sí, creo que estas son preguntas clave que debes hacerle a una organización. Um, y realmente pensar: ¿cuáles son los proveedores que plantean el mayor riesgo de cumplimiento, normativo y de reputación para tu empresa? Y, en función de eso, construir un programa de gestión de riesgos en torno a ello. Sí, es una observación muy acertada y creo que lo que tanto tú como Bob habéis repetido es que, al fin y al cabo, todo se reduce al concepto de resiliencia o continuidad operativa, y sabes que eso es lo que tienes que garantizar como organización, pero también cuando trabajas con proveedores y distribuidores externos, tienes que comprender sus procesos de operación, resiliencia y continuidad para no tener ningún tipo de impacto en la prestación de servicios, la entrega de productos, el tiempo de actividad o algo por el estilo. Y eso influye mucho en la toma de decisiones sobre la elaboración de perfiles. De todos modos, creo que tenéis toda la razón en eso. Bob, voy a insistir un poco en esto porque tú lo has mencionado. ¿Sabes lo importante que es mirar más allá de tus terceros? Si lo piensas como un círculo concéntrico, ¿verdad? Tienes tu organización aquí y luego tus terceros y cuartos, y luego tu cadena de suministro ampliada y todo eso, y eso se extiende hasta el infinito. ¿Cómo abordas eso? ¿Cómo ves tu cadena de suministro o tu panorama de proveedores?

Bob: Bueno, esa es una pregunta muy interesante. En primer lugar, cuando piensas en tus terceros, ¿cómo sabes que tienes todo tu inventario de terceros? ¿Cómo sabes que todas tus unidades de negocio siguen una práctica común? Eh, para la incorporación. Una forma de abordar este problema es volver atrás y obtener los datos de las cuentas por pagar de los últimos dos años, así verás a todos a los que has pagado y eso será un buen punto de partida para comprender quiénes son tus terceros. Pero a partir de ahí, para comprender a sus cuartos y quintos terceros, una cosa que puede hacer es solicitar contractualmente a todos sus terceros que revelen cualquier cuarto o quinto tercero que utilicen como parte de la relación. Ese es un paso esencial, junto con la inclusión de una cláusula y cualquier cambio que introduzcan las partes que tienen acceso a información confidencial, de que el tercero proporcione una notificación previa por escrito. Eso le ayuda a comprender, como ha dicho Scott, a medida que amplía esos círculos concéntricos. Pero lo importante que hay que recordar en este ámbito es que la mayoría de los ataques informáticos que se producen en las organizaciones comienzan con terceros. Y lo que la gente no sabe muy bien es que muchas de esas amenazas comienzan con cuartos y quintos, porque, al igual que tú estás haciendo todos estos esfuerzos en tu programa de terceros para que estos se protejan adecuadamente a sí mismos, a tu información y a la relación comercial, los malos, los actores maliciosos, saben exactamente lo que estás haciendo. Los malos actores, los actores maliciosos, saben exactamente lo que estás haciendo. Así que se preguntan: «Bien, ¿dónde está? ¿Dónde están los puntos débiles que puedo atacar?». Bueno, los puntos débiles suelen ser esos cuartos y quintos terceros. Así que, si tienes alguna definición de criticidad, de lo que es realmente importante para ti, entonces puedes centrarte en esas relaciones con terceros, cuartos y quintos terceros para comprender realmente cuál es la exposición potencial. Y esto nos lleva de vuelta al punto anterior de Samira de que tenemos recursos limitados y tenemos que decidir cuál es la mejor manera de asignar esos recursos para mitigar el mayor riesgo para nuestros negocios.

Scott: Y Samira, quizá te pase la palabra a ti también. Desde tu punto de vista, ¿has tenido éxito al exigir a tus terceros que revelen sus terceros para que puedas tener una visión general de tu cadena de suministro? Entiendo que el contrato determina el comportamiento, pero ¿hay otros incentivos y sanciones a tu disposición para obtener esa información?

Samira: Es un gran reto, y lo que puede ayudar, y lo que suele ayudar, es que en tus compras o en el software de gestión de proveedores, como parte de su perfil, a menudo puedes preguntarles si les gustaría revelar esta información o si trabajan con otros contratistas, y entonces se sienten más cómodos respondiendo a eso cuando forma parte de su perfil de riesgo o de su perfil en la herramienta de gestión de proveedores. Esa podría ser una de las formas de obtener esa información, pero siempre es un reto y, bueno, veo una pregunta en la pantalla sobre cuáles son los riesgos de ignorar eso y hay riesgos absolutos que conlleva eso desde el punto de vista del cumplimiento normativo, ya sabes, si hay algún riesgo relacionado con eso, entonces, si ignoras tu cadena de suministro ampliada, eso puede dar lugar al incumplimientocumplimiento de ciertas regulaciones, eso es absolutamente correcto, y los clientes, ya sabes, si hay una infracción o un ataque, los clientes acuden a ti como organización y no a tu cadena de suministro ampliada, y eso es muy importante.

Scott: Sí.

Bob: Sí. Tienes que tener la respuesta. Sigues siendo responsable del riesgo aunque hayas terminado esta relación. Correcto.

Samira: Correcto.

Samira: Pero sigue siendo un reto para muchas organizaciones. Sin embargo, creo que incluirlo en las obligaciones contractuales y añadirlo al código de conducta de los proveedores es un muy buen punto de partida. Especialmente si tienes un regulador que te supervisa, puedes demostrar que te tomas tu programa en serio, y creo que es uno de los ejercicios que puedes realizar.

Scott: Sí. Sí, buena transición a la siguiente pregunta, que creo que es muy relevante para un sistema EOS ampliado. Y, Bob, quizá empiece contigo en este caso. Los proveedores de software de cuarta parte, Bob, lo mencionaste hace unos minutos, Samar, tú también lo mencionaste, hemos visto muchos casos de violaciones de seguridad de software de tercera y cuarta parte en los últimos años, que son nombres muy conocidos, nombres muy populares. El caso más reciente este año ha sido la violación de Move It, que ha afectado a miles de organizaciones. Vi un artículo escrito a principios de esta semana o la semana pasada sobre el número de miles de organizaciones que se han visto afectadas por esa violación de seguridad del software Move It. ¿Cómo se gestiona eso? ¿Qué pasa cuando ese software de terceros se convierte en un problema de terceros?

Bob: Bueno, sin duda lo es. Y creo que probablemente sea uno de los mayores problemas que hemos visto en el último año más o menos. Ya sabes, se remonta a Solar Winds, Log 4J y ahora, más recientemente, a los grandes compromisos de software de terceros que han tenido un gran impacto en las organizaciones y, francamente, no es un tema en el que la gente se haya centrado mucho, y esto nos lleva a la idea general de tener una visión holística de cómo funcionan las cosas en tu organización y quiénes son realmente tus partes interesadas. Y el valor de poder comunicarse con su personal de operaciones de seguridad, con su personal de inteligencia sobre amenazas cibernéticas y, en particular, en lo que respecta a este tema del software, interactuar con sus equipos de arquitectura de software para comprender quiénes son los proveedores de software de terceros críticos, a fin de asegurarse de que tiene un buen inventario y, cuando sea posible, combinar ese inventario de software de terceros con su inventario de terceros. Lo primero que ocurre cuando se produce un incidente de seguridad es que todo el mundo quiere saber si alguien de su empresa está utilizando ese software de terceros. Esa es la primera cuestión. La segunda cuestión es si alguno de nuestros terceros también está utilizando ese software y, en particular, si alguno de los terceros que tiene acceso a nuestros datos y a nuestra infraestructura lo está utilizando, ya que esa es la forma en que un hacker puede aprovechar la debilidad de ese tercero para comprometer su organización. Así que, en cierto sentido, creo que es un reinicio y una llamada de atención a la gente para que se dé cuenta de que no basta con fijarse en los proveedores externos si no se sabe dónde está el inventario de software de terceros, dónde se utiliza tanto en la empresa, y luego tener un proceso mediante el cual se pueda determinar fácilmente dónde se utiliza ese software de terceros, al menos por parte de los terceros críticos. Si no es así, tiene un problema real.

Scott: Por supuesto. Sam, te devuelvo la palabra. ¿Tienes alguna idea adicional desde tu perspectiva sobre esa, eh, ya sabes, experiencia que has tenido en ese ámbito?

Samira: Sí, bueno, creo que lo que se me ocurre es que puedes pensar en formas de exigir a tus proveedores externos que proporcionen informes transparentes sobre el uso que hacen del software, por ejemplo, el software de cuatro partes, para que puedas evaluar regularmente...me viene a la mente es que puedes pensar en formas de exigir a tus proveedores externos que proporcionen informes transparentes sobre su uso del software, por ejemplo, el software de cuatro partes, para que puedas evaluar o auditar regularmente ese aspecto de la gestión de riesgos o examinar el tipo de planificación de respuesta a incidentes que tienen las organizaciones, es decir, examinar claramente cuáles son los procesos que tienen estas empresas, quiénes son las partes interesadas que participan en esos procesos, las normas y responsabilidades claramente definidas. Esto también te da cierta tranquilidad sobre lo que hacen en caso de una infracción y, de nuevo, se incluye en sus cláusulas contractuales, de modo que si no gestionan esto, en el caso del software de terceros, si no lo gestionan de forma eficaz, puedes incluso decir: «De acuerdo, rescindiremos tu contrato o impondremos medidas correctivas en caso de que se incumplan esas cláusulas».

Scott: Sí. Quiero decir, es un ejercicio tan difícil solo para obtener un inventario básico. Ya sabes, es que, ¿sabes qué?

Bob: Sabes, Scott, lo que yo diría es que, aunque Samira tiene toda la razón en lo que respecta a las obligaciones contractuales, en ese contrato inicial debería figurar no solo cualquier cuarta parte que se utilice, sino también cualquier software distinto de los terceros que utilizan para prestar el servicio. En otras palabras, todo este concepto de lo que ellos llaman «sbomb», la lista de materiales de software, una divulgación detallada de todos los diversos componentes de software que se utilizan para prestar el servicio a tu organización, es una forma realmente buena de conseguirlo.

Scott: Sí, es una observación muy acertada. Muy acertada, chicos. Bueno, la siguiente pregunta es sobre... Empezaremos contigo, Samira, porque creo que es bastante oportuna y, ya sabes, se trata de cuál es la fórmula adecuada para evaluar a los proveedores.

Scott: ¿Sabéis si es en parte una evaluación, en parte un seguimiento, o ambas cosas? ¿Qué es lo primero y qué es lo segundo? ¿Cómo lo veis vosotros?

Samira: Sí, diría que, por lo que he visto en los últimos años, la gestión de riesgos y la diligencia debida de terceros suelen pasar a un segundo plano una vez que se ha incorporado al tercero. Pero, ya sabes, la gestión de riesgos de terceros no se limita a la incorporación, y esto simplemente hace que las organizaciones desconozcan los riesgos futuros de terceros, que, si no se mitigan, pueden dar lugar a problemas críticos que podrían afectar significativamente a la reputación de tu organización, y realmente no importa si las responsabilidades recaen en el sitio de terceros, porque, en última instancia, la empresa que contrata a los terceros es la responsable ante los reguladores y los clientes por no identificar y abordar el problema. Así que diría sin duda que un proceso eficaz de TPRM sigue un ciclo de vida continuo para todas las relaciones e incorpora diferentes fases. Por lo tanto, debe disponer de controles para gestionar este riesgo a lo largo de todo el ciclo de vida de la gestión de riesgos de terceros. Pero eso significa que también hay que pensar en implementar varios elementos, ¿verdad? Lo que yo diría es que se debe realizar un seguimiento más frecuente a lo largo de la relación con el tercero, pero cada pilar de riesgo individual probablemente realizará su propia clasificación de riesgo de cada proveedor. Y ese nivel de riesgo guiará entonces el nivel adecuado de supervisión del pilar de riesgo continuo y la frecuencia de reevaluación de los controles. ¿Verdad? Supongo que el factor de éxito más importante es estructurar y formalizar actividades de supervisión continua basadas en el nivel de riesgo y, a continuación, saber que los terceros clasificados como de alto riesgo deben ser supervisados más de cerca, pero también pensar en un sistema automatizado que permita a las empresas hacerlo de manera eficiente. Se puede pensar en aprovechar fuentes externas. Así que ya sabes que tienes todas tus evaluaciones de selección internas, evaluaciones de riesgo de incorporación, y todo eso es fundamental, pero también es importante obtener información de fuera de la organización. Así que piensa en aprovechar fuentes de datos externas como calificaciones crediticias, listas de sanciones, medios adversos o comprobaciones de noticias negativas, que pueden proporcionarte una evaluación completa de los riesgos de terceros que tendrían en cuenta el riesgo de exposición política, el riesgo de corrupción empresarial o las medidas coercitivas. Aproveche realmente esa tecnología para la supervisión en tiempo real de los indicadores clave de riesgo. Y con eso, por supuesto, también es muy importante que establezca canales de comunicación claros para abordar rápidamente los riesgos emergentes, porque sabe que mañana podría recibir una alerta sobre un tercero con el que trabaja. Por lo tanto, necesita contar con un proceso para escalar estos asuntos y abordarlos.

Scott: Sí, claro. Sí, ya sabes, hicimos un estudio. Cada año realizamos un estudio independiente sobre gestión de riesgos. Prevalent lo hace. Y es un estudio agnóstico. No promueve la prevalencia ni nada por el estilo. Es simplemente un estudio objetivo de las prácticas que se dan en el mercado. Y una de las cosas más interesantes que se comunicó en el estudio del año pasado fue la prevalencia de la evaluación y la supervisión en diversas etapas del ciclo de vida. Y fue sorprendente, ya que seguía esta curva: todo el mundo evalúa en el momento de la contratación, la selección y la incorporación. Y luego, una vez que se completa la incorporación, la caída es bastante drástica. Y las pruebas indican que la siguiente vez que se realiza una evaluación adecuada es cuando se produce algún tipo de evento desencadenante externo, ya sea una interrupción, una infracción o algo similar. Y entonces todo el mundo piensa: «Tenemos que volver a hacerlo», ya sabes, y luego periódicamente con fines de cumplimiento, ya sabes. Creo que la perspectiva ideal es tener una cadencia limpia y uniforme para realizar esa actividad a lo largo del ciclo de vida. ¿Estás de acuerdo con eso?

Samira: Sí. Y creo que lo que también temen las organizaciones es el componente manual. Por eso creo que es muy importante encontrar formas de aprovechar la tecnología para eliminar esa carga que supone el componente manual. Pero tengo mucha curiosidad por saber qué opina Bob sobre este tema en su organización.

Bob: Bueno, creo que hay que empezar a supervisar continuamente desde el día en que se decide hablar con un proveedor hasta el día en que se termina la relación con él. Así que, inicialmente, hay que hacer ese análisis en profundidad, como ha mencionado Samira, ya que muchas organizaciones tienen diferentes pilares que realizan evaluaciones antes de que se pueda incorporar de forma efectiva. Eso es tanto una bendición como una maldición, porque uno de los mayores problemas que veo es que creo que hemos vuelto a perder a Bob.

Scott: Bob, debes estar transmitiendo desde la Antártida sin.

Bob: Ahora te escucho.

Scott: ¿Me oyes ahora?

Bob: Ahora te oigo.

Scott: De acuerdo. No sé qué pasó ahí, Scott. Fue algo extraño. En fin, lo que quería decir es que hay que supervisar desde el primer día. Hay que supervisar durante todo el ciclo de vida y es muy importante asegurarse de que, especialmente en el caso de las relaciones críticas, se supervisa de forma continua en todas las disciplinas de riesgo. Así que no se trata solo de seguridad, no se trata solo de continuidad del negocio, se trata de finanzas, se trata de tus prácticas operativas, se trata de cumplimiento, se trata de ESG. Necesitas tener una visión holística y tiene que ser continua si quieres gestionar el riesgo de forma eficaz. La otra cosa que va con eso es la incorporación inicial con todos los diferentes pilares que analizan el riesgo, lo que ralentiza todo el proceso de incorporación. Una forma de adelantarse a eso es, justo cuando decide que va a trabajar con un proveedor, comenzar su supervisión continua allí. Vea lo que sabe con las herramientas y los procesos que está utilizando, lo que puede aprender sobre ese proveedor incluso antes de establecer la relación, ya que eso podría proporcionarle una visión muy buena y también sugerirle varias cosas que debe abordar contractualmente antes de seguir adelante.

Scott: Muy buen punto. Sigamos con nuestra conversación. Voy a sacar el tema. La pregunta del millón del día. ¿Dónde encaja la gestión de riesgos de terceros? Ya mencioné ese estudio que hacemos cada año, cada primavera, y los resultados dicen que, invariablemente, el departamento de seguridad se encarga de la mayor parte del proceso de evaluación, pero el departamento de compras se encarga de las relaciones. Eso no está muy claro, ya sabes, y puedo anticipar un poco de... eh... un poco de enfrentamiento dentro de la organización en cuanto a prioridades y demás. Empezaré por Samira. Quiero decir, ¿cuál es tu opinión al respecto? ¿Dónde encaja? Y creo que tal vez hayamos respondido a esa pregunta en la diapositiva de aquí, pero me encantaría saber tu opinión al respecto.

Samira: Sí. Quiero decir que creo que este es siempre un tema muy controvertido y no creo que haya una única respuesta válida, pero lo que sí creo es que la ubicación de la gestión de riesgos de terceros dentro de una organización puede variar y que la ubicación óptima suele depender de las prioridades de la estructura de la organización y del marco de gestión de riesgos, y sin duda puede recaer en diferentes departamentos, cada uno de los cuales aporta, diría yo, su perspectiva y experiencia únicas, así que una de las preguntas básicas que las organizaciones pueden plantearse es: quién tiene visibilidad sobre la TPRM, quién figura en el contrato, si se trata de un riesgo empresarial. Y creo que, dependiendo de dónde se sitúe la TPRM, hay pros y contras. Por ejemplo, si nos fijamos en el ámbito jurídico y de cumplimiento normativo, es posible que el enfoque de la gestión de riesgos de terceros se centre más en el cumplimiento normativo, las obligaciones contractuales y los riesgos jurídicos asociados a terceros. Pero la desventaja es que podría no abordar plenamente los riesgos operativos o estratégicos y pasar por alto el contexto más amplio de la gestión de riesgos. Así que lo que puedes hacer es colocar el UKM bajo la adquisición, lo que enfatiza los aspectos operativos y estratégicos de las relaciones con terceros. También hay que tener en cuenta factores como el rendimiento, fiabilidad y coste, pero entonces se corre el riesgo de restar importancia a los riesgos no operativos o al cumplimiento de la ciberseguridad si no se integra adecuadamente, pero yo diría que mi consejo, por lo que he visto que funciona, es siempre la propiedad compartida, de modo que las responsabilidades de TPR se distribuyan entre múltiples funciones y se garantice un enfoque holístico que tenga en cuenta las diversas dimensiones del riesgo, así que creo que lo más importante es la coordinación y la comunicación. Y crear una gobernanza eficaz en torno a eso. Creo que, sea lo que sea lo que decida como organización, es fundamental que haya funciones y responsabilidades claras. Y crear una gobernanza eficaz en torno a eso.

Scott: Efectivamente. Sí. Bob, ¿tú opinas lo mismo?

Bob: Sí, yo opino lo mismo. Creo que es importante que quien tenga una visión global de las relaciones con los proveedores sea la persona más lógica para ocupar ese puesto en la organización, y eso variará según la organización. Puede ser el departamento de compras, el director general, el departamento jurídico, el de cumplimiento normativo o el de seguridad, pero quien realmente tenga la visión y la comprensión más holísticas de la totalidad de la relación, sea cual sea su ubicación, es el mejor lugar para situarlo.

Bob: Cada vez veo más esto en las organizaciones de compras y abastecimiento, pero deben tener en cuenta todos los factores que ha mencionado Samira. Por eso es importante comprender a las partes interesadas y tener una visión amplia de quiénes son. Cuando pienso en las partes interesadas en la seguridad de la información, pienso en los aspectos legales. Pienso en el cumplimiento normativo. Pienso en la privacidad. Y, al fin y al cabo, ¿quién es responsable de la relación? Bueno, la persona responsable es aquella cuyo nombre figura en el contrato. Al fin y al cabo, ellos tienen la responsabilidad última. Y aunque pueden externalizar algunas de las funciones, no pueden externalizar su responsabilidad o su compromiso con la relación.

Scott: Sí. Sí. Una perspectiva estupenda. Y, sabes, me encanta ese concepto del equipo multifuncional, Samir, que has mencionado, como sabes, y Bob, para fusionar tu enfoque y tener un presidente de ese comité cuyo nombre figure en el contrato, de modo que todo el mundo se ponga manos a la obra y pueda dirigir la orientación del campo.

Bob: Sin embargo, solo hay una persona que empuja ese arado y es aquella cuyo nombre figura en el contrato.

Scott: Así es.

Scott: Bueno, solo un par de preguntas más, ya que estamos llegando al final de nuestra hora asignada. Vamos a jugar a ser reina por un día o rey por un día. Si te dieran carta blanca para crear un programa de TPRM desde cero, con un cursor parpadeante, un documento de Word en blanco y una hoja de cálculo vacía, ¿entiendes lo que quiero decir? Muy bien, Samira. Muy bien, Bob, ¿qué tres cosas harías inmediatamente?

Scott: Sam, empezaremos contigo.

Samira: Sí, puedo empezar. Bueno, lo primero que se me ocurre es que, ya sabes, tienes que hacerlo.

Samira: Yo también.

Scott: Sí, adelante, Sam. Estás listo.

Samira: Define tu visión y estrategia desde el principio cuando crees tu programa de TPM. Piensa cuál es tu estrella polar y trabaja para alcanzarla. Si tu objetivo es crear un marco integrado y coordinado para gestionar el riesgo de forma eficaz y prevenir o mitigar resultados negativos, como pérdidas financieras, daños a la reputación o acciones legales. Asegúrate de incorporar esos puntos de control. ¿Realmente lo estás haciendo? ¿Es realmente necesario lo que estoy haciendo? Pero, ya sabes, te estás preguntando, tienes un papel en blanco y, ¿cuáles son las tres prioridades que te vienen a la mente? Yo siempre empezaría por la gobernanza. Y con la gobernanza, ya sabes, es bastante amplio, ¿verdad? Pero estoy pensando en funciones y responsabilidades claras. Um, eh, ya sabes, prepara tu caso para conseguir el apoyo de la alta dirección porque, como he dicho antes, ya sabes, quién está haciendo el trabajo y dónde se crea la responsabilidad y, ya sabes, el negocio está ahí para ganar dinero y, ya sabes, para firmar tantos contratos como sea posible. Así que tiene que haber algún beneficio para el negocio. Creo que definitivamente necesitas algo de apoyo, pero también piensa en grupos de trabajo y comités para poner en marcha tu programa. Creo que eso es muy importante. ¿Cuál es tu modelo operativo? ¿Cómo defines tu capacidad de TPM? ¿Y cómo interactuará con tus partes interesadas? Puedes pensar si quieres un programa centralizado, descentralizado o híbrido. Creo que es fundamental definir primero todo eso y, en segundo lugar, definir tu ámbito de actuación y comprender el panorama de tus proveedores. Porque, como hemos hablado mucho sobre ello durante la última hora, el panorama de sus proveedores es absolutamente importante para definir cuáles son los riesgos para su organización que pueden surgir de sus relaciones con terceros y que también le ayudan en la asignación de recursos para sus esfuerzos de gestión de riesgos, porque no puede hacerlo todo. En tercer lugar, yo diría que piense en lo que ya tiene, si puede aprovechar algo, si sabe quéfunciona y qué no, y crear un programa en torno a eso. Quizás puedas pensar en utilizar herramientas o procesos existentes para garantizar una integración perfecta dentro de la organización. A veces, esto facilita a las partes interesadas la incorporación de esos elementos en sus tareas diarias, evita los procesos aislados y, básicamente, mejora la colaboración en todo el departamento. Estas son las tres cosas por las que yo empezaría.

Scott: Eso es genial. Bob, ¿cómo encaja eso con tus tres prioridades?

Bob: Sin duda hay solapamientos. La gobernanza es un factor importante que hay que tener en cuenta. Es necesario comprender cuál es el alcance del programa. ¿Qué se va a analizar? ¿Dónde se van a centrar los esfuerzos? Al principio, los recursos serán limitados. Es importante pensar en la tecnología y la automatización debido al volumen de datos con el que se va a trabajar de forma continua. Muchos procesos no van a ser suficientes. Por lo tanto, la automatización es un aspecto importante que hay que tener en cuenta. Pero si vas a pensar en la automatización y las herramientas, debes asegurarte de que entiendes cómo van a encajar en tus flujos de trabajo operativos existentes. Si no lo has pensado, tus herramientas y tu software se convertirán en productos que no se utilizan. No se utilizarán de forma eficaz. La otra cosa es que yo empezaría a hacer informes de gestión desde el principio del programa. Y utilizaría un marco muy sencillo para hacerlo. Un informe de cuatro páginas. Página uno, lo que he hecho en el último periodo de informe. Página siguiente, lo que voy a hacer. En tercer lugar, los obstáculos para mi éxito. La dirección. Esto es lo que tienes que hacer para ayudarme. Porque es ese compromiso de la dirección lo que va a generar movimiento y evitar que te quedes atascado en lo que yo llamo «empezar pero quedarse estancado». Así que necesitas ese compromiso. Y, por último, ¿qué necesitas para que tu dirección sea consciente de ello?

Bob: Si haces ese informe, entonces es difícil que la gente se vaya. Podrías decir: «¿Sobre qué puedo informar al principio? Lo que informas son todo ceros». Bueno, ¿sabes qué? Eso envía un mensaje. No estoy haciendo ningún progreso. Y eso va a suceder, y si la dirección lo ve y no hace nada, bueno, ese es el momento de empezar a buscar otro trabajo, porque nunca vas a conseguir el apoyo necesario para hacer tu trabajo en este lugar.

Scott: Sí.

Bob: Así que eso hace que todos, incluida la dirección, rindan cuentas, y creo que eso es muy importante porque hay mucho trabajo por hacer.

Scott: Por supuesto. Es el arte de gestionar hacia arriba.

Bob: Correcto.

Scott: Así es.

Bob: Y este es un ámbito en el que, si no sabes gestionar bien a tus superiores, vas a tener problemas. No vas a poder alcanzar tus objetivos. Así de sencillo.

Scott: Sí. Sí. Um, tengo una última pregunta para ustedes dos. ¿Cuáles creen que son los mayores errores que suelen cometer las organizaciones en materia de riesgos de terceros? ¿Qué es lo que pasan por alto y cómo lo superan? Creo que es una buena pregunta para continuar con la anterior, en la que hablamos de sus tres prioridades, pero esta es una forma diferente de verlo. ¿Cuáles son los tres errores que cometen las organizaciones y cómo los resolverían? Bob, voy a empezar por ti.

Bob: Eh, el cumplimiento frente al riesgo siempre es lo primero.

Scott: Sí.

Bob: Entonces, si solo estás llevando a cabo tu programa para asegurarte de cumplir con algún tipo de directriz o normativa, eso es una pérdida de tiempo. Muchas veces la gente dice: «He hecho mi evaluación de riesgos, mi trabajo está hecho». La evaluación de riesgos es el requisito previo para el trabajo real, que es la corrección de los problemas identificados, porque solo así se reduce realmente el riesgo.

Bob: La segunda cosa de la que me gustaría hablar es lo que yo denomino el crecimiento sin límites del número de terceros utilizados por las empresas. En demasiadas ocasiones, las empresas no se toman el tiempo necesario para preguntarse: «¿Ya contamos con un tercero que nos proporcione ese servicio?». Y en ese proceso, la forma más sencilla de reducir el riesgo y el presupuesto es limitar el número de proveedores a los que se les permite acceder a la información y a las redes. Es así de sencillo. Porque si se permite que se añadan nuevos terceros sin límite, solo se está creando más trabajo y no se está ayudando al negocio, además de que el perfil de riesgo aumenta drásticamente. Ese es el tipo de cosas en las que me centro.

Scott: Sí, Sam, ¿eso coincide con tus preocupaciones también?

Samira: Sí. No, estoy totalmente de acuerdo. Verás, veo que muchas organizaciones tienen dificultades para determinar el nivel de evaluación de riesgos y diligencia debida que deben aplicar, por ejemplo, al realizar una diligencia debida exhaustiva sobre una empresa de limpieza. Es algo que he visto y que, en mi opinión, no supone un uso óptimo de los recursos. Pero quizá también, desde una perspectiva un poco diferente, uno de los retos que he observado es que, a menudo, las empresas —y quizá esto sea así en todos los sectores— carecen de un cierto grado de estandarización. Por lo tanto, a las empresas les resulta bastante difícil comparar sus esfuerzos en materia de TPR y compartir las mejores prácticas. Así que creo que siempre es bueno reunirse con tus compañeros y comprender qué están haciendo y comparar tus procesos. Creo que eso es muy importante y es algo que sugeriría a todo el mundo que considerara para que sea más eficaz, porque hay muchas cosas que las empresas saben que pueden hacer mejor o de forma más eficaz o eficiente. Sí, sin duda, pero estoy totalmente de acuerdo con lo que dice Bob. Eso es exactamente lo que he visto en los últimos años.

Scott: Genial. Genial, chicos. Bueno, se nos está acabando el tiempo que teníamos hoy. Pero lo que quiero hacer es asegurarme de que dejamos espacio para preguntas. En realidad, no sé si queréis seleccionar algunas preguntas y hacer algunas de las que hemos acumulado. Mientras lo hacéis, voy a poner una sola diapositiva y repasar un poco cómo puede ayudar la prevalencia. Así que, solo un resumen rápido. Lo que hacemos desde la perspectiva de la gestión de riesgos de terceros es ayudarle a obtener la información, la automatización y, en última instancia, el retorno de la inversión y los resultados que necesita para demostrar el éxito de los terceros a lo largo de todo el ciclo de vida de la gestión de riesgos de terceros. Y lo hacemos a través de nuestra experiencia, de los datos que tenemos en nuestra plataforma, de las evaluaciones y aportaciones completadas, así como de las automatizaciones y los flujos de trabajo integrados en nuestra plataforma. Bueno, en realidad, se lo voy a dejar a ustedes. Sé que estamos a punto de terminar la hora. No sé si podemos meter alguna pregunta más antes de que termine la hora.

Ashley: Sí, por supuesto. Um, mientras hablabas, he lanzado nuestra segunda encuesta. Scott, solo queremos saber si estáis interesados en ampliar o establecer un programa TPRM en los próximos meses. Y, por favor, sed sinceros, porque haremos un seguimiento. Pero sí, sigamos adelante y respondamos algunas de estas preguntas. Alguien ha preguntado: «¿Recomiendas utilizar tecnología de alerta o supervisión en tus terceros?».

Samira: Bueno, estoy más que encantada de responder a esa pregunta, al menos desde el punto de vista del cumplimiento normativo. Sí. Pero eso también depende del tipo de supervisión o del seguimiento continuo que la organización quiera llevar a cabo, creo. Me refiero a que uno de los requisitos básicos o mínimos es que siempre se realice una evaluación continua de las sanciones de los terceros y, si aparecen en la lista de sanciones, se reciba una alerta o se garantice que no se paga ni se contrata a una persona sancionada en una jurisdicción restringida, por ejemplo. Creo que estos son los requisitos mínimos que hay que incluir en el programa. Pero siempre se puede adoptar un enfoque basado en el riesgo y decir: «Oye, estoy trabajando con partes que presentan un mayor riesgo desde el punto de vista del soborno y la corrupción. Por lo tanto, quiero realizar un control más exhaustivo de esos terceros». No creo que sea necesario llevar a cabo un control continuo. Creo que se puede decidir hacer una comprobación anual o semestral y una diligencia debida exhaustiva de estos terceros, o cribarlos con listas de personas políticamente expuestas para mitigar esos riesgos. Gracias, Sam. Y luego, Bob, una pregunta más. ¿Cómo gestionarías a los proveedores externos que están influenciados políticamente?

Bob: No estoy seguro de entender el contexto de «influenciado políticamente». No sé si alguien puede explicarlo con más detalle. Es una frase extraña. Eh...

Ashley: Les daremos tiempo para que lo expliquen en el chat y pasaremos a un Sí,

Ashley: pregunta.

Ashley: ¿Has visto alguna buena forma de realizar un seguimiento y utilizar SBOM para el análisis de riesgos y el seguimiento?

Bob: Bueno, creo que es algo en lo que mucha gente se está centrando ahora mismo. Yo personalmente aún no he visto a nadie hacerlo especialmente bien, pero es un área emergente. Hay que abordarla. Creo que es uno de los mayores riesgos que no estamos abordando adecuadamente. Por lo tanto, es importante comprender el software, las interfaces API, todo lo que la gente pueda estar utilizando, pero aún no he visto una buena manera de hacerlo. Mi primera idea es que siempre hay que centrarse en los contratos, y si se puede plasmar en el contrato, esa es la mejor manera de empezar.

Ashley: Excelente. Gracias, Bob. Bueno, lamentablemente, hemos llegado al final de la hora. Um, así que gracias, Samira, Bob, Scott y a todos por sus preguntas. Nos han proporcionado información muy valiosa hoy. Espero volver a verlos a todos, ya sea en su bandeja de entrada o en un próximo seminario web.