Responder a un incidente de seguridad de gran repercusión o a una interrupción de la cadena de suministro no es el momento adecuado para involucrar a los altos ejecutivos en su programa de gestión de riesgos de terceros. En cambio, trabajar de forma proactiva con los líderes para comunicar el valor de la reducción de riesgos de terceros antes de que se produzca un incidente garantiza que estará preparado cuando llamen.
Únase a nuestro próximo seminario web, presentado por Bryan Littlefair, director ejecutivo de Cambridge Cyber Advisers y antiguo director de seguridad de la información global de Vodafone Group y Aviva, para obtener información sobre cómo convertir a los terceros en una prioridad para su equipo ejecutivo.
En este seminario web bajo demanda, Bryan analiza:
- Reducir los riesgos de terceros para centrarse en cómo afectan a los resultados finales.
- Mejores prácticas para comunicarse eficazmente con ejecutivos y miembros del consejo de administración
- Métricas clave para informar sobre lo que funciona y lo que no.
- Consejos para optimizar su programa de riesgos de terceros
Regístrese ahora y esté mejor preparado para abordar a su equipo ejecutivo y hacer que el riesgo de terceros sea una prioridad para su organización.
¿Le interesa saber cómo puede ayudarle Prevalent?Solicite una demostración y una llamada estratégicapara hablar de su proyecto con uno de nuestros expertos.
Amanda Fina: Hola a todos. Voy a echar un vistazo a esas cifras que están subiendo. Buenos días, buenas tardes o buenas noches, dondequiera que estén. Mi nombre es Amanda Fina. Soy la presentadora de la sesión de hoy. En la sesión de hoy contamos con Brian Littlefair, director ejecutivo de Cambridge Cyber Advisors y antiguo director de seguridad de la información global de Vodafone Group y Aviva. Nos ofrecerá su visión sobre cómo convertir el riesgo de terceros en una prioridad para su equipo ejecutivo. Y, como bonus adicional, también nos acompaña hoy Scott Lang, nuestro vicepresidente de marketing de productos. Nos encantaría saber qué les ha llevado a estar aquí hoy. Así que voy a poner una encuesta llamada «Mientras esperan». Tenemos curiosidad por saber qué les ha traído a nuestra sesión de hoy. ¿Es por motivos educativos? ¿Es para investigar un proyecto? ¿No saben por qué están aquí? Bueno, eso es un tema aparte. Nos encantaría saber cómo han llegado hasta aquí. Si no tienen ni idea o son clientes habituales, lo cual siempre es estupendo. Nos encanta tenerles aquí. Repasemos un par de cuestiones organizativas. Todos ustedes están silenciados automáticamente, pero queremos que esto sea lo más interactivo posible. Por lo tanto, utilicen la sección de preguntas y respuestas. Aprovechen los conocimientos de Brian y Scott, hagan todas las preguntas que puedan, pero para mantener el ritmo, lo más probable es que hagamos una ronda de preguntas y respuestas al final con otra pregunta de la encuesta, lo que me lleva a otra cosa. Por favor, sean sinceros en sus respuestas a la encuesta, porque haremos un seguimiento personalizado en función de lo que digan. Por lo tanto, especialmente si dicen algo parecido a «sí» a algo, esperen algo de mí o esperen algo de mi compañera Melissa o Landon. Así que no nos confundamos. La sesión también se está grabando, por lo que la recibirán en su bandeja de entrada hoy, al final del día o mañana. Así que tendrán tiempo extra para revisarla, compartirla con amigos, lo que sea. Pero la tendrán en sus manos tan pronto como nos sea posible entregársela. Creo que eso es todo por mi parte. Creo que estamos listos para continuar. Brian, te cedo la palabra.
Brian Littlefair: Gracias, Amanda. Hola a todos. Es un placer poder hablar con ustedes hoy desde el Reino Unido. Así que, ustedes están empezando el día o están en mitad de él. Aquí está llegando a su fin. Pero este es un tema que me interesa mucho. Creo que, como ha dicho Amanda, he sido director de seguridad de la información en bastantes organizaciones y puedo seguir haciéndolo como ejecutivo interino o itinerante. Pero paso mucho tiempo en la sala de juntas y también hablando en conferencias sobre cómo salvar la brecha que puede existir entre el director de seguridad de la información y la junta directiva o entre el director de seguridad de la información y el equipo ejecutivo, o cómo mejorar esa relación. Así que es estupendo poder utilizar la gestión de riesgos de terceros, un tema que me interesa mucho, en algunos ejemplos y, sin duda, en algunas técnicas o en algunos de los retos y problemas que veo a diario. Así que, manos a la obra. Este soy yo. Necesito un corte de pelo, ¿verdad? Bueno, pongamos un poco en contexto. Sin duda, he pasado la última década sentado en salas de juntas, no solo para la sección de seguridad. Cuando eres CISO, te llevan en silla de ruedas. Haces tu trabajo de CISO y luego te sacan. Ahora, como sabéis, como asesor cibernético o consultor de juntas directivas y equipos ejecutivos de todo el mundo, se ve mucho más de las reuniones de la junta, lo que tiene sus pros y sus contras. También hay que leer el paquete de la junta y esos aspectos también. Pero he visto una transición durante ese periodo en cuanto a que las juntas directivas empiezan a entender la ciberseguridad.
Brian Littlefair: Eh, y creo que sabes lo que está impulsando eso, que es, eh, supervisar las regulaciones globales en todo el mundo para muchos clientes multinacionales, y estamos empezando a ver los requisitos y, ya sabes, las directivas que establecen, que empiezan a armonizarse y a ser muy claras sobre cuáles son sus expectativas en cuanto a cómo tu organización trata la ciberseguridad, si estás en un sector regulado. Y creo que sabes que, tanto si estás en el lado estadounidense como en el británico y europeo, los gobiernos, o sin duda los ciudadanos de esos gobiernos, están empezando a pensar: «Bueno, confiamos nuestros datos a todos estos clientes y, como sabes, hay una violación tras otra o un incidente tras otro, y quieren que se arregle y se resuelva ese modelo de confianza, quieren que los ciudadanos o las personas que viven en los países, en realidad, tengan cierta confianza en la organización a la que están proporcionando sus datos. Por lo tanto, existe la obligación de que esa organización establezca los controles y las medidas adecuadas. Pero, como todos sabemos, no se trata solo de la organización con la que se relaciona. Hay toda una cadena de suministro de terceros, cuartos y enésimos que, en muchos casos, realmente obtiene los datos de los clientes. Por eso creo que los consejos de administración y los equipos ejecutivos están empezando a preocuparse de verdad y a centrarse también en estos temas. De hecho, veo que están impulsando esa claridad, esa posición de riesgo, y creo que gran parte del problema está ahora en nuestro lado, en el lado del equipo de seguridad, que lleva mucho tiempo intentando transmitirles este mensaje. Lo están pidiendo, pero no están 100 % satisfechos con la forma en que les contamos la historia, o al menos no en todos los casos. Y muchas organizaciones parten de un punto de madurez bastante bajo en lo que respecta a la gestión de riesgos de terceros. Es un camino largo y complejo comprender cuál es el riesgo que se presenta a la organización matriz desde toda su cadena de suministro. Por lo tanto, si acaba de emprender ese camino, es evidente que hay algunos puntos de aceleración que puede poner en práctica, pero llevará tiempo llegar a ese punto de vista.
Brian Littlefair: Y muchas organizaciones, como explicaré en esta presentación, se encuentran en diferentes puntos de madurez. Y, como saben, ninguna está en la misma posición. Cada organización es diferente. Pero creo que si reconocen eso, la junta directiva estará interesada en lo que tienen que decir. Sé que la junta directiva y el equipo ejecutivo son entidades diferentes, pero a estos efectos son intercambiables. Quieren claridad. Quieren esa información. Y creo que si logran comprender los formatos en los que desean que se presente esa información, en términos del lenguaje universal de la junta directiva, que es el de las finanzas y el riesgo, entonces creo que comenzarán a obtener ese impulso. Y espero que lo que voy a hablar hoy sean algunos de los enfoques que he visto que funcionan. ¿Cuáles son algunos de los enfoques que he visto que no funcionan? Y luego, obviamente, espero dejar un poco de tiempo después de que Scott y yo hayamos hablado para algunas preguntas y respuestas y desafíos y, como siempre digo en estos casos, por favor, siéntanse libres de discrepar o cuestionar, ¿de acuerdo? Estas son solo mis opiniones y mis perspectivas y, si tienen otra, estaré encantado de debatirla. Pero creo que lo que estamos viendo en todo el mundo son estos retos. Estamos viendo que son problemas. Estamos viendo, ya saben, que los hackers son muy públicos, que es más fácil hackear una organización matriz a través de su cadena de suministro con esas relaciones de confianza establecidas que, en algunos casos, ir tras la organización matriz. Esa organización matriz puede tener 200, 300, 400 miembros en su equipo de seguridad. Puede tener un presupuesto de 10, 20, 30 millones o ser mucho más pequeña. Pero ya sabes, las organizaciones en las que establecen relaciones de confianza con los usuarios de la red. No tendrán esa capacidad, o al menos no todas ellas. Por lo tanto, la comunidad de hackers se esfuerza mucho, por así decirlo, en identificar dónde existen esas relaciones y qué proveedores utilizan las empresas X, Y y Z, y si pueden ir tras ellos y aprovechar esa relación de confianza preexistente. Así que intentemos hacerlo bien. Debatamos el tema. Y creo que, cuando lo hagáis, estaréis empujando esa puerta abierta. Y creo que eso es lo que quieren hacer los consejos de administración.
Brian Littlefair: Quieren que la información sea clara porque quieren participar. Muchos de ellos no saben cómo abordar temas complejos relacionados con la seguridad. Por lo tanto, creo que no tenemos que simplificarlo porque son personas muy inteligentes. Tenemos que reconocer sus habilidades y presentarlas en un lenguaje que puedan entender. Eso es lo que esperamos tratar hoy. Entonces, ¿por qué necesitamos realmente un seguro de responsabilidad civil y por qué le importa realmente al equipo ejecutivo? Ya hemos hablado de las regulaciones. En mi opinión, las regulaciones solo van a ir en una dirección y, sinceramente, uno de mis deseos personales sería que los reguladores hablaran más. Por ejemplo, si diriges una gran multinacional global en 60, 70 u 80 países, las normativas difieren en cada uno de los países en los que opera tu organización. Y esa armonización... hay mucho solapamiento. Esa armonización tendría mucho sentido. Y, como sabes, lo vemos hasta cierto punto, pero ciertamente no en todos los casos. Hablaremos de eso un poco más adelante. Lo necesitamos para nuestra gestión de riesgos, ¿verdad? Por lo tanto, necesitamos comprender qué papel desempeñan los terceros en la entrega de nuestro producto o servicio al cliente final. Y, en muchos casos, desempeñan un papel importante. Pueden estar gestionando nuestros sistemas informáticos o, si somos fabricantes de un producto, pueden estar suministrando nuestras materias primas y los ingredientes que necesitamos para fabricar nuestro producto y venderlo. Y hay muchos factores que pueden influir en ello. Por ejemplo, podrían sufrir un ataque. Podrían quedarse sin conexión. Y entonces, ¿cómo podemos seguir vendiendo nuestros servicios? Obviamente, pero también físicamente, tenemos que entenderlo desde el punto de vista de la gestión de riesgos. Un buen ejemplo es el bloqueo del canal de Suez. Si los buques portacontenedores no pueden atravesar ese canal, es obvio que nuestro producto no puede llegar a su destino final y no podemos venderlo a los clientes, lo que puede dañar la marca o la reputación. Puede hacer que los clientes se pasen a la competencia. Así que no estamos hablando solo de ciberseguridad.
Brian Littlefair: Estamos hablando de la garantía de terceros, que es una visión más holística en términos de gestión de ese riesgo, y es importante que lo reconozcamos. Y tenemos que hacerlo bien para poder respaldar también las decisiones empresariales. Por lo tanto, la empresa necesita consumir las métricas y los datos que realmente podemos presentarles para saber a qué velocidad pueden avanzar, a qué velocidad pueden acelerar, a qué velocidad pueden expandirse y cuáles son los riesgos inherentes a ello. A menudo veo una cierta desconexión en este sentido, ya que el equipo de seguridad evalúa el riesgo y la seguridad realmente para sus propios requisitos de cumplimiento y no está totalmente integrado con el negocio en general. Creo que un programa de gestión de riesgos de terceros realmente eficaz cuenta con el apoyo y el respaldo total de la empresa, pero también con los datos quese recopilan y analizan se difunden ampliamente en la organización y realmente ayudan a respaldar y sustentar otras decisiones empresariales que son necesarias, y creo que eso es un indicador realmente bueno de que se está haciendo lo correcto, pero, obviamente, el cumplimiento también es muy importante. Elija una sigla, hay miles en todo el mundo, pero todas ellas dictan cómo gestionamos a nuestros terceros. Y eso se debe realmente a que es un riesgo enorme debido a las cosas que ya hemos comentado. Y, de nuevo, hay muy poco cumplimiento a nivel mundial. Hay 160 legislaciones diferentes que se refieren a cómo gestionamos los datos. Así que, tanto si tienes la Ley de California en Estados Unidos como si tienes el RGPD aquí en Europa, hay 160 de ellas en todo el mundo. Por lo tanto, si diriges una organización multinacional global, tienes que entender qué es lo que realmente se nos exige cumplir y dónde y cómo se estipulan los requisitos y controles que también debemos aplicar en nuestra cadena de suministro. Y luego, desde el punto de vista de la gobernanza, como he mencionado anteriormente, a nuestros clientes les importa que lo hagamos bien. Sin duda, dependiendo de los productos y servicios que ofrezcamos, si nos dedicamos a los servicios financieros, a las telecomunicaciones o a la industria farmacéutica, por ejemplo, manejamos datos bastante sensibles.
Brian Littlefair: tus clientes confían en ti para que hagas lo correcto y protejas eficazmente sus datos, y creo que por eso el equipo ejecutivo está realmente convencido de ello ahora, porque reconocen que la tolerancia de los clientes ante las violaciones de seguridad está disminuyendo y se espera que se tomen las medidas adecuadas para proteger adecuadamente la seguridad y los datos, que son, en última instancia, el objetivo de cualquier ataque. Por eso deben preocuparse realmente y, obviamente, explicarles que no se preocupen no es algo malo. Y luego está la calidad, que a menudo se pasa por alto, pero que es absolutamente fundamental, ¿verdad? Tuvimos este reto aquí en Europa, no solo en el Reino Unido y Europa, donde la calidad de la cadena de suministro de la carne no era realmente buena. Y descubrimos que, en algunos casos, la carne de caballo se estaba utilizando en lasañas precocinadas y productos cárnicos procesados, por ejemplo. Y el cliente no sabía que no figuraba en la etiqueta. Fue un fallo total de la cadena de suministro. Así que, de nuevo, solo para destacar que no nos centramos únicamente en el riesgo cibernético de las tecnologías de la información. Tenemos la calidad. Tenemos nuestros requisitos de cumplimiento. Tenemos que satisfacer a nuestros reguladores. Necesitamos comprender cuáles son los riesgos en términos de suministro. ¿Podemos realmente conseguir ese producto y esos servicios? ¿Y qué vamos a hacer? Por lo tanto, es un panorama completo. Y si piensas en todo eso como un todo, es por eso que el equipo ejecutivo está empezando a preocuparse, porque si esto sale mal o si empieza a deteriorarse o la calidad disminuye, obviamente eso afecta al producto y al servicio que ofreces a tus consumidores, y ellos querrán saberlo y empezarán a acudir a quien gestione la gestión de riesgos de terceros dentro de tu organización, y debido a esta visión holística, sabes queno siempre es el CISO, sabes que no siempre es una iniciativa dirigida por la seguridad en todas las organizaciones, pero siempre desempeñarás un papel en eso y sabes que es importante simplemente reconocerlo.
Brian Littlefair: Entonces, ¿cómo abordan las diferentes empresas este reto? Yo veo esta variedad a diario y, como sabéis, no voy a repasar cada una de ellas individualmente, pero hay empresas que, francamente, hacen muy poco, lo mínimo que les exige el negocio, que es establecer acuerdos contractuales. Se lleva a cabo muy poca diligencia debida. Por lo tanto, no comprenden el riesgo. No entienden si la persona detrás del negocio es un individuo sancionado en algunos países. Así que no creo que ya sea aceptable no hacer nada. Tienes que tener una brújula moral y tienes que entender dónde fluyen los datos de tus clientes y, sin duda, como he dicho, si trabajas para una industria regulada, es un requisito que tengas un programa eficaz de terceros. Así que otros hacen más, ya sabes, están un poco más controlados. Tienen cierto compromiso, pero no extienden su entorno de control a su cadena de suministro. No estipulan, ya sabes, así es como esperamos que te comportes. Aquí está nuestra política de seguridad. Esto es lo que esperamos que hagan. Y, oigan, este es el marco en el que vamos a operar». Y luego, a medida que se avanza, se entra en un espacio más maduro en el que se establece el programa de gestión de riesgos de terceros. No se puede contratar a un proveedor sin pasar por la diligencia debida previa a la contratación y sin que se comprendan todos los riesgos antes de firmar el contrato. Y antes de que el dinero comience a fluir o los servicios comiencen a fluir entre las dos organizaciones, creo que, como mínimo, ahí es donde se puede esperar estar o, sin duda, la expectativa es que se comience a llegar a ese punto, porque realmente se empiezan a comprender los riesgos y los problemas que conlleva ese acuerdo comercial que se acaba de establecer, peroaún queda más por hacer, así que como mínimo tres, pero sin duda deberías aspirar a cuatro y cinco, así que lo que queremos es comprender todos los riesgos que nos presenta el comprador antes de firmar el contrato.
Brian Littlefair: Eh, les hemos ampliado algunos controles o, en realidad, lo más importante es que hemos ampliado todos los controles que consideramos relevantes para ese proveedor en particular. Así que entendemos a ese proveedor, entendemos lo que hacen por nosotros a nivel global. Entendemos la naturaleza de cómo operan. Entendemos qué políticas y prácticas de seguridad implementan. Entendemos las capacidades de sus equipos. Entendemos la geografía en la que van a operar y nos reunimos con ellos con frecuencia, dependiendo de su importancia para nosotros, para obtener esa garantía continua, y ese es el comienzo de una asociación. Es el comienzo de una relación y, obviamente, no se puede hacer eso con todos los proveedores, pero el objetivo es empezar a obtener toda la información posible y, como verán en breve, soy un gran defensor y, por eso, hablo a favor de herramientas como Prevalent, porque si se alejan de un enfoque basado en Excel o manuala una organización basada en modelos de riesgo impulsados por amenazas en línea, como Prevalent, entonces puede empezar a obtener información mucho más detallada sobre la huella de sus proveedores, en lugar de depender de ese proceso manual que algunos de ustedes pueden estar utilizando en este momento. ¿Cuáles son algunos de los problemas con los que se encuentran? Creo que me he encontrado con la mayoría de ellos en lo que respecta a la implementación de un programa eficaz de gestión de riesgos de terceros, y estas son algunas de las barreras que impiden que se establezca una relación ejecutiva eficaz. No hay nada peor que intentar ejecutar un programa eficaz, pero que el resto de la empresa piense que es un obstáculo, que es un reto, que no es eficaz. Por lo tanto, hay que trabajar en colaboración con el resto de las partes interesadas y comprender realmente cuáles son estos problemas y retos y cómo se puede avanzar a partir de ellos. Pero veo esto todo el tiempo. Veo equipos de seguridad que ejecutan procesos manuales basados en Excel. Imagina que tienes un equipo de seguridad de 50 personas. Quizás tengas dos personas dedicadas a la gestión de riesgos de terceros. Es posible que tengan que gestionar tres mil quinientos proveedores. Es simplemente imposible.
Brian Littlefair: Es como intentar gestionar un centro de operaciones de seguridad con procesos manuales. Es como intentar gestionar una plataforma de prevención de pérdida de datos con procesos manuales. Las cifras son demasiado elevadas. Por suerte, el mundo ha avanzado y tenemos que adoptar la tecnología que se ha desarrollado para ayudarnos a procesar los datos y obtener una posición precisa. Por eso, creo que los equipos de seguridad son los más afectados. He impartido un seminario web para Prevalent sobre cómo mejorar la relación entre el equipo de seguridad y el de compras, y debería echarle un vistazo, porque los objetivos son muy similares en cuanto a lo que se pretende conseguir. Pero si el proceso del equipo de seguridad no está optimizado, si enviamos cuestionarios muy largos, si los enviamos una vez al año y luego no respondemos al proveedor con comentarios, entonces el departamento de compras es el que se lleva la peor parte. Reciben las quejas de los proveedores diciendo: «Estamos listos para entregarle nuestro servicio o producto, pero aún no podemos hacerlo porque no hemos recibido la autorización de su equipo de seguridad», y eso empieza a crear fricciones entre el equipo de compras y el equipo de seguridad. Así que se trata realmente de comprender cuáles son los procesos, cómo se pueden optimizar, quiénes son las partes interesadas que van a participar en ello y, a continuación, acudimos a los ejecutivos, ya sea la junta directiva o la capa ejecutiva, el director general, el director financiero, el director de operaciones, etc., y ellos no pueden obtener claridad. Más adelante destacaré algunos de estos aspectos en la presentación, pero lo que buscan es lo que yo he denominado «métricas significativas». Quieren que se haga el análisis por ellos. Quieren comprender cuáles son los principales riesgos dentro de nuestra cadena de suministro. ¿Dónde es probable que se materialicen y qué estamos haciendo para mitigarlos? Es una pregunta bastante simplista, pero cuando se amplía a toda la cadena de suministro, con dos, tres o cuatro mil proveedores en algunos casos, es una pregunta bastante difícil de responder. Por lo tanto, es evidente que debemos adoptar la tecnología que existe para ayudar a obtener esa respuesta lo más rápido posible. Entonces, ¿qué es lo que busca ese equipo ejecutivo?
Brian Littlefair: Buscan una cobertura del 100 %, y esto es realmente importante en cualquier proceso que entreguemos o implementemos, ya que debe abarcar a todos los terceros a nivel mundial. Y yo veo esto como un pequeño reto o un obstáculo para estos equipos de seguridad tan exigentes. Ya sabes, a veces solo hay tres o cuatro personas para cubrir una organización multinacional y eso puede ser un problema. Porque, francamente y sinceramente, desde mi punto de vista, a los proveedores les gusta dividir y fragmentar las empresas de alguna manera. Ya sabes, si pueden, venderán al negocio del Reino Unido, luego venderán al negocio de la India y venderán al de Turquía, al de Estados Unidos, al de Canadá, etc. Y, en realidad, les gustan las organizaciones que no tienen esa visión global porque pueden establecer precios diferentes. Pueden establecer diferentes condiciones contractuales y pueden aprovechar esa incertidumbre. Lo que tenemos que hacer es trabajar eficazmente con nuestros compañeros de compras para asegurarnos de que tenemos claro dónde va nuestro gasto, de modo que podamos sacar el máximo partido a nuestro dinero, pero también podamos gestionar esa exposición al riesgo de forma más eficaz. Es mucho mejor dar gran parte del gasto a unos pocos proveedores, si es posible, porque así te conviertes en alguien más importante para ellos. Puedes establecer esa relación y empezar a comprender ese riesgo. Si tienes 10, 20 o 30 proveedores en todo el mundo que se solapan en cuanto a los servicios que te ofrecen, será un reto gestionarlos desde el punto de vista del riesgo. Pero, del mismo modo, no tiene sentido desde el punto de vista financiero hacerlo así. Pero, del mismo modo, hay que entender que, si tienes un equipo de garantía de terceros ubicado en algún lugar como Estados Unidos o el Reino Unido, es posible que entiendan el negocio local que tenemos con un proveedor, pero quizá no entiendan que, en otro país como la India, ese proveedor es enorme. Por lo tanto, tenemos que entender la cobertura global de la presencia de nuestros proveedores y lo que eso supone realmente desde el punto de vista del riesgo. Y luego, obviamente, tenemos que equilibrar ese riesgo. No podemos dedicar todo el tiempo que necesitamos a centrarnos en cada uno de nuestros proveedores. Tenemos que dividirlos. Necesitamos esa capacidad de profundizar.
Brian Littlefair: Necesitamos los datos para poder modelarlos. Necesitamos comprender e introducir ese ángulo de amenaza. Y eso es lo realmente importante con plataformas como Prevalent. Sin duda, cuando empecé en el ámbito de la seguridad, me hubiera encantado disponer de esta herramienta. Pero, ya sabes, teníamos que usar Excel. Era lo único que teníamos en aquel momento. Y no se puede introducir el riesgo. En cuanto se evalúa la empresa, lo siento, no podemos introducir amenazas. Y en cuanto se evalúa la organización, los datos quedan obsoletos casi de inmediato. Todos sabemos los cambios que se producen en cada una de nuestras organizaciones y, por lo tanto, nuestros proveedores no son diferentes. La posición de riesgo será diferente cada día, cada hora, cada minuto. Por lo tanto, necesitamos la capacidad de estar al tanto de todo desde la perspectiva del proveedor y comprender realmente lo que está sucediendo desde la perspectiva del riesgo. Necesitamos esa capacidad para profundizar en esos datos. Y tenemos que ser capaces de operar basándonos en hechos, no en ficciones. Si se presenta ante un equipo ejecutivo con perspectivas y opiniones en lugar de hechos, rápidamente se verá que no se sostiene. Por lo tanto, debemos asegurarnos de haber realizado el análisis por adelantado. Debemos asegurarnos de que esté completamente cuantificado, de que confiamos en lo que nos presentan y de que podemos modelar cómo creemos que será la posición de riesgo en el futuro. Por ejemplo, podemos utilizar el ejemplo de las alcantarillas. Es posible que hayamos utilizado un proveedor que recorría esa ruta, pero en realidad deberíamos haber pensado que eso podría haberse materializado como un problema y tener un plan de respaldo que podamos invocar y poner en práctica. Y luego necesitamos las métricas significativas que acabamos de discutir. Necesitamos que la junta directiva y el equipo ejecutivo se comprometan. No se puede entrar y... Voy a mostrar un ejemplo en un momento. No se puede entrar con cuadros muy complejos y esperar que ellos hagan el análisis y el modelo de cuál es la posición de riesgo sobre la marcha. Tenemos que hacer todo eso por ellos. No pueden hacerlo en la reunión. Es demasiada información y, desde luego, no pueden presentar esas complejas tablas con datos por todas partes. Así que tenemos que hacer el trabajo preliminar.
Brian Littlefair: Tenemos que entender cuáles son los KPI y los KIS que queremos presentar y, en realidad, queremos que puedan, ya sabes, prestar su respaldo o su apoyo, o que podamos tomar decisiones significativas para seguir adelante. Pero si lo comparamos con las prioridades del CISO, ¿qué es lo que debe hacer el CISO? Quiero decir, fundamentalmente, cuando yo era CISO de grandes organizaciones, se me consideraba como el protector de la marca. Se invierte mucho en promover una imagen positiva de la marca para que su organización sea vista de forma positiva por sus clientes actuales y potenciales en el futuro. Y nada afecta más a eso que un incidente de seguridad, y eso también puede ser un proveedor suyo. Así que usted está dando, o lo más probable es que las personas que participan en esta llamada estén dando datos a otros proveedores para que los procesen en su nombre. Usted sigue siendo el propietario de los datos, pero hay personas que controlan esos datos en su nombre y, si se produce una violación de los datos, en realidad sigue siendo su problema. Sigue siendo su reto y usted sabe que debe comprender y reconocer que tiene que proteger sus datos en la red de otra persona, y ahí es donde entran en juego sus marcos de control y todos esos aspectos, y eso es lo que el equipo ejecutivo quiere comprender. Se están acostumbrando a trabajar con una cadena de suministro distribuida. Se están acostumbrando a trabajar con aspectos como la computación en la nube, pero todo se reduce a cómo gestionamos el riesgo. ¿Qué estamos haciendo para integrar nuestros entornos de control en estas nuevas formas de trabajar? Y es el trabajo del CISO en la mayoría de las organizaciones, tal vez en los servicios financieros tengas al CRO, el responsable de riesgos, por ejemplo. Pero tienes que gestionar esa exposición al riesgo y es muy, muy difícil. En mi opinión, en mi opinión personal, el riesgo de terceros es uno de los riesgos más dinámicos y difíciles de cuantificar, presentar y gestionar, porque se trata de muchas organizaciones diferentes y en cualquiera de ellas puede ocurrir algo que te arruine el día y, obviamente, suponga un reto importante para tu organización.
Brian Littlefair: Entonces, hay que pensar bien quiénes son los proveedores clave. ¿Con quién tengo que pasar tiempo? ¿Quién procesa datos por nosotros? ¿Quién tiene acceso a nuestra red? Todas estas preguntas hay que responderlas antes para poder cuantificar el riesgo y gestionarlo de forma eficaz dentro de la organización. Y, como hemos comentado, es tarea del CISO cumplir con la normativa y los requisitos de cumplimiento. Y esto solo puede ir en una dirección. Pero creo que no podemos sobrecargarnos con el cumplimiento. Es algo que, por supuesto, tenemos que hacer, pero no creo que el cumplimiento sea sinónimo de seguridad. He trabajado mucho para muchas organizaciones que han cumplido al 100 % con su seguridad, al 100 % con sus requisitos normativos, pero que aún así han sufrido incidentes de seguridad bastante importantes. Por lo tanto, no podemos dormirnos en los laureles y decir: «Bueno, cumplimos con esto, cumplimos con aquello». Tenemos que tener una visión del mundo basada en los riesgos y las amenazas, y comprender que hay formas de eludir nuestra seguridad y nuestros procesos, incluso si cumplimos con nuestras políticas de seguridad. Por lo tanto, hay que adoptar la mentalidad de un hacker y comprender realmente cómo podemos ponernos a prueba a nosotros mismos, cómo podemos poner a prueba a nuestros proveedores para asegurarnos de que tenemos los máximos niveles de seguridad porque, en última instancia, estamos tratando de proteger los datos de nuestros clientes. Creo que esa es una de las prioridades clave del CISO. Somos los custodios de la confianza que nos han depositado nuestros clientes y es lo correcto. En muchas de las conversaciones que he mantenido, cuando las cosas no han ido por el camino de la seguridad, he hecho como si los clientes estuvieran en la sala. Imaginemos que uno de nuestros clientes está sentado en esa silla de allí. ¿Se sentiría cómodo y confiado con la forma en que estamos actuando? ¿Se sentiría cómodo y confiado con la forma en que gestionamos el riesgo? Esa es la prueba de fuego que siempre utilizo para comprender si estamos haciendo lo correcto de cara al futuro. Entonces, ¿qué opciones tenemos realmente para mejorar? ¿Verdad?
Brian Littlefair: Para poder mejorar, podemos invertir en herramientas, y ustedes saben que eso es absolutamente fundamental. Espero que muchos de ustedes estén hoy aquí en esta llamada porque saben lo bien que podemos hacerlo y lo que podemos mejorar para seguir avanzando. El mundo ha dejado atrás el mundo de Excel. Así que, si hoy están aquí pensando que enviamos cuestionarios manuales y que tenemos analistas que examinan los resultados, saben que si el analista A examina algo frente al analista B, podríamos acabar teniendo una perspectiva diferente sobre un proveedor. O si están aquí pensando que nosotros utilizamos un proceso, pero el departamento de compras utiliza otro, por lo que en realidad tenemos dos puntos de vista diferentes sobre el riesgo de un proveedor dentro de nuestra organización. Tenemos que empezar a armonizar esa visión. Por lo tanto, hay que invertir en herramientas, reconociendo que existen excelentes productos y capacidades que pueden ayudarle a obtener una visión rápida de un proveedor en el futuro. Y ya sabes que yo era cliente de Prevalent cuando era CISO y, desde mi perspectiva al dirigir una gran organización global con muchos proveedores nuevos que se incorporaban a diario, lo que realmente me gustaba era una pequeña anécdota: en aquella época utilizábamos Excel y procesos manuales, y la empresa solía acudir a nosotros y decirnos: «Mira, Brian, queremos iniciar una relación comercial con este proveedor, pero no sabemos nada sobre él, así que solo sabíamos lo que podíamos encontrar en Google, y ese era el reto. Luego teníamos que enviarles nuestro cuestionario y esperar a que lo rellenaran, y después teníamos que recuperar los resultados y analizarlos, lo que, francamente, podía llevar semanas. Ahora, eh, puedes iniciar sesión en una plataforma y, obviamente, hay miles de proveedores precodificados en esta plataforma.
Brian Littlefair: Así que ya estás partiendo de un gran avance, ya que dispones de mucha información que otros clientes han solicitado a este proveedor y, en realidad, lo quecreo que descubrirás que hay muy pocas preguntas adicionales que necesitarás para satisfacer tus propias políticas de seguridad o requisitos de riesgo y, entonces, tendrás una buena visión global de ese proveedor, lo que realmente acorta el proceso para concretar ese enfoque basado en el riesgo. Pero es absolutamente fundamental que llegues a ese punto y, lo que también me gusta, es que aporta ese ángulo de amenaza. Como he dicho, la posición de amenaza de un proveedor puede cambiar de un día para otro y no quieres descubrir que hay problemas con tu proveedor a través de Sky News o CNN o tu canal de noticias local, sino que quieres estar un poco más al tanto de la situación desde esa perspectiva. Así que el aspecto comunitario y esa visión colectiva de todos los que utilizan este proveedor o, igualmente, ese proveedor que comunica que ha tenido un problema y las notificaciones que puedes recibir te dan una visión casi en tiempo real de cuál es realmente el riesgo dentro de mi cadena de suministro en el día, porque si lo piensas desde el punto de vista de Excel, en realidad no descubrirías nada nuevo a menos que les enviaras otro cuestionario y lo analizaran. Así que creo que tenemos que dejar atrás ese mundo y, como se dice, dejar atrás también Excel, pero esa segmentación debe hacerse con cuidado y, como sabes, he trabajado con muchas organizaciones de compras y muchas partes interesadas del mundo empresarial y, francamente y con toda honestidad, mucha gente de negocios no quiere que su proveedor esté en el nivel uno porque entiende que eso supone una gobernanza adicional, un dolor de cabeza adicional, un papeleo adicional, pero somos nosotros, los que trabajamos con la empresa, los que tenemos que decidir qué hace que un proveedor sea de primer nivel, qué hace que sea de segundo nivel y qué hace que sea de tercer nivel. Y, francamente, eso va a ser diferente para cada una de las organizaciones que están escuchando esta llamada.
Brian Littlefair: No existe un conjunto de reglas único que realmente los clasifique. Pero hay algunos requisitos estándar, datos de clientes, acceso lógico y físico a nuestros entornos y todos esos aspectos. Por lo tanto, hay que acertar con el tarado y comprender cómo podemos utilizar nuestros escasos recursos de la forma más eficaz posible para dedicar tiempo de calidad a convertir esas relaciones de proveedor en una asociación en la que ellos comprendan claramente lo que esperamos de ellos y nosotros comprendamos su forma de trabajar. Creo que ese debe ser el objetivo. Hablemos un poco de métricas significativas. Este es un ejemplo, un ejemplo ofuscado, por supuesto, de algunas de las cosas que he visto en mi mundo de la consultoría. Y esto es solo una página, ¿verdad? Esta tabla seguía y seguía. Y esto estaba realmente en un paquete de la junta ejecutiva. Y algunos de ustedes pueden reconocer algo como esto, pero si lo usan de esta manera, no funciona. Esto se llevó a una reunión ejecutiva y se dejó en manos de los directores no ejecutivos y del equipo ejecutivo para que se desplazaran por los proveedores y un rojo y luego se desplazaran hacia arriba hasta un control y luego intentaran evaluar, ya saben, bueno, ¿quién es ese proveedor? ¿Qué hacen por nosotros? ¿Y qué importancia tiene este control? Y, obviamente, hay algunos rojos en los controles y hay un par de rojos en los proveedores. No se puede vivir en ese mundo. Es demasiado complejo y no se va a obtener una visión precisa del riesgo que le concierne. Es demasiado complicado. Lo miras y casi no ves el bosque por los árboles. Pero lo peor es que es estático. Esa imagen no va a cambiar sustancialmente.
Brian Littlefair: mes tras mes, y se necesitará un gran esfuerzo para actualizar esos conjuntos de datos correctamente, por lo que hay que ponerse en contacto con cada proveedor, mantener una conversación física o por correo electrónico con ellos para comprender en qué punto se encuentran en el control XYZ y cuáles son sus plazos y planes, y luego comprender bien si se trata de un rojo, un ámbar o un verde, y ahí es donde se puede quemar el recurso de un equipo, y ahíes ahí donde ves a los responsables de seguridad o de riesgos acudir a la junta directiva diciendo que necesitamos otras 10 o 20 personas, pero en realidad no es así, simplemente no has optimizado tu proceso, no has optimizado tus herramientas. En realidad, puedes manejar una cadena de suministro bastante compleja con herramientas modernas y un equipo bastante reducido si realmente adoptas las nuevas formas de trabajar y las nuevas capacidades y, de hecho, cuando pasé de los enfoques basados en Excel a herramientas como Prevalent, cuando era CISO, llevaba los paneles de control a la sala de reuniones y mostraba, ya sabes, este es el movimiento que hemos tenido. Aquí es donde creemos que se presentan los principales riesgos dentro de nuestra cadena de suministro. Y puedes empezar a tener esas conversaciones significativas. Puedes profundizar. Puedes hacer clic en proveedores individuales que sean motivo de especial preocupación o que creemos que tienen problemas normativos, y puedes discutir cuáles son las medidas de mitigación que se están aplicando actualmente y cuál será su impacto. Así que, obviamente, puedes ver cómo se pasa de una forma muy compleja y estática de presentar la información a una muy dinámica. Creo que eso realmente ayuda a fomentar ese compromiso con el equipo ejecutivo y creo que es muy importante entender para qué está ahí el equipo ejecutivo, obviamente el director general, el director financiero, el director de operaciones, etc., están ahí para dirigir la empresa, y cuando se está por encima de eso y se interactúa con la junta directiva, normalmente dependiendo del tamaño de la organización.
Brian Littlefair: Representan los intereses de los accionistas y, en muchos sectores, los directores no ejecutivos tienen responsabilidad personal y deben rendir cuentas de su propia situación financiera para garantizar que las cosas se hagan de forma adecuada y correcta y, obviamente, también representan los intereses de los accionistas. Por eso plantean retos, por eso piden mejoras, por eso piden que las cosas avancen y se preguntan si estamos haciendo las cosas bien y cómo lo están abordando otras empresas, y si hemos preguntado y nos hemos asegurado de que estamos abordando las cosas de la manera correcta, porque tenemos que madurar. Tenemos que ser capaces de seguir mejorando esa capacidad en el futuro, y ahí es donde surgen algunas de esas conversaciones a veces difíciles sobre el presupuesto y los recursos. Personalmente, me centraría en asegurarme de optimizar al máximo mi forma de trabajar, de adoptar la última tecnología y, luego, obviamente, subir y presentar una imagen muy clara, y creo que eso demostrará que te lo has tomado muy en serio y que puedes conseguir la aceptación y el apoyo para lo que intentas lograr en el futuro. Entonces, ¿cuáles son algunas de las métricas y mejores prácticas que deberías medir? Déjame explicarlo. Creo que, desde la perspectiva de la junta directiva y el equipo ejecutivo, las categorías generales se dividen en estas cuatro categorías en las que, como ya sabrás, puedes sintetizar todos tus KPI y todas tus medidas:
- Riesgo
- Amenaza
- Conformidad
- Cobertura
Brian Littlefair: Si realmente puedes comunicarte con los ejecutivos y la junta directiva de esta manera, no te equivocarás mucho en cuanto a conseguir su compromiso y hacer que comprendan realmente lo que estás tratando de lograr. El riesgo es, como he mencionado, el lenguaje universal de la junta directiva. No puedes entrar en una junta directiva o en un equipo ejecutivo y hablar de temas técnicos. El lenguaje técnico pierde su fuerza en cuanto sale del ámbito técnico.
Brian Littlefair: Y, en mi opinión, no muchos miembros de la junta directiva y equipos ejecutivos, dependiendo obviamente de la organización y la naturaleza de la misma, comprenden realmente los aspectos técnicos de lo que estamos tratando de lograr. Por lo tanto, si hay problemas técnicos y controles que fallan, debemos traducir eso en riesgo. Tenemos que traducirlo en amenaza. ¿Cuál es la probabilidad de que eso ocurra? Y desde el punto de vista de las amenazas, veo que muchas organizaciones tienen que tratar las amenazas como incidentes, y lo que quiero decir con eso es que en realidad no tienen la información sobre su base de suministro. Así que cuando hay una amenaza flotando por ahí y sale en las noticias algo como Blue Yonder o algún malware criptográfico que está circulando. No se puede responder a la pregunta de si nuestros proveedores son susceptibles a esto y al último desafío log 4j que hemos visto recientemente. Muchas organizaciones podrían responder a eso en un santiamén porque conocen la capacidad de sus proveedores. Conocen su régimen de parches. Saben qué tecnología se utiliza. Conocen su enfoque sobre el uso de tecnología de código abierto. Por lo tanto, podrían responder a eso muy rápidamente. Otros que tienen un enfoque más manual dijeron: «Bueno, tenemos que preguntar a 3000 proveedores. Tenemos que enviar nuestros correos electrónicos. Tenemos que esperar las respuestas». Así que, fundamentalmente, no entendemos cuál es nuestra exposición a las amenazas. Por lo tanto, se puede ver la ventaja de pasar a decir que sí, que necesitamos entender el riesgo, pero en realidad, necesitamos modelarlo a través de nuestra inteligencia sobre amenazas y nuestras fuentes de información sobre amenazas. Y el cumplimiento normativo, que ya hemos tratado, no va a desaparecer. Es un mal necesario, pero creo que ya sabes que el cumplimiento normativo se está estandarizando en todo el mundo y, en cierto modo, es algo positivo, porque hace que las organizaciones refuercen su seguridad. Sin duda, aquí en el Reino Unido, en los servicios financieros, las telecomunicaciones y las infraestructuras nacionales críticas.
Brian Littlefair: Los gobiernos de toda Europa están prestando mucha atención a las pruebas de resistencia de las empresas desde la perspectiva del red teaming o el hacking ético, alejándose de las políticas y los procedimientos y preguntándose: «Bueno, bueno, ¿cómo actuarías realmente si te hackearan o te atacaran?». Y, ya sabes, obtener esa información y ese aprendizaje es mucho más revelador sobre cómo avanzar desde una perspectiva de riesgo. Y luego, al obtener esa cobertura, he visto muchas veces cómo las organizaciones piensan que no se ven afectadas por un problema, pero en realidad sí lo están porque no han comprendido toda su huella desde la perspectiva de los proveedores o desde la perspectiva del riesgo geopolítico. Así que piensen en estos aspectos. Piensen en cómo se comunican con su junta directiva y si realmente encajan en estas áreas más amplias. Esta es mi última diapositiva antes de ceder la palabra a Scott y, como saben, queremos dejarles un tiempo prudencial para responder a algunas de las preguntas que nos están llegando. ¿Qué opino de algunas de las tendencias, dinámicas y futuros, y cómo afecta eso a la forma en que nos relacionamos con nuestros equipos ejecutivos y hacemos avanzar las cosas de forma positiva? La información estática está obsoleta. Correcto. Espero que hayan captado que esa es mi opinión personal, pero lo veo una y otra vez, y sé que habrá varias personas en esta llamada pensando: «Estamos utilizando un proceso estático. No estamos contentos con el uso de un proceso estático, pero no conseguimos el apoyo necesario para poder avanzar. Y esperemos que algunos de los argumentos en torno a que no se puede modelar la amenaza, que no se sabe lo que hacen los demás, que los datos quedan obsoletos en cuanto se recopilan, etc. Y, ya sabes, tus clientes esperan que te tomes la seguridad en serio.
Brian Littlefair: Sabes, tenemos que empezar a avanzar y adoptar algunas de las mejoras que se han introducido en esta tecnología para poder realmente obtener esa capacidad, y veo que cada vez más organizaciones reconocen que se necesita esa visión casi en tiempo real, y ya sabes, esos ejemplos que he utilizado a tu alrededor, no se gestionaría un centro de operaciones de seguridad con procesos manuales, nono se puede gestionar una plataforma manual de prevención de pérdida de datos, y todos esos aspectos y la gestión de riesgos de terceros no son diferentes: es un ejercicio de cálculo numérico y se necesitan herramientas y plataformas que ayuden a calcular esos números y eviten una visión en tiempo real o casi real de cuál es la exposición actual al riesgo. Y creo que sabes que las amenazas lo cambian todo. Y ya sabes que lo vi con mis propios ojos. Estaba en una misión comercial y de inversión en Israel y, como todo el mundo sabe, allí se desarrolla mucha tecnología de seguridad y, ya sabes, era una misión comercial y de inversión global y había CISO de todo el mundo y entonces llegó Blue Yonder. Y ya sabes que fue un incidente bastante catastrófico para algunos, pero no para todos. Y vi una gran variedad de respuestas a eso. Vi a gente corriendo hacia los aviones porque sus organizaciones matrices les llamaban para que regresaran porque todo se estaba derrumbando, y a gente que simplemente comprobaba algunas aplicaciones y decía que sí, que había una amenaza, pero que no creían que fuera un riesgo para ellos. Conocemos el estado de nuestros parches. Conocemos el estado de los parches de nuestros proveedores. Así que obtener esa visión en tiempo real puede, en realidad, evitar costes significativos, inversiones significativas o, sin duda, compensarlos, porque no hay que tratar cada amenaza como algo instantáneo y, desde esa perspectiva, también se pueden impulsar las cosas. Así que les agradezco su tiempo. Gracias por su tiempo. Veo que están llegando muchas preguntas. Voy a ceder la palabra a Scott, que les hablará de unas cuantas diapositivas sobre la plataforma predominante y luego pasaremos a la ronda de preguntas y respuestas. Scott, te cedo la palabra.
Scott Lang: Hey, that’s great. Thanks so much, Brian. And if you could advance to the next slide, please. Um, you know, one of the big takeaways that I took for Brian’s presentation is the inherent level of complexity to understand risks as they are presented to the organization in whatever format at whatever stage of the third party life cycle that your vendor suppliers are in and then presenting that meaningfully back to decision makers, leaders, executives, board members or whatever. That takes a solution that addresses risks at those different levels. You know, the last thing you know we want to end up doing or that you want to end up doing is presenting a set as Brian said of disperate data that doesn’t really tie together or make any sense or you know doesn’t have any kind of context to it and that’s how and what prevalent specializes in is the context that you need to understand risk at every one of these stages and present it in a meaningful way back to you know senior leadership in the organization not just to manage you know ongoing incidents but also to show proactivity and discipline and rigor in the process uh to address potentially um you know compliance and audit requirements as well. And that approach has some some derivative benefits as well, including less cost and risk when you’re selecting new vendors. If you’ve got good visibility into the risk postures that those vendors bring, uh, inherently um, you know, a faster onboarding process to, you know, as you get more intelligence and insight over a vendor’s, you know, security and data protection and business resilience policies, you know, you reduce some downstream risk by getting that picture early on in the cycle. Um, um, You know, the next piece of it is not just looking at the periodic risk assessments that you do during uh onboarding and due diligence or during contract renewal, but perhaps you know in between those uh you know detailed internal controls assessments. What type of intelligence do you need to make sure you’re on top of whatever you know persistent threats that you know uh that you’re facing in your extended supply chain and then incorporate that context, collate it and then you know be able to use it to validate the presence of internal controls. at those vendor sites or validate that you know they they’ve got the right policies in place. Um uh and then it also extends to uh you know a vendor’s ability to deliver. It’s not just about um you know a cyber security, information security, data privacy, business resilience problem that a vendor or supplier could face. It’s also about their ability to just simply deliver on expectations whether those would be KISS uh KPIs the things that that that Brian has has presented on thoroughly in the past. And then finally, you know, the risk stage that most companies just don’t pay enough attention to is offboarding and termination. We do tons of due diligence before selecting vendors. We, you know, assess the inherent risks that those folks bring to our organizations. We deliver good reporting. We we, you know, recommend remediations. You know, we follow them through the life cycle. But then when that relationship ends, um, you know, very seldom does an organization follow that prescriptive process to say, okay, you know, what are your data destruct destruction policies. Is our data destroyed? Have final payments been made? Have we met all of our reporting obligations? And more. You know, all of these types of things are going to come up at some point from a board when an offboarded vendor, for example, uh suddenly becomes a a risk because, you know, they didn’t follow the proper protocols to destroy your data, for example. And this has benefits throughout the enterprise from procurement to security to risk management to compliance and more. Next slide, please, Brian. Um you know what I think you’ll find um in in in the prevalent approach is that we you know absorb, assess and analyze risks from literally hundreds and thousands of different sources. Not just completed assessments that vendors complete but also you know half a million sources of um outside or external threat intelligence and we bucketize those into you know these six buckets that you see in front of you. Now these are just representations. Yeah, there’s more than this. Um it’s all I could fit on a on a slide. Uh but we look at risk holistically, not just uh the most obvious data privacy and protection risks, but we also look at things like health and safety and ESG ratings and more. So you have a full view of the risks that those vendors, suppliers and third parties are presenting your business. So when there’s a a reputational problem for a supplier who’s been using, you know, forced labor overseas to um produce, you know, an input into your process, you know, you you will have that visibility. to be able to respond to it accordingly. Next slide, please, Brian. You know, at the end of the day, our process is really three-fold. What we’re trying to help you accomplish is this is that, you know, we help make you smarter with a datadriven, comprehensive, and contextual approach to risk intelligence. Give you the inputs that you need uh to make, you know, good uh risk based decisions. Unify what normally is a whole disparate set of siloed tools that are used to kind of consume this information report on it uh and unified into one solution to to you know so everybody’s singing from the same himnil as we say and finally be very prescriptive in our approach with built-in intelligence risk response and plans remediation guidance and more to you know accelerate the process of thirdparty risk management and reporting you know to the board and executives and ultimately kind of close the loop on um on those potential risks could impact your environment and really that’s it that’s our approach is, you know, how we take information from all these disparate sources, uh, you know, translate it into a meaningful, uh, fashion that you can utilize and then that translates to, you know, actionable steps to take to remediate risk, uh, down on the other side. So, that’s our approach. Uh, Amanda, I’ll pop it back over to you if you want to open it up for questions.
Amanda Fina: Sí, claro. Yo también tengo una pregunta para la encuesta que voy a poner en la pantalla. ¿Están pensando en establecer un programa de gestión de riesgos de terceros en 2022? Tenemos curiosidad por saberlo. Por favor, sean sinceros con su respuesta. Al principio de la sesión hicimos una pregunta que le voy a pasar a Brian. Juliana preguntó: «¿Consideran que la gestión de riesgos de terceros y las adquisiciones son departamentos independientes con canales independientes hacia la junta directiva?».
Brian Littlefair: Sí. Bueno, yo sí. Sí. Quiero decir, obviamente hay cierto solapamiento en términos de lo que, desde una perspectiva de riesgo, la seguridad y las compras intentan ofrecer, pero luego hay otras áreas importantes en las que no hay solapamiento, así que las compras están ahí para comprar productos y servicios, ya sabes, para obtener un aprovechamiento eficaz desde el punto de vista del gasto, así que creo que necesitan su propio canal de comunicación con la junta directiva. Lo que creo que nono funciona desde el punto de vista del riesgo si obtenemos dos visiones únicas o dos visiones diferentes del riesgo desde la perspectiva del proveedor, y lo que veo que ocurre a menudo es que las organizaciones, especialmente las más grandes, utilizan grandes plataformas ERP en su espacio de compras y, obviamente, hay capacidades para hablar de los proveedores y de las interacciones con ellos, y a veces se utilizan para evaluar el nivel de riesgo y esos aspectos. Lo que tenemos que hacer es armonizar o integrar esas plataformas para tener una visión única del riesgo de los proveedores en toda la organización, porque si el departamento de compras tiene una visión y el de seguridad tiene otra y nunca se ponen de acuerdo, no creo que sea bueno desde el punto de vista empresarial no tener esa alineación y acuerdo. Así que creo que deberías ver el seminario web que hice sobre compras, porque habla de cómo el director de compras y el director de seguridad tienen muchos objetivos en común y lo que intentan conseguir, y creo que eso sin duda te ayudará a cristalizar mis ideas y a saber cómo puedes converger ese canal de comunicación con la junta directiva, ¿verdad?
Amanda Fina: Si te interesa ese seminario web y quieres verlo y acceder rápidamente, solo tienes que enviarme un correo electrónico. Mi dirección de correo electrónico aparece en este hilo de chat. Estaré encantada de buscártelo. La siguiente pregunta es para Brian. ¿Podrías hablar brevemente sobre las mejores prácticas para clasificar la importancia de estos proveedores externos?
Brian Littlefair: Sí, lo que quiero decir es que todo se reduce a lo que hacen por ti y al impacto que eso puede tener en la organización matriz. Probablemente sea un mal ejemplo, pero todas las organizaciones necesitan adquirir suministros de cocina, suministros de baño y todo ese tipo de cosas. Van a ser proveedores de tu organización y proveedores estratégicos, pero no necesariamente presentan el mismo nivel de riesgo que alguien que gestiona tus centros de datos. Por lo tanto, es importante categorizar correctamente para saber dónde vas a dedicar la mayor parte de tu tiempo. Pero, del mismo modo, lo que diría al final de este ejemplo es que he visto organizaciones que han sufrido violaciones de seguridad por parte de su proveedor de cocina, ¿verdad? Porque sabes que hay una conexión dedicada entre las dos organizaciones. Así que, desde luego, no estás descartando ni ignorando a las organizaciones de un nivel inferior. Seguirás exigiéndoles que tengan un cierto nivel básico de seguridad, pero hay que reconocer que no se puede controlar a todos los proveedores desde el punto de vista de la seguridad, o al menos no se puede. Y por eso hay que seguir promoviendo herramientas como las quehoy, porque una vez que los hayas categorizado, puedes empezar a obtener esa información sobre amenazas, saber cómo se toman en serio la seguridad, si es probable que supongan un riesgo, así que creo que sabes que categorizarlos es realmente importante: tener acceso a nuestra red, tener acceso a nuestro modelo de datos de clientes, modelar los datos de nuestros clientes en nuestro nombre, interactuar con nuestros clientes en nuestro nombre, sabes que son de vital importancia y, a partir de ahí, ir bajando.
Amanda Fina: Por supuesto, y también tenemos algo similar aquí, si eso es lo que busca inicialmente, y sin duda podemos hablar de ello. Si quiere averiguar cómo perfilar y evaluar a sus proveedores, póngase en contacto con nosotros. Sería estupendo. La siguiente pregunta es para Brian. De acuerdo. Los evaluadores de riesgos suelen basarse en informes de calcetines para evaluar los controles de los proveedores. ¿Es este un buen enfoque, como crítico? Oh, no, eran dos preguntas diferentes. Lo siento. Esa era la segunda parte de la otra. Déjame repetir esta otra vez. Pregunta para Brian. De acuerdo. Los evaluadores de riesgos suelen basarse en informes de calcetines para evaluar los controles de los proveedores. ¿Es este un buen enfoque?
Brian Littlefair: Creo que es un enfoque razonable. Y, sabes, simpatizo con Google, AWS, HP y demás empresas de este mundo, ¿verdad? Porque, si lo piensas bien, tienen decenas de miles de clientes. Cada uno de esos clientes quiere evaluar su seguridad, su enfoque y cómo gestionan las cosas. Todo el mundo quiere tener derecho a auditar todos estos aspectos, pero es imposible hacerlo porque hay clientes que comparten entornos si no han pagado por entornos dedicados. Hay centros de datos con datos de otras empresas, etc. Por lo tanto, no pueden abrir sus puertas a todo el mundo para que entre y vea cómo están conectados los cables, etc. Creo que ahí es donde los informes Sock y Sock Two, etc., cobran importancia, porque te dan una comprensión básica de cómo abordan la seguridad y la seriedad con la que se la toman, cuáles son algunos de los retos y problemas que han tenido, pero yo no me basaría únicamente en los informes Sock, y creo que ahí es donde, de nuevo, en esos aspectos, puedes obtener esa información abiertaque te permite comprender bien que dicen que hacen esto en su informe Sock, pero han tenido una vulnerabilidad pública durante 30 días y su política dice que deberían haberla solucionado en 24 horas, así que, ya sabes, puedes pedir cuentas a la gente por sus informes Sock utilizando plataformas como esta, porque, ya sabes, lo que la gente dice y lo que hace a veces es diferente. Y ahí es donde yo personalmente utilizo esas capacidades. Pero, ya sabes, ese es mi ejemplo de, ya sabes, si una gran organización tiene que dar servicio a muchos clientes, ahí es donde, ya sabes, los requisitos flexibles son, ya sabes, necesarios y requeridos, ¿verdad?
Amanda Fina: Otra cosa en la que ayudamos, solo estoy haciendo publicidad descarada. Publicidad descarada aquí.
Brian Littlefair: Sí. Te estoy preparando el terreno. Correcto.
Amanda Fina: Por supuesto. Bueno, parece que esas son todas las preguntas que tenemos para ustedes dos. ¿Alguien más tiene alguna pregunta sobre los recursos o quiere las diapositivas? Sé que muchos de ustedes las han pedido o quieren ver otras cosas que hemos hecho con Brian y en las que hemos destacado a Brian. Por favor, pónganse en contacto conmigo. Estoy intentando ponerme al día. Pero voy a poner mi correo electrónico una vez más. Si alguien quiere hablar sobre cualquier tema que hayamos tratado, no dude en ponerse en contacto conmigo para que tenga a alguien con quien hablar directamente. Y creo que eso es todo. Creo que vamos a terminar cinco minutos antes. Para que puedan disfrutar un poco más de su día. Les agradezco mucho a ambos. Siempre es un placer verte, Brian. Siempre es un placer verte, Scott.
Brian Littlefair: Genial. Gracias a todos. He disfrutado mucho con el debate. Muchas gracias.
Scott Lang: Muchas gracias.
Amanda Fina: Adiós.
Scott Lang: Adiós.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.