¿Qué requisitos de cumplimiento normativo global se deben utilizar para la gestión de riesgos de terceros (TPRM) y cómo?

Amy: Muy bien, estamos en directo. Bienvenidos a todos. Mientras van llegando al seminario web de hoy, voy a lanzar una pregunta rápida. Si ya han participado en nuestros seminarios web habituales, suelen ser dos. La primera pregunta es, mientras esperan, ¿qué les ha llevado a participar en nuestro seminario web de hoy? Quizás sea por motivos puramente educativos. Quizás tengan un proyecto de gestión de riesgos de terceros en marcha y tengan preguntas y quieran escuchar la opinión de algunos expertos. Quizás no estén seguros de dónde se encuentran. Pero si quieren aprender más sobre el cumplimiento normativo global y los requisitos, deberían quedarse, o quizás ya sean clientes habituales. En cualquier caso, gracias por unirse a nosotros. Muy bien, tómense un momento para responder. Voy a repasar algunas cuestiones de organización y presentaré a nuestro anfitrión. Verán que Brian Littlefair nos guiará durante la mayor parte de nuestro seminario web de hoy, titulado «Qué requisitos de cumplimiento normativo global se deben utilizar para la gestión de riesgos de terceros y cómo». Brian Littlefair es el director ejecutivo de Cambridge Cyber Advisors y antiguo director de seguridad de la información global de Vodafone Group y Aviva. Gracias por acompañarnos. Brian, espero que estés teniendo un buen día.

Amy: Y este otro encantador caballero que verán aquí, Scott Lang. Es el vicepresidente de marketing de productos de Prevalent. Lo escucharán más hacia el final de la presentación. Y para que todos lo sepan, realmente queremos que esto sea interactivo. Por lo tanto, tienen el micrófono silenciado y las cámaras apagadas, pero por favor, envíennos cualquier pregunta que tengan utilizando la función de preguntas y respuestas que se encuentra en la parte inferior del seminario web o la función de chat también está bien. Y para que lo sepan, tendremos un tiempo para preguntas y respuestas al final. Así que, si tienen alguna pregunta, por favor envíenmela. Me aseguraré de transmitirlas a este encantador caballero. Además, esto se está grabando, así que si tienen que marcharse y no pueden quedarse hasta el final, se lo enviaremos a su bandeja de entrada a primera hora de mañana. Muy bien, creo que no se me olvida nada más, así que le cedo la palabra a Brian. Espero que estén pasando un buen día. A ti también, Scott. Y gracias a todos por participar.

Brian Littlefair: Genial. Gracias, Amy. Hola a todos. Es un placer poder volver a hablar con ustedes. Espero que algunos de ustedes hayan participado en los seminarios web anteriores que he impartido. Creo que este es realmente interesante porque, como saben, el cumplimiento normativo solo va a aumentar para todos nosotros a nivel mundial y creo que saben que es algo con lo que tenemos que sentirnos cómodos y, como saben, todos sabemos lo complejo que puede ser gestionar la cadena de suministro y, cuando se superponen el cumplimiento normativo y la regulación a la cadena de suministro, se convierte en un reto cada vez mayor, por lo quehoy vamos a intentar desentrañar un poco eso y, basándome en mi experiencia, voy a intentar explicarles cuáles son algunos de los retos a los que me he enfrentado y cuáles son algunas de las cosas que veo al asesorar a mis clientes. Ya hemos hecho una presentación mía, así que eso está muy bien. Vamos a entrar directamente en materia. Como he dicho, creo que el cumplimiento normativo solo va a ir en una dirección. En los últimos años, creo que los requisitos de cumplimiento normativo a nivel mundial han aumentado drásticamente. Asesoro a algunas organizaciones multinacionales bastante grandes, así como a empresas más pequeñas. Pero si eres una gran multinacional que opera en varias jurisdicciones de todo el mundo, tendrás que empezar a cumplir una gran cantidad de requisitos normativos y de cumplimiento, y eso solo va a aumentar. No va a disminuir. Hace unos años, en mi opinión, los equipos de seguridad, cuando realizaban controles de garantía de la cadena de suministro, marcaban unas cuantas casillas, comprobaban unas cuantas políticas, obtenían algunos datos probatorios que les daban cierta garantía de que estaban haciendo lo que decían que hacían en sus políticas y realizaban algunas comprobaciones básicas de los antecedentes de los propietarios de la empresa y todos esos aspectos. Ahora creo que tenemos que llevar a cabo un proceso muy complejo. Tiene que ser casi en tiempo real. Tenemos que alejarnos del mundo de las hojas de cálculo y Microsoft Excel. Sin duda, Excel tiene un papel que desempeñar en los negocios, pero, en mi opinión, definitivamente no es en la garantía de terceros. Tenemos que adentrarnos en los datos.

Brian Littlefair: Tenemos que ser capaces de manipularlo de formas que una hoja de cálculo no puede. Para muchas organizaciones, creo que la huella de los proveedores es enorme y sigue creciendo. Ya sabes, 1000, 2000, 4000, 5000 proveedores dentro de su huella de proveedores. Y ya sabes que eso puede ser bastante abrumador en términos de tener que dividirlos y clasificarlos en los niveles clásicos y comprender dónde centrar lo que será un nivel muy limitado de capacidad presupuestaria de recursos dentro de tu organización para llegar a esa panacea dorada que todos persiguen y comprender de manera holística el perfil de riesgo que tu cadena de suministro presenta a la organización matriz. Pero sigo viendo a mucha gente utilizando hojas de cálculo. Es algo que veo con bastante frecuencia. Cuando vamos a consultar y hablamos de terceros, así como de otras cosas, aparece el temido Microsoft Excel y, como sabes, varios miles de filas de largo y varios cientos de columnas de ancho que se utilizan para encapsular la información que se recopila del cuestionario anual que se distribuye, y creo quees en parte por eso por lo que estamos recibiendo muchas regulaciones y requisitos de cumplimiento. Sabéis que la regulación quiere que demos un paso adelante, quiere que mejoremos la seguridad de nuestras organizaciones y, por lo tanto, es por eso por lo que regulan. Dicen que hay que hacerlo de esta manera. Queremos que seáis mejores. Queremos que mejoréis cómo van las cosas. Así que creo que tenemos que madurar esa capacidad internamente. Tenemos que aceptar que tenemos que adelantarnos a los acontecimientos en este sentido. Y creo que todos tenemos que comprender plenamente la cadena de suministro, pero tenemos que comprenderla a diario, no con un cuestionario anual. Así que creo que lo que estoy viendo en este momento con mis clientes y con los clientes a los que asesoro, creo que el cambio más fundamental que he visto en la última década es el intercambio de mejores prácticas y conocimientos entre los reguladores. Antes estaban muy aislados. Cuando dirigía grandes multinacionales globales, simplemente no se comunicaban entre sí. No existían relaciones intergubernamentales que facilitaran el diálogo y el intercambio de información entre los reguladores sobre cómo iban a regular sus mercados individuales.

Brian Littlefair: Pero ahora lo que estamos viendo es que están compartiendo. Están colaborando en todo el mundo. Los más maduros están enviando a sus equipos para asesorar y consultar en los países que se están desarrollando en este ámbito y compartir su información sobre las mejores prácticas. Ya sabes, esto es lo que hemos aprendido en nuestro camino. Así es como te recomendamos que lo abordes. Esto es lo que te recomendamos que busques. Estos son los resultados de nuestra prueba. Así que toda esa información se está compartiendo. Y creo que eso solo puede ser positivo. Creo que las organizaciones se enfrentan a esta ola de nuevas regulaciones sin comprender realmente todos sus datos. Y hago hincapié en «todos» porque, a menudo, cuando estoy en las organizaciones, me dicen: «Oh, tenemos todos estos datos estructurados». Pero luego hay un montón de lo que ellos llaman datos no estructurados, que, como sabes, nadie se atreve a tocar porque son demasiado complejos. No los entienden. No han podido clasificarlos. No saben qué son. Ni siquiera saben si deben conservarlos o deshacerse de ellos. Y creo que ese es el reto. La normativa nos obliga a comprender todos nuestros conjuntos de datos, no solo los que hemos podido clasificar mediante herramientas automatizadas, sino que hay que comprender todos los datos que se tienen. para poder saber si se puede cumplir con la normativa. Creo que la seguridad de terceros se considera un proceso crítico para la mayoría de las organizaciones, pero, sinceramente, no todas. Vemos algunas organizaciones muy maduras que han invertido en los procesos correctos, las herramientas correctas y los recursos correctos para poder ejecutar este proceso de forma eficaz, pero también vemos algunas organizaciones y empresas bastante grandes que intentan ejecutar un programa de garantía de terceros con, ya sabes, dos o tres empleados a tiempo completo, dos o tres personas, y una hoja de cálculo de Microsoft Excel. Y eso nunca le llevará a comprender su posición de riesgo en la cadena de suministro. Y, ya sabe, esa falta de recursos en términos de personal y herramientas es una tendencia que espero que empiece a desaparecer con el tiempo.

Brian Littlefair: Y estamos empezando a ver, sin duda, lo que vemos dentro de mi empresa, estamos empezando a ver cómo la gente adopta las nuevas tecnologías y capacidades que están surgiendo en este ámbito. Así que eso es realmente positivo. Y creo que esta diapositiva destaca lo que estamos empezando a ver en términos de cierta convergencia. Cuando dije que cuando empecé en el ámbito de la seguridad, era difícil encontrar puntos en común entre los reguladores o cualquiera de los marcos de cumplimiento. En todas partes del mundo eran diferentes y cada uno hacía las cosas de manera diferente y, de hecho, creo que lo hacían intencionadamente. Si un país quería un widget rojo, el otro país quería el widget verde, ¿verdad? Por lo tanto, era muy difícil saber si los programas de cumplimiento y los programas de garantía de terceros se encontraban dentro de la función de seguridad o dentro de la función legal. En realidad, no supone una gran diferencia, pero, en última instancia, era realmente difícil entender que tenía que cumplir con esta legislación, ya que dirigía un negocio global, y cómo hacerlo en un panorama normativo tan complejo, lo que provocaba algunas situaciones difíciles dentro de las organizaciones. Pero ahora creo que uno de los grandes impulsores son las organizaciones multinacionales globales y la proliferación de la externalización y la internalización por parte de determinados países y regiones, lo que realmente ha impulsado el inicio de la convergencia en normativas similares y

Brian Littlefair: y marcos de cumplimiento en todo el mundo. Y solo he elegido un par aquí. Supongo que hoy la audiencia es predominantemente estadounidense. Así que cosas como la CCPA y, en Europa, tenemos el RGPD y, fundamentalmente, intentan lograr lo mismo, lo cual es bueno. Los ciudadanos quieren poder entender dónde se utilizan sus datos. Creo que es algo totalmente razonable y, en parte, la razón por la que estos reguladores entraron en escena y empezaron a aplicar algunas de estas normas es que, sinceramente, las organizaciones no les daban esa opción. Era bastante difícil saber qué datos tenía una organización sobre ti. Era un proceso bastante largo y engorroso. Y la gente quiere tener esa opción.

Brian Littlefair: Lo vemos cada vez más. Así que, ya sabes, entra en vigor la normativa, se aplica a diferentes ámbitos y diferentes regiones. Todos ellos tienen sus propios matices, pero hay un solapamiento significativo que devuelve el poder al ciudadano y al individuo, de modo que pueden empezar a tomar decisiones sobre quién tiene acceso a sus datos, cómo se manipulan o gestionan esos datos, y tienen derecho a optar por participar o no en determinadas campañas de marketing y otras iniciativas que pueden querer recibir o no. Y, sin duda, una de las cosas que he aprendido al encargarme de la seguridad de grandes empresas es que, cuando se mira a nivel mundial, la privacidad es muy diferente culturalmente. No voy a nombrar países concretos, pero cuando vas a un país, se toman la privacidad muy en serio, y cuando vas a otro, no tanto, así que se trata de un reto muy geográfico quetenemos que resolver, pero sin duda el área clave en la que se centran los reguladores es la de los datos y, en mi opinión, han adoptado un enfoque muy sectorial, por lo que, sin duda, en el Reino Unido y Europa fue el sector de los servicios financieros el que se convirtió en el centro de atención en primer lugar, con un entorno regulatorio muy estricto, y eso se está extendiendo a lo que llamamos infraestructura nacional crítica en las distintas áreas, centrándose en las telecomunicaciones, farmacéutica, la energía, los servicios públicos y todos esos aspectos que obligan a mejorar la seguridad en esas disciplinas individuales, y eso se extenderá, obviamente, centrándose primero en los grandes actores, pero eso solo va a repercutir en las organizaciones más pequeñas. Así que, si trabajas para una organización más pequeña y piensas que esto no te afecta porque no tienes unos ingresos de 25 millones de dólares estadounidenses, etc., te afectará.

Brian Littlefair: Estoy muy seguro de eso, pero primero tienen que ocuparse de los peces gordos y, obviamente, luego esperarán que todos den un paso adelante para estar al mismo nivel, pero existe ese enfoque global en mejorar la seguridad de los datos, pero creo que en todo el mundo y yo...en un momento mostraré una diapositiva que muestra el tipo de madurez centrada en los datos. Creo que muchas organizaciones, perdón, muchos países están empezando desde un punto de partida bajo, ya que la seguridad de los datos no era algo importante porque la privacidad no es algo importante, pero creo que eso está empezando a cambiar con la generación de los millennials que están llegando, la generación X, la generación Y, la generación Z, etc., que son muy consumidores de datos. Están muy acostumbrados a consumir datos e interactuar con ellos. Por lo tanto, son mucho más conscientes de que no les gusta que la empresa X o la empresa Y hagan esto con sus datos. Quieren tener control sobre ello. Y eso es lo que realmente está impulsando algunos de los cambios que estamos empezando a ver. Y creo que se puede afirmar con seguridad que, desde la perspectiva de las empresas, la introducción de regímenes de cumplimiento como el RGPD o la CCPA ha supuesto un cambio bastante fundamental para las empresas. No es algo fácil ni rápido. No es un ejercicio de marcar casillas en el que simplemente se dice: «Haz esto y haz aquello». Hay que revisar realmente la organización de principio a fin para comprender bien cómo se cumple con ello. ¿Cuáles son nuestros retos? ¿Con qué cumplimos ya? ¿Cuáles son las lagunas? Y algunas de esas lagunas han tardado mucho tiempo en mitigarse, sin duda en lo que respecta al RGPD. Ha supuesto un cambio fundamental en el funcionamiento real de las empresas.

Brian Littlefair: Y, desde la perspectiva del RGPD, cuando la gente decía que cumplía con la normativa, en realidad no era así, era un proceso en el que estaban inmersos, avanzando hacia el cumplimiento y haciendo lo necesario para lograrlo. Desde la perspectiva de Estados Unidos, cuando miramos el RGPD, muchas veces, cuando accedo a un sitio web estadounidense, aparece un banner que dice: «Veo queestás intentando acceder a este sitio web desde Europa, no queremos cumplir con el RGPD, así que no te vamos a mostrar nuestro sitio web y, obviamente, en EE. UU., no sé si sabes que eso ocurre realmente, pero ocurre. Y ya sabes, prefieren no tener a ese visitante en su sitio web antes que tener que pasar por el dolor de cabeza que supone cumplir con el RGPD. Obviamente, eso no es lo mismo para todas las organizaciones estadounidenses, pero ocurre. Es frecuente ver aparecer ese banner. Por lo tanto, creo que el tema clave que estamos empezando a ver es la aparición de normas globales sobre datos. El derecho de los ciudadanos a controlar y decidir qué datos tiene esa empresa sobre ellos. El derecho a decidir qué quieren hacer con ellos, y creo que eso solo va a proliferar a medida que avancemos. Aquí podemos ver una pequeña sección de los requisitos de cumplimiento globales que están en circulación en este momento y cómo cada país de una región se expande y comienza a comerciar con los ciudadanos de ese país, entonces, obviamente,vamos a entrar en el ámbito de aplicación de los requisitos normativos de ese país y, volviendo al ejemplo de la página web de EE. UU., ellos no quieren cumplir con el reglamento EGDPR, por lo que simplemente van a bloquear el acceso a los visitantes de esa región. Eso puede estar bien para un sitio web, pero una gran multinacional global que quiere vender sus productos, vender sus servicios e interactuar con los ciudadanos de esos países, tiene que adoptar un punto de vista muy diferente. Tiene que acatar la ley al pie de la letra. Tiene que asegurarse de que está gestionando todos los datos de acuerdo con esas normativas. Pero, ya sabes, tengo mi opinión y la respeto plenamente.

Brian Littlefair: Es una opinión que quizá no todos los participantes en la llamada compartan, pero creo que la regulación es algo positivo y lo analizaremos con más detalle más adelante. En mi opinión, los reguladores responden a las demandas de los ciudadanos o a incidentes o infracciones. Ven que algo está pasando y no están contentos con los avances. Por eso intervienen y regulan. Dicen: «Tenéis que hacer esto ahora. Si queréis seguir operando, si queréis seguir con vuestro negocio, así es como queremos que se haga». Y, como he dicho antes, la regulación no va a desaparecer. Por lo tanto, debemos dotar a las organizaciones y a nuestros propios equipos internos de las capacidades y herramientas que les permitan gestionar eficazmente la exposición al riesgo dentro de su negocio y, como sabes, eso satisfará por defecto los requisitos normativos. Veo con demasiada frecuencia que la gente se limita a cumplir la letra de la ley desde el punto de vista normativo, pero en mi opinión, y sin duda en los equipos que he dirigido, lo hemos tomado como el mínimo indispensable, ya sabes,es el mínimo que vamos a conseguir, pero, obviamente, queremos hacer lo correcto para nuestros clientes, por lo que queremos poder partir de ahí y demostrar que cumplimos estrictamente con esas regulaciones, no solo con lo mínimo. Aquí podemos ver la madurez de uno de los tipos de países de todo el mundo. Podéis ver, por el color rojo, dónde hay una fuerte regulación. Podéis ver toda Europa, Norteamérica, Canadá, China y las regiones de Australasia. Sabéis que tienen procesos muy sólidos y exhaustivos para proteger los datos de sus ciudadanos. No siempre fue así, y sin duda antes de que entraran en vigor la CCPA, el RGPD, etc., sé que toda Europa tendría colores drásticamente diferentes, pero con una legislación a escala europea, todo el mundo tenía que cumplirla y todos tuvieron varios años para poner en marcha sus organizaciones y asegurarse de que los procesos, la tecnología, la presentación de informes, la gobernanza, todo estuviera en su sitio. Así que creo que esto empezará a colorearse de rojo a medida que avancemos.

Brian Littlefair: Cada uno tiene un punto de partida diferente desde el punto de vista de la privacidad y la madurez. El país en el que presto servicios de consultoría y las empresas con las que trabajo, incluso en la región africana, donde actualmente no hay nada previsto, empezando por Sudáfrica y madurando en toda la región africana, y creo que, como sabes, las multas son obviamente lo más importante queimpulsa a las organizaciones a cumplir, pero, en realidad, cada vez se ve más madurez en las salas de juntas y se dice que, en realidad, no se está pidiendo nada extraño, no se está pidiendo nada fuera de lo normal, se trata de garantizar que las organizaciones tengan un control eficaz sobre sus datos, que entiendan qué son sus datos y con quién los comparten. Por lo tanto, lógicamente, en mi opinión, tiene mucho sentido. Y si hablamos del RGPD durante unos segundos, bajo el RGPD, la autoridad puede imponer multas bastante significativas. Son de hasta 20 millones de euros, lo que equivale a unos 20,5 millones de dólares o al 4 % de la facturación mundial de esa organización en el ejercicio financiero anterior. Eso es bastante alto. Puede tener un impacto considerable. El RGPD entró en vigor antes que la CCPA. Lleva en vigor desde mayo de 2018. Desde entonces, se han impuesto alrededor de 800 multas en toda la región europea, como se puede ver en el centro, indicado en rojo. Y aunque el Reino Unido ha abandonado efectivamente Europa desde el punto de vista del Brexit, seguimos estando sujetos a esta legislación del RGPD. Si nos fijamos en algunas de las multas más elevadas que se han impuesto, la mayor hasta la fecha es la de Amazon. Obviamente, tenían unos ingresos superiores a los 20 millones de euros. Por lo tanto, recibieron una multa de 746 millones de euros. Y les multaron por dificultar o complicar a los usuarios que visitaban su sitio web en Europa la posibilidad de rechazar sus cookies. Ya sabes, no era tan transparente como debería ser. Era difícil.

Brian Littlefair: Sabes que hiciste clic en «Rechazar» en el sitio web de cookies y te aparecieron numerosas pantallas complejas que debías completar, simplemente porque Amazon se centra en recopilar tantos datos de los clientes como sea posible y, si todo el mundo opta por rechazar sus cookies, les resulta más difícil cumplir con la normativa. Así que se les impuso esa multa, pero creo que sabes que otros países van a ponerse al día, que se van a imponer más multas, como he dicho, simplemente están en su propio proceso de maduración y, como he dicho, creo que este mapa va a empezar a colorearse bastante rápido, así que tengo el placer de consultar y asesorar a organizaciones de diferentes formas y tamaños, como he dicho al principio, y la garantía de terceros es, ya sabes, uno de los principales problemas de la agenda. A menudo es uno de los temas clave que discutimos en las juntas directivas. Es, ya sabes, una de las principales preocupaciones de los equipos de seguridad y jurídicos. Y eso es por una razón, ¿verdad? Es, ya sabes, uno de los riesgos más difíciles de cuantificar y gestionar, dependiendo del proceso, las herramientas y las capacidades de los equipos con los que se cuenta. Pero si realmente relacionas esos retos con los boletines de seguridad, yo leo todos los boletines de seguridad que publican las agencias de seguridad. Tanto si se trata del GCHQ aquí en el Reino Unido como de la NSA en Estados Unidos, hay temas comunes que surgen porque todos luchamos contra un adversario común utilizando herramientas similares, capacidades similares y métodos similares en todo el mundo. Así que esos mensajes y comunicaciones tienen, obviamente, algunos mensajes comunes que he intentado plasmar en esta diapositiva, y no podemos hacer una presentación en este momento sin mencionar la temida palabra COVID, y creo que saben que no solo ha cambiado la forma en que operan las empresas con cosas como el teletrabajo, sino que también ha supuesto un aumento sin precedentes de los ataques a la seguridad, y saben que ese es un tema clave que se desprende de los mensajes.

Brian Littlefair: El nivel de los ataques, su sofisticación, todo aumentó exponencialmente y las organizaciones vieron cómo se escaneaba y se sondeaba su infraestructura y, obviamente, cómo sus trabajadores desde casa eran víctimas de phishing, smishing o vishing, llámese como se llame, pero ya se sabe que los atacantes estaban en su apogeo precisamente porque las organizaciones habían cambiado drásticamente y sus políticas habían dejado de ser relevantes, ya que todo el mundo trabajaba desde casa. Se introdujeron rápidamente nuevas tecnologías. Se enviaron mensajes confusos, pero genuinos, a los empleados en términos de «aquí hay un nuevo software que deben usar». Por favor, cambien este proceso, etc. Y eso es un poco como un día de campo para los atacantes, porque pueden sacar provecho de eso y, ya sabes, pueden entretejer sus propios mensajes y decir: «Queremos que hagáis esto», y ya sabes que los empleados eran más receptivos a esos mensajes manipuladores durante los primeros días del teletrabajo y, sin duda, había muchos más correos electrónicos de phishing y cosas por el estilo circulando por Internet debido a eso. Pero, en última instancia, lo que quieren hacer... A menudo digo que el objetivo de todos los ataques son los datos, ya que, en última instancia, pueden querer monetizar esos datos o pedir un rescate o una multa para recuperarlos. Pero incluso con el malware Crypto Locker, que se está extendiendo por las organizaciones, ahora el modus operandi es robar primero los datos y luego cifrarlos, porque han descubierto que las organizaciones están mucho más dispuestas a pagar si, obviamente, tienen sus datos como rehenes y no solo los han cifrado, sino que también amenazan con divulgarlos, y creo que la tendencia que sin dudaveo y leo en la prensa especializada y cosas por el estilo es que la tendencia de que las organizaciones matrices sean blanco de sus cadenas de suministro no solo va a continuar, sino que también va a aumentar, y creo que la percepción, y en mi opinión es válida, es que ¿por qué intentar violar la organización matriz para obtener los datos de los clientes cuando hay una organización mucho más pequeña que probablemente tiene menos herramientas de seguridad, menos capacidad de seguridad, pero que tiene los mismos datos?

Brian Littlefair: En mi opinión, esa lógica es sólida. Si vas a intentar hackear una organización, ya sea a través de su personal o de su tecnología, y eludir sus controles de seguridad, ¿por qué ir a por esta gran bestia que gasta 100 millones de dólares al año en seguridad cuando puedes atacar a una organización más pequeña que no gasta tanto, no tiene un equipo de seguridad tan grande, quizá no cuenta con la supervisión o la gobernanza adecuadas, pero tiene los datos de esa empresa? Así que, ya sabes, eso es lo que estamos empezando a ver, que los ataques dentro de la cadena de suministro para acceder a los datos de la organización matriz y creo que eso va a crecer exponencialmente en el futuro también. Y aquí es donde, como profesionales de la seguridad o profesionales del derecho y todos los que estamos en esta llamada, necesitamos esa visión profunda del riesgo y la amenaza que existe dentro de nuestra cadena de suministro ampliada y que debe actualizarse casi en tiempo real. Como dije, cuando empecé en el mundo de la seguridad, las hojas de cálculo de Excel, las encuestas y cuestionarios anuales, herramientas como Prevalent no existían cuando empecé. Estoy revelando mi edad. Solo tengo 44 años, pero, como saben, las cosas han cambiado exponencialmente en ese tiempo. Y creo que necesitamos poder analizar los datos, y las hojas de cálculo no nos ofrecen ese nivel de funcionalidad. Necesitamos toda la información posible. Tiene que ser lo más completa posible. Queremos ver las puntuaciones de riesgo de nuestra cadena de suministro. Queremos comprender la información sobre el incumplimiento de las políticas técnicas. ¿Nos han dicho durante nuestras evaluaciones que corrigen las vulnerabilidades críticas externas en un plazo de 24 horas? Pero, ya sabes, tenemos herramientas y capacidades que nos permiten ver que tienen una vulnerabilidad externa que lleva cuatro días sin corregirse. Esa información es realmente útil para contextualizar si están cumpliendo lo que dicen que harán en sus políticas o si tenemos que prestar un poco más de atención a esta empresa. ¿Tienen las capacidades adecuadas para detectar vulnerabilidades y mitigarlas? Queremos que toda esa inteligencia de código abierto fluya. Y necesitamos que se analice en nuestro nombre y se presente a nuestros analistas de una manera que se pueda poner en práctica.

Brian Littlefair: Es evidente que no tienen tiempo para recopilar toda esta información y realizar el análisis ellos mismos. En cierto modo, tiene que funcionar como un calcetín o una costura. El análisis lo realizan la plataforma y la herramienta, que presentan una lista de información útil. Volviendo al analista externo, una hoja de cálculo de Microsoft Excel no va a hacer eso por ti. Creo que eso está bastante claro. Y creo que muchas organizaciones siguen utilizando lo que yo llamo procesos heredados. No están adoptando los avances tecnológicos, los procesos y las capacidades que acabo de mencionar. Se pueden utilizar. Lo que veo es un equipo de garantía externo muy estresado en una organización bastante grande. Ya sabes, intimidados por el alcance de las organizaciones que de alguna manera tienen que cubrir y obtener esta información sin utilizar las herramientas que tienen a su disposición. Pero, como acabo de explicar, hay otra forma de hacerlo. Hay otro enfoque. Y, ya sabes, soy un gran defensor de que las organizaciones busquen herramientas como Prevalent que realmente puedan ayudarles. Ya sabes, no aumentar sus datos. De hecho, es reducir sus datos. En realidad, les ayuda a centrarse en las cosas que realmente necesitan examinar, detectar dónde están los problemas casi en tiempo real y mitigarlos o sortearlos. Y no siempre tiene que ser un incidente cibernético. Ya sabes, hemos visto muchos problemas en la cadena de suministro aquí en el Reino Unido que no están relacionados con la ciberseguridad. Se deben a diversas razones que se barajan, ya sea el Brexit o el impacto de la COVID, etc. Pero a veces vamos al supermercado y algunas estanterías están vacías, ¿verdad? Las organizaciones están luchando con problemas en la cadena de suministro. Acabamos de tener un verdadero desafío para conseguir combustible. La gente hace cola durante horas en las gasolineras. Todos estos son desafíos de la cadena de suministro que deben ser evaluados en cuanto a riesgos. ¿Pueden las organizaciones mitigarlos y modelarlos antes de que se conviertan en una realidad y tengan un impacto para ellas? Otro gran desafío que vimos en Europa fue el bloqueo del canal de alcantarillado. Los barcos no podían pasar.

Brian Littlefair: Los buques portacontenedores no podían llegar allí. Había alimentos perecederos y otras cosas. Así que, ya sabes, piensa en la gestión del riesgo en la cadena de suministro. No siempre tiene que ser cibernético. Se pueden modelar muchas situaciones y muchos problemas para, en realidad, poder comprender qué es lo que realmente nos afecta como organización, reconociendo que habrá varias personas en esta llamada de múltiples sectores diferentes, etc. ¿Qué podría afectar a la entrega de nuestros productos y servicios a nuestros clientes y cómo podemos saber si eso supone un riesgo para nuestra cadena de suministro si no podemos obtener nuestros productos del cliente del proveedor XYZ? ¿Cuál es nuestro plan A, cuál es nuestro plan B y cuál es nuestro plan C? ¿Cómo podemos mitigar ese riesgo? Creo que así es como se empieza a construir esa imagen del riesgo. Veamos algunos de los componentes fundamentales que, en mi opinión, son la piedra angular de un programa eficaz de terceros que pueda funcionar en este mundo tan complejo de normativa y cumplimiento en el que nos encontramos. En primer lugar, creo que es necesario conocer los datos. Si nos fijamos en cualquier marco de cumplimiento o normativa, todos ellos exigen que se comprendan plenamente los conjuntos de datos. Es necesario ser capaz de clasificarlos, dividirlos y analizarlos en función de numerosos campos y escenarios diferentes. ¿Viven en Europa? ¿Están sujetos al RGPD? ¿Son ciudadanos de California? ¿Están sujetos a la CCPA? ¿Han establecido límites en sus permisos de datos para que no podamos utilizarlos? ¿Han dado su consentimiento? ¿Han rechazado su participación? Por lo tanto, no se puede cumplir eficazmente o se suspenderá una auditoría o se obtendrá un aumento significativo, ya sabes, sin comprender completamente los datos. Y creo que no se puede limitar a hacer lo fácil. Ya lo hemos comentado antes, pero veo muy a menudo cómo la gente dice que entiende sus datos. Los tenemos totalmente categorizados. Entendemos que la gestión del ciclo de vida, etc., es realmente buena, pero eso solo se aplica a los datos categorizados. Hay, en algunos casos, petabytes y petabytes de datos almacenados en silos de datos sin categorizar.

Brian Littlefair: Y creo que la normativa existe porque eso existe y las organizaciones realmente tienen que controlarlo, ya sabes, si no está categorizado y no saben mucho al respecto, entonces no están gestionando su ciclo de vida. No se deshacen de él cuando deberían haberlo hecho. Lo conservan durante demasiado tiempo, más de lo que deberían en algunos casos, y eso puede acarrear multas si se conservan los datos durante demasiado tiempo cuando los clientes se han ido, etc., lo que puede suponer multas igual de elevadas desde el punto de vista del RGPD. Por lo tanto, es necesario examinar ese conjunto de datos sin categorizar para descubrir los problemas y comprender las relaciones globales con los proveedores. Así que, haciendo hincapié en la capa global, veo con demasiada frecuencia que las organizaciones no comprenden el impacto global de un proveedor en su negocio. Lo que puede ser un proveedor realmente pequeño en la India puede ser el mayor proveedor de Estados Unidos. Eso, obviamente, repercute en el nivel de atención y jerarquización al que deben prestar atención y centrarse. Por lo tanto, hay que comprenderlo desde la perspectiva del proveedor y volver a la organización matriz. ¿Qué importancia tiene este proveedor para nosotros? ¿Qué suministran los proveedores en diferentes ubicaciones? Y, obviamente, puede aprovechar eso no solo desde el punto de vista de los costes, sino también desde el punto de vista del riesgo, y comprender cómo gestionamos eficazmente el riesgo de este proveedor dentro de nuestra organización. Y luego, ya sabe, lo difícil es que hay un contrato que se firmó entre la organización matriz y su cadena de suministro antes de que se introdujeran algunas de estas normas y regulaciones. Es probable que no sea adecuado en el futuro. En última instancia, será necesario renegociarlo teniendo en cuenta los nuevos requisitos. Hay funciones, requisitos y cláusulas específicos que deben incluirse en el contrato. ¿Quién es el propietario de los datos? ¿Quién es el encargado del tratamiento de los datos? ¿Qué requisitos se imponen a cada uno en función de la función que desempeñan? ¿Qué ocurre desde el punto de vista contractual en términos de multas punitivas si no se cumplen esas responsabilidades? Hay mucho más que eso que debe tenerse en cuenta en esos contratos.

Brian Littlefair: Sé que es un reto, pero esos contratos deben revisarse cada vez que surge un nuevo elemento de cumplimiento normativo que afecta a su organización. Pero para poder hacer todo esto de forma eficaz, es necesario comprender cuál es mi exposición real a los marcos normativos y de cumplimiento y si esta se enmarca dentro de la función jurídica, la función de riesgo, la función de cumplimiento o la función de seguridad; en realidad, eso no importa, pero sí es necesario comprender dónde opera mi empresa. ¿En qué tipo de sectores operamos y, por lo tanto, en qué ámbito me encuentro? Y necesitamos obtener orientación de la empresa. No debería tratarse de una organización o un proceso de seguridad aislado que se aplique en toda la empresa. Si todas esas áreas existen dentro de su empresa, debería hablar con el departamento jurídico, con el de cumplimiento normativo, con el de seguridad, con el de TI y con el de finanzas. Se trata de un problema empresarial. No es un reto de seguridad o de TI. Se trata de cómo cumple la empresa con estos requisitos. Por lo tanto, es absolutamente necesario que salgamos del silo de seguridad que algunas organizaciones consideran que el riesgo de terceros es un proceso de seguridad. No lo es. Es un proceso empresarial. Y creo que, con demasiada frecuencia, veo organizaciones bastante grandes que no han nombrado a un delegado de protección de datos. Y, en mi opinión, esto es más común en el ámbito estatal porque no hay mucha normativa que lo exija, y creo que, corríjanme si me equivoco en los comentarios, pero la CCPAno exige que se cuente con un DPO, mientras que el RGPD sí lo hace, y creo que ese DPO, el responsable de la protección de datos, desempeña un papel tan importante que es alguien que es el defensor o el custodio de los datos dentro de su organización, que tiene la última palabra sobre dónde fluyen y cómo se manipulan, utilizan y venden, etc. Alguien tiene que dedicarse a tiempo completo a comprender realmente los datos dentro de su organización. A menudo decimos que son el alma de la empresa. Por lo tanto, es lo suficientemente importante como para tener a alguien dedicado a protegerlos y asegurarse de que estamos haciendo lo correcto con ellos. Pero creo que esto puede volverse complejo muy rápidamente. Ya sabes, una gran empresa que opera en quizás 60, 70 u 80 países de todo el mundo puede tener una exposición al riesgo de incumplimiento muy grande.

Brian Littlefair: Entonces, ¿cómo se gestiona eso? Yo he trabajado en organizaciones que tenían esa huella y, la verdad, es bastante complicado en términos de lo que se hace. Pero yo sin duda impongo el enfoque de mantener las cosas sencillas. Tienen que ser eficaces, pero igualmente tienen que ser sencillas. A menudo digo que la complejidad es el enemigo de la seguridad. Si algo es completamente complejo, será difícil de proteger. Y creo que la estructura que sin duda impongo en las organizaciones de seguridad es que tenemos nuestras políticas de seguridad, nuestras directrices de seguridad, nuestras normas de seguridad, y todo eso se traduce en nuestro entorno de control. Y es ese entorno de control el que queremos intentar estandarizar en la medida de lo posible en todo el mundo. No es conveniente aplicar controles diferentes, porque los controles se auditan. Si tienes un entorno de control diferente en cada país y necesitas contar con personas que puedan auditar ese entorno de control en cada país, la situación se vuelve muy compleja cuando lo amplías a 60, 70 u 80 países. Por lo tanto, en un mundo ideal, lo que se busca en última instancia es que este entorno de control satisfaga los requisitos de cumplimiento normativo a nivel mundial. Así, tanto si operas en Singapur, China, Estados Unidos, Reino Unido, Francia, Alemania, etc. Y en lugares dentro y fuera de esas regiones geográficas, su entorno de control satisfaría los requisitos de esos entornos legislativos y esas regulaciones y controles. Permítanme explicar lo que quiero decir aquí en una diapositiva para ilustrarlo. He trabajado en organizaciones que, cuando me incorporé, tenían numerosas políticas y normas de seguridad contradictorias, lo que se traducía en numerosos marcos de control diferentes, y eso no es bueno. Así que, cuando se lanzan iniciativas globales, algo tan simple como, en mi caso, las videoconferencias o las aplicaciones de mensajería, rápidamente te topas con una política de seguridad que lo restringe o que no permite hacerlo de la forma xyz en el país X, etc.

Brian Littlefair: Por lo tanto, no se puede operar en un mundo en el que cada país tiene sus propias políticas. Sin duda, lo que estoy empezando a observar es que las organizaciones más maduras son aquellas que cuentan con una política global estándar. Los únicos dos cambios que se permiten son los relacionados con el idioma, para que se pueda traducir al idioma local. Y si hay algo absolutamente único desde el punto de vista legislativo o normativo que no tiene sentido globalizar, entonces se puede añadir a la política de ese país en concreto. Pero eso será una o dos cosas. Todo lo demás está estandarizado en todo el mundo. Así que el enfoque que la gente está adoptando, en mi opinión, y sin duda el cliente al que asesoro, es saber dónde se puede lograr y dónde no va a suponer una sobrecarga operativa significativa, donde nono haya una implicación significativa en los costes, donde tenga sentido desde el punto de vista empresarial, estandarizaremos ese único proceso global. Un ejemplo que se me ocurre es la rapidez con la que hay que notificar a la autoridad reguladora una infracción en uno de los países frente a otro, y eso difiere enormemente si nos fijamos en el mapa: en Singapur hay 24 horas, en otros hay 48 horas, etc. Entonces, ¿cómo vas a gestionar tu negocio global? Tienes que asegurarte de que cumples con esa normativa global porque, como sabes, es posible que tengas datos de residentes de Singapur en otro país y que la infracción se produzca en ese país. Por lo tanto, tienes que poder cumplir con eso. Así que, si llevas todos tus entornos de control a los niveles más estrictos y lo implementas en todo tu negocio en todo el mundo, solo estás haciendo una cosa.

Brian Littlefair: Estás elevando tu seguridad a los requisitos más estrictos y creo que eso es algo muy fácil de vender internamente porquees lo correcto para sus clientes y creo que cada vez se sabe más, si observo cómo están estructuradas las grandes organizaciones, creo que hay que hacerlo así, ya que la mayoría de las grandes organizaciones han creado centros de servicios compartidos, ya sabe, en regiones con mano de obra altamente cualificada y bajo coste, ¿deberíamos llamarlos así?, o cautivos, y gestionan procesos empresariales clave, gestionan operaciones de centros de datos financieros, seguridad, etc., pero básicamente procesan los datos de su base de clientes global o los sistemas operativos que lo hacen. Por lo tanto, hay que asegurarse de que estas instalaciones cumplan los requisitos de los ciudadanos locales. Hay que ser capaz de elevar todo al nivel más estricto y gestionar el negocio global de esa manera. Y creo que eso es lo que están haciendo las organizaciones más maduras para simplificar las cosas y eliminar gran parte de la complejidad que conlleva gestionar un programa de cumplimiento normativo global. Y creo que, si nos fijamos en tres de los errores más comunes que veo cometer a la gente, ya los hemos mencionado un poco. Creo que hay que ir más allá del mínimo. Sin duda, los CISO, los directores de compras y las personas con las que hablo siempre ven la normativa como el mínimo. Es el listón bajo, el punto más bajo al que hay que aspirar, y hay que esforzarse constantemente por mejorar y superarlo porque, ya sabes, yo tengo la opinión de que es lo correcto para el cliente. Si el cliente estuviera sentado en la sala cuando tomas la decisión y dijeras que vas a mantenerlo en un nivel bajo, que no vas a subir, ¿estaría contento con eso? ¿O estaría más contento diciendo: «De acuerdo, vemos la normativa como un punto bajo, pero vamos a invertir y nos aseguraremos de madurar constantemente por encima de ese nivel»? Creo que sus clientes estarían más satisfechos con esta afirmación que con la otra. Y creo que la regulación se extiende hasta donde fluyen los datos. Ese es un punto realmente importante. Por eso hablamos de revisar los contratos.

Brian Littlefair: Es muy importante comprender si las personas a las que has contratado para realizar un trabajo han subcontratado a su vez ese trabajo. Por lo tanto, ¿hay una cuarta y quinta parte involucradas? Y, por lo tanto, ¿cuál es su capacidad de seguridad? ¿Disponen de controles satisfactorios? ¿Tienes tú, como organización matriz, tu procesador de datos del propietario de los datos completamente configurado? ¿Existe cobertura contractual desde una perspectiva financiera? Por lo tanto, tenemos que seguir los datos. Es casi como un río. Hay que comprender dónde se originan todos los afluentes, hacia dónde fluye, etc. Hay que ser capaz de visualizarlo y comprenderlo, y codificarlo en la garantía de la cadena de suministro para asegurarse de que se cuenta con la gobernanza y los procesos adecuados. Y, obviamente, se trata de que es demasiado manual, ya sabes, antes de herramientas como las que estamos hablando hoy, y Scott hablará un poco sobre lo que prevalecía antes de que estas herramientas estuvieran disponibles, ya sabes, las auditorías manuales eran el enfoque y solías poder acabar con un equipo operativo diciendo: «Bien, hoy tienes tu auditoría ISO, tienes tu 2701,tienes la auditoría PCI la semana que viene, tienes la auditoría interna para revisar el marco de controles, luego tienes PCI SS y tienes GDPR, etc. Y sigue creciendo. Dirigir una gran multinacional global con seis o siete niveles y cuatro centros de datos puede suponer un gran reto para los equipos operativos a la hora de hacer frente a ese nivel de auditoría. Es mucho más fácil hacer clic en un botón y comprender realmente, desde la perspectiva del proveedor, cuál es nuestra situación en materia de gobernanza. Cuál es nuestra situación desde el punto de vista de los seguros. Esto es lo que ya sabemos. Y si necesitas profundizar un poco más, no hay problema, pero las herramientas pueden proporcionarte mucha información que ya vas a buscar.

Brian Littlefair: Así que combinar esta información con sus plataformas internas de GRC se convierte en algo realmente poderoso y creo que usted sabe que hay un poco de confusión en cuanto a la regulación, así que ya sabe por qué tenemos regulación y cumplimiento, ya sabe, algunas personas piensan que es demasiado poco, otras piensan quedemasiadas, ya sabes, la muerte por regulación, la muerte por mil cortes, etc. Ya sabes, puede ser demasiado autoritario. Mi opinión es que hay que pensar por qué se estableció esa regulación en particular en primer lugar, y he visto a varios equipos de seguridad de organizaciones luchando por obtener presupuesto, luchando por conseguir los recursos adecuados, necesarios para poder, ya sabes, gestionar el riesgo que efectivamente tienen bajo su control. Y la regulación, sinceramente, ayuda. Desde la perspectiva de un CISO, es mucho más fácil entrar en la junta directiva y decir que necesitamos un presupuesto XYZ porque esta normativa dice que, si no lo hacemos, no podremos operar la empresa. No debería ser así, pero lo es. Por lo tanto, la regulación puede ayudar a centrar la atención y a elevar el nivel de seguridad en sectores concretos o en países o regiones concretos, dependiendo de cuál sea la regulación. Así que, con el tiempo, el aumento de la regulación ha dado lugar a un mayor nivel de capacidad de seguridad. Las organizaciones siguen teniendo retos y problemas, por supuesto, lo leemos en los periódicos y en los documentos todos los días, pero, como saben, ha mejorado drásticamente durante el período de tiempo que he estado observando. Pero creo que tiene que haber un límite y con eso me refiero a que una empresa que cumple totalmente con la normativa en un sector muy regulado puede seguir siendo propensa a sufrir un ciberataque, por lo que la normativa tiene que marcar un límite en algún punto. Tenemos que encontrar un equilibrio y, personalmente, celebro la colaboración a nivel mundial entre los reguladores y los organismos de cumplimiento, porque creo que la armonización de esos requisitos en todo el mundo solo hará que sea más sencillo para todos nosotros cumplirlos. Permítanme resumir algunos de los mensajes clave antes de ceder la palabra a Scott, que hablará un poco sobre la plataforma predominante.

Brian Littlefair: Creo que todos lo tenemos claro, al menos yo sí, y pueden cuestionarme en las preguntas, pero tanto si gestionamos la cadena de suministro por motivos de seguridad como si lo hacemos por motivos de cumplimiento normativo o requisitos reglamentarios, nuestro objetivo es reducir nuestra exposición al riesgo, ya sea por ciberataques o por algunos de los otros ejemplos que he dado, como el canal de alcantarillado, desde una perspectiva de continuidad del negocio, pero fundamentalmentese trata de reducir el riesgo, pero ya saben que esta es otra área de la seguridad que nunca va a estar completa; a menudo decimos en seguridad que el trabajo nunca termina. El camino no va a terminar. Hay una evolución y una rotación constantes dentro de la huella de los proveedores. Por lo tanto, tenemos que seguir impulsando esos procesos y asegurándonos de que se lleven a cabo. Así que tenemos que seguir centrándonos en esa exposición al riesgo. Tenemos que seguir reduciendo el tarado de nuestros proveedores y asegurándonos de que contamos con esa gobernanza y esas capacidades globales, pero tenemos que ser indulgentes con nuestros equipos invirtiendo en las capacidades, las herramientas y los procesos adecuados. Ahora podemos automatizar en gran medida algunos de estos procesos y presentar, ya sabes, analizar los resultados a nuestros equipos sin que tengan que salir con hojas de cálculo y Microsoft Excel. Por lo tanto, tenemos que ser capaces de adoptar la tecnología que tenemos a nuestra disposición y tenemos que trabajar más estrechamente con nuestros proveedores y, como saben, yo entiendo mejor que nadie el reto que eso supone, cuando nos enfrentamos a miles y miles de proveedores. Pero hay proveedores y proveedores. Hay personas que son obviamente muy importantes para su negocio, ya sea porque gestionan su centro de datos o interactúan con sus clientes, etc. Y tenemos que convertir a esos proveedores en socios, ¿verdad? Tenemos que comprender plenamente su negocio. Ellos tienen que comprender plenamente el nuestro. Y, como sabes, el contrato puede ayudar en eso, pero luego el contrato tiene que desaparecer. Si el contrato sale a relucir en cada interacción y reunión con ellos, tenemos un pequeño problema. Sin embargo, tenemos que madurar esa relación, para poder mantener conversaciones sensatas sobre cómo mejorar la capacidad conjunta dentro de nuestras diferentes organizaciones.

Brian Littlefair: Y creo que ya hemos establecido que esto va más allá del equipo de TI y seguridad, la función jurídica, la función de riesgo y la función de adquisiciones. Hice un seminario web completo sobre cómo la función de adquisiciones es la mejor aliada del CISO. Así que deberías echarle un vistazo, porque creo que hay muchos puntos en común y, ya sabes, se trata de ver toda esta área como un riesgo empresarial en lugar de un riesgo de TI. Algo que veo con demasiada frecuencia es que la gente considera que se trata de un problema de CESOS, y no es así. Es un problema puramente empresarial y tenemos que salir de ese silo de seguridad y adoptar esas funciones más amplias dentro de la empresa. Y, de nuevo, lo diré otra vez porque es muy importante recalcarlo, ya que, si no conoces tus datos, no vas a cumplir con estas normativas y requisitos de cumplimiento. Así que profundiza en esos datos estructurados, que es lo que suelen pedirte los reguladores, y luego adopta el proceso de «muéstrame, no me digas», porque, como sabemos, en el pasado solía ser así: «Sí, lo hacemos, no necesitas ver nuestros procesos, nosotros...».tenemos esto, ya sabes, gestionamos nuestras vulnerabilidades de forma eficaz, no necesitas venir a ver cómo lo hacemos ahora, las empresas más maduras entran en el proceso de «no quiero que me lo digas, quiero que me lo demuestres». Quiero pruebas. Quiero garantías. Quiero que se suba a mi plataforma para que podamos ver realmente que se están siguiendo esos procesos y procedimientos. Así que creo que, como bien sabes, la mejor estrategia es «una vez mordido, dos veces tímido». No quieres que te lo digan, quieres que te lo muestren y ver la prueba de que realmente está sucediendo. Muy bien, voy a ceder la palabra a Scott, que te hablará un poco sobre la plataforma predominante y, por supuesto, estaremos encantados de responder a tus preguntas al final. Muchas gracias, Scott. Te dejo la palabra.

Scott Lang: Uh cheers Brian. Thank you. Um that last comment on Brian’s last slide there I think is the perfect segue into a little bit about what I want to share uh with you about prevalent and it’s the show me don’t tell me and you know the process of gathering information and evidence and policies and procedures and due diligence from your suppliers and partners and third parties. I mean I’m not I’m not going to paint a rosy picture here. It’s soul crushing. I understand that. And uh it can quickly spiral an already over um stretched team down into oblivion without the right help. And if you’ve got to prove uh that your third parties have policies in place, security related, data protection related or others, you have to find a way to automate uh the collection of that information, the analysis of that information, and then the presentation of it both to your internal auditors as well as the external folks are going to want to ask questions about it as well. And frankly, That’s what we specialize in. Um our uh the prevalent thirdparty risk management platform is a solution that helps you um centrally assess all of your third parties according to the specific requirements you have to you know assess them against and report against as well. Collect that information through the completion of you know their assessments and the uploading of supporting evidence. Um the review of that information and then ultimately the the re recommended remediations to get them to a place that you’re comfortable from a risk perspective. You know, you’re never going to eliminate all the risk. We know that risk never equals zero. But to get somebody down to an acceptable level of residual risk is the objective of the exercise. And then we can help you, you know, take the time and the manual labor and, you know, the sweat and more, you know, out of that process uh by taking it on on your behalf. We address third-party risk at every stage of the vendor life cycle, not just uh, you know, the the collection of compliance evidence to support uh some sort of a you know, regulatory conclusion, but you know, we help companies uh get intelligence on their potential vendors in the sourcing and selection phase. Um, as you intake and onboard a vendor, we can give you visibility into their existing risk profile as well as some real-time risk insights. Give you some inherent risk visibility against whatever metrics you’re trying to measure against, execute those full and complete assessments. I think we’ve got 75 questionnaire templates built in the platform that you can leverage now from a GDPR assessment to a CCPA or CP assessment. Um, you know, HIPPO related assessments. There’s a NIST framework or so and then some in there. There’s ISO ISO questionnaires. It you I mean the platform’s got a library of them to draw from that you can pick and choose. You can be flexible with, you can build a custom one. We’ve even got a standard survey that you can ask and then map the answers back to whatever requirements you need to on the other end. So the whole process is meant to simplify that excruciating process of collecting that that uh that due diligence and just make it easier to to to manage. Next step is monitor and validate. Once you have the information in the answers from your suppliers and partners, you’ve done a bit of review and now it’s time to really do some controls validation. Uh you know we can leverage some existing cyber business reputational financial monitoring and then have our experts get in there and just do like a controls validation exercise to make sure that you know that uh that their reported controls uh you know map to your requirements you know measuring performance and SLAs’s you know Brian mentioned earlier on in his presentation excuse me that not every risk is a cyber security risk you know the the uh the Suez Canal blockage being a great example of that you may have suppliers that have um some reputational challenges you know maybe they’re not living up to their expectations from an environmental social or governance perspective and you need to have some visibility in that because those can be risks to their ability to deliver to you which is your ability to deliver to ultimately your customers if that’s the case. So managing SLAs’s and performance metrics goes handinhand with with security. And then finally the last piece of the equation that is way too often overlooked is um is offboarding. You know every relationship is going to come to an end and it can’t just be simply flipping a switch and walking away. There’s quite a bit of checklisting and processes and data destruction and and you know offboarding or terminating of of assets and whatnot that have to be uh followed through. And you know one of the values of our platform is that we can help provide that process that automated workflow-based process to guide you through that that uh that that workflow so that when you know that relationship ends you know you you have greater levels of assurance that um uh you know that the right steps have been taken. Uh next step please Brian. Um you know we offer several benefits at every one of the kind of the stage of the of the sales cycle that I mentioned there uh which you can kind of easily understand from from um uh from the previous slide, but I’ll leave you with this this piece down at the end. You know, third-party risk management isn’t just for the cyber security team. You know, Brian talked about that. You know, we talked about it a second ago on the previous slide. It’s also about managing risks throughout the the the vendor ecosystem that might be, you know, reputational, business related, financial related, their ability to deliver, you know, whatever. Which means Third-party risk is going to be important to all kinds of different teams throughout your enterprise. You know, if you’re in the security team, great. If you’re in the, you know, the risk management or or the compliance internal compliance and audit team, great. Um, procurement’s going to want a hand in this as well. And one of the significant values that we deliver as a solution set is that, you know, we can bring together all of these uh different teams under a single pane of glass. Everybody’s looking at the same data, getting the reporting that matters to them, and can take the actions uh uh you know act on that data accordingly. Next slide please. Um you know I think this is the last one. What uh you know we address use cases um from procurement to IT security to legal to compliance to frameworks. Uh you know each one of these items on this uh screen represents a specific uh assessment or questionnaire that we have built into our platform which then maps to a compliance report that you know you can provide. to your internal teams, external teams, external auditors, whatever, uh, to help demonstrate the the the progress toward um, you know, achieving whatever compliance, you know, objective you need to. And on that right hand side, we’ve got all of our threeletter acronyms and even a few four-letter acronyms uh, cooked in there as well. But just a just an idea of, you know, how we specifically help you um, show uh, not just tell uh, of of, you know, the current security posture of your of your third parties. Awesome. Um, and then just a wrap-up slide on on our approach here. Everything I I hope you learned just now was that, you know, our goal is to help make you smarter in thirdparty risk with all of the data that we have in the platform. Help you unify not just yourselves but your internal teams to to to, you know, uh, coordinate action and look at all the same data. And then finally, be very prescriptive uh, in your process. That’s it. Great. Thanks, Scott.

Amy: Muy bien. Gracias, Scott, y gracias, Brian. Durante la presentación surgieron un par de preguntas. Hay muchas siglas y tenemos algunas preguntas al respecto. Hice todo lo posible por responder a algunas, pero les dije que transmitiría las preguntas al experto para asegurarnos de que estamos en lo cierto. La primera pregunta es: ¿qué significa POI A? ¿Qué significa? ¿Y de qué país proviene?

Brian Littlefair: Bueno, no recuerdo exactamente qué significa el acrónimo, pero básicamente la POPIA es la CCPA y el RGPD en África. Es un país sudafricano, ¿verdad? Entonces...

Amy: Entendido. De acuerdo. Hice una búsqueda rápida en Google y dije «ley de protección de datos personales». Parecía...

Brian Littlefair: Ese es. Sí.

Amy: Muy bien. Tenemos un par de preguntas. Voy a lanzar nuestra última pregunta de la encuesta, por si acaso tienes que marcharte. Tenemos mucha curiosidad por saber si estás pensando en ampliar o establecer un programa de gestión de riesgos de terceros en los próximos meses. Sí, no, no estoy seguro. Estamos aquí para ayudar. Como ha mencionado Scott, un poco. Así que voy a dejar eso ahí mientras continuamos con algunas preguntas. La siguiente es sobre la diapositiva número siete. Estoy segura de que te viene a la mente, Brian. En cuanto a los procesos que requieren una gobernanza casi en tiempo real, creo que era el penúltimo punto. Buscan algunos ejemplos claros.

Brian Littlefair: Muchas organizaciones que gestionan procesos complejos requieren una gobernanza casi en tiempo real. Bueno, desde mi punto de vista, se trata de la amenaza. Por lo tanto, si se trata de una organización que es bastante crítica para su proceso. Ya sabe, si está ejecutando lo que yo llamaría un proceso heredado basado en hojas de cálculo y no está superponiendo el ángulo de la amenaza. Entonces, te verías sorprendido si una de tus organizaciones apareciera en CNN o Sky News porque están teniendo una violación de datos. Por lo tanto, superponer esa inteligencia de amenazas sobre esos procesos te permite obtener esos conocimientos mucho más rápido y poder, ya sabes, pivotar internamente desde tu perspectiva organizacional para realmente impulsar eso. Eso es lo que quiero decir con «casi en tiempo real». Quieres poder comprender lo que ocurre en tu cadena de suministro casi en tiempo real. Nunca será en tiempo real. Obviamente, alguien tiene un problema, etc. Pero, si otros clientes lo saben, tú también quieres saberlo. No quieres que el flujo de comunicación pase por un gestor de relaciones, luego por su superior y luego por toda la cadena, para que finalmente te enteres. Quieres enterarte casi en tiempo real. Y creo que eso es lo que te permiten estas herramientas y la superposición con la inteligencia sobre amenazas, ¿verdad? Estar al tanto de lo que ocurre dentro de tu cadena de suministro.

Amy: Entendido. Gracias, Ryan. Muy bien. Siguiente pregunta. ¿Existen certificaciones GDP o CCPA para productos de aplicaciones informáticas o proveedores externos de TI que permitan reconfirmar su cumplimiento básico, como el cifrado de datos privados en reposo, en tránsito, etc.?

Brian Littlefair: Sí. Creo que desde el punto de vista del software, sin duda, y ahí es donde sin duda empezarás a ver cómo evoluciona el mundo. Así que, si una empresa tiene que cumplir con la normativa, sabrás que habrá acreditaciones para las personas, habrá cumplimiento para el software y soluciones que las empresas podrán utilizar. Ese es el flujo natural que hemos observado a lo largo del tiempo. Y eso es lo que exigirán las empresas. Si tengo que cumplir con el RGPD, necesito personas dentro de mi organización que puedan certificarse no solo para garantizar que lo cumplimos, sino también para realizar las evaluaciones y las auditorías, porque no quieres descubrir que no lo cumples cuando llega el regulador a hacer su auditoría, sino que quieres comprobarlo tú mismo. Por lo tanto, necesitas personas y software que te den ese nivel de seguridad para poder decir que sí, que estamos cumpliendo, y, obviamente, desde el punto de vista del cifrado, sabes que eso debe extenderse a tu cadena de suministro. Si su postura es que va a cifrar todos sus datos de extremo a extremo a lo largo de todo el proceso, etc., entonces necesita poder validar que eso se está llevando a cabo, y ahora hay soluciones en el mercado que pueden ayudarle a validar eso incluso dentro de los conjuntos de datos cifrados sin tener que descifrarlos. Así que ya sabe que la cosa se va a poner un poco más interesante.

Amy: Gracias, Brian. Muy bien, veo aquí una última pregunta. ¿Cuál es su opinión sobre la identificación y evaluación de los requisitos normativos durante la auditoría Sock 2 para una organización global, dado que la privacidad es uno de los principios de servicio de confianza en el proceso de auditoría?

Brian Littlefair: Sí, creo que es una pregunta muy buena y creo que, desde la perspectiva de Sock 2, demuestra tu capacidad a otras organizaciones, que sabes que te tomas muy en serio la seguridad y todos esos aspectos, y creo que sabes queahí es donde la normativa puede ayudarte realmente, ya que te permite adoptar plenamente y vivir al pie de la letra cosas como la ISO, el RGPD, etc., y otros regímenes de cumplimiento que pueden implicar que es mucho más potente un informe Sock 2, si se quiere, que la evaluación, para poder presentarlo a los clientes potenciales y decirles: «Mirad, así de en serio nos tomamos la seguridad». Si miras, por ejemplo, un informe Sock de Amazon, Google o ISU, es bastante impresionante en términos de su aceptación de la letra de la ley en el cumplimiento y las regulaciones, pero como dije, han construido sobre eso. Por lo tanto, no solo ves la casilla marcada, ves hasta dónde han llegado para asegurarte de que son el mejor proveedor de servicios en la nube para almacenar tus datos, etc. Y creo que eso va a convertirse en un factor diferenciador para las personas que utilizan sus informes SOP 2 para decir, en realidad, mirad, no solo hemos cumplido con la norma, sino que hemos ido más allá, y creo que eso se convertirá en un factor de elección para los clientes en cuanto al lugar donde quieren almacenar sus datos. Correcto.

Amy: Entendido. Gracias, Brian. Um, ha llegado un último comentario. En cuanto a terceros, sé que nos centramos mucho en que los terceros sean, ya sabes, predominantes y que este sea un seminario web predominante. Um, pero dicen que las organizaciones GRC tienen muchos más componentes, um, incluyendo la gestión de políticas, etc. Um, no es realmente una pregunta, sino solo un comentario que quería asegurarme de que te llegara.

Brian Littlefair: Sí, y creo que eso es totalmente cierto, y creo que Prevalent será el primero en admitirlo, al igual que otras personas de este sector, ya que se trata de un aumento de la información.se trata de un aumento de la información y, como sabes, muchos de los clientes con los que Prevalent hablará tendrán una solución Archer o similar como parte de su plataforma GRC, y sabes que esa seguirá siendo la plataforma principal para gestionar el riesgo, pero sabes que el riesgo de terceros es una parte de ese riesgo que realmente estás gestionando y esto puede ayudar mucho a aumentar esos datos y a automatizar los flujos de trabajo entre ellos. Estoy seguro de que Scott lo ve todo el tiempo con sus clientes, ¿verdad?

Scott Lang: Sí, por supuesto. Por supuesto. Sabes, tenemos clientes que aprovechan una de estas grandes plataformas GRC que son muy amplias pero poco profundas y, ya sabes, las aprovechan cuando necesitan la experiencia a nivel de dominio en la gestión de riesgos de terceros para aumentar, ya sabes, su GRC general. Ya sabes que muchas de esas plataformas GRC son excelentes para gestionar los riesgos a nivel empresarial de la organización, pero por su propia naturaleza, simplemente no pueden ir un paso más allá en áreas de dominio específicas, que es por lo que la gente elige Prevalent. Correcto. Tiene sentido.

Amy: Tiene sentido. Además de ese comentario, si utilizan Archer, ¿lo tienen todo o siguen necesitando Prevalent? Sé que ya lo has mencionado un poco. Para. ¿Quieres añadir algo más?

Scott Lang: Sí. Sí, necesitas prevalencia. Por supuesto. Sí. No, ya sabes, Archer es una solución excepcional para la gestión de riesgos empresariales. Lleva en el mercado desde siempre. Pero, como he dicho, se trata de capacidades específicas de gestión de riesgos de terceros. Genial. Pero, como sabes, somos expertos en ese ámbito y hemos creado una solución desde cero que, por cierto, se integra con Archer. Así que, si eso te preocupa, no dudes en ponerte en contacto con nosotros y estaremos encantados de explicarte cómo funciona.

Amy: Genial. Sí. Bueno, gracias. Creo que eso es todo por hoy en cuanto a preguntas. Sé que nos hemos pasado un poco de la hora, pero si tienen alguna otra pregunta o quieren charlar con un experto de Prevalent, pueden enviar un correo electrónico a info prevalent.net. Síganos en LinkedIn, síganos en Twitter. Publicamos un montón de blogs y seminarios web interesantes que pueden resultarles útiles. Muchas gracias, Scott. Muchas gracias, Brian. He aprendido muchísimo. Yo también he aprendido un poco más sobre acrónimos. Como recordatorio para todos, esto se está grabando y se les enviará mañana por la mañana. Muy bien. Gracias a los dos. Espero que tengan un buen día. Gracias a todos por participar.

Scott Lang: Gracias a todos. Que paséis un buen día. Adiós.

Brian Littlefair: Gracias. Adiós.