Cómo adoptar un enfoque holístico para la incorporación y salida de proveedores

Melissa: Y bueno, empecemos con unas presentaciones. Me llamo Melissa. Trabajo aquí, en Prevalent Business Development. Y hoy tenemos un invitado que vuelve a visitarnos, Tom Geruba, director de servicios de gestión de riesgos de terceros en Echelon Risk and Cyber. Bienvenido de nuevo, Tom.

Tom Geruba: Muchas gracias, Melissa. Es fantástico estar de vuelta. Hola a todos. Buenos días, buenas tardes o buenas noches, dependiendo de en qué parte del mundo se encuentren. Es un gran honor que Prevalent me haya invitado a volver para hablar de algunos de los retos comunes que observo en la profesión de gestión de riesgos de terceros. Uno de los grandes quebraderos de cabeza a los que se enfrentan muchos profesionales del riesgo de terceros tiene que ver con todo el proceso de incorporación y salida, y con comprender cuáles son sus respectivas funciones en ese proceso. Por lo tanto, vamos a adoptar un enfoque holístico para la incorporación y salida de proveedores. Estoy muy emocionado de poder compartir esto con ustedes. Solo un poco de información sobre mí. Pero Melissa ya se lo ha contado. Esto es lo que vamos a tratar hoy. En primer lugar, vamos a hablar de qué tipo de riesgos hay que evaluar durante el proceso de incorporación y salida de proveedores. ¿En qué riesgos debemos centrarnos? ¿Qué debemos tener en cuenta cuando empezamos a analizar tanto la incorporación como los riesgos con respecto a las organizaciones que vamos a dar de baja y cuáles son esos retos? Vamos a hablar de cómo sortear los retos comunes a los que puedeis enfrentaros en este proceso dentro de vuestra organización. Hablaremos de la diligencia debida que realmente se necesita para la incorporación. También abordaremos los riesgos que hay que tener en cuenta al dar de baja a un proveedor. Hay riesgos que hay que tener en cuenta. No se trata simplemente de cortar el cordón y marcharse. Hay cosas que hay que tener en cuenta antes de decir adiós a un supuesto proveedor. Por último, hablaré de algunos procesos recomendados para garantizar la convergencia de su programa. Y si se pregunta qué es la convergencia de programas, también lo explicaré. Pero empecemos por aquí. Riesgos que hay que evaluar durante la incorporación y la salida. Cada vez que se prepare para incorporar a un proveedor, debe asegurarse de que alguien de su organización haya analizado estos riesgos. Los riesgos de mercado, ¿de qué estamos hablando cuando hablamos de riesgo de mercado? ¿Existen nuevas soluciones?

¿Hay inversiones tecnológicas en el mercado? ¿El proveedor con el que trabajas está pasando por una reestructuración? Quizás también esté pasando por una expansión de fusiones y adquisiciones. ¿Qué está pasando en el sector? ¿Es algo que estás teniendo en cuenta? Cuando hablas de riesgo financiero, te fijas en cosas como el flujo de caja, el riesgo crediticio, ¿ves algo con respecto a la venta de información privilegiada? ¿Y la recompra de acciones? ¿Hay algo que le llame la atención y que pueda suponer un riesgo crediticio? ¿Es posible que no seamos uno de esos proveedores concretos que les ayudan a cumplir determinadas cuotas, ya sea en el sector o para intentar garantizar que sigan siendo financieramente sólidos? ¿Hay algo con respecto al riesgo regulatorio? ¿Hay algo con el organismo regulador que los esté obligando, por ejemplo, mediante multas? ¿Qué hay del ESG? ¿Es algo a lo que hay que prestar mucha atención? Y esto se ve mucho a nivel geográfico. Y lo que quiero decir con eso es que, en la Unión Europea, se va a poner mucho énfasis en el aspecto medioambiental de ESG. Aquí, en Estados Unidos y en otras partes del mundo, es posible que se preste mucha más atención al aspecto social. Cuando hablamos de cosas como la salud y la seguridad, hablamos de diversidad, hablamos de igualdad salarial y cosas por el estilo. Y, por último, centrémonos en los aspectos de gobernanza. ¿Dispone de información que pueda ayudar a su organización a tomar decisiones de gobernanza basadas en aspectos como la composición de su junta directiva? Políticas éticas y anticorrupción, cosas de esa naturaleza, ubicación. Hay mucho... oh, lo siento, riesgo de cumplimiento, mucho énfasis en el cumplimiento de los aspectos de... ¿hay... su proveedor está quizás prohibido para hacer negocios en ciertos países o quizás prohibido en ciertas historias ind? ¿Hay algo que le preocupe desde el punto de vista de las demandas? ¿Hay algo con respecto a acuerdos extrajudiciales o acuerdos basados en algo que hayan hecho? ¿Se les permite hacer negocios con el gobierno federal?

Esto es algo que, cuando dirigía programas, solíamos asegurarnos de que, si no se podía hacer negocios con el gobierno federal, ¿por qué íbamos a hacer negocios con usted? Así que, desde el punto de vista del cumplimiento normativo, la ubicación, ¿dónde se realiza el procesamiento? ¿Dónde se almacenan los datos? Nos fijamos en aspectos como si se trata de zonas inundables. ¿Hay otras zonas medioambientales que debamos tener en cuenta al entrar en la arena geopolítica? Hay que fijarse en aspectos que podrían darse aquí, en nuestro país, en lo que respecta a los estados o países con derecho al trabajo. También se podría prestar atención a ciertas tensiones regionales. Esto se ve claramente en Europa del Este. Lo vemos en el mar de la China Meridional y en Asia-Pacífico. Por lo tanto, también hay que pensar en estas cosas. ¿Es esto algo que necesito? ¿Estoy dispuesto a aceptar ese riesgo? Y, por último, la ciberseguridad, por supuesto. ¿Se puede hacer algo desde el punto de vista cibernético durante la incorporación? Por lo tanto, cuando se va a realizar la evaluación, es útil racionalizar y hacer las cosas un poco más fluidas, mejorar un poco las cosas en términos de lo que hay que hacer desde el punto de vista de la diligencia debida. Ahora, la salida, circunstancias muy similares. Si va a dar de baja a un nuevo proveedor, va a eliminar a un proveedor. ¿Le preocupa la ubicación? ¿Puede recuperar sus materiales? ¿Hay algo que deba hacer desde el punto de vista del riesgo de cumplimiento? Y cuando menciono el riesgo de cumplimiento, me refiero en particular a si, por ejemplo, es una organización financiera de la Unión Europea, tiene que ponerse en contacto con su regulador y comunicarle que ya no utiliza un proveedor concreto, en cuyo caso es posible que tenga que volver a incorporarlo a su propia organización o que ya tenga otro proveedor preparado al que pueda transferir esos datos. Así que ahora estamos hablando de cosas relacionadas con su repositorio de proveedores. Bien, usted puede mostrarles lo que está haciendo con respecto al traslado de esos datos y su procesamiento. Riesgo de redundancia. ¿Está procesando datos en varias ciudades, en varias ubicaciones o con varios proveedores?

Lo estás quitando y ahora se lo vas a dar a otro proveedor, y entonces empiezas a entrar en lo que se llama riesgo de concentración. ¿Estás poniendo todos tus huevos en una sola cesta o en un solo lugar, de modo que si un tornado, un tifón, un huracán o cualquier otro tipo de catástrofe natural afectara a esa zona geográfica, se produciría una interrupción en el servicio de tu proveedor? Y, en última instancia, también en tu organización. Cualquier riesgo ESG del que tengas que preocuparte ahora que lo has incorporado, lo vas a asumir tú. ¿Hay ciertas cosas de las que eres responsable ante tus inversores o ante otros en lo que respecta a los proveedores que has estado utilizando? Ahora estás asumiendo ese riesgo. ¿Puedes transferir ese riesgo a un nuevo proveedor para tu nueva incorporación? Pero, ¿pueden ellos transferir ese riesgo? Estas son cosas que debes tener en cuenta, lo siento por la redundancia del riesgo de cumplimiento. Todo esto está relacionado con tu riesgo de percepción social. La percepción social impulsa los demás riesgos. Impulsa el riesgo financiero. Impulsa incluso su riesgo ESG. Impulsa otros riesgos, como su riesgo operativo. Por lo tanto, si sus clientes tienen la sensación de que está haciendo algo que no se ajusta a sus creencias fundamentales como organización y como entidad, esto podría volverse en su contra en esa percepción social. Bien, creo que estos son los aspectos críticos a tener en cuenta. Ahora, hablemos de cómo sortear estos retos comunes. En primer lugar, y sigo viéndolo hoy en día, la gestión de riesgos de terceros. La semana pasada tuve una conversación maravillosa con un colega mío sobre cómo el tercer riesgo aún está en pañales. Aunque muchos de nosotros llevamos casi una docena de años dedicándonos a ello, todavía está en pañales en lo que respecta a todos estos componentes adicionales que parecen funcionar de forma aislada y que debemos empezar a unir. A esto volveré más adelante, cuando hable de la convergencia. Pero la propiedad del repositorio de proveedores, quién es el propietario de la lista maestra de proveedores, muchas organizaciones dirán que es el sourcing primario.

El problema con eso es, y sé que todos ustedes de alguna manera u otra han estado expuestos a esto o lo han experimentado, que hay formas de eludir el abastecimiento y la adquisición. ¿De acuerdo? Puede ser que solo recurran al abastecimiento y la adquisición en función de un gasto concreto de 40 000, 50 000 o lo que sea. Podría ser si solo van a capitalizar los gastos y el proyecto del proveedor. Así que puede que tengáis unidades de negocio que vayan a hacer algo desde el punto de vista de la transferencia y el manejo de datos, pero que suponga unos 25 000 o 30 000, sin embargo, implica muchos registros, muchos datos, por lo que es posible que el abastecimiento y la adquisición no sean conscientes de ello, pero el proveedor sí, y ahoratambién estamos hablando de cuestiones legales y de seguridad de la información, por lo que realmente hay que saber quién es el propietario del repositorio del proveedor, que en muchos casos resulta ser el programa de gestión de riesgos de terceros. Y ahora hay que ser capaz de comunicar lo que se tiene en la lista al personal de abastecimiento y adquisiciones. ¿Quiénes son las partes interesadas en el proceso de incorporación? En primer lugar, la unidad de negocio, la primera línea de defensa. La unidad de negocio es la responsable. Son las principales partes interesadas. Son los que firman los cheques. Pero otras partes interesadas que son muy importantes en el proceso de gestión de riesgos de terceros son el departamento de compras y aprovisionamiento. El departamento jurídico se encarga de redactar el texto legal, ¿verdad? Correcto. ¿Trabaja con el departamento de seguridad de la información y otras organizaciones, como el de privacidad, para garantizar que sus datos protejan la privacidad y la seguridad de los datos, y que los anexos que se adjuntan al contrato estén en consonancia con su organización? Podría tratarse de trabajar desde casa, de asegurarse de que se utilizan VPN o de cualquier otro caso. Sea cual sea la estructura que tenga, ¿trabaja con las demás partes interesadas y estas están alineadas y comprenden cuáles son las expectativas para el proveedor? ¿Qué hay de la gestión de las instalaciones? Muchas veces, sus proveedores acuden a sus instalaciones para verle, especialmente en el ámbito de las tecnologías de la información. De acuerdo. ¿Tienen tarjetas de acceso o cosas por el estilo que se les asignan para permitirles el acceso a determinadas instalaciones? Continuidad del negocio y recuperación ante desastres.

Son ellos los que, en muchos casos, ayudan a priorizar a sus proveedores desde una perspectiva estratégica en caso de que surja un problema con la disponibilidad y la recuperación y, por supuesto, con el cumplimiento normativo. Cualquier cambio que realice, ¿está en consonancia con el cumplimiento normativo, no solo con las directrices, normas u obligaciones reglamentarias, sino también con las políticas y normas de su propia empresa? ¿Cuál es nuestro riesgo inherente y nuestro riesgo de exposición? Otro problema común que lleva existiendo desde hace mucho tiempo. ¿Cómo calculamos el riesgo inherente? Me enorgullece decir que una organización con la que probablemente esté familiarizado, el programa de evaluaciones compartidas, está abordando esta cuestión y ha creado un componente que le ayudará a calcular el riesgo inherente. Eh, y yo, ya saben, formé parte de ese grupo y estoy muy orgulloso de lo que hemos hecho allí, y eso es algo que verán pronto, y estoy seguro de que Prevalin también estará al tanto de esas herramientas adicionales. Pero lo que pasa con el riesgo inherente y el riesgo de exposición es que realmente no hay ninguna guía sobre cómo calcular el riesgo inherente o el riesgo de exposición. Y cuando piensas en qué es exactamente el riesgo inherente o el riesgo de exposición, ¿qué es lo que no sabes antes de hacer negocios con ese proveedor? ¿De acuerdo? Piensa en ello como si fuera una cita. Solo sabes lo que has podido averiguar sobre la persona con la que vas a tener una cita a través de sus redes sociales, quizá por lo que te han contado sus amigos, quizá por lo que sabes de ella en el trabajo. Pero hasta que no empiezas a relacionarte con ella y a tener una relación, ¿cómo puedes saber realmente cómo es? Por lo tanto, no se pueden calcular necesariamente esas incógnitas, pero hay que ser capaz de idear algo que te dé una idea general de que, sí, estás deseando que llegue esa cita. Estás deseando conocer a esa persona. De acuerdo. Lo mismo ocurre con tus proveedores. El cálculo de ese riesgo. ¿Tienes suficiente lenguaje contractual? Esto es algo que sigo viendo hoy en día. Ya se trate de organizaciones maduras o de pequeñas y medianas empresas, debes asegurarte de que tienes el lenguaje adecuado en los acuerdos contractuales.

Todo el mundo conoce la cláusula del derecho de auditoría, pero hay un pequeño secreto sobre ella. En la mayoría de los casos, en la cláusula del derecho de auditoría, solo se puede ejercer ese derecho una vez durante la vigencia del contrato. Por lo tanto, puede que tenga una relación de tres años, un contrato que dice que vamos a hacer negocios durante los próximos tres años. Pero si ejerce ese derecho de auditoría o se interpreta que una evaluación forma parte de esa auditoría, solo puede hacerlo una vez. Y luego, si ocurre algo en ese proveedor y usted dice: «Necesito venir y auditarle para ver si se trata de un incumplimiento o de un mal manejo de la información o los datos». Se reservarán el derecho de responderle: «Eh, eh, eh, eh, eh. Un momento. Usted me ha evaluado». Eso se relaciona con la cláusula del derecho a auditar. Por lo tanto, no puede volver a mí. Y en una cláusula del derecho a auditar, hay muchas estipulaciones adicionales. Necesito una notificación previa. Necesito tiempo para prepararme. Necesito hacer esto, etc., etc. Por lo tanto, debes asegurarte de tener algo más que la cláusula del derecho a auditar. Y algo que he estado promoviendo y que muchas organizaciones están empezando a hacer se llama el derecho a evaluar. La cláusula del derecho a evaluar es algo que básicamente dice que te vamos a evaluar y reevaluar en función de la tolerancia al riesgo, basándonos en la puntuación de riesgo que te asignamos. ¿Qué más puede vincularse a esa reevaluación del riesgo? Ese es el aspecto de la supervisión continua. Usted quiere ser sincero y compartir con ellos que vamos a realizar o que podríamos realizar una supervisión continua sobre usted, ya sea a nivel cibernético o una combinación de lo cibernético, financiero, operativo, etc. De acuerdo. Y ahora, cuando empiece a tener expectativas, ¿puede seguir adelante? Si va a hacerlo, tiene que saber quién autoriza en última instancia la aprobación o el rechazo del uso de dicho proveedor. ¿Es el tercero con el programa de gestión? ¿Hay un grupo? De hecho, teníamos algo llamado comité de evaluación de proveedores. En aquella época, les llamábamos «aspiradoras» porque les dábamos cosas y les decíamos: «Oye, necesito que lo firmes y no lo volveremos a ver». Así que VAC se convirtió en «aspiradora». Se enteraron, así que lo cambiamos un poco.

Bueno, ahí tienes un poco de humor para el jueves. Pero, ¿quién tiene que aprobarlo? Si no vas a utilizar un proveedor, ¿quién se encarga de informar a la unidad de negocio de que no se puede utilizar ese proveedor debido a los riesgos que supone para mi organización? Ese era yo. Y había ocasiones en las que teníamos un proceso de excepción en el que la unidad de negocio podía exponer sus argumentos. No solo yo, sino que también recurríamos al director de privacidad. Recurrimos al director de seguridad de la información o a cualquier otra persona que tuviera que participar en esa conversación. ¿Quién tiene autoridad para aprobar las excepciones? Ahora bien, cuando hablamos de excepciones, está bien que tengas una conversación con una unidad de negocio concreta y le digas: «No nos sentimos muy cómodos con la postura actual de este proveedor en materia de seguridad y privacidad. Sin embargo, entendemos que puede ser el único proveedor o la única fuente. Por lo tanto, lo vamos a aceptar y lo incluiremos en nuestro registro de proveedores, junto con nuestro registro de riesgos, en el que hemos hecho un seguimiento e identificado esto». De acuerdo. Ahí es donde resulta útil tener a alguien autorizado para aprobar esas excepciones. Desde una perspectiva cibernética, nueve de cada diez veces, vendrá de la oficina del CISO, pero en otras organizaciones, podría venir del director de riesgos o de alguna otra persona de alto nivel. Por último, ¿cuándo realizamos la diligencia debida? ¿Es antes o después del contrato? Muchos reguladores financieros le dirán que esta diligencia debida debe realizarse antes de la transacción real de datos. Por lo general, no se empieza a transaccionar datos hasta que se firma el contrato. He visto organizaciones que empiezan a transaccionar datos sin haber firmado el contrato. Tenga cuidado. La razón por la que digo esto es porque, si tienes un contrato, si realmente estás compartiendo datos entre vosotros y ocurre algo en tu proveedor y ese contrato aún no se ha firmado y ocurre algo allí, realmente no tienes ningún recurso legal para perseguir a ese proveedor porque el contrato no se ha consumado. Ahora bien, todo lo que te estoy contando aquí con respecto a los contratos, por favor, habla con tu asesor legal si necesitas más información al respecto, ¿de acuerdo? Cada organización es diferente. Por eso quería hacer esta pequeña advertencia.

Pero, de nuevo, estas son formas habituales de ayudar a superar estos retos comunes. ¿Qué hay de la diligencia debida para la incorporación? Quizás se pregunte: ¿qué herramientas utilizamos para realizar nuestras evaluaciones? Realmente depende del riesgo que necesite conocer de antemano. Existen muchas herramientas desde una perspectiva cibernética. Ya sabe, las grandes marcas. No hace falta que se las mencione aquí. También hay algunas marcas menos conocidas que son muy, muy buenas en lo que hacen. Puede que algunas de ellas le parezcan de un solo uso. Sea como sea, si aportan valor a su organización, considere la posibilidad de utilizarlas. Ahora bien, en el programa de gestión de riesgos de terceros, especialmente si usted reside en la rama cibernética de la organización, probablemente no esté utilizando estas otras herramientas, como el análisis crediticio y financiero, tal vez cosas desde una perspectiva ESG, pero puede utilizar herramientas aunque solo sean, ya sabe, las noticias de Google o tal vez debería consultar con su organización. ¿Tiene suscripciones a Bloomberg, Standard and Pores o U Lexus Nexus, algo que le pueda ayudar a realizar búsquedas estratégicas al menos sobre sus proveedores críticos? ¿Hay algo ahí fuera con respecto a una demanda? Estoy empezando a oír rumores de que, desde el punto de vista de la adquisición de E, este proveedor en particular podría ser objeto de una adquisición. ¿Qué significa eso para mí? ¿Podría uno de mis competidores hacerse con este producto o con este proveedor? Estas son las cosas en las que hay que pensar. ¿Hay algo relacionado con un proveedor que pueda tranquilizarte debido a una obligación legal a la que se enfrenta ahora? Quizá sea una demanda colectiva. Quizá estén haciendo negocios en Europa y una autoridad europea de protección de datos les haya impuesto una multa de varios millones de dólares y la prensa esté empezando a hacerse eco. Bien. ¿Qué datos se están procesando? Me gusta poner mucho énfasis en los datos y te diré por qué. Vivimos en una sociedad propensa a las demandas y, si manejas información de clientes o empleados y los proveedores lo hacen por ti, es realmente una buena idea comprender qué datos se están procesando. ¿Cuál es el valor de esos datos que se procesan?

El nombre, los apellidos y la dirección postal tienen mucho menos valor que el nombre, los apellidos, la dirección postal y los números de la seguridad social, los números EBT, los números de cuentas bancarias, etc., o la información sanitaria. Y en caso de que se produzca una violación de la seguridad con su proveedor, aquí es donde intervienen las autoridades de protección de datos y los bufetes de abogados. ¿Qué datos eran? ¿Cuántos registros se han visto afectados? Hay una gran diferencia entre 10 000 y 10 millones de registros. Vale, no solo hay que tener en cuenta el coste de un registro, que puede oscilar entre 5 y 50 dólares dependiendo de los datos, sino que ahora hay que multiplicarlo por 10 000 registros, por 10 millones de registros. Por lo tanto, es necesario comprender realmente qué datos se están procesando y cuáles son los registros. Ahora bien, ¿qué tipo de cuestionario se debe utilizar? Entiendo que existe algo llamado «fatiga del proveedor». Y lo más importante que intentamos impulsar, además de mi experiencia con las evaluaciones compartidas, es que realmente nos centramos en la estandarización utilizando algo que ya existe. Creo que una de las mejores cosas que he oído fue hace unos años, cuando estaba en Londres y le preguntaron a un representante de la Autoridad de Conducta Financiera si podíamos utilizar cuestionarios estandarizados. Este regulador miró a la persona y le respondió: «¿Por qué no? ¿Por qué intentar reinventar la rueda cuando ya existen herramientas excelentes?». Así que busque algo que esté estandarizado. Vale, hay una razón por la que son estándares del sector. Krevalent, por ejemplo, utiliza el cuestionario SIG. Depende de usted si quiere utilizar SIG light o SIG core. Quizás si está haciendo algo en el entorno de la nube, ¿quizás necesite algo como cake? Sea lo que sea, asegúrese de que el cuestionario que está utilizando ha sido evaluado y está en consonancia con los datos y el procesamiento que se está realizando. Algo que también debes tener en cuenta y que pude llevar a cabo con la organización en la que trabajaba anteriormente, cuando dirigía su programa, fue que creamos algo llamado lista de verificación de inteligencia de proveedores o VIC, por sus siglas en inglés.

El propósito del VIC era, y estoy seguro de que lo has visto, que te inundan desde una unidad de negocio diciendo: «Oye, estoy mirando estos cinco proveedores y no puedo decidir cuál elegir. ¿Me puedes ayudar a tomar esa decisión?». No, solo voy a mirar el que tú quieras seleccionar. Te diré algo, haré una compra por una porque soy una persona amable. Dame dos. ¿De acuerdo? Y tanto si haces un cargo retroactivo como si lo haces de otra forma, al menos estás aportando ese valor a la unidad de negocio al ayudarles. Una buena forma de evitar esto es trabajar con el departamento de compras y abastecimiento y elaborar una lista de verificación de información sobre proveedores. Incluso podría ser la luz SIG. Puede ser lo que tú quieras, pero es una forma de examinar al proveedor que se va a incorporar para asegurarte de que cumple los requisitos necesarios. Un ejemplo que he utilizado muchas veces es tratar al proveedor como si fuera un niño pequeño que quiere montarse en una montaña rusa. Esa montaña rusa puede ser una montaña rusa pequeña, lo que significa que es posible que solo le esté dando información confidencial de la empresa. Es posible que le estén ayudando con algo como esquemas de marketing u oportunidades de crecimiento, o puede ser esa montaña rusa de triple bucle, ya sabe, a 145 km/h, y usted les está dando 10 millones de registros de información sanitaria protegida u otro tipo de datos. De acuerdo, así que debes asegurarte de que su control es lo suficientemente alto como para subirlos a la atracción. Por último, no descartes tu propia red profesional. Estamos en una época en la que podemos coger el teléfono y llamar a la gente. Podemos comunicarnos con personas ajenas a nuestra organización y decirles: «Oye, ¿utilizas este proveedor en concreto? ¿Qué opinas de él?». Puede que te respondan: «Oh, nos encanta. Aquí son geniales». Y hay otros que dicen: «Oh, Dios mío, tío. No los tocaría ni con un palo de tres metros. Han tenido dos violaciones de datos en 18 meses». Vaya. No había oído nada de eso. Por lo tanto, poder recurrir a tu red profesional te ayuda a realizar la debida diligencia antes de incorporarlos. Y, por último, ¿tienes algún superpoder? Vale, voy a hacer un poco de publicidad descarada de un artículo que publiqué hace dos semanas sobre qué es un superpoder. ¿Conoces tu superpoder en la gestión de riesgos de terceros?

Cuando empieces a desarrollar tu carrera profesional y a utilizar las herramientas que tienes a tu disposición, empezarás a forjar tu superpoder. Lo que pasa es que la gente va a recurrir a ti y puede que no sean personas de tu propio grupo. Puede que sea alguien de compras, alguien de seguridad, alguien de TI, quien te llame y te pregunte: «Oye, ¿me puedes ayudar con esto?». Estas son las cosas que debes tener en cuenta al realizar la debida diligencia para tu incorporación. Riesgos a tener en cuenta al abandonar la empresa. Muchas organizaciones siguen teniendo dificultades para desarrollar una estrategia de salida. Y te diré por qué: simplemente porque a la gente no le gusta decir adiós. Vale, es la naturaleza humana. Nos gustan las relaciones. Nos gusta... Sé que me habéis decepcionado un par de veces, pero, en comparación con otras organizaciones, sois relativamente baratos. Es relativamente fácil trabajar con vosotros. Vale, vuestra tasa de precisión podría ser mejor, pero sé que ya lo hemos hablado diez veces, así que veamos si podemos mejorarla. Llega un momento en el que hay que dejar los lápices, entregar el examen y calificarlo adecuadamente. Por lo tanto, al elaborar una estrategia de salida, esto recae en la unidad de negocio y es aquí donde la gestión de riesgos de terceros puede ayudar a aportar valor a la unidad de negocio, actuando como enlace, como intermediario con el departamento jurídico, con el departamento de compras y aprovisionamiento y con otras organizaciones para decir que tenemos que elaborar y desarrollar una estrategia de salida. Y lo mejor es incluir esto en el acuerdo. Mira, en caso de que tengamos que separarnos, así es como lo haremos. Esto es lo que vamos a hacer. Incluso si solo se van a utilizar para un pequeño compromiso, tal vez sea solo este proyecto puntual, debes tener una estrategia de compromiso en caso de que cambies de opinión y empieces a pensar: «Vale, esto no está funcionando». Así que es algo a tener en cuenta. No proporcionar la notificación adecuada de rescisión o no renovación. Hay ocasiones en las que te vas a encontrar con una situación en la que vas a separarte de un proveedor y no se lo comunicas en un plazo determinado.

Por lo tanto, debes asegurarte de poder compartir esa información por adelantado con el proveedor. Es una buena práctica poder hacerlo, pero algunas personas darán media vuelta y dirán: «Mira, vamos a separarnos y seguir adelante». Hacer eso puede causar un problema con el siguiente punto, que es la falta de servicios paralelos o de transición. Si vas a hacer esta transición. Disculpe, mi gato ha decidido tumbarse aquí. Si se va a dar una situación en la que va a migrar a un nuevo proveedor, es una buena oportunidad para que, con unos tres a seis meses de antelación, empiece a planificar los servicios paralelos o de transición. Si ya tiene otro proveedor preparado, empiece a trabajar con él y proporciónele los datos reales que le van a llegar. Así, cuando llegue el momento de dar el paso y cambiar de proveedor principal, tendrá esa capacidad. Ya estará todo preparado y su equipo podrá trabajar con ellos. Esto ayudará a eliminar las interrupciones del servicio durante el periodo de transición. Cuando haya noticias de que la unidad de negocio le dice al proveedor: «Mira, vamos a separarnos», no estamos satisfechos. Estamos en septiembre. Le informo de que vamos a dejar de trabajar con usted a finales de diciembre. ¿De acuerdo? Este es el momento en el que empieza a trabajar con ellos y es muy probable que ya estén preparados. No estamos satisfechos. Estamos en septiembre. Les informo de que vamos a dejar de trabajar con ustedes a finales de diciembre. ¿De acuerdo? Este es el momento en el que empiezas a trabajar con ellos y es muy probable que quieran dejarte un buen sabor de boca y decir: «De acuerdo, bueno, espero que nos contactes en el futuro». ¿De acuerdo? Por lo tanto, querrán trabajar con usted durante ese período de transición. Es muy importante. ¿Qué hay de recuperar sus datos, en particular de terceros? Debe tener en cuenta el riesgo de que el proveedor, su tercero, no comparta con su cuarto lo que está sucediendo. Por lo tanto, con respecto a eso, debes confirmar que los datos van a volver al tercero. Si van a alojarse en el cuarto, debes poder compartir con ellos tu calendario de retención de datos, tus períodos de retención de datos. Y no puedes simplemente bloquearlos y darles el visto bueno.

He visto a algunas personas, algunas personas, debería decir, acercarse a mí y decirme: «¿Puedo seguir evaluando a un proveedor con el que ya no tengo relación?». Y la respuesta a esa pregunta es realmente no. Si no tienes una relación contractual con el proveedor tercero o incluso cuarto y les preguntas: «Bueno, miren, ustedes almacenan mis datos, así que me gustaría evaluarlos en este aspecto». Te dirán: «No, almacenan esos datos debido a una obligación legal». Por lo tanto, siguen teniendo que cumplir las expectativas definidas en esos contratos y con respecto a la seguridad y la gestión de la privacidad que establecieron originalmente. De acuerdo. Por último, garantizar la continuidad... Un momento, amigos. Mis disculpas. Garantizar la continuidad de la protección de datos en curso. Aquí es donde hay que asegurarse de que la protección de datos siga existiendo en caso de que... Ya lo he mencionado antes con respecto a que cumplen con su protección de datos... perdón, con sus directrices de retención de datos, y usted asume que seguirán teniendo controles sólidos en torno a esos datos. Lo que pueden hacer es solicitar recibir un informe periódico de la norma SOC 2 si lo hacen, de modo que al menos puedan decir que siguen haciendo un seguimiento y puedan compartirlo con su departamento jurídico e incluso con el personal encargado de la retención de datos dentro de su organización. Por último, déjenme tomar un sorbo rápidamente. Gracias. Procesos recomendados para garantizar la convergencia de programas. He estado hablando de algo llamado «convergencia de programas». Voy a publicar muy pronto un blog sobre la madurez generacional de los programas en el ámbito del riesgo de terceros. Es algo que publiqué antes en otra conferencia. Solo quiero darlo a conocer más para el consumo público. La convergencia de programas sitúa a su organización en lo que yo denomino la cuarta generación de madurez de programas. Y eso es que el programa de gestión de riesgos de terceros se cruza y mantiene ese diálogo con el abastecimiento y las adquisiciones, con los grupos jurídicos, financieros y otros grupos de segunda línea. De hecho, ha establecido funciones, responsabilidades y procesos definidos. Y estos se definen dentro de su política de gestión de riesgos de terceros.

Puedes mostrar esos vínculos desde la política de gestión de riesgos de terceros hasta las otras organizaciones que proporcionan, eh, los otros tipos de, eh, orientación operativa y apoyo a tu programa. Además, en este programa, la convergencia le permitirá ver la certificación de profesionales, junto con certificaciones relacionadas con los procesos, que podrían ser, eh, las certificaciones ITIL, una certificación ISO o una certificación de cinturón negro, y luego empezará a ver a personas dentro de esas funciones respectivas que también tienen certificaciones, ya sean PMP o CTPRP. Yo imparto las certificaciones CTPRP y CTP. Eh, podrían ser otras certificaciones de riesgo de terceros, otras certificaciones de seguridad, otras certificaciones de abastecimiento y adquisición, certificaciones de adquisición profesional CPP, cosas por el estilo. Ahí es donde empezarás a ver esta convergencia de la gestión de riesgos de terceros con otras organizaciones y realmente podrás documentarlo desde la perspectiva del proceso. Y esto nos lleva de vuelta a los procesos de adquisición, los flujos de procesos y otros mapas que se definen y revisan porque son fundamentales para tus generaciones de gestión de riesgos de terceros. Usted está analizando las cosas desde sus procesos, comprendiendo los cómo, los beneficios, quién es responsable de mantener y documentar estos procesos críticos en su cadena. Bien, esto va a ser fundamental cuando tenga un auditor externo, un regulador o una revisión interna para ver y comprobar que, de acuerdo, el abastecimiento y las compras son responsables de esto. Recurrimos al departamento jurídico para esto. Notificamos a los responsables de seguridad de la información, a los responsables de gestión de instalaciones, y así sucesivamente. Debe asegurarse de que esos procesos y flujos de procesos estén documentados. ¿Lo comparte con otras personas? ¿Le responden diciendo: «Bueno, espere un momento. Aquí, en abastecimiento y adquisiciones, esto ha cambiado. Estas funciones han cambiado»? Eso le ayudará a documentar lo que está sucediendo dentro de su programa y realmente agilizará las operaciones durante el proceso de incorporación y salida.

Bueno, unas últimas reflexiones ahora que nos acercamos a la temporada navideña. Sé que es difícil de creer, ¿verdad? Ya estamos en octubre, pero a medida que se acercan noviembre y diciembre y empieza a haber un poco más de tranquilidad, si puedo usar ese término en relación con las evaluaciones de riesgos de terceros, es un buen momento para que usted y su organización se relajen, revisen y analicen sus procesos y normas de incorporación y salida. Realice los ajustes necesarios en su política. Y, de nuevo, me refiero a los vínculos con otras organizaciones en las que confía. También podrían ser otras cosas relacionadas con la forma en que llevamos a cabo la diligencia debida. Afrontar sus retos comunes realmente aporta responsabilidad, auditabilidad y, lo que es más importante, credibilidad a su programa. Esto será un motivo de orgullo que los altos cargos de la dirección podrán ver. Es una gran oportunidad para recalibrar su diligencia debida. ¿Hay algo que debamos cambiar? ¿Hay algo relacionado con PCI que debamos empezar a tener en cuenta en nuestra diligencia debida? Quizás vayamos a recalibrar la forma en que utilizamos las herramientas de supervisión continua. Quizás vayamos a recalibrar la forma en que hacemos las cosas con un proveedor crítico y un proveedor de alto riesgo. Quizás vayamos a recalibrar y decir: «¿Sabes qué? No necesitamos examinar todos estos controles para nuestros proveedores de bajo riesgo. Por lo tanto, esta es una oportunidad maravillosa para que lo aproveche, ya que también le ayudará en su proceso de incorporación. Usted quiere seguir ofreciendo información para aportar eficiencia al proceso de abastecimiento y adquisición. Y, de nuevo, al disponer de este periodo, este tipo de diálogos y estas relaciones realmente podrán impulsar eso. Por último, programa reuniones con las partes interesadas de estas organizaciones con tus segundas líneas. Conviértete en ese centro de análisis. Considérate como un centro interno de intercambio y análisis de información ISAC en el que puedes sentarte y decir: «Hola, abastecimiento y adquisición, esto es lo que veo. Hola, seguridad, esto es lo que veo, etc.». Y pídeles que te proporcionen algunas métricas.

¿Estamos cumpliendo con nuestros acuerdos de nivel de servicio en cuanto a la incorporación de proveedores? Es posible que haya unidades de negocio que piensen: «¿Sabes qué? Esto ha tardado entre 45 y 50 días y realmente nos está ralentizando». Bueno, ¿cuál es tu acuerdo de nivel de servicio? Si tu acuerdo de nivel de servicio dice 30 días y no puedes cumplirlo, esta es una excelente manera de solucionarlo trabajando con las partes interesadas y diciendo: «¿Somos nosotros o la expectativa de 30 días es un poco demasiado agresiva? Quizás debería ser de 45 días. Quizás debas volver atrás y alertar a la oficina de gestión de proyectos y a otras organizaciones. Esta es la expectativa. Tenemos que recalibrarla debido a problemas de personal, problemas tecnológicos, etc.». He proporcionado mucha información. Sé que tenemos algunas preguntas. Veo que se está iluminando aquí. Me alegro de que tengamos la oportunidad de hacer esto rápidamente y luego le cederé la palabra a Scott, de Prevalent, para que pueda aportar alguna información adicional sobre Prevalence. Melissa, ¿hay algo de lo que podamos hablar?

Melissa: Bueno, voy a animaros a todos a que pongáis algunas preguntas en ese cuadro de preguntas y respuestas. Sé que lo hemos estado comentando en el chat, pero ponedlas ahí. No sean tímidos. Siempre pueden preguntarle de forma anónima. Y luego, Scott es nuestro vicepresidente de marketing de productos aquí. Va a decir unas palabras y, bueno, te cedo la palabra, Scott. Así que, dejen de compartir rápidamente. Scott puede compartir su pantalla y seguiremos adelante.

Vale. Entonces, voy a parar aquí.

Melissa, ¿queremos hacer la sesión de preguntas y respuestas ahora o esperamos a que Scott termine?

Melissa: Esperaré a que la gente plantee más preguntas. Me parece bien. Gracias.

Scott: Genial. Una comprobación rápida. ¿Podéis ver mi diapositiva? ¿Todo bien, Tom?

Tom Geruba: Sí.

Scott: Genial. Muy bien. Genial. Chicos, eh, gracias a todos por dedicar su tiempo a participar en el seminario web de hoy. Creo que Tom siempre hace un trabajo magnífico al sintetizar algunas de las cosas más importantes en las que debemos pensar en algunas de las etapas más importantes del ciclo de vida de los terceros. Estas consideraciones, estos tipos de riesgos, estas tareas, ya saben, todo aquello que a menudo se pasa por alto porque, como saben, tenemos prisa. Tenemos un gran volumen de trabajo que hacer y, como saben, sabemos que siempre hay consecuencias al otro lado. Quiero explicar muy brevemente cuál es nuestro enfoque para ayudar a resolver algunos de estos retos. En primer lugar, nuestra perspectiva sobre el riesgo de terceros y los objetivos que intentamos ayudarles a alcanzar son realmente tres. El primero es ayudarles a obtener los datos que necesitan para tomar mejores decisiones, y me refiero específicamente al contexto de la incorporación y la salida de empleados. Vemos que muchas empresas buscan una herramienta de supervisión cibernética para obtener una puntuación de la salud cibernética antes de tomar una decisión de contratación, selección o incorporación. Vemos a gente consultando informes financieros de D&B o haciendo búsquedas en Lexus Nexus sobre noticias recientes, sanciones o problemas similares. Ese tipo de enfoque aislado ralentiza un poco las cosas. Nuestra opinión al respecto es que hay que intentar consolidar gran parte de esa información en un solo lugar para que puedas ampliar esa visibilidad a todos los diferentes tipos de dominios de riesgo y a las diferentes partes interesadas de toda la empresa. Así, todos cantan al unísono, por así decirlo, o ven el mismo nivel de datos, obtienen mejores datos de forma más coherente para tomar mejores decisiones. En segundo lugar, y esto encaja perfectamente con mi punto anterior, la eficiencia tiende a ser el mayor obstáculo para el éxito a largo plazo de un programa de riesgo de terceros. Y ya sea por el volumen de proveedores, hay que evaluar la falta de recursos que ayuden a realizar el trabajo, o tal vez porque se está estancado en procesos manuales, todo el mundo tiene algo que esperar de una iniciativa de riesgo de terceros. El equipo de seguridad necesita conocer los controles de seguridad. El departamento de compras necesita saber si son una preocupación viable y continua. El departamento de cumplimiento debe saber si tienen alguna sanción o infracción en su contra, lo que sea. Y si intentas hacerlo con un conjunto de herramientas o procesos inconexos, con un enfoque manual o en silos, quiero decir que no es bueno. Entiendo que esa es la realidad de muchas organizaciones y lo comprendo, pero sabes que es contraproducente. Y en tercer lugar, y esto realmente se nutre de los dos primeros puntos. Si se obtienen buenos datos para tomar buenas decisiones, si se es capaz de hacer más con los recursos que se tienen a través de la automatización y la inteligencia, en última instancia, se estará en una mejor posición fundamental para evolucionar y ampliar el programa con el tiempo. Y eso es realmente lo que estamos tratando de ayudarles a conseguir con su programa. Datos de calidad ejecutados de forma mucho más eficiente para ayudarte a crecer, ampliar y desarrollar tu programa con el tiempo. Y realmente vemos la gestión de riesgos de terceros desde una perspectiva de ciclo de vida. Y ya sabes, todo lo que Tom ha comentado hoy se encuentra claramente en el lado izquierdo de este diagrama del sol naciente, por así decirlo, y en el lado derecho, ¿verdad? Y lo que vemos que les cuesta a las organizaciones desde el punto de vista de la incorporación es no tener realmente una única fuente de verdad para todos esos datos que he mencionado en la diapositiva anterior. Ver los procesos de riesgo de los datos en silos y no unificarlos en un lugar concreto. Todo, desde la RFX hasta la contratación, pasando por la incorporación de proveedores, todo eso, si ocurre en diferentes lugares, entonces se corre el riesgo de no alcanzar los objetivos. Eh, mis auriculares me indican que me estoy quedando sin batería. Ha sido uno de esos días. Son solo las 12:30. Voy a pasar rápidamente a las siguientes diapositivas. Abordamos estos diferentes tipos de riesgos a lo largo del ciclo de vida en estos grupos y podemos ayudarle consolidando esta información.