Cómo alinear las compras con el riesgo de terceros para una gestión exitosa de los proveedores

Presentador/moderador: Bueno, la razón por la que están aquí hoy es porque Prevalent nos trajo un ponente y una presentación increíbles para compartir con nosotros. Estamos hablando de alinear la gestión de riesgos de terceros con el equipo de compras. Y les digo que este es el tema más importante que tenemos. Ya sea que se trate de sostenibilidad, ESG, diversidad, equidad o inclusión, cada vez que se habla de estos temas, también se menciona el riesgo de terceros. Así que voy a presentarles y pedirles que pasen a la pantalla. Pero primero, está Brian Littlefare, fundador y director ejecutivo de Cambridge Cyber Adviserss, también conocida como CCA. Cuenta con 25 años de experiencia liderando equipos de seguridad de la información y ciberseguridad. Está especializado en asesorar a equipos ejecutivos y consejos de administración de algunas de las organizaciones más grandes del mundo sobre su estrategia de seguridad, así como en proporcionar orientación y tutoría en materia de consultoría de seguridad a la comunidad de directores de seguridad de la información. Así que estoy muy emocionado. También es titular de varias patentes en el ámbito de la seguridad de la información y ponente habitual en eventos sobre seguridad. Hoy le acompaña Alistair Parr. Alistair no va a aparecer en pantalla hoy. Alistair será la voz misteriosa detrás de la pantalla, pero es el responsable de garantizar que las demandas del mercado se tengan en cuenta y se apliquen de forma innovadora dentro de la cartera de Prevalent. Se incorporó a Prevalent procedente de 3GRC, donde fue uno de los fundadores y responsable de definir los productos y servicios. Cuenta con 12 años de experiencia en gestión de productos, consultoría y operaciones. Al principio de su carrera, también fue director de operaciones del proveedor global de servicios gestionados IntelliScure, donde se encargaba de supervisar los programas de protección de datos y gestión de riesgos para sus clientes. ¿No os dije que estos son dos de los ejecutivos más increíbles que podríamos tener aquí hoy? Brian, bienvenido a la pantalla, y Alistair, bienvenido por voz.

Brian Littlefair: Muchas gracias. Alistair Parr: Gracias, Dawn. Hola, Brian.

Brian Littlefair: Hola, Alistister. Muy bien, hola a todos. Ya me han presentado, me llamo Brian Littlefair. Es un placer poder pasar este rato con vosotros. Tanto Alistister como yo nos unimos a vosotros desde el otro lado del charco, por así decirlo. Los dos estamos conectados desde el Reino Unido. He sido responsable sénior de seguridad en varias organizaciones multinacionales bastante grandes. Y una de las cosas que observo con bastante frecuencia, tanto en las empresas en las que he trabajado como en las que ahora asesoro, es que sigue existiendo una brecha entre los equipos de seguridad y la función de compras. Y toda mi presentación de hoy trata sobre cómo podemos cerrar esa brecha. Espero poder esbozar algunas de las ventajas y Alice lo complementará con su experiencia. Pasemos a la siguiente diapositiva, donde hablaremos de cómo se ha llegado a esta situación, algo que considero muy importante. No podemos evitar la pandemia de COVID-19 en la que nos encontramos hoy en día, pero la COVID-19 realmente ha cambiado el mundo de los directores de seguridad de la información. Las políticas para una pandemia de gripe siempre han sido una parte fundamental de su conjunto de políticas. Pero nadie esperaba que se invocaran y, aunque se invocaran, estaban pensadas y redactadas para un periodo de tiempo muy corto. Nada que ver con la duración que estamos viendo en este momento. Así que algunas de las cosas que tenían que hacer, tuvieron que cambiar rápidamente, ya sabes, cómo fluyen los datos en una organización. Tuvieron que convertir, ya sabes, aceptaciones de riesgos muy provisionales que pensaban que solo durarían unas semanas, en, ya sabes, 6 meses, un año, 18 meses, y en realidad parece que algunas de ellas van a ser permanentes en el futuro. Las políticas y normas, que suelen ser el alma de una organización de seguridad, dictan a la empresa cómo debe operar para mantener la seguridad. Bueno, muchas de ellas simplemente dejaron de ser relevantes en la situación en la que nos encontrábamos. Así que, en realidad, como función de seguridad, su mundo se puso patas arriba. Y las organizaciones tuvieron que reaccionar. Tuvieron que reaccionar para sobrevivir.

Brian Littlefair: Eh, y sé que algunos lo hicieron muy bien y siguen en activo, pero otros, como sabéis, no pudieron adaptarse con la suficiente rapidez y eso ha afectado mucho a su negocio. Lo que estamos viendo ahora es una industrialización de algunas de esas medidas temporales que hubo que poner en marcha. De hecho, ahora hay que convertirlas en permanentes. Antes de entrar en la llamada con todos ustedes, estábamos discutiendo en la sala plenaria que algunas organizaciones están siendo muy flexibles estratégicamente con el lugar donde trabajan sus empleados, otras quieren que vuelvan a la oficina y, en realidad, es tarea de la función de seguridad entrelazar todos esos diferentes estilos y modalidades de trabajo y ofrecer alguna forma de trabajo seguro. Pero sigo pensando que existe una relación muy estrecha con la función de adquisiciones que puede ayudar realmente a impulsar esto. Pero, para complicar aún más la situación con la COVID-19, hay otra dinámica en juego. Hemos visto un aumento sin precedentes de los impuestos de seguridad en organizaciones de todo tipo y tamaño en todo el mundo. Tanto si estás en Estados Unidos como en el Reino Unido, ya sea la NSA o el Centro Nacional de Ciberseguridad aquí en el Reino Unido, todos están enviando directrices a sus empresas y colegas de negocios para decirles: «Estamos siendo atacados. Estáis siendo atacados y tenemos que reforzar nuestra seguridad». Y esa cadena de suministro es uno de los vectores de ataque más viables para cualquier organización. Una gran organización global puede tener 2000, 3000 o 5000 proveedores que gestiona, y varios de esos proveedores pueden estar conectados a su red de forma permanente con empleados de confianza. Así que, cuando eres un hacker o un atacante, puedes intentar comprometer a la organización matriz, pero, en cierto modo, será mucho más fácil entrar en esa organización a través de su cadena de suministro, a través de algunas de esas empresas más pequeñas en las que confía y que no invierten tanto en seguridad como la organización matriz. Por lo tanto, algunas organizaciones están siendo objeto de ataques porque están muy conectadas e interconectadas con otras organizaciones. Esto es lo que vemos en nuestra inteligencia sobre amenazas.

Brian Littlefair: Entonces, si juntamos estas dos cosas, la pandemia de COVID-19 y este nivel sin precedentes de ataques que estamos viendo, es prácticamente la tormenta perfecta. Hay un cambio masivo, hay una interrupción masiva agravada por esos ataques que llegan desde todos los ángulos. Y, realmente, no podemos ignorarlo. Tenemos que orquestar el cambio. Tenemos que ser capaces de reaccionar en consecuencia. Y, de hecho, tenemos que esperar que nuestra cadena de suministro dé un paso adelante y comience a implementar controles de seguridad como los que esperaríamos ver en nuestra organización matriz, y eso es lo que veo que realmente va a cambiar en el futuro. Así que, si pasamos a la siguiente diapositiva, utilizando eso como contexto, podemos ver por qué las organizaciones están nerviosas por el riesgo de la cadena de suministro, y es una de las conversaciones más frecuentes que tengo con las empresas, porque es un riesgo realmente difícil de gestionar. Estás tratando de comprender el estado de seguridad de muchos miles de tus proveedores y cómo te afecta si tienen un problema. Si tienen un problema de seguridad en su organización, ¿cuál es el efecto posterior en usted como organización matriz? ¿Puede seguir prestando sus servicios y suministrando sus productos a sus clientes? En realidad, es mucho más que un simple tercero. Es un cuarto, un quinto, dependiendo de su sector. A menudo lo llamamos riesgo de terceros, pero todos sabemos que algunos de nuestros proveedores subcontratan el trabajo que les encargamos. Así que, en realidad, se está filtrando y creando un panorama cada vez más complejo. Y realmente necesitamos entender cómo podemos adelantarnos a esa curva y utilizar herramientas y capacidades innovadoras para ayudar a procesar todos esos datos y presentarnos una imagen realmente clara de cuál es nuestra exposición al riesgo. Y los reguladores y los gobiernos han observado cómo se desarrolla esta situación. Han notado el aumento de los eventos e incidentes de seguridad. Han visto cómo organizaciones grandes y pequeñas se ven comprometidas por su cadena de suministro.

Brian Littlefair: Y, de hecho, están empezando a regular realmente, ya sabes, estas son nuestras expectativas, esto es lo que necesitamos que hagáis, y están siendo muy prescriptivos en cuanto a lo que una organización tiene que poner en marcha para poder gestionar eficazmente ese riesgo de la cadena de suministro. Pero si no estás en un sector muy regulado, si no estás en el sector sanitario o financiero, por ejemplo, donde el regulador te ejerce mucha presión, puedes utilizarlo como una herramienta muy útil para poner en marcha un programa como este. ¿Qué pasa si estás en una función normal, aislada, que no está impuesta por los reguladores y aún así tienes que hacerlo porque, obviamente, conlleva un coste? La implementación puede ser compleja, dependiendo de la complejidad de su organización, pero en última instancia se trata simplemente de hacer lo correcto. Sus clientes le confían sus datos y, en última instancia, ese es el objetivo de cualquier ataque. Por lo tanto, creo que las organizaciones tienen la responsabilidad personal de hacer todo lo posible para proteger esos datos, lo que significa proteger también la cadena de suministro. Sin embargo, muchas empresas llevan mucho tiempo gestionando el riesgo de terceros. Sin duda, algunos aspectos siempre se han llevado a cabo también dentro del ámbito de las compras. Y ahí es donde vamos a centrar el resto de la conversación. ¿Cómo podemos aprovechar esos conocimientos sobre compras que, obviamente, todos los que estáis en esta llamada tenéis, y cómo podemos aprovecharlos en los mensajes de seguridad? Obviamente, depende de vosotros, chicos y chicas, llevar estos mensajes a vuestros equipos de seguridad y decir: «Oigan, he tenido una conversación fantástica y, como saben, tenemos muchos intereses comunes y deberíamos trabajar más estrechamente juntos. Si logramos ese resultado y ese objetivo, será por el bien de todos». Creo que muy pocas organizaciones afirmarían con total seguridad que la cadena de suministro no supone ningún riesgo para ellas. No importa qué herramienta o qué proceso utilicen. Siempre hay incógnitas y siempre puede pasar algo. Por lo tanto, no vamos a tener una comprensión clara de eso en el futuro. Pero pueden reducir significativamente esa exposición.

Brian Littlefair: Y lo que tenemos que hacer es dejar de usar Microsoft Excel. No es una crítica a Microsoft. Microsoft Excel es una plataforma estupenda. Es una herramienta fantástica, pero no sirve para gestionar el riesgo de terceros. Y veo que se utiliza una y otra vez para crear grandes hojas de cálculo. No puede realizar el análisis. No puede incorporar la perspectiva de las amenazas, que ahora es realmente importante. No está diseñado para gestionar los riesgos de terceros. Por lo tanto, si actualmente utiliza Excel para hacer esto en su organización, esperamos poder presentarle y mostrarle que hay una forma diferente de abordar este problema y este reto. Alistister, ¿algo que añadir a esa diapositiva?

Presentador/moderador: Brian, acabamos de lanzar la encuesta. Así que, amigos, si pueden ir a la pantalla principal, donde dice: «¿Tienen previsto ampliar o establecer un programa de riesgos de terceros en los próximos meses? Sí, no o no estoy seguro». Si pudieran hacer clic en una de esas opciones y enviarla, nos darían una idea de cuántos de ustedes tienen un programa, están considerando uno o tal vez algunos de ustedes no creen que esta sea un área de gran riesgo. Nunca se sabe. Pero Brian, tienes toda la razón en lo que respecta a conocer a tus terceros, cuartos y quintos. Ayer tuve un evento de CPO y había unos 35 CPO. No pueden identificar a sus cuartos.

Brian Littlefair: Sí. Presentador/moderador: Y los proveedores no quieren revelar quiénes son sus proveedores. Eso supone una gran laguna y un riesgo enorme. En cuanto tengamos los resultados, los publicaremos para que todos puedan verlos. Ahora voy a salir de cámara y te devuelvo la palabra, Brian. Alistair Parr: Genial. Gracias, D. Volveremos a eso en un momento. Es interesante, Brian, porque hemos visto algo muy similar. Con la llegada de la COVID, y somos conscientes de que ha afectado a todo el mundo durante los últimos 18 meses aproximadamente, se ha puesto un énfasis significativo en la resiliencia de la cadena de suministro en términos generales. Ahora bien, esto ha llevado a muchos de los CESOS con los que hemos hablado a tener una falsa sensación de seguridad, ya que dan por sentado que las cadenas de terceros se gestionan de forma eficaz, ya sea mediante la adquisición o la información descendente. Pero la realidad es que la resiliencia, como tú has destacado, es solo una pequeña parte del panorama general. Por mucho que entendamos que existe cierto grado de resiliencia empresarial en relación con la COVID y la recuperación ante desastres en concreto, esto no afecta a algunos de los elementos más amplios que creo que usted ha insinuado y mencionado. Por lo tanto, los componentes del conjunto de información, los datos complementarios que se pueden obtener para ayudar a esclarecer las lagunas, la información contextual, etc. Mucho de eso se ha dejado de lado en comparación con este enfoque en la resiliencia, y los CESOS están ahí asumiendo que estos programas de terceros son robustos y maduros porque están obteniendo todos estos datos, pero eso no refleja realmente su postura de riesgo. Por lo tanto, para lograrlo, recomendamos y sugerimos encarecidamente que se tengan en cuenta todos los componentes de su programa de terceros más allá de la resiliencia como tema de actualidad.

Brian Littlefair: Genial. Gracias, Alistister. Si miramos la siguiente diapositiva, veremos que es bastante habitual en los clientes con los que trabajo, y lo veo muy a menudo, que el equipo de riesgos de terceros y los equipos de compras sigan procesos separados y distintos. Ahora bien, eso puede estar bien, y desde luego no estoy defendiendo que tengan que utilizar las mismas plataformas y herramientas para todo lo que hacen, porque los equipos de seguridad van a tener herramientas con las que los equipos de compras no tienen que interactuar y viceversa. Pero estos dos procesos son gestionados por equipos diferentes, por supuesto, que utilizan herramientas y procesos diferentes. Ofrecen una perspectiva diferente del riesgo de los proveedores en la cadena de gestión. Y eso es lo que me parece problemático, que el mensaje sobre el perfil de riesgo de un proveedor para la organización matriz debe armonizarse. Por lo tanto, si el equipo de compras está realizando un análisis de los proveedores y el equipo de seguridad está realizando un análisis de los proveedores, deberían llegar a un conjunto de datos común. Lo que no puede ocurrir es que el equipo de seguridad considere que el proveedor X es intrínsecamente arriesgado, pero el equipo de compras piense que está bien, porque esto solo confunde tanto a las partes interesadas internas como al proveedor, ya que el equipo de compras dice que sí, que están de acuerdo con él, y el equipo de seguridad piensa que, en realidad, tienen un pequeño problema con este proveedor. Así que tienes a la misma empresa acudiendo potencialmente al mismo proveedor por dos vías diferentes y nunca se cruzarán. Puede que esto suene extraño y pienses que no ocurre. Yo lo veo todo el tiempo. Por lo tanto, lo que defiendo es que creemos una visión única de los proveedores, ya sean terceros o cuartos y quintos, como estamos discutiendo hoy. Esto es muy importante, también, con todos los retos de recursos y presupuesto a los que se enfrentan las organizaciones y que afectan tanto al equipo de compras como al de seguridad. No tiene sentido duplicar los esfuerzos en este sentido. Se trata de cómo converger y aprovechar esa experiencia que existe en toda la organización, porque todos intentamos obtener el mismo resultado, ¿no? Intentamos comprender qué riesgo supone este proveedor para nosotros y conocer mejor a los proveedores para saber si pueden tener algún problema. ¿Son buenos en materia de seguridad? ¿Son malos en materia de seguridad? Creo que eso es lo que fundamentalmente se reduce y sabes que si tienes que utilizar este suministro porque son un nicho, pero si algo sale mal, ¿cómo vas a poner en marcha la continuidad del negocio para poder pasar a otro proveedor o respaldar ese servicio que llega a tu empresa matriz? Todas estas son preguntas vitales que creo que estos tres equipos, ya sea su equipo de seguridad y su equipo de compras, sin duda, pero si se trata de una organización más grande, también tendrá un equipo de riesgos. Y se trata de converger esas opiniones para conseguir esa visión común de cara al futuro. Alistister, si puedes pasar a la siguiente diapositiva, comentaré esto y luego te contaré lo que estoy empezando a ver surgir, pero es en las organizaciones más grandes de los sectores regulados y, de hecho, en las organizaciones más grandes que no están reguladas o, en mi opinión personal, lo que he experimentado en mi base de clientes es que están un poco rezagadas y tratando de ponerse al día con esta visión. Pero veo organizaciones que han adoptado el objetivo de intentar conseguir una gestión de riesgos eficaz y holística. Ya han identificado que hay más de un equipo dentro de la organización que puede contribuir a obtener esa visión holística y lo que sin duda defiendo ante mis clientes con los que hablo es que se alineen con el equipo de compras para identificar los objetivos comunes y compartidos que existen claramente entre los dos equipos y proporcionar esa visión única del proveedor para consumo interno, porque no se quiere que esos mensajes distintos y diferentes suban por la cadena de suministro. Esto permite, obviamente, tomar decisiones internas que evalúan y sopesan si ese proveedor permanece, cambia, obtiene más negocio, obtiene menos negocio, etc. Todo ello se hace desde una posición de riesgo alineada, no desde conjuntos de datos diferentes. Alistister, ¿tienes algo que añadir al respecto?

Alistair Parr: Sí, Brian. No, muy interesante. Una vez más, algo que vemos con bastante frecuencia como parte de esa divergencia es el hecho de que cada uno de estos equipos consume datos muy similares, pero el nivel de detalle que necesitan varía para cada uno de los conjuntos de datos. Así, los equipos de adquisiciones se centran más en algunos de los aspectos de cumplimiento normativo, ESG, por supuesto, lucha contra el soborno, la corrupción, la esclavitud moderna, etc. Y luego el equipo de seguridad, naturalmente, se sumerge en más información sobre su postura cibernética, etc. Ahora bien, siguen recurriendo a las mismas fuentes, pero el nivel de detalle que cada uno de ellos necesita para sus respectivas líneas de trabajo difiere, y ese es un factor clave de lo que hemos visto que se relaciona con parte de esta divergencia. Pero algo que hemos visto que funciona bastante bien, y que se relaciona exactamente con lo que usted dice sobre los objetivos comunes y la alineación, es la convergencia de la creación de ese conjunto de datos centralizado, pero proporcionando los medios y mecanismos para que cada uno de esos equipos respectivos consuma solo el nivel adecuado de detalle que necesitan para impulsar su función empresarial. De esa manera, no sienten que están improvisando para extrapolar lo que necesitan, y eso es un verdadero arte. Así que ese es el problema que vemos que mucha gente está tratando de resolver en este momento: converger ese conjunto de datos por todos los medios, pero también permitir que las personas extraigan el nivel adecuado de detalle de ese conjunto de datos convergentes. Así que es muy interesante.

Brian Littlefair: Bien. No, estoy completamente de acuerdo. De acuerdo, quiero compartir con ustedes una diapositiva y saben que esto es lo que les muestro a los profesionales de la seguridad para que se hagan una idea del mensaje que transmito a los directores de seguridad informática. Como saben, soy mentor de bastantes de ellos. Hablo en muchas conferencias sobre seguridad y, como saben, intento ser un poco provocador y desafiar el statu quo para que podamos impulsar y llevar a cabo cambios, porque hay muchas cosas que no están donde deberían estar desde el punto de vista de la seguridad. Así que espero que capten el mensaje. Pero si nos fijamos en algunos de los objetivos principales que intentamos alcanzar aquí, el equipo de adquisiciones y el de seguridad deberían ser sus nuevos mejores amigos. Los objetivos que veo en la función de compras de una gran organización multinacional típica están muy alineados con los de la función de seguridad. Se puede ver en términos de lo que realmente intentan hacer y lo que realmente intentan impulsar. Por ejemplo, como todos saben, las compras quieren ir rápido. No pueden permitirse frenar la agilidad empresarial con procesos largos y tediosos. El riesgo de terceros, como saben, no puede ser una de esas decisiones que tardan demasiado en tomarse, pero en realidad es un proceso bastante engorroso en muchas organizaciones que vemos y puede ser increíblemente lento encontrar la información sobre el riesgo que presenta un proveedor en particular y, en muchos casos, vemos que las transacciones y los flujos de trabajo se envían a los proveedores antes de que los procesos de evaluación concluyan finalmente.

Brian Littlefair: En realidad, estamos contratando a un proveedor sin conocer el riesgo que supone para nosotros, y vemos que algunas organizaciones tardan entre 90, 100 y 120 días en tomar una decisión sobre un proveedor concreto, y realmente depende de dónde te encuentres en términos de madurez en este ámbito y, como he dicho antes, de siestás utilizando un proceso basado en cuestionarios de Excel o has invertido en una herramienta capaz. Obviamente, voy a tener que promocionar Prevalent aquí, porque es una plataforma estupenda, pero ya sabes, es casi en tiempo real y, de hecho, viene prellenada con mucha de la información que vas a querer saber en tus cuestionarios de todos modos, pero además aporta esa inteligencia abiertaque utilizan los profesionales de la seguridad y esa perspectiva de las amenazas, de modo que si uno de tus proveedores tiene un problema grave, se te notifica y puedes empezar a comprender el impacto al mismo tiempo que sale en las noticias. Tus procesos basados en Excel no pueden hacer eso, así que lo que tenemos que hacer es pasar de un proceso muy antiguo y lento a uno basado en la nube, casi en tiempo real, capaz de obtener esa información sobre los proveedores muy rápidamente. Lo que no queremos hacer como profesionales de la seguridad es ralentizar a ninguno de los equipos de compras. No queremos ralentizar el proceso, etc. Nos interesa mucho el ritmo. Como profesionales de la seguridad, está claro que os interesa mucho cerrar el trato. Nos interesa mucho analizar el riesgo de ese trato y obtener datos que os ayuden a conseguir esa información lo más rápido posible. En cuanto a la gobernanza financiera, ustedes, los profesionales de las compras, quieren centralizar ese gasto con el menor número posible de proveedores, porque, obviamente, así pueden aprovecharlo. Ustedes son un pez más grande para ese proveedor y eso significa que pueden influir en la dirección de sus productos, dependiendo del tamaño de la organización. Por lo tanto, se trata de centralizar ese gasto en el menor número posible de ámbitos. A los profesionales de la seguridad les encanta eso, ¿verdad? La complejidad es el enemigo de la seguridad.

Brian Littlefair: Si algo es sencillo, si utiliza el menor número posible de actores en el juego, entonces podemos diseñar un modelo de seguridad que lo proteja. Si se trata de varios miles de proveedores y todo ello se subdivide en un mundo muy complejo, se puede comprender que evaluar el riesgo puede ser todo un reto en ese ámbito. Así que la consolidación de proveedores, esa gobernanza financiera que se aplica en todos los ámbitos, es otro factor importante y un objetivo que todos compartimos. Y luego está la cobertura global. Desde el punto de vista de la cobertura y la geografía, siempre hay matices en los proveedores. Y uno de los retos que siempre veo en las grandes organizaciones multinacionales globales es que un proveedor concreto puede ser pequeño para el Reino Unido, pero enorme para el negocio en la India, y siutilizas un proceso basado en Excel, sabes que hay que establecer esa correlación y comprender que ese proveedor puede ser pequeño para nosotros aquí, pero que en realidad tenemos que saber que es enorme para nuestro negocio en la India y poder garantizar que se le evalúa correctamente, que se le aplica el riesgo adecuado, etc., por lo que todos queremos trabajar a nivel global y el equipo de seguridad quiere saberlo todo sobre cada proveedor. No quieren que haya ningún vacío. Quieren poder desglosarlos y comprender, ya sabes, a todos los que suministran, desde los principales centros de datos hasta las personas que suministran el papel higiénico para los baños. Puede que no dediquemos tanto tiempo a cada uno de esos proveedores porque presentan un perfil de riesgo diferente, pero queremos saber sobre todos y cada uno de ellos. Por lo tanto, compartimos ese objetivo común de que queremos un enfoque global. Queremos saberlo. Esa es otra cosa clave que nos une. Y luego está todo el tema del intercambio de conocimientos. Compartir es una palabra difícil para los profesionales de la seguridad, porque nos gusta pensar que estamos trabajando en algo realmente secreto y que no podemos compartirlo, etc. Creo que llegamos tarde al juego del intercambio, pero sin duda los profesionales de las compras llevan mucho más tiempo en ello que los de la seguridad, y llevan mucho más tiempo trabajando con los proveedores que estos últimos.

Brian Littlefair: Así que ustedes, chicos y chicas, tienen muchos conocimientos valiosos que pueden compartir con sus compañeros de seguridad. Tienen esas ideas. Tienen comunidades de interés muy bien establecidas, como SIG, ya saben, intercambio de conocimientos, colaboración, intercambio, mejores prácticas... Todas estas cosas de las que obtienen estos conocimientos son realmente valiosas para transmitirlas también a los equipos de seguridad. Y la otra cosa que destaco es la reducción de riesgos. Obviamente, yo veo la seguridad como un riesgo. Sabéis, fácilmente podríais ser llamados directores de riesgos y, obviamente, estamos viendo muchas tendencias en las que los equipos de seguridad dependen del director de riesgos y también de la función de riesgos. La seguridad consiste en gestionar el riesgo. Tenéis un balancín delante de vosotros. Podéis inclinarlo hacia un lado u otro dependiendo de los controles, la tecnología o las personas que empleéis, pero, en última instancia, lo que intentáis es situaros en el lado correcto de ese debate sobre el riesgo. Ya sabes, y las compras no solo están ahí para conseguir el precio más bajo. Ya sabes, el viejo mantra: si compras barato, pagas dos veces. Ya sabes, el riesgo también juega un papel clave en la consecución de tus objetivos. Por lo tanto, podemos alinearnos con esos resultados de riesgo. ¿Cuáles son tus objetivos en lo que respecta al riesgo? Estos son nuestros objetivos en lo que respecta al riesgo. Podemos incluir esas expectativas en los procesos de solicitud de propuestas, etc. Y podemos obtener esas perspectivas de nuestros proveedores e incorporarlas a nuestros canales de riesgo empresarial, lo que nos permite tener una visión mucho más rica de los proveedores con los que trabajamos. Entonces, todo se reduce a conocer los procesos y procedimientos de calidad. Todas las funciones de adquisición que he visto en organizaciones grandes son muy estrictas. Hay mucha responsabilidad dentro de la adquisición, hay mucha responsabilidad dentro de la adquisición. Ya sabes, normalmente todos los gastos globales se centralizan bajo su remesa. Por lo tanto, es muy bueno mapear nuestros requisitos de seguridad como profesionales de la seguridad en ese proceso. Ya sabes, eres muy estricto.

Brian Littlefair: Ya sabes, los procesos y procedimientos que sigues, las expectativas que tienes sobre los proveedores con los que trabajas, ya sabes, lo mejor es aplicar no miles, sino los niveles básicos de control de seguridad. Esperamos que nuestros proveedores los cumplan para que sepan desde el principio que esta organización se toma la seguridad muy en serio. Si trabajamos con esta organización, se esperará que garanticemos la seguridad de forma adecuada. Reconocen que el proveedor supone un riesgo para ellos y quieren asegurarse de que se están haciendo las cosas correctamente. Por lo tanto, creo que la colaboración en este ámbito es realmente importante, tanto desde el punto de vista de la seguridad como desde el de las compras. Creo que el director de compras, el director de seguridad y los equipos que están por debajo de ellos, así como las personas que realmente trabajan sobre el terreno realizando las tareas diarias, pueden obtener importantes ventajas si reconocen esta sinergia y comienzan a colaborar mucho mejor de lo que veo en el día a día. ¿Algo que añadir?

Alistair Parr: Sí, me encanta esta diapositiva. Gracias, Brian. Hay algunas cosas en las que siempre pienso cuando veo esto y oigo hablar de las sinergias a las que te refieres: el departamento de compras tiene la envidiable posición de poder negociar con los IRS normalmente y, a menudo, cuando llegas a los equipos de seguridad de la información más adelante, es una selección posterior al contrato en cierta medida, y te ves obligado a ponerte al día cuando recibes una lista del departamento de compras con los terceros con los que hay que tratar. Por lo tanto, es muy valioso tener ese acceso, esa interacción y esa sinergia con el departamento de compras al frente de la negociación y el compromiso contractual. Así que todos los mejores programas que hemos visto aprovechan, por supuesto, todo lo que tienes en la diapositiva, pero también esa participación en la fase de definición del contrato para garantizar que la información sea una prioridad y una obligación contractual clave como parte de todo lo que se está negociando, y eso es muy, muy valioso. El otro

Brian Littlefair: Lo siento. Alistair Parr: No. Brian Littlefair: Solo iba a decir que, en cuanto a ese punto contractual, veo que hay muchas organizaciones en las que no está presente en este momento y que, obviamente, están tratando de incorporarlo a esos contratos, pero ya sabes que no es el fin del mundo, pero hay que tener en cuenta que, cuando renovemos con este cliente, estos controles también deben incorporarse, pero ya sabes que por desgracia, hay muchos contratos que no incluyen los requisitos de seguridad, y eso supone un riesgo en este momento, ¿no?

Alistair Parr: Por supuesto. Y otra cosa con la que estoy totalmente de acuerdo es el contexto, y creo que también lo has mencionado en esta diapositiva, pero el contexto que se puede captar a través de ese proceso de adquisición, entendiendo por qué utilizamos un proveedor, cuál es la ventaja, como has destacado, de comprarlos para un territorio concreto, como la India, la región APAC, etc. Toda esta información es útil y ayuda a interpretar eficazmente el contexto de los riesgos posteriores. Por lo tanto, asegurarnos de que podemos capturar esa información por adelantado es una herramienta muy valiosa de esa sinergia.

Brian Littlefair: Yeah. Yeah. Okay. So moving on to the next slide. Let me let me talk about three of the common mistakes that I see materializing in in reality. And you know I’ve got a slide on each of these. So I’m just going to you know highlight them and then we’ll kind of move on. But the first one is what I call the security silo. And you know security teams need the procurement teams and other teams within organization to to break out of this silo. You know, I I don’t support the security silo at all. If your security team is sitting behind speed gates or, you know, big glass windows and they’re not contactable or approachable by the broader organization, that is absolutely the wrong thing to be doing. You know, the security teams need to be outside of the sub gates and need to be embedded into the broader functions. And we’ll talk about that in in a little minute. And then there’s the, you know, the not invented here approach, you know, security didn’t think about it. It’s not the right thing to do. So, I do see this presenting a lot and this is where I like to challenge security teams and be a little bit provocative as well. You know, they’re not tapping into and leveraging that broader talent like procurement that exists in the broader area of the business. But that that is to detriment of the company and that needs to be resolved as well. And then there’s you know using security reasons for keeping other relevant stakeholders off security tools and you know there are some fairly sensitive security tools. You know there’s tools that can read everyone’s email if you’ve got the right access and permissions to do it. So, you can’t share all of the security tools, but you know, third party risk is something that should be shared around the organization and we the security teams need to get comfortable with with doing that as well. So, let’s spend a little bit of time on these points. Uh so, if you move on to the next slide, um I personally think the power of an effective third party risk program is is knowledge sharing and dissemination out into the business. business and you know there’s there’s two things I advocate for this there’s the third party risk and then there’s the threat intelligence you know if you’ve got the these really enriched data sets and really important to the broader business but they’re kept within a single team you know the value is is really eroded you know it’s not like it’s if you think about some of these organizations that have been hacked they’ve had the right security tool in place and all of the lights and bells might be going off but if there’s no one actually there to to drive that information into the organization then there’s going to be problems. So this information is gleaned, it’s analyzed, it’s segmented, it’s categorized, you know, it’s related back to the business. So it needs to be shared. So I am a huge advocate of of embedding security into the business and you know third party risk is a great examplar process to actually achieve this working with procurement and working with others whether it’s the risk function or or the broader business and in actually embedding your team into their facility. So you know procurement sometimes certainly in Europe might be centralized in in some countries that have a lower tax bracket for example. So you might find that your entire procurement function is in Ireland or your entire procurement function is in Luxembourg regardless of where you are and and actually there’s a fair few US companies based there as well. It’s not just us Europeans that do that. But what that actually means is you might have a procurement function that’s separate to the mothership and you know you’ve still got to tap into that. It’s it’s no use just communicating over email and trying to forge relationships over video conference etc. So I see the more mature approach is is recognizing that the business has made a decision to base the the main body of its procurement function in that in that area or even in the US you know it might be in a different state or it might be somewhere else etc. But then the security team needs to base people with those people you know if we’re talking about collaboration if we’re talking about sharing if we’re talking about objectives. Then when the security team is recruiting, it needs to recognize that some of its team that are specializing in this area needs to be colllocated wherever the the you know the procurement function is. So it’s about knocking down the walls whether physical or virtual that exist between the teams and actually linking them together in the same location so that they can build those interpersonal relationships. They can share the information that is you know vital between the two areas and actually start to build a common objective. pool going forward. So, you know, break down the silo, integrate, and embed. That’s certainly what I’m saying. Alistister, anything to to add on that one?

Alistair Parr: No, creo que eso es totalmente acertado. Gracias. Brian Littlefair: Genial. Bien. Pasemos al siguiente. Um, sabes, este me gusta mucho. Los equipos de seguridad deben reconocer que solo son una pieza más del rompecabezas más amplio que rodea al riesgo y la gobernanza. Con demasiada frecuencia, los equipos de seguridad piensan que lo son todo y que tienen una visión completa del riesgo. Eso no es cierto en absoluto y solo hay que mirar el registro de riesgos más importantes de una organización, que suele incluir entre 10 y 12 riesgos estratégicos que pueden hacer quebrar a la empresa, y eso varía según la organización, el sector, etc. Por lo tanto, es completamente diferente y es bastante común ver dos o tres elementos de seguridad en ese registro de riesgos, pero ciertamente no lo abarca todo. Por lo tanto, el riesgo es más amplio que el equipo de seguridad y hay otros actores muy importantes dentro de la estructura organizativa típica que vemos y, si no aprovechamos esa experiencia y esos conocimientos, en mi opinión, simplemente no tenemos una visión holística del riesgo que todos intentamos lograr.Es así de simple, por lo que el poder de la colaboración y el poder del intercambio de conocimientos va más allá de nuestras herramientas de colaboración internas. No se puede lograr eso con OverLink y Zoom, ni con cualquier otra herramienta de colaboración que se utilice internamente, sino que se trata de formalizar esas relaciones, formalizar esos enfoques comunes e integrarlos en los procesos empresariales, que es sin duda lo que yo intento conseguir. Cuando era director global de seguridad de la información y me reuní con mi homólogo en los equipos de compras, me di cuenta de que había un solapamiento significativo al explorar nuestras diferentes competencias y, de hecho, los equipos de compras pueden facilitar mucho el trabajo del director de seguridad de la información. Como acabamos de comentar, se puede exigir que haya etapas obligatorias dentro de los procesos que se llevan a cabo y que requieran algún tipo de aprobación de seguridad para continuar, porque los equipos de seguridad pueden ayudar en la lucha contra el blanqueo de capitales. Pueden averiguar quién es el propietario real de las empresas y llevar a cabo la debida diligencia y las adquisiciones, y todas estas son cosas en las que podemos colaborar y trabajar. Pero, en realidad, desde la perspectiva del proveedor, hay que realizar esas evaluaciones y tomar esas decisiones sobre el riesgo muy rápidamente. Ambos compartimos ese objetivo común. Así que, en definitiva, lo que digo es que todos tenemos que identificar todas las áreas dentro de su negocio individual que pueden complementar tanto el proceso de adquisición como el de seguridad que ambos estamos tratando de impulsar de la manera más rápida, limpia y eficiente posible. Y, de hecho, solo así se pueden reunir todas las piezas del rompecabezas para completar el puzzle dentro de su organización desde una perspectiva de riesgo.

Brian Littlefair: Muy bien, Alistister. Y si sigues adelante, crearás el panel único. Yo lo llamo el santo grial. Desde una perspectiva organizativa, sabes que es lo que mucha gente persigue, pero que pocos consiguen. Veo que llegan muchas herramientas nuevas a las organizaciones, pero no veo que se eliminen tantas herramientas antiguas, por lo que, en última instancia, lo que estamos haciendo es añadir complejidad al panorama y creo que lo que tenemos que hacer es trabajar juntos como función de riesgo y seguridad de las compras y decidir cómo podemos llegar a ese panel único quenos permita centrarnos adecuadamente en alcanzar ese objetivo estratégico común de obtener una visión única del riesgo de un proveedor. Sin duda, se puede hacer y creo que las ventajas son evidentes. He visto casos en los que se ha hecho muy bien, pero también he visto casos en los que se ha hecho muy mal. Pero, como sabes, la empresa necesita una orientación muy clara por parte de ambos equipos sobre con quién pueden y con quién no pueden trabajar. La seguridad es uno de los principales actores. Las compras son uno de los principales actores, pero hay varios otros que también deberían participar. Y creo que ese conjunto de conocimientos compartidos, ese lago de datos, si se quiere, estamos muy acostumbrados a hablar de lagos de datos en TI y tecnología, pero esto es un lago de conocimientos, si se quiere, en cualquier que sea su jerga interna y sus acrónimos, ya saben quees lo que estamos tratando de lograr y, entonces, el desafío es que puede haber muchas herramientas diferentes en juego, las herramientas de seguridad no van a cumplir todos los objetivos del equipo de compras y la tecnología de compras no va a cumplir todos los objetivos del equipo de seguridad, pero los datos de riesgo subyacentes, como he dicho antes, se utilizan como plataforma de decisión empresarial, por lo que necesitamos obtener esa visión común, esa lente común, y creo quees lo que falta en muchas organizaciones y creo que, sin duda, algunos de ustedes que participan en la llamada, si reflexionan sobre sus propias empresas y piensan desde la perspectiva de las compras, saben si tenemos una visión completamente alineada con nuestras funciones de seguridad sobre el riesgo de los proveedores individuales, e imagino que algunos de ustedes lo harán y otros no, pero aquellos queno lo hacen, deben comenzar esa transición para comprender cómo pueden lograrlo realmente. Si miramos la siguiente diapositiva, veremos que la alineación de las métricas y los informes es siempre absolutamente importante. Es la forma en que comunicamos y difundimos el conocimiento a la empresa en general y a las partes interesadas pertinentes. Me gusta llamarlas métricas significativas y creo que son realmente importantes aquí y creo que, sin duda, en las funciones de seguridad y, ya saben, estoy menos familiarizado con todas las métricas que surgen de una función de adquisición, pero las funciones de seguridad tienen un enfoque típico para producir métricas muy complejas y muy técnicas. Y casi hay que ser un profesional de la seguridad para diagnosticar si esta métrica debe subir o bajar, si debe ir a la izquierda o a la derecha, si el verde es bueno o malo, etc. Por lo tanto, tenemos que eliminar la complejidad de los mensajes que enviamos a la empresa. Y creo que conoces tanto el riesgo de las compras como el de terceros, si lo resumimos todo, lo que ambos equipos están haciendo en realidad es gestionar el rendimiento de los proveedores y reducir el riesgo, lo que veremos en la siguiente diapositiva. Se trata básicamente de una única métrica. Sabes que hay muchos datos detrás, pero en realidad son métricas muy claras que se transmiten a la empresa y, de un vistazo, puedes ver sihay algún problema y quizá quieras profundizar más, pero en realidad se trata de entender cómo podemos simplificar y aclarar ese mensaje desde el punto de vista de las métricas, y creo que sabes que, de forma conjunta y colaborativa, deberíamos centrarnos en ofrecer estos conocimientos de alto nivel siempre que sea posible utilizando las mismas herramientas, como Prevalent, por ejemplo, que pueden ser de gran ayuda para analizar y procesar datos y ofrecer una visión muy clara de siha cambiado, hay que echarle un vistazo y, de nuevo, las hojas de cálculo de Excel no pueden hacer eso por ti, así que eso también es muy importante. Alistister, ¿algo que añadir sobre las métricas o...?

Alistair Parr: Sí, sin duda es interesante, ya que se relaciona con algunas de las observaciones que hiciste anteriormente, y es que el reto con algunas de estas métricas es que estamos tratando de obtener calidad en datos de terceros a gran escala, y eso es muy difícil, ya que no hay equipos de adquisición de personal o equipos de infoset, por lo que tratar de obtener ese volumen de calidad se basa en una gestión de riesgos contextual y proporcionada, asegurándose de que se tiene la amplitud y profundidad necesarias en toda la cadena de suministro. Es muy problemático. Por eso, siempre me parece muy interesante que la gente hable de métricas e informes en términos generales, y también que ese panel único es que no vas a poder obtener una visión coherente y cohesionada de tu patrimonio de terceros a menos que tengas ese panel único al que te referías antes y consigas esa sincronía entre el departamento de compras y el de información para tener todos los datos necesarios para tomar una decisión y, a su vez, reducir el riesgo.

Brian Littlefair: Yeah, it’s very interesting. Brian Littlefair: I completely agree. So like as you just said reduce risk. So you know the next slide you know it’s all about reducing risk. I mean that’s fundamentally what you know I think security teams and procurement team shares you know you’re trying to derisk the supply chain we’re trying to derisk the supply chain. The you know some of the metrics and drivers and tools that we use in terms of you’re trying to leverage costs we’re trying to leverage security. So we recognize that There are differences but reducing risk is obviously the priority that we share between the two teams and and risk is the universal business language across all the departments. You know risk exists in HR, sales, finance at some level we’re all accountable for managing risk. So in this context of you know third party risk and procurement some of the key areas I’ve kind of pulled out that we should focus on and mapped out on this slide and I’m not going to go through all of them because there’s a lot of them but you know I’ll highlight a few. So mapping the global supply chain. I can’t emphasize this enough. We’ve discussed on it a little bit. But as a procurement function, I imagine you share the view of a security professional that is, you know, you want to understand where every dollar, every pound, every euro from your organization is being spent and whether you’re getting maximum benefit from that cost. I.e. do you centralize that cost down on a on a few suppliers to get that better leverage. From a security perspective, it’s really critical that we know every single supplier that you know, connected to our company from a financial perspective, a logical perspective or a physical perspective. Have they got staff coming into our our premises, etc. You know, a security professional needs to know all of that things to discharge their accountability and and fundamentally to do their job well. So, we need to know about everyone. That’s really, really important. It needs to be ongoing and it needs to be real time. And you know, that real time perspective is where organizations struggle. And I imagine if Some of you on the call went back to your companies and said, “Look, if we pick a particular supplier and we focus on them, you know, how near real time are we on changes, fundamental changes within their organization that might impact the security or the relationship with us?” You know, do we find out about it quickly? Do we find out about it in, you know, a monthly touch point? Do we find out about it at a quarterly business review? Do we find out about it every six months? Do we find out about it annually? And obviously that’s going to change depending on the importance of that supplier to you because you can’t sit down with every supplier every month. So it depends on the criticality of that organization to you. But the game changer are tools like prevalent that you know already have this information mapped within their platform. They can present that back to you. You don’t have to go and hunt it. You don’t have to come and find it. It comes through as alert to the right people within the right teams and actually saying, “Hey, something’s shifted. You need to take a look at this and understand the potential impact on on you and your organization going forward. And I think that’s that is the drastic shift from security teams and procurement teams having to go out to factf find to the facts coming in to you and your organization. So that time lag and that delay is drastically reduced. The risk window is reduced. So you know moving your processes forward and maturing them as the organization matures in general but focusing on getting as near real time as possible so that we both functions and teams have that near a real-time view of the risk going forward. So that’s really really important. We all need to be able to react to global events. You know, there’s been a few events recently which you know have really impacted some things. Think about the Suez Canal being blocked. Think about there was a shortage in in microchip supplies in coming out of China and and and Japan and Korea where typically they’re produced. There’s obviously been a large impact on suppliers in different geographies due to the COVID pandemic etc. So and certainly over in Europe we’re having issues in in in the UK at the moment with some of our typical products that we’d expect to see on our supermarket shelves like beer are noticeably absent because you know we haven’t got enough truck drivers because we’ve decided to reduce the number of people that can come into our country from Europe. So all of these things have an impact on some organizations depending on the sector that you’re in. But how effectively have they been planned out? How effectively have you, you know, worked through of how the likelihood of this occurring? ing and you know how do you mitigate that risk or deviate that risk how do you keep having those business continuity discussions so the focus in my opinion has to be even though I’ve mentioned it hundreds of times in this thing is is move away from supplier and move towards partner getting those strategic relationships in place with your key I’m going to say it again suppliers but you know getting into that you know we understand you you understand us you know you’re critically important to us we need to understand what’s going on within your business and anything that potentially might impact that. So, it’s getting that very close-knit community with your with your supply chain is the ultimate goal. And obviously in a large global organization, you can’t do that with all of your suppliers, but you certainly can with your strategic partners. Alistister, anything to add on that one?

Alistair Parr: Sí, hay algo que has dicho que realmente me ha llamado la atención, y es que la gestión proporcional del riesgo y el gasto proporcional están intrínsecamente alineados y van de la mano. Y, sin duda, siempre lo vemos, incluso tomando el ejemplo del riesgo de concentración. Desde el punto de vista del riesgo, es posible identificar dónde pueden existir riesgos e impactos potenciales basándose en acontecimientos globales, etc., lo cual es muy significativo, pero igualmente desde el punto de vista del gasto y el análisis, cuando existe concentración, es posible reducir el riesgo, etc. Están alineados, pero hay ciertas situaciones en las que no necesariamente se complementan entre sí. Por lo tanto, siempre es interesante ver dónde encuentran las empresas ese término medio saludable entre reducir los costes aumentando el gasto y compensar ese riesgo de concentración. Es un tema interesante.

Brian Littlefair: Good. So, I have a slide here that I just used to wrap up, but you know, I’ve I’ve I’ve summarized enough on the the last few slides, I think, and I want to move on to to Alistister to give you a quick overview of, you know, the the prevalent platform. So, Alistister, over to you. Alistair Parr: Thank you very much, Brian. So, we’ve obviously talked about a lot of interesting things today, and it’s been very insightful for me, Brian. Thank you for that. But the way prevalent approaches and addresses these particular issues is that we we understand that there needs to be this cohesion between the respective teams and that third party risk management is a broader life cycle. So as you see the very very start there where you’ve got the sourcing and selection process intaking on a boarding process where you have procurement driving some of these these actions and then starts feeding into the ongoing risk management lenses inherent risk management assessing remediate ongoing monitoring data over points in time conducting validation exercises uh and then through to broader performance management of third parties, measuring SLAs’s etc. and then finally offboarding at the end of contract term. There’s a full life cycle of third party risk management and broad broadly speaking third party management that has multiple parties with an invested sense of what they have to do. And the way that prevent likes to approach this is we tend to split it between people, technology and processes to help drive that moving forwards. So using the core technology itself, the prevent platform, the SAS platform itself, we can accelerate streamline, as you rightly highlighted, Brian, whether you have those efficiencies by leveraging and tapping into intelligence networks, whether that’s pre-completed assessments or broader monitoring feeds and data to help you select and source up front through to the detailed focused uh risk management platform where you can use some of this monitoring insights in conjunction with assessments to drive remediation, track and audit any validations that you’ve been doing, track SLAs, etc., and provide that single pane of glass and that really becomes the backbone of a good effective program having something that can support and facilitate that entire life cycle. Of course, people need support in order to do that in order to drive it whether it’s internally through your own teams or of course we can support you using our managed service teams. So that’s a case of collecting data on boarding conducting analysis driving risk remediation and doing validation exercises. There’s a host of teams available there who are doing it at scale. So dealing with vendors globally across the board and understanding the nuances and with those we can certainly offset and support you in driving some of the challenges that you face for even a subset of those areas. Now a good program we see obviously incorporates program management program design. So something that we’re strongly focused on is that professional services element to understand how mature is the program from a procurement lens from an infosc lens helping define and refine that building things like third party policies which is something that’s interestingly often overlooked and involves multiple parties procurement in legal etc in that workflow through to optimizing whatever’s in place uh and then driving success through that and making sure it’s a a truly cohesive program end to end. So when we actually look at that as in who’s actually getting some tangible benefits from this uh the life cycle itself has multiple participants as I said you know you’ve got the uh you’ve got the business itself you’ve got procurement you’ve got IT SEC uh risk vendor management legal compliance. There’s multiple teams who are have a vested interest in making this all work. And the workflow that we follow is focused on trying to provide benefits to each of those. So they have a vested interest in driving that program. It’s about offering them something of value so that they interact and then drive that process forward. And then finally, when we actually start looking at what the prevalent TPRM process is, it’s fundamentally smart, unified, and prescriptive. We try and prioritize risk in the right way. We try and make the information that we collect contextual and comprehensive enough so that each team has some advantage and value and then ultimately make it prescriptive so we could be consistent with our risk ratings. So we could be consistent with our remediation plans and our workflows. Uh the platform itself and the methodologies we follow means that we want to try and take the the quality that we’re building in these silos of teams making it a single pane of glass and making it repeatable. So as people move around and situations change we can be consistent in our tracking methodologies. So, we have a couple of minutes left, so we’ll just take a a few questions. If you do have any questions, please feel free to ask away in the Q&A section. Uh, but I do have one question that’s coming through and I’ll present it to you, Brian, if if I may. So, the first question I’ve got here is CPOS and CRO’s, how do we actually get them to talk to one another?

Brian Littlefair: Sí, es una pregunta extraña, ¿no? Porque, ya sabes, hablar, tomar un café, llamar por teléfono y cosas así, pero eso no ocurre en las grandes organizaciones y, ya sabes, no ocurre tanto como debería. Pero espero haber podido explicar hoy que el riesgo es el lenguaje común, pero que hay muchos objetivos compartidos que ambos equipos intentan impulsar y no creo que algunas personas de seguridad con las que he hablado lo vean así, no les resulta evidente de inmediato. Así que hay que resaltarlo y decir: «Mirad, tenemos mucho en común, compartimos muchos objetivos comunes, ambos intentamos conseguir lo mismo, hablemos», pero he visto organizaciones que siguen la vía de los objetivos compartidos entre áreas comunes. Así que tal vez el CISO y el director de compras compartan un objetivo común. Sabéis que a veces la gente se motiva por el pago de bonificaciones o el rendimiento al final del año. Personalmente, no soy muy partidario de eso, porque creo que todos somos adultos. Debemos reconocer que necesitamos colaborar para obtener resultados eficaces en nuestro negocio, pero también para nuestros clientes y proveedores. Espero que hoy haya habido algunos ejemplos que puedan utilizarse para iniciar esas conversaciones con la función de seguridad. Y espero que sean receptivos a ello. Bien. Entonces,

Presentador/moderador: Sí. Entonces, Brian, nos han llegado algunas preguntas. Nos han dicho: «Tenemos un CISO, que es el director de seguridad de la información. Tenemos una organización de riesgos y, sin embargo, el departamento de compras dice que es responsable del riesgo de terceros. ¿Cómo encajan los tres?». Brian Littlefair: Sí, bueno, en muchas empresas, en realidad, no creo que importe dónde se encuentre físicamente la función de riesgo de terceros, sino cómo se relacionan esos tres elementos. Esos tres actores siguen siendo los mismos. En algunas organizaciones, el CISO es responsable del riesgo de terceros y en otras es el director de compras, pero en otras es el CRO, y veo que esa combinación es muy habitual, pero el triángulo sigue siendo el mismo, ¿no? Estaba en mi segunda o tercera diapositiva: compras, seguridad y riesgo. Esas mismas conversaciones deben tener lugar dependiendo de quién sea realmente responsable de ejecutar el programa, ¿verdad? Pero creo que, sin duda, desde la perspectiva de las compras. Si eres responsable del riesgo de terceros, entonces es más importante recurrir a esas otras personas y a esos conocimientos para asegurarte de que obtienes el resultado adecuado. Correcto.

Presentador/moderador: Bien. Y ahora tenemos tiempo para una pregunta rápida. Dice: «¿Cree que los CISO y CRO sienten que se les exige un nivel de rendimiento más estricto que a los CPO? ¿Podría ser este un factor que, lamentablemente, mantenga al equipo de riesgos distante y poco cooperativo?». Brian Littlefair: Sí. No, definitivamente creo que ese puede ser el caso en algunas organizaciones, pero creo que hay que derribar esas barreras y esos muros. Cuando ocupé mi primer puesto de CISO, tenía una oficina muy bonita y grande con paredes de cristal, y mi director comercial se sentaba fuera, y había una puerta rápida por la que solo podía pasar el equipo de seguridad. Así que la gente tenía que interactuar conmigo a través de un sistema de tickets, una llamada telefónica, un correo electrónico o cosas por el estilo. Lo primero que hice fue derribar las puertas rápidas y sacar a todo el mundo de sus oficinas. Y creo que, ya sabes, soy un gran fan de la colaboración y la esperanza, y estoy viendo ese cambio de forma positiva en los profesionales de la seguridad y en la industria. Pero ya sabes, mucha gente dedicada a la seguridad proviene del ejército, mucha gente proviene de la policía y de ese tipo de entornos. Así que trabajar con ellos y ayudarles a sacar esas cualidades, creo, es el consejo que les daría. Correcto. Entonces,

Presentador/moderador: Bueno, se nos ha acabado el tiempo, pero Brian, hemos recibido una petición para que te clones. Nos gustaría tener a uno de vosotros aquí y disponible para nosotros en todo momento. Brian Littlefair: Sí. De acuerdo. Sí, no hay problema. Estaré encantado. Sí. Presentador/moderador: Alistister y Brian, quiero daros las gracias por esta maravillosa hora de hoy. Me encanta este tema. Me apasiona su bonita muñeca. Así que no puedo agradecer lo suficiente a Prevalent por traer a estos dos magníficos ponentes y por el contenido, y solo quiero dar las gracias a todos ustedes. Gracias a todos por participar. Enviaremos un enlace al seminario web de hoy. Incluirá todas las diapositivas y la grabación, que podrán compartir ampliamente en su organización, y también se almacenará en el centro de recursos SIG durante los próximos dos años. Así que, en cualquier momento, pueden enviar a su equipo al centro de recursos de SIG para descargarlo y volver a reproducirlo. Mientras tanto, Brian, sé que es tarde para ti y para Alistister. Que pasen una noche maravillosa. Al resto de ustedes, que tengan una buena mañana o tarde. Alistar y Brian son genios. Eso también ha quedado claro. Así que es un buen momento para irse, quizá tomar una cerveza en algún sitio y relajarse.

Brian Littlefair: Tengo que encontrar uno en las tiendas. Ya sabes, problemas con la cadena de suministro. Pero, en fin, gracias a todos por vuestro tiempo, ¿vale? Anfitrión/moderador: Gracias a todos. Alistister, gracias. Alistair Parr: Gracias. Saludos. Adiós. Adiós. Adiós. Anfitrión/moderador: Adiós a todos.