Cómo ampliar su programa de gestión de riesgos de terceros en tiempos económicos difíciles

Melissa: Hola y bienvenidos. Feliz miércoles. Es genial ver que todos empiezan a unirse. Les voy a dar un minuto mientras esperamos a que todos se acomoden y se conecten. Mientras tanto, voy a lanzar nuestra primera encuesta. Si ya han asistido a alguno de nuestros seminarios web, esto les resultará familiar, pero siempre nos interesa saber qué les ha traído al seminario web de hoy en concreto. ¿Es por motivos educativos? ¿Están en las primeras fases de su programa TPRM? ¿Son clientes habituales? Solo tienen que decírmelo. Empecemos con unas presentaciones. Me llamo Melissa. Trabajo aquí en desarrollo empresarial. Si ha asistido a alguno de los cuatro últimos seminarios web, probablemente me haya visto aquí. Pero hoy nos acompaña nuestro director de marketing, Mike Yaffy. Hola, Mike.

Mike Yaffy: Hola.

Melissa: Y luego, eh, nuestro director ejecutivo y fundador de Cyber Marathon Solutions, Bob Wilkinson. Hola, chicos.

Bob Wilkinson: Hola a todos.

Melissa: Hoy Bob nos guiará a través del tema de hoy, cómo escalar su programa de gestión de riesgos de terceros en diferentes épocas económicas. Como pueden ver, este seminario web está siendo grabado. Lo recibirán junto con la presentación de diapositivas en su bandeja de entrada hoy más tarde o mañana, dependiendo de su zona horaria. Por último, todos ustedes están en silencio. Por lo tanto, si tienen que decir algo urgente, utilicen el chat, pero si se trata de una pregunta o respuesta, escríbanla en el cuadro de preguntas y respuestas para que podamos abordarla cuando sea necesario. Sin más preámbulos, le cedo la palabra a Bob. Adelante.

Bob Wilkinson: Muy bien. El formato que vamos a utilizar hoy es, en realidad, que Mike me va a entrevistar y yo voy a hablar sobre el impacto que los tiempos económicos difíciles, la recesión, pueden tener en un programa de gestión de riesgos de terceros y sobre la importancia de centrarse en algunos temas muy específicos a la luz de ello. Sin más preámbulos,

Mike Yaffy: Es una buena foto, Bob. La iluminación era buena en esa. Ya le estoy tomando el pelo por la iluminación porque justo antes de ponernos al teléfono, les dije a todos: «Bob, estás demasiado oscuro. Todo el mundo quiere ver tu cara brillante». Así que movió una luz justo antes de la llamada. Estoy muy contento con la iluminación. Creo que hemos hecho un buen trabajo. Chicos, si tenéis alguna pregunta, Bob lleva 20 o 30 años haciendo esto. Lo ha hecho, y es muy humilde, no se va a presentar, pero yo lo haré. Ha establecido muchos programas de riesgo de terceros en grandes marcas que todo el mundo conoce, como compañías de tarjetas de crédito y bancos. Lleva mucho tiempo haciendo esto. Es uno de los principales expertos en la materia, así que cuando habla, la mayoría de la gente le escucha, ¿verdad? Tenemos mucha suerte de contar con él. Eh, dos cosas. Si tienen preguntas, no duden en utilizar la función de chat de preguntas y respuestas. Intentaré responderlas en tiempo real. Si no, las dejaremos para el final. Y dos, vivo en Boston. Sé que tengo una camiseta de los Dodgers allí. La gente me pregunta. Eh, pude pasar un rato con Kirk Gibson en uno de los cinco jonrones más famosos. Espero que sepan quién es. Pero sin más preámbulos, ¿por qué no nos ponemos manos a la obra, Bob? Miren, la primera pregunta que hemos hablado es: ¿qué hay que hacer? ¿En qué hay que centrarse? Miren, hay despidos. Amazon acaba de despedir a 10 000 personas. Twitter también. Ya sabes, está claro que tiene que ver con las mayores tasas de recesión, con el reequilibrio de la economía, pero es la realidad en la que vivimos ahora. Así que, ya sabes, estoy seguro de que la gente está pensando: «¿Cómo lo hago? ¿Cómo supero un programa de TPR? ¿Cómo lo escalo cuando me dirijo al próximo año si va a haber retos?».

Bob Wilkinson: Muy bien, Mike, gracias. Esa parece ser la pregunta candente del momento, especialmente con el gran número de despidos en el sector tecnológico que estamos viendo y el efecto dominó que está teniendo, hasta el punto de afectar a las empresas emergentes y hacer que se agote la financiación de muchas de ellas, y de que ya no sea un modelo de negocio aceptable tener un crecimiento hiperrápido si se está quemando el dinero. En realidad, hay que demostrar algún tipo de rentabilidad y, para las empresas con balances impecables, sí, se puede obtener financiación. Pero el mundo ha cambiado. Así que hay algunas cosas de las que me gustaría hablar en cuanto a, ya sabes, cosas en las que centrarse durante una recesión.

Mike Yaffy: ¿Puedo hacerte una pregunta? Acabas de plantear un tema muy interesante. Cuando se producen estos efectos dominó, por ejemplo, si hay despidos en Amazon, Amazon no va a quebrar, pero generalmente se produce un efecto dominó, ¿no? Entonces, ¿no es esto, ya sea en el lado de la oferta o en el del riesgo, lo que quieras, no introduce más riesgo debido a la recesión económica? ¿Verdad? Podría hacer que un negocio fuera menos estable. Podrían tener más dificultades para cumplir con sus compromisos. Podrían no ser el mismo proveedor que eran si también están sufriendo una disminución de su negocio, menos empleados, no pueden cumplir como proveedor del negocio upstream como lo hacían antes. ¿Verdad?

Bob Wilkinson: De hecho, eso es precisamente uno de los aspectos clave que debemos tener en cuenta a medida que avanzamos en este entorno. El ejemplo que voy a utilizar es el de una empresa unicornio que conozco y con la que trato, con la que mantuve una conversación recientemente y que me contó cómo algunos de los proveedores más pequeños del sector en el que operan les llaman y les dicen: «Oye, ¿quieres comprarnos?». Ya sabes, por ejemplo, la financiación se está agotando. Y cuando llegas a esa situación, una de las cosas clave en las que debes centrarte es en las finanzas de esos terceros que consideras fundamentales para tus operaciones comerciales, porque las finanzas pueden deteriorarse muy rápidamente en este entorno y hay que ser muy sensible a ese hecho. Hay que estar al día. Hay que estar atento a las tendencias financieras que se deterioran.

Mike Yaffy: Entonces, ¿con qué frecuencia se debe evaluar el riesgo? Porque hay un riesgo operativo, pero también hay un riesgo financiero para el proveedor, ¿verdad? Contamos con personal de compras y TI, pero ahora me pregunto con qué frecuencia se debe evaluar la estabilidad general de un proveedor de primer nivel.

Bob Wilkinson: Bueno, la respuesta corta es todos los días. Pero, en la práctica, el reto y la migración que estamos viendo en el funcionamiento de las empresas. Tenemos que centrarnos de forma continua en el riesgo que existe en las empresas, pero tenemos que hacerlo de una manera más holística. No debemos centrarnos solo en las finanzas, porque las finanzas son solo un aspecto, sino que también debemos centrarnos en el cumplimiento normativo. Y el cumplimiento normativo es algo que puede cambiar muy rápidamente. Y cuando hablo de cumplimiento normativo, no me refiero solo a normas y reglamentos como la lucha contra el soborno y la corrupción o la prevención del blanqueo de capitales. También me centro en lo que puede estar sucediendo con una empresa en términos de noticias negativas. Las noticias negativas sobre uno de sus proveedores tienen un efecto dominó de noticias negativas sobre su marca. Por lo tanto, debe centrarse en eso. Pero en un entorno en el que existen presiones financieras de la economía sobre las empresas, también es un entorno propicio para el enfoque regulatorio. Por lo tanto, los reguladores dirán: ¿estás realizando las inversiones necesarias para gestionar y mitigar adecuadamente el riesgo? Porque cuando entras en este entorno, los presupuestos se recortan, pero las regulaciones no. Y ahora nos encontramos en un momento en el que se están publicando nuevas directrices reguladoras tanto en Estados Unidos como en Canadá y también en Europa, y estas regulaciones van a tener un impacto financiero, como siempre.

Mike Yaffy: Entonces, Bob, en pocas palabras, ¿a quiénes afectan? ¿A todo el mundo? ¿A terceros? ¿Es algo financiero? Danos una versión resumida de lo que se avecina.

Bob Wilkinson: Bueno, principalmente, y esto nos lleva de nuevo al sector financiero, porque es el sector más regulado, así que, desde esa perspectiva, esto va a afectar especialmente al sector financiero. Pero lo que ocurre en el sector financiero marca realmente la tendencia de lo que va a ocurrir en todos los sectores, y es algo que hay que tener en cuenta. Así que, en particular con las finanzas, vas a empezar a ver cómo surge la legislación en torno a los criterios ESG. Por ejemplo, uno de los borradores de la normativa OC trata sobre el impacto climático en las instituciones financieras, donde se habla de cuál es el impacto en las instituciones que conceden préstamos hoy en día. ¿Estás prestando mucho dinero hipotecario a lugares que son muy...

Mike Yaffy: No tanto como antes, ¿verdad?

Bob Wilkinson: Sí. Sí. Pero, desde luego, no al ritmo que lo hacían desde una perspectiva financiera, sino que la cuestión es que las carteras de las empresas se verán afectadas por el cambio climático, tanto a corto como a largo plazo. Y cuando se analiza eso, por ejemplo, en Estados Unidos, algunos de los impactos a largo plazo del clima son los bancos que conceden préstamos en zonas donde el clima va a tener un mayor impacto y que van a tener que explicar a los reguladores cómo están abordando el impacto en las comunidades de bajos ingresos, donde el cambio climático está teniendo un mayor impacto. Así que entramos en discusiones sobre préstamos justos y cosas por el estilo, por lo que las finanzas son primordiales, pero también hay que fijarse en lo que ha hecho la administración Biden con China y la exportación de chips, por lo que se están imponiendo restricciones a la exportación de tecnología de chips de alta gama a China, lo que va a tener repercusiones en los fabricantes de chips semiconductores, por lo que se va a ver eso combinado con directivas por parte del gobierno. Eh, especialmente en el ámbito militar, donde hay que tener un conocimiento detallado de la cadena de suministro y hay que asegurarse de que ciertas entidades de ciertos países no estén en ninguna parte de la cadena de suministro, hasta el fabricante del chip más pequeño, y eso es, eh, el presupuesto nacional del Departamento de Defensa, creo que es 997, donde hay restricciones específicas sobre lo que las empresas pueden hacer con ciertos proveedores.

Mike Yaffy: Pasemos a la siguiente pregunta. Entonces, ¿cómo sabes lo que estoy escuchando? Reevalúa el riesgo y asegúrate de que lo compruebas todos los días, especialmente porque puede haber algunas condiciones económicas que afecten a tus proveedores o vendedores. Entonces, ¿cuál es tu recomendación para los que están escuchando? ¿Cómo se hace esto con presupuestos y personal cada vez más reducidos, o si no consigues el personal necesario el año que viene para ampliar tu programa de fiestas?

Bob Wilkinson: ¿Verdad? Entonces, recuerda que tienes que...

Mike Yaffy: Debes centrarte en lo que es más importante para ti y también debes tenerlo en cuenta.

Mike Yaffy: Sí.

Mike Yaffy: Para aquellos que avanzan demasiado la diapositiva, solo para que la gente...

Bob Wilkinson: Sí, claro.

Mike Yaffy: Allá vamos.

Bob Wilkinson: Entonces, lo que hay que hacer es asegurarse de contar con la combinación adecuada de terceros, de tener suficiente redundancia en la cadena de suministro y de supervisar aspectos como las finanzas. Si se observa un deterioro, no hay que esperar a que todo se venga abajo para empezar a planificar una posible salida. Hay que pensar en estas cosas con antelación. Ahora bien, desde una perspectiva económica, y yo siempre he sido un gran defensor de esto, cuando su empresa acude a usted y quiere utilizar un nuevo proveedor, la primera pregunta que debe hacer es: ¿tiene ya un proveedor que le ofrezca ese servicio? Porque si es así, ya ha hecho su debida diligencia. Tienes un contrato en vigor. Solo es cuestión de ampliar la relación y resulta más eficiente desde el punto de vista financiero utilizar un proveedor con el que ya cuentas, además de que reduces el riesgo porque compartes menos información, menos acceso a tu red e infraestructura con terceros. Ese es un aspecto importante. El otro es cómo automatizar las actividades de gestión de riesgos de la cadena de suministro. Si sigues enviando cuestionarios en Excel a tus terceros para que realicen tus evaluaciones de riesgos... Bueno, ya sabe, eso ya pasó hace mucho tiempo. Tiene que plantearse la automatización y lo que la tecnología puede hacer por usted, y cómo va a aprovecharla para ser más eficiente en el funcionamiento de su programa. Así que esas son consideraciones importantes.

Mike Yaffy: Muy bien. Vamos, Bob, quiero que nos saltemos esta pregunta. Volveremos a ella más adelante. Creo que la siguiente pregunta está relacionada. Basándonos en tu experiencia pasada, ¿verdad? Estuvimos hablando de esto durante nuestra llamada preparatoria. Recuerdo cuando se desplomó el mercado y yo acababa de empezar, ¿verdad? Pero en 2001, luego vino la crisis inmobiliaria de 2008. Mira, quiero decir que es cíclico. Ocurre cada siete años. La economía se recupera. Pero, ¿qué lecciones podemos extraer de esto? Porque tú has visto cómo se desarrollaban este tipo de situaciones mientras trabajabas en una empresa externa. Así que sabes cuál es el consejo en este caso. El mío sería, en primer lugar, mantener la calma, ¿verdad? Es como en La loca casa del profesor. No sé cuántos de vosotros la habéis visto. Mantén la calma. No hay nada que ver aquí. Mantén la calma. No hay nada que ver.

Bob Wilkinson: Sí. Te atropella la manada.

Mike Yaffy: Correcto. Exactamente.

Bob Wilkinson: Exactamente. Bueno, lo primero que diría es que la gestión de riesgos de terceros puede contribuir significativamente al ahorro de costes cuando hay presión. Y les contaré una anécdota de mi pasado, cuando formaba parte del comité de gestión de proveedores de una gran institución financiera y, en 2009, se produjo la gran recesión. Estábamos buscando en toda la organización cómo podríamos ahorrar dinero. Parte de ello consistía en examinar todos los terceros que reutilizaban los contratos, los acuerdos marco de servicios que teníamos en vigor. En el caso de un importante proveedor de tecnología, al profundizar en ello, descubrimos que teníamos ocho acuerdos marco de servicios con ese proveedor en particular.

Mike Yaffy: Eso es una locura. Por cierto.

Bob Wilkinson: Todos con precios diferentes. Así que, como se pueden imaginar, la llamada que mantuvimos con esa empresa tecnológica fue muy interesante. Vamos a tener un acuerdo. Vamos a tener un precio neto. Al hacerlo, al revisar las relaciones que tenemos y comprender dónde estamos duplicando servicios innecesariamente. Pudimos ahorrar en el transcurso de ese año 100 millones de nuestro presupuesto para terceros. Así que ese es un factor importante en cómo gestionamos el riesgo de terceros cuando nos encontramos en una situación en la que las finanzas son importantes.

Mike Yaffy: Diré, sin embargo, Bob, y mirad, chicos, no me he presentado, no es gran cosa, pero llevo 22 años trabajando en marketing de seguridad de la información. Así que aprendes algunas cosas, ¿no? Sé lo suficiente como para ser peligroso. No sé, ya sabes, ni una mínima parte de lo que sabe Bob. Pero da la sensación de que, cuando tienes equipos de seguridad, normalmente se les considera un centro de costes y una forma de evitar riesgos. Me parece que encontrar ese ahorro, y corrígeme si me equivoco, pero eso no ocurre siempre, sino que se trata de evitarlo desde el principio, cuando se incorpora a un proveedor potencial que podría perturbar tu negocio, ¿verdad? Ya sabes, cuando no sabes que una pieza clave para un coche se fabrica en Ucrania y ahora no entra ni sale nada de su grúa. Tienes visibilidad de esas cosas o, en el aspecto informático, estos proveedores no están aplicando la seguridad informática adecuada y están accediendo a tus datos y suponiendo un riesgo. Mira, sé que se trata de la gestión de riesgos de terceros, pero parece que la seguridad y el riesgo son siempre un centro de costes, pero un coste necesario para hacer negocios. ¿Qué opinas al respecto? ¿Me equivoco?

Bob Wilkinson: No. No. Es un coste inherente al negocio y, sin duda, la normativa que lo regula obliga a abordarlo, pero también es una oportunidad para ayudar a centrar el negocio de forma proactiva en las relaciones que mantiene. Ya sabes lo que te comenté antes de contratar a alguien: mira a ver si hay alguien que ya esté haciendo eso. Así que no tiene por qué ser una situación en la que los terceros sean una fuente de crecimiento incesante de los costes, porque el otro factor que hay que tener en cuenta es que, por término medio, las organizaciones —y esto es anecdótico, no científico— pueden crecer un 10 % al año en cuanto al número de terceros con los que trabajan, pero nadie financia un aumento del 10 % en el presupuesto para el riesgo de terceros basándose en el hecho de que su número de terceros crece un 10 % al año.

Mike Yaffy: Y mira, yo digo esto todo el tiempo. Esto es marketing. Esto es todo lo demás. Sí, está bien. La prevalencia vende una plataforma. Lo entiendo. Pero tienes que ser capaz de automatizar y escalar. No tiene por qué haber muchos lugares. Puede que tengas un GRC. Tienen módulos. Nosotros tenemos módulos. Hay muchos lugares a los que ir, eso es lo que digo. Pero tienes que ser capaz de priorizar a tus proveedores, identificar quiénes son, averiguar su nivel de prioridad y averiguar qué diablos vas a hacer para validarlos como adecuados para tu negocio, ¿verdad? En resumen, eso es lo que tienes que hacer. Pero recuerda que el crecimiento sin límites del número de terceros con los que cuentas, especialmente en las organizaciones más grandes, las organizaciones más grandes crecieron tanto a través del crecimiento orgánico como inorgánico. Sí.

Bob Wilkinson: Realizó adquisiciones.

Mike Yaffy: Dime cuántas empresas que han realizado adquisiciones cuentan con un proceso para revisar y racionalizar todos los terceros que vinieron con el acuerdo.

Bob Wilkinson: Sí, es después.

Mike Yaffy: Y te diré que podría contar con los dedos de una mano el número de empresas que he visto que siquiera han intentado hacerlo. Por lo tanto, hay mucha ineficiencia inherente al proceso. Entonces, ¿cómo se aborda eso? ¿Cómo se consigue? Y, entre el crecimiento, las adquisiciones y todo lo demás, hay muchos más terceros de los que, en mi opinión, se necesitan realmente.

Mike Yaffy: Volvamos a la diapositiva ocho. Ahora encaja, ¿verdad? Lamento que estemos saltando de un tema a otro, pero así es como lo hacemos. Tienes razón. Identificas a un proveedor. Piensas que necesitas comprar el widget X o Y, ¿qué es lo que realmente deberías hacer al incorporarlo?

Bob Wilkinson: De acuerdo, para mí, la incorporación siempre comienza con una pregunta. ¿Hay alguien que ya lo haga? Hay que empezar con esa pregunta porque es la que aborda el problema fundamental, que es el crecimiento sin restricciones. Esa es la primera parte. La segunda parte consiste en no precipitarse y hacer una evaluación de inmediato. Preguntas a la tercera parte si tiene una evaluación de riesgos independiente que ya se haya completado en los últimos 12 meses, por ejemplo, y entonces no tienes que hacer la evaluación de riesgos. Obtienes lo que hay disponible actualmente y puedes hacer una evaluación basándote en eso. El mayor problema que tienen las empresas con su proceso de gestión de riesgos de terceros es el tiempo que lleva completar una incorporación. Ya sabes, todo el mundo tiene que esperar a que se realicen todas las evaluaciones. Si eres una gran organización bancaria, es posible que tengas que pasar por cinco, diez. Incluso he oído ejemplos en los que hay que pasar por 20 evaluaciones antes de que alguien pueda tomar la decisión de incorporar a una empresa. Y, en cierto nivel, es excesivo. Y es la diferencia entre gestionar el riesgo y garantizar el cumplimiento.

Mike Yaffy: Tienes que conseguir que también funcione para el negocio. Mira, hace diez años se hablaba de la autenticación multifactorial, ¿verdad? Cuando te dan tu teléfono y ese código de seis dígitos, dicen: «La gente no va a hacer eso o no quiere que la seguridad suponga un obstáculo». Por cierto, no puedes ser el departamento del «no», ¿verdad? Ni buscar razones para no hacerlo. Tiene que ser un director de seguridad con el que solía trabajar, que trabajaba en... oh, era en el noroeste del Pacífico, en algo relacionado con la sanidad. Solía decirme: «Mira, mi trabajo consiste en decir: o bien aceptamos el riesgo, o bien lo rechazamos, o bien se lo explicamos a la junta, ¿no? Y decir, ya sabes, hay una estrategia de mitigación, pero va a costar más. Si lo hacemos a este nivel, es esto. Si lo rechazamos, vale, por X, Y y Z, pero tiene que funcionar dentro del negocio, ¿verdad? No puede ser, ¿entiendes lo que quiero decir, Bob? No puede ser.

Bob Wilkinson: Somos los facilitadores seguros de la oportunidad de negocio. Y cualquiera que diga lo contrario no entiende el tema. De acuerdo.

Mike Yaffy: No sabría decirte cuántas veces he entrado en una sala y me he encontrado con que no había policía. No, aquí están los facilitadores de tu oportunidad de negocio. Y eso es lo que hacemos. Así es como lo hacemos. Y tú hablas de los diferentes riesgos. Puedes remediar el riesgo, puedes aceptarlo y puedes transferirlo. Y el caso clásico de transferencia de riesgo es el seguro cibernético. Pero cuando aceptas el riesgo como empresario, tienes que firmarlo. Tienes que definir los controles compensatorios que vas a utilizar al aceptar ese riesgo. Y hay ocasiones en las que las unidades de negocio quieren asumir riesgos que van más allá del ámbito de su negocio y que afectarán a toda la organización, y ahí es cuando las personas que trabajan en seguridad tienen que decir que no. Por lo tanto, hay que comprender el riesgo y educar a la empresa sobre cuál es ese riesgo y, a continuación, hay que decir: «Si vas a aceptar el riesgo, ¿cuáles son tus controles compensatorios?». No se puede aceptar ciegamente.

Mike Yaffy: De acuerdo. Y sabes, es curioso. Hoy estaba hablando con alguien. Quiero tratar otro tema el año que viene sobre quiénes son los negocios y supongo que probablemente sea diferente, pero quizá algo similar. ¿Quiénes son los profesionales de los distintos sectores con los que hay que hablar y a los que hay que comprender? Digamos: «Oye, mira, estamos incorporando proveedores. Me gustaría que trabajáramos juntos como equipo para comprender y acordar un conjunto de criterios, esa es la palabra adecuada, para incorporar a un proveedor sin que resulte excesivamente oneroso, pero sí justo y razonable para nuestro negocio. Y, francamente, si se trata de un proveedor de primer nivel del que dependes para la funcionalidad básica, creo que es razonable y justificado aplicar un conjunto de evaluaciones más estrictas y una supervisión continua. Pero, ¿con quién tienes que trabajar internamente? ¿Cuáles son los equipos con los que siempre tienes que hablar en cada caso, X, Y y Z, y conseguir su apoyo?

Bob Wilkinson: Bueno, creo que hay algunas cosas que debes tener en cuenta, Mike, y debes pensar en cómo establecer relaciones con las demás partes interesadas en el proceso. Lo primero en lo que yo me centraría es en tu organización de compras, porque es el canal a través del cual se generan las solicitudes de información y las solicitudes de propuestas para identificar a terceros, o cuando una empresa sabe con quién quiere trabajar, tiene que colaborar con la organización de compras para gestionar toda la logística. Hay que tener en cuenta la función jurídica, porque al fin y al cabo se necesita un contrato. Así que hay que tenerlo en cuenta. Una de las funciones en las que me centro es ayudar a las personas responsables de la gestión de riesgos en tu organización a comprender cómo se gestionan los riesgos de terceros. Y con eso me refiero a la gestión de riesgos operativos y a la gestión de riesgos empresariales, porque pueden estar informados. Uno de sus mayores apoyos y patrocinadores en los momentos más difíciles, explicando tanto a la alta dirección como al consejo de administración que la mitigación de riesgos es una actividad fundamental que no podemos descuidar solo porque la situación económica sea difícil.

Mike Yaffy: Entonces, ¿por qué los responsables de compras quieren saber cuál es la ventaja para ellos? Yo soy un responsable de riesgos de terceros. Voy a los responsables de compras y les digo: «Oigan, miren, sé que quizá ya hayan incorporado esto, pero ahora estoy haciendo una revisión de la seguridad informática del proveedor y les pregunto si la ventaja es que, miren, realmente podemos validar que este es un proveedor de primer nivel, excelente desde el punto de vista empresarial y de capacidad técnica para apoyarnos». ¿Es esa la ventaja que les ofrece a los responsables de compras?

Bob Wilkinson: El personal de adquisiciones está sometido a una enorme presión para cerrar acuerdos para la empresa. El tiempo es esencial. Reciben noticias de la empresa. La empresa puede decir: «Bueno, la semana que viene voy a firmar un contrato con el proveedor de primer nivel A y, ya sabes, solo se lo comunican al equipo de riesgos de terceros o incluso después de que haya sucedido, como ocurre a veces». La capacidad de mantener una buena comunicación con el departamento de compras para que las cosas se hagan rápidamente en nombre de la empresa. Al fin y al cabo, la razón por la que estamos en el negocio es para que las empresas tengan éxito y para quitarles de en medio los acuerdos que quieren hacer lo más rápido posible. Por lo tanto, la principal ventaja para el departamento de compras es apoyarles en el procesamiento eficiente de la incorporación de terceros.

Mike Yaffy: Entonces, hazlo más rápido, mejor y más seguro.

Bob Wilkinson: Más rápido, más rápido.

Mike Yaffy: ¿Verdad? Más rápido,

Bob Wilkinson: Más rápido mientras haces lo que tienes que hacer para cumplir con la ley y la normativa.

Mike Yaffy: Y el riesgo.

Bob Wilkinson: Entonces, se trata de cumplimiento, velocidad y un mayor nivel de profundidad en términos de información sobre ese proveedor, especialmente cuando se trata de uno de primer nivel. Así, pueden sentirse más seguros al obtener mejor información y, sí, solo estoy inventando cosas. Mejor información más rápidamente.

Mike Yaffy: ¿Verdad? Y ese es el mecanismo clave para que las empresas se incorporen: a través del proceso de adquisición. Y ahora existen estos controles y equilibrios que describimos como gestión de riesgos de terceros. Cómo funciona esa gestión de riesgos de terceros junto con la adquisición para ayudar a las empresas a alcanzar sus objetivos lo más rápido posible. Pero, al mismo tiempo, hay que aplicar una dosis de sentido común y preguntarse: ¿podemos utilizar a alguien con quien ya contamos? ¿Podemos hacer esto de forma más eficiente? Y la otra parte que viene con eso es cómo podemos automatizar el proceso de incorporación y optimizarlo, y trasladar más rápidamente a las empresas con las que queremos tener relaciones a nuestros procesos de supervisión continua.

Mike Yaffy: Tiene sentido, chicos. Y para todos los que estáis ahí fuera, si tenéis alguna pregunta, si queréis preguntar algo en tiempo real, estaré encantado de hacerlo. Si queréis esperar hasta el final o seguir escuchando, lo entiendo. No se preocupen. Pero intentaremos responderlas. He estado revisando la función de chat. Hasta ahora, nadie ha enviado nada. Debemos tenerlos cautivados, Bob. Entonces, ¿por qué no pasamos a la diapositiva 14? Hemos hablado mucho sobre esto. Están agregando un 10 % más de proveedores. TPRM, a la gente se le pide que formalice un programa y, mira, si estás haciendo una hoja de cálculo ahora mismo, y estoy seguro de que la gente se está riendo, estás pensando: «Ojalá tuviera una hoja de cálculo», ¿verdad? Um, así que estoy seguro de que hay gente que solo está enviando algunos correos electrónicos, tal vez una hoja de cálculo. Pero si estás haciendo eso, en este momento estás atrasado. Pero si estás añadiendo más proveedores, si tu empresa está haciendo cosas, um, oh, hola, Melissa, Sam, uno de nuestros chicos está en el seminario web, acaba de enviar un mensaje. Dice que la función de chat está desactivada. No sé si lo está o no, pero gracias por avisarme, Sam. Esto es en tiempo real. Esto es en tiempo real. Oye, tienes que hacerlo.

Melissa: Veamos. Voy a ver si puedo ajustar algunas configuraciones aquí, pero sé que la función de preguntas y respuestas funciona, así que no dudes en usarla.

Mike Yaffy: Entonces, nosotros también hacemos eso. Pero no quería perderme ninguna pregunta importante. Así que, eso está muy bien.

Melissa: Gracias por avisarme. Eh...

Mike Yaffy: Aquí es donde entra en juego mi adicción y es fantástico porque puedo hacer todas estas cosas. Oh, Shu, acabo de recibir tu mensaje. Estamos bien. Entonces, Bob, la gente está añadiendo más proveedores. Estás haciendo un montón de cosas así. Eh, ¿cómo lo gestionas? ¿Cómo te mantienes al día? Bueno, digamos que no se puede tratar a todos los proveedores por igual y que está bien decir: «Mira, con el personal técnico y el presupuesto disponible, esto es lo que podemos conseguir razonablemente». Yo empezaría por ahí, pero ¿por qué no pasas a la siguiente diapositiva y luego lo hacemos?

Bob Wilkinson: Correcto, así que sabes que parte de ello es ser proactivo y cómo construyes tu inventario se convierte en una cuestión importante: ¿entiendes lo que tienes y cómo puedes ponerlo a disposición de la gente para aprovechar lo que existe? La otra parte es ser proactivo y ponerse en contacto periódicamente con tus socios comerciales para informarles de lo que se avecina. ¿Estás pensando en incorporar nuevos terceros, al menos para tus actividades comerciales críticas? Ahora bien, parte de eso lo podrías tratar con la empresa, pero al final son las empresas las responsables de gestionar las relaciones que externalizan. Y esto no es algo de lo que se hable mucho, pero es un punto crítico. Las empresas pueden externalizar funciones, pero no pueden externalizar la responsabilidad y la rendición de cuentas.

Bob Wilkinson: De hecho, según la normativa, las empresas están obligadas, por ejemplo, en el sector bancario, a realizar evaluaciones trimestrales documentadas del rendimiento de sus relaciones con terceros. Así que, si un regulador viene a hacer una inspección, puede preguntarle: «Bien, ¿dónde están sus informes de rendimiento documentados del último año sobre el tercero A, el tercero B y el tercero C?». Y si no lo hace, no está cumpliendo con la normativa. Por lo tanto, es necesario contar con una función clara de gestión de relaciones dentro de las empresas que son responsables de mantener esa relación. Así que, cuando se realiza una evaluación del riesgo de terceros y se identifican problemas, no deberíamos ser necesariamente nosotros los que persigamos a la empresa o al proveedor para que lo solucione. Eso debería hacerlo alguien de la empresa que sea responsable de la relación con ese tercero, y esa es una diferencia importante. Acabamos de recibir una pregunta muy interesante de Hold, por favor. Lo siento, estoy mirando todas las preguntas que están llegando. Eugene no la va a dar, pero es una gran pregunta. Dice que lleva 20 años en el departamento de compras y que se les recompensa por los ahorros y no por la mitigación de riesgos. Bob, ¿qué opinas al respecto?

Bob Wilkinson: Bueno, ya sabes, eso es cierto, pero al mismo tiempo, los riesgos que no se mitigan son mucho más costosos para una organización que cualquier ahorro que puedan lograr.

Mike Yaffy: Eso es lo que yo haría en mi lugar, ¿no? Si contratas a un proveedor malo, francamente, porque no ves el riesgo, y luego fracasan.

Bob Wilkinson: Y hay que buscar recursos.

Mike Yaffy: O son víctimas de un ataque informático o tienes que recurrir a un proveedor, y el proveedor supone un riesgo porque no había... Entiendo lo que dices, pero creo que hay que tener en cuenta algo. Siempre bromeo con nuestros comerciales diciendo que los planes de compensación impulsan el comportamiento, y Eugene, lo entiendo, si tu único objetivo es que tu compensación esté vinculada al 100 % a cuánto dinero ahorras o cuánto puedes rebajar a un proveedor potencial, entonceses lo que yo haría también. Pero parece que falta toda una cara del cubo de Rubik por falta de una mejor, justo donde Bob, donde tú sabes el coste de tener una brecha o tener un proveedor y sabes que se quema en medio y luego tienes tu... Sigo usando el ejemplo de que tu pieza de coche no se entrega y no puedes fabricar BMW, es un poco más complicado, ¿verdad?

Bob Wilkinson: Bueno, ya sabes que hay relaciones comerciales que se basan en el precio y en presionar a la gente para que baje los precios. Y luego hay relaciones estratégicas que deben basarse en la confianza y en que existe una oportunidad de valor, una ganancia compartida para ambas partes de la relación. Y una de las cosas en las que debes centrarte en un programa de gestión de riesgos de terceros es tu acercamiento a tus terceros, al menos a los terceros críticos, y cómo construir relaciones de confianza con ellos, porque cuando construyes relaciones de confianza, están más dispuestos a compartir contigo y la relación es más beneficiosa para ambas partes. Por lo tanto, centrarse únicamente en reducir los costes de los terceros, si esa es la directriz de la organización y usted desempeña esa función de adquisición, va a determinar su comportamiento, pero se trata de un comportamiento miope que, en última instancia, puede acabar costando más. Eso es lo que yo diría al respecto. Si quiere guiarse por los costes, está bien. Pero la normativa te va a afectar. Acabarás devolviendo el dinero y no sacarás todo el partido a las relaciones con las empresas con las que trabajas.

Mike Yaffy: Bob, mucha gente... No, creo que es una respuesta estupenda y creo que es correcta. Yo lo creo. Eh, sí. Y no quieres llevar las cosas al extremo, porque entonces tendrías 20 cosas que hacer en el ámbito de las compras o el abastecimiento, pero debería haber un término medio. Eh, Bob, háblame de... Desde que me incorporé a Prevalent hace cuatro años, tengo la firme convicción de que la clave del éxito de las compras y la seguridad informática es incluir en los contratos el lenguaje adecuado, desde el principio, y decir que tenemos derecho a evaluar, que tenemos derecho a supervisar, que tenemos derecho a exigir o requerir, francamente, medidas correctivas en caso de que se considere que hay deficiencias. Eh, ¿qué opinas al respecto? Sé que ni siquiera está aquí, pero quería preguntarlo.

Bob Wilkinson: Sí. Sí. Bueno, los contratos son muy importantes y la forma en que se abordan es realmente importante. Quiero decir, hay ciertas cosas que deben incluirse tanto por buenas prácticas comerciales como porque así lo exige la normativa. Así pues, los tres aspectos principales son el derecho a auditar, que básicamente significa que usted acepta que yo pueda realizar una evaluación de riesgos en su empresa. Notificación de violaciones cuando se produce una violación de datos. Quieres que te notifiquen lo antes posible, en un plazo máximo de 24 o 48 horas, cuando se den cuenta de una violación. Pero hay que recordar que, en el caso de las violaciones, el tiempo que transcurre entre el momento en que un órgano o una organización se ve comprometido y el descubrimiento de la violación es, de media, de 270 días. Eso significa que alguien está en tu red durante mucho tiempo navegando y causando daños. Por eso quieres que te notifiquen las violaciones. En tercer lugar, querrá obligar a sus terceros a remediar los problemas que se detecten. La gestión de riesgos de terceros es precisamente eso. Es gestión de riesgos. No es cumplimiento de terceros, o así lo llamaríamos.

Bob Wilkinson: La gestión de riesgos significa que, cuando se detectan problemas, se evalúan y se identifican, se solucionan y se remedian. De lo contrario, francamente, no vale la pena realizar una evaluación de riesgos. No vale la pena tener un programa de riesgos de terceros si no se solucionan los problemas que se detectan. No se está gestionando el riesgo.

Mike Yaffy: Al final del día.

Mike Yaffy: Mira, Bob, yo vine, esto es algo que ha afectado a la seguridad y solo porque soy mayor, ¿verdad? Pero es que, ya sabes, yo vengo del ámbito de la gestión de vulnerabilidades y las pruebas de penetración, ¿no? La gestión de vulnerabilidades consiste en escanear el exterior de una red y buscar posibles agujeros, informar sobre ellos y luego ver si se puede hacer algún tipo de hackeo proactivo, hackearse a uno mismo, ¿verdad? Para ver si hay una vulnerabilidad real. Descubrirías decenas de miles de vulnerabilidades. ¿Sabes cuántas podría abordar el equipo del servidor en un mes determinado? Dos, tres, pero las abordarían, pero incluso les llevó un tiempo ponerse de acuerdo para sentarse a la mesa y tener una conversación. Creo que hay que insistir sin duda. Y Bob, pasa a la diapositiva 18. Este tipo de cosas se deslizan ahí, pero hay que ser capaz de imponer una solución. Ya sabes, si te quedas ahí sentado y sabes que gran parte de ello es cumplimiento, pero para hacerlo de la manera correcta, que es lo que predicamos mucho aquí, ¿verdad? Donde realmente puedes tener un impacto positivo significativo, tienes que ser capaz de influir en el cambio.

Bob Wilkinson: ¿Verdad? Y la forma en que se puede influir en el cambio, una forma que me parece especialmente eficaz, es informar sobre los problemas identificados por empresa, compartirlo con la empresa, darles la oportunidad de solucionarlo o de elaborar planes y fechas para solucionarlo. Y luego se comparte con la dirección y ninguna empresa querrá presentarse ante su alta dirección como la que nunca consigue que terceros solucionen los problemas. Eso es una gran señal de alarma. Es un enfoque de incentivo y castigo. Se comparte el informe de problemas antes de que se publique o se comparta con nadie más con las empresas y se les pregunta qué están haciendo para solucionarlos. Si no los solucionan, serán ellos los que reciban la llamada y nadie quiere ser llamado a ese nivel delante de sus compañeros.

Mike Yaffy: Eso es un hecho.

Mike Yaffy: Solo hay que sacarlo a la luz y decir que es un riesgo.

Bob Wilkinson: Eso es lo que es.

Mike Yaffy: ¿Verdad? Ya he abordado este tema y ¿hay algún elemento de protección personal en ello? Pero ya lo he abordado y aquí está la posible solución. Ahora, podemos elegir entre seguir adelante o no, pero es vuestro trabajo señalar los riesgos, amigos.

Bob Wilkinson: ¿Verdad? Y no se trata solo de llamarles la atención y hacer un seguimiento del plan, porque lo que ocurre es que la gente elabora un plan de medidas correctivas que, invariablemente, tiene como fecha límite el final del trimestre o el final del año. Así que encuentro una vulnerabilidad, una vulnerabilidad crítica en este momento, y alguien me dice que la van a solucionar el 30 de junio del año que viene. De acuerdo, ese es tu plan. Voy a volver cada pocos meses y preguntarte por los avances al respecto, porque sé que si espero hasta el 30 de junio, acabará siendo un nuevo objetivo.

Mike Yaffy: Eso es parte del juego. O cerrar el asunto y abrir uno nuevo con una nueva fecha límite. Hay muchas formas en las que la gente intenta burlar el sistema, pero ninguna de ellas me parece válida. Por lo tanto, no se trata solo de arrojar luz sobre el asunto, sino de arrojar luz y volver a comprobarlo antes de la fecha límite para asegurarse de que realmente se está avanzando.

Mike Yaffy: Sí. Voy a leer algo de Kevin. Parece que está totalmente de acuerdo, pero voy a leerlo. Bob, ¿por qué no pasas a la siguiente diapositiva mientras lo hacemos? Eh... La razón de ser del TPRM es completar el párrafo sobre el derecho de auditoría con justificaciones y ejemplos de la necesidad, eh... de evaluar durante la evaluación inicial y la reevaluación, y luego enumerar los hallazgos no mitigados con un SLA acordado para la remediación completa o tener la capacidad de salir de la relación.

Bob Wilkinson: De acuerdo. Sabes, esa es una forma perfecta de resumirlo, porque si en el contrato se establece que el tercero tiene que solucionar los problemas identificados en un plazo aceptable y acordado, entonces, si no lo hace, está incumpliendo los términos del contrato. Y eso te da ventaja si esa es la forma en que quieren proceder. No puedo creer que a los terceros les guste hacer eso, pero siempre hay casos en los que dicen que es una lástima y entonces tienes que tomar una decisión sobre si realmente quieres hacer negocios con esas personas.

Bob Wilkinson: Entonces, y las personas que discuten sobre esas cláusulas por adelantado cuando se negocia un contrato, uno se pregunta qué harán cuando llegue el momento de la verdad y sea necesario arreglar las cosas.

Mike Yaffy: Sí. ¿Por qué? Quiero decir, eso debería ser como, ya sabes, queremos trabajar en conjunto, queremos trabajar juntos, ¿no? Si te opones a eso, para mí no es una señal de alarma, pero al menos es algo a lo que quizá haya que prestar un poco más de atención.

Bob Wilkinson: Exactamente. Sin duda lo es. Y, ya sabes, en cualquier programa de riesgo de terceros, hay que encontrar un equilibrio entre lo que hay que hacer para gestionar el riesgo y lo que hay que hacer para cumplir con la normativa. Ya sabes, cuando se aprueban las normativas, y en un futuro no muy lejano veremos nuevas normativas sobre riesgos de terceros en Estados Unidos, ¿cómo vamos a garantizar que cumplimos con esas normativas? Pero recuerda, el cumplimiento normativo no es lo mismo que la gestión de riesgos. No basta con marcar una casilla y decir: «He hecho mi evaluación». Y conozco grandes organizaciones que hacen esto. Bueno, ya sabes, se acaba después de completar la evaluación porque pude marcar la casilla. Ese no es el objetivo del programa. El objetivo del programa es mitigar y gestionar el riesgo de forma eficaz. Punto y aparte. Eso es lo que hay.

Mike Yaffy: Se puede hacer, pero requiere un poco de esfuerzo. Pero ese es el trabajo, ¿no? Quiero decir, realmente es el trabajo. En.

Bob Wilkinson: Al final del día, no se trata de una lista de verificación de cumplimiento. No es como si yo lo hubiera hecho y mi auditor lo hubiera certificado.

Bob Wilkinson: Por eso es importante aprovechar a otras personas de la organización, como el departamento de riesgos empresariales, y trabajar en estrecha colaboración con ellas. Son una palanca que puedes utilizar para ayudar en esta conversación con la empresa a remediar las cosas, porque si el departamento de riesgos empresariales dice que el trabajo no se está haciendo y que las cosas no se están remediando, ya sabes, informan a la alta dirección en la junta directiva y nadie quiere ser esa persona que se presenta ante la junta. ¿Por qué no estamos haciendo esto? El otro aspecto es que, cuando se está considerando un acuerdo de externalización importante, si se trabaja en servicios financieros, es mejor asegurarse de que la junta directiva haya sido informada antes de cerrar el acuerdo, porque ese es otro aspecto a tener en cuenta. Por lo tanto, no se puede simplemente salir y decir: «Voy a externalizar toda esta función empresarial a, eh, ya saben, un tercero A» sin el conocimiento y la conformidad de la junta directiva. Pidiendo transparencia.

Mike Yaffy: Sí. Una pregunta rápida. Alguien envió lo siguiente: «Se necesitan dos años para cambiar de proveedor o de solución. ¿Cómo se sale de una situación de riesgo con un proveedor o se cambia de proveedor cuando se necesitan dos años para hacerlo?».

Bob Wilkinson: Bueno,

Mike Yaffy: Quiero decir, podría decir que es una locura que te lleve tanto tiempo.

Bob Wilkinson: Sí. Bueno, ya sabes, así es.

Mike Yaffy: Eso es lo que pienso. Simplemente tiene que ver con si se trata de una relación estratégica, que es lo que parece ser. Es como tener un plan de salida. Por lo tanto, se puede externalizar un proceso a un tercero, pero no se puede externalizar el conocimiento que se necesita para mantener ese proceso en una empresa. Así que hay una diferencia. Puedo externalizar el proceso, pero es mejor que mantenga a alguien cerca que sepa cómo funcionan realmente las cosas por si necesito recuperarlo, por si necesito salir con ese proveedor. Y para las relaciones críticas. Antes de externalizarlo, deberías haber pensado al menos en una estrategia de salida y en lo que hay que hacer si esto no funciona. A eso se le llama planificación.

Mike Yaffy: Sí. Quiero decir, claro, solo hay que tener la salida. Si se necesitan dos, entonces hay que tener un proceso, ¿no? Eso.

Bob Wilkinson: Y si no tienes un proceso, te llevará dos años.

Mike Yaffy: Puede que no puedas cambiarlo, pero más vale que seas capaz de desenvolverte dentro de ese marco. Quiero decir, supongo, ¿no? Ya sabes,

Mike Yaffy: Eh, Bob, estamos en un aprieto. Melissa, ¿tenemos una encuesta, otra pregunta para la encuesta? ¿Estamos listos?

Melissa: Sí, tenemos uno en el que solemos quedarnos hasta el final, pero, ¿tienes algo más que hacer? Por ahora no tenemos más preguntas, pero siguen llegando poco a poco.

Mike Yaffy: Bueno, Bob, ¿por qué no Melissa, por qué no lees la pregunta? Podemos resolverla y luego...

Melissa: Y luego reservaremos tiempo para que Bob nos dé sus conclusiones finales.

Mike Yaffy: Suena bien. Sí, esta es la segunda encuesta. Um, estoy seguro de que muchos de ustedes ya la han visto antes. Tenemos curiosidad por saber si hay algo que queráis mejorar o establecer en el mundo del TPRM. Sé que los presupuestos para 2023 se están concretando muy pronto, si no es que ya lo están. Así que hacédnoslo saber para que podamos hacer un seguimiento adecuado. Y sed sinceros, porque hacemos un seguimiento. No es solo por diversión.

Mike Yaffy: No nos ofenderemos si dice que no. Si dice que sí, es muy probable que Melissa le llame por teléfono. Así que...

Melissa: Sí, probablemente en el transcurso del día. Probablemente casi de inmediato, pero...

Mike Yaffy: Te llamaré ahora mismo.

Melissa: Sí, adelante, Mike.

Mike Yaffy: Eh, no, solo iba a decir que, chicos, si tenéis hojas de cálculo y estáis pensando en automatizar algo, alguien ha preguntado si necesitáis ayuda para averiguar cómo hacerlo. Mira, Bob, ¿por qué no pones también tu información de contacto para que la gente la tenga?

Mike Yaffy: Bueno, si alguien necesita orientación sobre qué hacer, cómo diseñar o cómo construir, Bob es la persona indicada. No se me ocurre nadie mejor y con más experiencia en grandes empresas. Así que, si no lo eres, si eres un poco spob, probablemente pueda ofrecerte muchos consejos relevantes y ayudarte a vender las ventajas de un programa. Lo que quiero decir es que, si sabes que necesitas una plataforma o servicios gestionados para ayudarte a hacerlo, lo mejor es que te tomes cinco segundos para pensar en ello. Creo que lo mejor es que tenemos un software con el que puedes hacerlo tú mismo. Y tenemos todo un equipo de servicios gestionados. Así que, si odias hacer evaluaciones tanto como la mayoría de la gente y darle vueltas al tema, nosotros podemos hacerlo por ti y simplemente darte los resultados. Bueno, eso han sido los 12 segundos o algo así. Pero Bob, volvamos a ti. ¿Alguna reflexión final?

Bob Wilkinson: Sí, si pensamos en el entorno económico y en que acabemos entrando en recesión sin un aterrizaje suave, ya podemos ver las restricciones financieras que están afectando a las empresas, con despidos, etc. Por eso, cuando pensamos en el riesgo de terceros, tenemos que pensar en qué eficiencias podemos aportar, y no es eficiente tener un flujo interminable de nuevos terceros. Por lo tanto, estructurar su inventario para comprender lo que los terceros hacen realmente por usted, tanto desde la perspectiva del producto como desde la perspectiva del riesgo, comprender dónde pueden producirse duplicaciones para ayudar a la empresa a aprovechar las relaciones existentes que tiene, reduce la exposición de su empresa y de los activos y datos de su empresa y, al mismo tiempo, le permite obtener ahorros financieros. De este modo, se reduce el riesgo, se obtienen ahorros financieros y, en el contexto de cómo los terceros siguen aumentando el número de acuerdos de externalización que las empresas están llevando a cabo, se puede desempeñar un papel clave para ayudar a gestionar el crecimiento de los gastos que se deriva de la incorporación continua de terceros y llegar a sus negocios. Trabaje con el departamento de compras para comprender cuándo hay que hacer las cosas, de modo que pueda ser un socio eficiente y ayudar a incorporar, en apoyo de su negocio y sus objetivos, a los terceros clave que necesita incorporar.

Mike Yaffy: Genial. Un consejo muy sólido para la última hora, amigos. Espero que todos lo hayan disfrutado. Bob, muchas gracias por hacerlo. Y, Melissa, te devuelvo la palabra para cualquier asunto administrativo final.

Melissa: Sí, me han encantado todas las preguntas de hoy, chicos. Eso es lo que hace que estos seminarios web sean tan divertidos. Espero que hayáis apreciado el formato diferente que hemos utilizado hoy. Me gustaría que pudiéramos responder a más preguntas en el futuro, pero Bob, Mike, nos habéis dado una idea muy clara de lo que podemos esperar para el próximo año. Y eso es todo por mi parte. Espero veros a todos en el próximo seminario web.

Mike Yaffy: Gracias a todos. Hasta pronto.

Bob Wilkinson: Muchas gracias. Cuídense todos. Bien.