Más que una casilla de verificación: cómo sacar partido a su programa TPRM

Ashley: Me llamo Ashley. Trabajo en el departamento de desarrollo empresarial de Prevalent. Hoy nos acompañan unos invitados muy especiales: Bob Wilkinson, director ejecutivo de Cyber Marathon Solutions. ¿Qué tal, Bob? Bob Wilkinson: Muy bien. Hola a todos. Ashley: Y nuestro vicepresidente de marketing de productos, Scott Lang. ¿Qué tal, Scott? Scott Lang: Hola, Ashley, muy bien. Gracias por invitarme. Ashley: De nada. Solo un pequeño recordatorio: este seminario web se está grabando y enviaremos una copia junto con las diapositivas de la presentación. Actualmente, todos ustedes están en silencio, pero nos encanta que participen. Por lo tanto, por favor, escriban sus preguntas en nuestro cuadro de preguntas y respuestas para que podamos repasarlas al final del seminario web. Hoy, Bob va a hablar sobre cómo sacar el máximo partido a su programa TPRM. Bob, te cedo la palabra.

Bob Wilkinson: Muchas gracias, Ashley. Hola a todos. El seminario web de hoy se titula «Más allá de la casilla de verificación: transformar el riesgo de terceros desde la evaluación hasta la mitigación del riesgo». Para mí, es un componente clave de todo el programa de gestión de riesgos de terceros. El riesgo de terceros no debería centrarse en el cumplimiento normativo, sino en la gestión de riesgos. Y, con demasiada frecuencia, la atención se centra en marcar una casilla, realizar una evaluación y pasar a la siguiente. Eso no ayuda a mitigar el riesgo que surge de las relaciones con terceros. Por lo tanto, hoy voy a hablar de algunos de los temas clave y de las cosas en las que debemos centrarnos a medida que avanzamos en la creación y ejecución de nuestro programa de gestión de riesgos de terceros, así como de las cosas en las que hay que pensar y, en particular, tener en cuenta dónde la automatización puede ayudarle a tener éxito en ese proceso. Así que voy a empezar por explicar por qué tenemos un programa de TPRM, voy a hablar del marco y el ciclo de vida del TPRM, voy a hablar del modelo de madurez y verán cómo todas las diapositivas siguientes encajan en esa conversación. A partir de ahí, pasaré a la elaboración de perfiles de terceros y a la diligencia debida en la incorporación. El uso de evaluaciones periódicas de riesgos. El papel clave de la automatización y hablaré de una lista de verificación de automatización para que la gente piense en el papel de la supervisión continua en la mitigación exitosa del riesgo en un programa de terceros. El papel de los indicadores clave de rendimiento y los indicadores clave de riesgo en la medición del éxito y el progreso de su programa. La gestión de problemas, porque ahí es donde se pone a prueba y se mitiga realmente el riesgo de terceros. Programas y paneles de control de programas e informes para compartir con su dirección, gestión de incidentes y su papel fundamental con el riesgo de terceros y, por último, hablaremos de la evaluación comparativa. Así que vamos a entrar en materia. ¿Por qué tenemos un programa de gestión de riesgos de terceros? Bueno, la razón es, en definitiva, muy sencilla. Para identificar, gestionar y mitigar los riesgos que surgen del uso de estos terceros. Al hacerlo, evitamos pérdidas económicas. Mitigamos la publicidad adversa y el impacto en la reputación. Y, cuando procede, garantizamos el cumplimiento normativo.

Bob Wilkinson: Ahora bien, el verdadero reto aquí es que, si trabajas en un sector regulado, como la banca, y no gestionas eficazmente el riesgo de terceros, no solo los reguladores te sancionarán por los problemas, sino que además puedes enfrentarte a multas y sanciones bastante importantes. Por lo tanto, se trata de una preocupación empresarial significativa. Y, por último, queremos gestionar de forma eficiente nuestro programa de TPRM y vamos a hablar de las formas de hacerlo. Cuando hablamos del marco y el ciclo de vida del riesgo de terceros, empezamos por la planificación y el descubrimiento, y ahí queremos identificar nuestro inventario de la cadena de suministro, que incluye a terceros, cuartos, quintos, sextos o lo que a veces llamamos enésimos, y también el uso de software de terceros. Creo que no se habla lo suficiente del software de terceros y los riesgos que se derivan de él han sido muy frecuentes en los últimos años. Solo tenemos que fijarnos en casos como SolarWinds, Log4j, etc. Y, junto con la fase de planificación y descubrimiento, asegurarnos de que existen contratos para todos nuestros terceros y de que se han abordado los riesgos clave. A partir de ahí, pasamos a la evaluación de riesgos y hablaremos de la diligencia debida y la incorporación, así como de la necesidad de un programa coherente dentro de una organización para incorporar a todos los terceros, lo que para muchas organizaciones supone un reto. A partir de ahí, pasamos a lo que yo llamaría BAU y a la supervisión continua de los riesgos operativos que surgen con los terceros. A continuación, ¿cómo remediamos los problemas que hemos identificado y qué formas puede adoptar? ¿Podemos remediarlos? ¿Podemos aceptar el riesgo y en qué circunstancias, o podemos transferirlo? Y cuando hablamos de riesgo, transferencia, en realidad nos referimos a cosas como los seguros cibernéticos. Y, por último, ser conscientes de las consideraciones para la rescisión. Entonces, ¿recuperamos todos nuestros datos? ¿Se rescinden todos los accesos que se concedieron a terceros y cuartos al final de una relación? La siguiente pieza es el modelo de madurez de la gestión de riesgos de terceros. Y cuando pensamos en un modelo de madurez, tenemos que empezar por donde estamos. Tenemos que ser objetivos en cuanto al nivel de madurez en el que nos encontramos, pero también tener muy claro el objetivo de madurez hacia el que trabajamos.

Bob Wilkinson: Diré desde ya que el nivel cinco es muy difícil y costoso de alcanzar, y que la mayoría de los programas de terceros no apuntan a ese nivel de madurez. Según mi experiencia, las personas suelen pensar que se encuentran en un nivel de madurez más alto del que realmente tienen. Por lo tanto, es importante que sean objetivas al evaluar su modelo de madurez. Cuando se inicia un programa, todo es muy improvisado. No hay informes de gestión específicos. No conoces tu inventario. A partir de ahí, pasas al nivel dos, en el que empiezas a disponer de recursos específicos. No tienes procesos documentados y, por lo general, respondes a los problemas con terceros de forma reactiva. El nivel tres es donde las cosas realmente empiezan a encajar. Tienes una hoja de ruta y un plan documentados. Estás ejecutando esos planes y tienes un órgano o una estructura organizativa y procesos que te permiten seguir ganando impulso. Más adelante hablaré un poco sobre la importancia de los informes de gestión y cómo estos te permiten mantener la visibilidad de tu programa a medida que avanzas. Uno de los mayores retos de los programas TPRM es que comienzan con mucho bombo y platillo. Todo el mundo está muy comprometido. Vamos a conseguirlo. Vamos a implementar un proceso excelente». Pero luego empiezan a surgir obstáculos, que pueden ser en términos de recursos, apoyo de la dirección, o cualquier otra cosa. Para mí, uno de los elementos clave es cómo mantener la visibilidad del programa entre todas las partes interesadas, en todos los niveles de la dirección, así como en el consejo de administración. Cuando hablamos de la incorporación de terceros, una de las cosas que es realmente importante es comprender cómo funciona su organización. Algunas organizaciones tienen una gestión muy centralizada. Otras están muy descentralizadas, y sus empleados tienen mucha autonomía para contratar a terceros porque lo necesitan para un fin empresarial muy específico. La mayoría de las organizaciones se sitúan en un término medio, de modo que funcionan según un modelo federado en el que las unidades de negocio individuales tienen mucha autonomía para decidir a qué terceros recurrir.

Bob Wilkinson: en cómo interactúan con ellos y siguen una política y unos estándares corporativos estándar, pero con cierto margen de maniobra. Ahora bien, cuando se abandona el modelo centralizado, uno de los problemas que surge rápidamente es que las personas buscan excepciones a los criterios del programa de gestión de riesgos de terceros para la incorporación. Y cuando se permite a las unidades de negocio tener excepciones al proceso estándar de incorporación, empezamos a encontrarnos con muchos problemas porque entonces no tenemos un inventario completo. No tenemos una visibilidad total. No conocemos todo el software que se está utilizando y, cuando surgen problemas, estos se vuelven muy difíciles de abordar, lo que dificulta nuestra capacidad de responder a los incidentes. Esto crea toda una serie de problemas para la empresa. Por lo tanto, una vez que se ha establecido que existe un proceso común o se han detectado las deficiencias, hay que centrarse en el inventario y, como parte del proceso de inventario, entra en juego la definición de los proveedores y terceros en los que se quiere centrar más la atención, lo que a menudo se denomina «criticidad». A veces, las organizaciones tienen dificultades para definir quiénes son sus terceros críticos. Por eso, yo utilizo una definición bastante sencilla y directa para los terceros críticos. ¿Tienen acceso a su información confidencial y restringida? ¿Tienen acceso a su infraestructura? ¿Desempeñan una función de control clave para su organización, como la creación, eliminación y control de usuarios? ¿Han sido identificados por sus recursos de TI y sus negocios como críticos para la recuperación ante desastres o la continuidad del negocio? Y, por último, si alguno de esos terceros proporciona alguno de los cuatro primeros elementos de esta diapositiva, ¿utiliza subcontratistas para prestar esos servicios? Una de las cosas de las que no se habla lo suficiente es el origen de los incidentes. La mayoría de los incidentes se originan en un tercero que utiliza una empresa. Cuando se profundiza en ello, se descubre que muchos de esos incidentes en realidad no comenzaron con el tercero. Comenzaron con el cuarto. Porque, al igual que creamos controles para terceros, a menudo no tenemos los recursos ni el tiempo para centrarnos en los cuartos y quintos.

Bob Wilkinson: Y los actores maliciosos que se aprovecharían de nosotros y tratarían de explotarnos entienden muy bien ese punto. Por lo tanto, desde mi perspectiva, siempre trato de comprender si alguien tiene acceso a mi infraestructura o información confidencial, si está utilizando cuartos o quintos intermediarios y qué tipo de información podría compartirse o qué acceso podría compartirse con ellos. Esa es una parte importante de contar con un entorno de control eficaz para sus terceros. Y cuando lo sabes y has realizado ese nivel de diligencia debida, entonces puedes clasificar a tus terceros y centrar adecuadamente tus recursos en evaluarlos y dejar para otro momento a los terceros que son menos críticos para tu organización. Ahora bien, el acto de evaluar a un tercero y decidir si vas a realizar una evaluación inicial de riesgos. Lo primero que debes hacer antes de decir: «De acuerdo, empecemos con la evaluación de riesgos». Es preguntar al tercero, y esto es cada vez más cierto, si ha realizado una evaluación de riesgos independiente de su organización en los últimos 12 meses, porque si alguien ya ha realizado una evaluación de riesgos independiente y el tercero está dispuesto a proporcionársela, no es necesario que realice otra evaluación de riesgos solo para decir que la ha hecho. Puede revisar el trabajo que se ha realizado y decidir si cree que es suficiente para satisfacer sus necesidades. Y si es suficiente para satisfacer sus necesidades, se habrá ahorrado todos los gastos generales de realizar esa evaluación de riesgos periódica o inicial. Por lo tanto, pregunte siempre a la tercera parte si ha realizado una evaluación independiente o si alguien ha realizado una evaluación de riesgos independiente que pueda compartir con usted. Mi opinión personal es que, cuando se busca contratar a un tercero y se envía una solicitud a varias empresas para ver si quieren realizar un determinado trabajo para usted. Al igual que proporcionan sus datos financieros como parte del proceso de solicitud de propuestas, creo que también deberían proporcionar una evaluación de riesgos independiente. Si lo hacen, entonces no es necesario que usted se dedique a realizar evaluaciones de riesgos, cuyo objetivo es identificar dónde se encuentran los riesgos.

Bob Wilkinson: Puede dedicar su valioso tiempo y recursos a mitigar esos riesgos en la medida en que afectan a su organización. Por lo tanto, una vez más, es importante comprender si su organización obliga a todas las unidades de negocio a seguir el mismo proceso. Utilice algunos de los criterios aquí expuestos para ayudarle a decidir cuáles son los más importantes en los que debe centrarse, sin olvidar a sus cuartos y quintos interlocutores, y pídales primero que realicen una evaluación de riesgos. Si decide que necesita realizar una evaluación de riesgos periódica, debe tomar varias decisiones, y esto es a nivel de su programa. ¿Qué proceso y qué cuestionario va a utilizar para realizar sus evaluaciones de riesgos? Existen algunos cuestionarios estándar del sector que se ajustan a diferentes normas. ¿Cuál es el adecuado para su negocio? ¿Va a utilizarlo? ¿Y va a utilizar los recursos de su organización? ¿Dispone de personal suficiente para realizar esas evaluaciones de riesgos? ¿O le conviene más aumentar la plantilla y contratar recursos de consultoría? para que realicen esas evaluaciones de riesgos por usted. Y luego, dependiendo de su línea de negocio, ¿consideraría utilizar recursos externos? Porque los recursos externos pueden ser más eficientes desde el punto de vista financiero para usted. Otra opción es utilizar empresas de servicios de evaluación de riesgos que realicen la evaluación de riesgos por usted y luego confiar en sus evaluaciones de riesgos periódicas como su debida diligencia. En terceros. Esa es una opción. Otro tema es que, cuando identifique problemas en una evaluación de riesgos, ¿cómo va a gestionar el seguimiento de esos problemas, remediarlos y garantizar que no tengan un impacto negativo en su negocio? Y luego, ¿su organización realizará evaluaciones periódicas? Muchas personas realizan evaluaciones de riesgos anuales en el futuro. ¿Y en base a qué criterios realizaría esas evaluaciones de riesgos? Personalmente, no soy partidario de las evaluaciones de riesgos fuera de la evaluación de riesgos inicial, porque después de la primera, ya tiene su referencia. La referencia no cambia mucho de un año a otro. En ese momento, puede comenzar a utilizar la supervisión continua.

Bob Wilkinson: Y hablaré más sobre la supervisión continua y cómo influye en esto a medida que avancemos. Pero el punto clave que hay que recordar aquí es que un programa eficaz de TPRM mitiga el riesgo en consonancia con la propensión al riesgo de su empresa. Y la evaluación de riesgos es solo el primer paso que le permite identificar los riesgos que debe mitigar. Así que cuando lleguemos a la gestión de problemas, que para mí es probablemente la diapositiva más importante de toda la presentación, hablaremos de ello con más detalle. El otro punto que viene a continuación y al que voy a llegar en unos minutos es la necesidad de automatización. Cuando pensamos en realizar evaluaciones de riesgos, ahora tenemos a nuestra disposición, gracias a varios proveedores del mercado, la capacidad de automatizar nuestro proceso de evaluación de riesgos. Cuando analizamos el alcance de una evaluación de riesgos, no es como hace 15 o 20 años, cuando empecé a hacer esto y nos centrábamos en la seguridad y quizás en la continuidad del negocio. Ahora hay que asegurarse de que cubrimos los riesgos financieros, operativos, geográficos, de fraude cibernético y ESG que existen. Y si no lo hacemos de forma exhaustiva, surgirán problemas. Por ejemplo, si no supervisamos la salud financiera de nuestros terceros, uno de esos terceros críticos podría tener problemas y estar abocado a la quiebra. Es muy difícil cambiar de un tercero a otro en poco tiempo. Estas cosas, dependiendo de si son críticas para su organización, pueden llevar un año o más de planificación. Este es solo un ejemplo de por qué es importante asegurarse de que su proceso de evaluación de riesgos cubra los aspectos financieros. Y con todo esto, es necesario, tanto si realiza evaluaciones de riesgos periódicas como si pasa a un modelo de supervisión continua, comprobar anualmente con sus unidades de negocio si ha cambiado algún aspecto crítico de la relación con el tercero. Por ejemplo, hace un año iniciamos un proyecto piloto. Le dimos acceso a 100 de nuestras cuentas a este tercero. Bueno, un año después, vuelves al negocio y fue un programa piloto exitoso y, de repente, tienen acceso a un millón de cuentas.

Bob Wilkinson: Y puede que se identificaran algunos problemas, pero como se trataba de una prueba piloto, se permitió que siguiera adelante. Pero ahora has expuesto toda la base de datos de la empresa a lo que en un principio se suponía que era una prueba piloto y los problemas que se descubrieron nunca se solucionaron. Por lo tanto, hay que ser consciente de este tipo de cosas. Las herramientas automatizadas le permiten centralizar la postura de riesgo de sus proveedores. Le brindan la capacidad de comprender, rastrear y garantizar la mitigación de los problemas que surgen. Y la automatización también le permite realizar análisis de tendencias para ayudar a comprender cómo está funcionando su organización y, en última instancia, comprender cómo está funcionando su organización en comparación con sus pares. Una de las preguntas que a menudo me hacen los consejos de administración es, cuando hablamos de terceros, ¿cómo está funcionando nuestro programa de terceros en comparación con nuestros competidores? Como he dicho antes, la gente es reacia a gastar dinero para tener el mejor programa de gestión de riesgos de terceros. Pero cualquier junta directiva responsable no quiere tener el peor programa de riesgos de terceros. Por lo tanto, poder comunicar cómo le va en comparación con sus competidores, y hablaremos de la evaluación comparativa un poco más adelante, es un aspecto importante de su programa. Por lo tanto, si su organización utiliza muchos terceros y no está automatizando el proceso, sino que sigue utilizando hojas de cálculo, le resultará muy difícil ampliar su programa de forma eficaz, lo que supondrá un coste elevado y, como resultado, será propenso a riesgos y errores. Aprovechar la automatización le permite garantizar la resiliencia operativa, que es realmente lo que buscamos con nuestros terceros. Queremos asegurarnos, especialmente en el caso de nuestros procesos críticos, de que estén disponibles cuando los necesitemos. También nos permite disponer de una forma centralizada de realizar un seguimiento de los problemas y los planes de corrección. Nos permite extraer la información que necesitamos de forma automatizada y coherente para informar a la dirección y al consejo de administración y mostrarles la situación. Y, a medida que las organizaciones utilizan cada vez más la ciencia de datos, nos permite cuantificar el riesgo evolutivo de la cartera de terceros a medida que cambian las relaciones con nuestros terceros, que se incorporan otros nuevos y que otros se marchan.

Bob Wilkinson: Lo que he hecho aquí es proporcionar una lista de verificación de automatización para que la utilice al pensar en su programa de riesgos de terceros y se asegure de que comprende dónde debe aplicar la automatización y le ayude en ese proceso. Así que lo primero que hay que preguntarse es si se dispone de un inventario centralizado de terceros o si hay que lidiar con múltiples inventarios federados para gestionarlos, y otra cuestión igualmente importante es si todo el mundo recopila la misma información y si esa información es completa. Por lo tanto, disponer de una base de datos automatizada con información predefinida que sea obligatoria para todos los terceros que utilice garantiza que tenga una base precisa desde la que iniciar su programa. En muchas ocasiones he observado inconsistencias en los datos recopilados, lo que resulta problemático en varios niveles. Como he mencionado antes, ¿dispone de un único proceso de flujo de trabajo por el que se incorporan todos los terceros? Porque si no es así, tiene algunos puntos ciegos realmente graves y esos son los que volverán y le perjudicarán a largo plazo. Otro aspecto relacionado con esto es que, a medida que incorpora a sus terceros, ¿puede clasificarlos en dominios de riesgo? ¿Y a qué me refiero con eso? Por ejemplo, todos los terceros que tienen información, acceso a información confidencial, todos los terceros que tienen acceso a su infraestructura, todos los terceros que le proporcionan funciones comerciales específicas, como servicios de centro de llamadas o de pago. Cuando puedes clasificarlos en ámbitos de riesgo, lo que eso te permite es ver lo que para mí es otra de las cuestiones fundamentales del riesgo de terceros, que es por qué tu empresa sigue contratando proveedores que hacen todos lo mismo. ¿Por qué necesitas cinco proveedores para realizar una determinada función, cuando dos o tres podrían ser suficientes? Es evidente que necesitamos redundancia en ciertas funciones críticas, pero ¿realmente necesitamos cinco o seis terceros que hagan lo mismo en toda la empresa? Si fuéramos eficientes en la forma de llevar a cabo ese proceso, no necesitaríamos contratar a tantos terceros adicionales, lo que aumenta los gastos y el riesgo con cada nuevo tercero con el que se comparten los datos, y podríamos operar nuestros programas en un entorno mucho más eficiente y basado en el riesgo.

Bob Wilkinson: Para mí es importante la idea de clasificar a los proveedores en categorías de riesgo para evitar contratar innecesariamente a terceros que no necesitamos. ¿Disponemos de una base de datos centralizada para la gestión de contratos con terceros? Todavía no he trabajado con ninguna empresa que tenga contratos con todos sus proveedores a los que pueda acceder fácilmente. Dado que el proceso de contratación de terceros evoluciona con el tiempo y que muchas organizaciones se dedican a fusiones y adquisiciones, es muy difícil dar cuenta de todos los contratos y, sin duda, es difícil tener un lenguaje común en todos ellos. Y cuando pensamos en la gestión de contratos, es importante que incluyan ciertas cláusulas clave, como el derecho a auditar, el compromiso de mitigar los problemas que se identifiquen y la notificación oportuna de cualquier incidente del que tengan conocimiento. Por lo general, no hay coherencia en el hecho de tener una base de datos centralizada de contratos. Al menos, ahí lo tienes todo y puedes trabajar con el tiempo para estandarizar los contratos. ¿Tiene un proceso automatizado? Ya hemos hablado de la importancia de realizar la debida diligencia, ya que se aplica un estándar coherente a todos los terceros con los que se trabaja. ¿Dispone de un proceso de seguimiento de incidencias y de una base de datos para realizar dicho seguimiento, de modo que pueda gestionar las incidencias pendientes de terceros en toda su organización? Hablaremos un poco más sobre esto en unos minutos. ¿Existe un proceso utilizado por las unidades de negocio para realizar un seguimiento del rendimiento de los terceros? En el sector de los servicios financieros, la normativa exige que, trimestralmente, las unidades de negocio que utilizan terceros evalúen su rendimiento y su capacidad para cumplir con lo comprometido, y que documenten los resultados. Por eso es importante. Supervisión continua. Mucha gente habla de la supervisión continua y, para mí, es absolutamente esencial. Pero siempre que se introduce cualquier herramienta, ya sea de supervisión continua o cualquier otro software para realizar evaluaciones de riesgos, si no se determina de antemano cómo se va a implementar esa solución con el funcionamiento actual de la organización y los flujos de procesos con los que tiene que interactuar.

Bob Wilkinson: Entonces, antes de empezar, estás condenado al fracaso. Por lo tanto, el software que adquieras para hacer esto será lo que llamamos «software que nunca se utiliza». Tienes que entender cómo se va a incorporar cualquier herramienta que adquieras a tu entorno operativo. Y, por último, ¿has considerado, con tu estructura de informes de gestión, cuáles son los requisitos de presentación de informes y con qué frecuencia debes cumplirlos, de modo que cada vez que tengas que elaborar un informe sobre el riesgo de terceros, ya sea para la dirección o para el consejo de administración, no tengas que realizar un ejercicio manual intensivo y un seguimiento continuo? Realizamos evaluaciones de riesgos periódicas y, en el momento en que las hacemos, son precisas. Los otros 300 64 días del año, no lo sabemos. Perdemos visibilidad y las cosas cambian muy rápidamente. Por lo tanto, si realmente se quiere mitigar el riesgo en un programa de terceros, es necesario disponer de una forma continua de gestionar el riesgo que surge del uso de terceros. Como he dicho, decidir cómo implementar esa solución de supervisión continua de terceros en los flujos de trabajo de sus procesos operativos es clave para su éxito. Las plataformas de supervisión continua utilizan fuentes de datos disponibles públicamente para identificar los riesgos que pueden existir en su entorno y también puede ampliar la supervisión continua a esos cuartos, quintos y sextos terceros, especialmente cuando afectan a sus procesos empresariales críticos. Por lo tanto, no dependen de ninguna información privada que tenga su organización. Analizan datos que están disponibles públicamente. Pero si pensamos en todos los sitios web que utilizan las empresas y en todos los cambios de software y las actualizaciones de infraestructura que se producen en ellos, cada vez que se produce un cambio existe la posibilidad de que algo salga mal. Los piratas informáticos escanean continuamente su presencia en Internet en busca de vulnerabilidades y, si las encuentran, suelen descubrirlas en cuestión de horas, lo que nos lleva a un tema completamente diferente. Ahora bien, con la supervisión continua, es importante, como he dicho, comprender lo que hace y lo que no hace.

Bob Wilkinson: También es importante comprender que las habilidades necesarias para realizar evaluaciones de riesgos son diferentes, en algunos aspectos, de las habilidades necesarias para llevar a cabo una supervisión continua. Por lo tanto, al plantearse implementar una supervisión continua, debe asegurarse de que las personas que la llevarán a cabo cuentan con las habilidades adecuadas. También debe pensar en cómo ese programa de supervisión continua interactuará con otras partes de su organización. La supervisión continua puede ser muy útil. Por ejemplo, para ayudar al programa de inteligencia sobre amenazas cibernéticas que tiene, informándoles de los proveedores que utiliza y que quizá ellos no hayan tenido en cuenta, y de los problemas que están surgiendo, para que puedan relacionarlos con la inteligencia sobre amenazas que están viendo, o quizá usted lo relacione con su centro de operaciones de seguridad, donde se encuentran los recursos que responden a los incidentes que se han producido. No puedode cuántas veces he visto a personas en el SOC, cuando se produce un incidente, llamar al equipo externo y decir: «Bueno, no sabemos nada sobre este proveedor que estamos utilizando. ¿Pueden informarnos? ¿Saben qué están haciendo realmente por nosotros?». Si se trabaja para incorporar el flujo de conocimientos por adelantado, se puede ser proactivo en lugar de reactivo. Pasemos a los indicadores clave de rendimiento y los indicadores clave de riesgo. Esto está directamente relacionado con la presentación de informes y la visibilidad del programa. Los indicadores clave de rendimiento son medidas del progreso de un componente del programa en el que se está trabajando para alcanzar un objetivo específico. Mucha gente habla de los indicadores clave de rendimiento, pero los datos no son un indicador en sí mismos. Siempre que creas que tienes un KPI que quieres utilizar, debes hacerte una pregunta. Y esa pregunta es: ¿Y qué? ¿Por qué estoy recopilando esto? ¿Qué me dice esto? ¿Implica alguna información útil que pueda utilizar? ¿Me está mostrando realmente una tendencia? Un ejemplo es, ya sabes, ¿estamos mejorando en la forma en que este proveedor nos presta el servicio? ¿Estamos mejorando en nuestros programas sobre cómo ejecutamos personalmente nuestras evaluaciones de riesgos?

Bob Wilkinson: Estos son solo algunos ejemplos de dónde entran en juego los indicadores clave de rendimiento. Un indicador clave de riesgo es una medida del riesgo que conlleva una actividad empresarial. Por lo tanto, cuando hablamos de ello en un contexto de terceros, ¿tenemos más problemas con nuestros terceros hoy que los que teníamos el mes pasado, hace seis meses o hace un año? ¿Y esos problemas se están resolviendo o siguen siendo objeto de nuevas medidas? Esto nos indica que, a medida que aumenta el número de problemas, aumenta el riesgo de nuestro programa de terceros. Por lo tanto, en cada programa hay que decidir cuáles son los indicadores adecuados, pero estos deben ayudarle a explicar su programa de riesgo de terceros al final del día. Esa es la información fundamental que necesita. Ahora, la gestión de problemas. Para mí, aquí es donde realmente todo cobra sentido. Si quieres tener un programa de gestión de riesgos de terceros resistente, debes realizar un seguimiento riguroso de los problemas que se han identificado y de cómo se están solucionando. Y esta es quizás una de las áreas más difíciles del riesgo de terceros. Los terceros se comprometerán a abordar los problemas, lo que puede llevar tiempo, ya que no encajan en su hoja de ruta, pero hay algunas cosas clave que debes hacer con los problemas que se identifican. En primer lugar, debe asegurarse de que los registra en una base de datos centralizada. Se trata de todos los problemas que afectan a todos los terceros con los que trabajamos. Debe asegurarse de que hay una fecha comprometida en la que alguien ha acordado implementar un plan de medidas correctivas y debe saber quién es esa persona. Por último, debe disponer de una forma de realizar un seguimiento e informar sobre los progresos. La forma habitual en que se aborda la gestión de problemas en una organización, es decir, la forma en que lo hacen las unidades de negocio y los proveedores, es elegir una fecha al final del trimestre, a mitad de año o al final del año. Por lo tanto, si revisara su base de datos de gestión de problemas, lo más probable es que viera 3:31, 6:30, 9:30 y 12:31 como fechas objetivo para la corrección. Si espera hasta esas fechas para comprobar el estado, habrá fracasado antes de empezar. Cuando alguien me dice hoy que va a corregir algo antes del 30 de septiembre.

Bob Wilkinson: Me aseguraré de preguntar el 31 de marzo dónde está el plan. El 30 de junio, diré qué progresos se han hecho. Y luego, a medida que se acerque la fecha, utilizaré el antiguo método rojo, ámbar y verde para hacer un seguimiento del estado de los asuntos. Y comunicaré esos problemas a los jefes de las unidades de negocio para que todos sepan en qué punto se encuentran con la resolución de problemas de terceros. Ahora bien, se trata de un tema muy delicado desde el punto de vista político. A la gente no le gusta que se le llame la atención y se le pida responsabilidades. Pero si se quieren resolver los problemas, eso es lo que hay que hacer al final del día, antes de publicar ningún informe. La forma de abordar esto es compartirlo individualmente con las unidades de negocio en las que no se han abordado los problemas y hacerles saber que, por ejemplo, en dos semanas, este informe se compartirá con la alta dirección y se celebrará una reunión al respecto. Así es como se consigue que se resuelvan los problemas, haciendo que las personas rindan cuentas, y por eso la gestión de problemas es tan importante para mí, porque, al fin y al cabo, la resolución equivale a la resiliencia operativa. Desde mi punto de vista, este es el aspecto más importante de la gestión de riesgos de terceros. Si no se solucionan los problemas identificados, en mi opinión, no vale la pena realizar evaluaciones de riesgos, ya que lo único que se consigue es empeorar la situación. Antes se estaba ciego y no se sabía nada, pero ahora se sabe y se ha decidido no hacer nada al respecto. Paneles de control y informes del programa. Antes mencioné la importancia de mantener la visibilidad de su programa de gestión de riesgos de terceros. Entonces, ¿cómo puede hacerlo y cómo puede hacerlo bien desde el principio de su programa de gestión de riesgos de terceros? Puede empezar a elaborar informes de inmediato, y los informes se producen a diferentes niveles. Hablemos de su gestión inmediata, quizás un nivel por encima de ahí. Puede empezar a elaborar informes desde el principio y yo empezaría con cuatro aspectos. No necesitas más de cuatro diapositivas para hacerlo. Así que puedes hablar de cuál sea tu periodo de informe, ya sea una semana, dos semanas, un mes... ¿Qué progresos has hecho en tu programa? Luego puedes hablar de temas que tu dirección debe conocer para que todos estén en sintonía. La tercera cosa de la que puedes hablar son los obstáculos para tu éxito.

Bob Wilkinson: ¿Quién no está haciendo algo que usted necesita para avanzar en su programa? Esa es una forma de conseguir que la dirección se implique en ayudarle a resolver los problemas. Y, por último, cómo todas las actividades que está realizando contribuyen a ese camino hacia la sostenibilidad de su programa de gestión de riesgos de terceros. Algunos de los temas de los informes de tendencias que puede tratar y que, en mi opinión, realmente ayudan a contar la historia son el crecimiento del uso general de terceros. Según mi experiencia, no es raro ver un aumento del 10 % anual en el uso de terceros. Por lo tanto, si este año tiene un 10 % más de terceros con los que tratar que el año pasado, ¿alguien le ha concedido un aumento del 10 % en su presupuesto? No lo creo. Por lo tanto, debe ser eficiente a la hora de concienciar sobre el crecimiento en el uso de terceros, especialmente cuando muchos de estos terceros se han heredado a través de adquisiciones o contrataciones y están prestando servicios duplicados a su organización. Puede hablar del aumento o la disminución del rendimiento general y el riesgo de su programa de terceros basándose en los KPI y los KRIS que está midiendo. Puede informar sobre la exhaustividad de su inventario de terceros. Supongamos que lo desglosa por unidades de negocio. Supongamos que ha identificado todos los terceros que tiene, pero solo ha podido dar cuenta de la mitad de ellos. ¿Esa cifra está mejorando con el tiempo? Y, por cierto, si lo que quiere es crear un inventario de terceros y quiere asegurarse de que sea completo, la forma más fácil de hacerlo es volver al departamento de cuentas por pagar y pedirles que le faciliten una lista de todos los pagos que han realizado en los últimos dos años, ya que esos son sus proveedores reales. Puede hablar del aumento o la disminución del número de incidencias. Ya he hablado lo suficiente sobre este punto. Entonces, si estás en un negocio regulado, también puedes hablar de los problemas que informan los reguladores, porque estos tienen un programa, por ejemplo, en la banca, en el que salen y realizan evaluaciones de riesgo de lo que ellos llaman exámenes de terceros que prestan servicios críticos a las empresas de servicios financieros.

Bob Wilkinson: Y cuando realizan sus exámenes, si encuentran problemas, los documentan y los envían a todos los usuarios de ese tercero, y esperan que usted se haga cargo de esos problemas, desarrolle planes de acción correctivos e informe a su junta directiva de que lo ha hecho. Yo he tenido que hacerlo en el pasado. Por eso lo sé. Pasemos a la gestión de incidentes. Una vez más, se trata de un ámbito en el que las ventajas de la automatización son sustanciales para ayudarte a gestionarlo. Como he dicho antes, más de la mitad de los incidentes que se producen pueden relacionarse directamente con terceros. Por lo tanto, contar con un proceso documentado, probado y revisado constantemente es fundamental para mitigar el impacto del incidente. Así pues, cuando hablamos de gestión de incidentes, hay una serie de temas que deben tratarse. En primer lugar, la preparación para la gestión de incidentes. ¿Qué debemos hacer? ¿A quién debemos llamar? ¿Tenemos todos los números de teléfono correctos? ¿Sabemos quiénes son nuestros contactos en los proveedores? ¿Estamos seguros de que sus teléfonos móviles y correos electrónicos son correctos y de que no han dejado todos el trabajo? ¿Cómo sabemos cuáles son nuestros procesos internos? La única forma de hacerlo es realizar un ejercicio de simulación y simular un incidente con su dirección y con el tercero. Detección y comunicación de incidentes. ¿Cuáles son los procedimientos de notificación? ¿Cómo se producen las escaladas? Cuando se produce un incidente, ¿cómo se clasifica y se decide cuáles son los siguientes pasos? Una vez hecho esto, ¿cómo se contiene el incidente y se recupera de él y, lo que es más importante, qué se ha aprendido del incidente y se ha incorporado ese conocimiento adquirido a los procesos de control? Por lo tanto, la respuesta rápida es absolutamente clave y los minutos cuentan aquí, y los reguladores están muy centrados y esperan ser notificados rápidamente cuando se producen incidentes, y harán preguntas sobre cómo ocurrió y cuáles fueron sus procesos para evitar que vuelva a ocurrir, y qué falló inicialmente. Por lo tanto, contar con un proceso documentado, automatizado y probado periódicamente para gestionar los incidentes es absolutamente fundamental para el éxito. Hablé un poco sobre la evaluación comparativa de programas. Para mí, la gestión de riesgos de terceros es un viaje.

Bob Wilkinson: No es un destino. Está en constante cambio. Surgen nuevos riesgos. Las nuevas técnicas y procesos de remediación evolucionan y nos permiten ayudar a abordar esos riesgos. A medida que implementa procesos automatizados como los que hemos mencionado aquí, mejorará la madurez de su programa. Dispondrá de criterios claros que podrá utilizar para evaluar su programa y ver cómo está rindiendo en comparación con otras organizaciones similares de su sector. Al considerar la oportunidad de aprovechar el análisis de datos, puede realizar modelos muy interesantes. Yo ya lo he hecho antes, y le permiten puntuar a cada tercero individualmente. ¿Cuál es el riesgo que representan según los controles que tienen implementados, según su evaluación? Puede puntuar el riesgo de cada dominio de riesgo individual. Entonces, ¿qué riesgo tienen mis centros de atención telefónica? ¿Qué riesgo tienen los terceros que tienen acceso a mi información confidencial? También puede hacerlo para toda su cartera de terceros. Así, en una escala del 1 al 5, puede puntuar el riesgo actual de su cartera de terceros y luego hacerlo trimestralmente para ver si su riesgo aumenta o disminuye. Existen técnicas para hacerlo y la puntuación dinámica de la cartera le ayuda a comprender la evolución de su riesgo y si está mejorando o empeorando. Estos son los temas que conozco. Les he dado mucha información. Como siempre digo al final de mi parte del seminario web, esta es mi información de contacto. Estaré encantado de hablar con cualquiera en cualquier momento sobre cualquiera de estos temas. Lo hago porque realmente lo disfruto y agradezco la oportunidad de mantener cualquier conversación. Así que, en este punto, voy a ceder la palabra a Scott Lang. Scott, ¿estás listo?

Scott Lang: I am. Bob Wilkinson: It’s all yours. Thanks, buddy. I’m gonna share my screen here. Just uh quick confirmation that you can see my screen, Bob. Bob Wilkinson: Yes, sir. Scott Lang: Awesome. All right, everybody. Uh thank you so much for hanging in here through uh through Bob’s presentation. You know, the thing with Bob’s webinars is that they are rich in content and uh experience. So, I know he gave you a lot today to kind of consume and digest. Just as another reminder, as Ashley said in the chat, uh we will send out the deck in the recording tomorrow uh so you can kind of go through the materials again and really apply them as best practices you know in your organizations. What I thought I would do is just take a few minutes to explain what Prevalent can do to help you go beyond the check uh the checkbox and automate your thirdparty risk management program. Um we understand that there to be some pretty uh distinct realities that you know you’re probably facing in your program today. Number one, it’s highly manual. We do a survey every year uh where we ask respondents how many of you are using spreadsheets solely as your you know TPRM uh and assessment process and almost half of you do that stop doing that uh 20% of you say that you know you’re not really looking at risks at every stage across a third party uh or supplier life cycle and then third there’s you know maybe some questions about ownership of the process and ownership of the third party vendor supplier relationship in organizations Um 71% say the infosc team owns thirdparty risk but 63 say procurement owns the relationship. I don’t think that’s that uncommon uh but um it will drive certain behaviors like needing to work together building a good solid governance foundation setting your processes in place engaging different teams before you start down the path of you know buying a tool and and kind of incorporating that uh into your into your environment. Look the process of transforming you know from a checkbox to you know a much more dynamic and real time and process driven approach. Uh you know it it takes a lot and you know in our view this is kind of how it happens you you start out with headaches pain and stress and you’re worried about juggling email spreadsheets and shareoint step one tends to be managing all your vendors in one place just getting a single inventory or database of all your vendors and the vendor information that goes behind it their information their risks u a picture of you know their criticality uh as as as Bob talked about. And then as you have that information centralized um you can then start to evolve out of spreadsheet jail and begin to design you know centralized vendor risk assessments that are housed in a platform are backed by workflow and then enable communication with vendors you know in the platform and then sending those assessments out via links uh in emails instead of you know switching you know spreadsheets back and forth. Next step in the process once you kind of get out of, you know, the, you know, centrally managing vendors, um, dropping spreadsheets forever and all time. Uh, is validating the findings from those, uh, thirdparty risk assessments with external data that you might find via a cyber uh, cyber intel score, business operational updates, uh, financial um, or or you know uh, operational updates, reputational intelligence, like things that that happen in between your regular assessment that help to add color and context to that relationship and might trigger um a you know a reassessment in between your annual planned assessments. Next step in the process, you’ve got it centralized, you’ve got a process in place, you got your stakeholders all lined up, you’re validating answers that are coming back. Now you finally have the automation in place to to kind of define what a risk is. Um measure it, scale it, identify what doesn’t line up with your organization’s risk appetite, and then begin to prescribe some remediations to ultimately reduce risk instead of kind of doing it via, you know, a more ad hoc uh spreadsheet based approach. And that kind of gets you to the apex here. The apex is a more continuous, intelligent, and automated approach where you’re being much more proactive with it. So, you know, looks great on paper. How do you get there? Uh, you know, every path is is unique. Every journey is unique in in in thirdparty risk. But this from our perspective is a summ summarization of the steps that orgs finally take uh on that path to uh to the ultimate outcome. You know, our approach is very prescriptive. As I mentioned, we look at risk across every stage of the third party vendor and supplier life cycle from the point where you source and select the vendor to the point where you off offboard and terminate the that vendor uh and that relationship. Each one of those steps presents unique risks uh and then we look at those risks. We consume them, we score them, we categorize them, we give you insight and intelligence to help you remediate those risks. Uh whether it be from a a cyber failure or vulnerability to an operational disruption or financial problem at a vendor uh to reputational concern or compliance or sanctions violation. We incorporate that all together for three outcomes. Uh number one is to help you speed up and simplify your onboarding process with a single version of the truth. Second is to streamline the process and close uh gaps and risk coverage. And then third is to unify all of your teams uh across the third party life cycle. If you recall back to that first slide I had, it talks about different teams owning the relationship and uh owning the process. What we actually uh deliver to help is a combination of our people, our data, and our platform. If you choose to have us do it for you uh in managed services, we’ve got the experts to do everything from onboarding vendors and managing them to uh analyzing results and uh prescribing remediations. We incorporate hundreds of thousands of individual data sources into the platform to help you make good pinpoint specific decisions on uh on risk and then we house it all in the platform uh that has all the workflow the reporting the analytics and more to get everybody on the same page. Look at the end of the day we want you to achieve three things from your TPRM program. The number one is to get the data you need to make better decisions you know through automation by helping you like a knockout manual processes. Second, to increase your team’s efficiency and to break down silos um to get everybody singing from the same himnil uh with regard to uh you know making risk based decisions, looking at risk, looking at processes and then finally giving you a foundation that you can then evolve and scale your program uh over time. All right, again that’s what Premley can do to help you. Our platform is tuned to helping you apply automation so that you can and be much more efficient and effective in executing your program. So, with that, Ashley, flip it back over to you.

Ashley: Gracias, Scott. De hecho, te devuelvo la pelota. Ya tenemos una pregunta para ti en el chat, de Dan, que dice: «¿Cómo conseguimos que los proveedores actuales se sumen a esto cuando ya tienen un contrato y ahora quieren exigir métricas, supervisión y demás?». Scott Lang: Sí. Si tienes un contrato en vigor y ellos no quieren cooperar y formar parte del proceso de evaluación, he descubierto que una forma eficaz de hacerlo es realizar un análisis cibernético y mostrarles su puntuación, lo que normalmente les obligará a decir: «Oh, sí, ¿sabes qué? Eso no es exacto. Eh, sabes que esto es incorrecto. Necesitas datos mejores». Vale, genial. La mejor manera de conseguir esos datos es mediante una evaluación. Ese es un mecanismo que puedes utilizar para conseguirlo.

Ashley: Gracias, Scott. Volviendo a ti, Bob. Kelly preguntó: «¿Dónde encajan las partes finales en el modelo de madurez? ». Bob Wilkinson: Las partes n-ésimas, dependiendo de su uso, las relaciono directamente con la criticidad. Si utilizas partes n-ésimas que están vinculadas a procesos empresariales críticos y esas partes n-ésimas tienen acceso a todos tus clientes, están en lo más alto, desde el principio. Me interesa más el criterio para definir la criticidad y centrarme en esa cadena para comprender a todas las cuartas, quintas y sextas partes implicadas que hablar de terceros que realizan o están vinculados a funciones menos críticas dentro de mi organización. Por lo tanto, los coloco en la parte superior si forman parte de una función crítica.

Ashley: Gracias, Bob. Una pregunta más para ti. David preguntó cómo define una organización la propensión al riesgo. Bob Wilkinson: Bueno, la propensión al riesgo es la cantidad de riesgo que estás dispuesto a asumir para obtener una recompensa específica, y las organizaciones lo definen a nivel del consejo de administración. Por lo tanto, el consejo debe definir claramente y comunicar a la alta dirección de la organización cuánto riesgo es apropiado asumir para lograr una determinada recompensa. A continuación, la alta dirección debe asegurarse de que esa información se comunique a toda la empresa, de modo que todo el mundo trabaje con las mismas directrices y comprenda qué riesgo es aceptable. Un ejemplo clásico de ello es lo que ocurrió durante la crisis financiera, cuando AIG tenía un pequeño equipo que se dedicaba a asegurar contratos de derivados y todo se fue al traste cuando los mercados financieros se derrumbaron y AIG acabó recibiendo un rescate de 60 000 millones de dólares del Gobierno federal. Fue una pequeña parte de una organización muy grande la que causó ese problema, y fue porque su apetito de riesgo era mayor que el de la empresa.

Ashley: Gracias, Bob y Scott. Si todavía están aquí, tenemos una pregunta más para ustedes antes de terminar. Alguien preguntó sobre los puntos de datos de la reputación financiera cibernética ESG. Si pudierais explicar con más detalle si esos datos están incluidos en la plataforma o si hay que adquirir licencias adicionales para recopilarlos. Scott Lang: Sí, hay dos partes en la ecuación. Hay evaluaciones que se pueden enviar a los proveedores y que incluyen preguntas muy específicas sobre ese tipo de información. Y la segunda parte es la inteligencia de supervisión continua que se obtiene. Así que todo forma parte de la plataforma.

Ashley: Excelente. Gracias, Scott. Y una última pregunta. Es para ti, Bob. Alguien ha preguntado por los problemas con proveedores no resueltos. ¿Cómo se determina quién aprueba la aceptación del riesgo? Bob Wilkinson: La aceptación del riesgo es un tema aparte. Eh... ¿Quién es el propietario de la empresa cuyo nombre figura en el contrato? Ellos son los responsables. Las empresas tienen la falsa impresión de que pueden firmar contratos y subcontratar a terceros y, de alguna manera, una vez firmado el contrato, ya no es su responsabilidad, pero son los propietarios y, si sale mal, la responsabilidad es suya.

Ashley: Excelente. Bueno, gracias Bob, Scott y a todos por sus preguntas. Ambos nos han proporcionado información muy valiosa hoy y espero verlos a todos en su bandeja de entrada o en un futuro seminario web privado. Saludos a todos. Disfruten el resto de la semana. Scott Lang: Gracias. Bob Wilkinson: Adiós. Scott Lang: Adiós.