NYDFS y la gestión de riesgos de terceros: cómo le afecta a usted

Melissa: Hola y bienvenidos a todos. Me alegra ver que todos están empezando a unirse. Les daré un minuto mientras esperamos a que todos se acomoden y se conecten. Mientras tanto, voy a lanzar nuestra primera encuesta. La verán aparecer aquí en su pantalla. Tengo curiosidad por saber qué los ha traído al seminario web de hoy. ¿Están en las primeras etapas de su TPR y programa? ¿Quizás son clientes actuales de Prevalent? ¿Es por motivos educativos? Quizás simplemente les encanta asistir a seminarios web, es su hobby, cuéntenmelo. Empecemos rápidamente con una breve introducción. Me llamo Melissa. Trabajo aquí en desarrollo empresarial. Hoy nos acompañan dos invitados especiales. El vicepresidente sénior de productos y servicios globales de Prevalent, Alistister Parr, y el experto en soluciones y gestor de contenidos Thomas Humphre. Hola, chicos.

Alistair: Hola. Gracias por invitarnos. Melissa: Sí, por supuesto. También contamos con la presencia de nuestro propio Scott Lang, vicepresidente de marketing de productos. Hola, Scott. Scott: Hola, Melissa, ¿cómo estás? Melissa: Bien. Hoy, Thomas y Alistair van a hablar sobre el NYDFS y la gestión de riesgos de terceros, y cómo esto te afecta. Como información práctica, este seminario web se está grabando, por lo que lo recibirán junto con la presentación de diapositivas poco después de que termine. Todos ustedes están en silencio, así que utilicen el chat si necesitan comunicar algo que no sea una pregunta para el cuadro de preguntas y respuestas. Y sin más preámbulos, voy a dejar que Thomas y Alistair se pongan manos a la obra. Adelante, chicos.

Alistair: Muchas gracias. Y solo para recapitular, por supuesto, si tienen alguna pregunta que les gustaría que respondiéramos e intentáramos incluir en nuestra conversación, no duden en hacerlo. Prefiero reforzar la sesión de preguntas y respuestas en lugar del chat, ya que así hay muchas más posibilidades de que nos lleguen y trataremos de incluirlas a medida que avancemos. Muchas gracias por acompañarnos hoy. Solo para reiterar, para aquellos que no nos conocen, soy Alistair Parr. Soy el vicepresidente sénior de productos y servicios aquí en Prevalent. ¿Y por qué estoy personalmente cualificado para hablarles de esto? He tenido el placer de auditar durante casi una década, especialmente en lo que respecta a programas de gestión de riesgos de terceros. He estado expuesto a cientos de programas de ciclo de vida de terceros y hoy me acompaña el ilustre Thomas Humphre Thomas. ¿Por qué está cualificado para hablarnos hoy sobre mi DFS?

Thomas: Hola, Alistair, hola a todos. Sí, soy el gestor de contenidos de Prevalent, así que ayudo a diseñar e implementar evaluaciones que abarcan una variedad de normas y marcos, entre los que destacan la información, la ciberseguridad y la privacidad. Por ejemplo, ISO, NIST, GDPR y, por supuesto, NYDFS. Antes de esto, fui auditor de ISO durante casi 10 años. Así que, sí, muchas evaluaciones en muchos estándares y marcos diferentes. Alistair: Muchas gracias, Thomas. Hoy vamos a disfrutar interrogando a Thomas y obteniendo información específica sobre NYDFS. Pero las cosas que vamos a tratar con más detalle, vamos a presentar NYDFS en el sentido de NYCR 500, lo que significa. Hablaremos de cómo identificar y clasificar a los proveedores de servicios externos específicos del marco. Analizaremos la aplicación de la diligencia debida a la hora de evaluar a terceros y luego pasaremos a la continuidad. Entonces, ¿cómo la mantenemos a lo largo del tiempo? ¿Cómo nos centramos en la resiliencia y la recuperación y, concretamente, en los requisitos de notificación de incidentes? Thomas, para empezar, no dude en darnos algunas ideas.

Thomas: Sí, por supuesto. Um, y sí, bienvenidos todos al seminario web de hoy. Para aquellos que no estén familiarizados con el marco de ciberseguridad del NYDFS, entraré en detalles un poco más adelante, pero creo que vale la pena mencionarlo y quizás dar un paso atrás para ver lo que está sucediendo no solo en Nueva York, sino en todo el sector financiero en general. Si echamos la vista atrás a los últimos dos o tres años, hemos visto un aumento continuo de muchas amenazas diferentes, principalmente amenazas cibernéticas. Y estas están creciendo. Hemos visto cómo muchas organizaciones, como el FMI, han destacado su preocupación por la necesidad de prestar más atención a la aplicación de las mejores prácticas de seguridad. Se ha informado de que ahora hay cerca de 20, algo más del 20 % de los casos de phishing. Si se analizan las principales industrias a nivel mundial, más del 20 % de esos casos en 2021 se concentraron en el sector financiero. Se ha producido un aumento interanual de las amenazas de ransomware. Y, sin duda, si echamos la vista atrás desde principios de 2020 hasta 2022, e incluso hasta principios de este año, el volumen de ataques notables y de gran repercusión, como Solar Winds, Log4J y otras amenazas dirigidas, ha provocado un efecto dominó y daños en cadena en las cadenas de suministro. Y, por supuesto, esto ha afectado al sector financiero. Ha habido un aumento de los ataques basados en la web, las inyecciones SQL, los scripts de visión cruzada, cualquier ataque dirigido a sitios web corporativos y sistemas web, y cualquier cosa para implantar código malicioso a nivel específico. Y, por supuesto, tenemos la tendencia creciente en el volumen de la cadena de suministro y el aumento de la cadena de suministro y la dependencia de los proveedores. Entonces, ¿qué está causando este aumento de las amenazas cibernéticas? Bueno, hay varias áreas diferentes que podemos discutir. Bueno, quizás la más pertinente a destacar es este concepto de transformación digital. No es un tema nuevo, ni mucho menos. Lleva existiendo probablemente cerca de 10 años, si no algo más. Pero, a medida que vemos que las organizaciones financieras dedican más tiempo y dinero a invertir en nuevas tecnologías, nuevas aplicaciones y sistemas y soluciones, ha aumentado la dependencia de todas estas diferentes tecnologías y, con ello, una mayor dependencia del uso de múltiples terceros. Así pues, estamos viendo este efecto de exposición y mayor exposición a amenazas como el phishing y el ransomware, entre otros ataques. Y es algo muy cíclico, porque ahora también aumenta la visibilidad en toda la cadena de suministro. Y mirando hacia atrás, ¿cómo estamos asegurando nuestro camino hacia la transformación digital y aumentando la inversión y la aplicación de tecnologías y servicios tecnológicos? Por lo tanto, hay muchas amenazas que están aumentando significativamente y que sin duda justifican que muchos reguladores y organizaciones importantes a gran escala, entre ellos mi DFS, intensifiquen sus esfuerzos y pongan la ciberseguridad en primer plano.

Alistair: Supongo que vale la pena señalar, Thomas, antes de entrar en más detalles sobre la normativa, que entiendo que se centra mucho en el ámbito cibernético, pero para que todos los que nos escuchan sepan, estamos viendo muchas tendencias interesantes en las que se está prestando especial atención. Por supuesto, lo cibernético es un componente fundamental, como es de esperar, pero el mayor enfoque, como habrás visto en algunas de nuestras otras sesiones de seminarios web, se centra en temas como el ESG, por ejemplo, que es relativamente actual, la resiliencia de la cadena de suministro en general y, por supuesto, la privacidad en muchas áreas. Esto es solo una parte de una transformación digital más amplia que estamos viendo en el espacio, donde la gente está empezando a considerar con más detalle los acontecimientos geopolíticos, por ejemplo, o los acontecimientos medioambientales que están ocurriendo o que afectan a la cadena de suministro. Así que, sin duda, es interesante, pero, Thomas, para el enfoque de hoy en el NYDFS, ¿podrías darnos una idea de la normativa en sí y de lo que se pretende conseguir?

Thomas: Por supuesto. Empecemos con una introducción básica. Utilizo el término NYDFS. Verán un nuevo término aquí arriba. Nos encantan las siglas, sobre todo a aquellos que hemos asistido a un seminario web muy popular anteriormente. Estamos analizando la normativa 23 NYC RR500. NYDFS es el departamento del estado de Nueva York responsable de gestionar, distribuir y garantizar que las normativas se apliquen de forma adecuada y correcta. Pero NYCRR son las normas y reglamentos de Nueva York, y es esta parte del marco la que se ocupa de la ciberseguridad. Así que esta es una normativa que ha sido aplicada por el NYDFS y cuyo objetivo es proporcionar un enfoque bastante prescriptivo, pero estructurado, para que las organizaciones apliquen las mejores prácticas de ciberseguridad. Como verán en las diapositivas que se mostrarán a continuación, hay muchos controles diferentes en muchas áreas diferentes, algunos de los cuales pueden ser muy similares a los de las organizaciones, porque, como veremos a través de organismos como el IDFS, cuando los reguladores como el NYDFS desarrollan estos marcos, siempre se centran en las mejores prácticas, no solo en su sector, sino también en otros sectores y en el ámbito de la ciberseguridad. Cuando los reguladores, como el NYDFS, desarrollan estos marcos, siempre se centran en las mejores prácticas, no solo de su sector, sino también de otros sectores y del ámbito de la ciberseguridad. Por lo tanto, hay muchos puntos en común entre los conjuntos de controles y las expectativas de la normativa NYCR 500 y otras similares, como la ISO y el NIST, así como otras normas no reguladoras, pero que constituyen buenas prácticas. Por lo tanto, incluye tanto controles de gobernanza como operativos, y en breve analizaremos esos controles. Pero lo más importante es la validación de que estos son los requisitos de buenas prácticas que exigimos a las empresas que apliquen. Y si se aplican correctamente, deberían ser una buena demostración de su postura general en materia de seguridad. Por supuesto, hablo desde un punto de vista singular en lo que respecta a la aplicación de la normativa por parte de una organización. Pero, como veremos a lo largo del día de hoy, también existe un vínculo muy fuerte y una gran expectativa en cuanto a cómo se aplica este marco a sus terceros y a la cadena de suministro en general. Alistair: Interesante. Entonces, Thomas, ¿ves algún factor concreto que explique por qué se está prestando más atención a diversas normativas y marcos políticos específicos? Ha mencionado obviamente el hecho de que anteriormente se produjo un aumento de los ciberataques, pero ¿hay algún factor real que hayas observado que haya llevado a mi DFS a centrarse en la resiliencia de terceros y el riesgo de la cadena de suministro?

Thomas: Interesante pregunta. Sí, como has mencionado, obviamente uno de los factores impulsores siempre será la aparición de amenazas nuevas y emergentes y el fuerte aumento de amenazas como el phishing y el volumen de ransomware. Pero también es... Por lo tanto, normalmente encontramos dónde y quizás aquí es donde la transformación digital encaja bastante bien, porque fuera de... Si se elimina la ciberseguridad de la ecuación y se centra solo en la cadena de suministro, donde se necesita mucha más interoperabilidad entre las organizaciones financieras, por ejemplo, y la necesidad de tener un entorno más abierto y una sociedad más abierta, algo que, por supuesto, hemos visto con bastante rapidez. Si nos fijamos en los últimos dos años y en una de las compensaciones de la pandemia en 2020, que provocó un enorme impulso para que las organizaciones financieras y sus clientes pudieran interactuar con sus clientes de una manera mejor, más fluida. Y, por supuesto, esto siempre ha llevado y siempre llevará a una apertura de la cadena de suministro y a la captación e interacción con más proveedores. Pero, como has indicado, Alistair, por supuesto, otra de las ramificaciones de esto, aparte de la ciberseguridad, es, por supuesto, fijarse en otras áreas que están cobrando mucha más relevancia, como el ESG y la procedencia de los productos y servicios que utilizan las organizaciones financieras.

Alistair: Gracias, Thomas. Cuéntame más sobre la normativa. Thomas: Sí. Como mencioné al principio, esta normativa se centra obviamente en Nueva York y el estado de Nueva York, así como en las organizaciones financieras que tienen su sede y operan dentro del estado. Sin embargo, es importante señalar que, desde el principio, el Departamento de Servicios Financieros de Nueva York estableció ciertas exenciones, cuyo objetivo no es decir que no es necesario cumplir con ningún aspecto de la normativa, sino que, dado el tipo de organización, puede haber una reducción del tipo y el volumen de los controles. Así que, si vemos en la parte izquierda las organizaciones que tienen menos de 10 empleados, menos de 5 millones de dólares en ingresos brutos y menos de 10 millones en activos cercanos al final, y en la parte inferior aquellas organizaciones que no tienen ningún control o acceso a sistemas de información, información no pública, mirando a la derecha, no necesitan cumplir con esos controles. Así que, si se ve en el nivel superior, no necesitan un CESO formal. Hay aspectos relacionados con la seguridad de las aplicaciones, el seguimiento de auditorías, la formación y la supervisión que no son formalmente aplicables. ¿Qué quiero decir con esto? Aún así, pueden implementarlos como marco de buenas prácticas y como metodología y enfoque generales de buenas prácticas. Pero esto significa, desde una perspectiva normativa y a la hora de validar ante el propio regulador, que no necesitan proporcionar pruebas para demostrar que cuentan con un CESO y con los requisitos que conlleva tener una función global para gestionar la ciberseguridad en la empresa. Así que sí, la NIDFS ha establecido una serie de exenciones que se están aplicando incluso ahora, cuando estamos examinando las normas propuestas, algo en lo que entraré en breve, porque recientemente se han propuesto actualizaciones del marco que esperamos que entren en vigor a finales de este año.

Melissa: Hola, Thomas, tengo una pregunta rápida. ¿Puedes confirmar si estas excepciones son para la entidad y no para nuestros proveedores externos? Thomas: Son para lo que el NYDFS considera entidades cubiertas. Así es, correcto. Sí. Debería haberlo mencionado. Lo siento. Como todas las buenas regulaciones y marcos normativos, el NYDFS establece una terminología claramente definida. Una de ellas es lo que se denomina «entidad cubierta». Son estas organizaciones las que se benefician de estas exenciones.

Thomas: Sí, Melissa: eso es todo. Gracias. Alistair: Gracias, Thomas. Y para ampliar un poco más, hay que tener en cuenta que se han propuesto algunos cambios específicos en torno a cuestiones como la ampliación de las obligaciones de información, etc. Más adelante trataremos este tema con más detalle. Muchas gracias. Por favor, sigan enviando sus preguntas. Thomas, ¿podría explicar las diferencias entre los controles de gobernanza y los controles operativos? Thomas: Por supuesto. Ahora es cuando entramos en más detalles sobre cómo está estructurado el NYDFS como marco. Como pueden ver en la pantalla, hay 17 puntos diferentes. Cada uno de estos puntos representa un conjunto diferente de controles. Desde programas y políticas de ciberseguridad hasta controles que abarcan la gestión de activos, la continuidad instantánea y empresarial, un área que trataremos más adelante, así como controles operativos o técnicos, si se quiere, en torno a la gestión de vulnerabilidades y las pruebas de penetración, el uso de aplicaciones, la gestión del acceso a los sistemas, el cifrado y muchos más. Y es importante señalar que los he recogido específicamente de esta manera porque, dado que el NYDFS hace mucho hincapié en la creación de un enfoque estructurado o un sistema de gestión estructurado, por así decirlo, a la hora de desarrollar o implementar los requisitos del NYDFS, adoptando el enfoque de gobernanza global. Por lo tanto, creo que una forma sensata de abordar la cuestión es que la alta dirección elabore políticas y procesos, establezca evaluaciones de gestión de riesgos y, a continuación, examine los controles técnicos y operativos que pueden complementar esos controles de gobernanza. Quizás hayas notado que hay cuatro áreas concretas que están en negrita y esto representa y aquí es donde entran las propuestas en las cuatro, estas son cuatro áreas en las que la redacción del tema de las áreas de control ha cambiado realmente. Por ejemplo, en 500.04, en el caso actual, estamos viendo al director de seguridad de la información. Esto ha cambiado ahora a gobernanza de la ciberseguridad y, de nuevo, subrayo algunos de los cambios propuestos que se están introduciendo y que explican que sí, los directores de seguridad de la información son importantes y la supervisión general y la línea jerárquica que proporcionan a una organización, pero se hace más hincapié en el uso de la alta dirección y la dirección a nivel del consejo de administración si eso es apropiado para la organización. Por lo tanto, encontramos mucho más énfasis en la ampliación de muchos de estos controles. Y en una línea similar a la respuesta a incidentes y la continuidad del negocio. No es que estos temas no estuvieran en la versión actual, es solo que se han ampliado. Si no le importa, haga clic una vez más, creo que debería aparecer una pequeña animación. Sí. Y también vale la pena señalar esta parte. En la diapositiva anterior hablé de que hay algunas exenciones en función del tipo de organización que sea. Si no se dispone de información no pública, por ejemplo, o de sistemas de información, hay otra norma en torno al concepto de las llamadas empresas de clase A y, como se puede ver, es casi llevarlo al otro extremo. Así pues, las organizaciones que tienen ingresos superiores a 20 millones de dólares estadounidenses y más de 2000 empleados están sujetas a normas y controles adicionales. Por ejemplo, el requisito de someter la empresa a una auditoría independiente anual para evaluar su aplicación de la NYDFS. Una vez más, es interesante ver dónde mantienen esas excepciones para decir que entendemos que las empresas de cinco empleados o menos tienen una interacción mínima o muy mínima con sistemas de información sensibles. Algunas de estas medidas pueden ser excesivas para ellas. Por lo tanto, necesitamos un conjunto de controles más consolidado. Y en el otro extremo, para aquellas organizaciones más grandes, hay controles adicionales que debemos imponerles. Así que hay muchos cambios, muchas similitudes con la estructura y el propósito de la NYDFS, pero hay momentos emocionantes en cuanto al tipo de controles que están introduciendo y ampliando.

Alistair: Ahora bien, una de las cosas que me ha parecido especialmente interesante, Thomas, es que cuando se han planteado algunos de estos cambios propuestos, concretamente en torno a algunas de las obligaciones de notificación ampliadas, ha surgido cierta preocupación sobre cómo va a poder la gente informar de manera eficaz, por ejemplo, digamos que se propone una obligación de 72 horas en caso de que una cuenta privilegiada o un usuario no autorizado obtenga acceso a una cuenta privilegiada, o en caso de eventos que hayan dado lugar a ransomware, o incluso en algunos casos en los que ha habido extorsión y pagos, la gente está preocupada por cómo va a cumplir con esas obligaciones. Lo que me pareció bastante interesante es que hay cierta resonancia con lo que hemos visto en materia de privacidad en general, donde se han impuesto requisitos de notificación para cosas como el RGPD. Al principio hubo cierta controversia y preocupación sobre cómo se aplicaría, pero muy pronto vimos que la industria y los mecanismos reaccionaron en consecuencia para garantizar que las personas pudieran identificar dichos incidentes y eventos de manera oportuna. A continuación, empezamos a incorporarlo en los respectivos contratos con los proveedores intermedios, de modo que, si un tercero tuviera un incidente y una entidad cubierta tuviera que reaccionar en consecuencia, los mecanismos estuvieran establecidos tanto contractualmente como tecnológicamente para poder respaldarlo. Así que ha habido algunas conversaciones interesantes relacionadas con las enmiendas propuestas. Estoy seguro de que usted ha visto lo mismo.

Thomas: Por supuesto. Y sí, siempre es una de las áreas clave a las que nos enfrentamos. Sé que no solo por esto, sino también por otros aspectos que has mencionado, si nos fijamos en la privacidad en general, como el RGPD e incluso la más reciente CPA de California con la nueva ley de derechos de privacidad, yobviamente es importante para los propios reguladores y creo que, en gran medida, lo tienen en cuenta en términos de notificaciones para responder al regulador, especialmente cuando se trata de violaciones de datos y la diversidad del tipo de organización con la que tratan. Se tiene en cuenta mucho de esto y es importante señalarlo. Así que sí,

Alistair: Fantástico. Thomas: Mirando hacia el futuro, he mencionado que ha habido algunos cambios. Voy a comentar brevemente algunos de los aspectos más pertinentes. Los he identificado basándome en tres cambios clave. Uno que he denominado «desarrollo de políticas y procesos», «mejora del control operativo» y «incidentes y continuidad del negocio». Todos ellos con el objetivo general de mejorar y potenciar los conceptos de buenas prácticas de seguridad. Empezamos con la primera parte, el desarrollo de políticas y procesos. Siempre ha sido necesario contar con una política de seguridad dentro del NYDFS y, a menudo, se han enumerado una serie de políticas que van desde el control de acceso hasta la gestión de activos, por ejemplo, la política de incidentes, etc. Y hemos visto de nuevo un aumento, o lo que parece un aumento, a través de la enmienda propuesta, no en el volumen de políticas y procedimientos o documentación procedimental, sino en las mejoras de esos documentos. Por ejemplo, la gestión instantánea y la continuidad del negocio se mantuvieron en la normativa actual. Se ha ampliado para incluir su propio conjunto de controles prescriptivos y cómo se desarrolla realmente un plan de continuidad, así como los aspectos clave que deben cubrirse. Del mismo modo, en lo que respecta a la gestión de activos, por ejemplo, se ha mejorado la política y se ha incluido la necesidad de que esta incluya los productos al final de su vida útil, por ejemplo, qué ocurre con un activo al final de su vida útil y cómo se elimina de forma adecuada. Así que ha habido un aumento en la gobernanza desde el concepto de política y proceso, eh, antes de examinar los controles técnicos, los controles operativos mejorados, y he mencionado tres aspectos clave: autenticación, activos y supervisión de amenazas, así que, de nuevo, estas son áreas que ya existían en el marco actual, pero que se han ampliado yse han realizado ajustes en algunos de ellos, en algunos casos bastante significativos. Por ejemplo, en lo que respecta a la autenticación, el NYDFS observó en los últimos dos o tres años que un control que consideraban insuficiente y que muchas empresas no aplicaban adecuadamente era el de la autenticación multifactorial. Ahora hay un control independiente centrado exclusivamente en la MFA y, de nuevo, este aspecto se incluye y amplía dentro de los componentes de control de acceso del NYDFS. Por lo tanto, se ha visto la necesidad de mejorar los requisitos sobre cómo se desarrolla la MFA o en qué puntos del proceso o del sistema se utiliza la MFA. En la misma línea, la supervisión de amenazas y la frecuencia con la que se llevan a cabo las evaluaciones de vulnerabilidad y las pruebas de penetración. Y, por último, como veremos en unos momentos, hay que decir que se ha producido una ampliación bastante significativa en torno a la respuesta a incidentes, la gestión de incidentes y el ciclo de vida completo de la continuidad del negocio y la recuperación ante desastres, el proceso de planificación y las pruebas, y lo interesante de estos tres aspectos es que, en cierta medida, cada uno de ellos ha mejorado desde la perspectiva de terceros. Por ejemplo, la forma en que se exige la política de terceros y lo que se exige dentro de esa política, la relación entre sus terceros y algunos de los controles técnicos, así como el nivel de respuesta que un tercero debe proporcionarle si sufre un incidente o un evento que le obligue a poner en marcha un plan de continuidad, por ejemplo. Por lo tanto, existe un fuerte vínculo con la gestión de terceros en cada uno de estos tres cambios.

Alistair: Entonces, hay algunos cambios bastante significativos que realmente van a afectar la forma en que la gente responde. Thomas, según lo que has visto con MIDFS en el pasado. Entiendo que el proceso de consulta para recabar opiniones se prolongará hasta enero. ¿Tienes alguna idea, no es que vayamos a pedirte cuentas, pero ¿tienes alguna corazonada sobre cuándo se espera que se aplique? Thomas: Sí. Normalmente, cuando se llevan a cabo estos procesos, ofrecen una orientación y siempre lo hacen en días. Creo que son 180 días o 6 meses a partir de la fecha de la enmienda. Y la fecha de la enmienda fue alrededor de octubre de 2022. Así que creo que estamos hablando de entre la expectativa actual, porque la parte de la consulta se cerró a finales de enero, y si ese plazo es correcto, estamos hablando de un periodo entre abril y mayo de este año. Así que no está muy lejos, unos dos meses más o menos. Pero sí, la consultoría ha concluido a finales de enero. Lo que también significa que no debemos esperar ningún cambio significativo más allá de lo que ya figura en la propuesta.

Alistair: Entonces, ¿tu recomendación general sería, Thomas, empezar a asegurarnos de que contamos con los mecanismos de control pertinentes para poder adaptarnos al borrador actual tal y como está en este momento? Thomas: Por supuesto. Sí. Quiero decir que, una vez que se llega a esta fase, hay que decir que, una vez que se ha producido la enmienda, el proceso de revisión ya ha concluido. Dado que sabemos que nos quedan dos o tres meses, es un momento muy adecuado para empezar a examinar esos cambios, ver su importancia, evaluar la diferencia entre lo que hay ahora y lo que hay que cambiar, y examinar quizás las áreas más significativas que han cambiado, como la parte de la continuidad del negocio. Así que sí, creo que es un momento adecuado para empezar a hacer esos ajustes o, al menos, llevar a cabo esas revisiones para comprender la importancia de esas diferencias en función de lo que se está haciendo actualmente.

Alistair: Tiene sentido. Teniendo esto en cuenta, ¿cómo podemos empezar a identificar y clasificar a los proveedores de servicios externos? Una pregunta que nos hemos planteado varias veces es cómo debemos considerar a las grandes empresas de SAS, que suelen ser menos reacias a compartir y permitir cosas como las pruebas de penetración in situ. Thomas: Sí, eso siempre es un dilema. Siempre es una situación que causa cierta consternación cuando se trata de organizaciones tan grandes. Y los proveedores de servicios en la nube son siempre un buen ejemplo de ello. Volveré sobre eso en un momento. Así que sí, si lo piensas desde el principio, si estás empezando el proceso, obviamente tenemos que conocer a nuestros terceros. Tenemos que ser capaces de identificar quiénes son nuestros terceros, qué hacen, dónde están, geográficamente, su tamaño, su complejidad, su grado de implicación. Um, así que, obviamente, desde la perspectiva de MIDFS, quizá nos preguntemos si tienen acceso a información o sistemas de información no públicos. ¿Qué tipo de servicios ofrecen que puedan considerarse críticos para nuestro objetivo final como empresa? Por lo tanto, se trata realmente de identificar a cada tercero individualmente y empezar a crear un perfil de ellos. Comprender los volúmenes de datos que procesan, dónde se encuentran geográficamente, el tamaño de su organización. ¿Son proveedores únicos? A menudo, esta es una cuestión bastante crítica que hay que subrayar y tener en cuenta. Y toda esta información ayuda a construir esa imagen de dónde están tus terceros y comienza a armar cómo abordamos su evaluación o cómo vamos a abordar su evaluación o cómo vamos a interactuar con ellos en términos de comprender qué controles debemos aplicarles o evaluarles en relación con el marco del NYDFS. Uno de los aspectos clave de esto, por supuesto, son las relaciones y empezar a pensar en la cadena de suministro y empezar a tender puentes entre las interrelaciones entre todos estos diferentes proveedores y empezar a ver lo compleja que es la cadena de suministro. Y, obviamente, utilizar parte de la información basada en el perfil para hacerlo. Y una vez que lleguemos a la fase en la que sepamos quiénes son nuestros proveedores, sepamos cuál es su tamaño, el volumen de proveedores, sepamos dónde están y el tipo de productos y servicios que nos suministran, entonces podremos empezar a estudiar cómo clasificar estas organizaciones. Así, aquellas organizaciones que poseen información o datos muy sensibles, por ejemplo, que quizá tengan grandes volúmenes de registros financieros que nos ayudan a procesarlos. Quizás queramos capturar naturalmente estos como terceros críticos de prioridad uno del nivel uno frente a otras organizaciones que nos proporcionan servicios de consultoría, tal vez in situ, dentro de nuestras instalaciones. Pero quizás, en función de la complejidad del negocio, estarían más abajo en la cadena de proveedores por niveles. Así que niveles tres, cuatro, cinco, si es necesario. Alistair: Lo siento. Lo siento. Una pregunta rápida. Entiendo que la gestión de riesgos pragmática y proporcionada basada en la elaboración de perfiles y la tarificación es prácticamente la norma del sector desde ese punto de vista. ¿Cuánta libertad y flexibilidad ofrece el NYDFS en relación con la comprensión de cómo los controles compensatorios pueden abordar otros requisitos? Por ejemplo, pueden cumplir la mayoría de los requisitos básicos, pero supongamos que hay una o dos lagunas que podrían no ser aplicables según la elaboración de perfiles y la tarificación. ¿Pueden los controles compensatorios respaldar eso?

Thomas: Eh, hasta cierto punto sí. Depende del tipo de control. El NYDFS deja claro en muchos casos cuándo puede considerar que un control compensatorio es una cobertura adecuada para algo que sería más ideal. Desde el punto de vista de la gobernanza, sigue siendo necesario un reconocimiento formal y una aprobación. Antes de la propuesta, la atención se centraba en gran medida en el director ejecutivo y en garantizar que se hubiera realizado la debida diligencia y supervisión para asegurar que esos controles fueran suficientes y se hubieran aplicado correctamente. Y sí, no veo que eso cambie en la propuesta.

Alistair: Interesante. Gracias. Entonces, cuando se trata de establecer medidas correctivas proporcionadas basadas en la eficiencia controlada, ¿partimos de la base de que tenemos un conjunto de requisitos obligatorios desde esa perspectiva y somos conscientes de que debemos empezar a hacer un seguimiento de cualquier comentario u observación que hagamos? ¿Cómo cree que se aplica la diligencia debida? Thomas: Sí, creo que hay un par de puntos clave aquí, y es aquí donde la normativa del NYDFS y ciertos controles de la normativa cobran gran relevancia y se vuelven críticos. Entonces, cuando se piensa en el nivel superior, aplicando el diario y evaluando por terceros, ¿por dónde empezamos? Siempre debemos empezar por comprender cuál es el riesgo de terceros. Ahora hemos pasado por el concepto de crear una imagen de nuestros terceros y, de nuevo, enfatizar la necesidad de desarrollar un marco claro de gestión de riesgos que sugiere el NYDFS. Proporciona esa estructura clara en términos de que los riesgos de terceros deben gestionarse, identificarse, registrarse y revisarse continuamente. Y ese es realmente el primer paso para identificar en qué debemos centrarnos cuando analizamos a nuestros terceros, porque una vez que hayamos identificado esos riesgos, una vez que hayamos establecido un programa para capturar esos riesgos, podremos empezar a analizar cuáles son los controles más adecuados, no solo desde el punto de vista de la gobernanza, sino también desde el punto de vista de la supervisión, que debemos inculcar a nuestros terceros. Ahora bien, cuando digo «imponer a nuestros terceros», me refiero tanto desde el punto de vista contractual como a decirles que estas son las expectativas que necesitamos que implementen en función de lo que nos proporcionan, pero también a la diligencia debida continua, la revisión continua, la auditoría y la supervisión del rendimiento para asegurarnos de que los controles exigidos por el NYDFS y que son necesarios para ayudar a abordar esos riesgos se están implementando adecuadamente. Y, por supuesto, la naturaleza cíclica de este proceso ayuda a crear oportunidades de mejora y a reconocer las posibles debilidades, ya sean debilidades más amplias de un programa de una parte desde el punto de vista organizativo o la mejora de la postura de seguridad de esos terceros.

Thomas: En concreto. Thomas: Sí. Entonces, aparte de eso, una vez que hayamos pasado por el proceso de evaluación de riesgos y sepamos el tipo de controles que debemos abordar con el tercero, hay más preguntas que debemos hacernos. Y, de nuevo, como pueden ver, he destacado las cinco áreas de control individuales. Estas cinco áreas de control representan avisos con terceros. Es decir, aquellos casos en los que existen requisitos que implican la interacción con el tercero en alguna medida. Por lo tanto, siempre es importante analizar qué es lo que buscamos y qué debemos pedir al tercero antes de comprometernos con él y cuando empezamos a formalizar esos contratos y acuerdos. Así que, en primer lugar, ¿en qué medida van a participar los terceros en nuestro producto y servicio? ¿Estamos externalizando un componente o función importante a un tercero? ¿Estamos entregando conjuntos de datos y otra información para que esa organización los gestione? ¿Existe dependencia de terceros en lo que respecta a las prácticas de ciberseguridad? El concepto de externalización no es nuevo en el NYDFS. Y, en particular, en el caso de las organizaciones más pequeñas, lo consideramos un enfoque muy común para contratar a profesionales de la ciberseguridad, organizaciones profesionales y consultoras, incluso hasta el punto de externalizar la función de director de sistemas de información para las empresas. Algo que era bastante relevante y pertinente dentro del marco actual. Y, por supuesto, esto plantea toda una serie de preguntas nuevas para asegurarse de que, y de nuevo, algo que el MIDFS destaca muy claramente, que cuando hay un nivel de externalización o dependencia de las mejores prácticas de seguridad o de la consultoría de un proveedor externo o de un tercero, sigan cumpliendo los requisitos de mi DFS. No se trata tanto de decir que les estamos entregando toda esta información o que estamos dejando que un tercero, eh, lo gestione por nosotros para no tener que hacer nada. Por lo tanto, la norma hace mucho hincapié en que, si hay mucha externalización y dependencia de terceros, se siga realizando la debida diligencia con ellos y se asegure que cumplen con el MIDFS. Y, por último, obviamente, ¿interactúa el tercero con sistemas e información críticos? Así que hay algunas preguntas críticas que hay que hacer cuando se empieza el proceso, pero también de forma regular cuando se colabora con terceros, para asegurarse de que se cumplen las mejores prácticas prescritas por el NYDFS, ¿se cumplen de forma suficiente y correcta? Y como habrán visto en la última diapositiva, había un control concreto, el 500.11, centrado en la política de seguridad de la información de terceros. Y aquí es donde el marco realmente desglosa los componentes individuales en el establecimiento de la diligencia debida de terceros. Um, así que si podemos pasar a la siguiente diapositiva, esta aborda cuatro áreas clave. Identificación y evaluación de riesgos para cada tercero. Prácticas de ciberseguridad o mejores prácticas mínimas. Diligencia debida para evaluar la adecuación de esas prácticas de ciberseguridad y evaluaciones periódicas que deben llevarse a cabo para cada tercero. Disculpen.

Alistair: Oh, Thomas, Thomas: como puedes ver, hay... sí, estas son cuatro áreas clave de la política de seguridad que... que existen actualmente en la versión actual de mi DFS. Se han ampliado mucho en la versión propuesta, perorealmente subraya todo el proceso por etapas que he identificado en términos de riesgos comprensibles de la organización, um, um, trabajando cuando se analiza el NYDFS desde, uh, cada cláusula de control, que son las prácticas de seguridad más pertinentes que deben implementarse en un tercero y, a continuación, los tipos de diligencia debida, ya sean, um, auditorías, ya sean evaluaciones proactivas, ya sean revisiones de rendimiento, y todo esto subraya los programas más amplios de gestión de riesgos de terceros.

Alistair: Entonces, una pregunta, Thomas, que es... Thomas: Sí . Alistair: Entonces, en relación con la política de seguridad, entiendo que se trata más bien de un documento prescriptivo que describe lo que vamos a hacer desde un nivel general y que tiende a complementarse con el proceso y, luego, con la demostración de que se está siguiendo el proceso. Entonces, si quisiéramos realizar una autoauditoría desde esta perspectiva, ¿qué tipo de pruebas consideras aceptables para demostrar el cumplimiento de las declaraciones generales de la política? Thomas: Sí. Bueno, si nos referimos solo a la política de seguridad de terceros, hay algunas conclusiones clave que podemos extraer. Como has dicho, sí, parece que se centra mucho en si se dispone de una política que establezca todas estas prácticas, pero más allá de esto, también hay que tener en cuenta los acuerdos y las declaraciones contractuales. ¿Cómo se incorporan esas prácticas en los acuerdos de un tercero en términos de reuniones de evaluación del rendimiento y de comprensión del proceso paso a paso de cómo se lleva a cabo la diligencia debida y las consecuencias de ello, que también son fundamentales? Así que, si estás pensando en el concepto de que auditamos a nuestros terceros de forma regular, ¿qué pruebas podemos mostrarte? Para decir que hemos realizado esa diligencia debida y que están cumpliendo. Si no están cumpliendo, aquí es donde. Solo hay que buscar establecer un marco o proceso o una función que nos permita captar los riesgos y problemas que surgen de esa diligencia debida y los procesos continuos para corregir esos problemas y las medidas correctivas. Si se analizan las políticas desde un sentido más amplio, es importante señalar que no he hecho el recuento, pero creo que se mencionan entre 12 y 13 veces en el marco. Eh... en algunas organizaciones, si pensamos en las de clase A o en las empresas, puede que si se tiene un tercero de clase A, este tenga 13 políticas distintas y subraye esas políticas en documentos de procedimiento individuales y otras pruebas que pueda mostrar. Pero si se trata de otra organización que tiene cinco o cinco empleados, ¿cómo se aplica eso? No se pueden desarrollar tantas partes, políticas y documentos complejos. Pero es importante. Así que hay mucha flexibilidad para decir que, siempre que sea apropiado para la organización. Por lo tanto, hay algunas prácticas recomendadas que podemos aplicar en términos de obtención de pruebas o solicitud de pruebas, ya sea documentación, reuniones, actas de reuniones o registros de cómo se gestionan los riesgos. Pero todo debe tenerse en cuenta en función del tipo de negocio, el tipo de tercero o la complejidad, perdón, del tercero.

Alistair: Sí, es una buena observación. Creo que sin duda es tranquilizador saber que hay un cierto pragmatismo en ello, desde el punto de vista de una asignación proporcional de los recursos. Entiendo que algunas empresas tendrán la ventaja de contar con equipos completos de auditoría y cumplimiento para trabajar con Infosc y dirigir esto, mientras que otras, como has dicho, sin duda no tendrán esa oportunidad. Por lo tanto, el pragmatismo parece ser la clave en este caso. Thomas: Sí, sin duda. Alistair: Genial. Me gustaría saber un poco más, si es posible, sobre el proceso de respuesta a incidentes. Desde el punto de vista de la continuidad, la recuperación y la notificación de incidentes. ¿Te importaría explicarlo un poco más, Thomas?

Thomas: Por supuesto. Como mencioné al principio, se trata de un área que ha experimentado bastantes cambios en lo que respecta a la ampliación del control y la descripción del mismo. Es interesante que lo agrupen todo junto. Recuperación instantánea de la continuidad o recuperación instantánea de la continuidad del negocio tras un desastre. Es un nombre bastante largo, pero todo se agrupa bajo un mismo control. Y lo que han hecho es ampliar, o van a ampliar, este concepto de desarrollar un plan instantáneo, una política instantánea y un conjunto de políticas de BCDR. Tengo una cita en la parte superior de esta página que exigirá el nuevo Nydfs y en la que se afirma que, al desarrollar planes de respuesta, las empresas deben tratar de abordar los incidentes de ciberseguridad, incluidos los incidentes disruptivos, como los incidentes de ransomware. Y es interesante que se trate de una cita específica extraída directamente del marco. Y creo que ayuda a subrayar dónde el marco o el regulador reconoce que algunas de estas amenazas son cada vez más relevantes, cada vez mayores. Por eso piden a las empresas que presten atención a cómo abordan este tipo de eventos disruptivos. Así que se está ampliando gráficamente el requisito de cómo se debe definir la gestión instantánea. La necesidad de establecer procesos para la respuesta instantánea, la contención instantánea, la respuesta a la instancia y la escalada en términos de vías de comunicación. La notificación real del evento de ciberseguridad y las actividades de respuesta relacionadas también ha sufrido un cambio y una ampliación. Por supuesto, aquí es donde el aspecto de terceros también puede entrar en juego de forma bastante clara. Por supuesto, usted está analizando nuestros propios métodos de respuesta a un incidente, un evento de ciberseguridad. En lo que respecta a terceros, es importante destacar desde una perspectiva contractual que, si usted mismo se encarga de estos sistemas, por ejemplo, datos financieros, y sufre una violación o un evento, le exigimos que nos lo notifique a través de un canal de comunicación adecuado. Por lo tanto, se hace especial hincapié en ese concepto de funciones y responsabilidades, en la toma de decisiones en la empresa en cuanto a las medidas que debemos tomar y en qué momento debemos escalar, ya sea desde el tercero de vuelta a nosotros mismos como organización y también al revés. Así que desde ustedes mismos como organización, luego de vuelta a sus clientes y a los propios reguladores. Desde el punto de vista de la gestión instantánea, sí, ha habido una gran expansión en términos de cómo se desarrolla el plan de respuesta y las funciones, responsabilidades y objetivos que lo rodean. Y, de nuevo, esto se refleja muy bien cuando se lee el texto, cuando se analizan los requisitos que otros marcos llevan diciendo desde hace muchos años, como las ISO y los NIST del mundo. Um, así que creo que es bastante alentador que el NYDFS también haya adoptado muchas de estas mejores prácticas um um.

Alistair: Sí, creo que también es bastante revelador en los cambios recientes. Así que tu comentario y tu cita sobre los eventos disruptivos como el ransomware, el hecho de que mencionaran específicamente en algunos de los cambios propuestos sobre la notificación de, creo que son 24 horas para un pago de extorsión. Thomas: Sí. Alistair: Con la notificación posterior de por qué era necesario. Personalmente, me gusta bastante el énfasis en el hecho de que las personas deben justificar por qué no tenían las medidas proporcionales para reaccionar ante ello mediante la resiliencia y la capacidad de recuperación en el sentido de un evento de ransomware. Así que es bastante revelador y muestra la intención y la dirección, creo, de la documentación en cuestión.

Thomas: Por supuesto. Creo que estas empresas están aportando mucha más responsabilidad y transparencia. Sí, sería interesante ver algunas de esas justificaciones. Alistair: Si, si y si, y cuando, si y cuando se produzcan. Thomas: Esperemos que no haya demasiada gente haciendo pagos y que, en general, tengan una forma sólida y resistente de recuperar los datos comprometidos. Thomas: Y, por supuesto, eso nos lleva al siguiente tema, que vuelve a girar en torno al BCDR. Como he mencionado desde el principio, BCDR no es un término nuevo en el NYDFS. Sin embargo, lo interesante es que, cuando se miran las versiones antiguas, se ve que era un tema muy superficial. Lo cual puede estar bien si se está familiarizado con el tema. La dificultad de tratar temas como el BCDR de forma superficial es que puede ser un tema bastante complejo en sí mismo y por derecho propio. Así que, de nuevo, creo que es alentador ver que han adoptado esta idea de lo que se espera al desarrollar una continuidad en el plan de recuperación ante desastres o conjunto de planes con muchas directrices y expectativas sobre las mejores prácticas, muchas de las cuales reflejan otras normas y marcos de mejores prácticas que ya existen. ¿Cuáles son algunas de las áreas clave que abarca? En primer lugar, la expectativa de que se identifiquen todos los activos, toda la infraestructura, la infraestructura crítica que es esencial para la continuidad de las operaciones. Siempre es el punto de partida que tenemos en cuenta cuando hablamos de planes de continuidad y de establecer el escenario, ya sabes, a partir de las evaluaciones del impacto en el negocio y la identificación, basándonos en lo que hacemos como organización, ¿qué activos son críticos para nosotros? ¿Deberíamos sufrir un evento? ¿Qué necesitaríamos recuperar lo antes posible? En segundo lugar, la parte de la comunicación. El uso de coordinadores de continuidad del negocio, la comunicación interna si hay que activar un plan, pero también la comunicación con todas las personas esenciales, y este es un texto que, de nuevo, se extrae del marco normativo. Todas las personas esenciales en caso de emergencia. ¿A quién nos referimos con persona esencial? Nos referimos tanto a personas internas como externas. En cuanto a las externas, nos referimos a las partes interesadas clave, desde los clientes hasta, obviamente, los propios reguladores. Pero también en el sentido contrario, en cuanto a terceros, empresas en las que se puede confiar para ayudar a respaldar un activo, una infraestructura o un proceso crítico en particular. Por lo tanto, hay una ampliación en cuanto a tener canales de comunicación claros cuando se desarrolla un plan de continuidad y recuperación. Ya sea como parte de la prueba de esos planes o de su puesta en práctica. En caso de que se produzca un incidente, se deben identificar los terceros que son necesarios para continuar con la operación. Esto es consecuencia de la comunicación con las personas esenciales, no solo de notificarles en caso de que se produzca un incidente, sino también en caso de que se produzca un desastre que le obligue a trasladar su operación a un sitio de respaldo, por ejemplo, o a entornos diferentes. Pero asegurándonos de que, si dependemos de un tercero crítico que es necesario para nuestros activos y áreas de infraestructura de alto nivel, si ellos fallaran, si dejaran de operar, podríamos tener serios problemas con nuestra organización, con nuestros clientes, con nuestras partes interesadas clave. Necesitamos involucrarlos en nuestro proceso de continuidad. ¿Necesitamos involucrarlos desde una perspectiva de pruebas? Y si tenemos un plan de recuperación, este implica la recuperación en sitios de respaldo o en ubicaciones de respaldo. ¿Necesitamos involucrar también a esos terceros para asegurarnos de que también pueden suministrar en los plazos que nos fijamos? Así que hay muchas expectativas y mucha expansión. Um, personalmente creo que es muy acertado asegurarse de que se tiene una cobertura completa de la recuperación de cualquier activo, infraestructura o sistema que sea necesario e importante para el negocio.

Alistair: Una de las cosas que realmente me llama la atención es que las cláusulas contractuales para la comunicación y la interacción con la cadena de suministro son fundamentales para poder aplicar de manera efectiva cualquier resolución significativa al respecto. Sin duda, es muy interesante. Thomas, si estuviera contigo en un ascensor durante 30 segundos, ¿cómo resumirías lo que haríamos para poder cumplir con la normativa? Thomas: Sí. En primer lugar, identificar a los terceros. Ese es siempre un punto de partida clave. Averiguar quiénes son tus terceros. Qué tipo de datos manejan, qué tipo de activos, qué hacen por nosotros en nuestras operaciones críticas, y eso debería englobar, o lo que debería englobar, es el programa más amplio de TPRM sobre cómo gestionamos a esos terceros e identificamos el tipo de controles que debemos imponerles para revisarlos y evaluarlos, sobre todo en las áreas queacabamos de discutir en torno a los incidentes y la continuidad y, obviamente, una vez que hayamos identificado a esos terceros, empezar a comprender y desarrollar esas evaluaciones de riesgos de forma regular, y eso es lo importante. Nunca son algo que se hace una sola vez y se olvida, se guarda en un cajón. Se trata de un proceso regular de revisión de los riesgos en todo su panorama. Como los relacionados con la pesca y el ransomware que hemos discutido al comienzo del día. Revisar esa normativa, asegurarse de que conoce los controles, los controles que deben cumplir los terceros. Si acceden a sistemas sensibles, ¿son adecuados los controles de acceso? ¿Ha considerado la autenticación multifactorial? Si manejan datos sensibles, ¿dispone de ese árbol de comunicación sobre cómo responder a un incidente o a un evento de continuidad? Y, en tercer lugar, utilizar ese control 500.11 para ayudar a crear una política para terceros, un programa de gestión de riesgos. Empiece de nuevo con ese ciclo de revisión continua de si nuestros terceros tienen una buena postura de seguridad y, lo que es más importante, si está alineada con lo que espera el NYDFS.

Melissa: Estupendo. Muchas gracias, Thomas. Ahora voy a ceder la palabra a nuestro querido Scott Lang para que nos hable específicamente de cómo Prevalent puede ayudar a cumplir con algunas de estas normativas. Pero mientras tanto, vamos a lanzar una última encuesta. Te dejo la palabra, Scott. Scott: Muchas gracias, Alistister. Solo quiero asegurarme de que me oís bien. Muy bien . Melissa: Por supuesto. Hola, Scott. Scott: Genial. Estupendo. Muy bien, genial. Rápidamente, chicos, una o dos diapositivas sobre cómo Prevalent puede ayudaros a simplificar el proceso de cumplimiento de requisitos normativos como los del NYDFS. Mirad, al fin y al cabo, creo que queréis conseguir tres cosas con vuestro programa de gestión de riesgos de terceros, independientemente de si intentáis alcanzar un régimen de cumplimiento tipo NYDFS, simplemente mejorar las prácticas o simplemente defenderos de posibles amenazas cibernéticas u otros problemas de cumplimiento que puedan surgir. Y eso es lo primero: obtener los datos que necesitáis para tomar buenas decisiones. Aumentar la eficiencia de su equipo y derribar los silos entre los grupos que discuten un poco sobre el riesgo de terceros. Y, por último, dar a su programa la oportunidad de escalar y evolucionar con el tiempo y cumplir con los requisitos cambiantes. Mire, si está utilizando hojas de cálculo para hacer esto, creo que sabe, y yo sé que sabe, que ese no es el enfoque correcto. Necesita cierto nivel de automatización para recopilar la información de control adecuada de sus subcontratistas, proveedores y distribuidores externos. Coloque esa información en un lugar donde pueda manipular esos datos, puntuarlos, comprender quién le presenta el mayor nivel de riesgo y, a continuación, recomendar medidas correctivas para reducirlo a un nivel aceptable de riesgo residual con el tiempo. No se puede prescindir de los datos, y no se puede hacer si todo el mundo está ocupado con otras tareas. Al fin y al cabo, nuestro enfoque para abordar el problema de la gestión de riesgos de terceros consiste en simplificar y agilizar la incorporación de proveedores. Ofrecemos una única fuente de información veraz y un único proceso para gestionar a los proveedores a lo largo de todo el ciclo de vida. Optimizar ese proceso y cerrar las brechas y la cobertura de riesgos y, a continuación, unificar todos los diferentes equipos internos que puedan estar involucrados en el riesgo de terceros, desde el momento en que se busca y selecciona un nuevo proveedor hasta el momento en que se da de baja y se termina esa relación. Y lo hacemos mediante una combinación de nuestros expertos, nuestros datos, un nivel de datos sin precedentes que incorporamos a la plataforma para ayudarle a tomar buenas decisiones basadas en el riesgo de ciberseguridad, y luego una plataforma para automatizar el flujo de trabajo publicitario y la presentación de informes, con el fin de cerrar el círculo en cualquier número de riesgos que vea ante usted. Una vez más, nuestro objetivo es ayudarle a usted y a su organización a ser más inteligentes para unificar sus procesos y ofrecerle un enfoque mucho más perspectiva para cerrar el círculo en el riesgo de terceros. Lo que he preparado para ustedes es una lista de verificación de cumplimiento redactada específicamente para NYDFS 23 NYCRR 500, ya saben, da da, lo que sea, son 13 páginas que repasan capítulo por capítulo la normativa y luego mapean las capacidades de las mejores prácticas y, en última instancia, cómo Premley puede ayudar a cada una de esas áreas del grupo de control que Thomas ha revisado en este seminario web de hoy. Esto os llegará como parte del seguimiento, junto con la grabación y más. Y con esto termino mi intervención y os devuelvo la palabra para que hagáis preguntas. Lo siento.

Melissa: Sabéis que estamos llegando al final de la hora, así que voy a dar las gracias a Alice y Thomas y, por supuesto, a ti, Scott. Gracias a todos por hacer todas estas preguntas. Hemos intentado responder a todas las que hemos podido, pero si aún tenéis alguna pregunta urgente, no dudéis en enviar un correo electrónico a [email protected] y se la remitiremos a la persona adecuada. Por último, me alegro mucho de que hayáis podido acompañarnos hoy y espero veros a muchos en vuestros buzones de correo electrónico y en futuros seminarios web. Cuidaos mucho. Gracias.

Alistair: Gracias.