Descripción
Identificar y mitigar los riesgos de ciberseguridad y cumplimiento es esencial, pero no son los únicos riesgos a los que los vendedores y proveedores exponen a su organización a lo largo del ciclo de vida de la relación con el vendedor. Las perturbaciones geopolíticas, las quiebras, los problemas de reputación y las retiradas de seguridad pueden ser tan perjudiciales para su empresa como los ataques de ransomware o las infracciones de la normativa. Entonces, ¿qué está pasando por alto su programa de gestión de riesgos de terceros (TPRM)?
En este seminario web a la carta, Bryan Littlefair, antiguo CISO global de Vodafone Group y Aviva, le guiará a través de cuatro categorías de riesgo esenciales que faltan en su programa de gestión de riesgos tecnológicos y cómo supervisarlas y mitigarlas.
Únete a Bryan:
- Examina los tipos de riesgos operativos a considerar, desde los geográficos hasta los de resistencia operativa.
- Define y explica la importancia de los riesgos ESG y de reputación en la cadena de suministro
- Explora los riesgos financieros y jurídicos asociados a terceros
- La seguridad y fiabilidad de terceros como categoría de riesgo
- Comparte estrategias para incorporar estas categorías de riesgo como parte de tu programa TPRM
El entorno de riesgos de terceros es cada vez más complejo, pero una visión holística de los tipos de riesgos dará a su equipo una mejor visibilidad de los vendedores y proveedores para mitigar los riesgos. Vea el seminario web ahora para aprender de un experto.
Altavoces
Bryan Littlefair
Anterior CISO global de Vodafone Group y AvivaVP de Riesgos de Terceros
Transcripción
Vamos a empezar con algunas presentaciones. Um, así que mi nombre es Matt. Yo uh trabajo aquí prevalente en el desarrollo de negocios y uh hoy tenemos un invitado que regresa, Brian Littlefair. Él es el CEO de Cambridge Cyber Advisors. Um, también tiene experiencia como ex CISO del Grupo Vodafone y A Viva. Um, bienvenido de nuevo, Brian.
Gracias, Matt. Hola, me alegro de ver a todos.
Matt: Y, uh, por último pero no menos importante, también tenemos Scott Lang unirse a nosotros hoy. Um, Scott es nuestro vicepresidente de marketing de producto y él, uh, se sumergirá en cómo somos capaces de madurar su programa TPRM al final de la sesión. Gracias Scott.
Hola Matt, ¿cómo estás?
Me alegro de verte. Me alegro de verte. Muy bien, así que sólo como un poco de limpieza, um este webinar está siendo grabado. Recibirán esto y las diapositivas poco después del seminario. Por último, están todos silenciados, así que por favor usen la función de preguntas y respuestas para cualquier pregunta que puedan tener durante el webinar. Um y sin más preámbulos, voy a seguir adelante y entregar las cosas a Brian como él comparte los principales riesgos que su programa TPRM podría estar perdiendo. Adelante, Brian.
Gracias, Matt. Realmente aprecio la introducción. Así que, hola a todos. Como dijo Matt, soy Brian. Estoy deseando presentarles este tema hoy. Un poco de mi limpieza. Estoy un poco resfriado, así que beberé agua. Tengo un poco de dolor de garganta, pero vamos a felizmente llegar a través de este tema. Por lo tanto, lo que vamos a discutir hoy, como dijo Matt, son los principales riesgos que su programa de TPM puede estar perdiendo o puede estar perdiendo. Uh, y en realidad nos vamos a centrar um en los riesgos no relacionados con TI, ¿verdad? Por lo tanto, creo que como ustedes saben, los profesionales de la seguridad, que son probablemente las personas predominantes en la llamada, tienden a centrarse en la información, los datos, el riesgo cibernético, etc. Pero voy a ver algunos de los otros riesgos y ángulos que personalmente creo, ya sabes, con el fin de tener un programa completo de TPLR, tienes que incluir y tal vez que todos no los tenemos en el horno todavía. ¿No es así? Así que, un poco sobre mí. Ahí está mi foto. Puedes verla. Así que, un poco de escena, un par de diapositivas antes de entrar. Sabemos por estadisticas que los prevalentes hacen sus propias revisiones y cuestionarios, etc. Pero también sabemos que en el ámbito de la gestión de riesgos de terceros, a menudo o en la mayoría de los casos, la responsabilidad de llevar a cabo la gestión de riesgos de terceros recae tradicionalmente en la función de seguridad, sea cual sea su nombre, y por lo tanto, como he dicho, nuestra prioridad es centrarnos en los riesgos cibernéticos y de seguridad de la información, pero no somos los únicos receptores de estos datos y no somos los únicos que debemos contribuir al conjunto de datos que se recogen y analizan en nombre de nuestra base de clientes. Así que sigo pensando que la tendencia va a continuar. Ya sabes, el equipo de seguridad bajo el CISO va a seguir siendo, ya sabes, los principales usuarios. Pero con el fin de obtener esa imagen de riesgo holístico completo, sabemos que he hecho un webinar antes sobre lo importante que es mentir y trabajar con la función de adquisición, pero igualmente tenemos legal, tenemos riesgo, tenemos cumplimiento donde existe y todos ellos tienen intereses en los datos que deben estar dentro de su programa TPRM.
Y, francamente, todos ellos tienen conocimientos diferentes, ya sabes, que complementan el conjunto de habilidades de seguridad que realmente pueden ayudar a construir esa imagen enriquecida de, ya sabes, qué riesgo tiene este proveedor para nuestro negocio en el futuro. Todos conocemos la regulación. Nos guste o no, está aquí para quedarse. Y creo que, ya sabes, el nivel de regulación que todos vamos a experimentar, obviamente, dependiendo del sector en el que estés, sólo va a aumentar. Uh tengo una diapositiva sobre la regulación más adelante, pero sin duda desde que empecé en TI / seguridad hace muchas lunas, uh la cantidad de regulación que se subjetiva a en este momento es usted sabe 10 20 veces lo que era entonces. Así que creo que la tendencia sólo va a continuar. El último informe de amenazas de Verizon dice que el 62% de los sistemas comprometidos vinieron a través del canal de socios y proveedores. Creo que todos sabemos a través de nuestras fuentes de inteligencia de amenazas que los grupos activistas, etc. se están centrando definitivamente en la cadena de suministro como su vector de ataque más lucrativo, la pesca es el vehículo más utilizado, pero en términos de organizaciones objetivo, ¿por qué apuntar a una organización específica y poner todo tu esfuerzo en eso cuando puedes apuntar a un proveedor importante y apoderarte de miles de decenas de miles de sus clientes que están conectados a sus plataformas y sistemas? Así que esta es una amenaza muy real, ya sabes, no es scareware o miedo, incertidumbre y duda como ya sabes, a veces se llama. Es algo que es muy real y tenemos que estar en sintonía con eso y entender cómo podemos potencialmente mitigar que en el futuro. Así que hoy, sabemos todo esto, ¿verdad? Entendemos esto. Entendemos en lo que tenemos que centrarnos, pero como digo, en lo que nos vamos a centrar hoy son aquellas áreas en las que probablemente no nos centramos en el día a día, que son las áreas no informáticas y lo importantes que pueden ser para asegurar nuestro, ya sabes, riesgo cibernético holístico. Entonces, ¿cómo es ese enfoque holístico alineado con el negocio?
Así que soy un gran defensor de estar alineado con el negocio. Creo que si eres un CISO o un jefe de seguridad, sea cual sea el título, si no estás totalmente alineado con tu estrategia de negocio, entonces estás operando en un silo y los silos realmente no ayudan a nadie. Así que ya sabes, no sólo tienes que alinear tu estrategia TPRM, sino toda tu estrategia de seguridad cibernética/de la información con el negocio que estás tratando de proteger. Así que realmente y verdaderamente entender ese negocio, ya sabes, ¿qué productos ofrece, en qué geografías opera, ya sabes, ¿cuál es su enfoque para entregar a los clientes? ¿Es directo al consumidor o es una organización B2B? Porque todo esto, en última instancia, cambia tu perfil de riesgo. Así que tienes que decidir, ya sabes, si voy a dirigir una función eficaz de GTPR, ¿cuáles son los resultados que tengo que entregar a la empresa para que puedan, ya sabes, tomar decisiones de principio con sentido en torno a la estrategia de cara al futuro? Y eso es en última instancia lo que este programa está ahí para hacer, ¿verdad? Comprende qué proveedores externos son necesarios para que el negocio funcione y qué riesgos presentan para la continuidad del servicio y potencialmente para la reputación de la organización y cómo nos aseguramos de que eso continúe en el futuro. Y he estado en la seguridad el tiempo suficiente cuando las grandes herramientas como prevalente uh no estaban disponibles. Definitivamente empecé cuando Microsoft Excel era la única herramienta disponible para nosotros y teníamos enormes y complejas hojas de cálculo donde tratábamos de rastrear la remediación en miles de diferentes proveedores y sé que algunos de ustedes todavía pueden estar en ese mundo hoy y definitivamente es un reto hacer un programa efectivo de TPRM en Microsoft Excel. Algunos de los trucos como las actualizaciones en tiempo real sobre el rendimiento de los proveedores y los aspectos de inteligencia de amenazas no se pueden hacer en Microsoft Excel. Es obvio que no fue diseñado para ejecutar una función de terceros y es por eso que usted sabe herramientas como la prevalencia se han desarrollado. Así que sí, es absolutamente necesario asegurarse de que tenemos la herramienta adecuada. Tenemos que asegurarnos de que tenemos los recursos adecuados en términos de personas.
Nunca he entrado en una organización y he visto a sus terceros, ya sabes, en la función TPRM y he pensado: "Vaya, hay demasiada gente en eso". A menudo entro en las organizaciones y veo a dos o tres personas con procesos manuales de recursos tratando de conseguir un control sobre lo que es un riesgo estratégico clave para la organización y, francamente, luchando para hacerlo, ya sea porque no están lo suficientemente capacitados o lo que es el principal problema es que no tienen las herramientas adecuadas a su alcance para, obviamente, conducirlo hacia adelante. Así que tenemos que reconocer que estamos recopilando una fuente de datos muy rica. Tenemos que asegurarnos de amasar todo eso junto. Obtenemos una visión alineada del riesgo en toda la organización. Hablo de ello en mis otros webinars para prevalentes también. La cosa del silo de nuevo no es sólo organizacional. No tiene sentido recopilar todos estos datos y sólo mantenerlos dentro de la función de seguridad e igualmente no tiene sentido tener dos puntos de vista diferentes sobre el riesgo que un proveedor presenta a su organización. Así que si la seguridad tiene una visión y luego tal vez las adquisiciones tienen una visión sobre un sistema diferente que están utilizando, entonces, obviamente, tenemos dos lentes dentro de la misma empresa y eso no tiene ningún sentido. Así que realmente una consolidación y una colaboración entre todas las diferentes unidades de negocio en una herramienta realmente profesional pagará dividendos en usted sabe ser capaz de gestionar el riesgo dentro de su organización. Hablemos del alcance y la segmentación, porque son fundamentales para poder evaluar el riesgo dentro de la huella de los proveedores. No podemos poner el mismo nivel de enfoque y atención en cada proveedor que suministra productos o servicios a nuestra organización. Así que con demasiada frecuencia creo que los programas de GTPR no son verdaderamente globales. Voy a grandes organizaciones multinacionales y veo un proceso realmente eficaz en su país o región de origen. Y cuando dices "bueno, ¿cómo se lleva a cabo este proceso en Asia? ¿Cómo se ejecuta este programa en Europa o América, etc.?
no siempre al mismo nivel de gobernanza, no siempre al mismo nivel de normas y cosas por el estilo. Así que hay que asegurarse de tener un proceso global siempre que sea posible, una herramienta global y hay una gran razón para ello, si se invierte esta pregunta y se mira desde el punto de vista del proveedor, obviamente están incentivados para vender tantos productos y servicios como puedan y dividirán y conquistarán una organización, lo he visto muchas veces incluso en organizaciones que he dirigido, si no tienes la gobernanza adecuada sobre ese proveedor y el control sobre su interacción dentro de tu organización, no tendrás diferentes niveles de servicio y diferentes riesgos. También tendrás diferentes precios y diferentes SLAs, etc. en todo el mundo. Así que realmente tiene sentido entender en todas partes donde ese proveedor opera e interactúa con su organización. Y con el fin de hacer que, obviamente, usted tiene que ser uh verdaderamente global. Um usted sabe que la regulación definitivamente existe en este espacio. Um sería genial si los reguladores comenzaran a estandarizar su enfoque. Usted sabe que he pasado mucho tiempo personal con los reguladores exp- ing que hay una superposición tan pesada sobre usted sabe algunos de los reglamentos en todo el mundo, pero usted sabe que cada individuo uh país o nación o etc quiere tener su propio uh conjunto individual de normas reglamentarias que usted sabe se aplican a los diferentes sectores dentro de su ámbito de competencia. Así que aunque son bastante comunes, hay matices y diferencias entre ellas. Así que es importante que las entendamos y comprendamos en qué consisten, y hablaré de ello un poco más adelante, pero, de nuevo, ya sabes, un toque de atención a la prevalencia. Ya sabes, debo decir que en mis trabajos que he trabajado, ya sabes, para grandes organizaciones multinacionales, hablo en nombre de prevalent porque, ya sabes, he utilizado la herramienta en serio. Entiendo el valor que puede definitivamente uh entregar en una organización. Por lo tanto, es realmente, ya sabes, imperativo que nuestro programa cubra todo el ciclo de vida de un proveedor también. Con demasiada frecuencia nos adelantamos a ese, ya sabes, ese esfuerzo y recursos.
Tenemos un nuevo proveedor en la organización. Así que nos lanzamos a por él, entendemos el modelo de propiedad, comprendemos dónde opera, etc. Pero no siempre mantenemos ese esfuerzo. Pero no siempre mantenemos ese esfuerzo. Si se trata de un proveedor de nivel uno o crítico para nuestra organización y, obviamente, algunos de nivel 2 también, tenemos que asegurarnos de que tenemos un seguimiento constante en esa organización. Y de nuevo para aquellos de ustedes que utilizan Microsoft Excel o incluso un proceso manual de envío de cuestionarios, en realidad sólo tienen, si lo piensan, una actualización cada 12 meses. Usted no tiene uh usted sabe una lente en tiempo real sobre lo que está sucediendo a que esa empresa, lo que está sucediendo a su estado financiero, ha tenido una violación, etc. Y a veces usted podría ser sorprendido de que uno de sus proveedores ha tenido un gran incidente. Los altos cargos de la organización lo saben, pero quizá tú no. Así que lo primero que quieres es enterarte y ser tú quien asesore a la empresa, y no al revés. Así que para poder hacer esto con eficacia, que es lo que todos queremos hacer. Tenemos que asegurarnos de que tenemos esa cobertura holística de, ya sabes, todo de lo que somos responsables. Y esa segmentación por niveles también es fundamental. Y llegamos a la enésima también. Mucha gente no mira a la enésima parte y creo que es realmente importante. Por enésima me refiero a los vendedores de tus vendedores. Así que usted puede dar un contrato a usted sabe uno de sus proveedores. Uh que podría subcontratar a que a otros proveedores que potencialmente no son conscientes de, pero sin duda en los sectores regulados cuando estamos hablando de PII información de identificación personal que es realmente crítico que usted sabe que de extremo a extremo ruta de esos datos y hablamos de que un poco más tarde también. Así que echemos un vistazo a los cubos de actividad en los que nos vamos a centrar para lo que creo que son los riesgos no informáticos que personalmente creo que son críticos que monitoricemos en el futuro.
Una es la operativa, es decir, asegurarnos de que nuestros socios y proveedores tienen la capacidad de seguir prestando el producto o servicio que les hemos contratado. Tenemos que asegurarnos de que la continuidad de su negocio, la recuperación de desastres y toda una serie de otras medidas están a la altura, de lo contrario, si algo les pasa a ellos, por defecto algo nos pasa a nosotros y cómo podemos potencialmente cubrir ese riesgo también. Luego, obviamente, tenemos el mundo del cumplimiento estamos muy familiarizados con esto en usted sabe el mundo de la seguridad cibernética, pero, obviamente, es más allá de la información y la seguridad cibernética. Hay muchas otras normativas de cumplimiento que también debemos conocer. Y dependiendo del lugar del mundo en el que nos encontremos, los requisitos de RSC/ ESG, ya sabes, todos queremos ser buenos ciudadanos globales. Todos queremos asegurarnos de que nuestros productos y servicios son increíbles. Por supuesto. Pero no queremos explotar a nadie para llegar a ese punto. Entonces, ¿cómo podemos asegurarnos de que cuando subcontratamos o deslocalizamos a países lejanos tenemos el mismo nivel de gobernanza y control sobre lo que queremos conseguir? Y luego las finanzas, ya sabes, asegurándonos de que la liquidez de esa organización es fuerte, asegurándonos de que no van a quebrar mañana, lo que nos dejaría de nuevo, ya sabes, en la incapacidad de servir a nuestros clientes cuando un proveedor clave quiebra. Por lo tanto, voy a entrar en cada una de estas áreas con un poco de profundidad. Obviamente voy a dar algunos ejemplos, pero como Matt dijo al principio, siéntase libre de hacer cualquier pregunta en el chat y voy a llegar a ellos también. Veamos el riesgo operacional. Un par de ejemplos. Voy a entrar en estos también. Obviamente tenemos COVID. Así que tenemos, ya sabes, una pandemia mundial uh causando problemas. Tenemos inestabilidad política. Tenemos la crisis ruso-ucraniana. Tenemos la posibilidad de que China invada Taiwán. Y también tenemos desafíos logísticos.
Así que no inmediatamente relacionados con la cibernética, pero absolutamente puede tener un impacto en nuestra en nuestra, ya sabes, la capacidad de la organización para ejecutar su o ejecutar su negocio. Así que los eventos globales pueden y como hemos visto, obviamente impactarán en tu organización. Y no creo que al riesgo operacional se le de a menudo la credibilidad o la seriedad que merece basado en el impacto que puede tener en tu organización. Obviamente hemos visto lo que puede pasar con los conflictos globales en las naciones. Interrumpieron significativamente el comercio mundial tanto física como virtualmente. Así que esto no es sólo un problema de logística. Usted sabe que muchas personas tenían, ya sabes, las organizaciones que estaban trabajando dentro de Rusia y Ucrania. Ya sabes, los lazos con Rusia tuvieron que ser cortados. Usted sabe, muchos de los trabajadores dentro de Ucrania tuvo que recoger las armas, etc. Así que, ya sabes, las fuerzas de trabajo y los empleados desaparecieron de la noche a la mañana. Por lo tanto, no sólo tiene que ser un activo físico que usted está procurando. Si el recurso desaparece, si utilizas programadores o desarrolladores, etc., y ya no están disponibles, ese activo digital también se ve afectado. Y, ya sabes, los retos operativos pueden llevar fácilmente a nombres conocidos a la quiebra. He puesto el ejemplo de Revlon y es realmente interesante en su solicitud de quiebra en los EE.UU. en realidad citaron la incapacidad de fabricar suficiente señal de producto y las multas impuestas por los mayoristas como su razón para presentar la quiebra. Así que, ya sabes, su cadena de suministro se interrumpió. Usted sabe, el acceso a las materias primas se interrumpió. Se habían comprometido con sus proveedores que van a entregar una cierta cantidad de unidades cada mes. No pudieron cumplir con esos compromisos. Las sanciones fueron significativas en la organización matriz y que sólo bola de nieve y, finalmente, usted sabe un nombre muy conocido como Revlon tuvo que declararse en quiebra citando la cadena de suministro como en ella como su principal problema. Pero también hay muchas industrias que dependen de productos y servicios tanto de Ucrania como de Rusia, como acabamos de mencionar. Lo siento.
Si nos fijamos en la producción ucraniana de grano, se ha hecho muy público que en Ucrania hay enormes reservas de grano que se están acumulando y que sólo pueden transportar un pequeño porcentaje de los barcos que normalmente transportarían ese grano fuera de la organización, pero en realidad el 80% de ese grano fue comprado por el Programa Mundial de Alimentos de la ONU, lo que tiene un enorme impacto en los países en desarrollo y en los que necesitan ayuda. Si miramos a Rusia, ciertamente en Europa tenemos una dependencia masiva del gas natural, los grandes gasoductos que llegan a varios países desde Rusia se detuvieron de la noche a la mañana, lo que tuvo un impacto masivo en los precios del gas y el petróleo aquí en el Reino Unido, que ya eran altos, pero subieron a niveles exponenciales. Uh, pero no sólo para usted sabe gasolina, pero casi todos los derivados del petróleo con usted sabe que causó enormes retos en adelante uh de la cadena de suministro y realmente sólo tenemos que pensar en usted sabe si eso era Rusia Ucrania si si China invadiera Taiwán y pensamos en si las mismas sanciones que impusimos a Rusia se impusieran a China. Y pensemos en nuestra dependencia de productos, bienes, servicios, subcontratación de empresas de propiedad china y servicios chinos, etc. Incluso cosas como la logística y el transporte, en los que son prácticamente los magnates, tendrían un impacto masivo en casi todas nuestras organizaciones, ya sea directa o indirectamente. Por lo tanto, tenemos que modelar, ya sabes, sobre la base de los acontecimientos pasados. ¿Qué sabemos de lo que ocurrió en el pasado y cómo predecir lo que podría ocurrir en el futuro? Mirando a nuestros proveedores, ¿están sobreexpuestos tal vez en un lugar específico que, ya sabes, potencialmente tiene la capacidad de tener algún trastorno político? Ya sabes, si eres Intel o AMD o una organización como esa, y miras a Ucrania que produce el 54% de tu, ya sabes, neón de grado semiconductor mundial, entonces, ya sabes, esperarías que tuvieran un plan para, ya sabes, plan A, plan B, plan C y D.
para reemplazar que usted sabe casi el 55% de que usted sabe el neón que se han estado comprando en Ucrania cuz que era y es significativamente perturbado y, ciertamente, cuando vimos la invasión que usted sabe y la guerra comienzan su industria de semiconductores sin duda se vio afectada por eso así que vamos a mirar a usted sabe los riesgos de cumplimiento por lo que he mencionado usted sabe cada ubicación individual y esto es realmente sólo el cumplimiento en torno a la seguridad de datos tipo de ir con con su propia cosa. Así que hay, ya sabes, un montón de uh individuales, ya sabes, los reglamentos y se centra y esto está creciendo de manera exponencial. Ese continente africano va a ser bastante lleno, yo diría, por, ya sabes, el próximo año más o menos. Así que un montón de enfoques individuales de cómo los datos deben ser gestionados. Y si usted es, ya sabe, una organización nacional dentro de un solo país, entonces, obviamente, sólo tiene que preocuparse realmente por los ciudadanos dentro de ese país. Pero si usted es una multinacional global, que opera en 60 70 países diferentes, etc., entonces esto se convierte en algo muy complejo de gestionar, lo siento, sólo avanzar en esa diapositiva, así que usted sabe que la gente a menudo piensa que puede externalizar sus problemas. Hablo con muchas organizaciones en las que dicen que no es realmente un problema para nosotros, porque utilizamos este proveedor externo, pero en realidad no es el caso, así que no puede externalizar sus problemas cuando se trata de cumplimiento, ciertamente no han desaparecido, usted sigue siendo el propietario de los datos, si su proveedor tiene un problema en relación con sus datos, sigue siendo su problema. El panorama del cumplimiento, como ya he dicho, para las multinacionales, es complejo hoy en día. Y lo seguirá siendo a medida que avancemos. Una herramienta como Prevalent puede ayudarte a comprender los requisitos de cumplimiento de cada país y a realizar auditorías internas o externas mediante la elaboración de informes sobre cómo funcionan las cosas en las distintas zonas geográficas y cosas por el estilo. Creo que el tema común al que acabo de referirme es que, si se toman esos 60 requisitos diferentes, lo único que tienen en común es que hay que rendir cuentas.
Se puede externalizar la responsabilidad, pero no la obligación de rendir cuentas. Usted puede tener a alguien que ejecute un proceso o procese sus datos en su nombre o ejecute un centro de llamadas y tenga acceso a sus registros de clientes, pero en última instancia, a los ojos del regulador y a los ojos de los sistemas legales en la mayoría de los países usted sigue siendo responsable de esos datos y ahí es donde se vuelve realmente crítico entender su ENT y su exposición si usted ha puesto en marcha un contrato con una organización individual. poner un contrato en su lugar con una organización individual han subcontratado que a otra persona y es realmente crítico cuando se trata de PII así que ¿qué podemos hacer en este paisaje crítico, obviamente, utilizar una herramienta como prevalente que va a ser muy útil para usted uh usted sabe si usted tiene una violación de datos los requisitos reglamentarios en diferentes lugares tienen muy diferentes marcos de tiempo. He pasado la mayor parte de mi vida trabajando en servicios financieros y telecomunicaciones. Así que conozco muy bien el panorama normativo en esos dos sectores. Y sé que si tengo una brecha en Singapur frente a una brecha en la India, mis tiempos de respuesta tienen que ser, ya sabes, notablemente diferentes. La forma en que catalogo el incidente tiene que ser muy diferente. También es muy diferente a quién se lo digo y quién se compromete. Por lo tanto, usted tiene que entender completamente que y usted sabe, ser capaz de tener que um usted sabe, frente y al centro en su memoria en el futuro. Bueno, hay dos cosas que son, ya sabes, totalmente seguras. La complejidad y la incertidumbre es una frase mía. Son el enemigo de la seguridad. Si algo es muy complejo, es muy difícil de asegurar. Y si tienes un ambiente incierto con muchos factores cambiantes, es realmente difícil reforzar la seguridad allí también. Y eso realmente se reduce a, ya sabes, tu proceso TPRM así como tu estrategia de seguridad más amplia. En un mundo así, los contratos y los métodos de trabajo deben ser absolutamente claros. Tu sabes quien es el dueño de los datos tu sabes un poco de una pista que siempre eres tu mismo como dije antes tu no puedes subcontratar eso. Así que reconociendo que no importa lo que el contrato que está poniendo en su lugar.
No importa quién realice la actividad diaria. El propietario de los datos es quien va a interactuar y procesar los datos. Y cuando se trata de información realmente sensible, registros de pagos, etc. Tienes que llegar a los nombres individuales. Tienes que ser capaz de gestionar a distancia quién tiene acceso a tu información en el día a día. ¿Cuál es su proceso de incorporación como palanca? Si alguien deja la organización, ¿se le revoca el acceso instantáneamente? Y si alguien se incorpora por primera vez y accede a información sensible, ¿hemos realizado el nivel adecuado de investigación? ¿Qué requisitos de cumplimiento se aplican a los datos de los ciudadanos en cada país? porque difieren. Ya sabes, para algunas naciones, por ejemplo, incluso si usted está subcontratando, tiene que ser, ya sabes, alguien de ese país de origen en realidad el acceso a esos datos. Y eso es, ya sabes, o demasiado difícil de hacer por lo que no sucede, pero usted sabe, usted todavía tiene que tener en cuenta que eso es un requisito. Y, ya sabes, una buena manera de avanzar aquí es identificar lo que parece perfecto. He descubierto que, cuando se entra en un nuevo espacio o se hace algo así, hay que asegurarse de encontrar el aspecto perfecto. Acércate a organizaciones similares. Rara vez encuentro que la gente sea competitiva entre sí cuando se trata de ciberseguridad o seguridad de la información. Creo que la gente, ya sabes, está dispuesta a ser realmente abierta y transparente en torno a, ya sabes, lo que hacen y los procesos a las personas en las que confían o círculos de confianza. Así que, ya sabes, involúcrate con, ya sabes, grupos de discusión y foros y asegúrate de que estás capturando cómo lo hacen otras personas y luego asegúrate de que pones, ya sabes, procesos similares en su lugar, ya sabes, no tienes que empezar con una hoja en blanco aquí. Por lo tanto, echemos un vistazo a la, ya sabes, el ESG y el riesgo de RSE. Um, así que dependiendo de dónde se encuentre, como quiera llamarlo, como digo, queremos ser buenos ciudadanos.
Queremos asegurarnos de que estamos haciendo lo correcto desde una perspectiva organizativa, todos queremos tener grandes productos y servicios, pero tenemos que reconocer que el mundo es un lugar muy grande, y no siempre es lo mismo que reconoceríamos en nuestros países de origen. Ya se trate de la responsabilidad social de las empresas, queremos asegurarnos de que estamos haciendo lo correcto, o de la responsabilidad social de las empresas, queremos asegurarnos de que estamos protegiendo el medio ambiente, estamos haciendo lo correcto en los aspectos sociales y queremos asegurarnos de que tenemos la gobernanza adecuada, etc. Una de las tendencias que todos reconocemos es la deslocalización y la externalización. Y una de las principales razones para hacerlo es reducir costes. Así que una de las cosas clave que sucede es que vamos a las regiones de menor coste del mundo. Pero tenemos que reconocer, como he dicho, que no todos los lugares son iguales, no todos los países tienen el mismo nivel de ética empresarial que nosotros, y en algunos lugares está claro que los empleados siguen siendo explotados, pero eso es un hecho que tenemos que afrontar en algunos otros países, y en mi pasado he tenido que lidiar con el pago de sobornos, ya sabes, decir engrasar las ruedas o de alguna manera hacer burocracias muy complejas desaparecer de la noche a la mañana. Han sido un lugar común durante generaciones. Ya sabes, es una forma muy normal de trabajar para algunas personas en algunos de estos lugares, pero usted sabe, yo diría que para la mayoría de nosotros en esta llamada, obviamente, no sé todas las geografías que estamos marcando en, pero yo diría que para la mayoría de nosotros, tenemos algunos algunos legales y, ya sabes, otras normas de cumplimiento que estipulan que, ya sabes, eso es ilegal. para nuestra empresa para operar de esa manera.
Tenemos que imponer nuestra forma de trabajar, nuestra ética, nuestro sistema de creencias y nuestra cultura, y tengo que decir imponer, porque es una palabra fuerte, pero eso es lo que quiero decir: tenemos que imponer esa forma de trabajar en una geografía distante, y no importa cómo hayan trabajado tradicionalmente, si quieren trabajar con nuestra organización y tener nuestro negocio, estas son las normas que vamos a imponer, pero también asegurarnos de que tenemos la gobernanza adecuada para asegurarnos de que continúa después de la adjudicación de los contratos. Y todos hemos visto en las noticias, en los periódicos, etc. cuestiones como ésta. Hemos visto vertidos de petróleo, por ejemplo, que dañan el medio ambiente. Hemos visto a fabricantes de zapatillas de deporte utilizar mano de obra infantil. Hemos visto a fabricantes de café pagar un salario notivable a su mano de obra. Y todos sabemos cuánto cuesta un café de cobre hoy en día, ¿verdad? Así que los márgenes deben ser inmensos. Así que ya sabes, pagar a las personas que realmente cultivan el producto y, ya sabes, tostar el producto y hacer la recolección de los granos de café, etc. Asegurarse de que tienen un salario justo por un producto justo es muy importante para la mayoría de las organizaciones. Y eso son sólo algunos ejemplos. Ya sabes, incluso las personas que trabajan para los centros de llamadas, etc. Así que es realmente pensar, ya sabes, ¿qué hace mi organización? ¿Cuáles son nuestros compromisos, cuáles son nuestras posturas éticas, cuáles son nuestras regulaciones legales y de cumplimiento en este entorno, y cómo nos aseguramos de que tenemos un proceso de gobierno efectivo? Se trata de asegurarnos, ya sabes, lo digo como profesionales de la seguridad, pero todo esto es más amplio que la seguridad, pero todo alimenta tu programa TPRM. Tenemos que asegurarnos de que entendemos plenamente, ya sabes, que la cadena completa de custodia dentro de la cadena de suministro. Y luego está el riesgo financiero, ¿verdad? Así que, um, ya sabes, vimos en la pandemia mundial de COVID y sabes que fue una gran sorpresa para todos nosotros.
Ya sabes, la mayoría de los profesionales de la seguridad de la información si te inscribes en el NIST o ISO o algo así, siempre has tenido una política global de gripe pandémica dentro de tu arsenal, pero ya sabes, la mayoría de la gente habría pensado que era bastante poco realista y nunca pensó que vería la luz del día, pero en realidad lo hizo y todos hemos visto que las organizaciones que sufrieron de eso no tenían la infraestructura de TI adecuada para que sus empleados trabajaran inmediatamente desde casa. No tenían la capacidad de pivotar rápidamente en términos de cómo operaban o entregaban productos y servicios a sus clientes y rápidamente tomar las cosas en línea de los locales físicos y cosas por el estilo. Así que realmente impactó en la línea de fondo y el balance de varias organizaciones. Y luego echamos en esa mezcla, estamos saliendo de ese mundo ahora, pero usted mira a través del planeta en este momento, ¿verdad? Tenemos una mezcla de aumento de la inflación, tenemos el aumento de las tasas de interés, Tenemos el aumento de los préstamos por los gobiernos de todo el mundo. Y luego para agravar eso de las organizaciones, tenemos la tasa más alta de malware criptográfico que hemos visto nunca. Ya sabes, atacar organizaciones literalmente cifrar sus datos y mantenerlos a un rescate. Así que, ya sabes, si no tienen el seguro adecuado en su lugar, ya sabes, que puede, ya sabes, vimos con, ya sabes, varias organizaciones en todo el mundo, uh, ya sabes, que en realidad tenía un incidente de malware cripto. Sus finanzas no pudieron soportarlo. No estaban asegurados o póliza en el momento en realidad no inu incluir el pago. No tenían la capacidad de restaurar esa organización rápidamente y en realidad se hundió. Uh y eso puede suceder a usted sabe casi cualquier organización si no tienen el derecho de los planes adecuados en su lugar. Así que tenemos que ser proactivos y pensar en todo esto. Tenemos que hacer las preguntas que están sondeando no sólo en torno a la ciberseguridad y la seguridad de la información, pero ya sabes ¿cómo de líquida es esta organización? ¿Cómo son sus finanzas capaces de soportar algunas de las cosas que acabamos de discutir?
y ¿cómo de estable es? Ya sabes, ¿podría fallar potencialmente de la noche a la mañana para algunos de los ejemplos. ¿Qué podemos hacer? ¿Cuál es la tendencia de cada proveedor? La mayoría de las grandes organizaciones publican sus estados financieros, así que podemos empezar a consumir esa información y entender, ya sabes, ¿cuál es la tendencia? ¿Están obteniendo más flujo de caja libre dentro de esa organización? ¿Están amortizando deuda? ¿O están obteniendo menos flujo de caja y acumulando más deuda? ¿Empieza a parecer más arriesgado año tras año? ¿O el riesgo empieza a disminuir? ¿Se han asegurado contra los posibles impactos en su organización? No sólo desde una perspectiva de riesgo cibernético, sino desde una perspectiva de impacto en el negocio. Así que, ya sabes, ¿están asegurados contra las pérdidas que podrían, ya sabes, incurrir por no ser capaz de servir a sus proveedores. Así, mirando a Revlon por ejemplo, ya sabes, ¿han cubierto ese riesgo potencial de que ocurra y lo han cubierto del mercado de seguros o no? Y en realidad, ya sabes, ¿dónde están basados? Uh, ya sabes, ¿dónde están sus ubicaciones en todo el mundo. ¿Dónde tienen su sede? ¿Tienen la capacidad de ser manipuladas o desafiadas por gobiernos corruptos? ¿Están potencialmente expuestas a la inestabilidad política? Así que, ya sabes, todas estas cosas absolutamente factor en y obtener esa información precisa es realmente clave, pero como he dicho al principio, la vida que es realmente es igualmente importante sólo para asegurarse de que tenemos toda esa información a nuestro alcance y que podemos difundir que dentro de nuestras organizaciones. a las personas que necesitan usted sabe consumir eso y ser capaz de tomar decisiones basadas en el riesgo en el futuro. Así que antes de cederle la palabra a Scott, ¿qué podemos hacer de manera diferente? ¿Qué es lo que realmente haría la diferencia? Creo que tenemos que trabajar en colaboración, a menudo somos, y yo soy culpable de esto también, profesionales de la seguridad cibernética y de la información, y puede haber muchas otras disciplinas en la llamada, pero como he dicho, los usuarios más activos de esta herramienta, de esta tecnología y de este proceso.
Como profesionales de la seguridad de la información, tenemos que reconocer que no tenemos todas las respuestas. Tenemos una cierta mentalidad y una cierta visión de cómo enfocamos los problemas. Necesitamos colaborar ampliamente dentro de nuestra organización. Así que, uh, como he dicho, por favor, mira mi webinar que hice sobre la colaboración con la función de compras y verás que el CISO y el director de compras o el jefe de compras tienen realmente responsabilidades superpuestas cuando se trata de riesgo. uh y muchos de los indicadores de rendimiento compartidos. Así que asegúrese de que usted sabe que aprovechar esas diferentes funciones con los diferentes conocimientos. Así que trabajar con RRHH, legal, finanzas para asegurarnos de que hemos establecido los KPIs correctos para que podamos empezar a ver cuando las cosas van mal. Lo que no queremos es darnos cuenta de que todo va mal. Hay indicadores adelantados y atrasados en los que podemos empezar a ver los retos que empiezan a aparecer y cuando los vemos podemos empezar a entender bien cuál sería nuestra respuesta. La mayoría de las organizaciones maduras no pondrían todos los huevos en la misma cesta con un solo proveedor crítico. Así que ya tendrían esa capacidad de recuperación incorporada, tanto si obtienen materias primas de dos o tres proveedores diferentes que están geográficamente dispersos. Así que si hay un impacto, entonces obviamente no tiene un gran problema para ti. U entonces, obviamente, asegúrese de que está operando de manera integral a través de su huella de proveedores. Um, como he dicho la mayoría de las organizaciones que utilizan una herramienta como prevalente tienen la capacidad de hacer esto. Uh usted tiene la capacidad de usted sabe programa en donde están sus proveedores usted sabe que le proporcionan productos y servicios en todo el mundo. Pero si usted está ejecutando un proceso manual esto podría ser un poco de un desafío en términos de enganche en especial si usted es multinacional donde sus proveedores están interactuando con su organización.
Así que cuando sea posible crear ese proceso global asegúrese de que usted está operando usted sabe que único proceso a nivel mundial y, a continuación, usted sabe asegurarse de que usted tiene que endth relaciones realmente pensado en toda su organización y, a continuación, realmente usted sabe escenarios modelo u ciertamente antes de COVID golpeó uh un buen CISO que sé que hizo un usted sabe un ejercicio con su sala de juntas uh sobre una gripe pandémica mundial y todo el mundo pensó que era realmente bueno. Creo que el CEO lo llevó a un lado después y le dijo ya sabes, ¿podemos elegir un escenario que sea un poco más probable la próxima vez? Pero, obviamente, un par de meses más tarde, algo como la crisis de la cocaína, es una inversión muy sensata sentarse con las partes interesadas y modelar qué pasaría si el canal de alcantarillado se bloqueara de nuevo y no pudiéramos hacer llegar nuestros productos a los clientes o las materias primas. ¿Cuál sería el impacto en nuestra organización con los Houthies en este momento en el Mar Rojo, desviando 200.000 millones de comercio y añadiendo semanas al tiempo de tránsito a algunos países y lugares? Todas estas cosas tienen un impacto y hay mucho valor en el modelado de algunos de estos escenarios. Así que sí, hacer los tradicionales cibernéticos, pero igualmente pensar más amplio y realmente entender bien lo que realmente podría afectar a nuestra organización, porque no es siempre un ataque cibernético. Y creo que si somos responsables de este proceso de riesgo, tenemos que ser capaces de guiar el negocio de manera efectiva y eso es, obviamente, pensar más allá de lo cibernético. Y entonces usted tiene que tener su dedo en el pulso. Obviamente, tienes que, ya sabes, tener esos feeds de inteligencia de amenazas en tiempo real. Uh, de nuevo, algo que no puedes tener con un proceso manual. Usted sabe, usted puede poner en que sus proveedores críticos en. Usted puede tener, usted sabe, más o menos en tiempo real monitorear lo que está pasando. Puedes ver lo que otras personas han descubierto sobre ellos. Y eso es realmente crítico que usted puede, usted sabe, estar cerca de tiempo real cuando se trata de gestionar y supervisar su huella proveedor.
Cuando hubo uh, ya sabes, el desafío con Neon que he dicho antes en la fabricación de chips en realidad había un empleado de IBM que era más o menos en la pelota y usted sabe reconoció que esto sería un gran problema y compró a granel y se han comprado a granel en millones de toneladas uh para esa organización para asegurarse de que no tenían interrupciones del servicio uh usted sabe no todas las organizaciones que han tenido que real-no todas las organizaciones habrían sido capaces de reaccionar porque este tipo sabía que tenía cobertura aérea de antemano para poder hacer algo así por lo que realmente trabajar a través y asegúrese de que está incorporado en su proceso global, porque como se dice en la parte inferior allí, ya sabes, si estás ejecutando un programa de riesgo de proveedores realmente eficaz, tendrás, ya sabes, posiblemente pensado en casi todo lo que puede suceder en tu cadena de suministro que puede interrumpir, ya sabes, la ejecución de tus productos y servicios. Y luego todo se reduce a, ya sabes, una perspectiva de costes. ¿Cuánto estás dispuesto a invertir para cubrir ese riesgo? ¿Es ir a un proveedor de seguros? ¿Es poner, ya sabes, un par de otros proveedores en sus libros que pueden ofrecer el mismo producto y servicio? uh sólo para asegurarse de que ha cubierto ese riesgo en el futuro. Muy bien. Espero que lo encuentres útil y hay un montón de preguntas para mí. Voy a pasar a Scott para hacer algunas diapositivas y luego vamos a entrar en el Q & A. Así que Scott, a ti.
Impresionante. Muchas gracias, Brian. Uh y puedes continuar con la siguiente diapositiva si quieres.
Scott: Um usted sabe, una de las cosas que realmente me llevé de la discusión de Brian es, ya sabes, este campo muy diverso de los tipos de riesgo que tenemos que ser conscientes de y todos hemos caído en esa trampa en la que eres una especie de preocupado principalmente por los riesgos de seguridad cibernética que un vendedor o proveedor introduce a la organización en una de dos maneras. Una forma es el riesgo de la cadena de suministro de software. Usted sabe, usted está haciendo negocios con un o usted compró una pieza de software, que empleó en la organización. Se convierte en una situacion del tipo muevete o vuela. El código se ve comprometido. De repente ese código está en tu entorno. Bueno, ese código también podría estar en los entornos de terceros. Y si están gestionando tus datos o tienen conexiones con tus sistemas, de nuevo, esa es una ruta hacia tu organización. El segundo riesgo cibernético es el riesgo de una violación, ¿verdad? Uh una situacion tipo PJNA donde um uh tu sabes el tu sabes un proveedor de facturacion medica por ejemplo que esta manejando tu base de datos de clientes para emitir facturacion medica es atacado. Sabes que la información de tus clientes se ve comprometida y de repente acaba a la venta en algún lugar de la web oscura y eso es responsabilidad tuya. Son esas cosas las que tienen toda la prensa. Pero como Brian dijo antes en la presentación, son algunos de estos, ya sabes, más sigilosos, menos tangibles, más cualitativos tipo de riesgos que pueden acechar en el fondo que, ya sabes, realmente tenemos que mantener nuestro ojo en evitar que se conviertan en algún tipo de interrupción para nosotros en el futuro. Ya sabes, impacto en la cadena de suministro, interrupción de la cadena de suministro, alguien es adquirido o hay una fusión y adquisición en un proveedor, eh, de repente eso, eh, eso crea una implicación estratégica para tu ecosistema. De todos modos, lo que vemos a las organizaciones luchando desde la perspectiva de la gestión de riesgos de terceros son realmente tres cosas, ya que están tratando de conseguir sus brazos alrededor del programa, ya sabes, construir ese programa, lo que sea, y eso es número uno, los procesos manuales.
Todos los años realizamos una encuesta en el sector y una de las preguntas que planteamos es si utilizan hojas de cálculo o qué herramientas utilizan para gestionar el programa de gestión de riesgos de terceros. Casi la mitad, el 48% de los encuestados, dijeron que confiaban únicamente en hojas de cálculo para gestionar su programa de riesgos de terceros. Sé que muchos de ustedes están al teléfono hoy. Está bien. Uh siempre hay un buen lugar para empezar uh para deshacerse de sus hojas de cálculo y usted sabe, este podría ser, usted sabe, el día para hacer ese día para tomar esa decisión. Proceso muy manual. Usted entiende los riesgos involucrados en el proceso manual. Es difícil mantenerlo al día. uh es difícil um uh obtener información en tiempo real. Es difícil, ya sabes, asignar controles en una hoja de cálculo de manera muy eficaz para remediar y, en efecto, cerrar el círculo en el problema del riesgo de terceros. En segundo lugar, el estudio mostró que aproximadamente el 20% de las empresas están rastreando los riesgos a través de al menos una etapa del ciclo de vida del riesgo de proveedores de terceros. 20% dos de cada 10 uh están rastreando los riesgos a través de ese ciclo de vida. Eso es problemático. Ya sabes, creo que la inclinación natural para nosotros es hacer una evaluación de diligencia debida bastante profunda cuando estás incorporando a un proveedor o cuando estás evaluando a un proveedor para ver si quieres hacer negocios con ellos. Echar un vistazo a su postura cibernética, su postura competitiva, su postura financiera, sus puntuaciones ESD, ya sabes, problemas de reputación, ya sabes, lo que sea. Y una vez hecho esto, seguimos adelante. Nos sentimos cómodos. Ellos coinciden con el apetito de riesgo de la empresa. Seguimos adelante con ellos. Y luego hacemos algunas reevaluaciones periódicas. Pero después de eso, ya sabes, el tiempo pasa y entonces, ya sabes, como es la naturaleza humana, tendemos a centrarnos en el siguiente gran problema y tal vez tenemos algunos proveedores que, ya sabes, hemos tenido en el ciclo de vida por un tiempo. Estamos haciendo negocios con los que todavía nos siguen presentando algunos riesgos. Uh, y los datos muestran que, ya sabes, pocas empresas están realmente mirando los riesgos de, ya sabes, de la cuna a la tumba.
La tercera es esta, ya sabes, loca situación en la que todo el mundo tiene la mano en el arado en la gestión de riesgos de terceros en muchas organizaciones. El 71% de las empresas afirman que el equipo de infosc es el propietario del riesgo de terceros, pero el 63% dicen que el equipo de compras es el propietario de la relación. Así que les planteo la pregunta. ¿Es ese su entorno? ¿Es así? Tal vez usted, que forma parte del equipo de seguridad, de cumplimiento o de riesgos de terceros, sea el encargado de gestionar el proceso de evaluación o de comprender qué tipo de información debe gestionar con respecto a terceros. Pero en realidad es el equipo de compras el que tiene el contacto diario con ellos o al menos paga las facturas. Así que hay que mantenerlos informados. Esa dicotomía, esa propiedad, si no se gestiona adecuadamente, si no se ofrece el tipo adecuado de información a todas las partes implicadas, podría dar lugar a algún conflicto o, en el peor de los casos, a una patata caliente en la que nadie gestiona realmente la relación. Siguiente diapositiva, por favor, Brian. Um, en última instancia, ya sabes, lo que más o menos entendemos de hacer esto durante 20 años es que las organizaciones, ya sabes, quieren lograr estas tres cosas de sus programas de gestión de riesgos de terceros. La primera es obtener los datos que necesitan para tomar mejores decisiones. Hablamos de lo manual que es ese proceso. Hablamos de cómo la disparidad de fuentes de datos puede llevar a no tener un enfoque en tiempo real o a no considerar el riesgo a lo largo de todo el ciclo de vida. En segundo lugar, aumentar la eficiencia del equipo y derribar silos. Ya sabes, si tu equipo de seguridad de TI, ya sabes, necesita ejecutar una evaluación para entender la postura de seguridad de un potencial vendedor o proveedor. El equipo de adquisiciones quiere saber cuál es su salud financiera. ¿Pueden pagar sus facturas? ¿Tienen una buena calificación crediticia? Tal vez el equipo de cumplimiento o de gestión de riesgos quiera saber si tienen problemas de reputación. ¿Han aparecido en las noticias? ¿Hay problemas de calidad del producto de los que preocuparse? Cosas por el estilo. Lo que termina sucediendo es que tienes tres audiencias diferentes que quieren saber un poco de información sobre este tercero.
Y muy rara vez encontramos en las empresas de cualquier tamaño la capacidad de reunir todas esas cosas para que usted tenga como una visión de esa tercera parte, ya sabes, independientemente del tipo de riesgo que desea gestionar. Uh, y luego el tercero es evolucionar y escalar su programa en el tiempo. Quiero decir, mira, lo entiendo. Es un reto, ¿verdad? Tienes que estar preparado para nuevos terceros, para el desmantelamiento, ya sabes, uh proveedores con los que ya no haces negocios. Y necesitas cierta elasticidad en tus procesos y tus soluciones para, ya sabes, permitirte hacer eso, y las hojas de cálculo, los procesos manuales, lo que sea, no van a servir. Siguiente diapositiva por favor Brian. Lo que tratamos de hacer es ver el riesgo de forma holística a través de una relación con un proveedor externo. Nuestro reconocimiento es que vemos el riesgo en cada etapa de esa relación, desde el momento en que se decide buscar un nuevo proveedor, elegirlo e incorporarlo, hasta el momento en que el contrato expira y no se está interesado en renovarlo y se quiere dar de baja al proveedor y rescindir el contrato y la relación. Cada una de esas etapas presenta riesgos únicos y presentan esos riesgos únicos a múltiples equipos diferentes en toda la organización, ya sea no tener realmente una buena visión basada en el riesgo de un proveedor potencial que desea seleccionar. Una cosa es determinar si la oferta de un vendedor o proveedor es adecuada para un fin, pero ¿se ajusta al perfil de riesgo de la empresa? Los procesos tradicionales de RFX no suelen resolver esta cuestión. En segundo lugar, cuando se trata de la incorporación, el proceso contractual tiende a no estar muy bien integrado con el proceso de análisis o mitigación de riesgos. ¿No sería genial si hubiera una manera de unificar la gestión de KPIs, Kri, SLAs, medidas de rendimiento en un contrato y tratarlos como riesgos de incumplimiento o no cumplir con las expectativas o ya sabes los riesgos cibernéticos o algo para gestionar este tipo de cosas en conjunto. Un tercer gran reto que vemos son todos los procesos manuales necesarios para medir el riesgo inherente.
Usted sabe que usted realmente no sabe que usted no tiene un buen manejo de lo que el siguiente paso debe ser si usted no tiene un punto de partida para decir bien estos estos estos usted sabe este grupo particular de proveedores tienen usted sabe un perfil de alto riesgo en esta área. Tenemos que profundizar para determinar cuáles son sus políticas en materia de privacidad de datos, por ejemplo. Tercero, evaluación y remediación. Ya hemos hablado de abandonar las hojas de cálculo y los procesos manuales y cosas por el estilo, pero creo que un factor crítico para el éxito en un proceso de evaluación es tener una biblioteca de cuestionarios o preguntas que aborden los riesgos sobre los que los diferentes departamentos de la empresa van a querer saber más. Como he dicho, ya sabes, el equipo financiero quiere saber esto o el equipo de adquisiciones quiere saber esto, el equipo de TI quiere saber lo que ya sabes, hacer una especie de proceso manual basado en hojas de cálculo o tal vez mirar un cuestionario, ya sabes, sólo, normalmente no va a hacer feliz a nadie. Monitoreo y validación es como el quinto paso en el proceso y lo que vemos aquí es donde este tipo de silos de información comienzan a surgir unos de otros. Usted sabe que usted consigue una puntuación cibernética, se obtiene una puntuación ESD, se obtiene uh a un financiero, ya sabes, la calificación crediticia, algo así. Bueno, ¿qué haces con todo eso? Ya sabes, si eres el tipo de gestión de la relación o ya sabes con quién compartes esa información, cómo la compartes, en qué formato, cómo afecta eso a la toma de decisiones, a los acuerdos de nivel de servicio y al rendimiento, ya hemos hablado de la integración entre la contratación y la gestión de riesgos, y por último, cuando llegas al punto en el que es el momento de terminar esa relación, lo que vemos es que muchas organizaciones no tienen un proceso de incorporación muy prescriptivo que esté centralizado con la asignación de tareas prioritarias, más que ese tipo de le permite uh muy seguro y con seguridad decir: "Bueno, hemos terminado aquí y todos estos elementos han sido han sido marcados. Podemos seguir adelante". Uh, siguiente diapositiva, por favor, Brian. Sabes, lo que hacemos para abordar este problema es una combinación de tres cosas.
La primera es que tenemos una plataforma de gestión de riesgos de terceros que es utilizada por nuestro equipo interno de servicios gestionados si optan por esa vía. Uh, pero vamos a ejecutar todo el riesgo de terceros uh esfuerzo uh en su nombre. Eso incluye la incorporación de proveedores, la realización de la puntuación de riesgo inherente, la emisión de evaluaciones, el análisis, la formulación de recomendaciones de corrección, la ayuda con el contrato, ya sabe, lo que sea. Cubrimos todo el ciclo de vida del riesgo de terceros. Si quiere hacerlo usted mismo, no hay problema, porque tenemos la plataforma para hacerlo. La segunda pieza de la ecuación son los datos. Quiero decir, me apilar nuestra plataforma contra cualquier otro, ya sabes, la plataforma en la industria. en términos de la cantidad de inteligencia y la calidad de la inteligencia que hemos importado en la plataforma y luego presentar a usted en tarjetas de puntuación de aspecto muy inteligente y también en los registros centrales de riesgo para ayudar a validar la presencia de ciertos controles y que los datos son importantes para la buena toma de decisiones y, a continuación, en tercer lugar he mencionado la plataforma de la derecha uh la capacidad de albergar todo el flujo de trabajo uh los cuestionarios de los riesgos de la presentación de informes los marcos de cumplimiento y más en una sola forma de plataforma para ayudar a usted, usted sabe, reducir la cantidad de tiempo y todo lo que el alma corregir el esfuerzo para uh para ejecutar en sus evaluaciones de riesgo. Siguiente diapositiva, por favor, Brian. Um, ya sabes, el corazón de la presentación de hoy es, ya sabes, hacemos esto para un montón de diferentes tipos de riesgos y acabo de poner seis categorías de ellos aquí en la um la diapositiva en este momento. Y todas las pequeñas viñetas son las piezas de inteligencia o los cuestionarios que tenemos en la plataforma para ayudarle a tipo de reunir esta información. Por supuesto, el negocio cibernético operativo, financiero, ESG, ya sabes, la reputación y el cumplimiento. Y de nuevo, centralizamos esta información en la plataforma para ayudarle a tomar buenas decisiones basadas en el riesgo sobre si desea o no hacer negocios con un proveedor en particular o seguir haciendo negocios con un proveedor o tipo de recomendar medidas correctivas para llegar a un lugar donde usted es feliz con una puntuación de riesgo residual que es que se alinea con el resto de la empresa.
Siguiente diapositiva, por favor, Brian. Y creo que eso es todo lo que quería compartir con ustedes hoy, que es una especie de cómo podemos ayudar a abordar el problema de múltiples tipos diferentes de riesgo en el medio ambiente y cómo podemos reunir todo eso en una sola solución, ayudarle a hacer algunos análisis, algunos informes, algunas medidas correctivas para mitigar en última instancia que el riesgo sobre una base a largo plazo. Eso es todo lo que quiero compartir con ustedes hoy. Creo Matt, vamos a recoger de nuevo a usted y uh vamos a abrir para las preguntas.
Muy bien, muchas gracias, Scott. Bien, mira aquí. Así que ahora sería un buen momento para que dejarais cualquier pregunta que tengáis en el cuadro de preguntas y respuestas. Voy a lanzar la última encuesta ahora mismo en la pantalla mientras lo hacéis para que podamos hacer un seguimiento con vosotros sobre cualquier proyecto de TPRM que tengáis en mente. Básicamente, ¿queréis que Prevalent haga un seguimiento para hablar sobre cómo mejorar vuestro programa de TPRM? Permítanme que lance esta encuesta rápidamente. Sí, claro. Sí, claro. La encuesta está en marcha y parece que tenemos más preguntas que tiempo, Brian. Por lo tanto, voy a darte la primera mirada si tienes alguna pregunta que salte a la vista. De lo contrario, puedo feliz de elegir uno y podemos ir a través de algunos. No. Parece que estás en silencio.
Brian: Sí, sólo voy a whiz a través de algunos Matt para usted si eso está bien. Así que, tenemos preguntas sobre, ya sabes, ¿qué documentación necesitamos para supervisar a los subcontratistas? Así que, ese final uh, ya sabes, lo que estábamos hablando antes, en realidad hay que hacerles las mismas preguntas que le pediría a su proveedor principal, ¿verdad? Por lo tanto, si están teniendo acceso a, ya sabes, los datos, es necesario saber todo acerca de ellos también. Ubicación y modelos de propiedad, ya sabes, productos, servicios, ubicaciones, etc. Así que es una extensión. No es adicional. Es una réplica de lo que le preguntarías a tu proveedor actual y, ya sabes, trasladarlo también a ellos. Un par de preguntas sobre ESG, ya sabes, uh no está claro acerca de la relación entre ESG y los desafíos que plantea a su función TPRM. Imaginemos que uno de sus proveedores clave se viera implicado en la esclavitud infantil o en infracciones importantes en materia de salud y seguridad, etcétera. Y, obviamente, los periódicos se enteran y dicen que la empresa X utiliza mano de obra infantil, etc. Así que eso no es algo con lo que realmente quieras asociar tu marca. Así que esos son los vínculos, ¿verdad? Y el reconocimiento de que hay factores reguladores y legales para asegurarse de que eso no suceda. Creo que usted sabe la mayoría de las empresas tienen la responsabilidad de empujar a los que en su cadena de suministro sólo para asegurarse de que no se producen. Um Scott, creo que era para usted de Patrick el SIG actual que se portó a la herramienta prevalente.
Sí. Sí. La pregunta es... ¿se puede importar el SIG actual a la herramienta prevalente para identificar las calificaciones de riesgo inherente y residual y luego compararlo con el apetito de riesgo empresarial? La respuesta es sí. Ya hemos importado el SIG 2024 a la plataforma prevalente. Por tanto, puede migrar las respuestas anteriores de 2023 y anteriores a la nueva versión antes de empezar a evaluar a sus proveedores con 2024 este año. Esto incluye el análisis del riesgo residual inherente y las correspondencias con el riesgo empresarial, así como las correspondencias con el marco de cumplimiento.
Genial. Y luego tenemos una pregunta, ya sabes, ¿cuáles son los tres elementos principales en los que uno debe centrarse al tratar de madurar una organización TPRM? No, yo cualquier pregunta de seguridad cibernética, ¿verdad? Personas, procesos, tecnología. Y vi que Scott tenía una plataforma de datos de personas en su diapositiva 19. Así que es, ya sabes, bastante similar, ¿verdad? Así que tenemos que asegurarnos de que tenemos las personas adecuadas, ya sabes, personas capacitadas que pueden reconocer la salida que la herramienta te está dando y ya sabes conducir la acción apropiada dentro de su organización. Usted necesita como los procesos globales y buenos conjuntos de datos para asegurarse de que usted está recibiendo una buena imagen holística y, a continuación, como dijo Scott y he dicho varias veces en este seminario web usted sabe si usted está ejecutando un proceso manual de hoy creo que usted sabe que es un buen lugar para empezar, pero el mundo ha avanzado definitivamente. Creo que usted sabe mirar lo que una herramienta como prevalente puede hacer por usted y tipo de usted sabe reconocer el usted sabe la transformación en usted sabe su capacidad para servir de riesgo para su organización. Uh hay otra en torno a si hay una razón por la unidad de negocio de contacto o la contratación del servicio no es dueño de la relación con el cliente. Creo que eso depende de cada organización. Ciertamente he trabajado para organizaciones donde no han tenido compras centralizadas y ellos son dueños de la relación con el usuario final. Creo que se trata de establecer una colaboración. Creo que siempre y cuando tengas esa visión única, eso es realmente crítico. Usted no quiere que la contratación tenga una visión de la base de clientes y que usted tenga otra porque, obviamente, entonces ambos están guiando el negocio de diferentes maneras. Así que creo que eso es realmente crítico. Uh Scott, ¿quieres tomar esa? Uh con prevalencia, ¿podemos optar por una categoría específica de inteligencia de riesgo, por ejemplo, sólo financiera?
Sí, absolutamente. La respuesta corta a la pregunta es sí. Si sólo quieres controlar el riesgo financiero de los proveedores, puedes hacerlo con una plataforma prevalente. Pero el mayor valor que obtienes de la plataforma es mirar el riesgo de forma holística a través de múltiples tipos diferentes de múltiples equipos internos de la empresa. Así que sí, hay herramientas por ahí que pueden ser capaces de, ya sabes, D & B, seguro de crédito, ya sabes, si te dan informe financiero para los proveedores, pero es lo que haces con los datos que importa y entonces ese es el valor que ofrecemos es que tomamos los datos, los asignamos a los riesgos potenciales y las banderas y alertas y le permiten tomar medidas al respecto.
Brian: Bien. Y el último, Scott es para ti también.
Sí. Sí. La pregunta es, si utilizo la herramienta para enviar el SIG como cuestionario, pero mi proveedor me devuelve el SIG por correo electrónico. ¿Puedo cargar sus respuestas en el cuestionario que envié? La respuesta es sí, puede hacerlo. Y luego puedes llamar al proveedor y echarle la bronca por teléfono por hacer eso.
Bien, Matt. Lo logramos.
Muy bien. De acuerdo. Impresionante. Bueno, muchas gracias, Brian, y por supuesto, Scott también. Y gracias a todos um por todas las preguntas. Por lo tanto, si usted desea permanecer en el bucle TPRM, no dude en preguntar. nosotros en LinkedIn. Y, por último, ya sabes, espero ver un puñado de ustedes en sus bandejas de entrada y tal vez incluso en uno de nuestros futuros seminarios web. Um, así que muchas gracias de nuevo a todos y cuídense.
Gracias a todos. Salud.
Cuídense todos. Adiós. Salud.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.