Descripción
Medir el riesgo de terceros puede ser complejo, ya que requiere traducir métricas oscuras en impactos potenciales para el negocio. Y, una vez definidas las formas de medir el riesgo, sigue necesitando puntos de referencia y normas para comparar la eficacia de su programa de gestión de riesgos de terceros (TPRM). No tiene por qué ser tan complicado.
Bryan Littlefair, anterior CISO global de Vodafone Group y Aviva, le mostrará cómo puede correlacionar las métricas de rendimiento y riesgo para obtener informes más informativos del programa TPRM.
En este seminario web, obtendrá consejos prácticos para:
- Definir y aplicar indicadores clave de rendimiento e indicadores clave de rendimiento significativos y viables para la gestión de las relaciones con los clientes.
- Aprovechar los factores desencadenantes del riesgo para descubrir sus principales pilares de riesgo
- Fomentar una ideología de "gestión colectiva del riesgo" en su organización
- Evolución de las métricas de la GTRC de las listas de comprobación a la gestión continua de riesgos
Este seminario web es ideal para cualquier líder de riesgos que busque medir y hacer evolucionar su programa TPRM. ¡Véalo ahora a la carta!
Altavoces
Bryan Littlefair
ex CISO mundial de Vodafone Group y Aviva
Transcripción
Melissa: Hola, bienvenidos todos. Vamos a ver. Ah, están entrando. Debería ser uno bueno. Feliz Jueves. Es genial ver que todo el mundo empieza a unirse. Mientras esperamos a que todos se conecten y se acomoden, voy a lanzar nuestra primera encuesta de dos. Um, si usted ha asistido a uno de nuestros webinars webinar antes, usted sabe el taladro. Siempre tenemos curiosidad por saber qué te trae al webinar de hoy. ¿Es educativo? ¿Está usted en las etapas iniciales de su programa de riesgo de terceros? Cliente actual, hágamelo saber. Um, voy a dejar que la encuesta allí, mientras que algunas presentaciones comenzaron. Tenemos un invitado muy especial aquí, Brian Littlefare, pasado CISO global de Vodafone Group y Aviva. También tenemos a Scott Lang, nuestro propio vicepresidente de marketing de producto aquí en Prevalent. Así como Amanda y yo y estamos onda, ¿verdad? Um, estamos en el desarrollo de negocios y por lo general somos los que siguen con usted después de este seminario web y hemos charlado con algunos de ustedes antes, estoy seguro. Por lo tanto, si no yo o ella, usted escuchará de Landon o null. Así que estén atentos. Hoy Brian profundizará en el tema titulado los KPI y Kri adecuados para medir el riesgo de terceros. Les mostrará cómo pueden correlacionar el rendimiento y las métricas de riesgo para obtener informes más informativos sobre el programa TPRM. Mientras mi perro ladra, les recuerdo que valoramos su tiempo. Um, así que asegúrese de que está utilizando lo siento Amanda puede tomar el relevo y hablar sobre el chat.
Amanda: Sí, por supuesto. Perros, ya sabes, todo el mundo trabaja desde casa en estos días. Um, Sip. Por lo tanto, vamos a estar pidiendo a ustedes para permanecer interactivo tanto como sea posible. Así que, por favor usen la sección de preguntas y respuestas si tienen alguna pregunta. En concreto, si usted tiene una pregunta, si sólo tiene un comentario, utilice el chat. Pero, realmente queremos organizarlo y separarlo porque estoy seguro de que ustedes tienen un montón de cosas para cubrir y preguntar a Brian y Scott. Por lo tanto, eso es todo. Va a ser grabado. Usted recibirá en su bandeja de entrada, ya sea hoy o mañana y ustedes pueden llevárselo, Brian. Estamos listos para ir.
Brian: Great. Cheers, Amanda. Thanks, Melissa. So, yeah, a really important topic today. How we get the right KPIs and KISS and it’s something, you know, strangely enough, I’m quite passionate about and something that I spend a lot of time advising, you know, boards and executive teams because not a lot of us get it right, myself included. Um, you know, it’s a it’s a hard area to to mature, to get the right KPIs and messagings from your security program up to the board, but it is critical to get correct so that we get that right engagement. So, you know, today I’m going to give you my views and I’m hopefully going to leave plenty of time after Scott’s done his section at the end where we can, you know, get into some of your questions and answers and hopefully I can give you the benefit of some of my experience. So, uh, please, as as Amanda said, use the the Q&A aspect so that we can get those questions flowing in. I think, you know, one really interesting dynamic that I observe and I’m asked to speak at a lot at the moment is you know if you look at all the security conferences around the world so whether you’ve got RSA or infosc over in in Europe there’s specific streams that are pulling uh some fairly big CISOs and leadership teams in security organizations into into focus groups and the topic it might have a different title but it’s focusing on how does the CISO communicate with the board uh and the word chasm is is often used because there’s a gap there’s a there’s a misunderstanding or a miscommunication or the CESU isn’t getting through to the board with the right level of information. So, the board are ultimately disengaging. I just find it’s really interesting that, you know, these discussion groups are happening. If they’re happening, it’s it says there’s a problem because obviously the industry’s kind of picked up on that and how do we resolve that and how do we take it forward? And a lot of that comes down to to the KPIs, how we present, you know, the effectiveness or uneffectiveness of our security programs up to our senior management for intervention for support for backing all of those aspects. So it’s a really key important aspect that we get right. So I think you know it’s not just large enterprises facing this problem. So not all of you on the call will you know have a an expansive global board and leadership teams around the world etc. But it still is important because all of us are on a security journey. No one in security is ever finished. It’s the job for life. You never actually get to tick that box at the end and say well security is done. We can move on. There’s, you know, constant challenges that arise. So, it’s relevant for all of us understanding, you know, how do we capture where we are on that maturity journey and and reach out for that help and support from from upper management. I think the one thing I see and I’ll try and highlight it later on is when security leaders are communicating upwards in the chain around third party risk but but equally more holistic around the security program, they forget the language of the board which is risk and finance. And all too often we’re talking, you know, what a board member would call technical mumbo jumbo, right? They’re they’re very clever people. Uh they certainly shouldn’t be put down because they don’t understand the nuances of security technology. Uh they wouldn’t be on the board if they if they couldn’t add value, but it’s up for us to translate our security technical lingo, if you like, into the language of the board, which is purely centered around risk and finance. So, we can’t go in there with raw security events, firewall logs, and all of those aspects. they’re rapidly lost when they’re not you’re not talking to a technical audience. So, we need to recognize that and you know I’ve coined the phrase meaningful metrics uh because they have to be meaningful to the recipient. They have to understand what you’re trying to tell them. They almost have to jump off the page in terms of clarity and conciseness and you know a lot I see aren’t there and hopefully we can have a good conversation today about how we mature from where everyone is today and and how we kind of get to where we need to be at the end goal. Sorry. So, you know, third party risk management, I’ve run security for numerous organizations, some very big and and some not so big. Uh, so I’ve got a, you know, very good exposure to third party risk. I’ve always managed it when I’ve been a CISA. Um, and certainly if you listen to, you know, the government organizations around the world, so whether it’s NSA in in the US or the NCSC in the UK and the various other bodies around the planet, Everyone is sending out the advice and guidance that it’s not sufficient just to secure your organization. We all have a distributed risk in terms of managing the risk that presents itself from our supply chain. We will all have different levels of suppliers from people that supply ingredients into the kitchens for our staff all the way through to people and organizations that manage our data centers when we outsource them uh to them. So there’s a different complexity in that risk model and in that picture. But we need to get better at, you know, understanding what that risk is and how can that mis risk materialize because we need to know that because we need to mitigate it and if we don’t know about it then it’s really hard for us to actually mitigate it going forward. But many organizations uh and thankfully this is starting to change but certainly when I started in security uh probably 20 25 years ago uh platforms like prevalent weren’t around so we had to do our third party risk on on Excel spreadsheets and similar database processes. But now platforms like Prevalent are around, we really shouldn’t be using Microsoft Excel. And and I apologize in advance if you are a Microsoft Excel user because I’m going to give it a bit of a bashing today because u you know Excel has its its place within an organization, but it it it’s not on managing third party risk and and I’ll get on to that in a few slides. We need to get, you know, our interaction with our customers and suppliers in near real time as possible. uh an Excel won’t allow you to do that. Um we can’t be in a world where we’re gauging risk in a in an annual cycle where we’re sending out questionnaires. Uh uh third party suppliers are filling in those questionnaires. They come back into our analyst teams who are massively overstretched. Uh and then obviously they have to diagnose those results and try and produce a risk position. But as soon as that’s done, it’s out of date. As soon as you get that, you know, questionnaire back, it’s it’s practically useless because we all think about our own organizations, how much management changes, how much strategy changes, how we release new products and services, new policies and procedures that are released internally. That’s exactly the same in in the supplier world. And if you’re just capturing that and analyzing that annually, then you know thousands of changes are going to happen and occur between those cycles and you’re just not going to know about it. So you might think that a supplier is pretty unrisky, but actually they’ve, you know, launched on a new venture or a new product But that actually really increases their risk profile. So it’s about focusing on getting that risk trigger about focusing on getting that information from your suppliers as near real time as as possible. And I think you know moving away from the Excel way of the world into platforms like Prevenant is hopefully why you’re all on the call today to understand how you can achieve that if you’re not already on that journey.
Brian: Sorry, wrong way. So three of the common challenges that you know, I think organizations face and hopefully some of you might resonate with this and again feel free to put any questions in the chat and we’ll get into that later on. But I’ve coined this really the the art quadrant. Uh what I see are challenges in third party risk management around the approach, the tooling that’s being used and the resource that’s within the team. So let’s I’m going to run through these and and they all have a slide each but you know that art quadrant if you if you don’t have the right strategy in place, if you haven’t adopted the right tooling and you’re not optimizing your resource and I use optimizing you know why ask for more people when when ultimately you haven’t optimized your tooling. So if you have those three things then it’s almost the perfect storm and you’re going to have a challenge around doing third party risk management correctly uh or being able to advise the business in the right way. So if you if you’re in the art quadrant your priority today is is how do I get out of that and and hopefully we can help give you some answers to that as well. So if we look at the approach, you know, the third party risk management needs to have a strategic approach and and what I mean by that is it has to be designed to assess, evaluate, capture and ultimately treat risk. It can’t be just to run an annual cycle that sends an auditor out to a tier one supplier and sends a questionnaire out to a tier three. The results are assessed. You know, just because you’re running that cycle doesn’t mean to say you’re doing third party risk management. The who is in the M. You’re managing that risk. You’re effectively capturing it. You’re understanding the potential impact on your parent organization. You’re advising the business about that risk. You’re putting in treatment plans. You’re having the dialogue with with the supplier and you’re mitigating or accepting those risks, but you have that informed position. That is, you know, the risk management aspect of of the third party program. It absolutely, you know, needs alignment with the the broader business. But it shouldn’t be driven by the business and and what I mean by that is you are the expertise in this space. You are the expertise in in risk. You are the expertise in security. So it needs to be you know the accountable person whether you’re in procurement or whether you’re in the security function. It doesn’t make much difference. But whoever’s owning and running this process needs to have that pure direction around we’re here to tackle risk. If the business is you know trying to dictate how it happens and you know which which supply buyers get which attention. They need to have that security background. They need to have that risk background to actually understand what the potential impacts on that will be. So you can’t just be purely driven by the business because it won’t lower your risk profile. So let’s look at resources. So when I look around organizations, I think that the third party risk uh uh risk management teams are, you know, often heavily underresourced. But then I start to ask the question, you know, Have you optimized the the resource? If you’re trying to run, you know, three and a half, four and a half thousand suppliers around the globe in 60 70 countries using an Excel-based process, that’s never going to work. It doesn’t matter how many people you throw at it. It doesn’t matter if you spin up a captive in India and put 100 people on it and things like that. It’s just not going to work. Um, so rather than just thinking we haven’t got enough people, we need more people. You need to step back from the problem and say this process isn’t working. Are in the our quadrant. So rather than just looking at resource, what can we do around the technology, what can we do around the process and how do we actually optimize the resource that is needed to run an effective third party risk management program. So I personally have ran um obviously I’m on this presentation because I’ve used preent extensively in my past but I’ve personally ran you know global multinational organizations with four and a half thousand suppliers with a team of six people. U so it absolutely can be achieved if you’ve optimized the process, the technology and you know the data flows that are coming in and out of the team. But you know it is focusing down on how do you support those people bestly you know you need the right resource they need right skill uh they need to be focused in you know tiering the the the companies that are within there effectively so they know who to spend the most time with um and equally they need to know the the global ramifications of those suppliers and I’ll get on to that a little bit later on so Optimization is the key thing about resource. Don’t just throw people at the problem. It’s it’s not going to fix it. And then if we look at the the sorry you keep going the wrong way. And if you look at the uh the tooling aspect so so we talked earlier on around innovation in this space and there’s a lot of innovation in this space because you know governments and organizations are recognizing that they can’t just secure the mothership. They have to effectively secure everything that is interconnected with that mothership. And you know We’ve talked around different suppliers, different criticalities to the organizations. Some might have, you know, physical connectivity into your networks. Some might have staff members on their sites that have virtual logical access into your networks. And we need to understand what that looks like. And that’s a very complex picture. You know, building all of those nuances together and then actually understanding the the global aspect of that. So, for example, if you are working for a large organization, you might have a supplier in one country that is fairly insignificant but actually in another one of your countries they’re major. So you have to actually understand the global ramifications of of your suppliers as well. So we need to we need to mature we need to move up that maturity scale recognizing that if we are looking at what you do today and you would view it as a manual process in terms of manually sending out questionnaires relying on individual analysts to actually interpret those results and you know they’re very skilled people and I’m not doing them a disservice. But the challenge is if you give a questionnaire to analyst A and give a questionnaire to analyst B, you’re going to get two answers coming back. Um, so use the analysts to actually interpret the results that the modern tools are giving you. That’s where, you know, the best use of their skill is. It’s like if we look at a security operation center, we wouldn’t put our level one, two, and three sock analysts on looking at the raw data flowing into the sock. We rely on the scene technology to do the analysis. and we present them with the issues that we think need investigation and that’s the innovation that’s happened in this space. Let the tools like prevalent absorb all the information analyze where the key risks are that you can set the parameters on and then give that information to the analyst. That’s where they can have maximum traction and you know use their skill set to to best effect.
Brian: Así que vamos a llegar a usted sabe los KPI y el KRIS y usted sabe que yo sólo quiero línea de base usted sabe cuando estoy hablando de KPI I y KIS. Esto es de lo que estoy hablando. Utilizamos los KPI para medir el rendimiento. La clave está en el nombre, ¿verdad? Indicador clave de rendimiento. ¿Está funcionando algo como fue diseñado? ¿Es eficaz su diseño? ¿Está bien diseñado? ¿Es eficaz desde el punto de vista operativo? ¿Estamos operando de la manera correcta y obteniendo los flujos de datos adecuados? Pero eso es lo que buscamos desde la perspectiva de los KPI. El KRI es completamente diferente. Ya sabes, ¿a cuánto riesgo estamos expuestos? Y hay riesgo bruto, hay riesgo neto. Ya sabes, tenemos una línea de base de riesgo. Le aplicamos tratamientos y luego, obviamente, obtenemos el riesgo neto que sale de eso. Así que esa es la línea de base. Eso es lo que vamos a estar hablando en el futuro. Así que métricas significativas. Así que esto es en realidad un tablero de instrumentos de un cliente que utiliza Excel. Por supuesto, fue hace unos años, pero todavía veo cosas como esta flotando alrededor de hoy. Y como se puede ver, esto fue presentado a un miembro de la junta. No había, ya sabes, un análisis de los datos. No había documentación de apoyo. Era sólo una hoja de cálculo Excel mostrando aquí están nuestros proveedores a la izquierda. Creo que hay alrededor de 40 filas allí. Aquí están nuestros controles de seguridad de la información a lo largo de la parte superior. Y luego aquí es cómo un proveedor ha realizado en contra de los controles de seguridad. Así que usted puede ver que hay dos tonos de amarillo, hay dos tonos de verde, hay dos tonos de rojo. Y usted sabe, yo reto a nadie a mirar a ese tipo de matriz de entender dónde están las áreas clave de desafío. Creo que, ya sabes, si nos fijamos en los controles de seguridad de la información alrededor de 3/4 del camino a lo largo, ya sabes, hay un buen número de proveedores que están anotando rojo. Y, ya sabes, por experiencia, probablemente diría que es algo relacionado con la seguridad física, porque no todos los pequeños proveedores tienen circuito cerrado de televisión y vallas perimetrales, etc. que podrías tener en tus controles de seguridad. Pero en cualquier caso, es complejo, es ajetreado, es estático porque, ya sabes, se evalúan una vez al año.
Brian: Y luego hay un diálogo con el proveedor en torno a, ya sabes, fallaste este control, puedes poner esta remediación en su lugar, pero en gran medida sigue siendo la misma durante meses y meses. Así que cuando presentas un informe mensual a la junta, los miembros de la junta dicen, bueno, esto no ha cambiado. Ya sabes, ¿cuál es el valor de que vengas hoy a presentar algo que no va a cambiar en 12 meses? Ya lo vimos el mes pasado. Y no puedes profundizar en los temas. Y no puedes profundizar en los temas, depende de que el presentador conozca realmente el problema o el reto que hay detrás de cada uno de esos cuadros, porque si un miembro de la junta se centra en un proveedor y el control y dice cuál es la situación con éste, tienes que ser capaz de ser lírico en lugar de hacer clic en él y visualizarlo. obviamente no tiene que ser de esta manera uh herramientas como prevalente, obviamente, que es el tablero de instrumentos a la derecha en realidad se puede utilizar que lo que solía hacer para la comunicación de la junta por lo que no van con el powerpoint vas con un sitio web en vivo los datos en vivo en realidad muestran los tableros de instrumentos y en realidad ser capaz de profundizar y decir, "Mira, aquí están los riesgos actuales que estamos gestionando dentro de la cadena de suministro. Aquí es donde pensamos que las áreas que necesitamos enfoque y apoyo en. Aquí es donde creemos que tenemos un reto. Discutamos rápidamente qué vamos a hacer al respecto. Profundizar en el conjunto de datos. Todo el mundo está informado. Todos contentos. Sigamos adelante". Así que ya ves por qué le estoy dando una paliza a Microsoft Excel. Y disculpas si lo usas hoy, pero ya sabes, he tenido que usarlo en el pasado como he dicho, pero cuando pones una plataforma como la prevalente en tu organización, es realmente un poco de un cambio de juego. Realmente te permite ser más eficaz como líder de seguridad, que es en última instancia, creo, lo que todos ustedes quieren ser capaces de hacer. Así que, ¿qué métricas son las mejores prácticas en mi opinión y recuerde que esto es sólo mi opinión y siéntase libre de desafiarlo. Siempre me gusta un buen debate, pero ¿qué deberíamos medir? Y en gran medida lo pongo en cuatro cubos. Y um por lo que el riesgo, estamos tipo de, ya sabes, cubriendo que bastante bastante bien.
Brian: Creo que es bastante obvio que, ya sabes, tenemos que evaluar nuestra cadena de suministro desde una perspectiva de riesgo. Otra ventaja de la prevalencia es la amenaza. No se puede poner una lente de amenaza a través de una hoja de cálculo Excel. Ser capaz de visualizar las amenazas potenciales que sus proveedores uh o amenazas que se enfrentan. Conseguir que la inteligencia de amenazas, de código abierto, ya sabes, los datos OINT que llamamos fluyan a través de la huella de tu proveedor significa que empiezas a entender mucho más sobre ellos y significa que también puedes desafiarlos, ¿verdad? Así que, ya sabes, si un proveedor te devuelve con algunos datos que no se correlacionan con su inteligencia de amenazas. Por ejemplo, ya sabes, parchean su perímetro cada semana, pero puedes ver vulnerabilidades en su perímetro durante dos meses. Te permite tener una conversación informada sobre lo que es la realidad. Um, e igualmente, ya sabes, la amenaza no siempre tiene que ser acerca de la cibernética y el riesgo no siempre tiene que ser acerca de la cibernética. Um, la seguridad es más holística que eso. Por lo tanto, vamos a abarcar la continuidad del negocio. Vamos a abarcar la recuperación de desastres. Vamos a todos esos componentes que fluyen juntos en un solo tablero de instrumentos que le permite entender lo que sucede si este proveedor ya no estaba allí. Piense en las organizaciones de todo el mundo que acaban de tener que eliminar a Rusia de toda la ecuación. Piense en las organizaciones de todo el mundo que están mirando a China y potencialmente lo que están haciendo desde un aspecto militar con Taiwán y la comprensión de lo que sucede si China desaparece y ya no podemos tenerlos como parte de nuestro proveedor o parte de nuestra cadena de suministro, parte de nuestro desarrollo. y parte de nuestra creación de código. Todos esos aspectos, modelar lo que sucedería en tu cadena de suministro, todos esos aspectos se vuelven mucho más fáciles de hacer cuando utilizas una herramienta como esta. El cumplimiento también es mucho más fácil. Y voy a profundizar en esto también. No te preocupes, sólo estoy saltando los titulares.
Brian: Así que el cumplimiento se hace mucho más fácil porque, ya sabes, en lugar de tener que auditar a un proveedor sobre su cumplimiento de lo que sea, PCI, Sarbain, Oxley, Ley de California, ya sabes, lo que sea, puedes codificar un ify esos requisitos marcando una casilla y diciendo que este proveedor está en el ámbito de este cumplimiento en relación con nuestra organización. Así que evalúalos en función de eso. Esto es muy valioso en términos de obtener esas declaraciones de certificación que puedes presentar a un auditor y decir: "Los hemos examinado, esta es la opinión y esto es lo que otras empresas piensan que es la opinión en relación con su cumplimiento", lo que también es muy útil. Y luego está la cobertura y usted sabe que yo veo esto todo el tiempo donde las organizaciones están ejecutando un programa de riesgo de terceros, pero no tienen una cobertura completa no conocen a todos sus proveedores y la computación en nube no ayuda aquí en la capacidad de usted sabe girar un servicio en una tarjeta de crédito sombra de TI es también un problema en el que la empresa pasa por alto los procesos normales del CIO y el CTO y crea entornos técnicos con nuevos proveedores por su cuenta, pero es nuestro trabajo ir más allá y realmente capturar eso y asegurarnos de que tenemos esa buena visión holística para evaluar a todos los proveedores en esa mezcla. Es un reto. Yo mismo lo he hecho varias veces y es el mayor problema si soy honesto. Veamos cuáles son algunos de los indicadores clave de rendimiento que yo calibraría desde el punto de vista del riesgo y también algunos de los KRIS. Hemos hablado de la cobertura, pero creo que es el más importante.
Brian: Nadie quiere ser sorprendido por un proveedor del que no sabías que tenía un problema y que ha tenido un impacto en el negocio y que ha aparecido en la CNN o en las noticias dependiendo de donde estés en el mundo y no sabías de ellos, no has hecho una evaluación y está impactando en el negocio, así que conseguir esa cobertura es absolutamente clave y la forma en que tienes que hacerlo es que nada pase a través del proceso de adquisición de extremo a extremo sin que su proceso de diligencia debida se haya completado y usted sabe que el tercero por ahí el potencial de los proveedores que han completado la evaluación de incorporación si hay dinero en efectivo que fluye de la organización A como en de usted a un proveedor y que la evaluación no se ha completado, entonces tienes un problema o puedes tener un problema. Ya sabes, no quieres pedalear el miedo, la incertidumbre y la duda, pero en términos de diseño de su proceso para el éxito, que debe ser 100%. Deberías asegurarte de que tienes tus ganchos en el proceso en la etapa más temprana posible para que puedas hacer tu evaluación. Pero, de nuevo, voy a ponerme lírico con esto. La ventaja de utilizar una herramienta como Prevalent es que si la empresa viene y te dice: "Señor ministro y señora CISO, vamos a necesitar que incorporen a este nuevo proveedor. Es fundamental para nosotros. Vamos a lanzar un nuevo producto, etc. Necesitamos entenderlos muy rápidamente. En el viejo mundo de Excel y cuestionarios, eso no sería posible. Eso lleva tiempo porque sólo vas a averiguar lo que sabes sobre ellos en Google, ¿verdad? Así que no conoces a este proveedor. No sabes nada de ellos en absoluto.
Brian: Cuando usted va en prevalente, es muy probable que alguna otra persona en el mundo ha utilizado este proveedor y está en la plataforma prevalente e igualmente prevalente salir a los proveedores de forma proactiva y decir mira ven ven a nuestra plataforma rellena tus cuestionarios aquí y luego, obviamente, los nuevos proveedores tienen acceso a esa información por lo que se están beneficiando de que la gestión colectiva de riesgos te beneficias de lo que otras organizaciones han preguntado a ese proveedor y puedes acceder a esa información, así que no estás mirando una hoja de Excel en blanco, puedes empezar a ver que probablemente el 90% de las preguntas que vas a hacerles van a estar en la plataforma, así que puedes ponerte en marcha e impulsarlo. Pero creo que, ya sabes, desde una perspectiva KPIs, son los pocos que me tire de allí. Pero la única cosa que necesitas medir y la clave que realmente causa daño a la reputación de seguridad es que te conviertas en un bloqueador. Y usted probablemente ha oído eso antes. No queremos comprometernos con la seguridad. Nos ralentizan o las adquisiciones dicen que no quieren trabajar con nosotros en este proceso porque es demasiado lento. Así que realmente rastrea el tiempo que tarda ese proceso. a través de su organización de seguridad y de nuevo mirar lo que puede ser optimizado y y, obviamente, creo que estamos pasando por un montón de lo que es también y luego, si nos fijamos en el KRIS usted sabe que yo siempre miro a los indicadores de retardo y siempre miro a los indicadores de plomo por lo que lag es lo que ha sucedido en el pasado y el plomo es una especie de mirar hacia el futuro lo que tenemos que con constantemente mantener un ojo en y el enfoque, así que usted sabe que siempre queremos estar mirando a los incidentes que usted sabe que en nuestra cadena de suministro nos ha causado problemas y desafíos y usted sabe que eso no sucede a ser cibernético. El canal de alcantarillado estaba bloqueado. Usted sabe, usted podría haber tenido los envíos en que, ya sabes, en uno de esos barcos que no podía pasar. Eso es un problema de la cadena de suministro. No es un problema cibernético, pero es un problema de la cadena de suministro. Y usted todavía tiene que entender, ¿ese riesgo puede ser mitigado? Y, ya sabes, ¿puedes pensar en ello por adelantado antes de que realmente ocurra?
Brian: Y cosas como el número de proveedores que presentan un alto riesgo continuo después de la incorporación exitosa. Puede que hayas pasado por el proceso, pero siguen presentando un alto riesgo, ya sea geopolítico o por los productos que crean. Podría dañar tu reputación o afectar a tu cadena de suministro, pero aun así tienes que trabajar con ellos. No hay otra opción o sabes que es a quien la empresa ha elegido. Así que los vigilarás muy de cerca. Los pondrás en el nivel uno y querrás mantenerlo en el futuro. Por lo tanto, es realmente enfocar tu lente de riesgo. Tu lente de riesgo debe ser tu lupa realmente perforando hacia abajo en lo que es, ¿verdad? Y luego mirar la amenaza. La amenaza es clave. Si no estás haciendo amenazas, como parte de tu programa de gestión de riesgos de terceros en este momento. Usted absolutamente necesita entender cómo se puede ingerir en eso. Obviamente, forma parte de esta plataforma. Pero igualmente, ya sabes, si no lo estás haciendo, necesitas hacerlo. Y eso es realmente mirar, ya sabes, el número de proveedores que usted puede obtener información sobre amenazas. Uh la mayoría de los proveedores en la plataforma prevalente ya estará prepoblada con inteligencia de amenazas. Pero esto realmente se reduce a, ya sabes, tus programas de cumplimiento y qué información puedes obtener sobre ellos, porque ya sabes, por encima del riesgo, que es en realidad algo que, ya sabes, puede suceder. La amenaza es algo que ya ha ocurrido o está a punto de ocurrir y de lo que se obtienen indicios tempranos. Por lo tanto, conseguir que la información sobre amenazas fluya a través de tu organización es realmente útil. Por lo tanto, realmente cortar y cortar eso, mirándolo desde una lente de cumplimiento, pero igualmente mirándolo desde una lente de nivel. Si usted tiene un alto grado de amenaza, como en algo que puede ocurrir en el corto plazo a corto plazo en su base de suministro de nivel uno, entonces usted sabe que es como va a ser un problema y cómo va a mitigar que en el futuro. Así que, ya sabes, de nuevo, esto es realmente útil si el riesgo es la lupa, entonces ya sabes, la amenaza es el microscopio.
Brian: Te permite realmente entender lo que está sucediendo en tiempo casi real y es en realidad, ya sabes, realmente podría afectar a su negocio como bastante significativamente, ¿verdad? Y luego, si nos fijamos en el cumplimiento, por lo que el cumplimiento sólo va a aumentar. Y si nos fijamos en los reguladores de todo el mundo que están empezando a alinear sus programas de cumplimiento porque usted sabe que cuando se ejecuta una gran multinacional global puede ser muy complejo con usted sabe la diferencia en los programas de cumplimiento en todo el planeta por lo que están empezando a alinear Creo que usted sabe cuando nos fijamos en los datos hay alrededor de 63 requisitos diferentes en todo el planeta que sólo se refieren a los datos por lo que en Europa tenemos GDPR EE.UU. tiene la ley de California Canadá tiene su propia Sudáfrica tiene su propia etc y los que no los tienen todavía están desarrollando ellos, pero estamos empezando a ver puntos en común en ese enfoque. Pero el cumplimiento no va a desaparecer, sobre todo si se trabaja en un sector regulado. Y la razón por la que está ahí es porque, obviamente, los reguladores observan a las personas de su sector y no ven los comportamientos que quieren observar. Así que en realidad lo están impulsando a través de la regulación. Tú harás esto. Así es como queremos que lo enfoques. Y se vuelven muy prescriptivos con eso de cara al futuro. Ahora el cumplimiento solía ser un verdadero reto para lograr. Ya sabes, en un mundo manual, era muy difícil, ya sabes, conseguir que la lente a través de su cadena de suministro. No sólo estás tratando de evaluarlos contra tu propia política de seguridad, tienes todos estos diferentes regímenes de cumplimiento que ahora tienes que evaluarlos también. Pero honestamente, puede convertirse en un clic del botón. No quiero simplificarlo demasiado porque, ya sabes, tienes que diseñarlo bien en la plataforma y entender quién está en el ámbito y quién está fuera del ámbito. Pero es absolutamente un gamecher en términos de ritmo y y la capacidad de realmente hacer las cosas lo más rápido posible. Así que, ya sabes, el cumplimiento se convierte en una brisa. Y luego que no hay cobertura también. Absolutamente. Usted sabe, realmente muy importante. Tenemos que asegurarnos de que tenemos eso cubierto. No puedo enfatizar esto lo suficiente.
Brian: Lo he visto como un verdadero problema para las organizaciones más grandes específicamente cuando segmentaron su programa de gestión de riesgos de terceros en una base de país por país. Simplemente no están entendiendo, ya sabes, la importancia que un proveedor puede tener en su organización. E igualmente, están siendo, ya sabes, divididos y conquistados por el proveedor. Un proveedor no te va a decir que está proactivamente de todos modos que está, ya sabes, suministrando a una gran multinacional en todos sus diferentes países con diferentes precios y diferentes contratos, etc. Por lo tanto, es responsabilidad del departamento de compras tenerlo en cuenta, respaldado por el programa de gestión de riesgos de terceros, para comprender cuál podría ser su impacto en el futuro. Y, de nuevo, asegurarse de que no hay dinero fluyendo entre la empresa A y la empresa B hasta que se haya completado. Y, obviamente, hacer un seguimiento de ese tiempo a una métrica de la junta también para asegurarse de que usted realmente entiende si usted está siendo un bloqueador porque usted sabe que potencialmente podría ser su proceso podría ser usted sabe que no está optimizado usted no tiene las herramientas adecuadas y que podría ser un verdadero dolor de conseguir un proveedor a través de este programa y si es usted sabe ser proactivo sobre el reconocimiento de dónde están esos desafíos y la solución de ellos, así y luego, obviamente, asegurarse de que usted tiene el KRIS en torno a usted sabe centrarse en los niveles uno niveles dos, etc los que realmente quiere pasar el tiempo con y tiene usted realmente entiende sabe su cobertura dentro de su organización y, de nuevo, asegúrese de que no hay dinero que fluye entre la empresa A y la empresa B hasta que eso realmente se ha completado. entendido su cobertura dentro de su organización y, a continuación, usted sabe poner las diferentes lentes en él para diferentes audiencias derecho así y esto es realmente importante y una herramienta como prevalente de nuevo le permite hacer esto reconociendo que usted sabe cuando yo era el CESO de una organización y no creo que yo era demasiado de un fanático del control, pero yo quería mucho más información de lo que estaría mostrando la junta uh yo quería que la lente que podía bucear en que me mostró el detalle técnico que usted sabe que yo podría asignar a mi equipo técnico para usted sabe obtener una comprensión más profunda en. Así que hay una lente diferente que quiero ver como un líder de seguridad y que usted querrá ver como un líder de seguridad también.
Brian: Y entonces ser capaz de usted sabe situaciones modelo qué pasaría si. ¿Y si hacemos esto? ¿Y si no hiciéramos eso? ¿Y si alguien más hizo esto y nosotros no? Ser capaz de modelar escenarios y ser capaz de entrar en esa inteligencia de amenazas también y entender qué pasaría si esto le ocurriera a este proveedor. ¿Cuál es nuestro plan alternativo? ¿Tenemos un proveedor B en este espacio? Un gran ejemplo es el de los chips de silicio. Hay una gran escasez mundial en torno a los chips de silicio y las organizaciones que se centraron específicamente en el proveedor A y no tenían un plan de respaldo cuando experimentaron problemas para comenzar inmediatamente a abastecerse del proveedor B simplemente perdieron el tren porque los que lo hicieron ya tenían los chips del proveedor B. Así que ellos también estaban fuera. Así que realmente es pensar a través de usted sabe no sólo de una lente cibernética que es lo que sigo diciendo cibernética es absolutamente crítico Y, obviamente, es mi experiencia y antecedentes, pero estamos hablando de riesgo de la cadena de suministro aquí y usted sabe que es más amplio que la seguridad cibernética y la información. Así que el CISO necesita una lente. El negocio también necesita una lente. Y podemos mantener este debate, pero mi opinión personal es que el CISO no debería asumir ningún riesgo en lo que respecta a la remediación. Tenemos propietarios de negocios o usted debe tener propietarios de negocios que son responsables de la gestión de los socios dentro de su negocio. Asi que el socio, la tercera parte externa, no esta entrando en una relacion de negocios con el CISA. Están entrando en una relación comercial con una unidad de negocio o una división dentro de su organización y debería ser su responsabilidad gestionar esa organización y ese proveedor en el futuro. Tu trabajo es darles la información para hacerlo. Así que permíteles priorizar y entrar en detalles sobre si tenemos un problema con este proveedor o si quieres traer a este proveedor y también tenemos un problema con él. Preferimos que uses ese. Pero puedes presentar la información y puedes presentar los hechos y darles y capacitarles para que sean capaces, obviamente, de impulsar ese plan de resolución en el futuro.
Brian: Y de nuevo, en lugar de esa compleja hoja de cálculo que te mostré, algo como prevalente te permitirá asignar eso a diferentes usuarios. Así que no eres dueño del riesgo, ellos son dueños del riesgo, pero estás rastreando esa remediación en el futuro. También puedes obtener avisos si hay algún problema o desafío. Así que, de nuevo, muy potente desde esa perspectiva. Y luego está la junta. Y utilizo la junta y el equipo ejecutivo indistintamente aquí, pero lo que están buscando es una visión de muy alto nivel, una imagen de muy alto nivel. ¿Cuál es la imagen de riesgo consolidada? Dame el discurso de ascensor, el tercer 30.000 pies. Pero quiero ser capaz de profundizar. Si me dices que hay un problema, quiero poder entrar en esos datos porque, ya sabes, son responsables personal e individualmente en muchos sectores de la gestión eficaz del riesgo. Y si vas a esa junta y hay un problema o un desafío potencial. Tienes que darles la información, pero no pueden desplazarse a través de, ya sabes, páginas y páginas de datos, lo necesitan presentado en un plato. El análisis debe hacerse en su nombre. Y lo que realmente necesitas es ser capaz de decir, ya sabes, creo que tenemos un problema. Creo que tenemos un problema. Necesito tu apoyo. Y si obviamente usas esos lenguajes universales de la sala de juntas en torno al riesgo y las finanzas, entonces obviamente engancharás a esos miembros de la junta y conseguirás que te apoyen. eso también es realmente crítico. Entonces, ¿por qué estoy abogando por métricas significativas y KPIs en este espacio? Así que ya sabes, sólo para resumir la mosca de Scott antes de pasar a Scott porque puedo ver que hay un montón de preguntas que vienen en este proceso existe por una razón y tenemos que recordar que ya sabes, veo a tanta gente pasando por el ciclo, pero la reducción del riesgo no está ocurriendo. El proceso sigue su curso, pero el riesgo no disminuye. Así que tenemos que centrarnos en que está ahí para reducir el riesgo y gestionarlo eficazmente en el futuro. Um e igualmente aceptar el riesgo está perfectamente bien. Sabes, veo organizaciones que aceptan riesgos todo el tiempo.
Brian: Sabes um podría dar numerosos ejemplos alrededor sabes que trabajé para una gran organización que sabes invirtió fuertemente en impresoras. Estas impresoras eran del tamaño de un almacén, pero con el fin de reemplazar la consola de gestión que se basa en Windows XP Service Pack 2 que todos sabemos vulnerabilidades en el mismo. No había otra respuesta que gastar 10 millones en una nueva impresora, pero la impresora funcionaba perfectamente bien. El programa de gestión de riesgos de terceros podría decir: "Tenemos que sustituir la impresora". La empresa diría: "No voy a gastarme 10 millones en una impresora nueva. Encuentra otra forma de evitarlo". Entonces, no vamos a aceptar el riesgo en su totalidad. Vamos a poner un plan de tratamiento a su alrededor. Vamos a reducir el riesgo poniendo envolturas de seguridad alrededor de él. Pero hemos expuesto el problema. Hemos tenido una conversación informada. Ahora entendemos el riesgo y estamos llegando a un punto en el que es más manejable y podemos entenderlo. Ese es el proceso que debemos seguir. La forma de comunicar ese riesgo a la empresa también es absolutamente clave. Veo a muchas partes interesadas en el negocio que están distantes de este proceso porque no ven el valor que está aportando, y ya sabes, permanecer cerca de esas partes interesadas en el negocio, los líderes de las respectivas áreas dentro de tus propios negocios y entender realmente si esto está añadiendo valor. ¿Están obteniendo lo que necesitan de este proceso? Porque este es mi objetivo en términos de reducir el riesgo y tengo que trabajar con ustedes para poder hacerlo de manera efectiva. Entonces, ¿estamos dando en el blanco? ¿Está obteniendo lo que necesita? ¿Qué más necesita? También hay que adaptarse a esas necesidades y tenerlas muy en cuenta. Así que no te quedes en tu silo de seguridad de marfil. Rompe esos muros y colabora con la empresa para asegurarte de que ofreces un servicio de calidad, porque si no, buscarán esa información en otra parte. Y como líder de seguridad, no quieres eso.
Brian: Si usted piensa de nuevo, usted sabe, si usted está buscando en mi hoja de cálculo Excel ejemplo, y pensaste "eso es lo que hago en este momento", no le estoy dando claridad al negocio, ellos tienen que hacer el análisis en mi nombre cuando lo presento, entonces necesitamos entender cómo eso puede cambiar, necesitamos entender cómo adoptarlo, así que probablemente estás quemando tus recursos finitos desde la perspectiva de los recursos humanos dentro del equipo de seguridad. recursos desde una perspectiva de recursos humanos dentro del equipo de seguridad, así que entender lo que puede hacer madurar su programa de gestión de riesgos de terceros lejos de hojas de cálculo y bases de datos y mirar a las plataformas innovadoras que usted sabe el que hemos hecho un montón de innovación en este espacio porque reconocemos que es un problema. Reconocemos que hay desafíos. No podemos poner la amenaza a través de una hoja de cálculo Excel. No puede ser en tiempo real por su propia naturaleza. Necesitamos un enfoque del riesgo basado en la comunidad, de modo que podamos acceder a los cuestionarios, a la información sobre amenazas y a los planteamientos de miles de clientes de ese proveedor. Podemos ver toda esa información. No sólo nos basamos en nuestro conjunto de datos. Así que hay mucho poder en eso. La inteligencia colectiva que puedes obtener de plataformas como esta y recuerda que una de las cosas que siempre he dicho a mis equipos de seguridad es que no sois responsables de este proceso de principio a fin, necesitáis trabajar con el negocio en general. He hecho muchos seminarios web para prevalecer y una de las otras que sugiero es cómo conseguir que la relación funcione realmente con los equipos de compras porque nuestros objetivos están absolutamente alineados pero necesitamos esa claridad de comunicación en el negocio, necesitamos esas métricas significativas para que podamos informar a las partes interesadas de lo que está pasando. Es un verdadero reto obtener todos esos datos y contextualizarlos, pero el uso de herramientas como Prevalent será de gran ayuda. Así pues, voy a ceder la palabra a Scott, que nos hablará un poco de Prevalent y luego pasaremos a las preguntas y respuestas. Scott, te cedo la palabra.
Muchas gracias, Brian. Te lo agradezco. Um, ya sabes, todo lo que Brian habló hoy era todo acerca de al final del día la maduración de su enfoque existente a la forma de entender, organizar y comunicar las métricas más importantes, ya sabes, hasta la escalera, si se quiere, o en la cadena en la organización. Esta es la razón principal por la que hemos diseñado nuestra solución de la forma en que lo hemos hecho: para llevarle de un punto A a un punto cualquiera, ya sea un punto Z, un punto B o lo que sea. Y ofrecemos nuestra solución de tres maneras diferentes. La primera es ayudarle a obtener un control rápido de las métricas de riesgo más importantes que le importan mediante la comprobación de una evaluación de riesgos completada, una evaluación de riesgos ya completada de nuestra biblioteca, nuestra red de inteligencia global. Ahora, esas evaluaciones se basan en tipos de evaluación estándar de la industria y pueden ayudarle a descargar y digerir esa información, cargarla en su instancia local, por lo que ya tiene un registro de riesgos completo y la capacidad de asignar los riesgos para ese proveedor al marco de la industria o marco de seguridad que es importante para usted. Así, usted puede ayudar a priorizar y luego calcular los riesgos. Ahora, eso incluye riesgos inherentes, ¿verdad? Por lo tanto, los riesgos que el proveedor trae a una organización sin el tratamiento de cualquier control, sus controles, ¿verdad? Los controles que usted requiere uh específicos para su organización. Uh y luego puede ayudarle a cuantificar esos riesgos en lo que llamamos un mapa de calor basado en la probabilidad de ocurrencia. El segundo mecanismo que empleamos para ayudarle a controlar el riesgo es que nosotros lo hagamos por usted. Tenemos tres centros de operaciones de riesgo diferentes, profesionales de operaciones de riesgo ubicados en los estados, en Canadá y en el Reino Unido, que le ayudarán a diseñar la evaluación adecuada que es importante que recopile de sus proveedores, recopile esa información, la analice y la presente de tal forma que pueda informar fácilmente a la organización sobre quiénes son sus proveedores más arriesgados y en qué áreas deben aplicarse los controles, para todo, desde la incorporación hasta la baja, en ese ciclo de vida, o si desea utilizar la solución usted mismo, puede hacerlo. La plataforma de gestión de riesgos de terceros es nuestra solución principal que le permite incorporar proveedores, identificar riesgos, crear el contenido adecuado para recopilar esos riesgos una vez realizada la evaluación de riesgos inherente y, a continuación, organizar, analizar y remediar los riesgos con recomendaciones integradas en la plataforma. Y todas estas funciones se ofrecen con un hilo conductor coherente, que son los riesgos cibernéticos y financieros continuos de los proveedores, porque recopilar riesgos una vez al año no va a servir de nada a nadie, porque en cuanto se realiza la evaluación de riesgos, algo ocurre, así que por eso incluimos un elemento continuo en tiempo real para la gestión de riesgos, junto con la recopilación y el análisis de la información sobre riesgos, siguiente diapositiva , Brian.
Scott: Um y de nuevo como he mencionado nuestro objetivo es ayudarle a llegar desde el punto A al punto lo que uh y lo hacemos tenemos un enfoque muy prescriptivo para ayudarle a llegar allí. Todo, desde um ya sabes, digamos que estás empezando en un lugar donde ni siquiera tienes todos tus proveedores juntos en un solo lugar, y mucho menos saber qué métricas para informar. Podemos ayudarle a incorporar y puntuar programáticamente a esos proveedores para ayudarle a priorizar qué tipo de gestión de riesgos debe hacerse con ellos. Usted sabe, lo siguiente es, usted sabe, de nuevo, llamando de nuevo a lo que Brian dijo hace unos minutos, usted sabe, no golpear demasiado duro en Microsoft Excel aquí. Sé que todos lo usamos en alguna capacidad, pero si usted está listo para salir de la cárcel de hoja de cálculo. Podemos ayudarle a automatizar ese proceso, ya sabes, en nuestra plataforma para crear el contenido adecuado, eh, enviar ese contenido a su a sus proveedores, eh, y luego analizar de forma automática en la plataforma y no tener que preocuparse de cambiar, eh, hojas de cálculo de ida y vuelta. Hemos mencionado la validación de los resultados de la evaluación con la supervisión cibernética continua. Intel es el siguiente paso en el proceso. Le ayuda a tomar decisiones más inteligentes manteniendo esos datos frescos, actuales y relevantes. Uh, de modo que usted sabe cuando usted está presentando información sobre los riesgos clave, uh usted sabe o incluso KPIs uh que esos datos son uh es actual y que le da la capacidad de solucionar esos problemas con la orientación de remediación incorporada y las mejores prácticas en la plataforma y luego ev uh finalmente tipo de proactiva y continuamente evaluando usted sabe esos riesgos de forma continua. A medida que su programa madura, se vuelve menos reactivo y más proactivo. Tu visibilidad aumenta, tu eficiencia aumenta si adoptas el enfoque correcto para llegar allí. Siguiente diapositiva, por favor, Brian.
Scott: Um, ya sabes, lo que nos diferencia es um, ya sabes, cómo recogemos la información y todas las diferentes fuentes de las que la recogemos. Este estallido, por así decirlo, es solo una muestra de las distintas fuentes de datos que utilizamos para introducir información en el sistema y ayudarle a comprender cuáles son sus mayores riesgos y cómo cuantificarlos y comunicarlos. Todo, desde la comunidad de proveedores uh a crowdsourcing a fuentes privadas que licenciamos información de monitoreo regulatorio que mantenemos actualizado en el sistema, asociaciones de la industria, integraciones a sistemas que probablemente ya esté usando, evaluaciones completadas en nuestro laboratorio o laboratorio, nuestra biblioteca uh y uh uh y finalmente fuentes públicas como la información OSENT que también recopilamos. Así que toda esta información que recopilamos para usted para añadir contexto, sabor y claridad en su um uh usted sabe uh evaluación que usted está enviando para que cuando usted hace su presentación de informes, cuando usted está definiendo su KISS y KPI, tienen no sólo la información, pero el contexto detrás de la información. Ese es nuestro enfoque. Volvemos a ti.
Brian: Gracias Scott. Así que ahora estamos en el aspecto de preguntas y respuestas. Así que voy a creo que la mano a Melissa y Amanda sólo para saber enviarnos todos ustedes han estado poniendo en sus preguntas, pero creo que hay una hay una encuesta que viene en primer lugar chicos derecho?
Sí, acabamos de lanzar nuestra segunda y última encuesta. Um sólo estamos curiosos usted sabe Si usted está buscando para establecer o aumentar un programa de riesgo de terceros dentro de un año, por favor sea honesto. Um porque hacemos un seguimiento. Como dije antes, seremos yo, Amanda, Null, um Landon. Así que, quiero decir, es uno de nosotros. Definitivamente haremos nuestra debida diligencia. Um, pero vamos a seguir adelante y atacar un poco de este Q & A. Está muy ocupado. Um este podría ser para Scott, pero voy a dejar que ustedes decidan. La primera pregunta es, ¿la plataforma prevalente tiene Intel en grandes empresas como Microsoft?
Por supuesto que sí. Tenemos dos fuentes complementarias de información sobre grandes empresas como Microsoft. La primera es una evaluación completa que se les ha hecho. Digamos que una evaluación estándar de recopilación de información. Tal vez sea un informe SOCK 2. Y luego aumentamos eso con el monitoreo continuo de seguridad cibernética, negocios, finanzas, reputación e información relacionada con la violación de datos. para llenar el perfil del vendedor y agregar información adicional a la evaluación completa. Así que, sí, lo hacemos.
Entendido. De acuerdo. Siguiente pregunta. Siguiente pregunta. Um, desde su experiencia, ¿cuál sería la mejor manera de calcular y comunicar la exposición al riesgo anual global desde una perspectiva de gestión de riesgos de terceros?
Brian: Wow. Ya sabes, esa es una de las cosas más difíciles de hacer um, ya sabes, colectivamente. Um, la forma en que personalmente siempre he abordado es en los niveles. Así que, ya sabes, mirando, ya sabes, un nivel uno, nivel dos, nivel tres proveedores y tal vez bajar al nivel cuatro. Uh, porque si se mezcla el nivel cuatro y el nivel uno juntos, por ejemplo, entonces, ya sabes, sólo confunde la imagen. Por lo tanto, es realmente centrarse, ya sabes, en los proveedores que son absolutamente críticos para ti o tus clientes o el éxito de tu negocio. Tal vez producen cosas en su nombre. Y en términos de examinar la eficacia del programa, se trata de, ya sabes, ¿por dónde empezaste? ¿Qué se propuso lograr en términos de reducción de riesgos en esos proveedores? Y luego, ¿qué se ha logrado al final del año? Pero se trata de un proceso iterativo. Yo no lo comunicaría una vez al año. Hablaría de ello todos los meses porque, según mi experiencia, el equipo ejecutivo quiere apoyar la seguridad y el aprovisionamiento con estos retos, y se trata de que estamos trabajando con este proveedor, pero no están cumpliendo con esto o aquello, etcétera. Y sobre mover ese dial constantemente. Así que si quieres hacerlo anualmente, asegúrate de que lo haces con un enfoque escalonado, pero al menos divídelo en ciclos de 12 meses para que la gente no se sorprenda al final del año. Reconocen lo que estás diciendo porque han sido parte de la conversación durante todo el año. Sí, claro.
Perfecto. Gracias, gracias. De nada. Siguiente pregunta. ¿La información sobre amenazas de proveedores está automatizada o sólo ofrece campos para que una organización realice su propio análisis del sistema operativo de sus proveedores? Podría ser para Scott.
Sí. Ofrecemos nuestra propia monitorización continua nativa, ¿verdad? Incorporamos fuentes cibernéticas. Hemos construido nuestras propias fuentes cibernéticas para recopilar información e introducirla en la plataforma. Uh y luego tenemos uh negocio uh información de reputación que también consumimos de fuentes externas, así como financiera um uh información uh también. Así que es una combinación de feeds que construimos información uh uh usted sabe que construimos e información que recogemos uh también, pero también tenemos una API abierta y un mercado conector para que pueda construir una conexión desde la plataforma prevalente a cualquier otro sistema que está utilizando actualmente para eso.
Genial. Gracias, Scott.
Melissa: Muy bien, allá vamos. El proceso de incorporación de proveedores es a menudo un misterio en muchas organizaciones en términos de entradas y resultados dependiendo de los propietarios del proceso. ¿Cuáles son las mejores prácticas de incorporación de proveedores para garantizar la solidez del proceso?
Brian: Sí. Creo que, de nuevo, es un enfoque escalonado. Siempre uso un ejemplo: si tienes a alguien que suministra ingredientes para la cocina o alguien que gestiona un centro de datos, el proceso de incorporación sería ligeramente diferente. Creo que todas las preguntas que le harías al proveedor de la cocina se incluirían en el proveedor del centro de datos, pero recibirían muchas más. Um, donde veo un proceso complejo en el lugar es donde el mismo proceso de embarque se utiliza para ambos. Uh, y ahí es donde, usted sabe, usted está pidiendo, usted sabe, alguien que suministra ingredientes de cocina, si tienen privacidad, CCTV, uh usted sabe, 24 horas manuarding, um puertas de velocidad para entrar y salir, etc. Es importante que se lo preguntes a tu proveedor. Así que, de nuevo, adopta ese enfoque escalonado. Creo que en el caso de la incorporación, lo importante es conocer al proveedor, saber qué políticas y procedimientos tiene en vigor, quién dirige la organización, cuál es su situación financiera. Es posible que no sepas nada de ellos. Necesitas una rápida captura de datos. Y ahí es donde dije, ya sabes, si estás usando Excel, estás empezando desde una hoja de papel en blanco. Eso es difícil de hacer. Si estás usando algo como Prevalent, normalmente puedes encontrar una gran cantidad de información sobre ese proveedor. Así que la mejor práctica es, ya sabes, no preguntarles todo como parte del proceso de incorporación. Pregúntales lo que es fundamental para seguir adelante y luego, obviamente, puedes averiguar el resto como parte de la relación en el futuro. Pero, en realidad, aprovecha un proceso en el que puedas obtener esa información lo antes posible para no convertirte en un fondo.
Muy bien, perfecto. Veamos. Tengo otra. Para una empresa que tiene que gestionar presupuestos ajustados, ¿cuál es la mejor manera de equilibrar la necesidad de elegir proveedores más pequeños que respondan a una necesidad empresarial y se ajusten a su presupuesto con la reducción del riesgo, que es más probable que se produzca con proveedores más grandes y caros?
Sí. Y esto es absolutamente necesario, ¿verdad? Y he visto pequeños proveedores que potencialmente podrían ir a la quiebra por pasar por una gran multinacional, un proceso de gestión de riesgos de terceros, porque ya sabes, la inversión de tiempo en su nombre para responder a todas las preguntas y poner todos los datos, etc., puede ser un verdadero desafío y en realidad puede sofocar la innovación o ahogar a las organizaciones más pequeñas que se acercan a ti por tener un proceso de dos propietarios. Así que creo que todos tenemos que reconocer que incluso las grandes multinacionales quieren trabajar con pequeñas empresas innovadoras que pueden ser un gran diferenciador para ellos. Así que tenemos que ser flexibles en nuestro enfoque y en nuestro proceso y, de nuevo, se trata de rasgar no sólo en usted sabe criticidad a la organización, pero el tamaño y la escala de esa organización también. Si usted está trabajando con una pequeña startup de cuatro personas que usted sabe que sólo tiene que ser sensible en torno a las preguntas que usted está usted va a pedirles y usted debe tener cierta fluidez en su programa en torno al tamaño y la escala de la organización, porque muchas de las cosas que usted esperaría estar presente en una gran organización no estará presente en una pequeña startup o o escala, pero eso no significa que usted no quiere trabajar con ellos. Um, y de nuevo, tienes toda la razón. Usted sabe, usted puede quemar una gran cantidad de recursos internos tratando de capturar lo que es el riesgo presentado de una gran organización, pero ahí es donde cosas como calcetín dos, calcetín tres, calcetín uno informes realmente entran en juego. En definitiva, lo que se busca es la seguridad de poder gestionar el riesgo. Ya sea que tenga que ser hecho personalmente e individualmente por su equipo o si usted puede aprovechar usted sabe inteligencia en prevalente o usted puede aprovechar los datos que se encuentran en los informes de calcetín dos y cosas por el estilo que se convierte en muy útil también. Así que...
Gracias. Muy bien, seguir adelante aquí. Realmente estamos avanzando en todas estas preguntas. ¿Hasta qué punto se integran los matices culturales en el cálculo de la evaluación de riesgos para incluir el impacto de una organización en las costumbres o prácticas establecidas dentro de una comunidad en la que opera?
Brian: Y lo que estableció la moral. ¿Crees que eso significa o?
Creo que sí. Sí. Bueno, puedes asumirlo.
Sí. Creo que la cultura es una lente muy interesante que siempre tenemos que tener en cuenta. Cosas como la lucha contra el soborno existen debido a la cultura que existe en algunos países donde algunos de nosotros podemos operar. Era bastante normal que se pasara un sobre por encima de la mesa cuando se cerraba un trato comercial. Así que tenemos que entender la cultura de nuestra organización y cómo esperamos que se comporte nuestra cadena de suministro. Uh y usted sabe que incluso podría ser organizaciones que operan en países donde usted sabe las mejores prácticas no se observa y usted sabe que podría ser una aceptación cultural para ellos, pero usted sabe que estamos bajo la regulación para garantizar que eso no ocurra dentro de nuestra con dentro de nuestra cadena de suministro. Así que tenemos que ser bastante fuertes y gobernar esos aspectos en términos de lucha contra el blanqueo de dinero y el soborno, para asegurarnos de que están cubiertos. Tenemos que entender que existen diferencias culturales y ser sensibles a ellas. Pero también tenemos que entender cuál es la cultura de nuestra empresa. ¿Cómo esperamos que nos comportemos? ¿Cómo tenemos que rendir cuentas? Y eso es, en última instancia, los requisitos que se imponen a la cadena de suministro y luego se establecen los controles adecuados para poder medirlos. Por eso decía que no se trata sólo de ciberriesgos, sino de riesgos, y que la propia cultura puede suponer un riesgo. Así que seamos conscientes de ello. Perfecto. Muy bien, aquí vamos. ¿Cómo se pone un valor monetario a la puntuación global o la calificación de un proveedor de terceros en particular?
Lo siento, chicos. ¿Hay algo más?
Esta podría ser para ti o para Scott. No estoy segura de quién puede responder a esta un poco mejor. Adelante.
Brian: ¿Cómo se pone un valor monetario en la puntuación global de un determinado proveedor externo? Siempre es difícil. Es como, ya sabes, ¿cómo evaluar el impacto monetario de un incidente de seguridad? que acaba de ocurrir en todos esos aspectos. Así que, ya sabes, Scott, puedes responder después de mí, pero yo digo, ya sabes, podría ser en gran medida subjetiva en torno a, ya sabes, tienes que entender tu negocio. Por ejemplo, yo trabajo mucho en la fabricación. Ellos entienden cuántas unidades producen por día, por hora, por minuto, etc que fluyen a través de su fábrica. Si tienen un incidente cibernético, ya sabes, de un proveedor y su fábrica se cierra, pueden cuantificar muy fácilmente en términos de pérdida de producto que han hecho, cuál va a ser el impacto financiero en esa organización. Todavía hay una dinámica diferente en torno a cuál es el coste de restaurar el negocio, porque ¿necesitas nuevos ordenadores portátiles, nuevos servidores? ¿Necesitas pagar a la gente mientras está de baja? Hay muchos factores diferentes que tienes que considerar. Y no estoy diciendo que usted puede hacer eso para cada proveedor dentro de su huella. Pero de nuevo, es, ya sabes, ¿cuáles de nuestros proveedores críticos vamos a tener que mapear eso? Y mi objetivo es siempre quién puede darnos un problema, quién puede impedirnos servir a nuestros clientes, ya sea física o lógicamente, y qué podemos hacer para mitigarlo en el futuro. Y ya sabes, siempre va a haber un rango. Por lo tanto, tratar de hacer ese rango lo más pequeño posible. Pero, ya sabes, no vayas con un número. Siempre va a ser un rango.
Brian: Scott, ¿tienes algo que añadir sobre eso o?
¿Scottva a tomar un café? No.
Brian: Muy bien, eso está bien.
Lo siento, soy yo hablando a mi teléfono silenciado. Sigo con mi cerebro de vacaciones. Volví de vacaciones ayer por la tarde. Um, honestamente, es tan individualizado para cada empresa. Quiero decir que hay un marco general para usted sabe cómo lo que la priorización es que usted sabe basado en la probabilidad y el impacto lo que sea y la metodología de puntuación por empresa que usted sabe que hay tan poca estandarización sobre la base de cómo impacta que realmente no lo haría no me gustaría añadir realmente nada diferente de lo que uh que Brian dijo.
Genial. Bien, tengo tiempo para una pregunta más. Según tu experiencia, ¿hasta qué punto la recopilación de datos en un formato más digerible ha ayudado a una organización a negociar sus costes de seguro para incluir la cobertura de ciberseguridad?
Brian: Sí, ayuda mucho um porque puede demostrar que has entendido ese riesgo y lo tienes bajo una gestión eficaz. Saber que el seguro cibernético es cada vez más difícil de conseguir. Su valor se está mitigando también. Ya sabes, lo entiendo, ya sabes, es absolutamente de moda tenerlo y ya sabes, es la mejor práctica para tenerlo en su lugar, pero siempre hay salir de salir de la cárcel libre de estas en estas cláusulas. es correcto. Así que si usted no ha hecho las cosas bien, usted puede tener un seguro cibernético, pero cuando se trata de cobrar, si vienen y dicen: "Bueno, usted no cuantificar y gestionar eficazmente el riesgo en su cadena de suministro, entonces usted no está recibiendo ningún dinero, ¿verdad? O no has aplicado eficazmente tu gestión de vulnerabilidades o tus parches". Es como si te roban en casa, pero te has dejado la puerta principal o la trasera abierta. No van a estar muy contentos contigo. Así que tener esa visión recopilada por adelantado y en realidad mostrar la, ya sabes, si usted está si usted está utilizando un corredor o si usted va directamente a un gran seguro en realidad será un requisito que usted ha entendido este riesgo antes de que te dan el seguro. Pero demostrar que has sido proactivo, que estás gestionando eficazmente ese proceso, te llevará a una prima más barata, sabes, cuanta más capacidad tengas y seas capaz de demostrar que te tomas la seguridad en serio en tu organización, te llevará a primas reducidas para tu organización en el futuro. Así que usted sabe que tiene repercusiones en ese lado también.
Genial. Bueno, eso es todo el tiempo que tenemos por hoy. Así que, realmente espero que hayan disfrutado de este seminario web proporcionado por Brian. Um, estoy segura de que les dimos mucho en qué pensar y los estaremos viendo pronto en sus bandejas de entrada. Cuídense. Adios.
Gracias a todos.
©2026 Mitratech, Inc. All rights reserved.
©2026 Mitratech, Inc. All rights reserved.