Descripción
Casi la mitad de las organizaciones que participaron en el Estudio de gestión de riesgos de terceros 2023 de Prevalent afirmaron utilizar procesos manuales para gestionar los riesgos. Y, con tanta atención dedicada a los procesos manuales, puede ser un reto mantenerse al día con la comunicación de los proveedores - entonces, ¿cómo saber si sus proveedores están realmente completando su evaluación de riesgos?
Bryan Littlefair, ex CISO global de Vodafone Group y Aviva, comparte sus consejos y mejores prácticas sobre cómo conseguir que sus terceros participen en las evaluaciones de riesgos de proveedores.
Únase a Bryan en este seminario web a la carta para aprender:
- Cómo comunicarse con los vendedores para obtener un mayor índice de respuesta
- Cuándo esperar respuestas realistas
- Qué hacer cuando no se tiene el contacto adecuado o no se obtiene respuesta
- Quién puede ayudarle a buscar respuestas y analizar su riesgo
- Dónde obtener información sobre los riesgos de los proveedores sin esperar una respuesta
La comunicación receptiva con los proveedores es imprescindible para cualquier programa de gestión de riesgos laborales. Regístrese en este seminario web para obtener consejos prácticos sobre cómo implicar a sus proveedores en las evaluaciones de riesgos.
Altavoces
Bryan Littlefair
ex CISO mundial de Vodafone Group y Aviva
Transcripción
Ashley: Mi nombre es Ashley y trabajo en desarrollo de negocio aquí en Prevalent. Y estamos con un invitado muy especial, Brian Littlefair, ex CISO de Vodafone Group. Hola Brian.
Brian Littlefair: Hola, ¿cómo están todos?
Y nuestro vicepresidente de marketing de producto, Scott Lang. ¿Cómo te va, Scott?
Hola, Ashley.
Ashley: Hoy, Brian va a discutir cómo conseguir que sus terceros participen en sus evaluaciones de riesgos de proveedores. Así que, Brian, voy a seguir adelante y pasar las cosas a usted.
Brian Littlefair: Grandioso. Gracias, Ashley. Y hola a todos. Es genial ser capaz de hablar con, ya sabes, los clientes potenciales y actuales prevalentes de nuevo y, ya sabes, los que están aquí sólo para escuchar el tema. Um, así que creo que es realmente interesante hoy. Ya sabes, ¿cómo de receptivos son tus proveedores? Um, es un desafío particular que creo que muchos de nosotros nos enfrentamos, ya sabes, dependiendo de dónde estamos en el viaje de la madurez de nuestro individuo TPRM, ya sabes, iniciativas y, ya sabes, reconozco que habrá gente en la llamada que están en el comienzo de ese viaje y no va a haber gente que son muy maduros. Así que he intentado ser bastante holístico con los mensajes individuales. Voy a pedir disculpas. Tengo un poco de una infección en el pecho, pero estoy seguro de que vamos a estar bien para superarlo. Pero si la voz se quiebra de vez en cuando, es por eso. Así que, sin mucho preámbulo, ¿qué vamos a cubrir hoy? Así que, un poco de puesta en escena de mí mismo. Um, así que ¿dónde estamos y lo que lo que estamos hablando y ya sabes, lo que es un poco del contexto en torno a lo que estamos tratando de lograr. Así que, ya sabes, todas las organizaciones o, ciertamente, todas las organizaciones que creo que toman en serio la gestión eficaz del riesgo y la protección de los datos de los clientes, de una forma u otra, están impulsando un programa de gestión de riesgos de terceros. Y, obviamente, eso va a parecer y va a sentirse de manera diferente dependiendo del sector en el que estés, la geografía en la que te encuentres y cómo interactúes con tus clientes. Pero a pesar de todo, todos estamos tratando de hacer lo correcto. Y obviamente el nivel de presupuesto y recursos que tenemos depende de lo eficaces que podamos ser. Creo que tenemos que ver la amenaza y por qué nos estamos centrando en esta iniciativa. Creo que independientemente del lugar del mundo en el que nos encontremos, las agencias gubernamentales están asesorando a sus ciudadanos y a las organizaciones que operan en sus jurisdicciones. Esta es una de las mayores amenazas estratégicas a las que nos enfrentamos. Um sólo tenemos que mirar esencialmente, ya sabes, los muchos miles de proveedores que las organizaciones individuales pueden tener, el nivel de interacción que potencialmente tienen en nuestras organizaciones.
Brian Littlefair: Ya sea que administren nuestros centros de datos o que tengan acceso a nuestras redes o a nuestras aplicaciones, hay un nivel de interacción e integración que necesitamos con nuestra base de proveedores para que las grandes y medianas organizaciones puedan ofrecer nuestros productos y servicios a nuestros clientes. Así que tenemos que tener en cuenta y tomarnos en serio esa amenaza y tenemos que ser capaces de evaluar y valorar la huella de nuestros proveedores y entender el riesgo que suponen para nosotros. Luego tenemos que entender, ya sabes, el viaje de la madurez. Ya me he referido a eso. Entonces, ¿dónde estamos? Y veo, ya sabes, numerosas organizaciones diferentes. Yo mismo dirijo un negocio de consultoría. Hago mucho trabajo con capital privado y, ya sabes, trabajo con numerosos sectores diferentes en todo el mundo. Por lo tanto, llego a ver todos los diferentes sabores y enfoques de las organizaciones cuando están cuando están mirando a la gestión de riesgos de terceros. Y algunos honestamente lo toman extremadamente en serio. Reconocen el riesgo, pero también la oportunidad y el valor que puede aportar a la organización. Algunos, es seguro decirlo, reconocen que tienen que hacerlo por razones de cumplimiento. Lo ven como un ejercicio de marcar casillas. En realidad no van a aportar valor a la organización. Pero, ya sabes, creo que la forma en que la regulación y el cumplimiento va, estamos empezando a ver esas casillas tictac alejarse. Y las organizaciones se lo toman en serio y avanzan. Y luego tenemos el reto de dónde estás en tu viaje de herramientas. Y voy a hablar un poco, ya sabes, varias veces sobre esto hoy. Uh usted sabe, yo debería declarar que, obviamente, soy un consultor independiente, pero he uh ciertamente cuando yo estaba corriendo organizaciones de seguridad en todo el mundo, yo era, ya sabes, un usuario muy activo del conjunto de herramientas prevalentes. Así que estoy hablando desde la experiencia, ya sabes, estoy hablando de alguien que ha utilizado Excel para gestionar el riesgo de terceros antes porque es, ya sabes, que siempre está disponible para mí en ese momento.
Brian Littlefair: Y luego estoy hablando desde el hecho de que he, ya sabes, adoptado y abrazado, ya sabes, herramientas específicas que fueron diseñadas y creadas para impulsar programas maduros de TPRM. Así que todos estamos de acuerdo, o esperemos estarlo, en que evaluar el riesgo es esencial para avanzar. Así que, espera dos segundos. Mi ordenador está siendo un poco lento en el avance de las diapositivas, así que espero que no se salte demasiadas. Así que, ya sabes, prepárate para el éxito. Por lo tanto, si usted es una gran organización multinacional, ya sabes, tener tres 4.000 proveedores no es inaudito. Así que, ya sabes, e incluso si estás en una organización de rango medio, ya sabes, tener 100, 150, 200 proveedores, sigue siendo un montón de proveedores. Así que, ya sabes, ¿por dónde empezamos? ¿Y cómo te preparas para el éxito? Y como he dicho, viendo un montón de diferentes organizaciones y un montón de diferentes niveles de madurez, ya sabes, diferentes enfoques, diferentes enfoques. Es realmente importante que entendamos qué aspecto tiene lo bueno y cuáles son los componentes que juntos hacen que un programa tenga éxito y que se puedan obtener los resultados que realmente se buscan en términos de ser capaz de evaluar y gestionar eficazmente el riesgo. ¿Qué aspecto tienen? El número uno es siempre el presupuesto. No se puede hacer mucho sin presupuesto. Necesitas el presupuesto para traer tus recursos. Necesitas el presupuesto para poder adquirir herramientas. Así que a menudo tienes que asegurarte de que estás evaluando la cantidad de riesgo que tienes bajo gestión dentro de esa función. Uh y es lo mismo cuando se trata de recursos. Um y tristemente ciertamente en las organizaciones que he visto uh he visto todo el espectro de nuevo he visto usted sabe dos o tres personas que tienen la responsabilidad de la gestión de varios miles de proveedores utilizando una hoja de cálculo Excel y eso no es realmente sostenible. Pero también he visto organizaciones que han optimizado el proceso y utilizan una herramienta como la que prevalece. Y cuando tienes un proceso global totalmente optimizado, en realidad no necesitas mucha más gente para ser capaz de ejecutar ese proceso global porque, ya sabes, has incorporado todas las eficiencias.
Brian Littlefair: Pero a pesar de todo, necesitamos el nivel adecuado de presupuesto. Necesitamos el nivel adecuado de recursos y necesitamos la plataforma adecuada para poder, ya sabes, interactuar y enviar mensajes y almacenar todas las respuestas de nuestros proveedores en el futuro. Por lo tanto, son realmente el dado. Así que, uh, absolutamente, son las bases que necesitamos. necesitamos. Teing es muy importante, pero tengo una diapositiva sobre eso más adelante. Así que voy a saltarme eso porque es algo en lo que nos vamos a centrar en una diapositiva posterior. Y luego llegamos a las comunicaciones, ¿verdad? La razón por la que todos estamos aquí hoy. Por lo tanto, tenemos que tener una comunicación eficaz. Ya sabes, podemos tener el mejor proceso. Uh podemos tener las mejores plataformas en el mundo, pero en última instancia, si no somos un comunicador eficaz y la gente no está volviendo nuestras comunicaciones, tenemos un circuito de retroalimentación roto, uh entonces no vamos a hacer progresos en el futuro. Así que tenemos que ver cuáles son nuestras prioridades. Así que queremos evaluar el riesgo a través de nuestra cadena de suministro. Eso está bastante claro que es nuestra prioridad número uno o, ciertamente, para las personas que trabajan en la función de gestión de riesgos de terceros e igualmente las personas en el cumplimiento legal, protección de datos, etc. Todos compartimos el objetivo común de mantener la continuidad del negocio. Queremos ser capaces de mitigar los desastres. Queremos asegurarnos de que cumplimos nuestros requisitos legales y reglamentarios y de que hacemos lo correcto por nuestros clientes. Hay objetivos comunes, pero tenemos que afrontar el hecho de que puede que no sea una prioridad para todos nuestros proveedores. Uh, ya sabes, estamos estamos diciendo absolutamente necesitamos que rellene estos cuestionarios. Puede que reciban muchos, y hablaremos de ello más adelante.
Brian Littlefair: Por lo tanto, podríamos tener este desequilibrio de, ya sabes, aquí está nuestra prioridad, pero las personas que lo reciben no ven una prioridad y luego terminamos en esta situación en la que hemos enviado, ya sabes, tal vez, ya sabes, 500.000 20.000 cuestionarios y estamos a la espera de esa respuesta para que podamos ponerlos a través de nuestras plataformas de análisis o si usted no está en una buena situación, usted tiene que recibir un montón de archivos de Excel, entonces, obviamente, usted tiene que ir a través de, ya sabes, los analistas y y la clasificación de toda esa información que entra. Pero independientemente de ello, tenemos que restablecer de alguna manera ese desequilibrio y asegurarnos de que podemos, ya sabes, dar prioridad a las comunicaciones que nos llegan de nuestros proveedores. Y fundamentalmente, eso es lo que vamos a hablar hoy. De acuerdo. Entonces, avanzando hacia adelante. Entonces, ¿cómo nos comunicamos con nuestros proveedores? Tenemos que reconocer que la comunicación es una calle de doble sentido. Así que, uh para los techies por encima de ti, ya sabes, entre ustedes, lo siento, nosotros podríamos estar en UDP, ¿verdad? Entonces, estamos transmitiendo, pero no hay retroalimentación. No sabemos si nuestra comunicación está cayendo en oídos sordos o nuestra comunicación está siendo realmente recibida a menos que sean súper receptivos y digan: "Hey, recogí tu mensaje". Ya sea a través del portal o a través de las plataformas de correo electrónico, tenemos esto en la mano va a cambiar eso para usted. Honestamente, esa es una respuesta bastante rara, ¿verdad? Por lo tanto, uh es la comprensión de cómo podemos madurar nuestro enfoque uh utilizando obviamente algunas de las herramientas que estamos discutiendo hoy para que podamos reconocer cuando nuestra respuesta ha sido recogida. Podemos entender el progreso de uh de ese cuestionario que se llena. Por lo tanto, podemos ver si es, ya sabes, ha sido recogido en absoluto, si es 5, 10, 15, 20% completo. Y eso no se puede hacer con el correo electrónico y Excel. Pero, pero, obviamente, que es perfectamente posible y posible con usted sabe algunas de las plataformas TPRM que están ahí fuera hoy. Así que vamos a hablar un poco sobre taring y y cómo vas a tee sus proveedores y usted sabe por qué es tearing importante para las comunicaciones.
Brian Littlefair: Um usted sabe que he corrido algunas muy grandes empresas y he corrido algunas muy pequeñas empresas de infraestructura nacional crítica y, independientemente de que no importa. No puedes pasar la misma cantidad de tiempo que con cada uno de los suministros que tienes. Tienes que priorizar de alguna manera y entender dónde vas a centrar tu tiempo personal, pero también el tiempo de tu equipo de TPRM y el tiempo de tus funciones de adquisición. Así es como clasificamos a nuestros proveedores, normalmente en uno, dos, uno, dos, tres, y luego entendemos dentro de ese primer nivel dónde vamos a centrar nuestro tiempo y atención, y ese enfoque se centra en cómo desarrollamos las relaciones. ¿Cómo movemos esa relación de un proveedor a una asociación estratégica o una relación estratégica, pero igualmente no podemos hacer eso con todos nuestros proveedores de nivel uno por igual. Uh, si tenemos, ya sabes, 100 150, es simplemente poco realista. Por lo tanto, cada organización va a tener un número crítico de proveedores que uh juntos construyen, ya sabes, la forma en que efectivamente entregan productos y servicios a sus proveedores uh así que lo siento, a sus clientes a nivel mundial. Una vez que los hemos identificado, podemos entender que son las personas con las que tenemos que pasar la mayor parte de nuestro tiempo para asegurarnos de que el riesgo que presentan, si se materializa, no afecta al servicio o a los productos que ofrecemos a nuestros clientes. Por lo tanto, eso es en última instancia lo que tenemos que hacer desde la perspectiva de la maternidad. Voy a entrar un poco en lo que algunas de esas relaciones se parecen y lo que algunas de las tácticas que podemos hacer para avanzar en eso. Por lo tanto, una estrategia de comunicación es muy importante también. Uh, usted sabe, y ciertamente lo que no estoy defendiendo es si usted tiene proveedores en el nivel dos y tres, que usted tendrá, usted tendrá más suministros en el nivel 2 que usted tiene en el nivel uno y y lo más probable es que usted tendrá más suministros en el nivel tres que usted tiene en los otros combinados. No estoy diciendo que ignoremos los suministros en los dos niveles inferiores.
Brian Littlefair: En realidad, lo que estoy diciendo es que hemos puesto en marcha una estrategia de comunicación eficaz que reconoce lo que es un escalonamiento y cómo tenemos que comunicarnos con los diferentes proveedores. Así que ¿cuáles son los mensajes clave que tenemos que enviar a un proveedor crítico frente a cuáles son los mensajes que tenemos que enviar a alguien en el nivel tres y alguien en el nivel tres podría ser usted sabe alguien que suministra la cantina o el o los baños o usted sabe en realidad suministra papelería para la organización, pero pero absolutamente no podemos ignorar el riesgo de seguridad que uh organizaciones presentan en el nivel 2 y el nivel tres. He visto muchas brechas en organizaciones de proveedores de nivel 2 y 3 porque también pueden tener sistemas heredados dentro de las cocinas o sistemas heredados dentro de los departamentos de papelería, etc. a los que tienen acceso para comprobar los niveles de existencias, etc. Así que no podemos ser complacientes y tenemos que asegurarnos de que nuestra estrategia de comunicación logra nuestros objetivos, que es que queremos ser capaces de transmitir, queremos que reciban, queremos que entiendan los mensajes clave que queremos transmitirles. Permítanme hablarles de algunos de ellos. En mi experiencia, queremos asegurarnos de que reciban la información correcta en el momento adecuado, pero en realidad nos ayuda a impulsar nuestros objetivos estratégicos de desarrollar una relación más profunda y sólida con ellos, y ser capaces de avanzar y obtener nuestras respuestas lo más rápido posible, porque en última instancia, si tienes una relación efectiva con alguien, es como con nuestras amistades en la vida. Si tienes una gran relación con alguien, hablas con ellos con mucha regularidad. Si no tienes una buena relación con alguien, rara vez hablas con ellos. Y lo mismo ocurre en el mundo de los negocios. Si tienes una buena relación con alguien y le envías un cuestionario TPRM, te reconoce como proveedor estratégico. Reconocen tu importancia para el negocio y te lo cambiarán rápidamente.
Brian Littlefair: Si les llega en frío y no entienden quién eres y no entienden el valor que tienes para su organización, entonces sabes que no va a ser un cambio rápido y en realidad podría tomar algún tiempo para que esa información fluya de nuevo. Entonces, ¿qué necesitamos de un boletín? Es lo que yo llamo el quién, qué, por qué, dónde y cuándo. Así que en realidad es desglosar, ya sabes, ¿quién eres? ¿Para qué estás aquí? ¿Por qué te comunicas con ellos? ¿Qué necesitas que hagan en tu nombre? Así que está siendo bastante alto nivel, bastante difusión. Por lo general, se dirige a todos los niveles y consiste en presentar los cambios estratégicos clave de la organización, cualquier cosa que necesiten saber. Y esto en realidad es, ya sabes, el típico rompehielos. Se pone, ya sabes, en la organización, se distribuye a los gerentes de proveedores y gerentes de relaciones, pero les hace saber que eres un cliente importante y les hace saber que vas a enviar reuniones de TPRM, etc. o cuestionarios, y es importante que respondan. A medida que subes de nivel, siempre he puesto en marcha un par de reuniones virtuales, una es la reunión de pulso, que es como mantener el dedo en el pulso, de corta duración, normalmente de 15 a 20 minutos, normalmente con las mismas partes interesadas en ambos lados. Esto es un poco de relación interpersonal mezclada con negocios. Así que es un poco de ya sabes cómo está la familia, cómo están los niños ya sabes desarrollar esa relación interpersonal. También se trata de los mensajes de alto nivel que quieras transmitir sobre lo que funciona bien y lo que no. Las reuniones de pausa son lo que significan. Te tomas un respiro, haces una pausa, evalúas esa relación. Te sientas, tal vez repasas los KPIs, las métricas, y tratas de entender cómo funciona esa relación.
Brian Littlefair: Uh, usted sabe, usted nunca quiere realmente obtener el contrato con un proveedor, pero es posible que desee ver, ya sabes, ¿cómo es que el rendimiento, ¿cuál es la retroalimentación en términos de la SLA's. Y en realidad, una de las cosas que vemos como, ya sabes, como una madurez cada vez mayor es, ya sabes, en realidad poner en su lugar en los compromisos iniciales cuáles son las expectativas para cosas como esto, ya sabes, los tiempos de respuesta efectiva a los datos o solicitudes de información de cualquiera de las partes. Así que en realidad vemos esas cosas en los contratos, pero no queremos señalarlas. Queremos ser capaces de gestionarlos eficazmente a lo largo de la relación. Así que esas dos reuniones me parecen realmente eficaces. Uh y, ciertamente, con los nuevos proveedores y los proveedores de primer nivel no se puede sobreestimar que la interacción cara a cara. Así que ciertamente a través de co nos hemos acostumbrado a operar a distancia. Soy un firme creyente de que es mucho más fácil mantener una relación que tuvo algún nivel de interacción cara a cara cuando se estaba estableciendo. Y creo que como organización, si estamos estableciendo esa interacción, si estamos estableciendo ese servicio o producto y estamos estableciendo una relación estratégica clave, normalmente serán esas interacciones cara a cara.interacciones cara a cara y creo que es importante como usted sabe un riesgo clave y la interacción de gobierno que va a estar sucediendo usted sabe anualmente en el futuro si no con más frecuencia que en realidad conseguir un poco de tiempo cara a cara con ese proveedor y explicar lo que ese proceso se ve y se siente como y luego reconozco que no todo el mundo puede hacer esto, pero no tiene que ser usted sabe una gran conferencia fanf feria, etc usted sabe que es bastante fácil de ejecutar de forma virtual, pero usted sabe las organizaciones muy maduras que he visto ejecutar las conferencias de proveedores. Se trata literalmente de reunir a la dirección de ambas organizaciones. Se reúnen las personas que son responsables de la gestión del servicio y la relación entre las dos organizaciones. Y hablamos de la estrategia.
Brian Littlefair: Hablamos de, ya sabes, cómo han funcionado las cosas, dónde van las cosas, ya sabes, cualquier clave uh cambios y relaciones. Pero igualmente, esto puede ser para todos tus proveedores, ¿verdad? Los pone en tu página. Para que entiendan hacia dónde va la empresa, dónde ha estado, cuáles son sus metas a corto plazo y cuáles son sus objetivos estratégicos. Y ahí es donde puedes esbozar, ya sabes, tus expectativas sobre cómo esperas trabajar con tus proveedores. Así que, ya sabes, cuáles son tus requisitos de seguridad a un nivel muy alto, pero ya sabes, les hace entender que te tomas la seguridad en serio y que en realidad, ya sabes, va a ser algo y un proceso con el que tienen que comprometerse para mantenerte como cliente en el futuro. Así que creo que es muy importante que nos pongamos en el lugar de nuestros proveedores. Con demasiada frecuencia miramos todo desde la lente de nuestra organización y lo que parece. Uh, pero en realidad creo que es muy importante que nos pongamos en sus zapatos um y y cómo podemos hacer su vida un poco más fácil. Así que lo que tenemos es, obviamente, tenemos un montón de gente en esta llamada que va a ser un nivel diferente de madurez. Algunos de ustedes tendrán una hoja de Excel que enviar un cuestionario. Algunos de ustedes utilizarán herramientas como Prevalent uh y algunos de ustedes estarán en el medio tipo de moverse hacia arriba que esa curva de madurez. Independientemente, obviamente todos tenemos un nivel de proveedores y clientes. Uh y, obviamente, dependiendo de uh el tamaño y la escala de nuestros proveedores, algunos de ellos pueden recibir más de un millar de estos cuestionarios por día. Si nos fijamos en Microsoft, AWS, Salesforce.com, etc. Por lo tanto, tenemos que entender cómo nos ven? y usted sabe lo importante que van a ver responder a nuestro cuestionario individual y lo que podemos hacer para aumentar potencialmente nuestras posibilidades de obtener la información que necesitamos si eso es el uso frecuente para encontrar que más rápido y tengo una diapositiva en más adelante o si se trata de influir en ellos y y la mejora de nuestro proceso para asegurarse de que obtenemos esa respuesta.
Brian Littlefair: Así que un par de cosas que podemos hacer es que podemos llegar a ser más importante para ellos como un proveedor individual. Uh y eso significa trabajar cuidadosamente con la empresa de adquisiciones uh Y uno de mis dichos clave es, ya sabes, la complejidad es el enemigo de la seguridad. Así que si tenemos una huella de proveedor muy compleja, si miramos a través de, ya sabes, dominios individuales para nuestro negocio y miramos a través del mundo, ya sabes, si tenemos 20 30 proveedores uh interactuando con nuestro negocio para un producto y servicio muy similar, ¿tiene que ser siempre así? Uh podemos haber elegido que para la continuidad del negocio, recuperación de desastres. Podemos haber elegido eso para la agilidad global. Así que podría ser la Gran respuesta. Pero donde podemos, ya sabes, sinergizar, donde podemos racionalizar, absolutamente, eso paga dividendos. ¿Y por qué? Porque, ya sabes, nos volvemos más importantes para ellos. Nos convertimos en un cliente más grande. Es más probable que respondan a nuestros cuestionarios y a nuestra información si nos ven como un proveedor estratégico y nosotros a ellos. Uh, entonces obviamente es desarrollar esa relación. Así que, subiendo por esa cadena de valor. Los proveedores quieren ser socios. Quieren trabajar estratégicamente. No quieren estar licitando por trabajo cada año. Prefieren, obviamente, desarrollar esa relación estratégica con su base de clientes y tener alguna garantía de que, mientras ofrezcan un producto o servicio de calidad, ese contrato se renovará año tras año. Así que, normalmente, llamarás a una puerta abierta para decir: mira, realmente queremos profundizar esa relación contigo. Queremos establecer nuestras expectativas. Queremos entender cómo trabajas. E igualmente, ya sabes, tienes requisitos desde una perspectiva reguladora para entender cualquier tercera o cuarta o enésima parte de las relaciones que hacen desde una perspectiva de datos. Por lo tanto, realmente de sus proveedores de primer nivel, usted tiene que realmente empezar a entrar en ese flujo de información. Y luego se trata de pensar, ya sabes, ¿qué has hecho para hacerles la vida más fácil? ¿Has racionalizado este proceso tanto como sea posible?
Brian Littlefair: Si, como digo, sigues enviando Excel, si quizás no has globalizado tu proceso de gestión de las relaciones con los proveedores y, como empresa, envías a los mismos proveedores cuestionarios del Reino Unido, cuestionarios de Estados Unidos, cuestionarios de Asia, e incluso las hojas de cálculo Excel que utilizas no tienen el mismo aspecto. Así que ellos, como proveedores, están pensando, bueno, ya sabes, ¿qué nivel de información quieres? ¿Dónde la enviamos? Todo es diferente. Así que absolutamente, hay optimización que podemos reconocer que podemos hacer para que ese proceso mucho más ágil y y realmente ayudar a nuestros proveedores a cabo. ¿Es su cuestionario esperado por ellos, ¿verdad? Así que, señalando, indicando, y ya sabes, ahí es donde los boletines pueden entrar. Ahí es donde la conferencia de proveedores, el pulso y las reuniones de pausa para decir realmente, ya sabes, esto es lo que este proceso va a parecer. Aquí es donde estamos en el ciclo de contrato con usted como proveedor individual, y aquí es donde la relación es desde una perspectiva de salud. Ya sabes, en realidad decir, ya sabes, las cosas van bien. Estás alcanzando tus SLA o tus KPI o, en realidad, estamos muy por debajo de las expectativas y está perfectamente bien ser transparentes con los vendedores y proveedores, pero tenemos que firmar con ellos lo que está por venir. Así que, ya sabes, dependiendo de la frecuencia con la que envíes algún tipo de garantía a tu cadena de suministro individual, pero, obviamente, quiero decir, el uso de herramientas como prevalent, en realidad tienes cosas como el módulo de amenazas, por lo que puedes mantener una visión más activa de tu cadena de suministro. No estás esperando a que ese cuestionario individual llegue. Pero se trata de profundizar en esa relación. asegurarse de que tiene esa interacción efectiva en el futuro. Y luego, ya sabes, ¿estás siendo realista?
Brian Littlefair: Ya sabes, si eres una gran organización multinacional y estás enviando un cuestionario a, ya sabes, Amazon Web Services y Microsoft diciendo, ya sabes, quieres venir y auditar sus centros de datos o quieres hacer una auditoría física de salesforce.com, ya sabes, cosas como esas no van a ser realistas. Y tenemos que asegurarnos de que, además de prepararnos para el éxito, seamos realistas y obtengamos nuestra garantía a través de otros mecanismos como su programa de garantía sock 2 sock 3 ISO y otras acreditaciones por las que han pasado para que podamos entender que son tan seguros como pueden serlo y que tenemos esta relación estratégica con ellos, pero no vamos a conseguir que respondan a cuestionarios individuales y definitivamente no vamos a tener ese derecho a auditar en el futuro. Así que vamos a ver cómo podemos optimizar ese proceso para conseguir este bucle de comunicación eficaz que estamos buscando. Por lo tanto, creo que usted sabe esperemos que usted está recogiendo en la mensajería que es más probable obtener una respuesta a sus solicitudes TPRM utilizando una plataforma optimizada que usted va a estar ejecutando un proceso manual. Y la razón es que tu Excel manual es, ya sabes, único para ti. Ha sido creado por usted con toda probabilidad. Tiene usted sabe, conjuntos de preguntas que uh son muy muy relevante para usted como una como una organización, pero están redactados, ya sabes, únicamente a su a usted. Están estructuradas exclusivamente para ti. Por lo tanto, es la primera vez que van a ver algo en ese formato y tienen que realmente, ya sabes, invertir tiempo y esfuerzo para entender lo que estás buscando. ¿Qué es lo que realmente tienen que ofrecerte? Y eso les lleva mucho tiempo. Obviamente, el uso de una herramienta como la prevalente, gran parte de ella es repetitiva y se puede recoger una gran cantidad de esas respuestas y, ciertamente, desde la perspectiva de un proveedor, pueden codificar su respuesta de forma automática en una gran cantidad de las preguntas que normalmente se les pide a partir de los muchos miles de cuestionarios de proveedores que llegan. Así que les simplifica la vida, lo que obviamente es bueno.
Brian Littlefair: Pero igualmente, significa que obtenemos una respuesta más rápida y tengo una diapositiva sobre eso también. Así que en mi opinión personal , ya sabes, la mayoría de los proveedores quieren ser capaces de responder lo más rápidamente posible. No es que sean, ya sabes, torpes o dificiles por las razones que acabo de esbozar. Ya sabes, si estás ejecutando un proceso manual, tienen un número finito de personas en su lado que son capaces de responder a estas iniciativas también. Así que, ya sabes, si se trata de un par de clics de un botón para ser capaz de obtener la información que necesita, entonces, obviamente, el cambio será mucho más rápido. Si se trata, ya sabes, de abrir un Excel que nunca han visto antes, leer, ya sabes, tres 400 preguntas diferentes y escribir el texto en un Excel, obviamente eso va a ser mucho más tiempo de respuesta. Así que tenemos que desafiarnos a nosotros mismos en lo fácil que realmente hemos hecho para hacer uh e igualmente automatizar aquí a la derecha.
Brian Littlefair: Hay muchas organizaciones con las que interactúo que están subiendo la curva de madurez en la automatización del proceso de GTPR, no solo usando las plataformas, sino construyendo flujos de trabajo automatizados y eso puede incluir entrar en las plataformas GRC o automatizar los informes de cumplimiento introduciendo la robótica en el flujo de trabajo. en el flujo de trabajo, y el aprendizaje automático y la inteligencia artificial, pero eso es probablemente otro seminario en línea en términos de lo que potencialmente parece, pero sabemos que hemos recorrido un largo camino y también tenemos que reconocer que esto puede ser un proceso bastante intensivo para ejecutar, tiene mucho valor para entregar a la organización y entregar a la empresa, pero si podemos automatizar la forma en que esto sucede, entonces podemos automatizar la forma en que esto sucede, entonces podemos automatizar la forma en que esto sucede, entonces podemos automatizar la forma en que esto sucede, pero si podemos automatizar la forma en que esto sucede, entonces podemos automatizar la forma en que esto sucede. podemos automatizar cómo sucede para que podamos obtener esa información difundida a los tomadores de decisiones tan pronto como sea posible entonces hey tenemos que estar todos para que va a ir hacia adelante y luego igualmente como acabamos de tocar en la última diapositiva estamos ejecutando un proceso global o usted sabe que están recibiendo múltiples cuestionarios de nosotros en todo el mundo um veo esto mucho así que ya sabes, tenemos que reconocer que si estás en una gran multinacional global, ya sabes, con presencia en 50 60 países, un proveedor en un país puede no ser estratégico, pero en otro puede serlo, e igualmente tenemos que reconocer que no siempre está en el interés de un proveedor alinearse con un proceso global desde su perspectiva. A veces pueden rebanar y cortar una organización. No estoy diciendo que lo harían, pero ciertamente he visto suceder que los precios son diferentes en diferentes órganos y diferentes geografías. Usted sabe que el SLA es diferente en diferentes zonas geográficas. Así que desde nuestra perspectiva tiene sentido que entendamos nuestra interacción con los proveedores individuales, independientemente de la geografía en la que se produzca. Y luego, obviamente, ¿utilizamos plantillas tanto como podemos? ¿Estamos utilizando las plantillas de las que hemos hablado? Y, obviamente, alejarse de las hojas de cálculo Excel es clave. Pero, ¿qué hacemos si no obtenemos respuesta?
Brian Littlefair: ¿Qué estamos haciendo si estamos hemos hecho todo esto y ya sabes, hemos trabajado eficazmente con el negocio. Hemos hecho todo lo que podemos. Nos preparamos para el éxito. Simplemente no estamos consiguiendo ese compromiso en nuestro proceso de gestión de riesgos de terceros. Bueno, ya sabes, de nuevo, todo se reduce a ese punto de vista de, ya sabes, si estamos siendo ignorados. ¿Realmente ven esto como un proceso importante? Si lo vieran como importante y crítico, entonces no creo que estuvieran ignorando o retrasando el proceso. Así que tal vez no hemos establecido el proceso de proceso tan eficaz como realmente necesitamos para seguir adelante. Hay un par de usted sabe debe ganar que siempre pongo en mi mi proceso de TPRM. Tiene que ser global y ya hemos hablado de ello. Ya sabes, no se puede ejecutar eficazmente a nivel local. Uh si lo haces localmente. Necesita, ya sabes, más presupuesto. Se necesita más gente. Es muy complejo y no puedes tener una visión global. Así que, absolutamente no intentes hacerlo. Tiene que ser un mandato. No puede ser opcional. Ya sabes, he trabajado en numerosas organizaciones, como he dicho, siempre hay gente que quiere eludir este proceso. Siempre hay gente que piensa que su iniciativa es muy, muy crítica y no puede pasar por el proceso del MEPC. Eso debe quedar absolutamente descartado. Tiene que ser un proceso de decisión global obligatorio en el que la seguridad tenga derecho a vetar la aprobación o denegación en función de los resultados del proceso. Si esto se aplica de forma efectiva y se establece la norma de que no se transferirá dinero entre organizaciones y no podrá iniciarse ningún servicio hasta que se haya completado este proceso. En ese caso, las partes interesadas de ambas partes se movilizarán y presionarán para que las cosas avancen lo más rápidamente posible y se obtenga una respuesta que permita iniciar el servicio. Las partes interesadas internas quieren que las cosas avancen y saben que es lo correcto para la empresa. Los proveedores quieren poder reconocer los ingresos y poner en marcha el servicio. Así que van a hacer todo lo posible para hacerte llegar la información.
Brian Littlefair: Pero la advertencia para eso es que si pones ese mandato en su lugar, ya sabes, si tienes esa decisión y tienes ese veto, etc. tu proceso tendrá que ser altamente eficiente de extremo a extremo y voy a hablar un poco sobre eso en esta diapositiva. Así que si estás en el lado izquierdo de esta diapositiva y tienes ese veto en su lugar y estás ejecutando ese proceso obligatorio, no puedes estar en este mundo porque en última instancia te conviertes en un cuello de botella masivo para la organización. Todos se quejarán de tu proceso y tratarán de eludirlo en cada etapa o forma. Así que esta diapositiva tiene un par de facetas. Una es si queremos ser capaces de optimizar y avanzar. ¿Qué buscamos? Y luego, igualmente, es, ya sabes, ¿qué puedes hacer si tienes cero respuesta de un proveedor uh o quieres ser capaz de encontrar información de un suministro muy rápidamente. Así que, como digo, he operado en ambos mundos. Yo ciertamente estaba corriendo funciones de seguridad antes. Tuvimos el beneficio de herramientas como prevalente y tuvimos que utilizar hojas de cálculo Excel. Así que, cuando estás en ese mundo o si todavía estás en ese mundo ahora, conocemos la situación. Uh un nuevo cliente uh relación está empezando a formarse con la organización uh o una organización de proveedores. Así que el primer día sabemos muy poco acerca de esa empresa en el mundo de Excel. Uh sabes que tienes un poco de información sobre el servicio, envías un correo electrónico al contacto del proveedor que te han dado. Sabes que tienen que trabajar a través de tu muy compleja hoja de cálculo Excel. Tienen que rellenarla. Y en ese mundo, la respuesta suele tardar entre 4 y 8 semanas. Esa respuesta vuelve a tu equipo. Tienes un equipo de, ya sabes, tres o cuatro analistas que luego tienen que ver esa respuesta. Y dependiendo de si esa hoja de cálculo Excel va al analista A, B, C o D, vas a obtener un resultado diferente porque todos ellos tienen diferentes puntos de vista sobre la seguridad. Todos llegan a este contrato o a estos cuestionarios con, ya sabes, diferentes prejuicios, diferentes preferencias, etc.
Brian Littlefair: Por lo tanto, no vamos a obtener una uniformidad de, ya sabes, la revisión de seguridad a través de nuestros analistas. espacio a pesar de lo que nos gustaría pensar. Así que en última instancia, cuando se combinan todos estos juntos, que en realidad podría estar buscando en, ya sabes, un 10 a 12 semanas de respuesta para aprobar realmente un nuevo proveedor para trabajar realmente con el negocio. Y eso podría ser completamente perjudicial para su organización. Y usted puede entender, usted sabe, si usted está recibiendo quejas acerca de su proceso, entonces, usted sabe, es que es bastante bastante justificada en ese sentido. Y ciertamente he ido a organizaciones cuando he empezado como un nuevo líder de seguridad y he visto procesos como este en funcionamiento. Pero no tiene por qué ser así. Uh y ciertamente he madurado capacidades para llegar a, ya sabes, un mundo como lo que parece trabajar con un día una herramienta como prevalente. Así que para aquellos de ustedes que no saben prevalente, vamos a hablar de la situación, lo que parece el uso de una plataforma como la de ellos. Se inicia la nueva relación con el proveedor. Obtienes el nombre del proveedor. El primer día, puedes ir a prevalent. Pones el nombre del proveedor. Usted puede ver todos los diferentes uh clientes uh cuestionarios que potencialmente han respondido para otros clientes. Obviamente, no se llega a ver los nombres, pero se puede ver toda esa información que se ha rellenado previamente en ese proveedor. Así, el primer día, tienes acceso a toda una serie de información sobre ese proveedor en el futuro. En realidad, si nos fijamos en todos los cuestionarios que los clientes envían a sus proveedores, hay un gran solapamiento en las preguntas. Puede que se redacten de diferentes maneras y, obviamente, se ha intentado establecer marcos y estandarizarlos. Pero hay un solapamiento masivo. Así que usted puede obtener, ya sabes, el 85 90% de los detalles que usted está buscando en su cuestionario ya está dentro de la herramienta. Así que usted podría tener algunas preguntas de nicho que desea hacer que son bastante a medida de sus organizaciones individuales, pero usted va a querer saber acerca de sus parches. Querrás conocer su respuesta instantánea. Querrás conocer sus políticas, su BC, su DR, su cumplimiento.
Brian Littlefair: Todo eso va a ser preguntas estandarizadas que están acostumbrados a responder. Así que esa información va a ser abierta y transparente con en la herramienta ya. Vas a ser capaz de ver, ya sabes, algunos de los análisis que se están realizando sobre ellos y cuál es su posición de riesgo desde una perspectiva prevalente basada en, ya sabes, todos los clientes que han utilizado esa información en su plataforma antes. Así, se empieza a obtener parte de esa información y el riesgo de información que desea empujar de nuevo en su organización en el primer día. Así que, en realidad, puedes empezar a tener, ya sabes, algunas de esas conversaciones informadas con tu negocio, que es lo que estás queriendo lograr en el futuro. Así que, espero que puedas ver que, ya sabes, esto es la noche y el día. Así que dependiendo de dónde se encuentre en su viaje de madurez y usted sabe que yo reconozco que usted sabe todas las personas de seguridad todas las personas de adquisiciones todos los legales o de privacidad de datos en función de dónde se encuentre en el núcleo queremos optimizar el servicio que ofrecemos de nuevo a la empresa. Así que empecemos todos a avanzar en ese viaje hacia la madurez. De acuerdo. Así que voy a pasar a Scott en un minuto. Sólo quiero resumir algunas cosas de las que hemos hablado. Así que queremos tener una comunicación eficaz. Lo reconocemos. Así que tenemos que reconocer que la comunicación es bidireccional. Así que tenemos que asegurarnos de que construimos esa relación con nuestros proveedores y la movemos hacia arriba en esa curva de vida estratégica. Tenemos que asegurarnos de que hemos hecho todo lo posible para que sea lo más fácil posible y eso se trata de eliminar las ineficiencias de nuestro proceso. Las ineficiencias significan más recursos. Significa más presupuesto. Es lo correcto para nuestra organización. Si quieres tener una respuesta rápida tenemos que tener esa gran nave relación. Entender cómo podemos construir y desarrollar esa relación. Y eso es todo, desde el boletín de noticias hasta las conferencias de proveedores, pasando por entender qué podemos hacer en nuestras organizaciones para madurar esa interacción. Queremos racionalizar las herramientas, que es lo que acabamos de hacer.
Brian Littlefair: Usted sabe que absolutamente tiene sentido invertir estratégicamente si se piensa en la quema de recursos que está ejecutando en una organización para ejecutar un proceso de 10 a 12 semanas frente a algo que esencialmente se puede ejecutar el 90% en un solo día. Así que creo que el caso de negocio se construye por sí mismo para algo así. Y absolutamente queremos ser capaces de llegar a esas decisiones informadas de riesgo tan pronto como sea posible, porque eso es lo que se trata en la profesión de seguridad. Así que Scott, a ti mismo.
Scott Lang: Muchas gracias, Brian. Te lo agradezco. Um sabes, discúlpame. Así como uh Brian dijo hace unos minutos que está sufriendo de una infección en el pecho, estoy sufriendo de un extraño ataque de estornudos. Debe ser el otoño y todo el polen en el aire justo antes de que saliera mudo y fuera de cámara. Apuesto a que estornudé cinco veces en 10 segundos. De todos modos, um gracias a todos por unirse a uh el seminario web de hoy. Creo que Brian entregó algunos bastante uh sucinta e impresionante orientación sobre cómo obtener la atención de su proveedor, cómo mantenerlos enfocados y cómo permanecer comprometidos con ellos a lo largo de la uh el proceso de evaluación de riesgos. Quiero compartir con ustedes en tan sólo unos minutos uh usted sabe lo que prevalece puede hacer para ayudar a automatizar y transformar su programa de riesgo de terceros. Ayudarlo a ser más automatizado en cada etapa del ciclo de vida, desde el punto en que se busca y selecciona un proveedor hasta el punto en que se termina y se retira ese acuerdo. Siguiente diapositiva por favor Brian. Mira , nuestro objetivo es realmente triple para ti en tu programa TPR. En primer lugar, ayudarles a obtener los datos que necesitan para tomar mejores decisiones, y eso puede adoptar muchas formas. Eso puede venir en forma de obtener una buena inteligencia de riesgo continuo de múltiples fuentes diferentes como, por ejemplo, puntuaciones de seguridad cibernética, historial de violación de datos, actualizaciones operativas o comerciales de información financiera sobre sus proveedores, puntuaciones de reputación, puntuaciones ESG, lo que sea para ayudarle a tomar buenas decisiones. A veces, cuando hablamos de datos para tomar buenas decisiones, a veces eso significa encontrar los contactos en sus uh proveedores que usted piensa que podría prestar atención a realmente uh usted sabe responder a la evaluación. que usted les envió. Uh segundo uh objetivo uh para usted de nuestro programa TPRM de un programa TPR que trabajamos con usted es aumentar su eficiencia del equipo y derribar silos. Brian ha hablado de la gestión de las relaciones con los vendedores y proveedores a lo largo de todo el ciclo de vida, y de que el departamento de compras es siempre el propietario de la relación a cierto nivel.
Scott Lang: Um finanzas involucradas D el equipo de seguridad es probablemente el que realmente se ejecuta en las evaluaciones con más frecuencia que otros departamentos. La auditoría de cumplimiento tiene que involucrarse. La gestión de riesgos tiene que involucrarse. En una empresa de cualquier escala, puedes tener media docena, ya sabes, diferentes departamentos que están involucrados en una decisión de riesgo de terceros o en la gestión de una relación con un proveedor. Y cada uno de esos diferentes departamentos va a tener sus propios objetivos, sus propias necesidades, sus propios requisitos de información de riesgos, sus propios riesgos que quieren gestionar. Y quieren mirar a los proveedores de esa manera y eso es justo. Puedes hacerlo en seis u ocho sistemas diferentes o en una hoja de cálculo, o puedes mirarlo en un sistema que te ayude a satisfacer las necesidades de todos esos componentes y partes interesadas de la empresa. Eso es lo que pretendemos ayudarle a hacer. Y luego, en tercer lugar, para evolucionar y ampliar el programa a medida que aumenta o disminuye el número de proveedores que desea evaluar, o cuando la empresa se contrae o crece, o cuando se inicia un nuevo proyecto, se incorporan nuevos proveedores, se adquiere a alguien o se desinvierte en un negocio, tienes que ser capaz de evolucionar el programa con el tiempo para hacer frente no sólo a diferentes necesidades de riesgo y de seguimiento, sino también a los cambios operativos de la empresa, y hemos incorporado esa capacidad a nuestra plataforma, no sólo por lo elástica que es, sino también por cómo la aumentamos con servicios profesionales y gestionados para ayudarte a personalizarla según tus necesidades. Siguiente diapositiva por favor Brian. Um usted sabe que he mencionado y se puede construir un par más hasta que vea la uh ahí lo tienes. Uh usted sabe que nosotros Nosotros mencionamos antes que nos fijamos en el riesgo en cada etapa de una relación de proveedor de una relación con el proveedor y eso no es eso no es broma. Quiero decir que es legítimo, tenemos capacidades integradas en la plataforma. Educamos a nuestros clientes sobre los procesos, las personas y la tecnología en cada una de estas etapas para que entiendan que hay riesgos presentes y que hay soluciones para hacer frente a esos desafíos en cada etapa.
Scott Lang: Desde una perspectiva de abastecimiento y selección, a menudo encontramos que los clientes luchan con un par de cosas. La primera es no saber realmente quiénes son los contactos adecuados en esos vendedores y proveedores para hacer algún tipo de diligencia debida previa al contrato. Entender, ya sabes, quiénes son, cuáles son los fundamentos de su empresa, gráficos, historial de violación de datos, finanzas, lo que sea. Ya sabes, hacemos mucho de eso por ti. Automatizamos ese proceso. Consolidamos la información en un perfil de proveedor que le ayuda a ver muy rápidamente cuál es la puntuación del vendedor o proveedor en cualquiera de estas diferentes métricas. para ayudarle a dar un poco de confianza y decir: "Bueno, estas personas no sólo son un ajuste para um ajuste para el propósito de lo que usted sabe que va a utilizar para ellos, sino también un ajuste a su perfil de riesgo también ". En segundo lugar, desde una perspectiva de admisión e incorporación, vemos que las empresas luchan mucho con diferentes equipos, diferentes procesos, diferentes herramientas. Um, y lo que hacemos es automatizar un proceso de incorporación con un flujo de trabajo muy discreto, muy específico en sintonía con su uh necesidades de negocio, cualquiera que sea su flujo de trabajo en su lugar, y ayudarle a crear una única fuente de verdad no sólo para la información de riesgo como lo hacemos en esa primera etapa, sino también un único conjunto de procesos uh para la incorporación y para mover ese tipo de proveedor a través de una fase de aprobación uh en conseguir que uh a BAU. En tercer lugar, la puntuación de los riesgos inherentes, ya sabes, encontramos que muchas empresas no hacen esto con el nivel de disciplina que probablemente deberían, pero haciendo una rápida evaluación de los riesgos inherentes, de 8 a 10 preguntas que pueden ser gestionadas internamente, se obtiene una puntuación bastante buena que te ayudará a determinar cómo necesito evaluar a estas personas en el futuro, basándose en criterios como, ya sabes, la exposición a los procesos de cara al cliente o, ya sabes, tocando, ya sabes, datos protegidos, por ejemplo, lo que podría influir en la forma de perfilar, clasificar y categorizar a un proveedor. Lo siguiente es realmente el núcleo de la plataforma y es la capacidad de evaluación y corrección.
Scott Lang: Lo que hemos hecho es crear plantillas de cuestionarios de riesgo muy específicas en la plataforma que abordan docenas de tipos de riesgo diferentes, ya sabes, seguridad, ESG, privacidad, solvencia financiera y más. Um, y luego te damos la capacidad de evaluar de manera muy flexible a tus proveedores contra, ya sabes, cualquiera de esos uh diferentes tipos de evaluación con guía de remediación incorporada. ¿Verdad? Cada pieza de contenido que cargamos en la plataforma, cada cuestionario tiene una guía de corrección incorporada para prácticamente cada pregunta basada en la respuesta del proveedor. Ese nivel de prescripción realmente le ayuda a automatizar su proceso de gestión de riesgos, su proceso de mitigación de riesgos y, en última instancia, a llegar a un punto en el que todos se sientan cómodos avanzando con el proveedor a lo largo de su ciclo de vida de relación si están tomando o recomendando controles compensatorios o tomando sus recomendaciones de remediación. El siguiente paso es el seguimiento y la validación. Nuestro enfoque aquí es, como he mencionado antes, consolidar diferentes fuentes de inteligencia de riesgo de terceros de diferentes fuentes y luego canalizarlas a su registro central de riesgos y permitirle correlacionar esos hallazgos con lo que el vendedor o proveedor le dijo en su evaluación de riesgos. Así que ese nivel de validación de controles y procesos y demás, que se consigue a través de la supervisión continua, cierra las brechas entre las evaluaciones, pero al mismo tiempo le proporciona una fuente continua de información para mantenerle al tanto de lo que ocurre entre medias, como las decisiones de renovación de contratos u otras actualizaciones empresariales. Lo siguiente es medir los acuerdos de nivel de servicio y el rendimiento, y con ello me refiero a establecer indicadores clave de rendimiento (KPI) y cargarlos en el sistema KRIS. También tenemos la capacidad en nuestra plataforma para utilizar la tecnología ML para extraer frases API KRI de los contratos y autopopulate uh un tablero de instrumentos y la plataforma que le permite asignar los propietarios y el seguimiento de los progresos hacia esos KPI y KISS. Por cierto, uh Brian ha dado un webinar realmente excelente para nosotros en el pasado sobre um uh medir las métricas correctas, KPIs correctos y KI.
Scott Lang: Así que si usted tiene una oportunidad uh echa un vistazo a eso y luego, finalmente, offboarding y terminación um usted sabe que nos encontramos con que las empresas realmente luchan con las etapas finales de una relación. Um y por lucha me refiero a que sin algún tipo de prescripción en el lugar o proceso definido para poner fin a una relación con un proveedor que usted sabe que usted no sabe completamente si es o no tienen acceso a los datos, si todo su acceso al sistema se ha terminado, si han destruido la fecha si eso era lo que estaba en el contrato o usted sabe todos estos pagos finales y otras cosas se han cerrado en. Así que de nuevo el objetivo aquí es simplificar y acelerar el embarque darle un proceso uh para uh evaluar a los proveedores a través de su empresa y luego reunir a los equipos uh a través del ciclo de vida. Siguiente diapositiva por favor Ryan. Uh y sólo muy brevemente um uh usted puede probablemente incluso ir una diapositiva más uh después uh después de este. Ya hemos hablado de eso antes. Esto es sólo una representación de los tipos de riesgos que gestionamos o controlamos en la plataforma prevalente. Y los tenemos agrupados en estas seis categorías. Um, y cada uno de estos, ya sabes, puntos representa, ya sabes, un cuestionario o un monitoreo continuo que, um, ya sabes, te proporciona ese nivel de inteligencia de riesgo para ese proveedor que, ya sabes, probablemente estás obteniendo de un enfoque de herramientas desarticuladas o tal vez tratando de gestionar en una hoja de cálculo. Siguiente diapositiva, por favor, Brian. Um, honestamente, al final del día, ya sabes, lo que esperamos lograr para ustedes es tres cosas en su programa TPR. Ya saben, número uno, um, les ayudan a tomar decisiones más inteligentes, más, ya saben, bien informadas a través de buenos informes. Um, la entrega de un muy completo uh, el riesgo y el rendimiento de eventos interfaz de gestión del rendimiento. En segundo lugar, para llegar a una única fuente de la verdad en toda la empresa para las evaluaciones para el seguimiento y para el ciclo de vida. Y tercero, ser muy prescriptivo en lo que se hace con los resultados que se obtienen de las evaluaciones de riesgo de los proveedores. Si la respuesta en un área concreta está por debajo de sus expectativas, ¿qué hace al respecto?
Scott Lang: Nuestro enfoque es ayudar a automatizar ese proceso en la medida de lo posible para que usted pueda cerrar el círculo de ese riesgo, ya sea a través de un control compensatorio o alguna orientación de remediación a partir de ahí. Así que, mire, al final del día, tenemos una gran plataforma, pero también ofrecemos servicios gestionados para ayudar a hacer esto en su nombre si así lo desea. Y eso incluye la búsqueda de contactos de proveedores, la incorporación de proveedores, la ejecución de la evaluación, el análisis y el proceso de corrección, y luego el seguimiento de ese contrato y esa relación con el proveedor durante todo el ciclo de vida. Así que, ya sabes, estamos encantados de ayudarte desde cualquiera de esas perspectivas. Um voy a terminar aquí y darle la vuelta de nuevo a usted, usted quiere abrir a las preguntas.
Ashley: Gracias, Scott. Um, voy a seguir adelante y Whoopsies. Voy a seguir adelante y lanzar nuestra segunda encuesta para que podamos seguir con usted con respecto a cualquier iniciativa o proyecto que pueda tener. Uh, estamos buscando para ver si usted quería aumentar o establecer un programa de TPRO TPRM en el próximo año. U, por favor sea honesto porque hacemos un seguimiento con usted. Pero nos quedan unos 10 minutos en el reloj. Así que, ¿por qué no seguimos adelante y pasar por algunas de estas preguntas. Muy bien, Brian. Alguien preguntó: "¿Cómo recomiendas que las organizaciones motiven a los proveedores para que realicen revisiones anuales una vez firmado el contrato y pagado el proveedor?".
Brian Littlefair: Sí, es una muy buena pregunta y usted sabe, nosotros vemos esto mucho, usted sabe, donde usted tiene un proveedor muy colaborativo y luego reciben el dinero y luego, obviamente, se vuelven menos colaborativos. Ya sabes, tienen lo que estaban buscando. Uh creo que es, ya sabes, cómo te preparas para el éxito, ya sabes, reconociendo que es una situación que puede ocurrir. Es un poco alrededor de la zanahoria y el palo, ¿verdad? Así que, es cómo redactas tus contratos desde el principio y es cómo redactas, ya sabes, las relaciones y estableces cómo van a funcionar las cosas en el futuro. Uh, ya sabes, en muchas organizaciones, ya sabes, hemos tenido obviamente contratos para nuestros proveedores, pero igualmente, hemos establecido, ya sabes, una forma de trabajar que, ya sabes, co-firmamos entre nuestras diferentes organizaciones y obviamente hay sanciones por romper eso. Uh, en que, obviamente, como usted sabe, el intercambio de información en el momento oportuno. Por lo tanto, sería un proveedor bastante, ya sabes, ingenuo o miope que piensa, ya sabes, sólo voy a conseguir un año de esta empresa y seguir adelante. Así que, por lo general, se trata de redactar en el contrato que esto es una expectativa de que esto es, ya sabes, algo que va a suceder. Esto es parte de nuestro proceso de riesgo. Así que, absolutamente necesitamos interactuar. Tenemos que conseguir que esta información fluya hacia ti. Y si no lo haces, la penalización es que no se te adjudicará el contrato el año que viene y pasaremos a otro proveedor que sí lo hará y realmente tienes que ser así de contundente, de lo contrario vas a pasar mucho tiempo persiguiendo proveedores. Usted, obviamente, tiene la situación en la que los proveedores individuales son nicho y único y reconocen que son críticos para su organización y y tienen que ser tratados de manera ligeramente diferente, porque, obviamente, no se puede obtener el palo porque los necesita. Uh, pero en última instancia se trata de que usted sabe el desarrollo de esa relación y y trabajar las cosas, pero por desgracia el contrato ayuda, pero usted sabe que debe ser manejado a través de la relación inicial derecha.
Ashley: Gracias, Brian. Uh, tenemos otra pregunta que preguntaba: "Cuando se envían cuestionarios a los proveedores, ¿qué destinatarios en el proveedor son los más receptivos a la hora de completar y devolver esos cuestionarios?".
Brian Littlefair: Sí, creo que es, ya sabes, espero que sea una función de seguridad uh porque, ya sabes, uh, obviamente he he corrido este proceso dentro de las funciones de seguridad mucho y creo que, ya sabes, llegamos a una posición en la que sabemos uh uh 90% de la información que necesita para volver. Um hay mucho uh obviamente abrazamos herramientas como prevalente de un desde una perspectiva de proveedor porque nos permite usted sabe comunicar de vuelta en una manera rápida. Uh, pero por lo general todas las respuestas, incluso en una herramienta prevalente pre desde la perspectiva de un proveedor sería cargado o al menos validado por la función de seguridad. Obviamente, depende de la naturaleza de la empresa que está en pero por lo general en mi experiencia las respuestas de la función de seguridad aquí.
Gracias, Brian. Y una pregunta más. Alguien preguntó, eh, ¿cuál es la mejor práctica para obtener las finanzas de un proveedor para garantizar su solvencia durante la debida diligencia y el proceso de investigación para evaluar los riesgos financieros?
Brian Littlefair: Esa es una buena pregunta. Así es. Así que, si estás ejecutando un proceso manual, eso es algo realmente difícil de hacer. Si vuelvo atrás y te encierro bajo el riesgo financiero, um sabes que la prevalencia realmente ha pensado a través de usted sabe algunas de las áreas que tipo de dirección y y comunicar de nuevo en el primer día o las cosas que hacen un seguimiento desde una perspectiva organizativa. Así que usted sabe en el mundo de Excel que hemos hablado de que va a ser una cosa muy compleja porque usted sabe conseguir el asimiento de los estados financieros en función de dónde se encuentra uh en el Reino Unido uh usted sabe cualquiera por encima de un usted sabe una organización de una persona tiene que presentar sus cuentas de las empresas públicamente, pero eso no te dice lo bien que pagar mis cuentas. Eso no me dice, ya sabes, yo suelo pagar a mis proveedores en 120 días sobre 30. Por lo tanto, ser capaz de obtener esa información y entender cosas como mi calificación crediticia desde el primer día es realmente crítico. Y, ya sabes, no vas a encontrar absolutamente todos los proveedores que utilizas de tu organización en Prevalent, pero cuantos más de nosotros lo usemos y cuantos más de nosotros completemos la información allí, obviamente, se vuelve más ubicuo y útil para otras organizaciones que se están uniendo y, obviamente, nos beneficiamos de la velocidad y el ritmo al usarlo. En fin,
Ashley: gracias Brian. Parece que tenemos una pregunta más en el chat. Frederick preguntó: "¿Cómo te aseguras de que los requisitos de seguridad están incluidos en el presupuesto y son explícitos en el contrato? Uh a menudo ve que la seguridad ni siquiera está en el presupuesto".
Brian Littlefair: Sí. Y sabes, he vivido en ese mundo también, Patrick, donde sabes, uh un nuevo servicio se firma y sabes, tal vez las TI y las infraestructuras han pensado en términos de que han puesto precio a los servidores, pero no han puesto precio a los requisitos de seguridad que están incorporados y eso es sobre integrar y trabajar estrechamente y mira uno de mis otros webinars donde he hablado sobre la relación entre la seguridad y las compras porque veo que esa relación es absolutamente clave si vas a ejecutar un proceso global de TPRM, conseguir que la seguridad esté alineada con las compras es realmente importante. Alinear la seguridad con las compras es realmente importante y he hecho un webinar completo sobre como se ve eso y creo que eso responderá tu pregunta pero en resumen sabes que esa relación tiene que ser efectiva, ellos tienen que entender lo que estas tratando de lograr para que ningún contrato pueda ser firmado sin que los requerimientos de seguridad completamente calculados estén ahí también, de otra manera estamos poniendo a la organización en riesgo pero entro en muchos detalles en ese otro webinar prevalente.
Ashley: excelente bueno muchas gracias Brian Scott y a todos por todas sus preguntas. Uh nos dan una gran información para tomar en el día de hoy. Así que espero veros a todos en vuestras bandejas de entrada o en un futuro seminario web. Salud a todos. Disfruten del resto de su miércoles.
Gracias a todos.
©2025 Mitratech, Inc. Todos los derechos reservados.
©2025 Mitratech, Inc. Todos los derechos reservados.