Riesgo de Terceros: Requisitos Críticos para la Evaluación Comparativa de su Negocio y Cadena de Suministro

Peter Schumacher: Bienvenidos y gracias por unirse a nuestro seminario web de hoy, requisitos críticos para la evaluación comparativa de su negocio y cadena de suministro. Hoy, como anfitriones, contamos con dos expertos en riesgos de terceros: Brenda Ferraro, Vicepresidenta de Riesgos de Terceros de Prevalent, y Jeremiah Salberg, Director Gerente de Riesgos de Terceros Federales de Tevora. Me llamo Peter Schumacher y soy el anfitrión del seminario web de hoy. Tengo que repasar un par de cosas antes de empezar. En primer lugar, les recuerdo que todas las líneas de los asistentes están silenciadas. Sin embargo, en un esfuerzo por mantener esta sesión interactiva, les pedimos que envíen sus preguntas a través de la consola de Zoom. Si el tiempo lo permite, llegaremos a esas preguntas y respuestas, llegaremos a las preguntas y respuestas al final de las sesiones.

Peter Schumacher: Así que esto debería ser alrededor de una media hora de contenido y luego algunas preguntas y respuestas al final. Estamos grabando el seminario web de hoy, así que lo enviaremos en los próximos días con un enlace de seguimiento a la grabación. Sé que ustedes no se unieron para escuchar mi voz, por lo que en este momento me gustaría ceder la palabra a Brenda y Jeremiah.

Brenda Ferraro: Muchas gracias, Peter. Jeremiah, es realmente emocionante estar aquí con ustedes hoy. Sólo un poco de antecedentes acerca de mí para que los que están escuchando, si nunca me han conocido o no me conocen, yo vivo, respiro, como y duermo terceros, y tengo un fondo en la respuesta a incidentes y soy un maestro de proceso certificado, estado en un espacio financiero y de salud, y estoy muy feliz de hablar con ustedes hoy sobre la resiliencia empresarial y cómo podemos ayudar a las comunidades en los esfuerzos para mirar el riesgo de terceros en un enfoque diferente ya que nuestro paisaje ha cambiado.

Jeremiah Salberg: Muchas gracias Brenda. Este es Jeremiah Salberg para aquellos que no han tenido la oportunidad de conocer y gracias Peter por la introducción allí. Al igual que Brenda, esto, he estado en el espacio de la seguridad cibernética durante más de 20 años. Empecé en el ámbito federal, pero me moví en los mercados financieros, pasó mucho tiempo haciendo en el espacio de la salud y el espacio PCI. En realidad he llevado la insignia CISO, así que sé lo que es en el interior de responder a las solicitudes de riesgo de terceros de las organizaciones al igual que muchos de ustedes en el teléfono.

Jeremiah Salberg: Del mismo modo, he dirigido programas en grandes organizaciones de entretenimiento de 30 mil millones de dólares para la gestión del programa de riesgo de proveedores, así que espero aportar un poco de eso hoy. Y una de las cosas que me pidieron que compartiera es un hecho divertido sobre mí. Si no estuviera en el campo de la ciberseguridad, ¿qué estaría haciendo? Sinceramente, me encanta la comida, me encanta desayunar, así que en un mundo ideal, estaría en una pequeña cafetería de desayunos con una estantería de libros en la que los clientes pudieran entrar, ya sabes, coger un libro o leerlo mientras toman un buen desayuno, una buena taza de café, y si les gusta, lo compran. Pero ese no es el mundo en el que vivimos, así que soy un profesional de la ciberseguridad. Y tú, Brenda, ¿qué estarías haciendo si no te dedicaras a la ciberseguridad?

Brenda Ferraro: Me encanta que desayunes. Estaría en tu casa en la cena porque me gusta desayunar para cenar. Déjame ver, para mí, si yo no estaba haciendo el trabajo del mundo de la ciberseguridad, um, si lo miro desde una perspectiva de cuando era más joven, siempre tipo de averiguar lo que quieres ser cuando eres pequeño. Yo quería ser una triple amenaza, actuar, bailar y cantar, una especie de artista. Pero también viví en el mundo del CISO cuando estaba en una empresa de atención sanitaria, y creo que me gustaría seguir en el ámbito de la seguridad. Así que tal vez haría un trabajo de CISO de nuevo si pudiera permanecer en la ciberseguridad y luego supongo que enseñar. Hay tantas oportunidades para hacer cosas, así que um, yo aterrizaría en tal vez las cosas que hice cuando era más joven o quería ser cuando era más joven si no podía estar en la ciberseguridad, pero si tuviera que cambiar el objetivo de lo que estoy haciendo ahora y permanecer en la ciberseguridad, sería un CISO de nuevo.

Jeremiah Salberg: Oh, fantástico. ¿Cuál es tu desayuno favorito, antes de entrar en materia?

Brenda Ferraro: Una buena tortilla con pan de masa madre y una taza de café con un poco de nata. Eso es lo que me gusta.

Jeremiah Salberg: Yum, tengo hambre. Bueno, no estamos aquí para hablar de comida, aunque creo que podría ser un webinar divertido en otro momento. Uh, estamos aquí para hablar de resiliencia empresarial, um, y así que tenemos un par de temas diferentes que vamos a tocar a medida que avanzamos a través de la sesión de hoy. Uh, vamos a hablar un poco acerca de la planificación de la continuidad del negocio y lo que usted necesita para mirar a sus propios programas, ¿cuáles son algunas de las cosas clave para pensar. Uh, estamos definitivamente en un nuevo tiempo, nuevo espacio, así que.

Jeremiah Salberg: Uh, estamos recibiendo y ver a los clientes, incluso a nosotros mismos, son, están teniendo que trabajar a través de algunos de nuestros planes de continuidad del negocio, así que vamos a hablar un poco sobre eso. Uh, parte de la comprensión de su continuidad de negocio es, sin duda va a ser la comprensión de cómo sus terceros llenar, prestar servicios para, y en última instancia son su éxito en la forma de pivotar y cambiar en el panorama actual. Así que vamos a profundizar en eso un poco. Uh, estar en el proceso de revisión de la cadena de suministro de terceros, es, se obtiene una visibilidad interesante en cuanto a los proveedores que prestan servicios clave y críticos para la organización, por lo que una de las cosas que vamos a hablar es, ya sabes, ¿ves solapamiento allí, hay capacidad para optimizar ciertas cosas? Ciertamente, yo como ex CISO, estoy seguro de que usted Brenda como CISO también, han estado en el extremo receptor de los cuestionarios. Hay muchos cuestionarios que te lanzan. A veces son los mismos, a veces son diferentes, pero sin duda, hay una fatiga cuestionario que sucede.

Jeremiah Salberg: Y, como alguien que está revisando los cuestionarios, ¿hay, ya sabes, ahora una mejor manera de hacerlo? Así que el problema de la fatiga del cuestionario ciertamente nos persigue a todos desde un par de ángulos diferentes. Hablaremos de ello. Y, por último, al entrar en, ya sabes, nosotros, estamos cosas van a, ya sabes, pasando por este cambio en este momento con toda la continuidad del negocio, va a haber un mayor énfasis en asegurarse de que nuestras cadenas de suministro están apuntaladas, que tenemos el tipo adecuado de controles en su lugar. Y si bien todas estas son cosas fundamentales en ciertos marcos de cumplimiento de hoy, sin duda, um, esperamos que estos se evalúan un poco más detalle en el futuro, así que, uh, vamos a tocar algunos conceptos clave en eso también. Pero, eh, esos van a ser sus puntos clave de conversación, pero vamos a fluir dentro y fuera de algunos otros, eh, elementos de diversión. Creo que tenemos un par de encuestas para hoy, así que Brenda, ¿quieres empezar?

Brenda Ferraro: Sí, de hecho, esta es nuestra primera encuesta. Así que si estás caminando y escuchándonos o si estás sentado en tu escritorio, por favor participa en algo divertido. La primera es, cuando el mundo se dio cuenta del problema de la cadena de suministro con TP, ¿tu cerebro pensó inmediatamente, espera un minuto, TP significa no sólo papel higiénico, sino también de terceros. Así que vamos a darle un par de momentos. Fue gracioso cuando todo el mundo estaba diciendo que hay como un problema de TP, y lo primero que vino a mi mente fue, por supuesto, tenemos cosas de terceros que estamos trabajando y sí, va a haber elementos de la cadena de suministro que tenemos que abordar, pero me sorprendió un poco como una risita cuando pensé en TP como terceros en lugar de papel higiénico, y creo que tipo de golpe en casa con todo el mundo. Sé que había ciertamente bajos suministros en todas partes alrededor de donde yo vivo, pero las cosas están empezando a mejorar, que comenzó a normalizarse por lo que veo. Pero absolutamente, yo, ya sabes, que eso golpea a casa para todos. Veamos qué resultados tenemos. Me pregunto, Peter, si eres capaz de compartir eso.

Brenda Ferraro: Oh, sí, piensan que es divertido. Oye, necesitamos algo más de humor en estos días, así que absolutamente. Me gusta que, uh, esa respuesta allí.

Brenda Ferraro: De acuerdo, muy bien. Entonces, ¿eres capaz de ver la respuesta, Jeremia, o somos sólo nosotros? No se.

Jeremiah Salberg: Soy capaz de ver también, por lo que parece, eh, casi el 80% de la gente pensó que era gracioso, mientras que, eh, el 20% hizo que como una correlación que TP tiene más de un significado y puede significar papel higiénico allí.

Brenda Ferraro: Qué divertido. De acuerdo, bien, genial. Bueno, entremos en algo más de contenido. Absolutamente. Entonces, ¿quieres tomar esto y explicar exactamente lo que significa?

Jeremiah Salberg: Claro, absolutamente. La resiliencia empresarial es una de las claves que hacen que una organización funcione. Y así, cuando hay estos eventos, eh, como la que estamos experimentando en este momento, las organizaciones tienen que ser capaces de adaptarse rápidamente. Hemos visto esto, eh, en muchas industrias diferentes. Um, sin duda en la industria de servicios de alimentos, tenemos esto, uh, ya sabes, ahora no comer en pero la capacidad de hacer la recogida en la acera, un montón de actividades de entrega. Pero una de las primeras cosas que las organizaciones miran es asegurarse de que tienen, eh, la seguridad humana. Esa tiene que ser la directriz principal, eh, en su capacidad de recuperación empresarial, porque usted tiene que cuidar de los que apoyan a la organización. La segunda cosa es realmente mirar y entender, ya sabes, quienes son esos proveedores esenciales de servicios dentro de tu organización. Ciertamente, uh, si usted es una industria de las aerolíneas, usted, um, usted tiene que tener pilotos, todavía tienen que volar aviones. Um, si usted está en, los médicos tienen que estar disponibles. Uh, así que tienes que mirar, ya sabes, que son los críticos, um, los proveedores de servicios. Ciertamente, los que están trabajando en las tiendas de comestibles, uh, me quito el sombrero ante todos ellos para asegurarse de que somos capaces de obtener nuestra comida, uh, entregado y disponible para nosotros. Así que tienes que ver cuáles son esas personas críticas y luego, ya sabes, averiguar cómo proporcionar esos servicios básicos de negocio. ¿Qué estás tratando de proporcionar y asegurarse de que usted puede servir a sus clientes en un entorno en constante cambio? ¿Cómo te preparas para esto? Ya sabes, has mirado tus procesos de continuidad de negocio y tus procesos de recuperación de desastres, y en última instancia tienes que asegurarte de que tienes un plan de comunicación bueno y bien establecido, no sólo internamente sino a tus clientes para asegurarte de que les estás dando el camino para proporcionar los servicios que haces como negocio. Así que sé que tienes una diapositiva aquí que creo que va a profundizar un poco más en la perspectiva, pero es, ya sabes, ¿cómo seguir haciendo lo que tienes que hacer?

Brenda Ferraro: Y creo que lo interesante de esto es que todos trabajábamos en oficinas y no pensábamos que trabajaríamos desde casa a tiempo completo en algunos casos y en algunas áreas. Así que me pareció muy interesante que tuviéramos planes de continuidad del negocio, planes de recuperación ante desastres, que hubiéramos puesto en marcha cosas, pero que no se hubiera hecho hincapié en cómo hacer la transición de nuestra situación laboral y qué tipo de controles habría que aplicar. Así que de las ocho cosas que hemos enumerado aquí, estamos empezando a buscar a nuestros terceros para proporcionar información no sólo hacia fuera, sino internamente dentro de nuestras propias empresas, porque este es un papel vital comprometer nuestra capacidad de recuperación en su conjunto. Así que si nos fijamos en las ocho cosas aquí, uno de los que me gustaría hablar es la respuesta a incidentes cibernéticos. Un área muy importante y crítica de una política de respuesta a incidentes no es sólo saber que tienes un plan en marcha, sino que realmente llevas a cabo pruebas periódicas basadas en escenarios, y fuera de ellos, normalmente encontrarás planes de acción correctivos para saber que hay desconexiones y lagunas en tu plan para que estés más preparado para cuando ocurra un incidente. Jeremiah, ¿qué has visto sobre el terreno en las empresas con las que has trabajado desde el punto de vista de la respuesta a incidentes?

Jeremiah Salberg: Una gran pregunta allí. Sólo quería enmarcarla un poco. Somos un investigador forense PCI, eh, como una organización, y por lo que hacemos un montón de respuesta a incidentes, eh, la planificación de crisis, y por lo que hemos tenido un número de nuestros clientes que hemos tomado a través de ese proceso como parte de un ejercicio anual en el que hemos traído a los ejecutivos y los llevó a través de diversos escenarios. Uh, y es interesante como hemos ido a este modelo de trabajo a distancia, uh, una de las cosas que hemos jugado en muchos de esos escenarios fue lo que sucede para, um, el medio ambiente físico, uh, escenarios en los que la oficina no está allí y te ves obligado a que el trabajo a distancia desde casa modelo. Uh, con eso, um, nos fuimos a través de una serie de escenarios y es, es interesante si usted practica su, ya sabes, los planes de respuesta a incidentes, usted hace esos ejercicios de mesa, usted comienza a conseguir un poco de memoria muscular sobre la manera de evolucionar y de pivotar en una fuerza de trabajo alternativa. Y así tenemos algunos muy buenos comentarios con los clientes, dice que acabamos de ir a través de este escenario hace tres meses sobre cómo llegar allí. Sabíamos que teníamos un par de lagunas para conseguir algunas personas con el modelo de trabajo a distancia, pero pudimos tenerlo en nuestro radar. Sabíamos qué pasos teníamos que dar. Así que, ya sabes, la práctica de que el proceso de respuesta a incidentes, incluso si usted no está teniendo incidentes, pero, ya sabes, realmente sólo hacer esos ejercicios de mesa y caminar a través de los que si los escenarios realmente paga dividendos. Así que parte de, ya sabes, la resiliencia empresarial es, sin duda, tener esos, um, ya sabes, hacer esas actividades clave, aprender de ellos, y asegurarse de que sus ejecutivos son conscientes de ellos para que puedan tomar el tipo correcto de decisiones cuando sucede.

Brenda Ferraro: Sí, estoy totalmente de acuerdo. Fue gracioso cuando yo, tal vez no tan gracioso, pero cuando practiqué una prueba basada en un escenario en la empresa de la que trabajaba, um, dos semanas más tarde, tal vez dentro de dos a cuatro semanas más tarde, en realidad experimentamos ese escenario hipotético, y estábamos completamente preparados para ello. Así que demuestra que, um, ayuda en los esfuerzos para practicar. ¿Y la protección de infraestructuras críticas? Nuestra protección de infraestructuras críticas estaba más relacionada con ir a una oficina o viajar a las instalaciones de un proveedor o asegurarnos de que teníamos nuestros portátiles y dispositivos protegidos desde la perspectiva de poder ir a una oficina. Y ahora hemos cambiado al trabajo desde casa, pero también estamos viendo situaciones de Internet en las que las empresas tienen que acelerar o se están dando cuenta de la latencia y tienen que poner más servidores en sus planes de recuperación de desastres y ese tipo de cosas. ¿Qué está viendo en el campo de la protección de infraestructuras críticas?

Jeremiah Salberg: Ya sabes, eso es, um, interesante. Realmente depende de cómo se creó la infraestructura. Ha habido una gran aceptación y he visto un par de informes diferentes últimamente en torno a, um, la cantidad de adopción de servicios en la nube, um, ha ocurrido, no sólo en las comunicaciones, las reuniones de Zoom, la teleconferencia, pero en realidad un cambio de los servicios básicos porque estás, estás tratando de limitar los que son en realidad dentro del edificio. Así que, eh, para aquellas empresas que tipo de hecho que la inversión e hizo que levantar y cambiar el modelo de hace un par de años y en los últimos dos años han hecho eso, optimizado, estamos viendo que son capaces de tomar ventaja de eso y que están preparados para ello. Pero hay ciertas organizaciones, sin duda dentro de la fabricación y otras áreas donde tienen plantas físicas, que son, son, son una especie de atascado, ya sabes, tienen que averiguar qué y cómo van a operar. Así que realmente, estoy viendo que varía según la industria, pero, eh, los que han tipo de invertido en algunas de esas optimizaciones, eh, la adopción de tecnologías en la nube están empezando a ver realmente los beneficios de ellos. Um, la seguridad de punto final es uno que realmente también entra en juego si de repente tienes, ya sabes, los datos que se encontraban en las estaciones de trabajo y que está poniendo a los ordenadores portátiles, asegurándose de que los ordenadores portátiles tienen la, ya sabes, fueron configurados correctamente, gestionados y preparados para el tipo de actividades de trabajo de la información que, uh, que ahora pueden tener que hacer de forma remota. Así que ciertamente si esa planificación previa ha ayudado.

Brenda Ferraro: Sí, definitivamente he estado preguntando a algunas de nuestras 50 principales empresas, ¿están viendo un cambio en su lista de terceros críticos de quién es crítico y quién no? Y me han dicho que no, que en realidad no estamos viendo un cambio en las empresas y en la forma en que se clasifican, en el enfoque de nivel uno y crítico. Sin embargo, estamos viendo un cambio en nuestros controles clave, porque algunos de nuestros controles clave no estaban en su lugar y se están convirtiendo en más de una clave. Así que están empezando a poner esos controles en torno a eso, así que eso es realmente bueno. El último tema del que quiero hablar en esta página, porque todos son importantes, pero estaríamos aquí horas y horas, es la continuidad de las operaciones. Así que estamos viendo diferentes picos de, um, utilización en la gestión de la cadena de suministro y estamos viendo objetivos de nivel de servicio que pueden o no cumplirse de nuestras obligaciones contractuales. ¿Qué ejemplos tiene o qué consejos podría dar en relación con la continuidad de las operaciones?

Jeremiah Salberg: Absolutamente. Así que, eh, ya sabes, mirando a su cadena de suministro y cómo usted está tomando los bienes y servicios en, um, que está evolucionando y cambiando. Los precios están cambiando en ciertos equipos a medida que las cadenas de suministro se hacen más delgadas, pero tener múltiples vías para adquirir cosas y planificar eso es parte de tener un buen modelo de resiliencia empresarial. Um, voy a tomar una nota muy personal, um, mi esposa estaba, uh, tipo de traer a casa para mí es, ya sabes, ella estaba buscando algo para, uh, una cesta de Pascua para mi hija, um, y ella fue a buscarlo en Amazon, y no estaba disponible para ser enviado hasta el 20 de abril, y fue ella es como, eh, bueno, eso es sorprendente. Y el modelo de Amazon cambió. Así que tuvimos que ir a Walmart. Así que tuvimos que tener una cadena de suministro diferente allí. Del mismo modo, desde una perspectiva organizativa, estamos viendo que, eh, tienen que tener diferentes caminos para obtener y adquirir algunos de los bienes o servicios que necesitan para mantener las operaciones. Estamos un poco en la cúspide de ver que con el estado actual de las cosas, pero usted, al final del día, usted necesita asegurarse de que tiene planes y planes de copia de seguridad de cómo obtener y proporcionar sus servicios a través de su ecosistema de terceros y darse cuenta de que puede que tenga que tener una copia de seguridad allí. No siempre va a ser tal vez ese único proveedor que tiene en su lugar. Así que una buena continuidad de las operaciones dentro de la resiliencia empresarial realmente requiere que usted tenga una cadena de suministro diversa.

Brenda Ferraro: Y con eso de que todos trabajan desde casa, probablemente haya algunos niños por ahí, así que estamos ayudando al Conejo de Pascua consiguiendo llenar esas cestas, así que eso es bueno.

Jeremiah Salberg: Absolutamente. Muy bien, pasemos a la segunda pregunta de la encuesta, Peter, si puedes abrirla. Impresionante. Esta es la pregunta para todos. Cuando te vestiste esta mañana, ¿te detuviste a pensar, voy a estar en una videollamada hoy y cuán arreglado necesito estar? Uh, si, porque tengo que verme bien como esos meteorólogos en TV, todos trabajan desde casa. Uh, no, porque simplemente no me importa, o no, porque a mis compañeros de trabajo no les importa, o no, porque no voy a mostrar el aspecto de mi casa porque hay demasiada ropa sucia alrededor. Um, ciertamente he visto un par de personas con, um, los diferentes videos y mostrando su casa y tal vez demasiada perspicacia a veces. Pero lo que esto realmente diciendo es que sus necesidades han cambiado. Los requisitos que usted ha tenido como, eh, alguien que va a una oficina todos los días, eh, esos requisitos cambian, y cambia la forma en que está abordando, eh, sus rutinas, eh, y lo que hay que hacer. Del mismo modo, dentro de la empresa, sus necesidades van a cambiar y cambiar, y así que vamos a tener que tipo de mirada a los requisitos cambiantes, ¿cambia lo que realmente se requiere más? Tal vez no tengo que hacer esa acción en particular y podemos cambiar y pivotar en una dirección diferente, um, y centrarse en lo que.

Brenda Ferraro: Oh, por cierto, me vestí, pero no estamos en video hoy, así que. Pero hay veces que he aprendido que el nuevo atuendo del trabajo desde casa son las chaquetas de forro polar. Así que me pregunto en qué nos convertiremos cuando empecemos a entrar en los meses de verano. Lo sé. Espero que no sea demasiada información. No sé si tenemos los resultados de la encuesta, Peter, si puedes mostrarlos en la pantalla o no, para nosotros, pero...

Peter Schumacher: Sí, deberías verlo.

Brenda Ferraro: No lo estamos. Así que tal vez usted puede compartir la información para usted.

Peter Schumacher: Parece una bolsa mixta, por lo que el líder aquí fue, sí, tengo que lucir bien. Obtuvimos un 33% con esa respuesta, seguida de no, sé que a mis compañeros de trabajo no les importará. Eso es 31%, y luego no, no me importa llega a 20%, y luego la respuesta de lavandería, eh, 15%. Así que es una bolsa mixta. Gracias por eso.

Brenda Ferraro: Muy bien, tenemos aquí a continuación, eso fue divertido. Ahora vamos a hablar de los indicadores clave de riesgo. Así que estamos identificando un montón de cambios y cambios, al igual que estábamos hablando con respecto a lo que usted está usando basado en el trabajo desde casa. Estamos desplazando gran parte de la atención hacia las partes finales y el alcance del riesgo de cómo estamos trabajando con todas estas otras empresas y lo que podría estar sucediendo en el panorama de amenazas al que nos enfrentamos hoy en día. Al mismo tiempo, hacemos un seguimiento de los riesgos que hemos identificado en el pasado: ¿están siendo mitigados o necesitan ser ajustados, ya no son tan importantes como antes? Y luego, la supervisión de la puntuación de las amenazas, junto con los cuestionarios, para tener una visión completa de lo que se está escaneando y cómo estamos viendo el lado de la supervisión de la empresa, no sólo el lado de la supervisión cibernética, y luego verlos en una visión muy holística: ¿hay diferentes puntos de conexión?, ¿hay datos que se están manejando?, ¿hay unidades de negocio que dependen de esa información para ser transmitida?, ¿están proporcionando un servicio?, ¿están proporcionando una aplicación de software que necesita estar activa para que la empresa siga funcionando? Muchas veces nos fijamos en partes y piezas de estas vistas holísticas y tenemos que correlacionarlas por diferentes tipos de productos. Y lo que necesitamos es un producto y una solución como Prevalent que nos ofrezca toda esta información en una sola vista. Así, por ejemplo, si Acme Inc, que está en el centro, hay tantas interconexiones y asociaciones con terceros o entidades de nivelación o subprocesadores o datos que fluyen de un punto a otro. Y he visto que, um, esto es muy crítico e importante ahora donde estamos viviendo hoy en nuestro paisaje y cómo estamos cambiando la forma en que estamos haciendo negocios. Esta es una de las cosas que podemos ayudar a la empresa a entender por qué estos terceros o enésimas partes son fundamentales para el negocio y si podemos cambiar cualquiera de las partes móviles y piezas sobre la base de lo que descubrimos de ellos en si se ven afectados o no.

Jeremiah Salberg: Grandes puntos allí. Uh, absolutamente tener esa visibilidad y, ya sabes, ese diagrama de araña es muy bueno en el medio que tipo de, ya sabes, pinta la imagen de dónde están y, uh, lo que de sus terceros que usted necesita entender en esas cuartas partes, uh, grandes ideas. Así que cuestiona tu fatiga. Hablaste de eso un poco. Vamos a profundizar en ello.

Jeremiah Salberg: Claro, absolutamente. Y esto realmente juega en un par de lados diferentes. Pero, eh, desde la perspectiva de terceros, um, cualquiera que haya sido un CISO o sido responsable de responder o gestionar las respuestas de terceros sin duda entiende, eh, hoy mismo estaba llenando otro cuestionario para nuestra propia organización, eh, para una organización médica con la que estamos trabajando. Um, es una de estas cosas en las que, constantemente vienen allí, y por lo general, es sorprendente que, um, todavía hay un número de personas que están atrapados de nuevo en el, ya sabes, el modelo de la década de 1990 el uso de hojas de cálculo. Um, y mientras que el modelo de cuestionario sin duda existe, uh, el mecanismo para que usted maneja ese proceso es sin duda uno que se ha mejorado en los últimos años, y soluciones por ahí como Prevalent puede ayudar, ya sabes, automatizar y simplificar ese proceso. Una de las cosas que, um, al revisar el contenido que vuelve de estos cuestionarios, es importante ser capaz de normalizar esa información a través de los diferentes tal vez las empresas que están utilizando determinados proveedores o los tipos de proveedores en ciertos umbrales, si son o no usted sabe, pequeñas y medianas, si tal vez son, uh, proveedores de servicios en la nube, y mirarlos y ser capaz de aumentar la eficiencia de ese proceso de revisión de terceros. Uh, lo bueno de estas plataformas es que usted puede, uh, empezar a construir algunas reglas automáticas allí. Uh, uno de los problemas clásicos que veo con una organización es que va a enviar un cuestionario, um, y esto es con el legado de los que había una, ya sabes, una hoja de cálculo real diciendo, ¿haces esto cierta actividad, en caso afirmativo, por favor, adjunte la política. Y dicen que sí, pero no adjuntan la póliza. Y así se crea una transacción de ida y vuelta. Disponemos de un sistema que puede automatizar y aplicar inteligencia y requisitos inteligentes que, en caso afirmativo, obligan al usuario a adjuntar una prueba u otra cosa. Sin duda aporta eficiencia a ese proceso. Se minimiza el tiempo de ida y vuelta, que al final del día, usted está reduciendo el tiempo para completar esa evaluación, que es una clave, eh, indicador en el éxito de estos programas. ¿Cómo puedo reducir el tiempo que se tarda, cómo puedo hacer que se haga con precisión, y cómo puedo tener algunas marcas de tiempo de saber quién llenó uno, qué y cuándo? Um, también, una vez que usted comienza a tener toda esta información en su repositorio, puede volver atrás y decir y hacer un poco de hey, lo que en este escenario, ¿qué proveedores tienen este tipo de perfil? De repente, tal vez usted está tratando con una nueva vulnerabilidad que salió allí y hey, quiero saber cuántos de los míos son proveedores de servicios en la nube por ahí que podrían verse afectados por que tal vez quiero llegar a mi ecosistema de proveedores para seguir adelante y obtener información para que pueda gestionar mejor el riesgo de mi u organización. Um, al final del día, y esto es algo que, ya sabes, constantemente golpeamos a casa, el el objetivo de estos programas de evaluación de terceros es realmente entender los riesgos con la externalización. Y así, eh, al tener las ideas, mediante la correlación de los datos, tirando de todo junto, puede reutilizar los datos, además de que tiene análisis en tiempo real de lo que es el estado del programa, ¿cuál es el estado de mis proveedores, ¿cuántos de ellos he revisado, um, ¿cuántos de ellos están trabajando a través de ese proceso de remediación y aprobación? Definitivamente, hay algunas soluciones que ayudan a eliminar la fatiga del cuestionario.

Brenda Ferraro: Sí, y creo que lo interesante es que, volviendo a lo básico, tienes que saber exactamente cuál es tu cartera de proveedores o tu perfil. Y estamos empezando a notar una tendencia en la que las personas están empezando a querer saber cuál es mi riesgo inherente con sólo preguntar lo esencial. Y así entender qué es este negocio, qué hacen por mí, cómo estoy interactuando con ellos, ayudará a bucketize o nivelar o filtrar todos los componentes de la gran lista de lavandería enorme de miles y miles de proveedores y terceros y luego tomar esa información para la relevancia y preguntar lo que necesita saber frente a todo bajo el sol. Así que estoy empezando a ver cosas por el estilo, que está ayudando no sólo a las empresas que tienen que hacer la debida diligencia, pero los proveedores y los terceros que tienen que responder a estos elementos. Así que va en una buena dirección.

Jeremiah Salberg: Absolutamente lo es. Y permítanme retroceder por un segundo sólo un punto final. Sé que se nos está haciendo un poco largo, pero, ya sabes, como responsables de los programas de terceros, una de las primeras preguntas que te haces cuando hablas con un proveedor es leer y entender qué servicios prestan a una organización, y otro punto es ver si hay un solapamiento de proveedores de servicios que prestan tipos de servicios similares. Y que realmente juega de nuevo en la capacidad de recuperación empresarial. Si usted puede comenzar a conocer y marcar y entender que estos son dos proveedores que pueden hacer exactamente lo mismo. A menudo vamos a hacer revisiones de los proveedores, uno puede estar aprovechando un proveedor de terceros desde el espacio de publicidad, tal vez otro es de las finanzas, u otro tal vez otro está en un contenido o la capacidad de operaciones, pero tal vez hacen lo mismo, pero son sólo dos empresas diferentes, ya que pasar a tener, eh, contactos, relaciones. Cuando llegas a una organización de tamaño medio, empiezas a ver un montón de funciones superpuestas en tu ecosistema de proveedores, lo que puede ser, si rastreas adecuadamente esa información, una forma de proporcionar resistencia adicional a tus procesos.

Brenda Ferraro: Exacto, totalmente de acuerdo.

Jeremiah Salberg: Um, por lo que los reguladores, um, todo el mundo está siendo muy flexible, uh, en este momento permitiendo a las organizaciones hacer evaluaciones remotas, auditorías remotas, pero en el núcleo de todos estos, um, uno de los componentes básicos de todos estos marcos es que usted tiene que tener una visión de sus programas de terceros y, a veces las cuartas partes o enésimas partes que están suministrando servicios críticos. Así que algunas de las cosas que usted va a querer para asegurarse de que está, um, ya sabes, conocer estos requisitos requieren que usted tenga un inventario, hemos hablado de eso, un buen inventario completo de todos sus proveedores de servicios, pero no sólo eso, sino que tiene que ser integrado en su proceso de incorporación como parte de traer un nuevo, uh, proveedor. Tienes que tener un proceso de investigación para asegurarte de que tienen el tipo adecuado de controles de seguridad. En última instancia, hay que asegurarse de que los proveedores de servicios se ajustan a las propias políticas y expectativas de seguridad de la información y de que cumplen al menos los requisitos mínimos que se han fijado para la organización.

Jeremiah Salberg: Um, también estos marcos requerirán que usted revise regularmente sus terceros. Así que estas plataformas y herramientas, Prevalent, pueden ayudarte a conseguirlo. Cuando hablo y ayudo a gestionar estos programas con nuestros clientes, algunos de los KPI que miran son, ya sabes, ¿cuánto tiempo se tarda en pasar por ese proceso de revisión? Así que al tener un sistema donde se puede medir el tiempo de un cuestionario enviado, el tiempo que les llevó a completar ese cuestionario para hacer el análisis, para averiguar qué persona asignada está haciendo la evaluación de eso, para darles la luz verde o tal vez la la luz roja que hey, no podemos seguir adelante, um, medir cuánto tiempo se tarda en pasar por ese proceso es sin duda un indicador clave. Otro es, ya sabes, entender cuántos de tus vendedores has revisado y estás a la altura de lo que es ese proceso de revisión. Otro indicador fundamental es saber cuánto estoy gastando en mi programa de revisión por proveedor. Así que volver allí y decir, vale, mi programa cuesta X, tengo Y proveedores, ¿cuál es mi coste por revisión y asegurarse de que tiene sentido para el riesgo de la tolerancia al riesgo de la organización. Y probablemente lo más importante es ser capaz de medir y mantener una disposición de tus proveedores, ya sabes, cuántos de ellos están aprobados, cuántos están en remediación pero todavía estás trabajando con ellos pero tienen un plan de remediación en marcha, y quizás cuántos de ellos han sido rechazados. Estos son algunos de los aspectos clave que hay que tener en cuenta a la hora de medir un programa, entendiendo en última instancia que, como he mencionado antes, el objetivo del programa de evaluación por terceros es comprender y tener una visión de los riesgos de la subcontratación. Así que sé que nos estamos acercando al tiempo aquí, pero, uh, ¿alguna idea sobre cualquiera de esos, uh, puntos allí, Brenda, desde tu perspectiva?

Brenda Ferraro: Sí, muy rápidamente con respecto al cumplimiento, es importante asegurarse de que incluso si está utilizando una hoja de cálculo de Excel, que con suerte no verá en el futuro después de escuchar esto, que tiene la capacidad de ver ese contenido en diferentes vistas y lentes, por ejemplo, si alguien quiere ver cómo el contenido volvió de un tercero y cómo se relaciona con el cumplimiento de PCI o GDPR o HIPAA para que pueda obtener ese contenido a quien tenga que mirarlo desde ese punto de vista y depurar el ruido que no importa a ellos, pero sí importa a la empresa en su conjunto. Y, por supuesto, um, conocer sus números y actuar en sus números. Me encantan las métricas, así que asegúrate de tener esa información. Estoy totalmente de acuerdo con lo que has dicho. Así que cuando nos fijamos en cómo estamos aquí para ayudar, um, Prevalent está dando una oferta gratuita de resiliencia de negocios a cualquier persona, y esto es para ayudar en los tiempos que estamos viviendo y asegurándose de que estamos correlacionando que el contenido y los esfuerzos para saber lo que necesitamos en el futuro para cuando los reguladores se asienta y empiezan a decirnos que usted necesita saber acerca de X, Y, y Z, hemos pensado proactivamente acerca de las cosas que desde una perspectiva muy limitada, esto es lo que necesita saber porque es relevante. Así que aquí están los enlaces a aquí hoy, pero también Peter va a estar proporcionando este, uh, cubierta como un PDF para que usted pueda, afortunadamente, simplemente haga clic en ellos o conseguirlos en un correo electrónico. Hay demos, informes de muestra, y PDF de lo que las preguntas se parecen y, um, ¿qué estás haciendo en Tevora para ayudar en lo que estamos viviendo en la actualidad?

Jeremiah Salberg: Absolutamente. Así que, eh, una de las cosas clave que, eh, ayudamos a nuestros clientes en el espacio, eh, tenemos dos ofertas de servicios primarios aquí. En primer lugar, ayudamos a nuestros clientes a construir, reconstruir o reestructurar sus programas de terceros y les ayudamos a gestionarlos. Es cierto que hay que contar con el tipo adecuado de herramientas y plataformas, como Prevalent, pero hay mucho asesoramiento que hacer en ese frente para asegurarse de que A: se dispone de las entradas adecuadas para los sistemas de inventario de proveedores, ¿se obtienen de los sistemas contractuales o de algún otro lugar? Um, y entonces usted quiere asegurarse de que tiene una alineación adecuada, la alineación no sólo con sus propias políticas de seguridad de la información a los contratos de seguridad que usted pone en marcha con sus terceros. Así que a medida que avanza a través de ese proceso de contratación, si usted tiene una exhibición de seguridad o algo más que usted está diciendo que estas son las obligaciones que usted espera que mantengan, que los dos están en armonía, así como con el proceso de revisión cuando usted está haciendo preguntas, hey, ¿haces esto? ¿Está en consonancia con lo que ya figura en el contrato con ellos desde el punto de vista de los requisitos de seguridad y con su propia política de seguridad de la información? Conseguir una armonización adecuada es una pieza clave para asegurarse de que se dispone de un sistema de terceros eficaz y eficiente. Nosotros le ayudamos a conseguirlo.

Jeremiah Salberg: Ayudamos a las organizaciones a socializar ese proceso dentro de sus propias empresas para asegurarse de que esas entidades empresariales, a medida que avanzan en el proceso de adquisición, inician correctamente el programa de revisión por terceros, porque lleva algún tiempo. Y, por último, ayudar a las organizaciones a definir las reglas para las escaladas cuando, ya sabes, tal vez quieres escapar del proceso o si hay excepciones en el lugar que un ejecutivo ha ordenado que estamos utilizando un determinado tercero a pesar de que puede tener algunos riesgos de seguridad. ¿Y esa entidad tiene el proceso de aceptación de riesgos adecuado para documentarlo? Así que, puede haber algunas excepciones a la regla, pero, sin duda estamos aquí en el lado de la consultoría de ciberseguridad de los programas de terceros.

Brenda Ferraro: Sí, creo que cuando hablábamos de esto, lo que más me gustó de lo que mencionaste fue que tu empresa ayuda a construir el proceso del cuestionario armonizando las preguntas, el flujo de trabajo, los contratos, etcétera. Eso estuvo muy bien. Muy bien, entonces la pregunta de sondeo número tres, y luego vamos a llegar a cualquier persona que tenga preguntas, que se ha quedado en la línea con nosotros. Peter, ¿quieres rellenar eso? ¿Estaría interesado en colaborar con Prevalent en una evaluación gratuita de la resiliencia empresarial para comparar su programa? Hemos visto un gran éxito con esto donde la gente es capaz de identificar algunos de los, um, proveedores críticos y terceros y podemos ayudarle con eso. Así que le daremos la oportunidad de hacerlo. Y como estamos um, pasará a las preguntas.

Peter Schumacher: Sí, um, por lo que necesitamos en este momento, necesitamos que ustedes comiencen a escribir sus preguntas, la consola de preguntas y respuestas, que verán en su pantalla Zoom, um, y por favor aprovechen esta oportunidad. Tenemos dos, eh, expertos en riesgo de terceros en la línea aquí, listo para responder a cualquier pregunta. Así que, eh, o bien introducirlos en la sección de preguntas y respuestas, Zoom, o incluso puede introducirlos en el chat. Les daremos a todos un segundo para poner sus preguntas.

Peter Schumacher: Y entonces parece que, uh, la mayoría de la gente se ha quedado a través de la, la, uh, los últimos 36 minutos, así que eso es una buena noticia.

Brenda Ferraro: Gracias por estar con nosotros. Sí.

Jeremiah Salberg: Apreciamos que se hayan tomado el tiempo de su apretada agenda de hoy para pasar unos momentos con nosotros y repasar algunas de nuestras ideas en este espacio. Así que, um, e incluso si estas preguntas o algo que pensar, uh, después de la sesión de hoy, uh, por favor, llegar. Uh, ciertamente habrá algunas comunicaciones de seguimiento. Sabed que Brenda y yo estamos aquí para responder a esas preguntas, aunque no sea ahora, pero surjan. Uh, esto es ciertamente algo que, uh, estamos encantados de ayudar a apoyar en.

Peter Schumacher: Sí, gracias, Jeremías. Creo que parece, um, tenemos un par de personas levantando la mano. Creo que hay un botón para levantar la mano. Si no te importa, escribe tu pregunta en la sección de preguntas y respuestas. No quiero abrir las líneas de audio, um, si no es necesario.

Brenda Ferraro: Pero no temas, si alguna vez tuvieran que abrir su línea de audio, definitivamente podría participar con traer un perro y tener un perro ladrando de fondo si fuera necesario.

Jeremiah Salberg: Sí, por suerte, por suerte he estado trabajando para desde casa por un número de años, así que tengo mi situación, eh, espero que bajo control cuando los niños están en la casa y y no hay mascotas cerca. Pero, um, nosotros, todos hemos experimentado recientemente, uh, compañeros de trabajo que tienen no suelen trabajar desde casa y tienen, uh, algunas distracciones que todos llegamos a compartir en. Um, ver en el chat algunos comentarios positivos, eh, y entonces aquí está la pregunta. Veamos, ¿cómo evaluarías la resiliencia a través de un cuestionario y cómo lo verificarías, Jeremiah?

Brenda Ferraro: ¿Quieres que tome eso o te gustaría, ¿por qué empezar? Puedo añadir a ese si no te importa.

Jeremiah Salberg: Bueno, genial.

Brenda Ferraro: Así que los cuestionarios en sí mismos no solo sirven para iniciar la conversación, sino también para tomar conciencia de los distintos controles existentes. Y cuando tiene que ver con la resiliencia empresarial, hay que asegurarse de que se hacen preguntas y se toman medidas en función de las respuestas. Así que, por ejemplo, si tienes, supongamos, 10 preguntas que estás haciendo, vas a querer asegurarte de que esas preguntas o bien van a ser escaladas a un determinado departamento, va a ser el seguimiento de la información que necesitas saber, o va a causar acciones para que tomes y esfuerzos para que obtengas ese conocimiento. Y en el más importante es saber si están impactados o el segundo más importante es saber si van a tener que cerrar negocios porque tendrás que tomar una decisión basada en el riesgo para cambiar. Pero esa recopilación de contenido es crítica porque si no lo sabías antes con tus cuestionarios actuales que tienes ahora, esto pone una muy, um, una luz brillante en la construcción de relaciones con esos vendedores que son más fuertes y ayudarles a navegar con usted exactamente lo que hay que hacer como los cambios tienen que ocurrir. ¿Qué piensas, Jeremiah?

Jeremiah Salberg: Absolutamente. Y haciéndome eco de lo que dices, los cuestionarios realmente inician el debate y el diálogo para que puedas empezar a hacer esas segundas preguntas secundarias y preguntas de seguimiento. Cada proveedor de servicios va a tener un poco diferente, eh, la singularidad de lo que es importante para usted. Puede que se dediquen al desarrollo de software, puede que te proporcionen bienes o servicios de algún tipo. Así que saber dónde están ubicados, saber, eh, qué tipo de, ya sabes, cómo de grande es la organización. Así que hay algunas preguntas de perfil que siempre se incluyen en este tipo de darle una idea y sentar las bases. Pero al hacer esas preguntas y saber qué servicios están proporcionando te ayudará a tomar una determinación, ya sabes, ¿necesitan, confían en, ya sabes, están utilizando un centro de datos, qué tipo de centro de datos están utilizando, están utilizando AWS, están utilizando tal vez un centro de datos fuera del mercado? Um, y así, está bien, lo que es que fuera del mercado centro de datos, ¿tienen el tipo de resiliencia, el, ya sabes, cuatro nueves, cinco nueves, cualquiera que sea el número de nueves que tienen para ayudar a proporcionar el tipo de servicios que se necesitan detrás de él? Así que realmente como, uh, Brenda que usted mencionó allí, usted sabe, se inicia el debate, pero realmente depende de lo que ese servicio está siendo proporcionado a usted para entender y hacer el qué si las preguntas del escenario y diciendo, bien, ¿eso tiene suficiente capacidad de recuperación para lo que usted necesita como organización? Esperemos que la respuesta sea buena. Um, si no lo hizo, por favor, siga con nosotros. Estaremos encantados de entrar en un debate mucho más profundo, eh, después.

Peter Schumacher: Gracias, Jeremiah. Sí, y tenemos, eh, en esta diapositiva, um, un par de direcciones de correo electrónico. Pero, um, también recibirá estas diapositivas en una grabación de esta sesión. La enviaré mañana por la mañana. Así que siéntase libre de responder a eso y voy a dirigir su pregunta, eh, a Brenda y Jeremiah. Um, pero no veo nada más en la cola. Uh, ustedes han hecho un trabajo maravilloso proporcionando consejos y trucos y una buena conversación. Creo que han satisfecho la curiosidad de todos, así que no hay más preguntas. Creo que vamos a, um, seguir adelante y terminar con esto. Así que muchas gracias, Brenda. Gracias, Jeremiah, y que todo el mundo se mantenga a salvo, eh, yo diría por ahí, pero me refiero a sus hogares. Manténganse a salvo en sus casas, eh, y buena suerte a todos. Cuídense todos.

Brenda Ferraro: Gracias. Que estés bien.