Gestión sostenible de riesgos de terceros - Parte 3: Triaje, evaluación y supervisión

Melissa: Muy bien, bienvenidos, bienvenidos a todos. Eh, feliz miércoles. Es genial ver que todos empiezan a unirse. Eh, mientras esperamos a que lleguen los demás, voy a lanzar nuestra primera encuesta. Estoy segura de que, si no es vuestra primera vez, ya habéis visto esto antes. Pero solo queremos saber qué os ha traído al seminario web de hoy. ¿Es por motivos educativos? ¿Estáis en las primeras etapas? Si sois clientes actuales, hacédmelo saber. Voy a dejar la encuesta abierta durante un minuto o dos y voy a empezar rápidamente con las presentaciones. Tenemos aquí a un invitado muy especial, el fundador y director ejecutivo de Cyber Marathon Solutions, Bob Wilkinson. Saluda, Bob.

Bob Wilkinson: Hola, Bob.

Melissa: También contamos con nuestro propio Scott Lang, vicepresidente de marketing de productos aquí en Prevalent, además de mí misma. Mi nombre es Melissa. Trabajo en desarrollo empresarial y suelo ser la persona que se pone en contacto con ustedes después de este seminario web, y ya he charlado con algunos de ustedes anteriormente. Es posible que hayan oído mi voz. Lo siento. Y probablemente hayan oído hablar de eso o de Amanda, Landon o Null. Así que estad atentos. Hoy Bob va a profundizar en la tercera parte del tema titulado «Evaluación de triaje y supervisión continua». Si por desgracia os habéis perdido las dos primeras partes, podemos facilitaros las grabaciones. Un pequeño recordatorio: queremos valorar vuestro tiempo, por supuesto, así que no dudéis en utilizar la sección de preguntas y respuestas para todas aquellas preguntas que podáis tener. Se perderán en el chat, lo prometo. Así que asegúrense de utilizar la sección de preguntas y respuestas lo mejor posible. Esto también se está grabando, así que no se preocupen. Lo recibirán en su bandeja de entrada hoy o mañana. Por último, todos ustedes están en silencio, así que utilicen el chat si necesitan comunicar algo que no sea una pregunta o respuesta. Aparte de eso, voy a pausar esta encuesta y dejaré que Bob se encargue.

Bob Wilkinson: Muchas gracias, Melissa. Bien, como ha dicho Melissa, esta es la tercera parte de una serie de cuatro sobre la creación de un programa sostenible de gestión de riesgos de terceros. Hoy vamos a tratar varios temas, entre ellos lo que yo denomino «ámbitos de riesgo de la cadena de suministro», la clasificación, la evaluación de riesgos, la supervisión continua y la lista de verificación automatizada del programa de terceros. La automatización es un factor clave para el éxito de su programa de gestión de riesgos de terceros. Así que, al entrar en materia, vamos a empezar hablando de la importancia crítica de los terceros. ¿Sabe cuáles de sus terceros y cadenas de suministro ampliadas asociadas están vinculados a sus servicios y productos empresariales críticos para la gestión de riesgos? A continuación, analizaremos los terceros y cómo se desglosan y clasifican dentro de su organización. Lo que queremos decir aquí es diferente de una categorización de gestión de compras o suministros basada en la función. Se basa en el riesgo y en cómo podemos clasificar en función del ámbito de riesgo en el que se encuentra un tercero para acelerar y simplificar el proceso de incorporación de terceros. A continuación, hablaremos un poco sobre las evaluaciones periódicas de riesgos y los eventos que desencadenan una reevaluación de terceros, de los que todos debemos ser conscientes. A continuación, profundizaremos un poco en la ciencia y el análisis de datos y en cómo estos pueden convertirse en un elemento fundamental para ayudarle a cuantificar el riesgo que existe en su inventario de terceros y cómo pueden impulsar las medidas que tome en el futuro. A partir de ahí, pasaremos a la supervisión continua de terceros, cómo empezar, una lista de verificación de factores importantes para la supervisión continua, y luego concluiremos hablando del papel de la automatización en un programa de gestión de riesgos de terceros y algunos de los elementos clave que dicha automatización debería abordar. Empecemos por la importancia de los terceros. Dependiendo del tamaño de su organización, puede tener desde un número reducido hasta, literalmente, decenas de miles de terceros en su cadena de suministro. Por lo tanto, cuando piensen en cómo evaluar los riesgos asociados a ellos, se trata de determinar cuáles son los más críticos para su negocio y cómo identificarlos y centrarse en ellos. Por lo tanto, podría implicar el papel de un tercero en algunos de sus procesos operativos clave, la función que desempeña el tercero, la clasificación de la información que maneja. Y al analizar estos diferentes terceros, es muy importante tener un punto de partida. Y una de las cosas que puede hacer para identificar el punto de partida para definir la criticidad es trabajar con su equipo de recuperación ante desastres y continuidad del negocio, ya que suelen tener una lista de los procesos y servicios críticos que proporciona su empresa, lo que le daría una idea inicial de cuáles de sus terceros se definen como críticos. Hay otras formas de hacerlo. Pero cuando se quiere empezar, para mí esa suele ser la forma más fácil de obtener esa información. Cuando sepa cuáles de sus terceros críticos están asociados a diferentes procesos empresariales, no se detenga ahí. Fíjese en qué cuartos, quintos y sextos terceros también podrían estar prestando servicios a ese tercero que participa en su proceso empresarial crítico, ya que puede darse el caso de que el tercero comparta el acceso a su infraestructura o comparta su información confidencial con cuartos, quintos y sextos terceros, y es posible que usted no sea plenamente consciente de ello, lo que en sí mismo amplía el riesgo para esos procesos empresariales críticos más abajo en su cadena de suministro. Por lo tanto, pensar en el impacto total que esos terceros y n-tos críticos podrían tener en su organización le proporciona una buena base para saber por dónde empezar a analizar el riesgo de terceros en su programa.

Scott Lang: Hola, Bob.

Bob Wilkinson: Sí.

Scott Lang: Ya tengo un par de preguntas. Eso está bien.

Bob Wilkinson: Muy bien, vamos a ello.

Scott Lang: Están listos para hablar. Entonces, ¿qué importancia se le debe dar a la revisión de las cuartas partes? ¿Se les debe clasificar también según el riesgo o cuánta diligencia debida y supervisión continua se les debe exigir?

Bob Wilkinson: De acuerdo, es una pregunta realmente difícil, porque digamos que empiezas con 100 terceros, pasas a cuartos, puede que tengas mil, pasas a quintos, puede que tengas 5000. Así que se convierte en un número inmanejable y eso, combinado con el crecimiento normal del número de terceros que utiliza tu empresa, supone un reto importante. A medida que avancemos en la presentación, hablaremos más sobre ello. Pero el hecho de vincular a los cuartos proveedores con los servicios y productos críticos que ofrece tu empresa es clave en lo que debes centrarte. A medida que avancemos en la presentación y hablemos del papel de la supervisión continua, ahí es donde tendremos la oportunidad de aprovechar realmente y supervisar aún más a esos cuartos y quintos proveedores. Esa es una respuesta parcial que ampliaré a medida que avance en la presentación.

Melissa: De acuerdo. ¿Y qué hay de la cuarta, quinta y sexta parte? ¿Cómo definirías eso?

Bob Wilkinson: Son los subcontratistas de su empresa o de un tercero. Supongamos que usted trabaja con IBM y que IBM subcontrata algunas de las funciones a AWS, que se encarga del alojamiento de cualquier software o aplicación que utilice IBM. En ese caso, AWS sería un cuarto socio para usted. Para IBM, sería un tercero.

Melissa: Entendido. Genial. ¿Y las terceras y cuartas partes tienen alguna obligación de responder a una solicitud de información?

Bob Wilkinson: Bueno, todo depende de si tienes un contrato que les obligue a hacerlo. Ahora bien, lo importante es hasta qué punto puedes estandarizar el lenguaje de tu contrato con terceros y cómo comunicas a los terceros que cualquier cuarto, quinto y sexto tercero que utilicen está sujeto a los términos del contrato que tienes con tu tercero. Por lo tanto, cuando analizamos los contratos, hay tres cosas importantes que hacer. La primera es el derecho a auditar, que aborda esta cuestión. Y lo que usted quiere garantizar con su tercero es que este esté realizando la debida diligencia suficiente con respecto a esos cuartos, etc., para asegurarse de que se adhieren a los estándares del contrato que el tercero tiene con usted. Así que ese es un aspecto importante que usted les obliga contractualmente, porque si no lo hace, ellos pueden decir que usted no tiene derecho a hacerlo y que no hay nada en el contrato. Esa es una forma de abordar el tema.

Melissa: Got it. Okay. Thank you. Okay. So let’s talk about risk domains. Now when I talk about risk domains, I’m differentiating from uh product domains, if you will. So it’s not uncommon in procurement organizations that they would come up with classifications of third parties based on the services provided. This is a similar concept, but the important differentiator is it’s based on risk. So when we think about this, there are numerous ways and it will to some extent be driven by the type of business your organization is in how you would classify that. But you could do it based on functions, products, services. Um so some examples might be uh you classify all of your call centers that provide customer support. It might be payment processors. It might be software developers which is very very important and I’ll talk about more in this presentation. You also might have risk domains that are structured based on the information that you share with your third parties. You might also do um and some companies in fact do this. You might have a risk domain based on employee information that’s shared with third parties because you want to get that granular. You might do it based on those companies that have access to your infrastructure. The point being that there are numerous ways to classify risk domains, but by doing it that way, um, as you’ll see in another slide or two, you have the opportunity to focus on the controls that are most critical for that risk domain. And that’s where you can really leverage the process to be more efficient. Now, one of the challenges that all third part risk management programs have these days is the organic growth in the number of third parties. Many of the companies I talked to say that their third parties increase uh anywhere up to and above 10% a year. Now, if you think about that, if you have a thousand third parties and you’re getting 100 new ones a year, how is your organization prepared to do the due diligence? and incorporate and onboard all of those new third parties. That in itself becomes a challenge. If you go back to your management and say, “Well, the program’s growing 10% a year, so I need 10% more a year in my budget.” Well, good luck with that because that’s uh not a high likelihood that you’re just because the program is growing that you’re going to get that additional funding. So, we have to work smarter about how we deal with the risk. And that ties back to the criticality of the service provided. But by focusing on risk domains, you are better able to manage the volume of third parties and third party due diligence that you need to manage. Now, there are two important factors here. By more efficiently managing your third-party inventory, you’re able to better manage the costs associated with the program. But the other point is by defining um into risk domains who your third party third parties are, you’re also able to see where you have duplication. So, and I’ve talked about this before, the the key point when a business unit comes to you and says they want to onboard a new third party, the first question you should always ask is, well, do we already have a third party that provides the service that you’re looking for because if we already have a third party that provides the service that you’re looking for, you can eliminate the due diligence. You’re likely going to get better pricing because you’re expanding the relationship with an existing third party and it just makes everything more efficient. And in the process of doing that, you’re also decreasing risk. So from my perspective, this is a win-win. You manage the number and the total cost of doing the due diligence on the third parties while you’re also li limiting the amount of risk. So how do we do this? Um this is what I call risk triage. So when we have third parties categorized by risk domains, we can focus on those specific controls which are most important to the type of work and the risk that’s involved with that particular risk domain. So what I’m saying is you can ask a smaller number of questions and you can focus on the key controls that are involved with a particular risk uh domain to determine whether you need to go deeper. So what we’re trying to do here u when we when we take a step back and we look at our third party risk programs is we’re trying to be more efficient. We’re trying to help the businesses because if the businesses aren’t being successful in getting the third parties on board that they need to do their business and take advantage of opportunities, then it’s not going to be too long before that we don’t need a third party risk management program because the business is not successful. So, in streamlining our approach to how we manage the third parties we have to deal with and by focusing on the key controls that are involved In managing risks associated with those risk domains, we can be much more efficient in how we onboard and how we manage on an ongoing basis the risk that’s associated with using third parties. Now, that ties directly into data science and analytics. So, everyone hears that, you know, we’re doing more things with data science and analytics. Here’s a way that it converts into how you manage your third party risk management program. So if I have a a a set of questions that I apply to a specific risk domain, say I’m looking at uh third parties who use confidential information. What are the what are the critical controls, the key controls that I care about there? Well, how is that information being transmitted? What is that volume of information that’s being shared um what do we know about the third party and their level of security? …

Bob Wilkinson: Al hacer eso, lo que hacemos es centrarnos en los aspectos más importantes de la relación. Y, utilizando la ciencia de datos, obtenemos un valor ponderado para esas preguntas clave en las que nos centramos. Por ejemplo, si me preocupa la información confidencial, ¿qué importancia le doy a la seguridad con la que se comparte esa información? ¿Qué importancia le doy al volumen de información que se comparte y a lo que hace este proceso? La diferencia clave con respecto a la forma en que se hacen muchas cosas hoy en día es que lo que hacemos cuando evaluamos los controles clave asociados a un ámbito de riesgo es combinar nuestros datos internos con datos de fuentes públicas externas, como algunas herramientas de cibervigilancia y algunas herramientas de gestión de riesgos más amplias que solo se centran en datos disponibles públicamente. Cuando podemos tomar datos disponibles públicamente y combinarlos con la información interna que tenemos, lo que podemos hacer es tener una visión muy clara del riesgo que representa un tercero concreto para una empresa. Al hacerlo, lo que obtenemos es la capacidad de establecer um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um um Así, por ejemplo, en una escala del uno al cinco, en la que cinco es bueno y uno es malo, estableceríamos nuestro umbral para el uso de información confidencial, digamos, en cuatro. Por lo tanto, si cuando hacemos estas preguntas sobre los controles clave en el proceso de clasificación de riesgos, obtenemos una puntuación inferior a cuatro, entonces realmente tenemos que examinar y hacer más diligencia debida debido a la sensibilidad de la información y a las aparentes lagunas que tiene un tercero. Ahora podemos hacerlo a nivel individual. Al puntuar a un tercero individual, podemos puntuar la cantidad de riesgo a nivel de dominio de riesgo. Todo lo que hacemos es tomar el número de terceros que se encuentran en un dominio de riesgo y obtener la puntuación media, o podemos puntuar el riesgo de toda nuestra cartera de terceros, todo el inventario. Y una vez que utilizamos la ciencia de datos, podemos calcular en cualquier momento la puntuación de riesgo de nuestro inventario de terceros.

Bob Wilkinson: Y lo importante de esto es que nos permite ver cómo estamos evolucionando en cuanto al riesgo derivado del uso de terceros para nuestra organización. Ahora bien, esto es mucho más complejo de hacer y, en este seminario web, no tenemos tiempo para profundizar en este tema, pero lo que intento hacer es darles una idea de una forma diferente y más cuantitativa de establecer y medir el riesgo, y poder comunicárselo a sus diversas partes interesadas para decirles que el riesgo en la cartera está aumentando, o que el riesgo en estas áreas está aumentando, o que el riesgo con este tercero en particular está aumentando. Por lo tanto, hay ventajas en definir el riesgo por dominio y centrarse solo en los controles clave. En lugar de examinar todos los controles posibles que podrían estar asociados con un tercero cuando se realiza la selección inicial de la empresa para terceros o cuando se busca incorporar a una organización específica después de haber realizado este proceso. Así que voy a pasar a otra cosa y, cuando lleguemos a la situación en la que decidamos que se ha superado el umbral de riesgo para una empresa determinada en un ámbito de riesgo concreto, entonces querremos profundizar más. Y ahí es donde entramos, por así decirlo, en una evaluación completa del riesgo de una organización en la que ese tercero ha planteado suficientes preguntas a partir de las respuestas que ha proporcionado a los controles clave asociados a un ámbito de riesgo, de modo que usted considera necesario profundizar porque hay preguntas sin respuesta sobre cuál es su postura con respecto a la gestión de los riesgos clave para ese ámbito de riesgo. Así que, cuando examine eso, tendrá que decidir qué cuestionario va a utilizar. ¿Tiene una pregunta propia o va a utilizar alguno de los diversos cuestionarios estándar del sector que hay disponibles? En cualquier caso, debe hacerlo de forma estandarizada. La segunda cuestión es: ¿cómo va a abordar la realización de esas evaluaciones de riesgos? ¿Las va a hacer in situ? Bueno, eso no ha ocurrido mucho desde que estamos en la fase COVID. ¿O lo va a hacer a distancia o va a utilizar una combinación de ambas cosas? ¿Va a utilizar los recursos de su propia organización para realizar las evaluaciones de riesgos? ¿Va a aumentar la plantilla y externalizar este proceso?

Bob Wilkinson: ¿Está dispuesto a utilizar recursos externos porque está tratando de gestionar de manera más eficiente los costes asociados al programa? ¿Recurrirá a empresas de servicios de evaluación de riesgos, de las que hay varias que realizarían la evaluación de riesgos, le proporcionarían un informe y se basaría en él? Entonces llega al punto en el que se identifican los problemas en sus evaluaciones de riesgos y esos problemas tienen que solucionarse. Y permítame ser muy claro en mi opinión sobre este punto, que es que la razón por la que evaluamos los riesgos es para que, cuando los identifiquemos, podamos solucionarlos y mitigar el riesgo para nuestra organización. Así que, desde mi punto de vista, el objetivo de un programa de gestión de riesgos de terceros es identificar y mitigar los riesgos, y con demasiada frecuencia las partes interesadas de la organización consideran la gestión de riesgos de terceros como un ejercicio de cumplimiento. De acuerdo, evaluamos el riesgo asociado a un proveedor. Podemos marcar la casilla y decir que cumplimos con la normativa porque hemos realizado la evaluación de riesgos. Eso no ayuda en nada a gestionar o mitigar el riesgo. Es un ejercicio de cumplimiento normativo. Y el cumplimiento normativo es fundamentalmente diferente de la gestión de riesgos. Por lo tanto, céntrese en los riesgos, en su identificación y luego en su mitigación, y luego valide que los riesgos que ha identificado se han mitigado realmente. Ese es el paso crítico que reduce el riesgo. Ahora bien, después de haber evaluado e incorporado a un tercero, hay una serie de eventos desencadenantes que pueden ocurrir y que le harán querer volver atrás y reevaluar al tercero con el que está haciendo negocios. Y el más obvio de ellos es una violación de datos. Ante cualquier noticia negativa de este tipo, debe asegurarse de que su tercero, cuarto o quinto, según sea el caso, haya tomado las medidas adecuadas para mitigar el riesgo que provocó la violación de datos, el ataque de ransomware o cualquier otro caso.

Bob Wilkinson: Otros acontecimientos que pueden desencadenar una reevaluación son un cambio de propiedad, una fusión o una adquisición. Cuando se enfrentan a posibles riesgos normativos y de reputación derivados de la nueva legislación y normativa que están aplicando los reguladores de diversos sectores, es importante asegurarse de que los terceros con los que trabajan también cumplen con la normativa, ya que el uso de terceros no les exime de la responsabilidad de cumplir con la normativa legal. Otros acontecimientos que pueden desencadenar una reevaluación son el traslado de un centro de datos a una nueva ubicación física o la deslocalización de cualquier servicio de terceros, o, cada vez más, a medida que vemos cómo más aplicaciones migran a la nube, lo que se convierte en un área importante en la que es necesario comprender muy bien los controles que se han establecido. Otro aspecto es cuando revisa periódicamente a sus terceros y se ha producido una ampliación de la relación, ya sea por una nueva funcionalidad o por un aumento significativo del volumen de información que se comparte con el tercero, debe ser consciente de ello y eso en sí mismo podría requerir que desee realizar otra evaluación de riesgos. Así que si tenía una relación con un tercero con el que compartía 100 registros de clientes y, un año después, comparte 10 millones. Las cosas han cambiado radicalmente y el perfil de riesgo y la representación del riesgo que ese tercero representa para usted es muy significativo. Y además de eso, se da la situación en la que la situación financiera de un tercero se deteriora, porque si la situación financiera de una empresa se deteriora, usted tiene que cambiar a un nuevo tercero o volver a internalizar un servicio. Eso no es algo que se pueda hacer de la noche a la mañana. Y eso nos lleva a otro punto importante: cuando las empresas subcontratan a terceros para que realicen una función específica, siguen teniendo la obligación de conservar los conocimientos necesarios para poder recuperar esa función internamente si fuera necesario, y los proveedores de servicios críticos deben tener un plan para hacerlo.

Bob Wilkinson: Y si no tienes un plan, entonces eres potencialmente vulnerable si un tercero se declara en quiebra o se produce algún otro evento. Así que cambiemos un poco de tema y hablemos del monitoreo continuo de terceros. La realidad de la gestión del riesgo de terceros es que cambia a diario. Y cuando piensas en realizar una evaluación periódica del riesgo, eso significa que durante un día al año sabes cuál es la postura de riesgo de tu tercero, pero no tienes una buena visión de los otros 364 días del año. Y con el aumento tan significativo de los riesgos que hemos visto, y no se trata solo de los riesgos cibernéticos, ahora tenemos que pensar en el riesgo de interrupción del negocio, la resiliencia operativa, todo, incluido el riesgo ESG. Ahora que tienes que supervisar al menos a tus proveedores de servicios críticos a un nivel superior al de realizar una evaluación de riesgos anual, eso simplemente no tiene sentido en términos de cómo gestionas el riesgo. Entonces, ¿cómo se implementa una solución de supervisión continua? Hay muchas herramientas disponibles. Las diferentes herramientas ofrecen diferentes funcionalidades, pero la clave es que, si se quiere implementar una supervisión continua, hay que entender cómo se va a implementar en la organización el producto o la plataforma que se vaya a utilizar, de modo que los resultados de la supervisión continua se incorporen al proceso empresarial adecuado. Las personas que deben tomar medidas las tomarán, porque yo diría que es peor empezar a hacer un monitoreo continuo y que nadie preste atención a los resultados que no tener ningún monitoreo continuo, porque entonces sabías y no hiciste nada. Por lo tanto, cuando evalúes productos de monitoreo continuo, debes tomarte el tiempo necesario para comprender cómo vas a implementarlos en los flujos de trabajo de los procesos operativos de tu organización. Ese es un paso absolutamente crítico. El otro punto es que la supervisión continua se basa en gran medida en la supervisión de fuentes de datos disponibles públicamente. Entonces, ¿cómo se ve su presencia en Internet desde el punto de vista del público externo y cuáles son las vulnerabilidades que pueden existir? Desde esa perspectiva.

Bob Wilkinson: Te dirán muy bien dónde tienes diversas vulnerabilidades desde una perspectiva pública, pero eso no cubre las vulnerabilidades internas que puedas tener y que estas soluciones de supervisión continua no pueden detectar. Además, hay que recordar que las habilidades de las personas que se dedican a la supervisión continua son diferentes en ciertos aspectos de las de quienes realizan evaluaciones de riesgos periódicas. Por lo tanto, debe asegurarse de contar con recursos que comprendan y estén debidamente capacitados para extraer los beneficios de una solución de supervisión continua. Al iniciar la supervisión continua, llegamos a una de las preguntas anteriores y comenzamos a hablar de cómo podemos obtener visibilidad de la cuarta, quinta y sexta parte. Así que, cuando configure su solución de supervisión continua. Lo habitual es que, en su contrato con un proveedor de plataformas de supervisión continua, defina el alcance del número de terceros que desea supervisar. Algunas empresas supervisan todo. Y desde esa perspectiva, a medida que construyes tu inventario de terceros, cuartos, quintos y sextos, tienes la posibilidad de añadir esos cuartos, quintos y sextos que están asociados inicialmente con tus procesos empresariales críticos, de modo que puedas supervisarlos a diario junto con tus terceros, y esa es la ventaja y la solución a la pregunta de qué debes hacer en términos de supervisión de cuartos, quintos y sextos. Si dispone de una solución de supervisión continua, podrá ver a diario la misma información sobre esos cuartos y quintos que le interesan que la que ve sobre sus terceros. Cuando se trata de realizar evaluaciones de riesgo periódicas de sus cuartos y quintos desde el punto de vista logístico y desde la perspectiva de los costes y la gestión de programas, se trata de una tarea muy difícil. Por lo tanto, avanzar hacia la supervisión continua de sus terceros y sus subcontratistas, los cuartos, quintos y sextos, le ofrece una forma de hacerlo. Ahora bien, algunas de las ventajas de algunas de las soluciones de supervisión continua es que le permiten tener una visión más amplia del riesgo operativo.

Bob Wilkinson: Tradicionalmente, la gestión de riesgos de terceros se centra en la ciberseguridad y en la continuidad del negocio, la recuperación ante desastres y el impacto en la resiliencia operativa. Pero lo cierto es que necesitamos supervisar la salud financiera de los terceros, el riesgo geográfico y de concentración, el cumplimiento normativo, las noticias negativas, los criterios ESG, y que es necesario adoptar una visión holística del riesgo operativo. No se trata de una cuestión de ciberseguridad. No se trata de una cuestión de continuidad del negocio. Se trata de una cuestión de riesgo operativo. Y para gestionar eficazmente esos riesgos, es necesario adoptar esa visión holística. También hay que tener en cuenta que, con el tiempo, los terceros establecerán otras relaciones y adquirirán otras empresas, lo que repercutirá en cuartos, quintos y sextos terceros, y hay que ser consciente de ello. También hay que ser consciente de cómo cambian las relaciones y saber si se trata de un aumento de datos o de una funcionalidad adicional que terceros y cuartos pueden estar proporcionando a su empresa, hay que ser consciente de ello. Por lo tanto, adoptar una visión holística, analizar los riesgos operativos y considerarlos desde una perspectiva multifactorial y de descubrimiento continuo del inventario realmente aprovecha todas las ventajas de la supervisión continua. Lo que he hecho aquí es proporcionar una lista de verificación de algunas de las cosas de alto nivel en las que debe pensar cuando considere implementar un programa de supervisión continua. Entonces, ¿qué tan completo es su inventario de terceros? ¿Tiene alguna idea de quiénes son sus cuartos y quintos terceros? Cuando piense en la supervisión que desea realizar, querrá supervisar a sus terceros y cuartos terceros en la ubicación donde le prestan el servicio. Muchos programas de terceros, cuando crean su inventario, pueden no tener buenos datos sobre la ubicación de los terceros o sobre el lugar desde donde se presta el servicio a su empresa, que es lo más importante. Por lo tanto, no le interesa acabar con un inventario de terceros que contenga una lista de todas las sedes corporativas de todas las empresas con las que hace negocios. Lo que le interesa es conocer las direcciones desde donde se prestan esos servicios.

Bob Wilkinson: ¿Realmente está tratando con IBM Corporation en Armon, Nueva York, donde se encuentra la sede central de la empresa? ¿Está tratando con una filial de IBM que le presta servicios con sede en Chennai, India, por ejemplo? A continuación, ¿cómo ha pensado, desarrollado, implementado y documentado los procesos de supervisión continua para garantizar que, cuando se active esa plataforma de supervisión continua, su organización sea capaz de asimilar y aprovechar la información que se genera? A continuación, ¿qué visibilidad tiene de la cadena de suministro ampliada que utilizan sus terceros? Una vez más, empezando por sus procesos críticos, ¿quiénes son los cuartos y quintos terceros asociados a esos terceros y, con el tiempo, creando ese inventario y comprendiendo qué información se comparte? ¿Tiene información sobre dónde se encuentra su organización, dónde comparte información, el volumen de información y cómo cambia eso con el tiempo con sus terceros, porque ahí es donde querrá centrarse primero en el intercambio de datos y, en segundo lugar, en el acceso a su infraestructura corporativa? Entonces, ¿qué acceso tienen estos terceros y, potencialmente, cuartos y quintos terceros a su infraestructura? ¿Se siente cómodo con eso y es consciente de ello? Ya he hablado de las ubicaciones físicas, pero no me cansaré de insistir en ello. Debe saber dónde se realizan los negocios en su nombre con sus terceros y cuartos, y cuáles de esos terceros, cuartos y quintos tienen acceso a su información confidencial. ¿Tiene contactos actuales en sus terceros críticos y estos tienen contactos en cuartos y quintos? Debe saber a quién contactar en caso de que surja algún problema. Entonces, ¿quiénes son sus contactos clave? ¿Con qué frecuencia comprueba su proceso para asegurarse de que tiene los contactos adecuados? La gente va y viene constantemente. ¿Tiene alguna forma de ponerse en contacto con su tercero cuando se produce una crisis para obtener la respuesta que necesita o para invocar un proceso de gestión de incidentes y crisis según lo dicten las circunstancias?

Bob Wilkinson: Y, por último, ¿se ha formado a sus recursos sobre cómo aprovechar los resultados de una solución de supervisión continua? Porque deben tomar medidas al respecto basándose en lo que les indica la plataforma de supervisión continua. El papel de la automatización en un programa de gestión de riesgos de terceros. Así pues, la automatización le permite, a través de elementos como la supervisión continua y la gestión de inventarios, disponer de una única fuente de información veraz sobre los riesgos de sus proveedores, que abarca todos los riesgos operativos clave que debe abordar. Le permite agregar información sobre su programa de riesgos de terceros y también realizar un seguimiento e impulsar la mitigación de los riesgos operativos que se identifican y, al mismo tiempo, mostrar las tendencias e identificar los riesgos que surgen del uso de terceros. Por lo tanto, no basta con analizar lo que tenemos, evaluar el riesgo y decir que este es nuestro plan para gestionarlo. Tenemos que disponer de una forma de visibilizar los riesgos que se nos avecinan en el futuro, que hoy en día se presenta vertiginoso. Utilizamos el término «cisnes negros» para describir acontecimientos que se producen y cuya probabilidad de ocurrencia era baja. Y lo que estamos viendo hoy en día es que todos esos cisnes negros se están convirtiendo en acontecimientos habituales y se producen con demasiada frecuencia, ya sea el viento solar, el Casa Log 4j o la guerra de Ucrania. Todas estas cosas afectan a nuestra gestión de riesgos de terceros. Por lo tanto, necesitamos disponer, en la medida de lo posible, de automatización para identificar esos riesgos y gestionarlos. También es importante, y no es deseable tener que realizar simulacros semanales, mensuales y trimestrales para recopilar la información que se necesita para informar al responsable. La gestión a múltiples niveles sobre el estado del programa de gestión de riesgos de terceros. Por lo tanto, la automatización es un factor clave para gestionar y mitigar ese riesgo. Aquí tengo una lista de algunas de las cosas que debe tener en cuenta cuando piense en la gestión de riesgos de terceros y la automatización de programas. La primera es: ¿dispone de un inventario centralizado de sus terceros o su empresa opera en un modelo federado en el que cada unidad de negocio es responsable de gestionar su propio inventario de terceros, lo que dificulta un poco las cosas?

Bob Wilkinson: Hoy en día, un aspecto importante de la gestión de riesgos en terceros es el desarrollo de software. Algunos de los problemas más importantes que hemos observado durante el último año se han centrado en las vulnerabilidades del software. Entonces, ¿cómo podemos determinar que el software de un tercero que estamos utilizando es el software que se ha visto afectado en un posible incidente? La mayoría de las organizaciones tienen un inventario del software que utilizan. ¿Cómo podemos aprovechar el inventario de software frente al inventario de terceros para mapear y comprender mejor que, cuando ocurre algo en un tercero, podemos saber si se trata de un problema de software que ha afectado a ese tercero? Esto simplifica enormemente nuestra vida. Aproveche su inventario de software como un recurso junto con su tercero. ¿Existe un proceso único para incorporar a terceros en su organización? Muchas veces veo que en las organizaciones hay procesos de excepción. Podrían basarse en el gasto. Podrían basarse en una serie de cosas que permitirían a los terceros eludir su proceso de incorporación estándar. Si eso ocurre, debe comprender dónde se encuentran y cuál es el riesgo que implican. ¿Tiene una base de datos centralizada y automatizada de contratos con terceros? ¿Puede consultar y comprender los contratos que existen con sus terceros? ¿Existe un flujo de trabajo automatizado para llevar a cabo la diligencia debida para la incorporación que pueda agilizar el proceso y aportar eficiencia a su organización? Ese es otro aspecto del reto y de cómo puede automatizarlo para que su organización se beneficie de ello. ¿Dispone de un sistema de seguimiento de incidencias para todas las incidencias identificadas en relación con terceros? ¿Está automatizado o lo lleva a cabo en papel o en una hoja de cálculo de Excel?

Bob Wilkinson: Porque lo que se quiere hacer es aprovechar el hecho de que esos problemas están vinculados a las empresas que los tienen y actualizar periódicamente a esas empresas sobre el estado de la resolución de los problemas porque, como he dicho, la clave para el éxito de un programa de gestión de riesgos de terceros es la capacidad de mitigar el riesgo y reducirlo para su empresa. El sentido común normativo y empresarial le dice que debe hacer un seguimiento del rendimiento de sus terceros. Normalmente, eso recae en el negocio, y es el gestor de relaciones comerciales quien se encarga de ello. Pero existen, especialmente en la banca, requisitos trimestrales para realizar un seguimiento del rendimiento de sus terceros críticos y de cómo están rindiendo. Por lo tanto, debe tener en cuenta ese aspecto de las cosas para los programas de supervisión continua, pensando en el flujo de trabajo del proceso que ha implementado y en que se trata de un proceso automatizado, de modo que la información pueda llegar rápidamente a las personas que la necesitan. para que puedan tomar las medidas necesarias para hacerlo. Y, por último, ¿ha considerado su estructura y requisitos de informes de gestión? ¿Ha pensado en lo que necesita para medir los KPI, los KRI y qué partes de su organización deben ser objeto de informes y con qué frecuencia a medida que avanza? Y con esto concluyo mi presentación. Lo que diré es que esas preguntas sobre los KPI, los Kri, los informes de gestión y cómo se hacen todas esas cosas y cómo algunos de los cambios en el entorno normativo están afectando a la gestión de riesgos de terceros serán una parte importante del próximo seminario web que haremos, el seminario web 4, que está programado para el 9 de junio. Así que, en este momento, me gustaría volver a ceder la palabra a Melissa para ver si tenemos alguna pregunta.

Melissa: Bueno, haré una y luego le pediré a Scott que se incorpore y haga lo suyo.

Scott Lang: Bueno, pero hay tantas preguntas interesantes que han surgido. Creo que deberíamos abordarlas primero antes de pasar a mi parte. Creo que ahí... Sigamos con la conversación y luego yo intervendré al final.

Melissa: Muy bien. Normalmente está muerto y ahora tenemos todas estas preguntas. Es increíble.

Scott Lang: Lo sé. Eso es genial.

Melissa: De acuerdo. Empezaré yo. Le has dado mucho que pensar, ¿no? Tengo una pregunta que dice: «¿Qué validez tiene un informe Sock 2 tipo dos, dado que se trata de un periodo de tiempo?».

Bob Wilkinson: Bueno, un Sock 2 tipo dos tiene validez y es una evaluación exhaustiva de la postura de riesgo de la organización en la que se ha realizado. Pero vuelvo a mi argumento: es un documento muy útil el día en que se le proporciona, pero ¿qué pasa mañana y pasado mañana? ¿Y con qué frecuencia se realiza un Sock 2 tipo dos? Entonces, ¿te sientes cómodo con que el producto o servicio que te proporciona un tercero, basado en ese SOCK 2, sea suficiente para ti durante el próximo año o los dos siguientes? Esa es siempre mi preocupación, porque vivimos en un mundo muy transaccional en el que vemos impactos constantemente. Es un documento absolutamente útil, pero ¿qué pasa mañana? No vas a oír que no vas a obtener tu SOCK 2 tipo dos actualizado, ya sabes, 365 días al año. Ese es el reto.

Melissa: Entendido. Um, vale. Tengo otra pregunta para ti. ¿Son los reguladores críticos con las entidades que tienen muchos proveedores que ofrecen servicios similares, es decir, un proveedor que puede prestar servicio a múltiples líneas de negocio? Entonces, ¿por qué tener cuatro proveedores que hacen lo mismo? Ya que eso aumenta el riesgo.

Bob Wilkinson: Muy bien. Entonces, en ese contexto, desde una perspectiva empresarial, ¿por qué tener cuatro cuando se puede tener uno o dos? Siempre hay que pensar en términos de tener suficiente redundancia. Si tienes un proceso crítico y solo tienes un proveedor para ello y ese proveedor desaparece, tienes un problema. Por lo tanto, tal vez sea conveniente pasar de cuatro a dos. Ahora bien, desde una perspectiva normativa, la forma en que el regulador vería eso es que, si tienes muchos proveedores por todas partes y compartes información con todos ellos, es posible que estés corriendo un riesgo indebido o que no estés siendo tan responsable financieramente en la gestión de tu negocio como podrías serlo. Pero creo que para llegar a ese punto, realmente tendrías que estar haciendo cosas extremas. Por lo tanto, creo que no se trata tanto de un enfoque normativo como de un enfoque de sentido común empresarial. ¿Por qué quieres esta duplicación? Has aumentado tu riesgo. Eso es en lo que se centrarán los proveedores y los reguladores. ¿Por qué compartes tus datos con cuatro empresas cuando solo necesitas compartirlos con dos? Desde esa perspectiva, tiene sentido desde el punto de vista empresarial y de gestión de riesgos no compartir con tantos cuando con menos es suficiente.

Scott Lang: Eh, otra pregunta para ti es: ¿cuál es la solución si el documento 2 no es válido o importante para todo el año? ¿Qué otros documentos debemos solicitar a slashdepend?

Bob Wilkinson: ¿Ve cuál es el problema con la documentación, verdad? La documentación es un momento en el tiempo y es útil, e históricamente así es como se ha practicado la gestión de riesgos de terceros, pero como estamos trasladando más cosas a Internet y ampliando nuestro uso de terceros, nos encontramos en desventaja si no contamos con ese flujo continuo de información hacia nuestra organización. Por lo tanto, va más allá de la simple supervisión continua. Entonces, ¿cómo vinculas tu programa de gestión de riesgos de terceros con otras áreas clave de tu organización? ¿Cómo lo vinculas con tu inteligencia cibernética? ¿Cómo lo vinculas con tu centro de operaciones de seguridad para que, cuando tengan un incidente, puedan acudir a ti y decirte: «Oye, acaba de ocurrir un log 4J. ¿Cuáles de nuestros terceros críticos están utilizando ese software log 4j y cómo podemos abordarlo de esa manera? Por lo tanto, parte de ello es el panorama cambiante del espacio, el uso cada vez mayor de terceros, el uso de Internet y, ya sabe, la lenta desaparición de los centros de datos tradicionales, que nos obligan a buscar soluciones que proporcionen información más oportuna de forma continua. Por lo tanto, la documentación del Dr. no le va a proporcionar realmente esa visibilidad sobre lo que está sucediendo de forma continua. Es un reto.

Melissa: Perfecto. Gracias por compartir tus conocimientos. Ahora le cedo la palabra a Scott. Nos quedan unos minutos. Sé que quiere decir un par de cosas. Adelante.

Bob Wilkinson: De acuerdo, Scott.

Scott Lang: Hola, en realidad tengo un par de preguntas más que he visto llegar y, sinceramente, juro que no estoy interfiriendo en mi parte de la presentación. Simplemente estoy emocionado por tener este nivel de interacción con el público. Es fantástico, amigos. Otra pregunta que me han enviado es: ¿puedes explicar el riesgo ESG? Sabéis, ESG parece ser un concepto relativamente nuevo. ¿Algún consejo sobre cómo incluir este concepto en los procesos habituales de diligencia debida?

Bob Wilkinson: Bueno, la respuesta corta es que vuelva el 9 de junio, cuando Prevalent celebre un seminario web sobre ESG y yo hablaré sobre ello con mucho más detalle.

Scott Lang: Te lo he servido en bandeja, Bob. Plántala ahí.

Bob Wilkinson: Genial. Sí, la respuesta corta es que depende de la región geográfica en la que operes. Hay una diferencia entre Estados Unidos y Europa, pero en Estados Unidos, los criterios ESG se centran realmente en que las empresas proporcionen información a sus inversores sobre lo que se denomina el concepto de materialidad. Por lo tanto, si el riesgo medioambiental, social o de gobernanza gubernamental es tal que tendría un impacto material en la decisión de un inversor sobre cómo votar sus acciones en una empresa o si comprar acciones de la empresa. Ese es el enfoque de la Comisión de Bolsa y Valores de Estados Unidos. Cuando nos trasladamos a Europa, Reino Unido y otras regiones, nos encontramos con cuestiones diferentes. Así que, como he dicho, el 9 de junio obtendrás muchos detalles.

Scott Lang: Eh, y quiero abordar una pregunta que ha surgido repetidamente en el chat y en la sesión de preguntas y respuestas. Sí, la grabación de esta sesión estará disponible, al igual que las grabaciones de las sesiones uno y dos, y esas presentaciones se enviarán mañana para que todos tengan acceso al excelente contenido que Bob ha compartido. Eh, una última pregunta para ti. Creo que quizá ya hayas abordado esto. Lo siento. Pero los factores diferenciadores que hay que tener en cuenta al realizar la debida diligencia para los proveedores locales frente a los proveedores alojados en la nube. Sí.

Bob Wilkinson: Bueno, esa no es una respuesta breve y no estoy tratando de evitar el tema, pero, ya sabes, con las soluciones locales tratas con alguien específico, ya sabes cuál es el problema con la nube: a medida que la gente traslada más cosas a la nube, ¿qué grado de redundancia tiene la nube? La nube es bastante redundante. Se ha convertido en una parte fundamental de los negocios. Pero cuando la nube falla, no solo falla para mí o para ti. Falla para todo el mundo. Y hemos visto esas interrupciones de AWS en las que se pierde la costa este o la costa oeste. Eso tiene un impacto significativo. Y cuando se trata de la nube, hay un montón de otras cuestiones que hay que abordar y gestionar, incluyendo cómo se gestionan los datos. ¿Cuál es tu papel? ¿Vas a ser el administrador? ¿Va a ser AWS, por ejemplo, el administrador? Hay muchos aspectos que debes tener en cuenta y, Scott, quizá sea algo que podamos tratar en otra ocasión.

Scott Lang: Sí, estoy de acuerdo. Sí, buena decisión. Muy bien, quiero que todos sean puntuales durante el resto del día. Falta aproximadamente un minuto para que empiece la hora. Solo quiero compartir con ustedes una breve diapositiva sobre Prevalent y lo que podemos hacer para ayudarles a aliviar algunos de sus retos en la gestión de riesgos de terceros. Así que voy a lanzar una encuesta mientras ustedes hacen eso y ellos pueden responder mientras les escuchan. Gracias. Adelante.

Bob Wilkinson: Sí. Sí, claro. Um, muy bien. Bueno, si pueden ver mi pantalla... Um, ¿saben qué? ¿Qué? Vaya. Creo que probablemente estén viendo la pantalla equivocada, ¿no? Vaya. Denme un segundo, amigos. Mis disculpas por eso.

Melissa: Genial.

Scott Lang: Melissa, solo confirma que puedes ver mi pantalla ahora mismo. Genial. Bueno, ya sabes, todo lo que Bob ha comentado hoy lo estás haciendo por tu cuenta y todas las preguntas que has planteado me confirman que el riesgo de terceros aún está en pañales. Aún queda mucho por resolver en términos de gestión de riesgos de procesos, bibliotecas de inteligencia de riesgos para formular buenas preguntas, hacerlo por tu cuenta o confiar en herramientas manuales como hojas de cálculo para hacerlo, lo cual es una auténtica pesadilla. Nos especializamos en proporcionar una plataforma que reúne todo este contenido en una única solución. Así, dispones de una amplia biblioteca de cuestionarios y evaluaciones a la que puedes recurrir. Tienes recomendaciones de corrección automatizadas que te ayudan a dirigir a tus terceros hacia un nivel de riesgo aceptable. Informes de riesgo integrados que se ajustan a varios regímenes y requisitos normativos. Cuestionarios para ISO, NIST, Cake, ya sabes, todos estos diferentes requisitos también. De modo que no se analiza el riesgo en un momento determinado, sino de forma holística a lo largo de todo el ciclo de vida del riesgo del proveedor. Y, de nuevo, lo reunimos todo en una plataforma que le da acceso a una cantidad ilimitada de cuestionarios sobre temas de gestión de riesgos, la posibilidad de crear su propio cuestionario y, a continuación, cerrar el ciclo de riesgo con esos terceros, según sea necesario. Nos encantaría tener la oportunidad de hablar con usted sobre lo que podemos hacer para ayudarle a abordar sus niveles individuales de riesgo en su organización. Ya sabe, cuando Melissa se ponga en contacto con usted con una grabación de la sesión de hoy, la presentación y mucho más. No dude en ponerse en contacto con nosotros. Nos encantaría tener una breve conversación con usted sobre su situación actual, cuáles podrían ser los siguientes pasos y cómo podemos ayudarle a alcanzarlos. Bueno, eso es todo lo que voy a decir aquí. Sé que estamos a punto de terminar la hora. Melissa, te devuelvo la palabra para que cierres la sesión.

Melissa: Perfecto.

Bob Wilkinson: Melissa, solo una cosa antes de continuar, si me lo permites.

Bob Wilkinson: La cuarta parte, el cuarto seminario web, está programado para el 9 de junio, creo. No, no es el 9 de junio, ¿cuándo es? Lo siento, es el 15 de junio. Así que la cuarta parte, en la que hablaremos de otros temas, será el 15 de junio a mediodía. Si tienen alguna pregunta sobre lo que he presentado hoy, mi información de contacto aparece en la pantalla. No duden en ponerse en contacto conmigo y con el equipo de Prevalent, y estaremos encantados de responderles.

Melissa: Eso es prácticamente todo lo que iba a decir. Que tengan un buen día, chicos, y nos vemos en la última parte. Cuídense. Adiós.

Bob Wilkinson: De acuerdo. Adiós.