TPRM 101: Cómo conseguir que los proveedores respondan a las evaluaciones de riesgos

Amy Tweed: Muy bien, bienvenido todo el mundo a medida que goteo muy temprano aquí. Bien, aquí vienen algunas personas. Bien, genial. Así que feliz de que pueda unirse a todos nosotros aquí hoy donde quiera que estés, sea cual sea el momento para usted. Um estamos muy emocionados de ir a través de este webinar. Um voy a poner un momento una pregunta de sondeo en cuanto a por qué estás aquí, lo que te trajo aquí hoy. Queremos saber qué es lo que quieren aprender y por qué están aquí. Y mientras lo hago, vamos a repasar algunas reglas de la casa, así como algunas presentaciones. Así que, voy a lanzar esa encuesta mientras se acomodan, se ponen cómodos, tómense un momento para responder. Um, estoy aquí con Brenda Ferraro. Ella es la vicepresidenta de riesgos de terceros de Prevalent. Ella nos va a llevar a través de la gestión de riesgos de terceros 101, cómo hacer que sus proveedores respondan a las evaluaciones de riesgo. Por lo tanto, un montón de cosas realmente buenas que vamos a cubrir hoy. Mi nombre es Amy Tweed. Estoy en el desarrollo de negocios aquí en Pre. Um, y voy a estar apareciendo y saliendo con sus preguntas. Por lo tanto, abajo verás que hay una función de preguntas y respuestas. También está la función de chat. Así que, mientras escuchan y aprenden, por favor hagan sus preguntas. Queremos que esto siga siendo lo más interactivo posible. Um, dicho esto, sus cámaras están apagadas. Están silenciadas a propósito, pero por favor hagan sus preguntas. Y entonces um, así como eso, voy a estar tirando en las preguntas de la encuesta a lo largo. Brenda, ¿cómo estás hoy? Estoy muy emocionada.

Brenda Ferraro: Estoy bien. ¿Cómo está usted?

Amy Tweed: Estoy bien. Gracias.

Brenda Ferraro: Fuera de emocionados.

Amy Tweed: Genial. Hay mucho que cubrir hoy. Las preguntas de la encuesta siguen en pie. Les daremos unos 10 segundos más. Mientras se acomodan, dígannos qué les ha traído hoy aquí. Si se trata de la investigación de proyectos educativos, usted tiene un próximo proyecto de gestión de riesgos de terceros, no está seguro de por qué estás aquí. Ya sabes, ¿por qué dónde estoy otra vez? Puedes preguntarte eso. Parece que nadie responde a eso. Por lo tanto, la gente está aquí a propósito. Y también tenemos algunos clientes frecuentes. Así que, es genial tenerte. Muy bien, voy a terminar esa encuesta. Brenda, llévatela.

Brenda Ferraro: Muy bien, gracias Amy. Y así, queremos que las preguntas que vienen en como ella había mencionado a lo largo de este seminario web y Amy aparecerá en la pantalla y hacer esas preguntas para usted. Así que, por favor, asegúrense de participar. También nos gusta poner preguntas de sondeo a lo largo de la presentación webinar para que pueda tener una idea de la audiencia para que yo estoy hablando directamente a lo que sus necesidades son. Por lo tanto, nos aseguraremos de que cuando Amy aparezca, interrumpa lo que estoy diciendo o terminemos la frase o una pantalla y luego respondamos a sus preguntas. De acuerdo. Entonces, cómo hacer que sus proveedores respondan a las evaluaciones de riesgo. Este es uno de los puntos de dolor que parece ser el mayor problema y hay múltiples razones para ello. Así que durante esta presentación de hoy, voy a darte algunas técnicas y alguna información básica que puedes pensar en implementar en tu propio programa también. Algunas de las cosas de las que voy a hablar son procesos que necesitas crear externos a cualquier plataforma que utilices. Y también hablaremos de cosas que deberían formar parte de su plataforma de gestión de riesgos de terceros, porque la automatización es clave para hacer las cosas más rápido, pero queremos que se haga bien. Así que empecemos con nuestra agenda. Hoy vamos a hablar de estas cinco cosas y más. Voy a integrar todo lo posible en esta hora porque este tema es muy importante. Y lo primero es asegurarse de que tenemos una mayor tasa de respuesta y la comunicación y ser capaz de decirle a sus proveedores y su negocio y la organización lo que estás haciendo y por qué prepara el escenario para el éxito. Hablaremos de algunas de esas técnicas. Otra cosa son las expectativas realistas. Podemos tener expectativas de nuestros proveedores en cuanto a la rapidez con la que necesitamos algo, pero también tenemos que pensar en lo que les pedimos y en la rapidez con la que pueden responder. Y si hay un riesgo identificado o un control que no está en su lugar, ¿Cuánto tiempo debe tomar para poner algo en su lugar para que su postura es más seguro? Además, ¿qué hacer cuando no se tiene el punto de contacto adecuado? Por lo tanto, yo estaba sentado en una conferencia justo antes de esta llamada y voy a volver a ella cuando esta llamada ha terminado, pero estaban hablando específicamente a un nivel CISO acerca de cuando usted no tiene un punto de contacto, que es en realidad lo que debe estar haciendo como su revisión anual. Porque cuando le preguntas a los vendedores individuales por lo que están haciendo por su postura de seguridad. Normalmente, mejorará o habrá cambios en el panorama de amenazas sobre los que tendrás que preguntarles para saber si su postura es buena. Pero lo más importante es tener un punto de contacto. Si no tienes un punto de contacto, ¿cómo puedes hacer una evaluación? O si no tienes un punto de contacto, ¿cómo obtienes respuestas a un incidente o a algún tipo de escenario de respuesta rápida sobre el que necesitas información? De eso también hablaremos. Luego pasaremos a la búsqueda de respuestas. Um entrar en la fatiga del administrador y cómo salir de ella. Y, finalmente, a partir de ahí, lo que estamos haciendo con respecto a la inteligencia de riesgo del proveedor y cómo estamos usando eso o estamos esperando respuestas. Así que vamos a hablar de todas estas cosas. Así que vamos a nuestra primera pregunta de la encuesta antes de hablar de la comunicación para una mejor tasa de respuesta, Amy, ¿por qué no pop que hasta y ver lo que nuestra audiencia piensa hoy y donde se sientan.

Amy Tweed: Muy bien, así que la pregunta de sondeo. ¿Tiene problemas para obtener respuestas de sus proveedores? Simple sí, no, no estoy segura. Tómese un momento para responder. Recuerdo que cuando yo estaba haciendo el programa de evaluación de riesgos de terceros en una gran empresa y esta fue una de las áreas que era muy difícil para nosotros y tratamos de crear tantas técnicas y esas son las que voy a compartir con ustedes, así como los talleres de estrategia que tengo con otras empresas hoy en día y todo el mundo se pone muy creativo e innovador. Por lo tanto, espero que todas las cosas que hablamos hoy son o bien uno va a resonar y recordarle que debe mantenerse al día con él o dos darle algunas ideas.

Amy Tweed: Genial. Muy bien, voy a terminar la encuesta en tres, dos, uno. Tenemos muchas respuestas aquí. Voy a compartir. Así que, muchos síes, un poco de no, no estoy segura.

Brenda Ferraro: Bien, este seminario web y esta presentación son para ti. Estamos contentos de que estés aquí. Bien.

Brenda Ferraro: Definitivamente te ayudaremos hoy. Así que, gracias por unirse y empecemos. Hablemos de las cuatro técnicas de comunicación proactiva. Podría hablar de la comunicación agresiva, la comunicación evasiva y todos esos estilos sociales, pero no es de eso de lo que vamos a hablar hoy. Vamos a hablar de estos cuatro puntos desde el principio. Hay cosas que puedes hacer para ayudar a solidificar que tus proveedores cumplan con tu programa. Nos ocuparemos de ello. Lo siguiente que trataremos es la diligencia inicial y la diligencia debida continua. A partir de ahí, hablaremos de actualizaciones de estado e informes continuos, porque una cosa que realmente me molesta como individuo es que si voy y hago una prueba o me auditan, quiero saber lo que tengo que arreglar y luego necesito saber las negociaciones de cuánto tiempo para arreglarlo. y el seguimiento de los mismos y ser comunicado a medida que progresan e incluso saber que si mi estado de riesgo se vuelve más positivo, dame elogios, házmelo saber. Las empresas más maduras pueden organizar exposiciones y conferencias internas y, a veces, externas para informar de lo que ocurre en el programa y de lo bien que lo están haciendo. Así que pasamos a la sección de contratos de este webinar en particular. Usted tiene acuerdos maestros de servicio, usted tiene acuerdos de asociados de negocios, y usted puede tener otros tipos de acuerdos que se utilizan. Pero en todos y cada uno de ellos, lo que me pareció exitoso y lo que aconsejo a mis otras empresas que hagan cuando estoy haciendo discusiones de estrategia con ellos es que realmente tiene que haber una sección dentro de su contrato sobre el programa de gestión de riesgos de terceros. No tiene por qué ser largo. Puede ser muy breve, como uno o dos párrafos y alguna expectativa sobre los tipos de evaluaciones que vas a hacer. Ahora, esto es completamente independiente de la cláusula de auditoría anual que normalmente está en un contrato. Y yo tenía muchos problemas con el hecho de que la organización contratante o el departamento de gestión de proveedores o de compras o abastecimiento, quienquiera que estuviera a cargo, me pedía que pasara por líneas rojas.

Brenda Ferraro: Y las líneas rojas hablaban del entorno de seguridad o incluso de la gestión de riesgos de terceros o de la evaluación anual. Y llegué a un punto en el que me dije, ¿sabes qué?, estoy pasando demasiado tiempo revisando plazos. No soy de naturaleza jurídica. No tengo una licenciatura en derecho. Y todo lo que realmente quiero que entiendan es que tienen que cumplir con nuestro programa de riesgo de terceros. Si hay un incidente, tienen que responder. Si sólo están siendo evaluados, tienen que completar la evaluación. Si tenemos algunas capacidades excepcionales, las enumeraré en el contrato. Pero yo quería que fuera ilegible. Ahora, ilegible no es una palabra en el diccionario Webster. Por lo tanto, es algo que tal vez he inventado o es algo que la gente siempre ha usado, pero no lo hicimos oficial. Por lo tanto, actualizar los contratos con una sección TPRM. Otra cosa que fue muy útil fue que en algunos casos añadimos al contrato un apéndice sobre seguridad de la información. Así, para determinadas clases o categorías de vendedores o proveedores, nos asegurábamos de que esa información se adjuntara al contrato y se asignara a nuestros controles clave aplicables a ese tipo de compromiso. En otros seminarios hemos hablado de controles clave. Se trata básicamente de los controles que son imprescindibles para hacer negocios con usted para ese tipo de servicio. Así que básicamente se enumeraría un resumen muy corto del control y lo que se espera y por qué. De este modo, sabrían por adelantado, incluso antes de someterse a una evaluación o directamente después de una evaluación inicial, que esas son las cosas en las que vamos a centrarnos de forma muy específica. Desde el punto de vista de un indicador clave de rendimiento y un indicador clave de riesgo, esto fue muy útil porque al principio de la creación de un programa, a veces los departamentos no juegan bien juntos.

Brenda Ferraro: Puedes tener compras que se sientan dueños de ciertas cosas, riesgo de terceros que se sientan dueños de ciertas cosas, cumplimiento que se sientan dueños de ciertas cosas, y hasta que eso esté centralizado, entonces tienes que ser capaz de mostrar a esas organizaciones y departamentos cómo esto no sólo te está ayudando a ti en TPRM, sino que les está ayudando a ellos también porque piensa en el tiempo que ahorrará no tener líneas rojas y tener que ir y venir negociando sobre sí, realmente tienes que hacer este tipo de evaluación. Ahora, hubo un debate recientemente con una gran cantidad de unos 25 profesionales de la gestión de riesgos de terceros y estábamos discutiendo ¿Cuáles son las expectativas de la gestión de riesgos de terceros para completar el contenido de la evaluación? ¿Tienes que rellenar un cuestionario propio o un cuestionario estándar o ir a la plataforma de alguien y rellenar su cuestionario para una red? Y la respuesta es sí. Usted como empresa no tiene un auditor que viene a su tienda y dice: "Dame tu auto-auditoría". Nunca hacen eso. Haces una autoauditoría para prepararte. Pero nunca dices, "Oh, aquí está mi auto-auditoría. Gracias por auditarme". Ellos vendrán y te auditarán. Bueno, vamos a hacer eso con los proveedores de riesgos de terceros. Vamos a pedirles información y a elaborar informes de inteligencia sobre amenazas para averiguar si su postura de seguridad es sólida. Así que esos KPI y KIS fueron muy útiles para decir, vale, hay empresas que cumplen. Cumplen los requisitos del mandato del programa de gestión de riesgos de terceros estipulado en su contrato, y la finalización de los contratos es más rápida porque no tenemos que ir de un lado a otro con información que se puede volver a alinear. La otra cosa es la falta de respuesta. Si hay un proveedor que no responde o que está redactando esa sección, es una señal de alarma. ¿Por qué no querrían participar en el riesgo de terceros para asegurarse de que el ecosistema de seguridad es sólido? Estas son las cosas que te ayudarán con respecto a los contratos. Si aún no lo estás haciendo, yo pensaría en hacerlo muy rápidamente. Ahora, esto va a ser una sobrecarga de información. Es una imagen muy grande de un montón de pasos que usted puede tomar.

Brenda Ferraro: Así que, puede que, ya sabes, quieras hacer una foto con la cámara. Recibirás esto en tu bandeja de entrada como una sesión grabada. Y a veces, creo que damos esto como un PDF. Por lo tanto, como usted camina a través de lo que está haciendo con su proveedor, usted está construyendo una relación. Y quieres hacerlo pronto y quieres hacerlo a menudo porque cuando ocurre un incidente entonces quieres tener una relación con ellos donde ellos quieren darte información sobre lo que está pasando pero también quieres preparar el escenario para decir que estoy aquí con empatía para ayudarte a estar seguro y tener una relación exitosa con nuestra compañía y estas son las cosas que he puesto en marcha para que estés bien enterado o enterada de exactamente lo que estamos haciendo contigo cuándo por qué y qué tan rápido. Así que tiene que haber algún tipo de anuncio inicial que salga a su profesional acerca de su programa a sus principales interesados internos. Y también hay que anunciar a los proveedores, ya sean sólo los más importantes o todos ellos, que tenemos un programa y que esto es lo que esperamos de ellos. Esto prepara el terreno y siembra la semilla para que puedas decirles esto es exactamente lo que estamos pensando que vamos a hacer y puede que lo modifiquemos, pero también necesitamos que lo cumplas. Y da a las partes interesadas internas la conciencia de que te estás comunicando con esos proveedores, porque a veces puedes entrar en una situación difícil en la que los agentes de abastecimiento o la oficina de compras digan: "Bueno, bueno, espera un minuto. Somos los únicos que hablamos con nuestros proveedores y ahora tú también hablas con ellos. ¿Qué les estáis diciendo exactamente? ¿Qué estáis recabando de ellos?" Así que esto es conseguir que tengas una mejor estructura de comunicación con tus partes interesadas internas y externas para la relación con los proveedores. Ahora, el programa de bienvenida. Esto es lo que ocurre cuando te diriges a un proveedor específicamente para realizar una evaluación. Por lo tanto, usted quiere establecer las expectativas del programa para decir: "Bienvenido a nuestro programa. Esta es la razón por la que lo hacemos. Esto es lo que esperamos de usted. Esto es lo queva a pasar a continuación". Y en muchos casos, si estás trabajando a través de una plataforma, la plataforma puede hacer este anuncio por ti.

Brenda Ferraro: No tienes que hacerlo externo a la plataforma, pero si lo deseas, puedes hacerlo. Es sólo otro paso de algo que tienes que seguir. Ahora, cuando les informes de los próximos pasos, asegúrate de que les estás hablando de lo que van a esperar. Y es de esperar que se va a apuntar a la información relevante que usted necesita para reunir. Si ya está utilizando un cuestionario estándar, pero está utilizando un cuestionario único, ese cuestionario único puede no ser relevante para cada contrato individual. Puede que tengas un desarrollador de software, y hay cosas específicas que necesitas preguntarle. Es posible que quieras añadir preguntas sobre ransomware, y también hay que señalar que habrá una sección sobre ransomware que tendrán que contestar o a la que tendrán que responder. A continuación, facilítales plazos y asegúrate de que los recordatorios por correo electrónico que has integrado en tu sistema o plataforma también se los recuerden en ese periodo de tiempo. Suelo recomendar que se lo recuerdes a la gente al menos tres veces. Una vez y luego una vez para decir hey espero que hayas recibido esta notificación. La segunda para decir, eh, sólo nos estamos asegurando de que usted recibió esta notificación. Uh, usted tiene un par de semanas extra o línea de tiempo o días, sin embargo rápido que usted necesita para tenerlos hechos. Y básicamente les dice lo que sucederá si no responden porque no se les puede dar algo, no decirles una fecha de vencimiento, y no decirles cuál es la ramificación. Muchas veces hay empresas que utilizan un martillo blando y otras un martillo duro. El duro consiste en decir: "Vamos a dejar de pagarles". Y luego el suave es decir: "Tenemos la capacidad de uh extender su fecha si usted está teniendo algunos problemas um con conseguir esto completado o le gustaría saltar en una llamada o um sólo puede escalar y y tomar ese enfoque internamente?" Ahora, la diligencia debida pertinente es realmente importante porque tenemos fatiga sucediendo en todas partes, especialmente con el hecho de que hemos tenido ataques de ransomware y la gente está enviando cuestionarios. También siguen teniendo que rellenar cuestionarios propietarios. Nadie ha descubierto la manera de tomar cuestionarios propietarios y estándar y hacer que se crucen entre sí.

Brenda Ferraro: Hay empresas que se están ocupando de eso y, por eso, cuando se empieza a hacer ese mapeo, la prevalencia es una de ellas. Hemos empezado a examinar algunos de los cuestionarios estándar y a asegurarnos de que los estamos mapeando y estableciendo relaciones. Pero hasta que no haya una sola manera de hacerlo, lo que será muy difícil y no hemos encontrado una nuez para romper en eso. Um, tenemos que asegurarnos de que estamos siendo amables con nuestros proveedores, porque lo que quieres es que trabajen en la remediación de los riesgos, no consistente y continuamente diciéndote que tienen una vulnerabilidad. Quieres que trabajen en la corrección. Así que construye esa relación directa con el proveedor. A continuación, hablamos de los recordatorios por correo electrónico, asegurándonos de que haya advertencias, ya sean duras o suaves. Confirmar que lo han recibido. Y si no responden, asegúrate de informar no sólo de los buenos vendedores, sino también de los que no responden, porque entonces el riesgo debería marcarse para esos vendedores en particular. Ahora, cuando pasemos al resumen inicial de riesgos, empezará a realizar su revisión. La información va a volver a ti. Va a ejecutar informes de inteligencia de hilos si no lo ha hecho ya. Vas a aplicar la tolerancia al riesgo a esos riesgos. Y lo que sucede con esto es que a medida que usted está viendo los riesgos que se aplican para el compromiso, usted es capaz de crear informes de resumen de riesgo inicial. Y ese informe inicial de resumen de riesgos debe compartirse con el proveedor, diciéndole: "Gracias por facilitarnos la información. Esto es en lo que esperamos profundizar más, y tan pronto como tengamos un informe final de riesgos o negociemos con usted cuáles son esas correcciones de riesgos, entonces podemos poner un mecanismo de seguimiento para asegurarnos de que se cierran fuera de una revisión anual, porque queremos saber cuándo se cierran en tiempo real". Así que Amy, parece que tenemos una pregunta.

Amy Tweed: Sí, tenemos un par. Y una cosa que tenemos pocas personas que se han unido recientemente. Así que si usted tiene alguna pregunta, por favor, utilice la función de preguntas y respuestas o chat y estar feliz de um responder lo más rápido posible. Así que tenemos dos aquí. Brenda.

Brenda Ferraro: La primera, ¿hay alguna plantilla de cuestionario sobre ransomware que se pueda compartir? Sí, prevalent tiene uno que está utilizando en el sector sanitario y también en otros sectores y tiene unas 11 preguntas. Tuvimos un seminario web sobre ransomware creo que fue la semana pasada o la anterior y enumera esas 11 preguntas. Así que hay una plantilla que puede utilizar y usted puede conseguir sus manos en que por ir a la ransomware webinar y uh registrarse para que y o ponerse en contacto con Amy tweet en [email protected] y ella le puede conseguir una copia.

Amy Tweed: Sí. Encantada de ayudar. Uh una pregunta más. pregunta que tenemos hasta ahora. ¿Cómo navegar alrededor de la cuestión cuando se trata de un proveedor que es una organización mucho más grande que nosotros? Por ejemplo, los Microsofts y Apples del mundo.

Brenda Ferraro: Sí. Hay lo que yo llamo las grandes empresas. Y principalmente cuando trabajaba con ellos, tomaba la información que tenían y a veces han compartido cuestionarios de recopilación de información, a veces rellenan un marco de control prevalente, pero me aseguraba de que al menos completaran lo que yo llamaría un cuestionario de recopilación de información que es menos de 10 a 20 preguntas y luego en base a eso revisar su informe de parada 2 e identificar los riesgos. Ahora son más previsores en su postura de seguridad. Por supuesto, nos estamos dando cuenta de que los gigantes pueden verse afectados, como Microsoft, así como las medianas y pequeñas empresas. Así que trata de hacer que la información sea relevante y ser capaz de ir a su sitio de SharePoint, extraer información y ponerla en tu sistema tanto como sea posible para que sea relevante para tu identificación de riesgos. Ahora, con los gigantes, nos centramos en la digitalización. Por lo tanto, asegúrate de que tienes las capacidades del programa de software que estás evaluando su gestión de defectos, sus pruebas de pluma, y ese tipo de cosas. Y eso es lo que realmente quieres saber cuando se trata de los gigantes, ya que han estado trabajando en su postura de seguridad durante mucho tiempo. A veces dirigen nuestra postura de seguridad. Así que confía en ellos, pero confía en un porcentaje. Espero que haya sido útil. Ahora, si vamos al resumen final de riesgos y al resumen actualizado de riesgos, que son las dos últimas cosas sobre este tema en particular, um, normaliza esos riesgos. Por lo tanto, cuando usted está haciendo su revisión y tener sus riesgos incrustados en una plataforma o el uso de una hoja de cálculo que le dice que sus riesgos, que espero que no está teniendo que hacer porque eso se vuelve muy manual. Pero si tienes una plataforma que lo hace automáticamente por ti, entonces asegúrate de que esa información también está vinculada a tu inteligencia de amenazas y también vinculada a una evaluación de validación si realizas una. Esas evaluaciones in situ que solíamos hacer um podemos ser capaces de hacer en el futuro, pero hasta entonces tenemos virt uh validación evaluaciones virtuales que se pueden realizar para poner a prueba esos controles. Así que estas tres palancas de riesgo deben ser normalizadas. Um, también informar a sus partes interesadas lo que está pasando. No los mantengas en la oscuridad internamente de lo que está pasando con este proveedor en particular. Dales información. Comunícales los informes de resumen de riesgos. Hágales saber cuál es la postura, porque, en realidad, su equipo de gestión de riesgos de terceros es una función de concienciación. Le dices a la empresa cuáles son las señales de advertencia y ellos son responsables de bloquear esas señales de advertencia o de asegurarse de que sus proveedores cumplen con la corrección de riesgos, tanto si recae en tu equipo de gestión de riesgos de terceros como si ellos toman el control como representantes de cuentas. A continuación, realizar un seguimiento continuo de esos riesgos. Tenemos que pasar todos de una evaluación anual de riesgos de terceros, que por supuesto es estupenda para el punto de contacto porque hay que hacerla, a una evaluación que sea continua y esencialmente en tiempo real. Ya sea que hayas encontrado algo que está marcado en el espacio de supervisión de amenazas del proveedor o que hayas encontrado algo sobre lo que acabas teniendo que preguntarles de forma reactiva, lo que queremos que sea de naturaleza proactiva, como ransomware o incidentes o algún tipo de respuesta de rescate. Así que comparte esa información sobre riesgos y negocia con ellos y hazles un seguimiento. Otra pregunta antes de pasar al último punto.

Amy Tweed: Sí, otra pregunta. ¿Cómo tratáis a los proveedores cuyo umbral de gasto es demasiado bajo para que respondan al cuestionario? o acepten adiciones de exposición al contrato.

Brenda Ferraro: Así que esa fue una situación muy interesante con la que me encontré y nos aseguramos de que las unidades de negocio entendieran que si se trataba de una pequeña empresa sólo se les pediría información relevante que no fuera demasiado extensa. Número uno, y número dos, hay dos técnicas que puedes utilizar. Una, puedes asegurarte de que estás pagando a ese proveedor un poco más para responder a las respuestas. Y dos, si hay incluso una empresa mediana y grande que dice: "Oye, si vas a conseguir que hagamos una evaluación, esperamos 1.000, 2.000, cualquiera que sea la cantidad en dólares, pon eso en su contrato y luego págales por ello para que podamos obtener la información que necesitamos". Esa es la respuesta que yo les daría. Y luego, a partir del último, el informe de resumen de riesgos actualizado, realizar un seguimiento de los cambios y ajustar el informe de resumen adecuadamente y luego enviarlo y decir: "Gracias por hacerlo mejor o incluso enviarlo y decir: "Oye, hemos encontrado algo que es una marca o algo que tienes que mirar si quieres hacerlo más suave y más empático, y tenemos que averiguar lo que estás haciendo sobre este riesgo en particular". Y de nuevo, informar a las partes interesadas interna y externamente y escalar cualquier SLA incumplido. Así, las metas de nivel de servicio, los objetivos de nivel de servicio y los acuerdos de nivel de servicio deben comunicarse a un comité de dirección. Esto ayudará a establecer relaciones internas y con los proveedores. Muy bien, ahora el punto número tres, que va a ser un 3A y un 3B. No podía caber todo en un área. Así que hay ciertos informes para apoyar el cumplimiento con sus proveedores. Uno de ellos es un informe de perfil de entidad. Esto le ayudará a usted como asesor a comprender realmente todos los diferentes flujos de trabajo, dónde están en su ciclo de vida, cómo se están aplicando los riesgos a su evaluación comparativa, qué tareas se están aplicando al trabajo que se está generando, los contratos y acuerdos se pueden almacenar y reflejar. Así que esto es como su ventanilla única para que usted entienda donde está su proveedor en su ciclo de vida. La otra es la supervisión de amenazas. Y no deberías utilizarlo sólo como una táctica secundaria, sino para todos tus proveedores. Te da algo lo suficientemente rápido como para compartirlo con tu proveedor. No lo cojas y digas: "Vale, hemos hecho un informe de amenazas sobre ti". Y luego primero dicen: "Oh, Dios mío, no puedes penetrar en nuestro sistema. No se supone que hagas eso mientras estamos en vivo". Y no lo hace. Es toda la información de código abierto. Así que, discúlpame. Ve y ejecuta eso y dáselo a ellos. Que lo vean. Y la información financiera también es importante. Así que, voy a tomar un respiro y un trago para mi voz. Y Amy, voy a dejar que tomes un qu dame una pregunta.

Sí. Tómate un momento. Top caliente. De acuerdo. Uh esta pregunta, así que ¿qué herramientas de automatización se recomienda o estándar de la industria para las evaluaciones de proveedores?

Brenda Ferraro: La nuestra prevalente es una de ellas. Um hay el monitoreo de amenazas de proveedores. Está nuestro sistema. Puede que quieras mirar la encriptación homamórfica. Eso es algo que ayuda a evitar algunos de los escenarios de cifrado. Hay muchos. Pero desde la perspectiva de una plataforma, mira nuestro sistema y usa estándares tanto como sea posible. Voy a silenciar y toser sólo para que no termine por desordenar los auriculares de todo el mundo.

Amy Tweed: Está bien. Tómese su tiempo. Tenía una rana en la garganta esta mañana.

Brenda Ferraro: De acuerdo. En cuanto a eso, básicamente se trata de asegurarse de que se utiliza una plataforma que tiene un ciclo de vida que se puede seguir y supervisar. Y hay bibliotecas vivas de cuestionarios y la nuestra tiene eso. Así que me gustaría mucho um le pedimos que eche un vistazo a ella y obtener una demostración de la misma. Um esto no es una llamada de ventas. Esto es más acerca de hablar sobre el proceso y la estrategia. Um, pero para responder a esa pregunta, no hay no somos nosotros. Um la información financiera se está convirtiendo en muy importante y esto es porque usted necesita para ampliar la inteligencia de amenazas cibernéticas en la inteligencia de negocios y la inteligencia financiera, porque si una empresa no está haciendo bien financieramente, que debe ser motivo de preocupación para que usted pueda mirar un poco más profundo en tal vez usted está haciendo una fusión y adquisición, tal vez usted tiene una filial o una subsidiaria que usted necesita para evaluar. Esto nos da información sobre la cuenta de pérdidas y ganancias, información crediticia, información sobre pasivos, y te pondrá en un estado más resistente si sabes que eres sólido en el espacio financiero. Muy bien, entrando en 3B. Hay actualizaciones de estado continuas e informes que también pueden ser realizados por servicios gestionados o incluso por la propia empresa. Está el informe de entidad del que hemos hablado antes, pero este informe de entidad profundiza más en las vinculaciones de evaluación contextual y luego en la visión general de las puntuaciones de riesgo, identifica los dominios de riesgo clave, te ayuda a entender los antecedentes y el flujo de trabajo um de un servicio gestionado. Por tanto, si no dispone de personal suficiente, puede recurrir a otro personal. Los informes de riesgo contextual le ayudarán a entender aquellos dominios de riesgo que son fluidos y vulnerables. Uh listados de cuarta parte y la identificación de pruebas de que los elementos que están disponibles para ir sobre y tener servicios gestionados peine a través de esos. Así que cuando estábamos hablando de los gigantes, los servicios gestionados pueden ayudar a hacer eso. Así que ellos pueden ir a través de la información gigante de las corporaciones gigantes y pueden escardar a través de eso y asegurarse de que usted tiene el riesgo acaba de identificar para usted. Y me detendré aquí para una pregunta. Parece que hay una y luego pasaremos a los otros dos tipos.

Sí. Y me he dado cuenta de que ha entrado más gente. Así que por favor hagan sus preguntas a lo largo. Bren estará encantado de responder. Así que esta pregunta, uh muchas herramientas de monitoreo de amenazas muestran falsos positivos para las empresas de servicios en la nube como Microsoft. ¿Cómo se filtra a partir de datos significativos?

Brenda Ferraro: Es una pregunta muy, muy buena, porque yo misma pensé en eso cuando empecé a buscar información sobre inteligencia de hilos, hace más de siete años, y me dije: esto no es más que un montón de ruido. ¿Qué se supone que debo hacer con él? Por lo tanto, hay maneras dentro de una solución de inteligencia de amenazas que son capaces de asegurarse de que usted está um la identificación de los umbrales de las cosas que son importantes para que usted mire. Ese es el número uno. Número dos, los falsos positivos son um si usted está compartiendo la inteligencia hilo con sus proveedores, los proveedores van a decir de inmediato lo que es falso positivo y lo que es exacto. ella. Y por eso digo que lo hagas desde el principio. Infórmales de lo que dice su hilo de inteligencia. Creo que he hablado de esto un par de veces, pero cuando corrí un hilo de inteligencia en mi empresa, me tomó un mes o dos o tal vez más para limpiar el informe de inteligencia hilo. Y si lo limpias con un tipo de hilo de inteligencia donde si estás usando nuestro proveedor de monitorización de amenazas o si estás usando uh futuro registrado o um bitsite o security scorecard o risk recon si lo limpias en uno se limpiará para todos porque esta es inteligencia de código abierto que está siendo mostrada y um agregada y proporcionada a ti. Así que cualquier cosa que veas en uno de ellos la verás en el otro y si encuentras algo que es un falso positivo asegúrate de que estás usando un sistema que puede informar de que esto no es correcto o, por cierto, lo remediamos hace tres, cinco o diez años. Y luego, a medida que se limpia, es casi lo mismo que un informe de crédito para su, usted sabe, obtener financiación para su casa. Usted puede tener algunas cosas en su informe de crédito que usted necesita para asegurarse de que es exacta o tal vez usted tiene actividad fraudulenta que usted necesita para limpiar. Es el mismo aspecto. Bueno, Amy, otra pregunta.

Amy Tweed: Sí, buenas preguntas. Gracias. ¿Qué opina de las técnicas para obtener datos financieros de empresas privadas que no están obligadas a hacer públicos sus resultados financieros?

Brenda Ferraro: Entonces, el mayor problema de no tener que publicarlo, algunos informes financieros tienen información um por supuesto basada en datos publicados. Siempre puedes preguntarles y si son capaces de dártelo, no temas preguntarlo. Um yo no creo que haya tenido nunca un problema con un informe financiero que no me haya llegado basado en una petición. Y si construyes relaciones y les dices las razones, y dices que es un requisito, eh, asumo que te lo mostrarían porque no creo que haya tenido nunca un problema con que no me lo mostraran. Así que, si no consigues algo en un espacio público, pregunta.

Amy Tweed: No, estamos bien. Continúa.

Brenda Ferraro: Cuando veo tu cara bonita ahí arriba todavía, pienso, otra más.

Amy Tweed: Estaba muy interesada. Solo quería quedarme.

Brenda Ferraro: Muy bien. El informe de remediación de riesgos debería ofrecer un resumen de todos los riesgos identificados y asegurarse de que sea digerible por terceros o proveedores. Hazlo de modo que si les muestras las cosas que tienen que arreglar, genial. Si preguntan por todos los riesgos, si era algo que es crítico, alto, medio, bajo, uh mitigado, y quieren saber eso, entonces asegúrese de que usted tiene la capacidad de alternar y filtrar ese informe para que pueda mostrarles todo. Pero sea muy explícito en lo que quiere que trabajen. Um, básicamente hubo un tiempo y no es básicamente, pero en realidad hubo un tiempo en que envié un informe de riesgo a un proveedor y tenían más de 50 de ellos y volvieron a mí y me dijeron: "Brenda, no hay manera de que vamos a ser capaces de dar servicio a su cuenta porque vamos a estar trabajando en la mitigación de todos estos riesgos. ¿Cuáles son los que realmente quieres que trabaje o priorice?" Y por eso quieres asegurarte de que tus riesgos tienen probabilidad e impacto y los críticos y altos. Haz que trabajen en ellos primero. Asegúrate de que se cumplen los críticos, porque deberían coincidir con tus controles clave, y luego haz que trabajen en los demás. Pero ponles también una fecha apropiada para completarlos. Podrían ser tres, seis, nueve meses dentro de un mes, ya sabes, todos esos diferentes tipos de plazos. Sí, Amy.

Amy Tweed: Pregunta. Muy bien. ¿Existe una manera fácil de determinar si una empresa tiene reclamaciones materiales o sentencias en su contra?

Brenda Ferraro: Sí. Así que en el hilo de inteligencia y en los informes de negocios y los informes financieros hay secciones que le ayudarán si hay algún juicio. Así que usted puede mirar dentro de la sección de negocios y en la sección financiera, por supuesto, ambos de ellos le dirá si hay juicios y es por eso que estamos diciendo que no sólo utilizan información cibernética como su hilo de alimentación de inteligencia. Tienes que mirar las secciones de negocios también. Ahora el informe de validación de control volviendo a esta diapositiva es algo de lo que estaba hablando con respecto a la validación y el cumplimiento de las visitas in situ. Hablaremos de un enfoque para hacerlo, pero la lista de controles está sujeta a revisión y pruebas, utilizamos un sistema de alcance y nos aseguramos de que haya recomendaciones y unimos todos esos riesgos para normalizarlos, y ese informe también debe entregarse a su proveedor. Así, lo que estás haciendo en realidad es darles no sólo una visión de madurez de cómo lo están haciendo en seguridad, sino que les estás diciendo cuáles son los riesgos y qué corregir. Esto les hará más saludables en todos los ecosistemas de la industria. Y eres empático y construyes relaciones diciendo: "Vale, voy a ayudarte a ser más seguro. No sólo voy a ponerte a prueba y averiguar lo que estás haciendo mal. Quiero decir aquí están las cosas que usted puede hacer para arreglar esos um desconexiones y lagunas ". Amy, ¿qué tenemos?

Amy Tweed: Bueno. Sí, tenemos dos. Entonces, si no tienen una media a o no cotizan en bolsa, ¿qué informe financiero debo pedir?

Brenda Ferraro: Tendré que responderle a eso. No creo que nunca he pedido específicamente un requisito financiero específico, pero estoy seguro de que hay algunos. Así que Amy, si usted puede tomar una nota y averiguar si esa persona no es anónima, si quieren ser contactados de nuevo, podemos darles una lista de lo que las áreas financieras um son o si nuestra sección financiera um en prevalente puede darles esas respuestas, también.

Suena bien. Sí. Se retira. Una pregunta más. Si un proveedor está dispuesto a proporcionar sus informes de auditoría de terceros, de tipo dos, de tipo dos o de alta confianza, etc. ¿Es una buena idea seguir teniendo que hacer una inmersión profunda con cuestionarios?

Brenda Ferraro: Sí. La razón por la que digo sí es um la media 2 tipo dos puede ser compromiso por compromiso. Así que primero asegúrese de que ese compromiso es el correcto. Número dos, asegúrate de que estás mirando la alta confianza o cualquier otra certificación, ya que obtienen una marca más o una estrella de oro por hacer una evaluación. Pero algunas de las secciones dentro de cada una de estas certificaciones y/o tipos de evaluación pueden no tener todo lo que necesitas, como si quieres empezar a hacer preguntas sobre ransomware. Es posible que High Trust no lo incluya o que quieras empezar a preguntar información sobre software móvil y de desarrollo que necesites recopilar. Así que asegúrate de que estás comparando lo que estás recibiendo con lo que necesitas saber. Um, así que yo diría que hay un enfoque híbrido que se puede utilizar o usted podría tener un enfoque de control clave que sólo tiene tal vez 20 a 25 elementos que desea que respondan de todos modos. Y luego asegúrate de que lo que recibes de ellos es aplicable a las respuestas que obtienes en tu propio cuestionario. No lo hagas demasiado largo. No querrás que tengan que repetir todo el proceso. Pero estoy de acuerdo en que también hay que hacer una evaluación. Ahora, la exposición de proveedores y conferencias, esta fue una de mis cosas favoritas que pude hacer cuando nuestro programa maduró. Y lo que hicimos fue implementar un sistema de identificación de protocolo de nivel de amenaza que pudimos ampliar a esos proveedores y decirles: "Esta es la información que les estamos dando mensualmente o trimestralmente, y sería verde. Um, esto es ámbar. Queremos que sean conscientes de ello porque estamos viendo que hay una amenaza. arrastrándose a través de nuestro ecosistema o aquí hay algo que es de color rojo o ámbar que nosotros o rojo nivel de amenaza rojo que es lo que necesitamos para responder a esta respuesta ransomware. Así que lo estábamos utilizando, así como la colaboración en el intercambio de información para los incidentes y que era muy útil porque no sólo éramos capaces de llegar a ellos para decirles hey estamos viendo algo que está sucediendo, pero aquí es lo que también estamos notando para solucionarlo y por lo que estaba siendo muy proactivo. Teníamos una conferencia que impartía cursos de certificación educativa sobre cómo hacer la gestión de riesgos de terceros, traer y comprometer a todos nuestros principales interesados internamente. Por lo tanto, tendríamos una sección de privacidad, un grupo de cumplimiento. También invitaríamos a todos nuestros terceros críticos y de alto nivel, así como a nuestros recursos internos, para aprender juntos sobre cómo el programa está respondiendo o construyendo, creciendo o madurando. Así que esas son las cosas que se vuelven muy divertidas. Ahora mismo las hacemos todas virtualmente, como verán en esta diapositiva. Intenté que fuera una situación virtual y echo de menos ir y veros a todos en persona y espero que podamos hacerlo y construir relaciones en persona también en un futuro muy cercano. Ahora tenemos una pregunta de sondeo antes de entrar en las expectativas realistas. Así que vamos a ello.

Amy Tweed: Muy bien, lanzando ahora mismo. La pregunta es, ¿usas un cuestionario de evaluación de caídas de talla única? Sí, no, no estoy segura. Tómese un momento para responder. Oh, esto es interesante. Está por todas partes ahora mismo. Sé que es pronto. Estoy hablando con algunas personas, pero interesante. En mi estrategia um sesiones, hay una mezcla de tantos. Están utilizando enfoques híbridos. Están utilizando una talla única para todos. Están usando una prueba att, que me asusta el behit fuera de mí. Pero hay enfoques muy diferentes.

Brenda Ferraro: Un enfoque es mejor que ningún enfoque.

Amy Tweed: Eso es cierto. Es totalmente cierto. Nos daré unos cinco segundos más. Realmente interactivo. Estoy muy contenta con todas las preguntas y mucha gente está um haciendo la encuesta. Eso es genial. Gracias a todos.

Brenda Ferraro: Mi diversión hablando.

Sí. Sí. Voy a terminar la encuesta. Compartiré los resultados aquí. Bien. 42% sí. 35% no y 14% no está seguro.

Brenda Ferraro: Vale. Bien, estupendo. Así que, a los que están utilizando un cuestionario único para todos, supongo que la información que les proporcionaría es que si se trata de un cuestionario pequeño o si su empresa pertenece a una industria que no necesita hacer muchas preguntas de control, entonces lo entendería. Pero también les animo a que empiecen a ramificarse y a pensar no sólo en averiguar los controles, sino en ser proactivos a la hora de averiguar en qué medida son saludables. son y eficaces esos controles. Así que he puesto aquí un área de habilitación adaptativa para ti. Podrías tomar una foto de esto, pero ahí están las normas de control clave que creas y la razón por la que quieres hacer eso es asegurarte de que están mapeando tus tipos de compromiso o tus categorías de proveedores. Pregúntales lo que necesites saber, nada más. Porque no me gusta que me hagan preguntas que no son relevantes para mí. Estoy seguro de que a ellos tampoco les gusta que les hagan preguntas que no son relevantes para ellos. No es una buena técnica para entablar relaciones y es una pérdida de tiempo. Define tus riesgos críticos y evalúalos. Asegúrate de integrarlos en tu plataforma, si la tienes, y luego crea el modelo de clasificación de la diligencia debida para aplicar la automatización adecuada sobre qué riesgos son aplicables a qué diligencia debida, a qué perfil y a qué compromiso. Y así es como una cadena de margaritas de asegurarse de que hay una conexión y luego mantener el rendimiento trimestral uh informes sobre los controles clave. Evaluarlos porque cambian. Nos encontramos con un cambio drástico el año pasado y ahora nos dirigimos a la cadena de gestión de software que si usted no tiene software, móvil y dispositivo um tipo de evaluaciones de desarrollo en su cartera de hoy, es mejor tenerlos mañana porque ahí es donde nos están golpeando. Um reportar esos estados incrementales. Por lo tanto, con el fin de adaptar su cultura um internamente, asegúrese de que entienden lo que estás haciendo desde el principio. Diga, estoy teniendo un programa y voy a estar ejecutando evaluaciones en sus proveedores y aquí están los que voy a empezar con y aquí están los que voy a llegar a una hoja de ruta.

Brenda Ferraro: Y luego, uh, por cierto, sólo voy a compartir con ustedes los que son débiles y / o y / o no responde. Y por lo general enviar estos a los jefes de departamento o los vicepresidentes. Y luego digo: "Oh, por cierto, voy a ejecutar un informe holístico y vamos a compartir con todo el mundo y vamos a tener una sana competencia sobre quién es más seguro con sus proveedores ". Y así, es muy interesante verlos. Al principio, son como, "Oh, Dios mío, tengo un informe travieso. No me digas que mi informe travieso ". Y yo les digo: "No es un mal informe. Es un informe de concienciación". El siguiente es, "Bien, ahora esto es lo que necesito que hagas con ese informe de concientización para que podamos dejarte muy, muy limpio." Y entonces lo compartiremos con todo el mundo y, de repente, como los vicepresidentes suelen ser amigos entre sí o tienen una buena relación, dirán: "Dios mío, ¿por qué a esa persona le va mucho mejor que a mí? Ayúdame, Brenda. ¿Qué puedo hacer?" Y así ese ciclo de cuatro meses hará que orgánicamente las cosas cambien y consigas ayuda con tu cultura. Así que Amy, parece que hay una pregunta antes de entrar en la recopilación de datos pertinentes.

Amy Tweed: Sí. Bonito y sencillo. ¿80 preguntas son muchas?

Brenda Ferraro: No. 1.500 preguntas son muchas. Así que no, 80 preguntas no es mucho. Espero que un punto de referencia o una prueba de fuego sea no superar las 80 si es posible, pero no hay que fijarse en el número de preguntas. Hay que fijarse en lo que se está recogiendo contextualmente. Por lo tanto, si se llega a 80 y entonces usted dice, está bien, tenemos que añadir otro, entonces es posible que desee mirar a los 80 y decir, ¿es este realmente tan importante? ¿Podemos añadir este en su lugar o podemos reformular algo que va a ser más um una reunión de control de la eficacia frente a la sí no escenario binario. Así que eso es lo que yo haría. He utilizado 75 como mi número de tornasol, pero he tenido cuestionarios que han ido a 145, 125, 350, y realmente depende del compromiso y lo que están haciendo para usted. Así que si estás hablando de un cuestionario inicial sólo para tener una idea de cuál es el riesgo inherente y el riesgo residual de mis controles clave, entonces no, 80 no es demasiado.

Brenda Ferraro: Y si estás haciendo inmersiones profundas en situaciones más amplias de compromiso, entonces no temas ir más allá. Sólo pregunta lo que sea relevante. Y eso sólo me alimenta en lo que iba a hablar es que um realmente no hay una evaluación de talla única. Um hay una evaluación que le dará información, pero cuando se trata de la debida diligencia, a menos que usted es una empresa más pequeña que sólo hace un tipo de cosa, que sólo tiene un par de proveedores, entonces sí, puedo entender el uso de un tipo de evaluación. Pero tan pronto como usted entra en 25 o más proveedores, entonces usted realmente tiene que empezar a categorizarlos si son diferentes tipos de compromisos. Pero haz que la recopilación de datos sea fácil, divertida, reutiliza datos que puedas reutilizar y toma cuestionarios estándar que ya se hayan completado. Formar parte de una red. Y de nuevo, el tiempo de respuesta va a depender de los requisitos de diligencia debida de la evaluación. Si les estás pidiendo que incluyan documentos de prueba. Si usted les está pidiendo que um responder a más de 80 preguntas, uh usted tiene que realmente poner en su cerebro que cuando usted envía las cosas a ellos, tienen que responder. Puede que tengan que compartirlo con otras personas para que sea fácil compartir la responsabilidad o de responder y responder de nuevo. Y realmente espero que la mayoría de la gente comience a entrar en un intercambio o un entorno de red que reutiliza la información basada en la aprobación para obtenerla. Uh la seguridad envuelta alrededor de eso es muy muy importante también. Muy bien, tirando de la pregunta. Puntos de contacto desafíos es el siguiente.

Amy Tweed: Muy bien, aquí estoy. Bien, empezamos. ¿Tienes información de contacto de todos tus proveedores? Esto es muy oportuno porque tenía curiosidad por lo mismo. Tómense un momento y respondan a la encuesta si pueden. Una vez más, abrumadoramente en todos los ámbitos aquí Está en todas partes. Vale, esta ha sido una espina clavada en mi costado durante mucho, mucho tiempo. Estoy ansioso por saber más. Bueno, voy a terminar esto en cinco, cuatro, tres, dos, uno. Algunas respuestas de última hora. Vale, compartiendo resultados. 52% sí, 40% no, 9% No estoy seguro. Disculpadme. Yo también tengo esa rana en la garganta.

Brenda Ferraro: Muy bien. Bien.

Brenda Ferraro: Por lo tanto, los que lo están haciendo ya en una capacidad en la que están revisando anualmente esos puntos de contacto o se están asegurando de que tienen algún tipo de um una solución para eso. Enhorabuena. Para aquellos de ustedes que todavía están luchando, um hay un par de maneras que usted puede hacer frente a esto. Utilice sus informes de inteligencia hilo porque hay algunas maneras que usted puede encontrar exactamente a quién dirigirse en algunos de esos informes de inteligencia hilo o comenzar con sus cuentas por pagar o su adquisición o listas de abastecimiento. Otra cosa que ha sucedido es que puedes tomar y llevar a cabo una campaña interna o externa haciendo un cuestionario de recopilación de información de menos de 12 o 15 preguntas para decir quién es el proveedor, quién es el punto de contacto interno, quién es el punto de contacto externo del proveedor, qué está haciendo para nosotros, está manejando la contabilización de azafatas, procesando, um, datos sensibles, trabaja en diferentes regiones, esos tipos de información de muy, muy alto perfil. Así que no tema ponerse en contacto con sus proveedores y preguntarles a qué se dedican y quién es su contacto interno. Si no tienes forma de conseguir una lista internamente de tus agentes de compras o de abastecimiento, y si consigues una lista de compras y te la devuelven, envíasela de vuelta y diles que este correo electrónico de contacto ya no es válido. Necesito que encuentres otro. o que también puedes utilizar una función de búsqueda de contactos en algunas plataformas. Nosotros en prevalente tenemos una función de búsqueda de contacto que puede utilizar para obtener al menos un nombre en la organización um que está trabajando actualmente allí y tienen la capacidad de enviar en el cuestionario de evaluación para ellos. Entonces se actualizará quién es ese individuo y mágicamente sabrás exactamente con quién tienes que hablar haciendo esa búsqueda. Se le dará un par de nombres o uno de los nombres importantes para seguir adelante con. Um, podría ser un CISO, podría ser una persona en la organización de adquisiciones, pero tenemos una manera de dar esa información a usted. Y luego utilizar esta campaña para apuntalar sus registros.

Brenda Ferraro: Por lo tanto, si usted no es el maestro de registro en um el equipo de TPRM, pero usted tiene que en la contratación, no significa que sea igual de importante para que usted tenga esta información, especialmente cuando los incidentes vienen. Ese punto de contacto es importante. Por lo tanto, que sea un riesgo. Si no tienes un punto de contacto, entonces hay un riesgo para ese proveedor y para la resistencia de tu empresa, y tienes que remediarlo. Es muy, muy importante. Así que, um, si usted está interesado en conocer las capacidades de campaña interna y externa, puede llegar a Amy en info prevalent.net y podemos decirle más de lo exitoso que ha sido para otras empresas que hemos um, ayudado en el pasado. Siguiente pregunta.

Amy Tweed: Muy bien, aquí estoy. Bien. Sondeo. Veo que la pregunta está aquí. ¿Sientes que la parte principal de tu trabajo es perseguir a los vendedores para que respondan? Suena muy divertido. Sí. No. No estoy seguro.

Brenda Ferraro: Entonces, llamo a esto administrar como ¿lo lanzamos? ¿Lo recibimos de vuelta? ¿Están respondiendo? ¿Por qué no están respondiendo? ¿Cómo conseguimos que, ya sabes, nos den una respuesta? ¿Por qué están, ya sabes, todas esas cosas diferentes? Y yo te di algunas técnicas que el comienzo mismo de cómo construir la relación y hacerlo de modo que los recordatorios de generación de correo electrónico le están ayudando con una capacidad de tapa automatizada um si usted está usando una plataforma como la nuestra. Pero um vamos a dejar que cierre este para arriba.

Amy Tweed: Sí, unos tres segundos más. Última respuesta. Bien. Compartiendo resultados. 38% sí, 53% no, 9% no estoy segura. Supongo que con toda la fatiga que ya estamos experimentando, esto es sólo una cosa menos.

Brenda Ferraro: Bueno, podría significar que ese 53% está utilizando una plataforma que está automatizada y o que han descubierto cómo migrar su programa de recopilación a la remediación de riesgos. Así que, um esperemos que su remediación de riesgos también sea tan cohesiva como um la recopilación de información. Por lo tanto, la única cosa que yo recomendaría es que si usted um está cansado y no quiere hacer esto usted mismo más, hay servicios de evaluación de riesgos que usted puede contratar y o implementar automáticamente dentro de su plataforma. Desde la recopilación y el análisis hasta los informes de riesgos de los que hemos hablado antes, pasando por la validación de las visitas in situ que ahora hacemos virtualmente y el seguimiento de las medidas correctivas. Así que definitivamente hay cosas que se pueden implementar um si se utiliza una perspectiva de centro de comando de operaciones de riesgo en los servicios gestionados que nuestra empresa, así como otros tienen. Y luego también um usarlos como aumento de personal. Incluso si usted está construyendo su programa y quiere hacer mucho muy rápidamente al principio de la construcción, entonces eso es algo que usted puede participar y luego puede ser devuelto a su equipo para que usted no esté en la administración y asegurarse de que tiene lo que necesita. Así que esto es todo para que usted um leer a través de él. en otro momento. Pero hay aumentos de personal que pueden ayudar y servicios gestionados que pueden ayudar a incrustar uh configurar su plataforma para hacer las cosas automáticamente para usted. Muy bien, siguiente pregunta de sondeo.

Amy Tweed: Bueno, estamos lanzando ahora mismo. ¿Su programa de gestión de riesgos de terceros utiliza la inteligencia de hilos de proveedores para algo más que la puntuación de riesgos? Y lo mismo que antes, sí, no, no estoy segura. Tómense un momento para responder. De nuevo, gracias a todos por vuestras preguntas. Sigan haciéndolas. Um un recordatorio, esto está siendo grabado, así que si usted tiene que salir, um, vamos a enviar esto a su bandeja de entrada mañana a primera hora, por lo que puede ver en su tiempo libre. Vale, le daremos unos segundos más. Esta hora está volando. Me doy cuenta.

Brenda Ferraro: Sé que sólo quedan unos nueve o cinco minutos, así que vamos a acelerar el resto.

Amy Tweed: Muy bien, voy a terminar esto en unos tres segundos. Bien, fin del sondeo. Compartiendo resultados. Sí. 46% no 44% no estoy segura 30%. Sí.

Brenda Ferraro: Muy bien. Así que, con respecto a la información de seguridad de su proveedor, hemos hablado de esto antes. Asegúrate de que utilizas la ciberseguridad y ejecútala pronto. La seguridad cibernética es importante para todos aquellos que manejan datos, por supuesto, pero también para aquellos tipos de empresas que están haciendo otros tipos de negocios y que necesitan información financiera, ya hemos hablado de esto, asegúrate de que estás utilizando estos tres componentes para tu inteligencia de hilos y asegúrate de que está normalizada. Queremos tener la normalización del riesgo para que no haya duplicación de riesgo mostrándoles que son más uh off de lo que realmente son o que son mayores. de lo que realmente son. Así que, esas son las cosas que yo mencionaría con eso. Y yo era muy inflexible acerca de no usar la inteligencia de amenazas desde el principio. Y entonces finalmente vi la luz y se dio cuenta de lo grande que puede ayudar con la priorización. Puede ayudar a saber cuál es su postura. Puede darles información de lo que necesitan para trabajar, incluso antes de convertirse en un proveedor. Y es sólo un sistema de apoyo a la comunidad que se puede utilizar, así como la normalización de que con el factor de confianza de las respuestas que se obtienen de los cuestionarios y / o informes o certificaciones. Muy bien, así que la clave para llevar a pesar de que se aceleró a través de la final um vamos a ver lo que más te gustó antes de que te recuerdo lo que son.

Amy Tweed: Sí. Así que esta es una pregunta de sondeo puede elegir um tantas respuestas como le gustaría. Todos los temas que hemos tratado están aquí. Así que dinos lo que te pareció más valioso, lo que más te gustó. Si no te gustó nada, también es una opción. Queremos saberlo. Queremos que esto sea educativo para ti. Así que, por favor, háganos saber lo que funciona mejor.

Brenda Ferraro: Me gusta el uno. No me gustó nada de esto. Eso me haría tener que ir y averiguar si tengo que conseguir otro trabajo. Queremos informar de esto a su gestión. Esto no estaba bien.

Amy Tweed: Me gustaría saber más información sobre por qué, pero um

Brenda Ferraro: pero todo es anónimo. No es como

Amy Tweed: Correcto. No vamos a ir a cazarte ahora. No os preocupéis. De acuerdo, terminaremos esto en unos segundos. También hay una encuesta justo después de esta. Um, cuando lleguemos a, creo que Q & A aquí al final. Um, así que si usted tiene un proyecto de gestión de riesgos de terceros próxima, ¿estás trabajando en uno? Nos encantaría saberlo. Voy a terminar esta encuesta ahora mismo. Gracias a todos. Gracias a todos. ¿Voy a tener algunos moretones? R Tengo un 4% de moratones. Está bien. Siempre se puede mejorar. Así que, um, genial. Bueno, esto me ayudará en, um, una mejor comprensión a medida que avanzo con las presentaciones, los temas que más importan a la gente. Me alegro de que te haya servido de algo. ¿Quieres hacer la siguiente pregunta o pop?

Amy Tweed: Sí, creo que también podríamos tener una pregunta. Así que, voy a abrir esta mientras lo compruebo. Así que, como he mencionado, um, ya sabes, ¿estás buscando aumentar o establecer un programa de riesgo de riesgo de terceros en 2021. Si es así, háganoslo saber. Estamos realmente aquí para ayudar. Uh yo y Amanda Fina, mi colega se puede llegar. Podemos charlar con usted y ponerle en contacto con un especialista de producto aquí si eso tiene sentido. Por lo tanto, háganoslo saber. Voy a revisar la pregunta aquí. Gracias. Tenemos que darle las gracias.

Brenda Ferraro: Es una tirita para mi Las principales cosas que hay que llevarse hoy, sólo como recordatorio, son um comunicaciones, construir una relación, ser empático con su proveedor, um utilizar la habilitación adaptativa en los esfuerzos para cambiar su cultura y para conseguir que esos proveedores respondan. Los puntos de contacto son imprescindibles. Utilice la función de búsqueda de contactos de proveedores. Ve a tu departamento de compras, utiliza tu agente de compras, ¿a quién pagas? Y a continuación, iniciar campañas. Esa es la mejor manera de ir a sólo si usted no puede encontrar nada. Los servicios gestionados están aquí para ayudarle a empezar o para mejorar su programa, de modo que pueda salir del seguimiento y la persecución y la fatiga administrativa, así como de las plataformas. Haga todo lo que pueda en una plataforma frente a una hoja de cálculo. Y luego la inteligencia de riesgos del proveedor. No la utilices sólo para validar. Utilízala en todo el programa. Ayuda a priorizar en multitud de áreas. Por último, si alguna vez quieres ver una imagen de todo lo que hacemos, esta es la tuya. Así que somos inteligencia por los cuatro costados y Prevalent está aquí para ayudarte. Estamos aquí para ayudar por muchas, muchas razones diferentes, pero hoy hemos hablado de cómo obtener esas evaluaciones de riesgo completado y para que esos proveedores para responder y si responden de ciertas maneras, el enfoque híbrido que podemos ayudarle a tomar. Somos um socio de confianza y estamos en el cuadrante mágico como líder. Por lo tanto, estamos muy muy contentos de ayudarle. Y luego aquí, voy a poner nuestra información en [email protected] en contacto con Amy. Y creo que estamos en el final si quieres exprimir en esa última pregunta.

Amy Tweed: A menos que eso fuera sólo el agradecimiento. Sí, eso fue todo. Así que, uh No hay más preguntas, pero uh sí, estamos a sólo un minuto más de la hora aquí. Gracias a todos por venir. Una vez más, esto es grabado, por lo que será enviado a usted. Siéntase libre de llegar a mí mismo, Amanda. Um estamos aquí para ayudar.

Brenda Ferraro: Gracias por su tiempo. Que tenga un buen día.

Amy Tweed: Gracias, Brenda. Que tengan un buen día. Gracias a todos. Hasta luego. Hasta luego. Adios.