Diligencia debida de terceros: ¿Qué tan profundo debe cavar?

Llevar a cabo la debida diligencia con los posibles proveedores externos es una parte vital para garantizar el cumplimiento y reducir la exposición al riesgo.

El proceso de diligencia debida puede requerir muchos recursos, pero equivocarse en esta parte crucial de la gestión de riesgos de terceros puede ser desastroso para su negocio y sus partes interesadas.

PrivSec Third-Party Risk explorará consejos de mejores prácticas para ayudar a sistematizar y priorizar el proceso de diligencia debida de terceros de su empresa. 

Transcripción:

Robert Bateman:

Hola. Bienvenido de nuevo a PrivSec Focus, Riesgo de terceros. Soy Robert Bateman. Soy el jefe de contenido aquí en GRC World Forums y su anfitrión para los eventos de hoy. Es nuestra última sesión del día. Tuvimos un conjunto fantástico de paneles y una gran interacción de ustedes, la audiencia. Así que por favor siga así para nuestra sesión final. Sería genial tener algunas preguntas. Puede preguntar a aquellos que usan la función de chat en la plataforma. Y nuestra sesión final, como se mencionó, es Diligencia debida de terceros: ¿Qué tan profundo debe profundizar? Esta sesión está patrocinada por nuestros amigos de ProcessUnity. Y el anfitrión será Dominic Newton, quien es Group DPO en IQEQ. A ti, Dominic.

Dom Newton:

Gracias, Roberto. Y bienvenidos a todos a esta última sesión del día. Espero que sea una experiencia interesante, entretenida e informativa. Entonces, ¿qué tan profundo debe profundizar en la diligencia debida de terceros? Creo que realmente es casi una cuestión de cuánto dura un trozo de cuerda. Sin duda, es un área que, como DPO del Grupo y como profesional de la privacidad durante los últimos 15 años, se ha vuelto cada vez más importante. Hemos visto incumplimientos de señales relacionados con proveedores externos. Creo que estoy solo en este panel proveniente de una jurisdicción relevante de GDPR. Y claramente allí, en 2018, vimos las multas muy, muy grandes asociadas a equivocarse y no hacer toda la diligencia debida en su controlador de datos. Y también en términos de recoger como un proceso de datos de recoger y encontrar potencial también.

Dom Newton:

Voy a tratar de hablar lo menos posible aquí porque tenemos un panel fantástico para ustedes esta tarde. Los presentaré a todos por su nombre y luego dejaré que se presenten. Porque harán un trabajo mucho, mucho mejor que yo. En primer lugar, Amanda Tilley, vicepresidenta gerente de seguridad de la información en GRC y privacidad de OceanFirst Bank. Hola, Amanda.

Amanda Tilley:

Hola, cariño. ¿Cómo estás hoy?

Dom Newton:

Bien. gracias, g

Amanda Tilley:

Estoy bien. Gracias. Estoy encantado de estar aquí hoy. Como mencionó, soy el gerente de seguridad de la información para la gobernanza, el riesgo, el cumplimiento y la privacidad en OceanFirst Bank. Y espero con ansias discutir qué tan profundo debemos cavar para una gestión de riesgos de terceros. Y como siempre, todos los pensamientos y opiniones que comunico aquí hoy son míos y no de mis empleadores.

Dom Newton:

Gracias, Amanda. A continuación tenemos a Tsholofelo Rantao, quien es el DPO del First National Bank en Sudáfrica. Hola Tsholofelo.

Tsholofelo Rantao:

Hola. ¿Cómo estás, Dom? Hola, Amanda.

Dom Newton:

¿Estoy bien, y tú?

Tsholofelo Rantao:

Estoy bien. Gracias. Sí, gracias por invitarme hoy. Estoy muy emocionada de tener esta conversación, porque creo que esta es una de las más importantes, ¿verdad? Lo hemos visto en las salas de juntas. Lo hemos visto en esos [inaudible 00:03:54]. Definitivamente emocionada de estar aquí y con los mismos sentimientos que Amanda. Lo que digo aquí es definitivamente mi propia opinión, no de las empresas.

Dom Newton:

Frio. Gracias, Tsholofelo. Y el siguiente paso es el Dr. Felipe Honda, que es DPO de OITI. Felipe, ¿quieres decirnos qué es eso? Un poco sobre ti.

Felipe Honda:

Hola a todos. Mi nombre es Felipe. Soy de Brasil, São Paulo. Estoy estudiando derecho, universidad aquí en São Paulo, actualmente trabajo con DPO en OITI en Brasil. Como ustedes dijeron, el suministro de terceros es realmente esencial para que podamos entregar a los clientes. Así que realmente tenemos que centrarnos en lo que está pasando en esa relación para realmente mantener nuestra operación de rotación, y nuestra imagen para la empresa es muy importante para hablar aquí.

Dom Newton:

Frio. Gracias Felipe Y por último, pero no menos importante, tenemos a Todd Boehler, vicepresidente de estrategia de ProcessUnity. Todd, hola.

Todd Boehler:

Hola a todos. Hola, Dom, encantado de conocerte. Esperando la conversación de hoy. Mi nombre es Todd Boehler. Ejecuto la estrategia para ProcessUnity. Por eso, ayudamos a las organizaciones a automatizar sus programas de riesgo de terceros. Ya sea que estén comenzando en las etapas iniciales de madurez o hasta llegar a algunas de las instituciones financieras más grandes del mundo con sus requisitos globales y grandes procesos complejos que utilizan para administrar el riesgo de sus proveedores en todos los ámbitos. Así que espero hablar sobre el tema hoy, creo que es muy relevante. Y feliz de contribuir donde pueda.

Dom Newton:

Frio. Gracias, Todd. Entonces, para comenzar, supongo que voy a cambiar un poco la pregunta, porque para mí, tenemos estas multas masivas bajo GDPR. Ahora sé que obviamente todos ustedes vienen de diferentes jurisdicciones. Tiene diferentes leyes, diferentes sanciones disponibles para sus reguladores donde de hecho tiene reguladores. Pero no se trata solo de eso, ¿verdad? Se trata de la reputación empresarial. Se trata de nuestras marcas. Se trata de nuestras relaciones con los clientes. Entonces, Tsholofelo, tal vez vaya a ti primero. Tienes [inaudible 00:06:09] en Sudáfrica. Se aplica ahora finalmente, después de un poco de pausa allí durante algunos años. ¿Alguna vez puede profundizar demasiado en la diligencia debida del proveedor? Pero, ¿existe igualmente el riesgo de que te diga más de lo que quieres saber?

Tsholofelo Rantao:

Sí, definitivamente. Así que todavía estamos madurando. Quiero decir que nos dieron un año para cumplir e incluso esa es la misión en sí misma. Entonces, si tuviéramos que profundizar mucho, creo que lo que vemos o lo que encontraríamos no sería agradable. Y ese soy yo siendo controvertido. Pero definitivamente debemos comenzar a tomar esto muy en serio porque… Y me encanta cómo Europa realmente lo ha abordado porque inmediatamente cuando a las personas se les dio una fecha límite, ya vimos multas tan pronto como se cumplió la fecha límite. Por lo tanto, tendría una infracción y ya se enteró de que una empresa fue multada por falta de diligencia debida, por ejemplo.

Tsholofelo Rantao:

Entonces, definitivamente estoy esperando ese momento porque no podemos ser complacientes y relajarnos y decir: “Sí, podemos hacer estas evaluaciones. Sí, podemos confiar en la política”. Pero, ¿qué están haciendo realmente sobre el terreno? Porque tienes que pensar en el peor de los casos, si algo sucede, ¿quién es responsable? Porque sí dices: “Necesitamos procurar a estas personas. Hagámoslo. El negocio depende de ello”. Pero pasamos por alto todos estos riesgos clave que eventualmente afectarían a los otros riesgos clave, que son los operativos, que son los financieros. Así que creo que necesitamos profundizar. Simplemente no estoy seguro de que esté contento con lo que encuentre. Pero mejor ahora que más tarde.

Dom Newton:

Si, seguro. Quiero decir que es uno de esos en los que puedes hacer tantas preguntas como puedas, tantas discusiones como quieras. Obtener las respuestas que dicen que la nueva cosa brillante que el departamento quiere comprar no es segura de usar es siempre una línea interesante para tener que retroalimentar como DPO. Amanda, si puedo hablar contigo a continuación, obviamente vienes de una posición regulatoria diferente en los EE. UU., pero por supuesto estás en el sector de servicios financieros de los EE. UU. Ahora hay leyes de privacidad. Existen leyes de seguridad relacionadas con el sector bancario de los EE. UU. ¿Hasta qué punto profundizaría? ¿Cuán profundo escarba normalmente en su diligencia debida de suministro?

Amanda Tilley:

Por supuesto. En primer lugar, me siento muy agradecido de estar en una industria regulada. Para los que no, no sé cómo lo estáis haciendo. Se necesita mucho esfuerzo para convencer a las organizaciones y líneas de negocio de que realmente tenemos que hacer una gestión de riesgos de terceros. Como mencionaste, trabajo en servicios financieros, mi empresa está regulada por la OCC y la principal ley de privacidad para nosotros es la Ley Gramm-Leach-Bliley. Y, por supuesto, hay un mosaico de leyes de privacidad y leyes de unificación de infracciones en los EE. UU., ya que no tenemos una ley federal de privacidad en este momento.

Amanda Tilley:

Por lo tanto, es útil estar regulado porque tenemos ese conjunto de estándares que podemos, al menos desde una perspectiva mínima, decir que tenemos que cumplir con esto desde una perspectiva de cumplimiento. Sin embargo, todavía es un desafío, cuando sus terceros pueden o no estar también regulados y con el mismo estándar que usted. Entonces, teniendo esas conversaciones, especialmente queremos hacer lo mejor para el negocio. Nuestro trabajo no es necesariamente ser el obstáculo, sino ayudar a fomentar el crecimiento de las empresas. Pero todavía tenemos que tener esa perspectiva de gestión de riesgos y asegurarnos de que no estamos poniendo a la organización. Nuestros clientes son empleados en riesgo.

Dom Newton:

Eso es interesante porque, como usted dice, está tratando con proveedores que potencialmente provienen de circunstancias no reguladas o reguladas de manera muy diferente. Quiero decir, hacer negocios en los EE. UU., desde la perspectiva europea, con frecuencia encontramos un problema similar en el que estás hablando con personas que simplemente no tienen los antecedentes, no tienen la información o, en algunos casos, la voluntad. La gente debe hacer lo que sea necesario. Es interesante escuchar eso compartido desde Estados Unidos también. Quiero decir, Todd, ¿qué haces en esa situación? Quiero decir, ¿cómo puedes excavar con el suministro que simplemente no lo obtiene o no quiere obtenerlo? Quiero decir, tu experiencia, ¿cómo fuerza su mano o persuade o qué hace?

Todd Boehler:

Si seguro. No. Y yo pienso, mira, todo viene en la comunicación, ¿no? Desde el principio, si está hablando de incorporación a desvinculación, el proceso de debida diligencia previo al contrato es su último control preventivo, ¿verdad? Una vez que firma el contrato y comparte los datos, ahora está en un estado de monitoreo. Por lo tanto, es muy importante para usted como organización, ya que su empresa trata de incorporar productos y servicios, que realice una evaluación adecuada del riesgo inherente del tipo de producto o servicio que busca su empresa, determine qué nivel de riesgo es y qué áreas de riesgo a las que te vas a exponer, y luego poder desarrollar las tácticas, ¿no? La profundidad de la diligencia debida basada en ese producto o servicio y el riesgo inherente al que se ha enfrentado para poder comunicarse con ese proveedor, diciendo: “Oye, busco que hagas negocios con nosotros. Necesitamos que responda estas preguntas, porque es un producto o servicio muy importante que necesitamos”.

Todd Boehler:

Y el beneficio que tiene en el precontrato son los proveedores que intentan obtener su dinero. Así que correcto. Están tratando de firmar un contrato y cerrar un trato de su parte. Deben estar muy abiertos a ser transparentes. Y hemos visto un gran aumento en nuestra base de clientes y en sus poblaciones de proveedores. Los proveedores intentan ser transparentes con sus controles, ¿verdad? Tratando de decirte que lo estamos haciendo bien. Lo ven ahora como un diferenciador frente a sus competidores, para poder decir: “Así de bien protegemos sus cosas, si hace negocios con nosotros”.

Todd Boehler:

Y así lo hemos visto. Comenzó temprano, creo que en todo este proceso en el que era difícil para los proveedores querer compartir datos, no tenían su documentación en orden. No pensaron en eso como documentación externa. Pero cada vez más, especialmente a medida que surgen estas pequeñas empresas emergentes, es un primer paso muy importante como pequeño proveedor de empresas emergentes reunir esta información para que pueda comenzar a hacer negocios con empresas más grandes que exigen este tipo de datos controlados. compartido para que pueda ganar esos clientes. Así que está empezando a ser un esfuerzo de colaboración, lo cual es genial. Y no vemos mucho rechazo por parte de estos proveedores que están haciendo eso, siempre y cuando usted siga el proceso apropiado con ellos y se comunique con ellos apropiadamente en términos de qué tan importantes son sus productos o servicios para su negocio y por qué en orden. para continuar haciendo negocios con ellos, debe comprender cómo protegen sus datos. Debe comprender cómo protegen los datos de sus clientes o cualquier información que haya terminado compartiendo con ellos.

Dom Newton:

Frio. Gracias, Todd. Dijiste muchas cosas allí, que fueron bastante interesantes, pero dos realmente se destacaron. Creo que en primer lugar se trataba de definir los requisitos, especificando lo que realmente busca del proveedor en primer lugar ahora. Que algo en mi experiencia al menos puede ser flexible o difícil o desafiante porque hay un DPO. Felipe estará interesado en obtener su punto de vista en una perspectiva brasileña, el segundo desde el punto de vista de un DPO. A menudo, recibe algo de TI o de la empresa en general si desea comprarlo. Luego, depende de usted ejecutar el proceso de diligencia debida de si su DPO, si su InfoSec, si su GRC. Felipe, ¿cuál es tu experiencia al respecto?

Felipe Honda:

En realidad, estamos trabajando como privacidad de datos. Trabajamos con muchos datos personales en nuestra base de datos. Lo vendemos para muchos clientes y esos son los bancos. Así que nuestra buena relación real es muy pesada. Los Bancos Centrales de Brasil regulan nuestras relaciones con otras partes. Así que realmente tenemos que profundizar, más y más profundamente [inaudible 00:14:08] porque tenemos a los responsables sobre ellos. El cumplimiento es una tecnología estratégica de espectáculos finitos. Reputación también tuve que ver todo eso en nuestros terceros. Alguien de ellos, por lo que la LGPD, nuestro RGPD aquí en Brasil, es bastante nueva. Una agencia que se está poniendo a regular ahora cómo van las relaciones. Así que tienes que hablar de verdad. Hablar de todo. Cargos, controladores, procesadores, incidentes, cómo podría comunicarse, vulnerabilidades. Entonces es una gran conversación, por lo que todo debe hacerse más allá de los contratos y el monitoreo. El seguimiento es realmente importante para que estas relaciones sean saludables.

Dom Newton:

Frio. Gracias Felipe Y supongo que lo otro, porque usted es un controlador de datos y un procesador de datos en Europa [inaudible 00:15:09], por lo que es un proveedor. Entonces, usted está en el extremo receptor, como estoy seguro de que todos nosotros lo estamos hasta cierto punto, pero también está en el extremo receptor de este tipo de actividad de diligencia debida.

Felipe Honda:

Sí.

Dom Newton:

¿Cómo da forma eso a lo que forzaste, lo que empujaste a tus proveedores?

Felipe Honda:

Entonces, para mis proveedores, en realidad, realmente me preocupa LGPD aquí. Ahora se está haciendo cargo. Entonces construya la posición del controlador, construya un procesador de posición. Comprender realmente cómo administrar, cómo mantener, cómo excluyen sus datos es realmente importante para nosotros para ver si realmente hay riesgo o no.

Dom Newton:

Frio. Gracias. Acabamos de recibir una primera pregunta sobre plataformas como OneTrust y algunas de las otras grandes plataformas de gestión de la privacidad. Desplegando productos en su Vendorpedia que van un poco más allá, brindan información general sobre proveedores potenciales. Y también pensando en el espacio de riesgo más amplio, porque cuando hablamos de seguridad, confidencialidad, integridad y disponibilidad de la información en particular, el riesgo va más allá de la filtración de datos o la privacidad pura también en otros ámbitos. Entonces, ¿hay un lugar para otras cosas además de simplemente enviarle a un proveedor un cuestionario de 500, cualquier pregunta para que le den su respuesta estándar o simplemente para recibir su folleto brillante? Como sé que algunos lo hacen. Que hablan de sus cosas sin abordar realmente lo que les estás preguntando. ¿Hay lugar para plataformas de terceros adicionales y soluciones de fuentes de datos externas en la gestión del riesgo del proveedor? Amanda, si pudiera hablar contigo primero sobre eso.

Amanda Tilley:

Claro, creo que híbrido es el camino a seguir. No creo que solo pueda confiar en un cuestionario y esperar obtener la respuesta correcta del proveedor. Y no sé necesariamente si solo puede confiar en otro tercero también. Creo que hay un sentido de responsabilidad por parte de la propia organización de asumir parte de la responsabilidad de esa diligencia debida. Sin embargo, soy un gran defensor de la automatización. Sin embargo, puedes. La gestión de riesgos de terceros no siempre cuenta con el personal que debería o no tiene muchas funciones. Así que creo que el enfoque híbrido es la mejor manera de hacerlo.

Amanda Tilley:

Y como sabemos, otras cosas de puntuación como SecurityScorecard o BitSight y todas esas, son solo una vista, a pesar de que obtienen fuentes de datos agregados, todavía no le dicen la imagen completa. No necesariamente tienen en cuenta si ese proveedor tiene o no un calcetín calificado y otras cosas por el estilo. Así que creo que es realmente de dos caras. Nuevamente, la organización debe asumir parte de la responsabilidad y no solo transferir todo ese riesgo a otro tercero, pero veo los beneficios de la automatización, así como una fuente central de información y poder aplicar la debida diligencia de manera consistente para terceros.

Dom Newton:

Absolutamente.

Todd Boehler:

Estoy de acuerdo con lo que acaba de decir Amanda. Tenemos algunos clientes que tienen 70 000 proveedores que están tratando de evaluar los riesgos, ¿verdad? Por lo tanto, debe tener un enfoque combinado. Tienes que. Es multifuncional, toca el jefe de compras. Toca al director de seguridad de la información. Obviamente, estamos hablando del director de privacidad. Y todos están tratando de trabajar juntos en colaboración. Y hay múltiples sistemas involucrados. Hay un sistema de adquisiciones, está su sistema de contratos y hay diferentes funciones que está tratando de unir. Y entonces necesitas poder escalar eso apropiadamente.

Todd Boehler:

Y sí, tienes que obtener datos de tus proveedores haciéndoles preguntas. Parte de esto solo está dentro de su red de cómo hacen negocios específicamente para el producto o servicio que está utilizando. A veces, un conjunto estandarizado de respuestas puede ayudarlo a comenzar, pero querrá adaptarlo a las preguntas específicas que necesita sobre la base de quién es usted y quién es el proveedor que le proporciona esos productos y servicios, ¿verdad? Y estos proveedores de datos y algunos de los intercambios que existen son muy útiles para ayudarlo a complementar lo que está haciendo. Pero en última instancia, Amanda, como dijiste, corres el riesgo. es tu programa Tienes que tener el programa en su lugar. Y luego puede alimentar eso con datos del exterior para ayudar a complementar, con suerte en función de un sistema de niveles de riesgo que tenga. Por lo tanto, no está gastando todo el dinero y los datos y todas las demás cosas que puede obtener del exterior en todos sus proveedores. Desea dedicar la mayor cantidad de tiempo y esfuerzo a los aspectos más críticos y luego categorizarlos.

Todd Boehler:

Y ahí es donde vemos que van los clientes más maduros, es establecer ese programa de riesgo interno. Y luego, complementando eso con las fuentes de datos externas en un enfoque racionalizado del riesgo que les permite medir el costo y la inversión de eso y también tratando de acelerar el negocio diciendo que reducimos los tiempos de ciclo, llegamos a este producto o servicio en 30 días, en lugar de a veces estás hablando de seis meses a bordo del proceso. Eso no es útil para el negocio, ¿verdad? Así que es un gran punto que le dices a Amanda al abordarlo de esa manera.

Amanda Tilley:

Gracias, Todd.

Dom Newton:

Y Todd, creo que una de las cosas que dijiste allí es solo sobre el segundo de información y los riesgos de privacidad o, quiero decir, realmente debería ser casi cuán profundo y amplio deberías investigar porque, por supuesto, quieres estar seguro de que tu proveedor en realidad va a estar en el negocio en seis meses. Entonces, ¿hay otros tipos de riesgos que también deba tener en cuenta?

Todd Boehler:

Hay todo tipo, quiero decir, en el último incidente de Rusia Ucrania, vemos que nuestros clientes preguntan sobre el riesgo geopolítico y la detección de sanciones, ¿verdad? Entonces, no tiene nada que ver con la privacidad, pero podemos incluso hacer negocios con estas compañías que ahora están en listas de vigilancia a nivel mundial que no deberían hacer negocios con ellas. Entonces, la otra pieza es la capacidad de recuperación financiera de sus proveedores. Entonces, tal vez mi proveedor esté usando una fábrica fuera de Ucrania. Eso es un riesgo financiero para mí. Si son un proveedor crítico para mi negocio, necesito tomar medidas desde la perspectiva de la continuidad del negocio y poder tener un proveedor de respaldo. Así que necesito hacer un seguimiento de la capacidad de recuperación financiera de mis proveedores. La sostenibilidad es otra nueva área de riesgo que la gente quiere saber sobre el riesgo ESG. Y luego tienes el riesgo de cumplimiento, por supuesto. ¿Y cumple con las regulaciones que se supone que debe cumplir?

Todd Boehler:

Entonces, hay un amplio espectro de dominios de riesgo contra los que debería analizar a sus proveedores, pero nuevamente de manera inteligente, ¿no? Saber qué dominios de riesgo se aplican a qué productos y servicios debería estar haciendo lo ayuda a reducir el cuestionario 300, es algo que es muy específico para lo que necesita saber versus solo lo que puede recopilar. Porque puede recopilar demasiado y no hay suficientes personas en su empresa que puedan ver todos esos datos en la línea de tiempo que se necesita, ¿verdad? Entonces, hay un equilibrio para aplicar, pero hay muchas áreas de riesgo diferentes en las que debería pensar que hemos visto en la práctica específicamente, ya sea que observe los vientos solares o las situaciones de Log4j en términos de riesgo cibernético y ser capaz de saber de inmediato dónde están sus proveedores en términos de parches para problemas de Log4j para que no esté en riesgo de actividades posteriores que podrían atraparlo y perjudicarlo para su base de clientes y su marca. Entonces, esas son las cosas que intervienen en el establecimiento de su programa, ¿verdad? Y configurar eso.

Amanda Tilley:

Estoy completamente de acuerdo. Y a su punto anterior, el riesgo inherente impulsará su programa de riesgo inherente realmente determinará hasta dónde tiene que llegar, ¿verdad? ¿Cuánta diligencia debida está recopilando en función de la importancia de ese tercero para su organización?

Todd Boehler:

Si absolutamente.

Dom Newton:

Eso es realmente [inaudible 00:22:55] porque eso vuelve a Todd lo que estabas diciendo antes sobre entender cuál es el riesgo del producto real que estás comprando o el suministro que estás usando va a traer en el primer lugar. Obviamente, hay una diferencia material entre algo que es, literalmente, procesar la dirección de correo electrónico de un empleado y si es información confidencial del cliente de Kylie de capítulo y verso. Tsholofelo desde la misma perspectiva africana y quiero decir, ¿hay alguna pregunta que sienta que no puede hacer como parte del proceso de diligencia debida dado lo que acabamos de hablar en términos de amplitud y profundidad y diferentes áreas de riesgo? ¿Hay algo en lo que te detengas?

Tsholofelo Rantao:

Así que lo pienso ahora mismo, porque haré un ejemplo con lo que acaba de pasar. Quiero decir, somos una institución financiera y, por más incómodo que sea, hemos tenido bastantes ataques cibernéticos en nuestras agencias de crédito, ¿verdad? Ha pasado, lo pienso dos veces en un espacio de menos de tres años, dos socios de buró de crédito diferentes. Entonces, para ese escenario específico, le gustaría preguntarle al tercero si ha sido lastimado antes. No quiere decir que volveremos a estar contentos con la respuesta, pero definitivamente es una pregunta que me daría miedo hacer. Porque, por supuesto, las repercusiones de eso significan que sí, han admitido que se revelan a sí mismos, lo que significa que debemos dar un paso atrás y decir: “¿Queremos continuar con esto?” Y si la respuesta es sí, ¿qué hacemos? ¿Y somos capaces de entender exactamente lo que significa sí? ¿Qué hacemos por nuestra parte para protegernos si perseguimos esta relación? Así que creo que esa es una de las preguntas difíciles que creo que definitivamente haría, pero tendría miedo de hacerla.

Dom Newton:

Por supuesto. Y supongo que después de eso, ¿hay alguna diferencia en hacer negocios con proveedores de diferentes partes del mundo también en eso? Entonces, ¿está bien hacer ciertas preguntas, por ejemplo, los EE. UU. o un proveedor de usuarios que nunca soñaría con elegir un par de proveedores de máscaras al azar en, por ejemplo, Singapur o Japón o … ¿Debería eso jugar un papel? Porque obviamente todavía te están brindando un servicio. ¿Debe ser eso parte de la ecuación?

Tsholofelo Rantao:

Definitivamente. Quiero decir, proveedores, la mayor parte de nuestra tecnología proviene del extranjero. Entonces, con eso, creo que también existe la reputación de obtener tecnologías de países desarrollados que, debido a que están más maduras o más desarrolladas, están maduras. Entonces, ya no estoy promocionando a Microsoft, pero si optamos por Microsoft, ya sabes que hay un matiz asociado con él porque es una empresa muy grande. Gastan en todo el mundo, en todas estas diferentes regulaciones. Así que definitivamente tienen que tener estas cosas en su lugar. Tener esa relación tal vez mejoraría un poco nuestra madurez porque ahora estamos tratando de llegar a ese nivel o incluso mejor. Así que sí, definitivamente abierto a proveedores a nivel internacional. Nos encantaría eso en realidad.

Dom Newton:

Gracias. Quiero decir, es interesante allí, porque hablas de Microsoft, hay otros proveedores de tamaño similar. Quiero decir, una de las experiencias que he tenido al hacer la debida diligencia en ese tamaño de proveedor no es necesariamente sacarles la información, sino ciertamente poder hacer un cambio significativo donde queremos hacer una enmienda contractual. En general, no hay muchas posibilidades de que ocurra en esas circunstancias. Felipe, quiero decir, ¿cuáles son tus pensamientos por ese lado? ¿Ha sido capaz de empujar a los grandes o apunta principalmente a [diafonía 00:26:41]?

Felipe Honda:

Nosotros tratamos. De hecho, también tenemos grandes proveedores en el extranjero. Pero tenemos que, muy importante también, pensar en el apetito por el riesgo de nuestra empresa, para hacer negocios, ¿no? Eso es realmente importante, realmente no es necesario para un pequeño proveedor. Tienen unas aseguradoras de ciberseguridad realmente. Pero para los grandes, también tratamos de entender todo para el proveedor. Realmente tratamos de entender la arquitectura con certeza, para los datos LGPD [inaudible 00:27:25]. Pero realmente tratando de ponérselo. Pero es realmente difícil para las grandes empresas, especialmente las de los EE. UU., que están realmente preocupadas por la seguridad privada de los EE. UU. Pero eso es todo, realmente necesita ese proveedor. Tenemos que entender o arriesgar el apetito. Así que probamos todos los sentidos [inaudible 00:27:45] regulados por contratos y conversaciones. Eso es todo. Esa es la forma en que creo que debería ser.

Todd Boehler:

Sí, no puedo expresar lo suficientemente dominante en el lado del contrato. Esa diligencia debida previa al contrato es que si va a ganar mucho contra un gran proveedor y aún no ha hecho negocios con ellos, y están compitiendo contra su competidor por ese negocio, tiene un punto de apalancamiento justo ahí. Y tiene la capacidad de hacer preguntas más detalladas o tiene la capacidad de incluir en el contrato que tiene derecho a auditarlos al nivel que desee. Y vincular su proceso de contratación con su proceso de riesgo es algo que vemos que ha sido difícil para las oficinas de adquisiciones de las organizaciones decir: “Bueno, primero identifiquemos el riesgo y pasemos esos riesgos identificados al equipo legal para que puedan insertar cláusulas para proteger”. contra los riesgos que identificamos”. Para ponerlos en el orden correcto. Suena muy simple, pero en procesos grandes, en realidad puede ser bastante complicado hacer que esas cosas se agoten correctamente.

Todd Boehler:

Pero el contrato es un gran punto de fuerza, ¿verdad? Hemos visto muchos clientes en el proceso de renovación de contratos. Hacen una evaluación del desempeño del proveedor. Hacen una evaluación de riesgos del proveedor, y luego entran en la conversación sobre la renovación del contrato y dicen: “Mira tu perfil de riesgo con nosotros. No estamos contentos con eso, o no estamos contentos con la actuación que has estado haciendo”. Y usted puede impactar el cambio, ¿verdad? Porque puedes decir: “Mira, o queremos un mejor precio. Queremos que cambie la forma en que hace negocios, o buscaremos en otra parte”.

Todd Boehler:

Y esas personas que están a cargo del contrato del lado del proveedor están muy en sintonía con no querer perderte como cliente. Y si puede empaquetar esa información de la manera correcta, entrando en esa conversación, realmente tiene un punto de influencia para impactar el cambio. Porque puedes encontrar muchas cosas que quieres que cambien, y puedes ser mucho más pequeño que ellos y puede ser difícil de hacer. Pero si combina estas cosas con una conversación inteligente y la aplica al punto del contrato, tendrá la mejor oportunidad de impactar algunas mejoras positivas para su negocio y cómo usar ese producto o servicio.

Dom Newton:

Absolutamente. Y creo que lo que hay allí es que no solo estás hablando cuando contratas a un proveedor por primera vez. De lo que está hablando allí es de la gestión y el control continuos de los contratos, y luego de poder salvarlos casi por completo. Entonces, cuando llegue a las renovaciones, puede empujar un poco más.

Todd Boehler:

Sí es cierto.

Dom Newton:

Y estos SLA, me refiero a que la gente de precontratos trabaja muy duro para incluir los SLA en los contratos. Firman el contrato y va a un archivador. Y luego nunca lo abre y ve qué diablos se escribió en ese contrato para poder aprovechar o monitorear las obligaciones del contrato para el proveedor. Entonces, si puede incorporar eso como dijo Amanda al proceso de automatización, ¿verdad? Y puede incorporar eso en su proceso de renovación de contrato donde está haciendo las revisiones de riesgo y evaluando contra las obligaciones del contrato que están escritas, ahora está construyendo un buen punto de conversación y colaboración para trabajar con ese proveedor para obtener el máximo salir de ellos y construir una asociación con ellos nuevamente en el nivel correcto.

Dom Newton:

Si absolutamente. De hecho, se mencionó una de las preguntas anteriores sobre la ruptura de silos entre las diferentes funciones en el negocio. Porque si tiene un equipo de adquisiciones que está bien, está trabajando con legal, pero no necesariamente está trabajando con operaciones tan de cerca, como usted dice, el contrato está firmado en el archivador, donde vamos. Y no se trata de hablar con la seguridad, no se trata de hablar con los equipos de atención al cliente. Su apalancamiento se reduce mucho en ese punto. Entonces, cuando realiza actividades de diligencia debida para renovaciones, no obtiene toda la información, toda la inteligencia que su negocio ha desarrollado. De repente no disponible. Entonces, es realmente crítico que la empresa se hable a sí misma durante la vigencia del contrato. De la misma manera, supongo que vería para las evaluaciones de impacto de privacidad y protección de datos, debería ser algo vivo y no solo hecho y hecho en el estante.

Todd Boehler:

No se trata solo de la reducción o la mitigación del riesgo, es muy importante hacerlo. No me malinterpreten y hay regulaciones en cumplimiento, pero también se trata de valor, ¿verdad? Y estas cosas están ligadas al valor y la gestión en la junta, las organizaciones se preocupan, ¿estamos reduciendo costos? ¿Estamos reduciendo los tiempos de ciclo y el riesgo y obteniendo el máximo valor posible de nuestras relaciones con los proveedores? Y esas cosas están unidas intrínsecamente.

Dom Newton:

Sí. Frio. Amanda, ¿alguna idea tuya sobre eso?

Amanda Tilley:

Por supuesto. Primero, estoy de acuerdo con la administración de la junta, no podemos tener miedo de que cuando se renueve un contrato, entonces podría ser demasiado difícil ir a otro lugar si no es lo mejor para la empresa. Y eso realmente significa comenzar antes, y en la medida de lo posible, eliminar las renovaciones automáticas en sus contratos, pero comenzar esa debida diligencia de renovar contratos antes. Y nuevamente, tener un flujo de trabajo establecido de lo que significa incorporar o renovar un proveedor mediante la incorporación de la línea de negocios. Ya se trate de sus departamentos de adquisiciones o de riesgos de terceros, sus equipos legales, sus equipos de seguridad de la información. Tener un flujo de trabajo que sea adecuado para el negocio se ocupa de todas sus necesidades individuales y no necesariamente poder avanzar hasta que cada una de esas áreas respectivas esté en un buen lugar con cualquiera que sea el lenguaje del contrato. Y especialmente importante con la renovación de contratos.

Amanda Tilley:

Al menos desde la perspectiva de la seguridad de la información en los EE. UU. y en la banca, tenemos nuevos requisitos de notificación de incidentes a través de la OCC en los que tenemos que informar a nuestro regulador si hay incidentes de cierto umbral, pero si estamos inactivos durante cuatro horas, tenemos que informar eso a la OCC. Por lo tanto, también necesitamos que nuestros proveedores nos lo informen de manera oportuna. Y aunque sigue siendo la ley y técnicamente deberían seguirla, siempre ayuda tener eso dentro de sus contratos. Y como dijo Todd, no lo guarde en un archivador y no vuelva a controlarlo nunca más. Realice esa evaluación y monitoreo constante de si están cumpliendo con sus SLA, si realmente van a seguir la notificación de incumplimiento y tienen ese derecho a auditar el lenguaje en su contrato para proteger a su organización.

Dom Newton:

Absolutamente. Y de nuevo, algo que realmente sobresalió fue que la obligación recayó sobre su proveedor. Siguiendo con el tema de qué tan profundo se profundiza y pensando nuevamente desde la perspectiva europea de los subprocesos y subprocesos de procesos y gestión de proveedores de terceros.

Amanda Tilley:

Sí.

Dom Newton:

¿Qué tan lejos en la cadena alimenticia tiene que llegar eso?

Amanda Tilley:

Nunca termina, ¿verdad? Es cuánto mide el trozo de cuerda hacia abajo. En nuestra organización, nos preocupamos por las cuartas partes, especialmente las cuartas partes que recibirán nuestra información o procesarán nuestra información. También obligamos a nuestro tercero por contrato y a través de nuestro proceso de debida diligencia de garantizar que tengan un sólido programa de debida diligencia de terceros en su organización, de modo que haya un elemento de confianza de que están haciendo su trabajo para proteger nuestra información. que luego están proporcionando a sus terceros.

Dom Newton:

Frio. Quiero decir, desde una perspectiva europea, nuevamente, si está usando, por ejemplo, si hay una transferencia de datos involucrada, está usando las cláusulas modelo, las cláusulas contractuales estándar, hay algo que fluye automáticamente a través de las SEC. para decir: “Oye, si tu procesador falla, tu subproceso. Estás en el gancho. Quiero decir, Tsholofelo, ¿hay una disposición similar bajo [inaudible 00:35:31] y bajo el brasileño [inaudible 00:35:31]?

Tsholofelo Rantao:

Sí, definitivamente. Así que también tendríamos que tener especialmente privacidad. Cualquier incidente de privacidad que tengamos, si tenemos un incidente de seguridad cibernética que afecte la privacidad, definitivamente lo informaremos al regulador. Entonces, una cosa que acaba de mencionar sobre la contratación, creo que lo que ha funcionado y lo que he visto que ha funcionado es, y ciertamente tener sus evaluaciones de riesgos de seguridad, correcto. E incorporarlo activamente en cada proceso que tenga. Entonces, antes de que realmente suba a bordo, estas personas realizan estas evaluaciones de riesgo, pero hasta el [inaudible 00:36:11]. Porque incluso cuando corre el riesgo de realizar esa evaluación, no está seguro de que la información que están difundiendo, en realidad puedan incorporarla en una perspectiva legal.

Tsholofelo Rantao:

Así que involucre a las pymes, involucre a las personas adecuadas para que sea un enfoque colaborativo. Para que los contratos puedan ser lo suficientemente fuertes para que, si algo sucede, con suerte no, entonces pueda recurrir a eso. Así que sí, informamos esto al regulador. No voy a decir que obligamos a nuestros terceros, pero hay una cultura para decir que estás firmando este contrato. Así que estás obligado por ella. Así que también necesitas asegurarte de que estás madurando. No nos dirigimos activamente a ellos y verificamos si están maduros, que es algo que debe comenzar a hacer, y tal vez priorizar muchos [inaudible 00:37:00] en el futuro.

Todd Boehler:

Sí, Tsholofelo. Solo diría que las evaluaciones de control en el sitio con la pandemia han cambiado la forma en que se realizan las auditorías, lo cual es increíble. En el pasado, esperábamos que nuestros clientes hicieran una visita in situ para verificar los controles de ciertas operaciones según el proveedor. Pero tienes razón. Es un esfuerzo de colaboración ahora y tanta verificación como puedas hacer. Y ahora estamos viendo auditorías de escritorio, que son esencialmente un control remoto que recibirá una llamada de Zoom y el proveedor mostrará lo que puede mostrar para sus controles. Muéstrame que puedes encriptar, muéstrame que tienes una contraseña robusta o autenticación de tres factores para acceder a los datos que tienes para nosotros, ese tipo de cosas. Y esos tipos de auditorías han cambiado, pero estoy completamente de acuerdo en mostrar que se trata de un esfuerzo de colaboración y que es importante que los expertos en la materia participen desde el principio.

Dom Newton:

Y en términos de esas PYMES dentro de su negocio, quiero decir, ¿con cuánta anticipación necesita que se involucren? Y supongo nuevamente, ciertamente he estado en la posición de llevar a alguien a un ejercicio de debida diligencia que no necesariamente entiende por qué están allí. Y algo de esto habla de la madurez organizacional dentro de su negocio. Dejando un poco de lado el elemento proveedor para poder hacer una debida diligencia efectiva. Tienes que hacer mucho trabajo con tu propio negocio antes de eso, ¿verdad?

Tsholofelo Rantao:

Sí. Por eso pienso…

Robert Bateman:

Sí. Estoy seguro.

Dom Newton:

Tsholofelo, ¿volverás a saltar?

Tsholofelo Rantao:

Oh, sí, lo estaba. Iba a decir que también dependerá de la cantidad que vaya a gastar en este proveedor. Ahí es donde ahora decides qué tan experto serías para involucrarte en esto. Entonces, si significa obtener un contratista para ese momento específico, porque este es un contrato de mil millones de dólares, hagámoslo porque debemos asegurarnos de que todo vaya en armonía. Va a tener un proceso de armonía. Así que prefiero tener esas conversaciones difíciles al principio. Y estoy completamente de acuerdo con la precontratación porque ahí está el poder. Así que tenga las conversaciones difíciles allí, tenga los diferentes tipos de sombreros o personas que usen diferentes tipos de sombreros en esa reunión. Para que en el momento en que finalice y cierre la sesión, todos se sientan cómodos. Se siente realmente cómodo de que las personas involucradas hayan visto los puntos ciegos que la mayoría de las empresas no conocen.

Todd Boehler:

Creo que solo iba a decir el en el punto de selección, ¿verdad? Pasas por un proceso de compra, obtienes 10 proveedores candidatos y tratas de llegar a una lista corta de dos o tres, y luego seleccionas uno y luego firmas el contrato. Hemos visto organizaciones más maduras en esa lista de 10 candidatos a proveedores. Harán una diligencia debida superficial, no con los expertos en la materia, pero tal vez con algunas fuentes de datos externas. Y tomarán algunos atributos y dirán: “Bueno, mira, ¿eso nos ayuda a reducir esto? Obviamente, nos estamos saliendo del tamaño de la empresa. ¿Son quienes dicen que son, son financieramente resistentes? ¿Tienen una buena calificación cibernética?

Todd Boehler:

Y luego poder reducir esa lista a una lista corta que luego pasa por la evaluación funcional para una vez que se selecciona, ahora pasa por esto, ahora involucra este medio, ahora dice: “Está bien, ha sido premiado el negocio. Tenemos que pasar por la contratación”. La contratación consiste en la implementación del producto o servicio, la debida diligencia de nuestras pymes, así como el proceso de corrección del contrato principal antes de llegar a la firma. Y como dijo Tsholofelo, ese es tu único punto de influencia, ¿verdad? Para que pueda hacer esas cosas en ese momento y atraer a las personas de las PYME en el momento adecuado, ¿verdad?

Dom Newton:

Lo siento. ¿Qué haces, Todd, cuando tienes el negocio tan ligado a lo nuevo y brillante? Que no están tan interesados, solo quieren entrar y hacerlo rápido. Porque le dijeron a la junta que se entregará para esta fecha, ¿verdad?

Todd Boehler:

Sí. Esos son los tiempos del ciclo, ¿verdad? Esa es la incorporación. Lo que tiende a obtener la adquisición, no quiero decir gritado como máximo, sino su tiempo de incorporación. La empresa quiere el producto o servicio inmediatamente. Tienes que atravesar las puertas correctas para obtener ese producto o servicio. Y tiene que venir del tono de la gerencia en la parte superior para inculcar eso en el negocio diciendo: “Debemos hacer estas cosas o no tendremos un negocio”. ¿Derecha? Y poder tener esas conversaciones de adultos sobre por qué estamos haciendo controles de riesgo ahora. Dicho esto, si es realmente malo en ese proceso de verificación y le está tomando seis meses, la gerencia dirá: “Mejor mejore su proceso y reduzca esto a un período de tiempo más pequeño que sea aceptable”. Y ese es el desafío de incorporar a las PYMES y el riesgo y tener su programa suavizado para que esté enfocado y pueda entregar esos productos porque la empresa tiene mucho que decir, tienen una voz fuerte y exigirá cosas. Y tienen derecho a hacerlo si su proceso no es eficiente, ¿verdad?

Dom Newton:

Sí. Eso nos lleva a lo más profundo. Tenemos unos, creo que probablemente unos cinco o seis minutos menos. Eso nos lleva claramente a resumir. Me acercaré a cada uno de ustedes. En términos de diseñar ese flujo de trabajo, ¿cómo se ve eso? Felipe, si puedo acudir a ti primero, ¿cuál es tu flujo de trabajo? ¿Cuál sería su flujo de trabajo para ser un [diafonía 00:42:25] ideal?

Felipe Honda:

Definir realmente su riesgo de título de nuestra organización muy claro. Ese es el primer punto. Y luego entender la relación que pasa por esa negociación es realmente estratégica. Es solo un proveedor normal. Es solo un software de todos modos. Solo entienda cuán profundo debe ser, los riesgos entre esa relación. ¿Qué está sucediendo? Todo el entorno financiero, político, estratégico, tecnológico, entienden que encogen, que planifican, ¿no? Y representan todo y luego conversan desde diferentes puntos y luego contraen eso es todo [inaudible 00:43:06]. Pero realmente importante entender la relación y conocer los riesgos.

Dom Newton:

Y Tsholofelo viene a ti a continuación. ¿Cómo es tu flujo de trabajo ideal para esto?

Tsholofelo Rantao:

Así que diría que entiendas el tipo de relación en la que te estás metiendo que determinará lo que harás en el futuro. Amplía tu lente. No se limite a mirar el valor comercial o el valor operativo. Tan amplia la lente un poco. Mire legal, mire su riesgo de ciberseguridad. Así que tenga una perspectiva más amplia cuando esté analizando a estos terceros. Y tampoco confíe solo en la gobernanza. Sí, te pararán con la póliza y pensarás que todo está perfecto. Solo piensa en un panorama general. Y sí, y luego de eso, es solo colaboración. Estar abierto. Todos tienen la responsabilidad de ser transparentes y cuando algo sale mal, es más fácil de manejar porque todas las llamadas estaban sobre la mesa.

Dom Newton:

Absolutamente. Y luego, Amanda, hablamos de varias cosas como la contratación, la fase previa al contrato. ¿Qué te busca desde [inaudible 00:44:20] perspectiva?

Amanda Tilley:

Entonces, para mí, creo que el diseño y la implementación de un flujo de trabajo en realidad comienza mucho antes en una cultura de cumplimiento y una cultura de gestión de riesgos para establecer esos umbrales de riesgo y comprender qué es aceptable para la línea de negocios en plazos, respuesta y participación. Creo que esas son cosas clave para definir para incluso comenzar a desarrollar e implementar ese flujo de trabajo. Y una vez que tenga eso, la aceptación de su directorio, de su alta gerencia, de esas líneas de negocios y dueños de negocios, entonces el flujo de trabajo se vuelve mucho más claro, mucho más fácil de implementar y seguir haciendo. Reducirá el número de líneas de negocio que pueden intentar eludir su flujo de trabajo, porque se establece de arriba hacia abajo. Y todos han tenido la oportunidad de contribuir a lo que debería ser ese flujo de trabajo, requisitos y expectativas. Y a partir de ahí, establece sus formularios de riesgo inherente, hágalos fáciles de hacer para la línea de negocios.

Amanda Tilley:

Dependerá de su apetito por el riesgo para su negocio y de qué áreas requieren más reflexión y análisis. Pero debe ser fácil establecer cuál es el riesgo inherente, de modo que sea claro y conciso sobre qué materiales de diligencia debida deben recopilarse. Cuando los dueños de negocios saben esto desde el principio, pueden comenzar a obtener esas cosas antes. Entonces, cuando llega el momento de llegar al contrato, ya hemos hecho todas nuestras cosas. Estás listo para firmar ese contrato. Así somos nosotros. Hagámoslo. Así que realmente proviene de esa cultura de cumplimiento, gestión de riesgos y comprensión de su importancia para construir ese flujo de trabajo apropiado.

Dom Newton:

Entonces, en primer lugar, se trata de construir la cultura. Y de nuevo, ese tono en la parte superior. Todd, obviamente, eso es más fácil en algunos negocios que en otros. Trabajar en una multinacional que crece por adquisiciones. He hecho algunos de esos ahora. Reunir esas culturas y establecer ese flujo de trabajo en multinacionales, donde tienes proveedores por todas partes, tienes proveedores aún más diversos. ¿Cómo se construye un proceso sólido en esas circunstancias?

Todd Boehler:

Sí. Y creo que es correcto. Voy a decir que centralizar es clave. Todos deben solicitar productos o servicios de una función centralizada que luego pueda evaluar lo que sucede, ¿verdad? ¿Qué vamos a hacer a continuación con las solicitudes centralizadas de productos o servicios? Y luego tenemos que hacer el proceso de diligencia debida adecuado contra eso. Entonces, si no lo ha hecho, si su negocio puede adquirir sus propios productos, o no tiene una lista conocida de proveedores hoy con una lista conocida de los tipos de productos o servicios o categorías con las que hace negocios con ellos. y cuáles son esos niveles de riesgo inherentes, ese es el paso básico, el paso uno. Conozca a sus proveedores y realice una evaluación de riesgo inherente contra ellos para saber lo que tiene. Y luego puede comenzar a pensar, como dijo Amanda, el proceso de flujo de trabajo de arriba hacia abajo e incorporarlo en el pliegue puede suceder naturalmente después de eso.

Todd Boehler:

Desde una perspectiva nacional global, puede volverse muy complicado, solo puedo decir eso. Hay múltiples sistemas, múltiples divisiones, múltiples reutilizaciones de esos productos y servicios en todas las líneas comerciales que tienen diferentes riesgos asociados con los que está administrando. Tiene las diferentes regulaciones globales que ahora necesita con GDPR, si está haciendo negocios en la UE, pero también lo está haciendo en los EE. UU. Ahora tiene responsabilidades compartidas en todo eso. Por lo tanto, las complejidades solo aumentan cuanto más hace negocios a nivel mundial, pero ahí es donde la importancia de tener su programa interno establecido como base, le permite crecer y adaptarse, porque lo único que todos sabemos sobre el riesgo de terceros es que siempre cambiando. Nuestras empresas solo exigen hacer más y más con otras personas. Y así, siempre hay algo que sucederá a continuación. Por lo tanto, tratar de realizar un seguimiento de los datos globales de todos los proveedores del mundo es muy difícil. Entonces, haga lo que pueda y tenga un programa establecido para, como dijo Tsholofelo, poner la lente. Una lente más amplia en torno a sus relaciones de suministro es realmente fundamental.

Dom Newton:

Y supongo, quiero decir, la clave de todo esto es saber quiénes son esos suministros en primer lugar y administrarlos de manera efectiva. Y sé que ha habido mucho esfuerzo en los últimos años para intentar que todo siga funcionando.

Todd Boehler:

Así es.

Dom Newton:

Creo que estamos bastante a tiempo y ha sido una sesión increíble. Y muchas gracias a todos. ¿Algún pensamiento final antes de que alguien nos desprenda? ¿Alguna última pequeña pepita? No, está bien.

Todd Boehler:

Si por favor.

Dom Newton:

Muchas gracias por tu tiempo. Espero que todos hayan disfrutado eso. Y creo que estamos ahí. Robert, gracias por el tiempo de esta tarde. Espero que lo hayas disfrutado también.

Robert Bateman:

Mucho. Entonces, muchas gracias, Dom. Otro gran panel para rematar este día de grandes sesiones. Gracias nuevamente a ProcessUnity también por patrocinar esa sesión. Dirígete a la página de su patrocinador en el menú de la izquierda para obtener más información sobre ellos. Además, vale la pena registrarse para la presentación anterior. Muy interesante en due diligence de terceros. Así que es el final del día. Muchas gracias por asistir a PrivSec Focus, Riesgo de Terceros. Este formato de eventos presenciales en línea es realmente perfecto para captar una amplia variedad de perspectivas y pensar críticamente sobre estos temas. Hemos podido ver cómo las personas se enfrentan a estas cosas en la vida real, en su trabajo. Y haz preguntas. Y hemos tenido la oportunidad de conocer a algunos pensadores y profesionales realmente importantes en este espacio.

Robert Bateman:

En ese sentido, si desea asistir a más eventos como este, aquí hay un recordatorio de algunos de los eventos que tenemos en los Foros mundiales de GRC. A lo largo de mayo y junio tenemos PrivSec Global, así como eventos sobre la gestión de riesgos empresariales de delitos financieros y nuestro evento de cuatro años de GDPR que debería ser muy divertido ver los primeros cuatro años de aplicación de GDPR. Este verano organizaremos algunos eventos presenciales como parte de nuestra serie Digital Trust Europe. Tenemos tres próximamente en Londres, Dublín y Ámsterdam, y se llevarán a cabo durante junio y julio. En noviembre, organizaremos una gran exposición llamada #riskinLondon. di-