Los proveedores de servicios y proveedores externos a menudo responden muy bien a las solicitudes iniciales de detalles sobre sus prácticas. Pero una vez que se firma el contrato, la información puede ser menos disponible.
Sin embargo, el monitoreo continuo de proveedores es una parte crucial de la gestión de riesgos de terceros. Los cambios en las prácticas de los proveedores o en las cadenas de suministro pueden exponer su negocio a riesgos inesperados.
PrivSec Third-Party Risk explorará cómo monitorear de manera efectiva sus relaciones con terceros de manera continua y lograr una transparencia casi total de terceros.
Transcripción
Robert Bateman:
Hola, y bienvenido a PrivSec Focus Third-Party Risk. Soy su anfitrión por hoy, Robert Bateman, jefe de contenido aquí en GRC World Forums. Y estoy emocionado de estar aquí hoy para presentar una experiencia de transmisión en vivo, dando la bienvenida a profesionales senior y expertos para explorar todos los aspectos de la creación y el mantenimiento de un programa de gestión de riesgos de terceros sólido y eficiente. Por lo tanto, este evento contará con presentaciones y paneles de discusión, que brindarán contenido realmente fascinante y algunos conocimientos prácticos y prácticos para los profesionales de la privacidad y la seguridad.
Hoy contamos con una alineación fantástica de oradores destacados, que debatirán una amplia gama de temas, desafíos y oportunidades a los que se enfrentan los líderes en protección de datos, privacidad y seguridad y riesgos en este momento.
En nombre de PrivSec, y de nosotros aquí en GRC World Forums, los organizadores de este evento, me gustaría agradecer a nuestro patrocinador principal, ProcessUnity. Para conocer las iniciativas de ProcessUnity, diríjase a la barra de menú a su izquierda y visite su página, donde puede acceder a contenido exclusivo.
¿Qué hay en la agenda hoy? Tenemos muchos temas por venir, incluido el monitoreo continuo de proveedores, una sesión sobre si puede o no confiar en los cuestionarios de evaluación de riesgos de terceros, una clase magistral de riesgos de terceros sobre cómo calcular el riesgo inherente y algunos temas sobre la cadena de suministro. gestión, incluida la gestión ética de la cadena de suministro, y también evitar los ataques a la cadena de suministro.
Puede acceder a todo esto y más visitando el menú de la izquierda y viendo la agenda. Asegúrese de registrarse en la sesión elegida para que también pueda acceder a las versiones bajo demanda.
En nombre de GRC World Forums, también necesito informarles sobre algunos de nuestros planes para el próximo año, al menos algunos de ellos. Tenemos nuestro evento global completo de PrivSec los días 29 y 30 de junio, y algún evento de PrivSec Focus, que analiza temas específicos como la ley de privacidad y seguridad en Asia Pacífico, la gestión de riesgos empresariales y GDPR cuatro años después. Además, tenemos algunos eventos en persona muy emocionantes este año. En junio y julio visitaremos Londres, Dublín y Ámsterdam como parte de Digital Trust Europe. También analizaremos otras áreas que cubre GRC World Forum en esos eventos, incluidos FinCrime, ESG y Cloud Modernization.
Por último, acabamos de lanzar lo que será uno de nuestros mayores eventos del año, llamado Hashtag Risk. Esta es una exposición presencial de dos días que tendrá lugar en Londres en el ExCel los días 16 y 17 de noviembre. Examinará el cambiante panorama de riesgos en un entorno de intercambio de conocimientos rico en contenido. Entonces, si desea obtener información sobre cualquiera de estos emocionantes eventos y todos los demás que tenemos por venir, visite grcworldforums.com.
Ahora, pasemos a nuestro primer panel del día, Supervisión continua de proveedores, con el objetivo de lograr una transparencia total. Nuestro anfitrión para esta sesión es Gareth Oldale, socio, jefe de datos, privacidad y ciberseguridad en TOT, LLP. A ti, Gareth.
Gareth Oldale:
Gracias, Robert, y buenos días a todos. Encantado de estar aquí y de presidir la primera sesión de esta mañana, que, como mencionó Robert, se centra en el control continuo de los proveedores y apunta a una transparencia total. Quizás nos sumergiremos en eso con un poco más de detalle en breve.
Estoy encantado de estar acompañado por un panel realmente fantástico esta mañana. Tenemos a Jelle Groenendaal, investigadora asociada sénior en Crisis Lab, y también propietaria principal de productos en 3rdRisk. Quizás, muy bien situado para hablar de estos asuntos.
Puja Verma, asesora legal y de privacidad en Phillips, con sede aquí en la empresa del Reino Unido. Luego tenemos a Keitumetsi Tsotetsi, especialista sénior en riesgo y cumplimiento de la gobernanza de grupos, pero con un enfoque particular en ciberseguridad, que, nuevamente, será excelente para analizar con más detalle a medida que avanzamos en la sesión. Keitumetsi se une a nosotros desde Vodacom. Y por último, pero no menos importante, Sumeet Kukar, quien es el director ejecutivo de Aracina, que está muy enfocado en brindar servicios cibernéticos para los que no son expertos en tecnología, lo cual creo que es algo en lo que ciertamente puedo suscribirme, Sumeet. Entonces, gracias a todos por unirse esta mañana.
Supongo que para poner las cosas en marcha, Jelle, puedo acudir a ti primero. El título de esta sesión habla de aspirar a una transparencia total. Supongo que un buen lugar para comenzar sería hacer la pregunta de si esto es posible, ¿transparencia total? Y si es así, ¿es incluso deseable? Jelle, ¿cuáles son tus pensamientos?
Jelle Groenendaal:
Hola, Gareth. Gracias por esta pregunta. Creo que es una muy buena pregunta, y bueno, tengo una declaración contundente, pero mi posición es que aspirar a una transparencia total no es realmente deseable, e incluso es difícil de lograr en la práctica. Lo que creo que quieres lograr en la práctica, basado en mi comprensión de la literatura científica, porque estoy al lado de un propietario de producto, también investigador, es esa confianza entre tú y tus proveedores, quieres tener confianza. Y debe crear un entorno en el que sus proveedores se sientan cómodos para informarle oportunamente sobre posibles problemas e incidentes.
Tomemos un ejemplo, como la vulnerabilidad crítica como [inaudible 00:07:27]. Desea saber de sus proveedores si se ven afectados y si han tomado las medidas adecuadas, especialmente, por supuesto, aquellos proveedores con conexión a la red de su empresa.
Y creo que aspirar a una transparencia total puede ser contraproducente para generar confianza. Cuanta más transparencia no conduce automáticamente a más confianza. Incluso puede conducir a una reducción de la confianza, y hay muchas investigaciones que lo respaldan. Por lo tanto, no estaría a favor de aspirar a una transparencia total.
Y además, lo que creo, es que la transparencia total también puede ser una barrera para obtener una buena comprensión de los riesgos de su cadena de proveedores. Por ejemplo, tengo dudas si tienes mucha información de tus proveedores, porque, ¿qué significa transparencia total? Significa que obtienes una divulgación completa de todo tipo de información. Y cuanta más información tenemos sobre algo, más nos alejamos de lo que está sucediendo y menos capaces nos volvemos de comprender toda su complejidad.
Entonces, la transparencia total significa, en mi opinión, que sí, que te sientes abrumado con la información. Y creo que hay muchas investigaciones que muestran que las personas no son realmente buenas para procesar grandes cantidades de información, por lo que debes evitar eso. Entonces, en resumen, no estoy realmente a favor de la transparencia total. Para mí, se trata más de responsabilidad de inteligencia. Desea asegurarse de que la relación de confianza en riesgo, y para eso, no creo que necesite una transparencia total. Creo que necesitas tener otras cosas.
Gareth Oldale:
Completamente destrozando la agenda, Jelle, de buenas a primeras. Eso es fantástico.
Debo decir, encantado de decir que ya hemos tenido una pregunta, y ciertamente llegaremos a [diafonía 00:09:12] pero estamos ansiosos por tratar de dejar algo de tiempo al final de la sesión para preguntas. Pero si hay algunos que encajan de forma natural con el flujo de la discusión, también los recogeremos en el vuelo. Así que por favor envíe esas preguntas.
Antes de pasar a la siguiente pregunta. No sé si alguien en el panel tuvo alguna idea sobre el punto de Jelle allí, sobre los riesgos o las limitaciones que puede traer la transparencia total. Sumeet, puedo ver que te has quedado mudo. No sé si es una coincidencia o si estabas buscando aceptar lo que dijo Jelle.
Sumeet Kukar:
No no. De hecho, estaba de acuerdo con Jelle. No me di cuenta de que había olvidado activar el sonido, así que en realidad no salí. Pero sí, no. Mira, supongo que mientras estoy en silencio, mala elección, pero de todos modos. Mira, creo que lo que Jelle realmente describió es bastante acertado. Creo que realmente se trata de ese equilibrio entre ¿cuánto es demasiado? Y creo que eso también conduce a una lata de gusanos completamente separada, o una discusión separada sobre cuánto informe y cuánta información es demasiado, de modo que, en realidad, fundamentalmente no puede examinarlo. Y creo que realmente se convierte en todo un acto de equilibrio.
Gareth Oldale:
Sí. Creo que esa es la clave, ¿no? Es sorprendente ese equilibrio adecuado entre tener suficiente información para sentir que tiene la información correcta para tomar decisiones informadas, sin estar abrumado con hojas de cálculo e informes MI cada cinco minutos.
Y no hace falta decir que hay muchas herramientas, y herramientas realmente buenas, disponibles todo el tiempo para ayudar a optimizar el proceso de gestión de riesgos de la cadena de suministro, particularmente en el contexto de los datos. Y el riesgo cibernético es algo en lo que estamos viendo mucha innovación en ese espacio en este momento, lo cual es bueno.
Puja, solo sobre la base de ese punto que Jelle discutió, supongo que la pregunta de seguimiento natural, al observar la transparencia, es ¿cómo se ve en la práctica? ¿Qué deben hacer las organizaciones? ¿Cómo pueden abordar el monitoreo proactivo y la transparencia en sus cadenas de suministro? Y supongo que la parte final de eso, si esto no es demasiado para incluirlo en una sola pregunta, es qué partes del negocio, según su experiencia, ¿cree que deben participar para completar ese perfil de riesgo?
Puja Verma:
Sí, buena pregunta, Gareth. Agradable carnoso para mí para entrar. Primero, solo quiero decir que es un absoluto honor estar aquí. Y, “Hola”, a todos los que están mirando.
Entonces, creo que con las organizaciones, realmente tienes que definir qué quieres decir con transparencia y qué buscas obtener de ella. Entonces, la transparencia es tener su cuestionario de diligencia debida, ingresarlo, todas las casillas están de acuerdo porque ha creado una hermosa hoja de cálculo de Excel que se ilumina. Y luego estás feliz, estás satisfecho de que esas garantías están ahí. Y luego realmente está adoptando un enfoque que se parece mucho a un enfoque basado en garantías, por lo que sabe dónde puede cambiar su responsabilidad. Usted sabe que tiene un recurso contra ese proveedor, y realmente está tomando una especie de enfoque de beneficio sobre protección. Y hay organizaciones que hacen eso. Hay organizaciones que piensan que eso está absolutamente bien, si adoptas un enfoque legal realmente crítico.
Pero luego tiene otro enfoque, que en realidad es el GDPI, y el UKGDPI dice que necesita monitorear a sus proveedores. Entonces, ¿cómo vas a hacer eso? ¿Va a adoptar un enfoque de colaboración que realmente se base en lo que Jelle estaba diciendo, que es tener esa confianza, tener ese tipo de transparencia genuina en la que su proveedor puede acudir a usted y decirle: “Oye, en realidad hemos hecho un error. Algo salió mal. Hay un error humano”.
Todos sabemos. Todos somos profesionales allí. Sabemos que una violación de datos no tiene por qué ser un evento malicioso de piratería informática. Puede ser un error genuino. Entonces, tener esa relación genuina es muy, muy importante.
Sobre la base de la segunda parte de su pregunta, ¿quién hace eso? Ahora, probablemente somos una de las pocas personas en una organización que tiene que administrar la protección de datos y la seguridad cibernética. Y algo es literalmente solo una persona. Por lo tanto, no siempre será práctico para su oficial de protección de datos, su consejo de privacidad, quien sea, entrar y tratar de evaluar a todos los diferentes proveedores que pueda tener.
Creo, personalmente, que la mejor manera de hacerlo, si realmente nos enfocamos en las buenas relaciones y en las relaciones de buena calidad, la mejor manera de hacerlo es con la persona que trajo al proveedor. Entonces, ya sea que se trate de un equipo de innovación , ya sea un equipo de adquisiciones, o incluso si es un equipo de ventas, quien haya traído al proveedor tiene que cuidarlo y cuidarlo, tal como lo haría con un cliente. Si es un administrador de cuentas, ya sabe, trabaja con administradores de cuentas, entenderá lo que estoy diciendo. Estás levantando el teléfono y los estás llamando, y quieres saber cómo les está yendo y si vendrán a un evento. Al igual que un poco de cuidado hacia nuestros proveedores, también podría crear un ambiente realmente bueno de confianza y transparencia, que es realmente viable.
Entonces, para responder a su pregunta, creo que debe definir qué significa transparencia en su organización. Pero mi preferencia es tomar la raíz de nutrir más esa relación.
Gareth Oldale:
Fantástico. Gracias Puya. Creo que estoy absolutamente de acuerdo. Estamos viendo, nuevamente, que las organizaciones invierten de manera bastante significativa en la gestión de proveedores, la gestión de riesgos de la cadena de suministro, se les da diferentes nombres a estos equipos. E inevitablemente, como usted dice, creo que recae bastante sobre los hombros de la función de privacidad, ya sea la oficina del RPD o una unidad de consultoría de privacidad, según la escala de la organización. Y lo mismo InfoSec. Esa es una gran cantidad de diligencia debida adicional que se incluye en la lista de tareas del día a día para aquellas partes de la organización que tal vez no era el caso incluso hace cinco o diez años.
Keitumetsi, supongo que el corolario de todo lo que Puja acaba de describir allí, es que puede haber un grado de complacencia que comienza a colarse con las actividades de cumplimiento, y tal vez una sensación de que las personas simplemente siguen los movimientos a veces. ¿Cuáles cree que son los riesgos en torno a la complacencia en el cumplimiento? ¿Y qué cree que pueden hacer las organizaciones para evitar que eso cause daños a sus negocios?
Keitumetsi Tsotetsi:
Bueno. Muchas gracias por esa pregunta. Entonces, cuando observamos la complacencia del cumplimiento, quiero decir, acabamos de escuchar acerca de las excelentes hojas de cálculo de Excel que son verdes en todas partes. Y eso es algo de muy alto riesgo, creo, porque entonces el enfoque se ve bien en el papel. Y gran parte de la confianza es algo muy importante que surgirá con frecuencia, creo, cuando se trata de riesgos de terceros y gestión de terceros.
Pero la razón por la que en realidad contratamos a terceros es para que podamos concentrarnos en nuestro negocio principal, ¿verdad? Entonces, el elemento de confianza entra cuando decimos: “Confiamos en que estás haciendo lo que tienes que hacer. Y aquí hay algunas cosas que nos gustaría que miraras”.
Lo que estamos descubriendo es que hay tantos marcos y tantos estándares, y la organización tiene ciertas expectativas, y el tercero tiene sus propias expectativas, por lo que se convierte en esta gran actividad en la que demostramos que estamos haciendo esto. y el proveedor demostrando que están haciendo eso, y ¿se alinean todas estas cosas? Y eso le resta valor a la gestión de riesgos real en ese momento.
Entonces, lo que más recordamos acerca de los controles, incluso cuando son efectivos, es que son una evaluación de un punto en el tiempo. Y es casi imposible tener una visibilidad completa de todo lo que sucede todo el tiempo, sin planificar y comprender cuáles son los altos riesgos dentro de la organización.
Entonces, creo que lo importante es que la organización tenga un contexto de lo que está haciendo y cuál es su función, los países en los que está operando, incluso teniendo en cuenta los entornos legislativos. Y para que el tercero o proveedor comprenda lo que está haciendo, los países en los que está operando, el entorno legislativo y cuáles son las expectativas. Y dos, la organización y el tercero se unen para ver dónde podría haber brechas importantes, pero también para simplificar y comprender cómo se hacen las cosas.
Creo que a veces imponemos mucho de lo que queremos como organizaciones, en lugar de confiar en que el proveedor hará lo que hace. Y se remonta a lo que decía Jelle sobre la transparencia. Si ve demasiado de lo que está haciendo su proveedor, intentará controlarlo.
Pero creo que la forma de abordar esto es ser consciente de los riesgos. Tenga un registro de riesgo activo que esté rastreando. Comprenda cómo la introducción de ese tercero podría afectar su riesgo y comprenda cómo su tercero también gestiona ese riesgo desde su perspectiva.
Y desde una perspectiva de seguridad y privacidad de datos, es muy amplio y, a veces, tiene cuestionarios de diligencia debida que tienen alrededor de 180, 190 preguntas. Es importante profundizar y comprender qué es lo que es importante. ¿Estás haciendo lo básico? ¿Limpieza, gestión de parches, gestión de vulnerabilidades, control de acceso, copias de seguridad de respuesta a incidentes? Hay algunas cosas que son muy importantes, y hay algunas cosas, no diré que las deje pasar, pero confíe en que su tercero está haciendo su trabajo. Quiero decir, dudo que quieran ser pirateados tampoco, ¿verdad?
Gareth Oldale:
Sí, es bastante vergonzoso profesionalmente para cualquier organización, ¿no? Causa enormes cantidades de riesgo reputacional, sin mencionar el riesgo financiero y el riesgo de entrega de servicios también.
Hemos recibido un par de preguntas, justo mientras hablábamos allí, Keitumetsi, que creo que podría ser útil responder en esta etapa. Uno de esos tipos se basa en lo que acaba de decir, en realidad, si su empresa no supervisa a sus proveedores actualmente, ¿cuál diría que sería el primer lugar para comenzar a obtener la transparencia en la información? ¿Observaría algún tipo de banda de riesgo? Entonces, ¿empezando primero con sus principales proveedores y trabajando desde allí? ¿Alguna orientación práctica que pueda dar a sus colegas sobre ese punto?
Keitumetsi Tsotetsi:
Nunca es fácil. Desde la perspectiva de los principales proveedores, la forma en que las organizaciones determinan eso también es diferente. ¿Son las personas las que aportan más dinero? ¿O son las personas las que tienen más datos, sabes? Entonces, ya tiene una comprensión de dónde está su riesgo, con cada uno de los proveedores. Y esto es incluso antes de entrar en la evaluación formal. Casi ya sabes quién tiene su mano muy adentro de la organización. Y ahí es donde puede comenzar a ver sus evaluaciones de riesgo. Y, nuevamente, una versión muy detallada de lo que es crítico e importante. Y también brinda a los proveedores la oportunidad de decir dónde podrían tener problemas, para que pueda tener visibilidad de eso y comprender cómo se está resolviendo.
Creo que el error que cometemos mucho es esperar la perfección desde el principio. Es mucho más fácil comenzar y arreglar las cosas en el camino que comenzar con una imagen completa. Y desde una perspectiva de transparencia, creo que lo que dijo Puja es muy importante. Necesitas saber lo que quieres saber. Y de esa manera, el proveedor, el vendedor, el tercero podrá darle la… Bueno, no darle las respuestas que está buscando, sino responder las preguntas que está planteando y, con suerte, honestamente, así como.
Y [diafonía 00:22:01] una vez que tengas un… Lo siento, terminaré. Porque una vez que tiene un sistema de proveedores, y tiene un riesgo general de qué proveedores potencialmente representan más riesgo que otros, también sabe cómo dirigir su atención hacia ciertas actividades desde una perspectiva comercial habitual.
Gareth Oldale:
Sí. Absolutamente. No podría estar más de acuerdo. Creo que ese enfoque de identificar cuáles son sus proveedores de mayor riesgo, si lo desea, pero reconociendo que ese podría no ser solo el valor del contrato o la naturaleza de los servicios. Pero podrían ser cosas como, obviamente, un tema candente en este momento, ¿hay alguna transferencia internacional de datos involucrada y, de ser así, hacia dónde van y desde dónde? ¿Hay datos particularmente confidenciales que se estén procesando? Entonces, algo que podría ser un contrato bastante pequeño, como un contrato de salud ocupacional potencial, o algo que involucre volúmenes bastante significativos de datos médicos, por ejemplo, y sin embargo el valor del contrato es bastante bajo, podría aumentar bastante su clasificación de riesgo. sistema con bastante rapidez, y siéntese cómodamente junto a algunos de sus contratos más megalíticos, si lo desea. Su solución ERP, por ejemplo, que probablemente desencadene esa mayor priorización.
Pero ciertamente organizaciones para las que hemos estado trabajando, la persona que envió esa pregunta, creo que si está comenzando desde un sitio de campo nuevo, si lo desea, entonces ciertamente tiene mucho sentido enfocar sus energías en aquellos que presentan el primero el riesgo más alto y luego bajar en la cadena, especialmente si se encuentra en una situación en la que trabaja con un presupuesto limitado o con una cantidad finita de recursos. Ese parece ser un enfoque que favorecen las organizaciones, y también algo con lo que creo que los reguladores pueden simpatizar.
Puja, hubo otra pregunta similar, en realidad, que surgió casi al mismo tiempo. En cuanto a esa pieza de monitoreo de la que hablaba, ¿cuál considera que es una buena práctica en cuanto a lo que debe indicarse en los contratos? Entonces, por ejemplo, ¿debería incluir auditorías dentro de las disposiciones de su contrato?
Puja Verma:
Sí. Los derechos de auditoría son… creo que son la ruina de mi vida, en el papel que estoy desempeñando. Voy a ser completamente sincero, completamente honesto. Tienes que pensar realmente si quieres el derecho a auditar, y sé que el RGPD habla de tener derechos para observar las prácticas de tus subprocesadores y tus procesadores. El desafío con los derechos de auditoría es que si estoy firmando un contrato con Amazon, no voy a tomar un vuelo a Seattle, o donde sea que tengan su sede, y no me van a dejar entrar. Probablemente van a dime que me vaya. Y es muy, muy difícil obtener esos derechos.
Entonces, realmente tiene que pensar si quiero derechos de auditoría, ¿para qué los quiero? ¿Y a quién le estoy preguntando realmente, y realmente voy a conseguir eso? Creo que mucho de eso es combativo.
Cuando observo empresas más grandes, observo que brindan un informe de auditoría anual al que tal vez pueda iniciar sesión en una plataforma y acceder. ¿Eso te va a satisfacer?
Y luego, retrocediendo, estábamos hablando de confianza. Si está mirando una organización, ¿realmente confía en ellos para hacer el trabajo? Si no confía en ellos para hacer el trabajo para el que los está contratando, ¿por qué los contrata en primer lugar?
Y luego, cuando miramos organizaciones quizás un poco más pequeñas, ¿qué tipo de carga les estás poniendo al decir: “Hola”, en mi caso, “Soy Phillip. Simplemente iré a sus oficinas y comenzaré a evaluar todo”.
Entonces, la forma en que realmente manejo eso, es que digo: “Está bien, hay un costo para todos nosotros aquí, si realmente vamos a ser duros en esta ruta de derechos de auditoría. Digamos, si hay una violación de datos, entonces quiero poder investigar adecuadamente y quiero poder convencerme de que usted hizo todo lo que pudo, yo hice todo lo que pude y podemos hablar con el regulador. adecuadamente.”
Entonces, tener una especie de relación en realidad hace el trabajo que desea que haga su cláusula de derechos de auditoría, si está dispuesto a invertir en esa ruta. Si no es así, entonces puede luchar contra un abogado y decir: “Bueno, quiero poder ir con cinco días de anticipación”. En realidad, es un gran pedido para cualquier organización, grande o pequeña. Y les estás poniendo costos a ellos, y te estás poniendo costos a ti.
No sé si eso responde a la pregunta, Gareth. Podría despotricar sobre los derechos de auditoría todo el día.
Gareth Oldale:
Sí, eso creo. Sin duda, es uno de los que, cuando se trata de negociar, los que se basan en el Reino Unido y la UE [inaudible 00:26:49], entonces, cuando se trata de negociar, las disposiciones del Artículo 28 que deben entrar en un contrato, los derechos de auditoría es absolutamente uno de esos que aún necesita ser una reunión de mentes, supongo, entre el controlador y el procesador, porque puede tener un impacto de costo bastante profundo.
Ya sabe, hemos visto, por ejemplo, para algunos de los procesadores más grandes, disposiciones introducidas que dicen: “Mire, nos complace que realice una auditoría, pero si tenemos una auditoría de cliente en curso al mismo tiempo. Le pediríamos que se alineara con eso, para que no tengamos que comenzar una nueva auditoría cada dos días, por así decirlo”. Y también otras negociaciones sobre el costo de cumplir con esas auditorías. Entonces, sí, todavía es una de esas áreas.
Robert habló en la parte superior de la sesión sobre analizar el RGPD cuatro años después, y creo que una de las lecciones que aprendí para mí, cuatro años después, es que todavía no hemos llegado a fusionarnos como industria en torno a algunos de esos términos. que busca incorporar en los contratos.
Hemos recibido una avalancha de preguntas, lo cual es fantástico. Absolutamente intentaremos llegar a todos esos antes del final de nuestro tiempo, pero Sumeet, solo para traerlo. En primer lugar, hay mucho enfoque cuando analizamos el riesgo y el monitoreo de proveedores. Hay mucho enfoque, comprensiblemente, en la cibernética, y creo que la mayor preocupación a menudo es en términos de cómo nos afectará si surge un incidente cibernético en algún lugar dentro de la cadena de suministro y, en última instancia, eso causa daño al cliente final. ¿organización?
¿Tiene alguna orientación, Sumeet, sobre la estrategia o las estructuras de gobierno que recomendaría para que las organizaciones administren y mitiguen ese riesgo de ciberataque dentro de su cadena de suministro?
Sumeet Kukar:
Sí, definitivamente. Y en el clavo, Gareth. Creo que ha dado en el clavo en términos del componente cibernético de la gestión de riesgos de terceros de la cadena de suministro. La respuesta corta, si puedo resumirla en tres palabras, es integrar la estrategia cibernética, punto. Pero, está bien, no los dejaré a todos colgados allí. Si ampliamos eso un poco, a lo que realmente estoy tratando de llegar aquí es a mapear sus principios de gobierno cibernético al ciclo de vida de la cadena de suministro. Y luego adopte un enfoque de mitigación del riesgo cibernético.
Personalmente, esa sería mi opinión. Y así es como realmente lo recomendaría. Así es como he aconsejado a muchos otros, en términos de este es un enfoque potencial que puede tomar.
Pero, la pregunta de seguimiento que siempre recibo, y asumo que todos en el seminario web me preguntarán esto, es: “Bueno, todo está bien. Esa es la teoría. ¿Cómo voy realmente y aplico eso? Como, ¿cuál es la práctica? Entonces, pensé que podría cambiar esta respuesta en un ejercicio práctico que todos pueden hacer en casa, a medida que avanzamos.
Se parece a esto. El primer paso de la cadena de suministro, la incorporación. Entonces, cuando se trata de su incorporación, ¿qué necesita hacer realmente? Necesita revisar a sus terceros para conocer su postura cibernética existente. Y sé que hay una pregunta que viene de la audiencia que va a tocar esto. Pero mirar cuál es la evaluación actual de su sitio, su madurez o su postura cibernética actual, es un buen indicador de cómo podrán lidiar con futuros incidentes cibernéticos, si es que ocurren.
Pero entonces, lo que eso hace es allanar el camino para que usted verifique los controles cibernéticos. Por lo tanto, los controles cibernéticos que los terceros realmente tienen implementados le darán una pequeña posibilidad de: “Está bien, ¿cómo se hace para mitigar eso?” ¿Cuál es el residuo con el que realmente se está encontrando, en lugar de simplemente basar, evaluar y priorizar todo en el riesgo inherente?
La conclusión del primer paso es que está reduciendo su riesgo cibernético a través de la diligencia debida. Eso es más o menos lo que se lleva.
El segundo paso es su influencia continua del ciclo de vida. Así que aquí, está viendo informes de incidentes de seguridad versus informes de resultados de pruebas de seguridad. Mi pregunta para todos en la audiencia aquí es para cualquier gestión de la cadena de suministro de terceros que realmente esté revisando, o cualquier persona con la que esté realmente comprometido, ¿qué le están informando? ¿Le están reportando incidentes de seguridad? O, ¿realmente están informando los resultados de las pruebas de seguridad que han realizado, ya sea una auditoría de seguridad, ya sea un [inaudible 00:31:08], ya sea su evaluación de riesgo interna o su propia seguridad cibernética? análisis de amenazas. ¿Son esos los resultados que se comparten contigo? ¿O es sólo algo que pasa? Entonces, qué fue un casi accidente y qué fue un éxito real es un gran signo de interrogación.
La otra cosa es, si los terceros están abordando las vulnerabilidades, ¿cuál es el cronograma de comunicación y cómo lo hacen realmente? Entonces, lo que se lleva del segundo paso del modelo de la cadena de suministro es que está reduciendo su riesgo cibernético a través de su propio programa de gestión de vulnerabilidades, que en este caso también se extiende a terceros.
Ahora, el último paso en su ciclo de vida es la salida o baja de un proveedor potencial. Aquí, necesita mirar realmente IAM. Quitando tan apropiadamente los privilegios de acceso. ¿Se ha hecho esto? ¿Quién lo está mirando realmente? ¿Quién lo ha comprobado realmente?
La segunda parte de eso es la retención de datos. Entonces, ¿se están limpiando o eliminando realmente los datos? ¿O se está dejando a la intemperie y aún expuesto después de haber despedido a alguien?
Entonces, el principio cibernético y la conclusión práctica es que está reduciendo su riesgo cibernético al administrar su área de superficie de ataque cibernético. Pero, por supuesto, si deja eso intacto o sin explotar, su área de superficie en realidad sería mucho mayor.
Entonces, en pocas palabras, a lo que estoy tratando de llegar aquí es que el requisito es realmente tener el aprendizaje de las habilidades cibernéticas prácticas e infundir eso con su conocimiento de riesgo de terceros. Y al final, lo que puede hacer al hacer eso es integrar la estrategia cibernética, y eso es prácticamente lo que se lleva.
Gareth Oldale:
Fantástico. Comentarios realmente útiles, Sumeet. Y sin duda es algo que me llevaré, seguro. Hay una especie de pregunta relacionada que me está llegando. Me pregunto si querrás retomar esto al mismo tiempo. Entonces, la pregunta es con respecto a la diligencia debida al inicio de la construcción de relaciones, y cuando se trata de redactar ese cuestionario de proveedores, ¿es mejor usar las pautas recomendadas por NIST y personalizarlas para cada relación? ¿O hay otro enfoque que recomendarías?
Sumeet Kukar:
Mira, estoy abierto a ello. Aunque creo que no es la única manera de hacerlo. Bueno, mira tal vez uno que se adapte a tus necesidades. Creo que podrías tomar alguna guía. Ya sea que tome NIST, o si toma un modelo [inaudible 00:33:31] o un modelo [inaudible 00:33:32], cualquiera que quiera usar, ya sea de privacidad o de cyber, o un enfoque de riesgo. Sí, definitivamente, habrá cierto nivel de personalización, porque no vas a tener, “Puedo simplemente aplicar el marco NIST y eso es todo”.
Dejame darte un ejemplo. Si había alguien a quien realmente estaba a punto de incorporar, e hizo la relación de diligencia debida y redactó, está bien, esto es lo que es el enfoque del NIST. Es posible que en realidad estés viendo un cierto modelo de cinco pasos allí. Pero, ¿qué pasaría si fuera un negocio de comercio electrónico y su nivel de disponibilidad o tiempo de actividad fuera su mayor riesgo cibernético? ¿Y si hubiera un ataque DDoS en su plataforma comercial en línea? En realidad estarías deprimido, y cada segundo o cada hora que estás deprimido, estás perdiendo millones y millones, ¿verdad?
Entonces, en ese caso, ¿no sería justo decir que el elemento de respuesta y recuperación del marco NIST en realidad tendría un mayor peso? Porque de lo contrario, en realidad estarías haciendo el 20%, el 20% o cualquier porcentaje que hagas. De repente, te darías cuenta de cómo solo con un ejemplo de un comercio electrónico, o un proveedor comercial, en términos de tener una presencia en línea, de repente cambia el peso en él.
Entonces, lo que realmente recomendaría, y lo que sí recomiendo a muchas personas en todo el mundo, es adoptar un enfoque desde el apetito. Porque al final del día, la junta es responsable, ¿no? Entonces, si adopta un enfoque basado en el riesgo para decir: “Está bien, ¿qué está dispuesto a poder aceptar?” Con ese ejemplo de recuperación, ¿cuál es su objetivo de tiempo de recuperación? Entonces, ¿está dispuesto a tomar cuatro horas de tiempo de inactividad, si está en una plataforma de comercio electrónico? O si en realidad es un ladrillo y cemento, y en realidad no confía en un portal en línea, entonces tal vez la parte de disponibilidad no sea tan importante y no sea receptiva, pero en realidad es poder tener un presencia física, y en realidad mirando sus ciberataques físicos.
En resumen, creo que definitivamente uso NIST como guía. Definitivamente use otros marcos como guía. Y definitivamente mira la personalización. Pero la forma en que lo personaliza, debe considerar los pesos, en lugar de mirar realmente los apetitos, para guiarlo realmente sobre cómo evaluar a su proveedor. Ese sería mi [inaudible 00:35:47].
Gareth Oldale:
Fantástico. Gracias Sumeet.
Jelle, volviendo a ti. Otra de las preguntas que hemos tenido es sobre la priorización. Entonces, la pregunta es, ¿cuáles deberían ser las prioridades para administrar a terceros y proveedores? ¿Deberías centrarte más en las autoevaluaciones? ¿O en las auditorías? ¿O hay que alcanzar un equilibrio?
Jelle Groenendaal:
Sí. Una vez más, creo que es de hecho un equilibrio. Y lo que siempre aconsejaría a mis clientes es que miren el riesgo de sus terceros y proveedores. En caso de un riesgo alto, desea confiar más en las auditorías, y para los proveedores de riesgo medio y bajo, puede confiar en las evaluaciones de diligencia debida. Pero de nuevo, creo que aquí hay un equilibrio. Y lo que siempre aconsejo es colaborar con tus terceros. Entonces, según sus evaluaciones de diligencia debida, por ejemplo, puede decir: “Bueno, tengo algunas preguntas más. Tal vez sea bueno hacerlo…” Y como siguiente paso hacer una inspección en el sitio, o tomar una copa con el proveedor y hacer preguntas más detalladas. Entonces, no siempre tiene que ser una auditoría, una auditoría firme. Pero también puede simplemente visitar a su tercero y simplemente plantear algunas preguntas, tomar una taza de café y conversar sobre cosas que podrían ser preocupantes debido a la evaluación que completó el proveedor.
Así que creo que es un equilibrio, pero para los proveedores de alto riesgo, podría ser una evaluación de diligencia debida y luego auditorías. Pero para los proveedores menos importantes, por ejemplo, aquellos que no tienen acceso a su red, o aquellos que no procesan tantos datos de su empresa, puede confiar en las evaluaciones de diligencia debida, creo.
Gareth Oldale:
Sí, creo que incluso para las organizaciones con más recursos, la realidad muerde, ¿no es así? Y creo que la idea de auditar a cada uno de sus proveedores cada 12 meses simplemente no va a ser práctica.
Jelle Groenendaal:
De hecho no. Y los más grandes, como ya lo discutió Puja y otros, no quieren que los audite. Es por eso que siempre digo, eche un vistazo a los proveedores debajo de los más grandes, como Microsoft, Amazons, aquellos a los que no se dirige directamente con una auditoría. Pero tal vez tenga otros proveedores que estén un nivel por debajo de las grandes empresas, que deberían someterse a una inspección o una auditoría.
Gareth Oldale:
Sí. Sí, es una muy buena [diafonía 00:38:18]- Lo siento. Adelante, Keitumetsi.
Keitumetsi Tsotetsi:
Lo siento. Solo quería decir que creo que todos sabemos personalmente cómo se siente la gente con respecto a los auditores. Además, habiendo sido auditor, sé lo que la gente sentía por mí en ese momento. Entonces, cuando hablamos de transparencia y confianza, creo que mucho también se trata de honestidad y de dar la oportunidad a sus terceros y proveedores de ser honestos. Y si siempre les va a lanzar una auditoría, es posible que no obtenga los resultados deseados desde una perspectiva honesta, debido, supongo, a los sentimientos que sabemos que todos tienen alrededor de los auditores y cómo se preocupan por los resultados. de esas auditorías significan. Porque a veces en realidad están vinculados a los objetivos de desempeño de las personas, y eso trae la cultura de la empresa, sobre cómo la empresa maneja las auditorías y cómo es la cultura del proveedor hacia las auditorías también.
Por lo tanto, es muy importante conocer a su proveedor donde se encuentra y comprender el contexto de la información que desea obtener del proveedor. Eso informará las herramientas que debe usar, ya sea un consultor, un proveedor de aseguramiento, una auditoría o bebidas, ¿sabe?
Jelle Groenendaal:
En efecto.
Gareth Oldale:
Exactamente correcto. Teníamos una pregunta, en realidad para usted, más o menos en ese sentido, que es alguien que dice, es evaluar la madurez del procesador o del proveedor que es igualmente importante, y no necesariamente asustarse de que un proveedor haya sido atacado o violado, siempre que demuestre que ¿Lo han manejado apropiadamente y han aprendido las lecciones de ello? Y la pregunta es: “¿Me equivoco al pensar eso?”
Keitumetsi Tsotetsi:
Absolutamente no. Entonces, creo que para todos nosotros, el enfoque es tener un servicio confiable, un servicio seguro, algo que esté disponible, funcional y seguro. Y sabe que la suposición es que la seguridad está involucrada, desde la definición de los requisitos comerciales, a través de la adquisición, la configuración del diseño y la implementación. Estoy seguro de que podemos tener un seminario web completamente separado sobre la realidad de que eso suceda. Pero la suposición es que la seguridad está ahí y que ellos están involucrados. Y si alguien dice que son… quiero decir, esperamos que ocurran infracciones. Y a veces tendrán éxito. Esa es la naturaleza de la ciberseguridad. Y definitivamente creo que saber cómo un proveedor manejó una infracción o un compromiso es muy importante, porque le dará una idea de cómo manejarían una situación similar si ocurriera dentro del espacio de su organización.
Quiero decir, si lo piensas, si alguien dice: “No he tenido una infracción”. Lo cual, tal vez no lo hayan hecho, pero es posible que solo tengan oportunidades, y puede que no sea una brecha, sino un ataque. Ya sabes, los ataques no siempre tienen éxito. Así que solo para diferenciar entre los dos. La forma en que las personas identifican, detectan y protegen y se recuperan, especialmente, de los ataques, es realmente importante, ya sea que tenga éxito o no. Y alguien que realmente haya pasado por eso tendrá una mejor manera de decirle cómo podría manejarlo por usted, a diferencia de alguien que lo anticipa en teoría y se ve verde en sus auditorías.
Gareth Oldale:
Sí, quiero decir que siempre me hace sonar la más mínima alarma si te encuentras con una organización que dice que nunca ha tenido una infracción. En mi experiencia, probablemente significa que lo han hecho. Simplemente no lo saben. Lo cual es probablemente más preocupante de lo que han sido y te lo dijeron, porque al menos lo están captando bien. Creo que es… Sí. Las amenazas son tan generalizadas en este momento que… y aumentan todo el tiempo, y creo que es correcto reconocer que diferentes organizaciones, diferentes escalas de organizaciones y en diferentes industrias, hay diferentes niveles de madurez de la organización en torno a la supervisión y el riesgo de los proveedores. y análisis de amenazas.
Entonces, creo que uno de los puntos que estabas señalando allí, Keitumetsi, con el que estoy completamente de acuerdo, es que habrá diferentes percepciones sobre lo que constituye un riesgo o una infracción. Y solo tener un poco de comprensión de eso cuando va a auditar, por ejemplo, una PYME, en comparación con la auditoría de Microsoft o AWS, o alguien de esa escala, creo que al final obtendrá un mejor resultado. del proceso, seguro.
Keitumetsi Tsotetsi:
Absolutamente.
Gareth Oldale:
Puja, hubo una pregunta anterior que surgió, a la que podríamos volver. Es realmente interesante, y realmente agradeceríamos sus opiniones al respecto. ¿Cuál es, donde se usa el término tercero, también debería cubrir procesadores y subprocesadores? Y si es así, ¿por qué?
Puja Verma:
Es una buena pregunta. Personalmente, considero que cuando miramos a terceros, sí, estamos mirando a los procesadores. Estamos buscando subprocesadores si podemos tener acceso a ellos. O al menos fluya hacia abajo el requisito de diligencia debida a los subprocesadores. Pero también diría que también capturaría controladores de datos separados y controladores de datos conjuntos. Y la razón por la que adopto ese enfoque es que, en última instancia, soy responsable de cualquier transferencia de datos que ocurra fuera de mi organización, ya sea una transferencia regulada que se realice en la cadena de suministro o en la cadena de un proyecto, pero también si está , por ejemplo, está tratando con datos de empleados y los está enviando a un controlador de datos separado para proporcionar beneficios a los empleados o con fines de contratación. También quiero asegurarme de que existan al menos disposiciones básicas que no comprometan los datos que he enviado o los datos que estoy recibiendo para esas actividades de procesamiento también.
Entonces, tal vez, no sé si eso va un poco contra la corriente, pero incluiría a todos los terceros. Creo que el enfoque que adopte con esos terceros será diferente. Sobre la base de lo que dijo Sumeet, si tiene un proveedor de plataforma de comercio electrónico, entonces adoptará un enfoque diferente a alguien que es un reclutador que le envía CV o que usted les envía CV. Tener esa conversación. Así que creo tener un enfoque mesurado para cada tipo de tercero.
Entonces, para responder a la segunda parte, ¿por qué? Ya expliqué el control de datos, la pieza conjunta del controlador de datos. Pero si eres… Para los procesadores y subprocesadores, por supuesto, existe un requisito legal para hacerlo. Tienes que asegurarte de que también tienen las medidas organizativas y técnicas adecuadas. Perdóneme, creo que es el Artículo 32, me siento un poco en el lugar en este momento, para cumplir con ese requisito, definitivamente desea evaluar lo más abajo posible en la cadena de suministro. Y si no puede hacer eso, al menos reduzca ese requisito.
Y podría entrar en lo que sucede cuando golpeas un subprocesador que es un enorme Amazon o un Google, y todo eso. Pero tal vez eso sea una diatriba para otro momento.
Gareth Oldale:
Pero una transición muy ordenada, Puja, a la primera pregunta que teníamos también, y en realidad sería negligente de nuestra parte no retomar esto, porque solo nos quedan unos minutos, pero intentaremos exprimir en tal vez dos preguntas más.
La primera pregunta que surgió fue: ¿cuáles de los proveedores de nube de hiperescala tienen el enfoque y las consideraciones correctos para la privacidad en sus implementaciones y soluciones? Y quiero decir, qué pregunta. Que pregunta. Digno de una sesión por sí solo, pero creo que la respuesta… mi respuesta, y luego agradecería las opiniones de otros en el panel con seguridad. Pero mi respuesta sería decir que todos están evolucionando. Todos están tomando medidas para mejorar sus prácticas de privacidad, para responder a los cambios no solo en la ley a nivel mundial, sino también, por ejemplo, aquí en el Reino Unido. Mucho tipo de perspectiva GDPR de la UE y el Reino Unido sobre las cosas. Pero luego miras prácticamente cualquier país del mundo en este momento, y están haciendo algo sobre la legislación de privacidad Keitumetsi. Sin duda, hablaremos con POPIA en Sudáfrica, y eso es lo mismo, como digo, en muchos otros destinos importantes de procesamiento y transferencia de datos.
Pero sí, creo que cada uno de los proveedores de nube a hiperescala está haciendo algo. Lo vimos, a raíz de la sentencia Schrems II de hace un par de años. Poco después, Microsoft comenzó a hablar sobre la construcción de sus propios domicilios en la UE, un entorno de nube de extremo a extremo, de modo que incluso en casos de recuperación ante desastres, conmutación por error, o brindar soporte y parches, siempre estaría dentro de la UE. , en lugar de tener algún tipo de incumplimiento en los EE. UU.
Y hemos visto a otros darse cuenta de eso también. De manera similar, el caso de Google Analytics desde principios de este año está comenzando a tener un impacto, y estamos comenzando a ver a Google, por ejemplo, cambiar su enfoque para la administración de cookies como resultado.
Así que sí, hay mucho que decir sobre los proveedores de la nube. No creo que ninguno de ellos lo haya hecho absolutamente bien en este momento, pero todos están iterando. Todos están mejorando todo el tiempo. Keitumetsi, ¿algo que agregar a eso? Esté interesado en obtener su opinión de un… No quiero que se centre demasiado en el RGPD, pero si hay algo que agregar desde la perspectiva sudafricana, sería realmente interesante.
Keitumetsi Tsotetsi:
Creo que, desde la perspectiva de Sudáfrica, la mayor diferencia entre GDPR y POPIA es que POPIA también reconoce a las personas jurídicas como individuos.
Gareth Oldale:
Sí.
Keitumetsi Tsotetsi:
Por lo tanto, no se trata solo de la persona individual, sino que las empresas también se ven como personas, y su información también debe protegerse. Creo que, como también dijiste, con los grandes proveedores de la nube, por lo general tienen mucha información disponible en línea sobre sus controles de seguridad y privacidad, incluso antes de que interactúes con ellos. Y lo que diré que experimenté en mi lugar de trabajo anterior, fueron algunos de los desafíos que los empleados enfrentaron a veces al tener ciertos requisitos y enfrentarse a una empresa tan grande y decir: “En realidad, no queremos XYZ, o tú los muchachos necesitan cambiar eso”.
Y, sinceramente, no he visto un intento exitoso de desafiar a los grandes proveedores de la nube. Pero lo que puedo decir es que son muy abiertos con lo que tienen y lo que están haciendo dentro de sus organizaciones. Sí.
Gareth Oldale:
Fantástico. Gracias.
Creo que estamos casi fuera de tiempo, por lo que tal vez tengamos que dejarlo ahí. Hay algunas preguntas a las que no llegamos del todo, así que nos disculpamos si no hemos podido responder a su pregunta. No hace falta decir que creo que cualquiera de los panelistas y yo estaríamos encantados de responder a cualquier consulta que haya planteado y que no hayamos podido debatir fuera de línea. Así que por favor póngase en contacto si eso sería útil.
Soy consciente de que hay una agenda repleta para hoy, así que intentaré mantenernos a tiempo y terminar allí. Así que creo que solo me queda decir muchas gracias a todos por asistir. Y gracias, en particular, a Jelle, a Puja, Sumeet y Keitumetsi, por asistir y por ofrecer sus puntos de vista sobre una discusión realmente interesante.
Gracias a todos. [diafonía 00:50:37]
Keitumetsi Tsotetsi:
Gracias a todos.
Puja Verma:
Gracias. Adiós.
Robert Bateman:
Muchas gracias a Gareth y al panel. Realmente gran discusión allí. Realmente disfruté eso. Y algunas grandes preguntas de la audiencia. Mucha participación de la audiencia, lo cual es genial de ver. Una pregunta interesante que abordaron los panelistas, sobre la distinción entre terceros bajo el RGPD y los procesadores, que por supuesto no están clasificados técnicamente como-
Foro Mundial PrivSec
Parte de Digital Trust Europe Series: se llevará a cabo durante mayo, junio y julio de 2022, visitando cinco ciudades importantes;
Bruselas | Estocolmo | Londres | Dublín | Ámsterdam
El Foro Mundial PrivSec es un evento presencial de dos días, parte de la serie Digital Trust Europe. La protección de datos, la privacidad y la seguridad son elementos esenciales de la composición operativa de cualquier organización exitosa. Hacer estas cosas bien puede generar confianza en las partes interesadas y llevar cualquier negocio al siguiente nivel.
El Foro Mundial PrivSec reunirá a una variedad de oradores de empresas e industrias de renombre mundial, además de líderes intelectuales y expertos que compartirán estudios de casos y sus experiencias, para que los profesionales de todos los campos puedan escuchar, aprender y debatir.
Topics
Ongoing Vendor Monitoring: Aiming for Total Transparency
- 1
- 2
- 3Currently reading
Monitoreo Continuo de Proveedores: Apuntando a la Transparencia Total
No comments yet