¿Puede confiar en los cuestionarios de evaluación de riesgos de terceros?

Los cuestionarios son una parte importante de los programas de diligencia debida de terceros.

Pero al confiar en los cuestionarios, las empresas que establecen relaciones con terceros asumen que sus proveedores de servicios responderán con transparencia y precisión.

PrivSec Third-Party Risk considerará si el cuestionario de evaluación de riesgos es un mecanismo suficientemente sólido para reducir la exposición al riesgo y explorará cómo las empresas pueden obtener respuestas integrales y significativas.

Transcripción

Robert Bateman:

Hola. Bienvenido de nuevo a PrivSec Focus: Riesgo de terceros. Soy Robert Bateman, jefe de contenido aquí en GRC World Forums. Ahora, antes de que pasemos a nuestra próxima sesión, quisiera dar otro gran agradecimiento a nuestros patrocinadores. Nuestro patrocinador principal, ServiceNow, que apoya este evento junto con nuestro patrocinador principal, ProcessUnity, ambas empresas realmente interesantes que realizan un gran trabajo. Mire sus páginas, disponibles a través del menú de la izquierda. También puede usar ese menú para chatear con nuestros panelistas. Tuvimos una gran interacción con nuestro último panel. Siempre es bueno ver muchas preguntas de la audiencia, así que piense en algunas preguntas interesantes y debería obtener algunas respuestas.

Entonces, nuestra próxima sesión trata sobre los cuestionarios de evaluación de riesgos de terceros y hasta qué punto puede confiar en ellos en sus procesos de diligencia debida. Nuestro anfitrión para esta sesión es Guilherme Campion, especialista en privacidad de datos de Mercado Libre. A ti, Guilherme.

Guilherme Campion:

Hola. Buenos días a todos. No sé desde dónde lo estás viendo. Soy de Brasil, Sao Paulo, y aquí es bastante temprano, así que buenos días. Mi nombre es Guilherme. Es un nombre duro fuera de Brasil, así que puedes llamarme Gui, como quieras. Y como se anunció, soy especialista en privacidad y protección de datos de Mercado Libre. Tengo experiencia legal y me moví a los asuntos de seguridad y privacidad de datos. Han pasado varios años. Tengo un posgrado en cumplimiento y gestión de riesgos, y también tengo varias certificaciones en esas áreas. Son muy queridos para mi corazón.

Y nuestra sesión estará compuesta por… Primera introducción de nuestros panelistas para esta mesa redonda, máximo cinco minutos. Y luego pasaremos a nuestras preguntas y mesa redonda. Llegaremos de 25 a 30 minutos allí. Y luego intentaremos mantener los últimos 15 minutos para preguntas de la audiencia. Así que por favor, si tiene alguna pregunta, alguna duda, alguna sugerencia, por favor envíenosla. Estaremos más que felices de compartirlos y debatirlos también. Y ahora le paso la palabra a Hernan para que se presente también.

Prof. Hernan Huwyler:

Muchas gracias Gui. Mi nombre es Hernán Huwyler. He estado jugando con riesgos, controles, seguridad, privacidad, transformación, SAP y muchas otras cosas que a nadie le importan, por lo general, en sus organizaciones durante los últimos 24 años en América del Norte y del Sur y también en el Norte y el Sur de Europa. También dirigí algunos másteres en cumplimiento y riesgo, y estoy al frente de los servicios de consultoría de riesgo de TI en Danske Bank. Por lo tanto, es un área muy desafiante en el conocimiento y la toma de decisiones y para proteger los activos de TI, particularmente con proveedores, acuerdos de subcontratación y asociaciones. Entonces las tarifas de terceros siempre están muy altas en la agenda que tenemos para todas las actividades.

Guilherme Campion:

Genial, Hernán. Gracias y bienvenida. Y ahora paso a Onur, para que también se presente.

Onur Korucu:

Sí, gracias, Gui. Y hola a todos. Gracias a todos por tomarse el tiempo para asistir a esta sesión. Espero que el contenido que hemos preparado para ti te sea de mucha utilidad. Mi nombre es Onur Korucu y trabajo como gerente sénior de protección de datos y ciberseguridad de GRC en Avanade Reino Unido, Irlanda. Y anteriormente trabajé en empresas multinacionales de servicios profesionales, como KPMG, PWC y Grant Thornton. Ayudo a las organizaciones a crear [inaudible 00:05:31] estructuras de gobernanza de la seguridad cibernética y de la información hechas a la medida y bien establecidas, y también prácticas de protección de datos, que mitigan los riesgos que enfrentan en sus negocios y les ayudan a cumplir con los requisitos reglamentarios.

Entonces, mi rol actual en las empresas de tecnología es un poco diferente de mi rol anterior, y estamos empoderando a las empresas en áreas como GRC, seguridad cibernética, seguridad de la información, protección de datos mediante el uso de soluciones tecnológicas de Microsoft. Y soy una inversora global de mujeres en tecnología. Creo que esto es importante, y tengo muchas certificaciones de este tipo en el área de ciberseguridad, infosec y protección de datos, y esta gestión de terceros es uno de los mejores temas en los servicios profesionales. Y estoy realmente muy emocionado de contar toda mi experiencia y compartir todo mi conocimiento con ustedes hoy.

Guilherme Campion:

Estupendo. Gracias. Tenemos algunos panelistas realmente buenos hoy y para comenzar nuestra sesión, le pasaremos la palabra a Hernán y él hablará un poco sobre gestión de riesgos, auditorías, listas de verificación. Y la primera pregunta que tenemos es, ¿cuáles son los mayores desafíos para conformar las respuestas en los cuestionarios de debida diligencia de Hernán?

Prof. Hernan Huwyler:

Lo que he visto en mis experiencias, la forma en que realmente nos aseguramos de que se realicen los controles de terceros. Podemos ver que hay algunas políticas, hay algún control que se diseñan, algunos comentarios en los cuestionarios [inaudible 00:07:10]. Sin embargo, necesitamos saber cuáles son los atributos de control reales que necesitamos. ¿Cuáles son los cierres contractuales reales que debemos seguir, y debemos desafiar, y debemos documentar que los controles son efectivos? Y este es el requisito de cómo ajustar nuestro enfoque para desafiar a los proveedores, los terceros en general, sobre nuestros requisitos. Por lo tanto, también requiere que tengamos un conjunto muy claro de requisitos y controles que no podamos comprometer, y que estén alineados con nuestros requisitos de cumplimiento y nuestros riesgos.

Entonces, al final del día, otro desafío que es muy importante cuando revisamos cuestionarios de terceros es ¿qué hacemos con nuestros resultados? ¿Estamos rechazando al proveedor potencial? ¿Estamos cambiando una cláusula? ¿Vamos a contratar algún seguro? ¿Estamos introduciendo alguna medida adicional en el contrato? O decimos “Está bien, no podemos ir”. Esta es una decisión en curso. Estamos rechazando al proveedor potencial, o hay algunos condicionales que podemos tomar y luego debemos hacer un seguimiento y medir. Y también necesitamos comprender las garantías y cómo podemos reducir el riesgo de los contratos, cómo podemos cambiar el alcance contractual, los servicios, para garantizar que el tercero tenga la capacidad adecuada para abordar esos requisitos, y que estén alineados con lo que nosotros necesitamos. Así que este es otro desafío que veo en la práctica.

Guilherme Campion:

Sí, eso es seguro, Hernán, incluyendo la gran cantidad de terceros que tenemos, no es una tarea fácil. Y para nuestra segunda pregunta, ¿cómo define el nivel de garantía de control en los cuestionarios de diligencia debida?

Prof. Hernan Huwyler:

Volviendo a tu comentario, el número alto. Sí. Cuando tenemos una gran cantidad de cualquier cosa en la gestión, debemos concentrarnos. Tenemos que buscar riesgos. Y entonces, ¿qué haces yo aquí? Tienes una segmentación clara de terceros, no solo relacionada con el riesgo [inaudible 00:09:58] que estamos esperando por un tipo de contratación o el tipo de gerente de categoría que está involucrado. Es el nivel de riesgo para un acuerdo en particular. Es posible que tenga un proveedor de encuestas de servicios críticos con un acuerdo enorme y muy importante que debe seguir, pero luego puede haber otras cosas que le está comprando a ese proveedor que debe evaluar. No es el mismo nivel. Por lo tanto, debe ir al acuerdo particular. Y mis consejos prácticos aquí son comenzar a segmentar a los terceros en proveedores de servicios esenciales. administrar de una manera diferente. Si también tiene algún socio estratégico, algún socio crítico para algún tipo de actividades, particularmente actividades comerciales, un factor importante aquí.

También me gusta definir que hay algunos segmentos de terceros que presentan un alto riesgo de fraude que debe separar y [inaudible 00:11:18] el cuestionario y el tipo de desafío que está haciendo, el seguridad, si tuvieron acceso a activos sensibles. Pueden ser activos de TI, por supuesto, la información es clave y entornos, por lo que debe asegurarse de cómo puede, particularmente con datos personales, cómo está administrando ese proceso y dependencias. Dependencias, y ahora también después del COVID, estamos segmentando a terceros en la solvencia [inaudible 00:11:52]. Se está volviendo muy crítico. Y una vez que obtienes eso y obtienes los diferentes segmentos, debes hacer algo. Por lo tanto, debe evaluar los controles de sus respuestas.

A veces van a decir “Sí” o no, y eso es bueno. No recomiendo algo como la mayoría del caso, algunos del caso, la mitad del caso, lo que sea, porque pueden crear una disputa con el tercero porque los casos de trabajo nunca se aclaran, y creo que los controles pueden ser fallido o ser efectivo, nada en el medio. También me gusta pedir comentarios sobre el principio de cumplir o explicar, si no está haciendo eso, por favor explique lo que no está haciendo en los comentarios, y luego yendo a la evidencia, necesitan presentar alguna evidencia de que si Me estás preguntando si quieres revisar eso. Y los certificados se proporcionan con cierto nivel de garantía para los proveedores de que pueden ser auditores de proveedores de auditoría interna o de verificación externa.

También debe indicar el tipo de informe que desea utilizar. Entonces, SIE, esos son muy buenos consejos aquí para obtener también información de la gestión de proveedores y, en caso de que, básicamente, esa sea la respuesta, se enfoca en cuáles son los segmentos, cuál es el tipo de contratación que va a tener más de un nuevas eliminaciones de referencia. Cómo estás rindiendo y apurando nuevas eliminaciones.

Guilherme Campion:

Genial, Hernán. Y también tengo una pregunta de seguimiento a eso. ¿Cree que necesitamos tener diferentes tipos de cuestionarios para diferentes tipos de niveles de terceros? Por ejemplo, en mi mente, estoy pensando en un tercero que tendría un alto riesgo de privacidad de datos versus un tercero que tendría un alto riesgo en otra área. ¿Crees en tener diferentes cuestionarios? ¿O debería reutilizar un cuestionario? [inaudible 00:14:00] ¿Cuál sería tu opinión?

Prof. Hernan Huwyler:

El proceso de eliminación es siempre el mismo. Tú defines a tu tercero, tú defines el alcance. Por lo tanto, debe decir “¿Es un intermediario un tercero?” “¿Es un banco custodio un tercero? “¿Es un contrato de sociedad un tercero o no?” Para mí lo son, pero depende del alcance de tu zona. Una vez que defina el proceso, debe ser el mismo, ajustado al contrato, ajustarlo al proveedor y ajustarlo a los controles que debe cumplir. Y necesita controlar que el proveedor está administrando. Entonces, para mí, cada autoevaluación de control, nueva diligencia, nueva diligencia continua es específica. En los controles, los controles deben ser relevantes para la operación y el contrato y el proceso del contratista. Como proceso, debería ser lo mismo. Necesita tener una única fuente de verdad para ver al tercero desde diferentes ángulos.

Guilherme Campion:

Gracias. Y nuestra última pregunta para ti, Hernán, ¿cómo está evolucionando el control en la estación sobre la debida diligencia?

Prof. Hernan Huwyler:

Bueno, estamos viendo ahora… Estoy viendo muchas más soluciones en el mercado que son capaces de obtener datos externos para el proveedor potencial para facilitar la segmentación. También estamos viendo diferentes iniciativas para tener grupos de empresas en una industria que realicen la misma diligencia debida. No necesita un Barclay, City Bank, Deutsche Bank para llamar a IBM pidiendo la misma diligencia debida. Entonces, en este momento hay muchas sinergias que podemos tener con algunos grupos de organizaciones que están tratando con la diligencia debida de manera centralizada para un grupo de empresas o toda una industria. Y esta es una de las tendencias que más me gustan. Además, me gusta que haya mejores soluciones de compra a pago que integren toda la división de doblado o asociación de subcontratación, todo en una sola fuente de verdad y un solo proceso.

Y también estoy viendo más interés en el cuarto y el quinto partido. Entonces, cómo aprobamos y apostamos, examinamos y evaluamos el riesgo, no solo para nuestros proveedores, sino también para nuestros subcontratistas. Y hay mucho potencial aquí. Es muy, muy, muy emocionante cómo vamos a la cadena de suministro. Y también me gusta que ahora la diligencia debida cubra muchas más actividades, por supuesto, debemos comenzar a hablar sobre la evaluación de sanciones para el proveedor. Ahora, después de Rusia, que las entidades listadas casi se han duplicado desde el 22 de febrero. Estamos viendo ahora que la diligencia debida está trabajando cerca de la detección de sanciones, el antiboicot y también la lucha contra el fraude es muy importante. Tiene algunas coincidencias para identificar a las personas políticamente expuestas en la cadena de suministro, para identificar a las personas que están expuestas financieramente, nuevas áreas que ahora también estamos consolidando en la debida diligencia.

Los planes de salida se están volviendo muy, muy críticos porque estamos diciendo “Está bien, esto es diligencia debida, esto es [inaudible 00:18:14]”, pero hay un final. Y ahora, debido a COVID, y también debido a las pautas de la autoridad bancaria europea, estamos recibiendo mucha atención sobre los planes de salida, y hay muchos requisitos de cumplimiento que estamos viendo como una tendencia. Pero la continuidad es un gran problema para todos los proveedores de servicios esenciales, desechos de agua, hospitales, empresas de transporte, servicios públicos en general. Y es muy, muy emocionante donde estamos ahora en términos de nuevos requisitos de cumplimiento, asegurando la continuidad del negocio.

Guilherme Campion:

Gracias, Hernán. Me llamó la atención cuando dijo sobre la gestión de la cadena de suministro, también es un desafío muy grande para nosotros, para la privacidad de los datos, tener una visión de cuáles de las empresas son controladores, los operadores y también los suboperadores. Y cuando tiene un plan de salida y también necesita implementar un programa para asegurarse de que tal vez elimine todos los datos, o los datos personales, y es un desafío, cómo asegurarse de hacerlo. No es nada fácil. Ahora vamos a Onur, que se centrará más en la visión de seguridad de datos de la gestión de riesgos de terceros. Y nuestra primera pregunta es: ¿Qué hace que un programa de gestión de riesgos de terceros sea exitoso?

Onur Korucu:

Gracias Gui. En primer lugar, muchas gracias. Muy informativo comentario para Hernan. Creo que esto fue perfecto, y estoy muy, muy de acuerdo contigo y con Hernán, porque todas las organizaciones necesitamos este nivel C y el apoyo de la gerencia. Este es un gran paso para todos nuestros proyectos y todo este tipo de programa de gestión de riesgos. Y para las preguntas, en realidad, puedo comenzar con eso, administrar el riesgo de terceros no es nuevo, pero el nivel de riesgo que asume una organización promedio y tratar con terceros es necesario para los negocios, pero es vital para organizaciones saber exactamente con quién están tratando. Y puedo dar algunos ejemplos de mi empresa en este momento porque, en mi función anterior, siempre soy un asesor y trato de apoyar todos los asuntos internos en las empresas.

Pero en este momento mi empresa es un tercero, como soporte de proyectos de implementación y configuración de Microsoft. Entonces, sin este conocimiento de gestión de riesgos, son [inaudible 00:21:06] los requisitos normativos y de cumplimiento, sin mencionar que las empresas ’se exponen a este riesgo de fraude y todos los riesgos financieros y de reputación asociados que lo acompañan. Y también quiero centrarme en estas áreas de seguridad cibernética y seguridad de datos. Y esto es importante, especialmente después de estos períodos de pandemia, los ataques cibernéticos están aumentando en frecuencia, sofisticación e impacto, y los perpetradores refinan continuamente… Son una fuerza para comprometer sistemas, redes e información, y aceleran esta tendencia al aumento de usar tecnología, Internet y proveedores externos en nuestra organización para mejorar la experiencia del cliente e impulsar eficiencias operativas como gestión de cambios, gestión de acceso o páginas web, todo. Utilizan a terceros y, como resultado, las organizaciones buscan crear un proceso eficiente y escalable para gestionar estos riesgos de terceros, porque es un poco diferente, el progreso de la gestión de riesgos internos y el progreso de la gestión de riesgos de terceros, realmente Un poquito diferente.

Muchas organizaciones están comenzando a desarrollar procesos a bordo de los proveedores necesarios y someten a sus proveedores existentes a procesos de evaluación de riesgos de terceros sólidos y personalizados. Y quiero centrarme en el ciclo de vida de la gestión de riesgos de terceros, porque tenemos que promover la seguridad de la organización en función de la inscripción de terceros, y el ciclo de vida incluye la configuración en el desgarro. Y esto incluye el desarrollo de requisitos comerciales, la evaluación de las partes interesadas y la realización de un plan inicial de evaluación de riesgos. Esto es importante porque, en su mayoría, cuando iniciamos un proyecto o proceso de gestión de riesgos de terceros, no tenemos un plan de evaluación de riesgos de problemas en la parte interna de la empresa. Así que tenemos que empezar por el principio de la historia. Entonces, este paso es realmente muy importante para comprender y evaluar a las partes interesadas y definir nuestras necesidades para nuestras empresas de terceros y la debida diligencia y selección. Y esta fase incluye la realización de una evaluación de riesgos de terceros y una evaluación de PYME.

Como dijo Hernán, necesitamos algunos auditores, necesitamos algunas pymes, necesitamos la ayuda de algunas organizaciones, e informar y establecer controles, y la selección de terceros. Y luego el otro es la negociación y la incorporación. Y en este pasado, la negociación del contrato y la revisión y aprobación del riesgo de residuos y el tema de la incorporación del contrato son realmente muy importantes en esta área. Y al final, monitoreo y gestión continuos, porque generalmente empezamos a hacer este tipo de planes, empezamos a evaluar todos nuestros riesgos, pero no es un proceso continuo para todas estas empresas, sino un monitoreo y manejo continuo y un sistema de seguimiento y monitoreo de riesgos y la remediación y el contacto con su gestión de relaciones y gestión de terminación es realmente importante. Entonces es un trabajo continuo. No es el trabajo de hoy. Tenemos que seguir avanzando en esto, y al realizar y tomar estas tareas en orden, todas las organizaciones pueden tomar decisiones más sabias con respecto al aumento de la seguridad con organizaciones de terceros.

Pero llegados a este punto, la pregunta es ¿cómo deben proceder las empresas? Y voy a la respuesta básica con una mejor gobernanza, porque una gobernanza sólida tiene beneficios claros en la reducción del riesgo con una mayor transparencia, que están alineados con la estrategia y el cumplimiento normativo constante. Tienes que trabajar junto con tu negocio, no solo con TI, no solo con el equipo de seguridad cibernética, tienes que trabajar junto con tu negocio, porque estas necesidades de terceros son sus necesidades y las empresas pueden reducir su perfil general de riesgo de terceros. mediante la incorporación de prácticas de gestión de riesgos de terceros en todos los niveles de la organización.

Y pasar de no tener un gobierno formal sobre terceros y asumir riesgos para obtener beneficios a corto plazo a un enfoque basado en riesgos más inteligente que esté mejor alineado con su estrategia empresarial. Y esta estrategia incluye evolucionar de tener empleados con capacitación legal y profesionales capacitados y campeones ejecutivos que alinean la prestación de servicios con los objetivos estratégicos de su empresa, y desarrollar un proceso secundario estándar y una toma de decisiones proactiva utilizando análisis en lugar de estar en un, cuando digo esto, apagar incendios y solo abordar los problemas cuando surjan, esto es importante.

Este no es el trabajo de hoy. Una vez más, mencioné esto porque es un trabajo continuo y la creación de herramientas [inaudible 00:26:30] totalmente sabias hechas a medida y de apoyo a la toma de decisiones. Esto es importante porque hoy… En el pasado, tratamos de resolver todo este tipo de problemas de gestión de riesgos con Word y Excel, y este tipo de documentos, pero ahora hay muchas buenas soluciones tecnológicas y podemos usar este instrumento tecnológico. para respaldar nuestros procesos para estos temas de gestión de riesgos y la gestión de terceros… Proceso en curso, como mencioné, no se trata solo de una acción de detective. Se trata de prevención más que de reacción. Por lo tanto, se pueden obtener enormes beneficios al impresionar a la empresa extendida. Y, de hecho, el entorno empresarial competitivo de hoy exige que una gobernanza sólida vaya de la mano con la mitigación del riesgo y, al mismo tiempo, con la mejora de los adeptos y con un impacto positivo en la reputación y el resultado final de las empresas.

Guilherme Campion:

Sí, es un muy buen punto, Onur, y también dado el hecho de que muchas empresas no tienen una gobernanza sólida, una gestión de riesgos de terceros o incluso no tienen un buen mapeo de todos los terceros que tienen. Así que realmente creo que la automatización y tener, tal vez, un problema centralizado y de buen gobierno contribuye en gran medida a abordar los nuevos terceros y también todo el trabajo atrasado. Y para nuestra próxima pregunta para usted, Onur: ¿Qué riesgos clave pueden tener un impacto significativo en sus operaciones comerciales?

Onur Korucu:

En realidad, no es fácil clasificar todo, el impacto significativo después de toda esta era tecnológica, pero hay tres tendencias emergentes que impulsan un mayor riesgo de terceros. Uno de ellos es el aumento de incidentes relacionados con proveedores, porque sus proveedores están causando más interrupciones. Esta interrupción es realmente importante, quiero resaltar esto porque la interrupción del negocio significa dinero para las empresas, y los riesgos no se están gestionando, la seguridad de la información, la privacidad, la gestión antifraude, pueden ser algunos ejemplos para este punto y otros. sobre el riesgo del proveedor. Por lo tanto, están aumentando la presión sobre las organizaciones para que gestionen mejor el riesgo de su cadena de suministro. Esta presión es importante porque a veces puedo usar esto para nuestro beneficio porque es un punto de presión, pero a veces no es tan fácil de manejar porque, por ejemplo, en el Reino Unido e Irlanda, muchas empresas necesitan el informe SOC2 para demostrar que son terceros. -Progreso de la gestión del partido.

Y esto no es tan fácil de cumplir con este tipo de estándar a veces. Y el otro son las presiones económicas [inaudible 00:29:40], porque especialmente después de este período de pandemia, las condiciones económicas significan mayores márgenes para el proveedor y aumentan este riesgo de interrupción del proveedor. Y si observa este panorama de amenazas, está en constante evolución y surgen nuevas amenazas todos los días, y los riesgos suelen ser de diferentes categorías, como financieros, de reputación, legales, regulatorios y operativos. Y esta parte operativa es realmente muy importante, porque corre el riesgo de que este tercero pueda interrumpir sus operaciones. Por ejemplo, su proveedor de software es pirateado, dejándolo con un sistema caído. Piénselo, no puede administrar su propio negocio sin su ayuda, y si sus sistemas son pirateados, puede perder todos sus datos personales y los datos estratégicos de su empresa, y este tipo de cosas significa que está perdiendo dinero, está perdiendo su reputación, está perdiendo la confianza de sus clientes.

Y aunque esos son tipos más comunes de riesgos de terceros, en algunos casos, el riesgo puede superponerse y la violación de datos, por ejemplo, es una amenaza regulatoria, pero también puede ser operativa. Y las empresas de terceros pueden llamar violaciones de seguridad, pero las relaciones con terceros son necesarias para muchas funciones de la organización, por supuesto, pero desafortunadamente existen prácticas que las empresas y organizaciones pueden seguir para mejorar la seguridad, tomando medidas de seguridad como monitorear factores de riesgo y inventario de terceros. Y su organización puede evitar los posibles problemas que pueden surgir de estas asociaciones, por lo que este trabajo continuo es realmente muy importante. Tienes que hacer estas preguntas de desempeño, no solo anualmente, tienes que preguntar cuando tus condiciones, cuando la situación es diferente en tu empresa, o el medio ambiente, o en tu sector. Y cuando busca formas de llevar el sector de terceros al siguiente nivel, el uso de la automatización a través de marcos y herramientas de gestión de riesgos de terceros es una opción práctica, pero confiar solo en terceros puede ser peligroso.

Por lo tanto, practicar la gestión de riesgos de terceros es vital para garantizar la seguridad y el éxito de una organización, e incluso las mejores prácticas de gestión de riesgos… Porque vi algunas preguntas en mi pantalla de nuestra audiencia. Tal vez pueda ser una respuesta desde el principio, las prácticas de gestión de riesgos son tan buenas como las personas que las siguen. La mayoría de las infracciones de terceros son causadas por una falla en el cumplimiento de las reglas y protocolos existentes. Sería mejor ser transparente con sus proveedores sobre lo que espera de ellos e, idealmente, la postura de seguridad será un requisito contractual para su empresa. Muy buena.

Guilherme Campion:

Si por su puesto. El punto de que creo que no estamos hablando lo suficiente, quizás también sea la conciencia. No solo la conciencia de terceros, sino también nuestra conciencia interna de que la gestión de riesgos de terceros es importante para la privacidad y la seguridad de los datos. De lo contrario, terminaremos teniendo un eslabón débil, un error humano, interno y externo también. Y, Onur, para nuestra última pregunta: ¿Cómo podemos identificar y gestionar el impacto de terceros en el riesgo de ciberseguridad?

Onur Korucu:

Sí, mi área favorita es la ciberseguridad, siempre, y hay muchas cosas de las que hablar, y todos los días los incidentes de ciberseguridad experimentados por las empresas pueden volverse perturbadores, costosos y dañar significativamente su reputación, en todo el mundo, y las grandes empresas en el centro de Sin embargo, los vastos ecosistemas de datos enfrentan un problema particularmente [inaudible 00:34:09], como administrar los riesgos cibernéticos y de privacidad en torno a la información que viaja a terceros y más allá porque no es solo de terceros, y más allá, esto es importante para el área de privacidad. Y estas empresas comparten datos con proveedores de servicios y subcontratistas para mejorar la prestación de sus servicios, reducir costos y realizar sus operaciones internas. En el proceso, los datos cambian de propietario varias veces y la documentación viaja a través del ecosistema en sus sectores, en su país, este tipo de ecosistemas y terceros son custodios eficientes de la información original.

Y es fundamental saber qué pasos están tomando para salvaguardar la información más adelante en la cadena de valor. Y si observa los ataques cibernéticos recientes, [inaudible 00:35:09] hizo que muchos desafíos diferentes fueran más evidentes. Una de las revelaciones más importantes es que la seguridad empresarial depende tanto del ecosistema cibernético global como de una acción de instituciones particulares. Piénselo, los CIO y los CSO están acostumbrados a administrar sus propias operaciones e, idealmente, a tener una fuerte influencia en cómo se comportan los empleados y contratistas de la empresa, pero es un gran riesgo tomar y comprender todos estos problemas de inversión presupuestaria. Entonces, la verdad es que no importa cuán grande sea una empresa, es un jugador entre millones en Internet global. Su postura de seguridad depende de cada uno de sus empleados, contratistas y proveedores, revendedores, socios de la nube y, a veces, incluso de los clientes, pero también de los mismos elementos, que pertenecen a otra empresa y en su propio mercado y en su economía global más amplia. Esto es importante, porque todos ellos son… Son actores en nuestras empresas que pueden tocar nuestros datos, y la empresa tiene las manos ocupadas incluso manteniendo a otros controlados, sus usuarios directos para abordar sus vulnerabilidades generadas en todo este espacio cibernético requieren un mantenimiento común. por las defensas de seguridad global.

Si su empresa tiene este tipo de equipos, como un equipo SOC, como un equipo de defensa cibernética, como un equipo de gestión de incidentes, eso significa que las empresas deben comunicarse abiertamente con sus socios y rivales. Esto es importante, esta transparencia y esta violación de datos de terceros puede obligar a su organización a responder… Incidente, están fuera de su control o se originan de una fuente indirecta. Esto es importante porque a veces quieres controlar todo en tu empresa. Pero si hay una incidencia, el origen es externalizado, y si no se puede controlar eso, no es fácil solucionar el problema a corto plazo. Aunque es posible que no tenga la obligación de responder según las normas de incumplimiento actuales, su organización aún podría sufrir un daño significativo en la reputación como resultado del incidente. Prácticamente, sus clientes podrían correr un mayor riesgo de que los delincuentes busquen explotar una violación de datos, independientemente de cómo se originó el incidente.

Y tal vez pueda decir que dos buenas áreas para mejorar las defensas son la comunicación y la seguridad cibernética de terceros, ya que con cualquier mejora a escala, estos problemas no tienen una solución simple. Sin embargo, muchas instituciones públicas y empresas del sector privado han logrado abordar estos dos conjuntos diferentes. Higiene cibernética, porque este es un buen lema, después de la resiliencia cibernética, me gusta mucho la higiene de la seguridad cibernética, porque estas son las condiciones de higiene para las empresas, es muy importante para la conciencia y la veracidad, informalmente alto nivel de higiene de la seguridad cibernética en toda la organización. , incluso para nuevas acusaciones y partes, se necesita transparencia y comunicación abierta. Puedo dar estas respuestas para el área de seguridad cibernética.

Guilherme Campion:

Gracias. Muchas gracias, Onur. También tendríamos algunas preguntas para la parte de privacidad de datos de la gestión de riesgos de terceros que se daría, pero dada la gran cantidad de preguntas para nuestro [inaudible 00:39:19], y creo que tal vez deberíamos avanzar a esas preguntas e intentar abordarlas lo mejor que podamos. Para nuestra primera pregunta, tal vez usted para usted Hernán: ¿Cree que se confía en los cuestionarios, como ejercicios de casillas para marcar para mostrar a los auditores y reguladores? Estamos entendiendo adecuadamente los riesgos de nuestros proveedores y el flujo de entrada y salida de datos.

Prof. Hernan Huwyler:

Si está trabajando para el cumplimiento de PayPal, sí. Simplemente siga adelante y diga “Mira, este es el documento que quería tener”. Hecho. Si está trabajando para proteger su organización, necesita saber cuáles son los atributos de control que debe buscar en la evidencia. Debe tener muy claro por qué están aquí para cumplir con sus requisitos y sus políticas. Y debe volver al proveedor y decirle: “Mira, este es un objetivo final. Obtuvo la póliza, pero la póliza no cumple con mis requisitos. Debe cumplir con mi política, es el atributo que necesito que implemente. Espero que les guste, o no voy a firmar el contrato”. Eso es lo que debemos asegurarnos para evitar trabajar para auditores y reguladores y el cumplimiento de documentos.

Porque todo lo demás, hay un documento. Cualquier fiscal lo va a volar por los aires. ¿Y cómo entiendes la razón? Y luego también aborda otra pregunta sobre la que están hablando [inaudible 00:40:58] y cómo hacemos una evaluación de riesgos. Si está haciendo una evaluación de riesgos, es decir, un cóctel de datos de diferentes cosas relacionadas con el proveedor, entonces junta todo y dice “Un punto” si no se trata de datos personales, “Tres puntos” si se trata de datos personales. con datos de confidencialidad. ¿Por qué tres, no dos, ni cuatro? Y entonces todas las cosas se juntan. Y finalmente hay una escalada basada en un sistema de puntuación, mapas de calor, dedo mojado en el aire, catastrófico. Entonces, si realmente desea comprender su contrato, su proveedor, mire las cláusulas y evalúe el riesgo de que el proveedor incumpla. Cada una de las preguntas evalúa la consecuencia potencial para usted, la probabilidad de que haya dicho que el proveedor con los controles actuales va a fallar, use una simulación [inaudible 00:41:55], use una distribución logarítmica normal y, finalmente, mida Matemáticas. El riesgo no es una opinión. Necesita tener un buen modelado, no porque esté haciendo una diligencia debida. Justo antes, cuando decidió subcontratar, obtener un contrato, esto es lo que debe evaluar. Fíjese en los sistemas de puntuación, bien documentados en la ciencia, que son engañosos.

Guilherme Campion:

Genial, Hernán. Gran punto. Gracias. Tenemos una pregunta interesante de la audiencia. Con respecto a las ONG que trabajan con proveedores y partes interesadas locales, ¿hasta qué punto los matices culturales pueden plantear desafíos para los cuestionarios, específicamente al considerar la integración de la práctica? Me gustaría comenzar no… solo para las ONG, sino para los terceros en general, creo que tenemos diferentes regulaciones de diferentes partes del mundo. Por ejemplo, aquí en América Latina tenemos diferentes niveles de regulaciones de privacidad de datos, algunas son muy restrictivas y otras no. Por lo tanto, creo que tal vez podría elegir la regulación más restrictiva que tenga para una región y aplicar esos controles a cada socio tercero de riesgo. Así que me gustaría saber tu opinión. Somos de diferentes partes del mundo, así que creo que sería interesante. Onur, si quieres empezar.

Onur Korucu:

Sí, sí. Sí, estoy totalmente de acuerdo contigo porque hay muchas restricciones diferentes y las legislaciones realmente se basan geográficamente. Y, por ejemplo, si miramos aquí, viví en Turquía antes de mudarme a Dublín, y en Turquía, el gobierno se centró en [ISA 21 7001 00:44:04]. Y el área financiera siempre está enfocada en COVID. [inaudible 00:44:08] Pero aquí, por ejemplo, realmente se están enfocando en SOC2, y están tratando con los EE. Pero la empresa siempre ofrece este cuestionario como un servicio y ha tratado de llenar este vacío ofreciendo servicios de validación de respuestas. Pero estas soluciones no escalan bien y tienden a ser engorrosas y requieren mucho tiempo para que la organización complete este cuestionario. No solo eso, sino que un tamaño no se ajusta a todas las industrias. Es por eso que al principio, todos tratamos de mencionar que si desea crear una gestión de terceros importante para la organización, debe comprender las necesidades y las diferencias de este sector, de estos problemas geográficos, de la legislación, y todos estos problemas ambientales, y tienes que hacerlo a la medida, por ejemplo.

Por ejemplo, piense en una auditoría de acciones. Cuando intenta poner los dominios correctos en él, hay tres puntos principales. Puedes enfocarte en esto, pero tienes que negociar los puntos de control con tu cliente, o con la organización, o con tu propia empresa, porque tienes diferentes procesos, tienes diferentes posturas de tecnología, tienes diferente infraestructura. Así que tienes que concentrarte en esto. Por ejemplo, algunas empresas usan estos terceros solo para los problemas de software, pero algunos los usan para los asuntos legales, o algunos los usan para administrar sus datos, como las empresas de la nube. Entonces, esto es importante, debe comprender las necesidades de su empresa y qué tipo de datos y operaciones están tocando sus organizaciones de terceros. Entonces, quiero decir que la gestión de terceros es esencial para la seguridad de todas las empresas, grandes y pequeñas. Dados los recursos limitados de la mayoría de las empresas, es importante asegurarse de que el proceso de gestión de riesgos de terceros sea eficiente, efectivo y proporcione la mayor cantidad de valor por el esfuerzo invertido. Entonces, mi consejo para nuestra audiencia, usted es el jefe de estos procesos. Cuestione su cuestionario e intente proporcionar una lista de verificación personalizada, no solo siga ISA 21 7001, no solo siga NIST, SOC2, SOX, o simplemente así, puede usar todo este tipo de marcos estándar, mejores prácticas para crear su propias listas de verificación y cuestionarios de gestión de terceros hechos a medida.

Guilherme Campion:

Eso es genial, Onur. Muchísimas gracias. Y siguiendo con eso, tenemos una pregunta que acortaré un poco, que es preguntar cómo equilibrar la evaluación del cuestionario, la construcción de relaciones, el cumplimiento normativo y el monitoreo. ¿Cómo podríamos equilibrar todas esas evaluaciones de riesgo que necesitamos hacer para construir una relación sólida con nuestros terceros? Hernán, ¿te gustaría agregar algo?

Prof. Hernan Huwyler:

Voy a añadir algo para pasarte la pelota, Gui, que eres el experto en privacidad. Así que déjame tomar la pelota y pasarla. No vamos a molestar a cada tercero con un cuestionario de identificación, otro cuestionario de cumplimiento, otro cuestionario de sostenibilidad, otro cuestionario de preguntas sobre privacidad, y luego todos obtendrán opiniones diferentes sobre lo que se debe hacer, y así sucesivamente. Esta es una pequeña práctica, es un gran desperdicio. Entonces, ¿cómo cree que podemos ayudar al cumplimiento de la privacidad en las relaciones con el otro requisito que tenemos, Gui? ¿Qué crees que es una buena práctica?

Guilherme Campion:

Creo que sería mejor tener un enfoque centralizado, como mencionaste antes. Y tratar de construir lo mejor posible una buena relación, pero también hacer cumplir la gestión de riesgos con nuestros terceros. Dicho esto, debido a que es un negocio como de costumbre, no estamos haciendo nada que ninguna otra empresa no esté haciendo, y también deben hacer sus evaluaciones de riesgo. Entonces, las empresas serían… O esperamos que se utilicen para responder a cuestionarios sobre seguridad de datos, privacidad de datos, gestión de riesgos de terceros, y necesitamos evolucionar como un todo para que todas las empresas lo hagan más fácil y sigan construyendo relación muy fuerte. Chicos, estamos cortos de tiempo. Me gustaría agradecer mucho a Hernán y Onur, por sus excelentes aportes y participación. Muchas gracias por su tiempo y disponibilidad. Y me gustaría agradecer a todos los que están con nosotros en este panel. Muchas gracias. Si tiene alguna pregunta, envíenosla y haremos todo lo posible para responder. Muchas gracias y que tengas un gran día.

Onur Korucu:

Muchísimas gracias.

Prof. Hernan Huwyler:

Muchas gracias. Adiós.

Robert Bateman:

Muchas gracias al panel de allí. Otra sesión brillante y muy esclarecedora sobre los cuestionarios de riesgo de terceros. Es importante no convertirlos en un ejercicio de casilla de verificación, pero aún así, creo que es una parte central del proceso de diligencia debida para muchas empresas. Así que quédate, en-