Si analizamos el proceso de gestión de riesgos de terceros de PUMA, nunca pensarías que se llevo a cabo hace tan solo un año. Pero así ha sido.   

«Nos dimos cuenta de que otras empresas habían sufrido brechas de datos y queríamos mejorar nuestras políticas. Dado que las normativas y requisitos son cada vez más complejos, necesitábamos un sistema más sólido para verificar a nuestros proveedores externos», afirma Marco Preissinger, director sénior de Seguridad de la Información del grupo PUMA.   

En el pasado, PUMA carecía de una forma estandarizada de gestionar los riesgos asociados a los proveedores desde el punto de vista de la seguridad de la información y la privacidad de los datos.   

«Queríamos conocer los riesgos exactos de TI vinculados a nuestros proveedores actuales y obtener una evaluación más coherente de los nuevos proveedores», recuerda Florian Brandner, director general de Seguridad de la Información y Ciberseguridad del grupo PUMA. «Con la plataforma de OneTrust, nuestros equipos han podido crear un marco claro para evaluar y supervisar los riesgos de terceros».  

Esto se convirtió en el proceso de verificación de proveedores de PUMA. Desde su lanzamiento en 2023, el equipo ha incorporado a 250 proveedores, ha reducido el proceso a una media de 17 días y ha reducido su tiempo de procesamiento en un 80%, y esto solo es el principio. 

Reinvención de la gestión de riesgos de terceros

PUMA trabaja con cientos de proveedores independientes y miles de distribuidores en todo el mundo, por lo que era necesario poner en marcha al equipo cuanto antes.

«Aprovechamos mucho la biblioteca de plantillas de OneTrust», afirma Preissinger. «Para nosotros, como empresa alemana, las plantillas ISO han sido especialmente útiles. Pero también hemos extraído preguntas de otras plantillas, por lo que la experiencia era casi como estar en un supermercado: una pizca de NIST, un manojo de ISO y para finalizar sazonamos con un poco de RGPD. También, hicimos ciertas reformulaciones para adaptarnos al estilo de redacción de PUMA y OneTrust hizo el resto».

El equipo decidió adoptar un enfoque creativo y proactivo para mitigar los riesgos relacionados con los proveedores. Aunque la mayoría de las empresas simplemente notifican a los proveedores cuando surgen riesgos, PUMA va un paso más allá al incluir un escenario de daños técnicos que detalla el impacto potencial y un plan de tratamiento con sugerencias para su corrección.

«No solo estamos identificando los riesgos. Hemos observado que los proveedores necesitan un poco más de ayuda para comprender y mitigar dichos riesgos, por lo que hemos creado lo que denominamos planes de tratamiento. Son muy simples; yo diría que entre cinco o seis pasos para mitigar un riesgo», dice Preissinger.

Han tenido una gran aceptación, ya que la mayoría de los proveedores se han mostrado dispuestos a abordar el riesgo. «El uso de la plataforma OneTrust ha sido fundamental para fortalecer las relaciones con nuestros proveedores, ya que nos permite proporcionarles asesoramiento específico sobre la mitigación de riesgos en función de nuestros planes de tratamiento estandarizados», añade Brandner.

Esto crea una situación beneficiosa para ambas partes, en la que el proveedor aumenta la seguridad y fiabilidad de su servicio, y PUMA, como su cliente, reduce eficazmente el riesgo general.

Reducir la carga de trabajo de las evaluaciones

Pero el equipo no se detuvo ahí. Después de observar que a menudo se bombardea a los proveedores con evaluaciones, decidieron aligerar la carga incluyendo solo preguntas relevantes para PUMA.

«Algunos proveedores ofrecen muchos servicios. Por ejemplo, Microsoft lo tiene todo, pero ¿y si solo utilizamos una fracción de lo que ofrecen, como el correo electrónico de Exchange?» explica Preissinger.

Como parte de la verificación de proveedores, el equipo creó lo que ellos llaman la «parada en boxes para empresas», donde hacen a ciertas unidades de negocio unas cuantas preguntas rápidas que ayudan a situar al proveedor en el contexto adecuado. A continuación, se generan evaluaciones dinámicas en OneTrust mediante lógica condicional para mejorar aún más el cuestionario en función de la respuesta de cada proveedor.

¿El resultado? «Hemos podido reducir y simplificar la evaluación para el proveedor, la empresa y nosotros como responsables de la revisión», afirma Preissinger. «El enfoque uniforme garantiza una gestión de riesgos coherente y completa, lo que conduce a un marco de gestión de riesgos más sólido. Como resultado, nuestras respuestas son más rápidas y eficaces, lo que contribuye a la resiliencia general de PUMA».

Fomentar una cultura consciente de los riesgos

La optimización del proceso de riesgos relacionados con los proveedores dio tiempo al equipo para centrarse en su máxima prioridad: aumentar la concienciación y la comprensión de los riesgos dentro de la empresa.

«Si se deja fuera a una sola unidad de negocio responsable, no funcionará. Debíamos establecer un proceso que permitiera mejoras continuas y que diera voz a todos los participantes», explica Preissinger. «No necesitamos que todos sean especialistas en privacidad o seguridad, pero una cultura consciente de los riesgos nos ayuda a agilizar el proceso».

Las reuniones periódicas son también una oportunidad perfecta para aprender, ya que las partes interesadas de los diferentes departamentos de PUMA aportan sus propias preocupaciones y puntos de vista sobre el proceso.

Timo Stauber, asesor jurídico de protección de datos del grupo PUMA, da fe de las ventajas de tener en cuenta los riesgos. «Las verificaciones de proveedores son útiles para nosotros como asesores jurídicos en el ámbito de la protección de datos», afirma.

Este enfoque colaborativo ha supuesto un cambio cultural en PUMA. Las partes interesadas están ahora más preocupadas por los riesgos potenciales y saben que cada proveedor que quieran utilizar tendrá que pasar por el proceso de verificación de proveedores.

«Unir más a las personas ha sido la mejora más significativa», dice Preissinger. «Es aquí donde OneTrust nos ayuda mucho, ya que somos capaces de centralizar los procesos para tomar decisiones más rápidas y mejor informadas, además de aumentar la concienciación sobre los riesgos en toda la familia PUMA».

De izquierda a derecha: Timo Stauber, Daniela Dillmann, Florian Brandner, Wei Lo, Marco Preissinger

Ganar impulso global

El proceso de verificación de proveedores tuvo un éxito inicial en la generación de concienciación y la reducción de riesgos, y actualmente se está aplicando en las filiales internacionales a través de un sistema denominado «incorporación de ubicaciones»

Comenzando en PUMA Norteamérica, el equipo pasó una semana en su oficina de Massachusetts para presentar las políticas y prácticas recomendadas que se habían establecido.

La semana se dedicó a trabajar mano a mano con el equipo directivo para definir sus procesos de gestión de riesgos existentes, incorporarlos a OneTrust y planificar campañas de marketing para otras unidades de negocio. Al final del proceso, todos los detalles se recopilaron y ordenaron en un paquete y se entregaron al equipo local.

«Sin OneTrust, no sería posible tener la agilidad y flexibilidad necesarias para ajustarse a las normativas y legislaciones locales. Sigue siendo una tarea compleja, pero la herramienta elimina la incertidumbre de no saber qué preguntar», dice Preissinger.

De cara al futuro, la incorporación de ubicaciones está programada para otras regiones: Chile, LATAM, Europa, EMEA, Austria, Hong Kong, Dubái y los países nórdicos.

«Nos gustaría visitar las diferentes entidades de PUMA y mostrar a nuestros compañeros el software de OneTrust en su conjunto, así como la verificación de proveedores en particular», afirma Daniela Dillmann, asesora jurídica de protección de datos del grupo PUMA.

Reforzar la seguridad según las necesidades

PUMA comenzó a trabajar con OneTrust en 2018, cuando implementó el módulo de consentimiento de cookies en todos los sitios web de comercio electrónico. Ahora, más de cinco años después, se han integrado aún más con el módulo de gestión de riesgos de terceros de la plataforma y los paneles de Power BI para lograr un análisis más sólido y detallado y una mayor transparencia interna.

«El año pasado, comenzamos con la verificación de proveedores y revisamos nuestra plantilla en el módulo de registro de actividades de tratamiento. Gracias a sus diversas funcionalidades, OneTrust tiene un gran potencial para simplificar muchos procesos en PUMA», afirma Stauber.

«En el futuro, los procedimientos podrían estar más integrados y automatizados; y aplicarse a gran escala, incluido todo el ciclo de vida del proveedor y todas las partes interesadas relevantes para la gestión integral de riesgos», explica Brandner. «Este enfoque garantizará una gestión fluida y eficiente de las relaciones con los proveedores de principio a fin».