Skip to main content

Seminario web bajo demanda disponible próximamente

PUMA

PUMA optimiza el cumplimiento normativo con la gestión ágil de riesgos de terceros

La marca deportiva internacional reinventa la gestión de riesgos de terceros con un enfoque colaborativo en toda la organización. 

Photo of an open office space with the Puma logo on a large red wall near a seating area

Resumen

Sector: Venta al por menor y fabricación

Región: Internacional

Tamaño: Empresa

Soluciones destacadas: Gestión de terceros, Gestión de riesgos de TI y seguridad, Consentimiento de cookies y Consentimiento de aplicaciones móviles

Si analizamos el proceso de gestión de riesgos de terceros de PUMA, nunca pensarías que se llevo a cabo hace tan solo un año. Pero así ha sido.   

«Nos dimos cuenta de que otras empresas habían sufrido brechas de datos y queríamos mejorar nuestras políticas. Dado que las normativas y requisitos son cada vez más complejos, necesitábamos un sistema más sólido para verificar a nuestros proveedores externos», afirma Marco Preissinger, director sénior de Seguridad de la Información del grupo PUMA.   

En el pasado, PUMA carecía de una forma estandarizada de gestionar los riesgos asociados a los proveedores desde el punto de vista de la seguridad de la información y la privacidad de los datos.   

«Queríamos conocer los riesgos exactos de TI vinculados a nuestros proveedores actuales y obtener una evaluación más coherente de los nuevos proveedores», recuerda Florian Brandner, director general de Seguridad de la Información y Ciberseguridad del grupo PUMA. «Con la plataforma de OneTrust, nuestros equipos han podido crear un marco claro para evaluar y supervisar los riesgos de terceros».  

Esto se convirtió en el proceso de verificación de proveedores de PUMA. Desde su lanzamiento en 2023, el equipo ha incorporado a 250 proveedores, ha reducido el proceso a una media de 17 días y ha reducido su tiempo de procesamiento en un 80%, y esto solo es el principio. 

 

Seminario web bajo demanda disponible próximamente


«La implementación de OneTrust ha acelerado la eficiencia de nuestro equipo, reduciendo nuestro tiempo de procesamiento en un 80% y limitando el proceso de incorporación de proveedores a una media de 17 días. Esta eficiencia ha dado lugar a un significativo ahorro de tiempo, una utilización optimizada de los recursos y operaciones más fluidas».  

 

Marco Preissinger, Director Sénior de Seguridad de la Información del Grupo PUMA  

 

Reinvención de la gestión de riesgos de terceros

PUMA trabaja con cientos de proveedores independientes y miles de distribuidores en todo el mundo, por lo que era necesario poner en marcha al equipo cuanto antes.

«Aprovechamos mucho la biblioteca de plantillas de OneTrust», afirma Preissinger. «Para nosotros, como empresa alemana, las plantillas ISO han sido especialmente útiles. Pero también hemos extraído preguntas de otras plantillas, por lo que la experiencia era casi como estar en un supermercado: una pizca de NIST, un manojo de ISO y para finalizar sazonamos con un poco de RGPD. También, hicimos ciertas reformulaciones para adaptarnos al estilo de redacción de PUMA y OneTrust hizo el resto».

El equipo decidió adoptar un enfoque creativo y proactivo para mitigar los riesgos relacionados con los proveedores. Aunque la mayoría de las empresas simplemente notifican a los proveedores cuando surgen riesgos, PUMA va un paso más allá al incluir un escenario de daños técnicos que detalla el impacto potencial y un plan de tratamiento con sugerencias para su corrección.

«No solo estamos identificando los riesgos. Hemos observado que los proveedores necesitan un poco más de ayuda para comprender y mitigar dichos riesgos, por lo que hemos creado lo que denominamos planes de tratamiento. Son muy simples; yo diría que entre cinco o seis pasos para mitigar un riesgo», dice Preissinger.

Han tenido una gran aceptación, ya que la mayoría de los proveedores se han mostrado dispuestos a abordar el riesgo. «El uso de la plataforma OneTrust ha sido fundamental para fortalecer las relaciones con nuestros proveedores, ya que nos permite proporcionarles asesoramiento específico sobre la mitigación de riesgos en función de nuestros planes de tratamiento estandarizados», añade Brandner.

Esto crea una situación beneficiosa para ambas partes, en la que el proveedor aumenta la seguridad y fiabilidad de su servicio, y PUMA, como su cliente, reduce eficazmente el riesgo general.

 

Reducir la carga de trabajo de las evaluaciones

Pero el equipo no se detuvo ahí. Después de observar que a menudo se bombardea a los proveedores con evaluaciones, decidieron aligerar la carga incluyendo solo preguntas relevantes para PUMA.

«Algunos proveedores ofrecen muchos servicios. Por ejemplo, Microsoft lo tiene todo, pero ¿y si solo utilizamos una fracción de lo que ofrecen, como el correo electrónico de Exchange?» explica Preissinger.

Como parte de la verificación de proveedores, el equipo creó lo que ellos llaman la «parada en boxes para empresas», donde hacen a ciertas unidades de negocio unas cuantas preguntas rápidas que ayudan a situar al proveedor en el contexto adecuado. A continuación, se generan evaluaciones dinámicas en OneTrust mediante lógica condicional para mejorar aún más el cuestionario en función de la respuesta de cada proveedor.

¿El resultado? «Hemos podido reducir y simplificar la evaluación para el proveedor, la empresa y nosotros como responsables de la revisión», afirma Preissinger. «El enfoque uniforme garantiza una gestión de riesgos coherente y completa, lo que conduce a un marco de gestión de riesgos más sólido. Como resultado, nuestras respuestas son más rápidas y eficaces, lo que contribuye a la resiliencia general de PUMA».

 

Seminario web bajo demanda disponible próximamente


«Aunque somos una marca deportiva, ágil y rápida, en términos de gestión de riesgos de terceros, dependíamos de Excel y Word.

 

Hasta ahora hemos identificado y clasificado 1500 riesgos, que gracias a OneTrust podemos aprovechar para tomar decisiones más rápidas e inteligentes y mejorar la gestión de los riesgos. Creo que ahora estamos mucho más cerca de nuestra situación ideal con OneTrust».

 

Marco Preissinger, Director Sénior de Seguridad de la Información del Grupo PUMA

 

Fomentar una cultura consciente de los riesgos

La optimización del proceso de riesgos relacionados con los proveedores dio tiempo al equipo para centrarse en su máxima prioridad: aumentar la concienciación y la comprensión de los riesgos dentro de la empresa.

«Si se deja fuera a una sola unidad de negocio responsable, no funcionará. Debíamos establecer un proceso que permitiera mejoras continuas y que diera voz a todos los participantes», explica Preissinger. «No necesitamos que todos sean especialistas en privacidad o seguridad, pero una cultura consciente de los riesgos nos ayuda a agilizar el proceso».

Las reuniones periódicas son también una oportunidad perfecta para aprender, ya que las partes interesadas de los diferentes departamentos de PUMA aportan sus propias preocupaciones y puntos de vista sobre el proceso.

Timo Stauber, asesor jurídico de protección de datos del grupo PUMA, da fe de las ventajas de tener en cuenta los riesgos. «Las verificaciones de proveedores son útiles para nosotros como asesores jurídicos en el ámbito de la protección de datos», afirma.

Este enfoque colaborativo ha supuesto un cambio cultural en PUMA. Las partes interesadas están ahora más preocupadas por los riesgos potenciales y saben que cada proveedor que quieran utilizar tendrá que pasar por el proceso de verificación de proveedores.

«Unir más a las personas ha sido la mejora más significativa», dice Preissinger. «Es aquí donde OneTrust nos ayuda mucho, ya que somos capaces de centralizar los procesos para tomar decisiones más rápidas y mejor informadas, además de aumentar la concienciación sobre los riesgos en toda la familia PUMA».

Seminario web bajo demanda disponible próximamente


Photo of the PUMA team

De izquierda a derecha: Timo Stauber, Daniela Dillmann, Florian Brandner, Wei Lo, Marco Preissinger

 

Ganar impulso global

El proceso de verificación de proveedores tuvo un éxito inicial en la generación de concienciación y la reducción de riesgos, y actualmente se está aplicando en las filiales internacionales a través de un sistema denominado «incorporación de ubicaciones»

Comenzando en PUMA Norteamérica, el equipo pasó una semana en su oficina de Massachusetts para presentar las políticas y prácticas recomendadas que se habían establecido.

La semana se dedicó a trabajar mano a mano con el equipo directivo para definir sus procesos de gestión de riesgos existentes, incorporarlos a OneTrust y planificar campañas de marketing para otras unidades de negocio. Al final del proceso, todos los detalles se recopilaron y ordenaron en un paquete y se entregaron al equipo local.

«Sin OneTrust, no sería posible tener la agilidad y flexibilidad necesarias para ajustarse a las normativas y legislaciones locales. Sigue siendo una tarea compleja, pero la herramienta elimina la incertidumbre de no saber qué preguntar», dice Preissinger.

De cara al futuro, la incorporación de ubicaciones está programada para otras regiones: Chile, LATAM, Europa, EMEA, Austria, Hong Kong, Dubái y los países nórdicos.

«Nos gustaría visitar las diferentes entidades de PUMA y mostrar a nuestros compañeros el software de OneTrust en su conjunto, así como la verificación de proveedores en particular», afirma Daniela Dillmann, asesora jurídica de protección de datos del grupo PUMA.

 

Reforzar la seguridad según las necesidades

PUMA comenzó a trabajar con OneTrust en 2018, cuando implementó el módulo de consentimiento de cookies en todos los sitios web de comercio electrónico. Ahora, más de cinco años después, se han integrado aún más con el módulo de gestión de riesgos de terceros de la plataforma y los paneles de Power BI para lograr un análisis más sólido y detallado y una mayor transparencia interna.

«El año pasado, comenzamos con la verificación de proveedores y revisamos nuestra plantilla en el módulo de registro de actividades de tratamiento. Gracias a sus diversas funcionalidades, OneTrust tiene un gran potencial para simplificar muchos procesos en PUMA», afirma Stauber.

«En el futuro, los procedimientos podrían estar más integrados y automatizados; y aplicarse a gran escala, incluido todo el ciclo de vida del proveedor y todas las partes interesadas relevantes para la gestión integral de riesgos», explica Brandner. «Este enfoque garantizará una gestión fluida y eficiente de las relaciones con los proveedores de principio a fin».


También te puede interesar

Seminario web

GRC y garantía de seguridad

Cumplimiento de NIS2: cómo resolver los retos de la normativa con una demostración práctica

Acompáñanos en esta sesión dónde repasaremos los principales requisitos de la normativa NIS2 y su impacto. Además, podrás asistir a una demostración práctica y conocer cómo OneTrust te ayuda a resolver los retos de gobernanza, gestión de riesgos y terceros, gestión de incidentes y cumplimiento asociados a la normativa.

noviembre 26, 2024

Aprende más

Seminario web

Riesgos de terceros

DORA y sus estándares: una sesión práctica con OneTrust y Deloitte

Acompáñanos el próximo 24 de abril a esta sesión y descubre como OneTrust y Deloitte facilitan la adopción de DORA y sus estándares asociados en una sesión práctica donde veremos desde la Gestión de Riesgos y la Gestión de Incidentes, hasta el Registro de Información de la cadena de suministro.

abril 24, 2024

Aprende más

Seminario web

Riesgos de terceros

Secretos del éxito en la gestión de terceros: controlar la diligencia debida y la gestión de riesgos

Dominar el arte de la diligencia debida y la gestión de riesgos y cómo armonizarlos para maximizar su eficacia. 

junio 08, 2023

Aprende más

Blog

Inteligencia para la confianza

OneTrust presenta innovaciones para habilitar el uso responsable de los datos y el trust intelligence a gran escala

OneTrust anuncia nuevas innovaciones dentro de su plataforma de Trust Intelligence para ayudar a las empresas a utilizar los datos de forma responsable y desarrollar inteligencia de confianza a escala.

mayo 23, 2023 5 minutos de lectura

Aprende más

Blog

Riesgos de terceros

¿Por qué elegir OneTrust para la gestión de terceros?

abril 13, 2023 6 minutos de lectura

Aprende más

Seminario web

Riesgos de terceros

Academia RGPD: Los riesgos de terceros

En la tercera sesión de la Academia RGPD hablaremos sobre los riesgos de proveedores (y empleados), crítico en los programas de privacidad. 

diciembre 22, 2022

Aprende más