Osservando il processo di gestione del rischio di terze parti messo in piedi da PUMA, nessuno penserebbe che il suo avvio risalga solo a un anno fa. Invece è proprio così. 

"Abbiamo notato che diverse altre aziende hanno subito violazioni dei dati e volevamo migliorare le nostre politiche. Con normative e requisiti sempre più complessi, avevamo bisogno di un sistema migliore per controllare i vendor", afferma Marco Preissinger, Senior Manager Information Security del Gruppo PUMA.

In passato, PUMA non disponeva di un metodo standardizzato per gestire i rischi di terze parti dal punto di vista della sicurezza delle informazioni e della privacy  dei dati.

"Volevamo comprendere a pieno i rischi IT legati ai nostri attuali vendor, e ottenere una valutazione più coerente delle nuove terze parti", ricorda Florian Brandner, Director Global Information & Cyber Security del Gruppo PUMA. "Grazie alla piattaforma OneTrust, i nostri team sono riusciti a delineare un quadro chiaro per valutare, prevenire e monitorare tutti i rischi associati".

Da quando il nuovo processo di gestione del rischio terze parti di PUMA è stato lanciato, nel 2023, il team ha registrato 250 nuovi vendor, riducendo la durata media del processo a 17 giorni e tagliato le tempistiche di gestionedell'80%! E questo è solo l'inizio.

Un nuovo concetto di gestione del rischio di terze parti

La collaborazione di PUMA con centinaia di vendor indipendenti, migliaia in tutto il mondo, ha spinto il team a darsi da fare.

"Sfruttiamo al massimo la libreria di modelli offerta da OneTrust", afferma Preissinger. "Per un'azienda tedesca come la nostra, i modelli ISO erano particolarmente utili. Ma abbiamo estratto domande anche da altri modelli, quindi era come trovarsi in un supermercato: una manciata di NIST, un pizzico di ISO e il tutto condito con un po' di GDPR. Dopo aver apportato qualche modifica per adattare la terminologia PUMA, ci siamo serviti di OneTrust per il tocco finale".

Il team ha optato per un approccio creativo e proattivo per ridurre i rischi di terze parti. Mentre la maggior parte delle organizzazioni si limita semplicemente a informare  i vendor nel momento in cui si presentano dei rischi, PUMA fa un passo in più includendo uno scenario dei rischi a livello tecnico che descrive in dettaglio l’impatto potenziale, nonché un piano di gestione con suggerimenti per la correzione del problema. "Non stiamo solo segnalando i rischi. Abbiamo notato che i vendor hanno bisogno di un aiuto in più per comprendere e mitigarli, quindi creiamo quelli che chiamiamo piani di trattamento. Si tratta di piani molto semplici, che prevedono cinque o sei passaggi, per mitigare un rischio", afferma Preissinger. 

L'azienda ha registrato una percentuale di adozione impressionante, con la maggior parte dei vendor disposti a gestire il rischio. "L'utilizzo della piattaforma OneTrust è stato fondamentale per consolidare i rapporti con i nostri vendor, in quanto ci consente di fornire loro consigli mirati sulla riduzione dei rischi in base ai nostri piani di trattamento standardizzati", aggiunge Brandner. Ciò crea una situazione reciprocamente vantaggiosa, in cui un fornitore migliora la sicurezza e l'affidabilità del proprio servizio e PUMA, come cliente, riduce efficacemente il rischio complessivo.

Alleggerimento del carico di lavoro dovuto alla valutazione

Ma il team non si è fermato lì. Dopo aver notato che i vendor sono spesso inondati da questionari, hanno deciso di alleggerire il carico di lavoro includendo solo domande relative a PUMA. 

"Alcuni vendor forniscono molti servizi. Ad esempio, Microsoft ha tutto, ma se usassimo solo una piccola parte di ciò che offre, come l'e-mail di Exchange?" spiega Preissinger. Nell'ambito del processo di controllo dei rischi di terze parti,  il team ha creato quello che definisce il "business pit stop",  in cui pone una serie di domande rapide a delle business unit specifiche che aiutano a inquadrare il vendor nel giusto contesto. Le valutazioni dinamiche vengono quindi integrate in OneTrust, utilizzando la logica condizionale  per migliorare ulteriormente il questionario in base alle risposte di ciascun vendor.

Il risultato? "Siamo riusciti a ridurre e semplificare la valutazione del rischio di terze parti per l'azienda e per noi in qualità di revisore," afferma Preissinger. "L'approccio uniforme garantisce una gestione del rischio coerente  e completa, generando un quadro di gestione del rischio più solido. Di conseguenza, le nostre risposte sono più veloci ed efficaci, contribuendo alla resilienza complessiva di PUMA".

Promozione di una cultura consapevole del rischio

La semplificazione del processo di valutazione del rischio di terze parti ha dato al team il tempo di concentrarsi sulla sua priorità principale, ovvero aumentare la consapevolezza e la comprensione del rischio all'interno dell'azienda.

"Escludendo anche solo una delle business unit responsabili, non otterremmo risultati. Dovevamo stabilire un processo che consentisse miglioramenti continui  e coinvolgesse tutti", spiega Preissinger. "Non abbiamo bisogno che tutti siano specialisti della privacy o della sicurezza, ma una cultura consapevole del rischio ci aiuta sicuramente ad accelerare il processo".

Le riunioni periodiche sono un altro luogo di apprendimento, giacché membri di diversi dipartimenti di PUMA illustrano i propri dubbi e punti di vista sul processo.

Timo Stauber, Legal Counsel Data Protection del Gruppo PUMA, illustra i vantaggi derivanti dalla valutazione  del rischio. "I controlli di rischi di terze parti sono utili per noi come consulenti legali nel settore della protezione dei dati", afferma.

"Le valutazioni forniscono una rapida panoramica dei vendor e dell'uso di uno strumento o progetto specifico. Effettuiamo una prima valutazione in merito alla protezione dei dati e, se necessario, una revisione più approfondita  a livello legale. Se l'implementazione del vendor è consentita dal punto di vista legale della protezione  dei dati, conduciamo le trattative contrattuali relative  alla protezione dei dati sulla base della valutazione  e di eventuali rischi esistenti".

Questo approccio collaborativo ha portato a un cambiamento culturale in PUMA. Le parti interessate sono ora più attente ai potenziali rischi e sanno che ogni vendor che desiderano utilizzare dovrà superare il processo  di controllo.

"Avvicinare e coinvolgere le persone è stato il miglioramento più grande", afferma Preissinger. "È qui che OneTrust si rivela utilissimo poiché riusciamo a centralizzare i processi per prendere decisioni più rapide e informate, aumentando la consapevolezza dei rischi in PUMA".

Da sinistra: Timo Stauber, Daniela Dillmann, Florian Brandner, Wei Lo, Marco Preissinger

Impatto a livello globale

Sin da subito, il processo di controllo di terze parti è stato efficace nel creare consapevolezza e ridurre il rischio ed è attualmente in fase di introduzione nelle filiali globali attraverso un sistema denominato "onboarding in loco".

Partendo da PUMA in Nord America, il team ha trascorso una settimana presso la sede in Massachusetts per introdurre le proprie politiche e migliori pratiche consolidate.

La settimana è stata dedicata a lavorare a stretto contatto con i dirigenti per definire i processi di gestione  dei rischi esistenti, inserirli in OneTrust e pianificare campagne di marketing per altre business unit. Al termine dell'onboarding in loco, tutti i dettagli sono stati raccolti in un pacchetto organizzato e consegnati al team locale. 

"Senza OneTrust, non sarebbe possibile avere l'agilità e la flessibilità per adattarsi a normative e leggi locali. Si tratta di un compito complesso, ma la soluzione elimina l'incertezza di sapere cosa chiedere", afferma Preissinger.

Guardando al futuro, l'onboarding in loco è previsto per numerose altre regioni: Cile, LATAM, Europa, EMEA, Austria, Hong Kong, Dubai e i paesi nordici.

"Vorremmo visitare tutte le diverse entità PUMA e mostrare ai nostri colleghi il software OneTrust nel suo insieme  e in particolare, il processo di controllo di rischi di terze parti" afferma Daniela Dillmann, Legal Counsel Data Protection del Gruppo PUMA.

Promozione della sicurezza su vasta scala

PUMA collabora con OneTrust dal 2018, a partire dall'utilizzo iniziale del modulo di Consenso all'uso dei cookies in tutti i siti di e-commerce. Oggi, a distanza di oltre cinque anni, l'azienda ha ulteriormente integrato il modulo di Gestione del rischio delle terze parti della piattaforma e i dashboard Power BI per ottenere analisi più solide e approfondite e trasparenza interna.

"L'anno scorso abbiamo iniziato con il controllo dei vendor e abbiamo rivisto il nostro modello nel modulo per l’Automazione del registro dei trattamenti. Con le sue varie funzionalità, OneTrust ha grandi potenzialità per semplificare molti processi in PUMA", afferma Stauber.

"In futuro, le procedure potrebbero essere più integrate, automatizzate e adottate su larga scala, compreso l'intero ciclo di vita dei vendor e tutte le parti interessate per la gestione olistica del rischio" concorda Brandner.  "Questo approccio garantirà una gestione fluida ed efficiente dei rapporti con terze parti dall'inizio alla fine".