Center for Internet Security (CIS) Einhaltung kritischer Sicherheitskontrollen

15.1 Erstellung und Pflege eines Inventars von Dienstleistern

Sicherheitsfunktion: Identifizieren
IG1,2,3

"Erstellung und Pflege eines Inventars von Dienstleistern. In diesem Verzeichnis sind alle bekannten Dienstanbieter aufzuführen, einschließlich der Klassifizierung(en), und für jeden Dienstanbieter ist ein Ansprechpartner im Unternehmen zu benennen. Das Verzeichnis ist jährlich zu überprüfen und zu aktualisieren, oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diese Schutzmaßnahme auswirken könnten.

Prevalent ermöglicht Unternehmen den Aufbau eines zentralen Dienstleisterinventars durch den Import von Anbietern über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer bestehenden Beschaffungslösung. Teams im gesamten Unternehmen können die wichtigsten Lieferantendetails mit einem zentralisierten und anpassbaren Aufnahmeformular und dem dazugehörigen Workflow erfassen. Dies ist für jeden per E-Mail-Einladung möglich, ohne dass eine Schulung oder Lösungskenntnisse erforderlich sind.

Da alle Dienstanbieter zentralisiert werden, können Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Geschäfts- und Reputationsdaten, Datenverletzungen und die aktuelle finanzielle Leistung enthalten.

Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) zu entwickeln, das auf bewährten Verfahren und umfassender praktischer Erfahrung basiert.

Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus des Risikos von Drittanbietern abdeckt - von der Beschaffung und Due Diligence bis hin zur Kündigung und Ausgliederung.

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

• Klare Rollen und Verantwortlichkeiten (z. B. RACI)
• Vorräte von Dritten
• Klassifizierung und Einstufung von Anbietern
• Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
• Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
• Kartierung von Drittanbietern
• Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
• Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
• Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
• Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
• Anforderungen an die Reaktion auf Vorfälle
• Risiko- und interne Stakeholder-Berichterstattung
• Strategien zur Risikominderung und -behebung

15.3 Klassifizierung von Dienstanbietern

Sicherheitsfunktion: Identifizieren
IG1,2,3

"Klassifizierung von Dienstanbietern. Bei der Klassifizierung können ein oder mehrere Merkmale berücksichtigt werden, wie z. B. Datensensibilität, Datenvolumen, Verfügbarkeitsanforderungen, geltende Vorschriften, inhärentes Risiko und gemindertes Risiko. Aktualisieren und überprüfen Sie die Klassifizierungen jährlich oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diesen Safeguard auswirken könnten."

Prevalent bietet eine Due-Diligence-Prüfung vor Vertragsabschluss mit einer klaren Bewertung auf der Grundlage von acht Kriterien, um inhärente Risiken für alle Drittparteien zu erfassen, zu verfolgen und zu quantifizieren. Die Kriterien umfassen:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch klassifizieren und einstufen, geeignete Stufen für die weitere Sorgfalt festlegen und den Umfang der laufenden Bewertungen bestimmen.
Eine regelbasierte Einstufungslogik ermöglicht die Kategorisierung von Lieferanten anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

15.4 Sicherstellen, dass die Verträge mit den Dienstleistern Sicherheitsanforderungen enthalten

Sicherheitsfunktion: Schützen
IG1,2,3

"Sicherstellen, dass Verträge mit Dienstleistern Sicherheitsanforderungen enthalten. Zu den Anforderungen können beispielsweise Mindestanforderungen an das Sicherheitsprogramm, die Benachrichtigung über Sicherheitsvorfälle und/oder Datenverletzungen und die Reaktion darauf, Anforderungen an die Datenverschlüsselung und Verpflichtungen zur Datenentsorgung gehören. Diese Sicherheitsanforderungen müssen mit den Richtlinien des Unternehmens zur Verwaltung von Dienstleistern übereinstimmen. Überprüfen Sie die Verträge mit den Dienstleistern jährlich, um sicherzustellen, dass die Verträge keine Sicherheitsanforderungen enthalten."

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen und bietet Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding. Dadurch wird sichergestellt, dass die wichtigsten Sicherheitsanforderungen in den Lieferantenvertrag aufgenommen, vereinbart und während der gesamten Geschäftsbeziehung mit wichtigen Leistungsindikatoren (KPIs) durchgesetzt werden.

Zu den wichtigsten Fähigkeiten gehören:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

15.5 Bewertung von Dienstleistern

Sicherheitsfunktion: Identifizieren Sie
IG3

"Bewertung von Dienstleistern in Übereinstimmung mit den Richtlinien des Unternehmens zur Verwaltung von Dienstleistern. Der Umfang der Bewertung kann je nach Klassifizierung(en) variieren und kann die Überprüfung von standardisierten Bewertungsberichten, wie Service Organization Control 2 (SOC 2) und Payment Card Industry (PCI) Attestation of Compliance (AoC), kundenspezifische Fragebögen oder andere angemessen strenge Verfahren umfassen. Überprüfen Sie die Dienstleister mindestens einmal jährlich oder bei neuen und erneuerten Verträgen.

Prevalent automatisiert Risikobewertungen, um die Sichtbarkeit, Effizienz und den Umfang Ihres Risikomanagementprogramms für Dritte in jeder Phase des Lebenszyklus von Dritten zu erhöhen.

Mit einer Bibliothek von mehr als 750 standardisierten Bewertungen - auch für PCI -, Anpassungsmöglichkeiten und integrierten Workflows und Abhilfemaßnahmen automatisiert die Lösung alles von der Erhebung und Analyse bis zur Risikobewertung und Berichterstattung.

Mit Prevalent können Sie auf einfache Weise Informationen über eine breite Palette von Anbieterkontrollen sammeln und korrelieren, um Bedrohungen für das Informationsmanagement zu ermitteln, basierend auf der durch die inhärente Risikobewertung ermittelten Kritikalität der Drittpartei.

Die Ergebnisse der Bewertungen und der kontinuierlichen Überwachung werden in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst, das die Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkungen misst und kategorisiert. Mit diesem Einblick können die Teams die Folgen eines Risikos leicht erkennen und haben fertige Empfehlungen für die Abhilfe für Dritte, um die Risiken zu mindern.

Bei Drittanbietern, die einen SOC-2-Bericht anstelle einer vollständigen Risikobewertung des Anbieters einreichen, prüft Prevalent die Liste der im SOC-2-Bericht identifizierten Kontrolllücken, erstellt innerhalb der Plattform Risikopositionen für den Drittanbieter und verfolgt und berichtet über die Mängel.

15.6 Daten von Dienstanbietern überwachen

Sicherheitsfunktion: Erkennen
IG3

"Überwachung von Dienstanbietern in Übereinstimmung mit den Richtlinien des Unternehmens zur Verwaltung von Dienstanbietern. Die Überwachung kann eine regelmäßige Neubewertung der Konformität von Dienstanbietern, die Überwachung der Versionshinweise von Dienstanbietern und die Überwachung des Dark Web umfassen."

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Zu den Überwachungsquellen gehören:

• Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
• Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt

Da es sich nicht bei allen Bedrohungen um direkte Cyberangriffe handelt, bezieht Prevalent auch Daten aus den folgenden Quellen mit ein, um den Cyberergebnissen mehr Kontext zu verleihen:

• 550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr
• Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischer Veränderungen und finanzieller Leistung, einschließlich Umsatz, Gewinn und Verlust, Aktionärsvermögen usw.
• 30.000 weltweite Nachrichtenquellen
• Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen
• Globale Sanktionslisten und über 1.000 globale Vollstreckungslisten und Gerichtsanmeldungen

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu rationalisieren.

15.7 Daten von Dienstanbietern sicher stilllegen

Sicherheitsfunktion: Schützen
IG3

"Sichere Stilllegung von Dienstanbietern. Zu den Beispielen gehören die Deaktivierung von Benutzer- und Dienstkonten, die Beendigung von Datenflüssen und die sichere Entsorgung von Unternehmensdaten in den Systemen von Dienstanbietern."

Die Prevalent-Plattform automatisiert Vertragsbewertungen und Offboarding-Verfahren , um das Risiko für Ihr Unternehmen nach Vertragsabschluss zu verringern.

• Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. Erstellen Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
• Nutzen Sie anpassbare Umfragen und Workflows für Berichte über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und vieles mehr.
• Speichern und verwalten Sie Dokumente und Zertifizierungen wie NDAs, SLAs, SOWs und Verträge zentral. Nutzen Sie die integrierte automatische Dokumentenanalyse, die auf AWS Natural Language Processing und maschinellen Lernanalysen basiert, um zu bestätigen, dass wichtige Kriterien erfüllt sind.
• Ergreifen Sie umsetzbare Maßnahmen zur Verringerung des Anbieterrisikos mit integrierten Empfehlungen und Anleitungen zur Abhilfe.
• Visualisierung und Erfüllung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu beliebigen Vorschriften oder Rahmenbedingungen.

Adressierung der CIS-Kontrolle 15: Verwaltung der Dienstanbieter

Absicherung

Wie wir helfen

17.1 Bestimmen Sie das Personal, das die Übergabe von Vorfällen verwaltet

Sicherheitsfunktion: Reagieren
IG1,2,3

"Benennen Sie eine Schlüsselperson und mindestens einen Stellvertreter, die den Prozess der Vorfallbearbeitung im Unternehmen leiten werden. Das Managementpersonal ist für die Koordinierung und Dokumentation der Reaktions- und Wiederherstellungsmaßnahmen bei Vorfällen verantwortlich und kann aus internen Mitarbeitern des Unternehmens, Drittanbietern oder einem gemischten Ansatz bestehen. Wenn Sie einen Drittanbieter beauftragen, benennen Sie mindestens eine Person innerhalb des Unternehmens, die die Arbeit des Drittanbieters beaufsichtigt. Jährliche Überprüfung oder bei wesentlichen Änderungen im Unternehmen, die sich auf diese Sicherheitsmaßnahme auswirken könnten.

17.2 Einrichtung und Pflege von Kontaktinformationen für die Meldung von Sicherheitsvorfällen

Sicherheitsfunktion: Reagieren
IG1,2,3

"Erstellen und pflegen Sie Kontaktinformationen für Parteien, die über Sicherheitsvorfälle informiert werden müssen. Zu den Kontaktpersonen können interne Mitarbeiter, Drittanbieter, Strafverfolgungsbehörden, Anbieter von Cyberversicherungen, relevante Regierungsbehörden, Partner des Information Sharing and Analysis Center (ISAC) oder andere Interessengruppen gehören. Überprüfen Sie die Kontakte jährlich, um sicherzustellen, dass die Informationen aktuell sind.

17.3 Einrichtung und Aufrechterhaltung eines Unternehmensprozesses für die Meldung von Zwischenfällen

Sicherheitsfunktion: Reagieren
IG1,2,3

"Einrichtung und Pflege eines unternehmensweiten Verfahrens für die Meldung von Sicherheitsvorfällen durch die Belegschaft. Der Prozess umfasst den Zeitrahmen für die Meldung, das Personal, an das zu melden ist, den Mechanismus für die Meldung und die Mindestinformationen, die zu melden sind. Stellen Sie sicher, dass der Prozess für alle Mitarbeiter öffentlich zugänglich ist. Jährliche Überprüfung oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diese Sicherheitsmaßnahme auswirken könnten.

17.4 Einrichtung und Aufrechterhaltung eines Verfahrens zur Reaktion auf Zwischenfälle

Sicherheitsfunktion: Reagieren
IG2,3

"Einen Prozess zur Reaktion auf Vorfälle einrichten und aufrechterhalten, der Rollen und Verantwortlichkeiten, Compliance-Anforderungen und einen Kommunikationsplan umfasst. Jährliche Überprüfung oder bei wesentlichen Änderungen im Unternehmen, die sich auf diese Sicherheitsvorkehrung auswirken könnten."

17.5 Zuweisung von Schlüsselrollen und Verantwortlichkeiten

Sicherheitsfunktion: Reagieren
IG2,3

"Zuweisung von Schlüsselrollen und Zuständigkeiten für die Reaktion auf Vorfälle, einschließlich Personal aus den Bereichen Recht, IT, Informationssicherheit, Einrichtungen, Öffentlichkeitsarbeit, Personalwesen, Reaktion auf Vorfälle und Analysten, soweit zutreffend. Jährliche Überprüfung oder wenn wesentliche Änderungen im Unternehmen eintreten, die sich auf diese Schutzmaßnahme auswirken könnten."

17.6 Definieren Sie Mechanismen für die Kommunikation während der Reaktion auf Vorfälle

Sicherheitsfunktion: Reagieren
IG2,3

"Legen Sie fest, welche primären und sekundären Mechanismen zur Kommunikation und Berichterstattung während eines Sicherheitsvorfalls verwendet werden sollen. Zu den Mechanismen können Telefonanrufe, E-Mails oder Briefe gehören. Denken Sie daran, dass bestimmte Mechanismen, wie z. B. E-Mails, bei einem Sicherheitsvorfall beeinträchtigt werden können. Überprüfen Sie die Sicherheitsvorkehrungen jährlich oder wenn wesentliche Änderungen im Unternehmen auftreten, die sich auf diese Sicherheitsvorkehrungen auswirken könnten."

Prevalent ermöglicht es Ihrem Team, Vorfälle bei Drittanbietern schnell zu erkennen, darauf zu reagieren, darüber Bericht zu erstatten und die Auswirkungen zu mindern, indem es Anbieter zentral verwaltet, Ereignisbewertungen durchführt, identifizierte Risiken bewertet, mit der kontinuierlichen Cyber-Überwachung abgleicht und auf Anleitungen zur Abhilfe zugreift. Zu den wichtigsten Funktionen gehören:

• Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
• Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
• Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
• Proaktive Lieferantenberichterstattung
• Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahlen und markierten Antworten für jeden Anbieter
• Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
• Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
• Integrierte Berichtsvorlagen
• Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

Durch die Zentralisierung der Reaktion auf Vorfälle von Drittanbietern in einem einzigen System, das von einem einzigen Prozess für das Vorfallsmanagement im Unternehmen geleitet wird, können IT-, Sicherheits-, Rechts-, Datenschutz- und Compliance-Teams gemeinsam an der Risikominderung arbeiten.