NIST Cybersecurity Framework (CSF) 2.0

GOVERN (GV): Die Strategie, Erwartungen und Richtlinien der Organisation für das Management von Cybersecurity-Risiken werden festgelegt, kommuniziert und überwacht.

Risikomanagement für Cybersicherheit in der Lieferkette (GV.SC):Prozesse zum Risikomanagement für Cybersicherheit in der Lieferkette werden von den Stakeholdern der Organisation identifiziert, etabliert, verwaltet, überwacht und verbessert.

Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt.

Suchen Sie nach Experten, die mit Ihrem Team zusammenarbeiten:

• Definition und Umsetzung von TPRM- und C-SCRM-Prozessen und -Lösungen
• Auswahl von Fragebögen und Rahmen für die Risikobewertung
• Optimierung Ihres Programms, um den gesamten Lebenszyklus des Risikos von Drittanbietern abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens

Als Teil dieses Prozesses sollten Sie definieren:

• Klare Rollen und Verantwortlichkeiten (z. B. RACI)
• Vorräte von Dritten
• Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
• Wichtige Risikoindikatoren (KRIs), wichtige Leistungsindikatoren (KPIs) und Servicelevels für die Reaktion auf Vorfälle

GV.SC-04: Lieferanten sind bekannt und werden nach Kritikalität priorisiert

Zentralisieren Sie Ihr Inventar von Drittanbietern in einer Softwarelösung. Quantifizieren Sie dann die inhärenten Risiken für alle Drittanbieter. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Drittanbietern verwendet werden, sollten gehören:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

GV.SC-05: Anforderungen zur Bewältigung von Cybersicherheitsrisiken in Lieferketten werden festgelegt, priorisiert und in Verträge und andere Arten von Vereinbarungen mit Lieferanten und anderen relevanten Dritten integriert

Zentralisieren Sie die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass die wichtigsten Klauseln durchgesetzt werden. Die wichtigsten Funktionen sollten umfassen:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden.

GV.SC-06: Planung und Due-Diligence-Prüfung werden durchgeführt, um Risiken zu reduzieren, bevor formelle Beziehungen zu Lieferanten oder anderen Dritten eingegangen werden

Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Angebotsanfragen (RFPs) und Informationsanfragen (RFIs ) in einer einzigen Lösung, die den Vergleich von Schlüsselattributen ermöglicht.

Da alle Dienstanbieter zentralisiert und überprüft werden, sollten die Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, jüngste Geschäfts- und Reputationseinblicke, Datenverletzungen und die jüngste finanzielle Leistung enthalten.

Dieses Maß an Sorgfalt schafft einen besseren Kontext für Entscheidungen zurLieferantenauswahl.

GV.SC-07: Die Risiken, die von einem Lieferanten, seinen Produkten und Dienstleistungen sowie von anderen Dritten ausgehen, werden verstanden, aufgezeichnet, nach Prioritäten geordnet, bewertet, beantwortet und im Laufe der Geschäftsbeziehung überwacht.

Achten Sie auf Lösungen, die eine umfangreiche Bibliothek mit vorgefertigten Vorlagen für Risikobewertungen von Dritten enthalten. Die Bewertungen sollten zum Zeitpunkt des Onboardings, der Vertragserneuerung oder in einem beliebigen Intervall (z. B. vierteljährlich oder jährlich) in Abhängigkeit von wesentlichen Änderungen durchgeführt werden.

Bewertungen sollten zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt werden, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung einen Überblick über die Risiken von Drittanbietern hat.

Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthält, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

Verfolgen und analysieren Sie im Rahmen dieses Prozesses kontinuierlich externe Bedrohungen für Dritte. Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren.

Achten Sie darauf, Betriebs-, Reputations- und Finanzdaten Dritter einzubeziehen, um den Cyber-Ergebnissen einen Kontext zu geben und die Auswirkungen von Vorfällen im Laufe der Zeit zu messen.

GV.SC-08: Relevante Lieferanten und andere Dritte werden in die Planung, Reaktion und Wiederherstellung von Vorfällen einbezogen

Stellen Sie im Rahmen Ihrer umfassenden Strategie zum Vorfallsmanagement sicher, dass Ihr Programm zur Reaktion auf Vorfälle bei Drittanbietern Ihrem Team ermöglicht, Sicherheitsvorfälle bei Drittanbietern schnell zu identifizieren, darauf zu reagieren, darüber zu berichten und deren Auswirkungen zu mindern. Suchen Sie nach Managed Services, bei denen engagierte Experten Ihre Anbieter zentral verwalten, proaktive Ereignisrisikobewertungen durchführen, identifizierte Risiken bewerten, Risiken mit kontinuierlichen Cyber-Überwachungsinformationen korrelieren und Leitlinien für Abhilfemaßnahmen herausgeben.Managed Serviceskönnen den Zeitaufwand für die Identifizierung von Anbietern, die von einem Cybersicherheitsvorfall betroffen sind, erheblich reduzieren und sicherstellen, dass Abhilfemaßnahmen ergriffen werden.

Zu den wichtigsten Funktionen eines Drittanbieters für die Reaktion auf Zwischenfälle sollten gehören:

• Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
• Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
• Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
• Proaktive Lieferantenberichterstattung
• Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
• Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
• Integrierte Berichtsvorlagen für interne und externe Beteiligte
• Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
• Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten aufzudecken

Ziehen Sie auch die Nutzung von Datenbanken in Betracht, die mehrere Jahre lang Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthalten - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie der Echtzeit-Benachrichtigungen von Anbietern über Datenverletzungen.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Drittanbieters beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe von Experten.

GV.SC-09:Maßnahmen zur Sicherheit der Lieferkette sind in Cybersicherheits- und Unternehmensrisikomanagementprogramme integriert, und ihre Leistung wird während des gesamten Lebenszyklus der Technologieprodukte und -dienstleistungen überwacht.

SieheGV.SC-01undGV.SC-02.

IDENTIFIZIEREN (ID): Die aktuellen Cybersicherheitsrisiken der Organisation werden verstanden.

Asset Management (ID.AM):Vermögenswerte (z. B. Daten, Hardware, Software, Systeme, Einrichtungen, Dienstleistungen, Mitarbeiter), die es der Organisation ermöglichen, ihre Geschäftsziele zu erreichen, werden entsprechend ihrer relativen Bedeutung für die Organisationsziele und die Risikostrategie der Organisation identifiziert und verwaltet.

ID.AM-03:Darstellungen der autorisierten Netzwerkkommunikation der Organisation sowie der internen und externen Netzwerkdatenflüsse werden gepflegt.

Um diese Unterkategorie anzugehen, hilft Prevalent dabei, Subunternehmerbeziehungender vierten und N-ten Parteiin Ihrem Lieferanten-Ökosystem zu identifizieren. Die Lösung umfasst eine fragebogengestützte Bewertung Ihrer Lieferanten und ein passives Scannen der öffentlich zugänglichen Infrastruktur des Lieferanten. Die daraus resultierende Beziehungskarte zeigt erweiterte Abhängigkeiten und Informationsflüsse auf, die Ihr Unternehmen einem Risiko aussetzen könnten.

ID.AM-04:Bestandsaufnahmen der von Lieferanten erbrachten Dienstleistungen werden geführt.

Mit Prevalent können Sie einzentrales Dienstleisterverzeichnisaufbauen, indem Sie Anbieter über eine Tabellenvorlage oder über eine API-Verbindung zu einer bestehenden Beschaffungslösung importieren. Teams im gesamten Unternehmen können wichtige Lieferantendaten mit einem zentralen und anpassbaren Erfassungsformular und zugehörigen Workflow-Aufgaben ausfüllen. Diese Funktion steht allen per E-Mail-Einladung zur Verfügung, ohne dass eine Schulung oder Lösungskompetenz erforderlich ist.

ID.AM-05:Vermögenswerte werden nach Klassifizierung, Kritikalität, Ressourcen und Auswirkungen auf die Mission priorisiert.

SieheGV.SC-04.

ID.AM-08:Systeme, Hardware, Software, Dienste und Daten werden während ihres gesamten Lebenszyklus verwaltet.

Um diese Kategorie anzugehen, ermöglicht Ihnen Prevalent Folgendes:

• Bewerten und überwachen Sie kontinuierlich die potenziellen Risiken, die der Dienstleister in Ihre Umgebung einbringt, und geben Sie Empfehlungen zur Minderung der Auswirkungen dieser Risiken.
• Überwachen Sie Servicelevels,Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs), um die Einhaltung vertraglicher Vereinbarungen sicherzustellen.
• Sichere Auslagerung von Dienstleistern, um die Daten- und Systemsicherheit nach Vertragsende zu gewährleisten

Risikobewertung (ID.RA):Das Cybersicherheitsrisiko für die Organisation, Vermögenswerte und Personen wird von der Organisation verstanden.

ID.RA-02:Informationen zu Cyber-Bedrohungen werden aus Foren und Quellen zum Informationsaustausch bezogen.

ID.RA-03:Interne und externe Bedrohungen für die Organisation werden identifiziert und dokumentiert.

ID.RA-04:Mögliche Auswirkungen und Wahrscheinlichkeiten von Bedrohungen, die Schwachstellen ausnutzen, werden identifiziert und erfasst.

ID.RA-05:Bedrohungen, Schwachstellen, Wahrscheinlichkeiten und Auswirkungen werden herangezogen, um inhärente Risiken zu verstehen und Prioritäten für die Risikoreaktion festzulegen.

ID.RA-06:Risikomaßnahmen werden aus den verfügbaren Optionen ausgewählt, priorisiert, geplant, nachverfolgt und kommuniziert.

ID.RA-07:Änderungen und Ausnahmen werden verwaltet, hinsichtlich ihrer Auswirkungen auf das Risiko bewertet, aufgezeichnet und nachverfolgt.

PrevalentVendor Threat Monitorverfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. In diesem Zusammenhang überwacht Prevalent das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Zu den Überwachungsquellen gehören:

• Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
• Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in aller Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen rationalisiert werden.

Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, wendet die Prevalent-Plattform eine Risikobewertung und Priorisierung gemäß einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell fasst Risiken in einer Matrix zusammen, sodass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen entsprechend priorisieren können.

Anschließend können Sie Verantwortliche zuweisen und Risiken und Abhilfemaßnahmen bis zu einem für das Unternehmen akzeptablen Grad verfolgen.

Siehe auchGV.SC-04.

D.RA-09:Die Authentizität und Integrität von Hardware und Software werden vor dem Erwerb und der Nutzung bewertet.

Im Rahmen des Due-Diligence-Prozesses können Sie Prevalent nutzen, um von Anbietern aktuelleSoftware-Stücklisten (SBOMs)für ihre Softwareprodukte zu verlangen. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme identifizieren, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken könnten. SBOMs werden wie alle anderen Dokumenttypen behandelt, und Sie können automatisierte Dokumentprofile anwenden, um nach wichtigen Details zu suchen, die für die Validierung von Softwarekomponenten von Bedeutung sind.

ID.RA-10: Kritische Lieferanten werden vor der Akquisition bewertet.

SieheGV.SC-06.

Verbesserung (ID.IM): Verbesserungen der organisatorischen Prozesse, Verfahren und Aktivitäten zum Cybersicherheitsrisikomanagement werden für alle CSF-Funktionen identifiziert.

ID.IM-02: Verbesserungen werden anhand von Sicherheitstests und -übungen ermittelt, einschließlich solcher, die in Abstimmung mit Lieferanten und relevanten Dritten durchgeführt werden.

ID.IM-04: Pläne für die Reaktion auf Vorfälle und andere Cybersicherheitspläne, die sich auf den Betrieb auswirken, werden erstellt, kommuniziert, gepflegt und verbessert.

SieheGV.SC-08.

DETECT (DE): Mögliche Cybersicherheitsangriffe und Kompromittierungen werden gefunden und analysiert.

Kontinuierliche Überwachung (DE.CM):Vermögenswerte werden überwacht, um Anomalien, Anzeichen für Kompromittierungen und andere potenziell nachteilige Ereignisse zu erkennen.

DE.CM-06: Die Aktivitäten und Dienstleistungen externer Dienstleister werden überwacht, um potenziell nachteilige Ereignisse zu erkennen.

Bitte sieheID.RA

RESPOND (RS): Es werden Maßnahmen hinsichtlich eines erkannten Cybersicherheitsvorfalls ergriffen.

Incident Management (RS.MA):Reaktionen auf erkannte Cybersicherheitsvorfälle werden verwaltet.

RS.MA-01:Der Notfallplan wird in Abstimmung mit den zuständigen Dritten umgesetzt, sobald ein Vorfall gemeldet wird.

SieheGV.SC-08.

Berichterstattung und Kommunikation bei Vorfällen (RS.CO):Die Reaktionsmaßnahmen werden gemäß den gesetzlichen Bestimmungen, Vorschriften oder Richtlinien mit internen und externen Stakeholdern koordiniert.

RS.CO-02:Interne und externe Stakeholder werden über Vorfälle informiert.

RS.CO-03:Informationen werden an bestimmte interne und externe Interessengruppen weitergegeben.

SieheGV.SC-08.

WIEDERHERSTELLUNG (RC): Von einem Cybersicherheitsvorfall betroffene Vermögenswerte und Betriebsabläufe werden wiederhergestellt.

Kommunikation zur Wiederherstellung nach einem Vorfall (RC.CO):Die Wiederherstellungsmaßnahmen werden mit internen und externen Parteien koordiniert.

RC.CO-03:Wiederherstellungsmaßnahmen und Fortschritte bei der Wiederherstellung der Betriebsfähigkeit werden an bestimmte interne und externe Stakeholder kommuniziert.

SieheGV.SC-08.