NIST Cybersecurity Framework (CSF) 2.0

GOVERN (GV): Die Strategie, Erwartungen und Richtlinien der Organisation für das Management von Cybersecurity-Risiken werden festgelegt, kommuniziert und überwacht.

Cybersecurity Supply Chain Risk Management (GV.SC): Cyber supply chain risk management processes are identified, established, managed, monitored, and improved by organizational stakeholders

Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt.

Suchen Sie nach Experten, die mit Ihrem Team zusammenarbeiten:

• Definition und Umsetzung von TPRM- und C-SCRM-Prozessen und -Lösungen
• Auswahl von Fragebögen und Rahmen für die Risikobewertung
• Optimierung Ihres Programms, um den gesamten Lebenszyklus des Risikos von Drittanbietern abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens

Als Teil dieses Prozesses sollten Sie definieren:

• Klare Rollen und Verantwortlichkeiten (z. B. RACI)
• Vorräte von Dritten
• Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
• Wichtige Risikoindikatoren (KRIs), wichtige Leistungsindikatoren (KPIs) und Servicelevels für die Reaktion auf Vorfälle

GV.SC-04: Lieferanten sind bekannt und werden nach Kritikalität priorisiert

Zentralisieren Sie Ihr Inventar von Drittanbietern in einer Softwarelösung. Quantifizieren Sie dann die inhärenten Risiken für alle Drittanbieter. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Drittanbietern verwendet werden, sollten gehören:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

GV.SC-05: Anforderungen zur Bewältigung von Cybersicherheitsrisiken in Lieferketten werden festgelegt, priorisiert und in Verträge und andere Arten von Vereinbarungen mit Lieferanten und anderen relevanten Dritten integriert

Zentralisieren Sie die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass die wichtigsten Klauseln durchgesetzt werden. Die wichtigsten Funktionen sollten umfassen:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden.

GV.SC-06: Planung und Due-Diligence-Prüfung werden durchgeführt, um Risiken zu reduzieren, bevor formelle Beziehungen zu Lieferanten oder anderen Dritten eingegangen werden

Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Angebotsanfragen (RFPs) und Informationsanfragen (RFIs ) in einer einzigen Lösung, die den Vergleich von Schlüsselattributen ermöglicht.

Da alle Dienstanbieter zentralisiert und überprüft werden, sollten die Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, jüngste Geschäfts- und Reputationseinblicke, Datenverletzungen und die jüngste finanzielle Leistung enthalten.

This level of due diligence creates greater context for making vendor selection decisions.

GV.SC-07: Die Risiken, die von einem Lieferanten, seinen Produkten und Dienstleistungen sowie von anderen Dritten ausgehen, werden verstanden, aufgezeichnet, nach Prioritäten geordnet, bewertet, beantwortet und im Laufe der Geschäftsbeziehung überwacht.

Achten Sie auf Lösungen, die eine umfangreiche Bibliothek mit vorgefertigten Vorlagen für Risikobewertungen von Dritten enthalten. Die Bewertungen sollten zum Zeitpunkt des Onboardings, der Vertragserneuerung oder in einem beliebigen Intervall (z. B. vierteljährlich oder jährlich) in Abhängigkeit von wesentlichen Änderungen durchgeführt werden.

Assessments should be managed centrally and backed by workflow, task management and automated evidence review capabilities to ensure that your team has visibility into third-party risks throughout the relationship lifecycle.

Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthält, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

Verfolgen und analysieren Sie im Rahmen dieses Prozesses kontinuierlich externe Bedrohungen für Dritte. Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren.

Achten Sie darauf, Betriebs-, Reputations- und Finanzdaten Dritter einzubeziehen, um den Cyber-Ergebnissen einen Kontext zu geben und die Auswirkungen von Vorfällen im Laufe der Zeit zu messen.

GV.SC-08: Relevante Lieferanten und andere Dritte werden in die Planung, Reaktion und Wiederherstellung von Vorfällen einbezogen

As part of your broader incident management strategy ensure that your third-party incident response program enables your team to rapidly identify, respond to, report on, and mitigate the impact of third-party vendor security incidents. Look for managed services where dedicated experts centrally manage your vendors; conduct proactive event risk assessments; score identified risks; correlate risks with continuous cyber monitoring intelligence; and issue remediation guidance. Managed services can greatly reduce the time required to identify vendors impacted by a cybersecurity incident and ensure that remediations are in place.

Zu den wichtigsten Funktionen eines Drittanbieters für die Reaktion auf Zwischenfälle sollten gehören:

• Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
• Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
• Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
• Proaktive Lieferantenberichterstattung
• Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
• Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
• Integrierte Berichtsvorlagen für interne und externe Beteiligte
• Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
• Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten aufzudecken

Ziehen Sie auch die Nutzung von Datenbanken in Betracht, die mehrere Jahre lang Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthalten - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie der Echtzeit-Benachrichtigungen von Anbietern über Datenverletzungen.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Drittanbieters beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe von Experten.

GV.SC-09: Supply chain security practices are integrated into cybersecurity and enterprise risk management programs, and their performance is monitored throughout the technology product and service life cycle

Please see GV.SC-01 and GV.SC-02.

IDENTIFY (ID): The organization’s current cybersecurity risks are understood

Asset Management (ID.AM): Assets (e.g., data, hardware software, systems, facilities, services, people) that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to organizational objectives and the organization’s risk strategy

ID.AM-03: Representations of the organization’s authorized network communication and internal and external network data flows are maintained

To address this Subcategory, Prevalent helps to identify fourth-party and Nth-party subcontracting relationships in your supplier ecosystem. The solution includes a questionnaire-based assessment of your suppliers and passive scanning of the supplier’s public-facing infrastructure. The resulting relationship map depicts extended dependencies and information flows that could expose your organization to risk.

ID.AM-04: Inventories of services provided by suppliers are maintained

Prevalent enables you to build a centralized service provider inventory by importing vendors via a spreadsheet template or through an API connection to an existing procurement solution. Teams throughout the enterprise can populate key supplier details with a centralized and customizable intake form and associated workflow tasks. This capability is available to everyone via email invitation, without requiring any training or solution expertise.

ID.AM-05: Assets are prioritized based on classification, criticality, resources, and impact on the mission

Please see GV.SC-04.

ID.AM-08: Systems, hardware, software, services, and data are managed throughout their life cycle

To address this Category, Prevalent enables you to:

• Continuously assess and monitor the potential risks the service provider introduces into your environment; and make recommendations to mitigate the impact of those risks
• Monitor service levels, key performance indicators (KPIs) and key risk indicators (KRIs) to ensure adherence to contractual agreements
• Securely offboard service providers to ensure data and system security post-contract termination

Risk Assessment (ID.RA): The cybersecurity risk to the organization, assets, and individuals is understood by the organization

ID.RA-02: Cyber threat intelligence is received from information sharing forums and sources

ID.RA-03: Internal and external threats to the organization are identified and recorded

ID.RA-04: Potential impacts and likelihoods of threats exploiting vulnerabilities are identified and recorded

ID.RA-05: Threats, vulnerabilities, likelihoods, and impacts are used to understand inherent risk and inform risk response prioritization

ID.RA-06: Risk responses are chosen from the available options, prioritized, planned, tracked, and communicated

ID.RA-07: Changes and exceptions are managed, assessed for risk impact, recorded, and tracked

Prevalent Vendor Threat Monitor continuously tracks and analyzes external threats to third parties. As part of this, Prevalent monitors the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions and financial information.

Zu den Überwachungsquellen gehören:

• Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
• Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in aller Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen rationalisiert werden.

Once all assessment and monitoring data is correlated into a central risk register, the Prevalent Platform applies risk scoring and prioritization according to a likelihood and impact model. This model frames risks into a matrix, so you can easily see the highest impact risks and can prioritize remediation efforts on those.

Then, you can assign owners and track risks and remediations to a level acceptable to the business.

Please also see GV.SC-04.

D.RA-09: The authenticity and integrity of hardware and software are assessed prior to acquisition and use

As part of the due diligence process, you can use Prevalent to require vendors to provide updated software bills of materials (SBOMs) for their software products. This will help you identify any potential vulnerabilities or licensing issues that may impact your organization’s security and compliance. SBOMs are treated as any other document type, and you can apply automated document profiles to search for extract key details important to validating software components.

ID.RA-10: Critical suppliers are assessed prior to acquisition

Please see GV.SC-06.

Improvement (ID.IM): Improvements to organizational cybersecurity risk management processes, procedures and activities are identified across all CSF Functions

ID.IM-02: Improvements are identified from security tests and exercises, including those done in coordination with suppliers and relevant third parties

ID.IM-04: Incident response plans and other cybersecurity plans that affect operations are established, communicated, maintained, and improved

Please see GV.SC-08.

DETECT (DE): Possible cybersecurity attacks and compromises are found and analyzed

Continuous Monitoring (DE.CM): Assets are monitored to find anomalies, indicators of compromise, and other potentially adverse events

DE.CM-06: External service provider activities and services are monitored to find potentially adverse events

Please see ID.RA

RESPOND (RS): Actions regarding a detected cybersecurity incident are taken

Incident Management (RS.MA): Responses to detected cybersecurity incidents are managed

RS.MA-01: The incident response plan is executed in coordination with relevant third parties once an incident is declared

Please see GV.SC-08.

Incident Response Reporting and Communication (RS.CO): Response activities are coordinated with internal and external stakeholders as required by laws, regulations, or policies

RS.CO-02: Internal and external stakeholders are notified of incidents

RS.CO-03: Information is shared with designated internal and external stakeholders

Please see GV.SC-08.

RECOVER (RC): Assets and operations affected by a cybersecurity incident are restored

Incident Recovery Communication (RC.CO): Restoration activities are coordinated with internal and external parties

RC.CO-03: Recovery activities and progress in restoring operational capabilities are communicated to designated internal and external stakeholders

Please see GV.SC-08.