El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia federal dependiente del Departamento de Comercio de los Estados Unidos cuyas responsabilidades incluyen el establecimiento de normas y directrices relacionadas con la tecnología informática y de la información para las agencias federales. Una de estas directrices del NIST es la Publicación Especial (SP) 800-161. Actualmente en su revisión 1, actualizada en 2022, la NIST SP 800-161 describe un marco complementario a la NIST SP 800-53 que permite enmarcar, evaluar, responder y supervisar los riesgos de la cadena de suministro en materia de ciberseguridad.
La norma SP 800-161 integra la gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en las actividades de gestión de riesgos mediante la aplicación de un enfoque multinivel específico para la C-SCRM. Ofrece orientación sobre el desarrollo de planes de implementación de estrategias de C-SCRM, políticas de C-SCRM, planes de C-SCRM y evaluaciones de riesgos para productos y servicios. Debido a su exhaustivo contenido, esta norma se ha convertido en un marco adoptado a nivel mundial para implementar y mantener controles de gestión de riesgos en la cadena de suministro.
Esta publicación examina los controles de gestión de riesgos de la cadena de suministro de ciberseguridad aplicables en la familia de controles de gestión de riesgos de la cadena de suministro (SR) SP 800-53r5, con orientación adicional del NIST SP 800-161r1. Identifica las capacidades de mejores prácticas que puede utilizar para cumplir los requisitos del NIST para una mayor seguridad de la cadena de suministro.
Controles de gestión de riesgos de la cadena de suministro de ciberseguridad del NIST
**NOTA:** *Esta publicación incluye solo algunos controles C-SCRM de la familia de controles de gestión de riesgos de la cadena de suministro (SR). Para obtener una lista completa de los controles, revise detalladamente la [guía completa SP 800-161](https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final) y consulte a su auditor.*
| Columna 1 | Columna 2 |
|---|---|
| SP 800-53r5 Controles específicos de la cadena de suministro y guía aplicable de gestión de riesgos de ciberseguridad SP 800-161r1 | Mejores prácticas |
| SR-1 Política y procedimientos
Desarrollar, documentar y difundir: Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Las funciones empresariales, entre las que se incluyen, entre otras, la seguridad de la información, los asuntos legales, la gestión de riesgos y las adquisiciones, deben revisar y aprobar el desarrollo de políticas y procedimientos de C-SCRM o proporcionar orientación a los propietarios de los sistemas para el desarrollo de procedimientos de C-SCRM específicos para cada sistema. SR-2 Plan de gestión de riesgos en la cadena de suministro a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas. Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Los planes C-SCRM describen las implementaciones, los requisitos, las restricciones y las implicaciones a nivel del sistema. ... Los planes C-SCRM deben elaborarse como un documento independiente y solo integrarse en los planes de seguridad del sistema existentes si las restricciones de la empresa así lo requieren. SR-3 Controles y procesos de la cadena de suministro a. Establecer uno o varios procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro, en coordinación con el personal de la cadena de suministro. Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: ... Los departamentos y organismos deben ... aplicar estas directrices de conformidad con el Decreto Ejecutivo 14028 sobre la mejora de la ciberseguridad nacional. |
Desarrolle un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro en materia de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.
Busque expertos para colaborar con su equipo en: Como parte de este proceso, debe definir: Evalúe continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades empresariales cambiantes, midiendo los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI ) de los proveedores externos a lo largo del ciclo de vida de la relación. |
| SR-4 (4) Procedencia | Integridad de la cadena de suministro - Pedigrí
Emplear controles y analizar para garantizar la integridad del sistema y sus componentes validando la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión. Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: La procedencia debe documentarse para los sistemas, los componentes del sistema y los datos asociados a lo largo del ciclo de vida del desarrollo de software (SDLC). Las empresas deben considerar la posibilidad de elaborar SBOM para las clases de software aplicables y adecuadas, incluyendo el software adquirido, el software de código abierto y el software interno... |
Como parte del proceso de diligencia debida, solicite a los proveedores que proporcionen listas de materiales de software (SBOM) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización. |
| SR-5 Estrategias, herramientas y métodos de adquisición
Utilizar estrategias de adquisición, herramientas contractuales y métodos de contratación para proteger, identificar y mitigar los riesgos de la cadena de suministro. Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: ... Los departamentos y organismos deben ... aplicar estas directrices de conformidad con el Decreto Ejecutivo 14028 sobre la mejora de la ciberseguridad nacional. |
Centralice y automatice la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) en una única solución que permite comparar atributos clave.
Dado que todos los proveedores de servicios se están centralizando y revisando, los equipos deben crear perfiles completos de los proveedores que contengan información sobre sus datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre su negocio y reputación, historial de violaciones de datos y resultados financieros recientes. Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones sobre la selección de proveedores. |
| SR-6 Evaluaciones y revisiones de proveedores
Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados con los proveedores o contratistas y el sistema, componente del sistema o servicio del sistema que proporcionan. Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: En general, una empresa debe tener en cuenta cualquier información pertinente para la seguridad, integridad, resiliencia, calidad, fiabilidad o autenticidad del proveedor o de los servicios o productos que ofrece. Las empresas deben considerar la aplicación de esta información en función de un conjunto coherente de factores básicos y criterios de evaluación para facilitar una comparación equitativa (entre proveedores y a lo largo del tiempo). Dependiendo del contexto específico y del propósito para el que se realice la evaluación, la empresa puede seleccionar factores adicionales. La calidad de la información (por ejemplo, su relevancia, integridad, exactitud, etc.) en la que se basa una evaluación también es una consideración importante. Las fuentes de referencia para la información de la evaluación también deben documentarse... |
Seguimiento y análisis continuos amenazas externas a terceros. Como parte de ello, supervisar Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones e información financiera.
Las fuentes de vigilancia suelen incluir: Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta. |
| Acuerdos de notificación SR-8
Establecer acuerdos y procedimientos con las entidades implicadas en la cadena de suministro del sistema, componente o servicio del sistema para la notificación de los compromisos de la cadena de suministro y los resultados de las evaluaciones o auditorías. Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Como mínimo, las empresas deben exigir a sus proveedores que establezcan acuerdos de notificación con las entidades de su cadena de suministro que tengan una función o responsabilidad relacionada con ese servicio o producto crítico... |
Centralice la distribución, discusión, retención y revisión de los contratos con proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave incluyen: * Seguimiento centralizado de todos los contratos y atributos de los mismos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en roles * Capacidades de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos * Recordatorios automatizados y avisos de vencimiento para agilizar las revisiones de los contratos * Seguimiento centralizado de las discusiones y comentarios sobre los contratos * Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos * Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión * Permisos basados en roles que permiten la asignación de tareas, el acceso a los contratos y el acceso de lectura/escritura/modificación. Con esta capacidad, puede garantizar que las responsabilidades claras y las cláusulas de derecho de auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia. |
| SR-13 Inventario de proveedores
Desarrollar, documentar y mantener un inventario de proveedores que: Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Las empresas dependen de numerosos proveedores para llevar a cabo sus misiones y funciones. Muchos proveedores ofrecen productos y servicios que respaldan múltiples misiones, funciones, programas, proyectos y sistemas. Algunos proveedores son más importantes que otros, en función de la importancia de las misiones, funciones, programas, proyectos y sistemas que respaldan sus productos y servicios, y del nivel de dependencia de la empresa respecto al proveedor. Las empresas deben utilizar el análisis de criticidad para ayudar a determinar qué productos y servicios son críticos para determinar la criticidad de los proveedores que se documentarán en el inventario de proveedores... |
Centralice toda la información sobre los proveedores en un único perfil de proveedor para que todos los departamentos que se relacionan con ellos dispongan de la misma información, lo que mejora la visibilidad y la toma de decisiones.
Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de aprovisionamiento existente, eliminando procesos manuales propensos a errores. Rellene los datos clave del proveedor con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto debería estar disponible para todos a través de una invitación por correo electrónico, sin necesidad de formación o experiencia en soluciones. Cree perfiles completos de proveedores que comparen y supervisen sus datos demográficos, ubicación geográfica, tecnologías de terceros y conocimientos operativos recientes. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica en particular. |
Cómo Prevalent ayuda a abordar las directrices de gestión de riesgos de la cadena de suministro de ciberseguridad NIST SP 800-161
Prevalent ofrece una plataforma central y automatizada para ampliar la gestión de riesgos de terceros y la gestión de riesgos de la cadena de suministro de ciberseguridad. Con Prevalent, su equipo puede:
- Cree un programa de gestión de riesgos de terceros basado en las mejores prácticas, en consonancia con los programas más amplios de gestión de riesgos empresariales y de la cadena de suministro de ciberseguridad de su organización.
- Aproveche la información consolidada sobre múltiples áreas de riesgo para automatizar los procesos de licitación y tomar decisiones más informadas sobre la diligencia debida de los proveedores.
- Centralizar la distribución, el debate, la conservación y la revisión de los contratos con proveedores para garantizar que se incluyen, acuerdan y aplican los requisitos clave de seguridad con indicadores clave de rendimiento (KPI).
- Crear un inventario único de proveedores y evaluar el riesgo inherente para elaborar perfiles, niveles y categorías de proveedores de servicios, y determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
- Automatice las evaluaciones de riesgos y la corrección en todas las fases del ciclo de vida de terceros.
- Seguimiento y análisis continuos de las amenazas externas a terceros mediante la vigilancia de Internet y la dark web en busca de ciberamenazas y vulnerabilidades.
Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir las directrices del NIST , solicite una demostración de la solución hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
