El Instituto Nacional de Estándares y Tecnología (NIST) 800-53 Rev. 5 es un conjunto completo de controles de seguridad basados en las mejores prácticas que muchas organizaciones utilizan como marco para sus programas de seguridad interna. La norma incluye más de 1000 controles diferentes organizados en familias de controles. Una gama tan amplia de controles disponibles puede resultar abrumadora para los equipos de seguridad, gestión de riesgos y auditoría a la hora de determinar cuáles son los más importantes en los que centrarse. Cuando se es responsable de evaluar no solo los controles internos de la propia organización, sino también los de los proveedores y distribuidores externos, la tarea puede resultar aún más compleja.
En esta publicación, analizamos cómo organizar los controles en funciones y, a continuación, identificamos los 15 controles más esenciales del NIST para evaluar el riesgo de seguridad de los proveedores o vendedores externos.
Preguntas fundamentales para organizar los controles NIST 800-53 para la gestión de riesgos en la cadena de suministro
A la hora de determinar cuáles son los controles de ciberseguridad del NIST más aplicables a la gestión de riesgos de suministro, comience por responder a estas preguntas, clasificadas en una de las cinco funciones del marco del NIST:
- Identificar: ¿Ha identificado el proveedor sus sistemas y componentes críticos en el marco de la gestión de riesgos? Esta es la base para desarrollar un marco de ciberseguridad.
- Proteger: ¿Ha definido e implementado el proveedor controles para gestionar el acceso y la visibilidad de los sistemas críticos? Es esencial limitar o contener las amenazas mediante una gestión proactiva de los controles.
- Detectar: ¿Tiene el proveedor visibilidad sobre las amenazas nuevas y emergentes? Es importante identificar los eventos (por ejemplo, incidentes, debilidades y amenazas) que podrían afectar en última instancia a su organización.
- Respuesta: ¿Puede el proveedor identificar y gestionar incidentes y amenazas? Se trata de tomar medidas para contener y minimizar el impacto de los incidentes de ciberseguridad.
- Recuperación: ¿Tiene el proveedor la capacidad de recuperar sistemas y servicios críticos? Esta pregunta determina si el tercero puede restaurar las capacidades o servicios afectados por un incidente de ciberseguridad.
Los 15 controles principales del NIST para la gestión de riesgos en la cadena de suministro
La siguiente tabla resume los 15 controles clave del NIST que abordan las preguntas anteriores, por función. Tenga en cuenta que estos son solo los controles mínimos. Debe consultar a su auditor para su validación.
| Función | Control NIST 800-53 |
|---|---|
| Identificar ¿Ha identificado el proveedor sus sistemas y componentes críticos en el marco de la gestión de riesgos? | RA-3: Evaluación de riesgos – Realizar evaluaciones de riesgos, documentar los resultados y revisar y actualizar las evaluaciones con una frecuencia determinada. SA-4: Proceso de adquisición: identificar los controles de seguridad y privacidad dentro del proceso de adquisición de nuevos sistemas. CM-8: Inventario de componentes del sistema: desarrollar y documentar un inventario de componentes del sistema que refleje con precisión los sistemas. SR-2: Plan de gestión de riesgos: desarrollar un plan de gestión de riesgos de la cadena de suministro. |
| Proteger ¿Ha definido e implementado el proveedor controles para gestionar el acceso y la visibilidad de los sistemas críticos? | SC-7: Protección de límites – Supervisar y controlar las comunicaciones en las interfaces gestionadas externas e internas. IA-2: Identificación y autorización: identificar y autenticar de forma única a los usuarios; autorización aprobada para el acceso lógico. AT-2: Formación y concienciación: las organizaciones deben proporcionar formación sobre seguridad y privacidad a los usuarios del sistema. CM-3: Control de cambios: determinar y documentar los tipos de cambios en los sistemas, registrar los cambios, supervisarlos y revisarlos. AC-3: Aplicación del acceso: aplicar la autorización aprobada para el acceso lógico a la información y los recursos del sistema basándose en políticas de control de acceso. |
| Detectar ¿Tiene el proveedor visibilidad sobre las amenazas nuevas y emergentes? | RA-5: Supervisión y análisis de vulnerabilidades – Supervisar y analizar las vulnerabilidades de los sistemas y las aplicaciones alojadas. SI-4: Supervisión del sistema: los sistemas deben supervisarse para detectar ataques e indicadores de posibles ataques. AU-2: Registro de eventos: identificar los tipos de eventos que los sistemas son capaces de registrar. CP-2: Planificación de contingencias: las organizaciones deben probar el plan de contingencia para los sistemas utilizando pruebas definidas que garanticen la eficacia del plan. CP-4: Pruebas de contingencia: compruebe la eficacia del plan de contingencia para los sistemas mediante pruebas definidas. |
| Responder y recuperarse ¿Puede el proveedor identificar y gestionar incidentes y amenazas? ¿Tiene capacidad para recuperar sistemas y servicios críticos? | IR-4: Gestión y respuesta ante incidentes: las organizaciones deben implementar una capacidad de gestión de incidentes, alineada con un plan de respuesta ante incidentes. |
Cómo implementar los 15 controles principales del NIST para la gestión de riesgos en la cadena de suministro
La auditoría de controles del NIST no se limita a la simple identificación de controles. Para obtener más información sobre cómo poner en práctica estos controles del NIST, descargue nuestro informe ejecutivo, Los 15 controles principales del NIST para la gestión de riesgos en la cadena de suministro, y vea nuestro seminario web bajo demanda con el mismo nombre.
¿Listo para profundizar más? Consulte la lista de verificación de cumplimiento de terceros del NIST, que ofrece una visión completa de cómo las prácticas de gestión de riesgos de terceros se ajustan a las recomendaciones descritas en NIST 800-53, NIST 800-161 y NST CSF.
Póngase en contacto con Prevalent hoy mismo para obtener una evaluación gratuita de madurez o solicite una demostración en
para determinar cómo se comparan sus políticas actuales de SCRM con estos controles críticos del NIST.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
