Los incidentes de seguridad en la cadena de suministro acaparan los titulares, con nuevas violaciones anunciadas cada día, ya sea una intrusión en el software, como SolarWinds u Okta, o un ataque a la cadena de suministro, como Toyota. Más recientemente, Microsoft anunció una intrusión relacionada con una clave comprometida que permitía el acceso ilícito a los datos de los clientes.
Ante la persistencia de los ataques de terceros, los equipos de seguridad se preguntan: ¿qué podría suceder a continuación?
NIST CSF y gestión de riesgos de terceros
Para muchas organizaciones, la respuesta es: es necesario poner en orden la gestión de riesgos de terceros (TPRM) aprovechando las mejores prácticas, las directrices y los puntos de referencia. A menudo, esas directrices provienen de marcos comunes de ciberseguridad, como el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST). Ahora que se ha finalizado la versión 2.0 del CSF del NIST, se producirán cambios significativos que afectarán a la forma en que se diseña e implementa el programa TPRM para hacer frente a estos riesgos.
En esta publicación, examinaré los cambios más impactantes en la gestión de riesgos de terceros (TPRM) y C-SCRM en el NIST CSF, revisaré sus funciones básicas y recomendaré las mejores prácticas para implementarlo como parte de su programa de gestión de riesgos de terceros.
3 actualizaciones importantes del TPRM en la versión 2.0 del NIST CSF
1. Nueva función de gobernanza
La introducción de la función «Gobernar» ilustra lo importante que es la gobernanza de la ciberseguridad para gestionar y reducir los riesgos de ciberseguridad en las cadenas de suministro. El contenido anterior sobre gobernanza que se encontraba en las otras funciones ( Identificar, Proteger, Detectar, Responder y Recuperar ) se ha trasladado a la función «Gobernar». Con los cambios propuestos, la gobernanza de la ciberseguridad incluye:
- Determinación de las prioridades y tolerancias al riesgo de la organización, los clientes y la sociedad.
- Evaluación de los riesgos y repercusiones en materia de ciberseguridad (incluidos los que afectan a terceros)
- Establecimiento de políticas y procedimientos de ciberseguridad.
- Comprender las funciones y responsabilidades en materia de ciberseguridad
Según el NIST, estas actividades son fundamentales para detectar, responder y recuperarse de eventos e incidentes relacionados con la ciberseguridad, así como para supervisar a los equipos que llevan a cabo actividades de ciberseguridad para la organización.
A medida que las organizaciones dependen cada vez más de terceros para obtener servicios y tecnologías esenciales, una gobernanza sólida se vuelve fundamental para gestionar estos riesgos de manera estructurada y coherente. La inclusión de la función de gobernanza en NIST CSF 2.0 respalda esta necesidad al alinear las prácticas de gestión de riesgos de terceros con marcos de gobernanza corporativa más amplios.
Características clave de la función de gobernanza para la gestión de riesgos de terceros:
Una función de gobernanza dedicada ayudará a alinear e integrar las actividades y los procesos de ciberseguridad de terceros en los equipos de gestión de riesgos de terceros, gestión de riesgos empresariales y equipos jurídicos. Algunos aspectos a tener en cuenta son:
Mayor responsabilidad y mejora en la toma de decisiones:
La función «Gobernar» de CSF 2.0 destaca la importancia de definir claramente las funciones y responsabilidades dentro de los programas de ciberseguridad, especialmente para gestionar los riesgos de terceros. Al establecer la rendición de cuentas, las organizaciones pueden integrar la gestión de riesgos de terceros en el marco general de gobernanza, evitando que se fragmente. Fomenta la asignación de responsabilidades para la evaluación de riesgos de los proveedores, la gestión de contratos y la supervisión continua del cumplimiento, lo que reduce las vulnerabilidades. Además, la función de gobernanza promueve procesos formales para evaluar los riesgos de terceros y tomar decisiones informadas sobre la selección y supervisión de proveedores, garantizando que estas elecciones se ajusten a la tolerancia al riesgo y a los objetivos de ciberseguridad de la organización.
Desarrollo y cumplimiento de políticas:
La función de gobernanza anima a las organizaciones a crear políticas que abarquen todos los aspectos de la gestión de riesgos de terceros, desde la selección de proveedores hasta la supervisión continua y la respuesta ante incidentes. Estas políticas garantizan que los proveedores cumplan los requisitos de seguridad, como el cumplimiento de normas específicas, la realización de auditorías o la implementación de controles de seguridad. Además, la función de gobernanza aborda el cumplimiento tanto de las políticas internas como de las normativas externas, lo que ayuda a las organizaciones a alinear la gestión de riesgos de terceros con normas del sector como HIPAA o FFIEC para garantizar el cumplimiento y evitar sanciones.
Supervisión de riesgos y mejora continua:
La gobernanza del NIST CSF 2.0 hace hincapié en la importancia de la supervisión y la mejora continuas en la gestión de riesgos de terceros. Esto también se destaca en la sección «Mejora» de la categoría «Identificar». La función «Gobernar» insta a las organizaciones a establecer procesos para revisar y actualizar periódicamente sus prácticas de gestión de riesgos de terceros. Esto permite a las organizaciones adaptar sus estrategias a medida que evolucionan el panorama de amenazas y las relaciones con terceros.
La mejora continua puede incluir la reevaluación de las medidas de seguridad de los proveedores, la realización de auditorías y la revisión de los informes de incidentes de terceros. También implica la actualización de los contratos y los acuerdos de nivel de servicio (SLA) para hacer frente a los nuevos riesgos de ciberseguridad o requisitos normativos. La incorporación de estas actividades en la gobernanza garantiza la supervisión continua y la mitigación de los riesgos de terceros.
2. Mayor importancia de los equipos jurídicos y de cumplimiento normativo
En consonancia con la incorporación de la función de gobernanza, CSF 2.0 hace hincapié en el papel de los equipos jurídicos y de cumplimiento normativo. En lo que respecta a la gestión del riesgo de terceros (TPRM), estos grupos requieren informes precisos y oportunos de los proveedores, vendedores y otras organizaciones externas que puedan tener acceso a datos, sistemas y aplicaciones confidenciales.
3. Orientación mejorada sobre los riesgos de la cadena de suministro
La actualización más impactante de CSF 2.0 para los equipos de TPRM es la orientación mejorada sobre la gestión de los riesgos de la cadena de suministro. CSF 2.0 incluye resultados adicionales sobre la gestión de riesgos de ciberseguridad en la cadena de suministro (C-SCRM) para ayudar a las organizaciones a abordar estos riesgos específicos. Según el CSF, «el objetivo principal de C-SCRM es ampliar las consideraciones adecuadas de gestión de riesgos de ciberseguridad de primera mano a terceros, cadenas de suministro y productos y servicios que adquiere una organización, basándose en la importancia de los proveedores y la evaluación de riesgos».
La categoría de gestión de riesgos de la cadena de suministro se ha ampliado a la nueva función de gobernanza. Incluye nuevas disposiciones que incorporan la ciberseguridad en los contratos, la rescisión de contratos y la evaluación continua de los riesgos de terceros en todo el entorno de la organización.
Próximos pasos: Descargar la lista de verificación completa del NIST CSF 2.0
Finalizada en febrero de 2024, la versión 2.0 puede ayudar a las organizaciones a incorporar mejor la TPRM y la C-SCRM integrales en sus operaciones, desde la gobernanza hasta la gestión de riesgos y la ciberseguridad. Al formalizar las estructuras de gobernanza en torno a las relaciones con terceros, garantizar la rendición de cuentas, desarrollar políticas sólidas y promover la supervisión continua, CSF 2.0 proporciona un marco integral para abordar los complejos riesgos que plantean los terceros.
Vea mi seminario web bajo demanda con Prevalent para obtener más información sobre cómo NIST CSF 2.0 incorpora TPRM y controles de gestión de riesgos de ciberseguridad en la cadena de suministro. También le invito a descargar la completa lista de verificación NIST CSF 2.0 desarrollada por Prevalent. En ella se examina en detalle la función de gobernanza y sus controles de gestión de riesgos en la cadena de suministro.
Para obtener más información sobre la solución TPRM predominante para NIST CSF 2.0, solicite una demostración hoy mismo.
La estructura del NIST CSF
El CSF se organiza en seis funciones básicas: gobernar, identificar, proteger, detectar, responder y recuperar. Las funciones básicas están orientadas a los resultados y el NIST no las considera una lista de acciones. Para ver una ilustración de las funciones básicas, consulte el gráfico siguiente.
Las seis funciones básicas del Marco de Ciberseguridad del NIST. Cortesía: NIST.
1. Gobernar
Govern, una nueva función introducida con la versión 2.0, es fundamental y está diseñada para informar cómo una organización logrará y priorizará los resultados de las otras cinco funciones en el contexto de su estrategia más amplia de gestión de riesgos empresariales. Incluye la supervisión de la estrategia de ciberseguridad, las funciones, las responsabilidades, las políticas, los procesos y los procedimientos, y centraliza la orientación sobre la gestión de riesgos de la cadena de suministro en materia de ciberseguridad.
2. Identificar
La función «Identificar» está diseñada para comprender los activos de una organización (por ejemplo, datos, hardware, software, sistemas, instalaciones, servicios y personas) y los riesgos de ciberseguridad relacionados.
3. Proteger
La función «Proteger» ofrece orientación específica para proteger los activos con el fin de reducir la probabilidad y el impacto de incidentes adversos relacionados con la ciberseguridad. Se incluyen aquí temas como la concienciación y la formación, la seguridad de los datos, la gestión de identidades, la autenticación y el control de acceso, la seguridad de las plataformas (es decir, la protección del hardware, el software y los servicios de las plataformas físicas y virtuales) y la resiliencia de la infraestructura tecnológica.
4. Detectar
La función Detectar está diseñada para permitir la detección y el análisis de anomalías, indicadores de compromiso y otros eventos de ciberseguridad potencialmente adversos.
5. Responder
La función «Responder» incluye directrices para contener el impacto de los incidentes de ciberseguridad, tales como la gestión de incidentes, el análisis, la mitigación, la notificación y la comunicación.
6. Recuperar
La función Recuperar incluye directrices para restablecer el funcionamiento normal con el fin de reducir el impacto de los incidentes de ciberseguridad.
Casi todas las funciones incluyen categorías y subcategorías que se aplican directamente a la gestión de riesgos de terceros y a la gestión de riesgos de la cadena de suministro en materia de ciberseguridad. Por ejemplo, la función «Identificar» se centra más en la identificación de activos y riesgos, incluidos los sistemas y servicios de terceros. Se anima a las organizaciones a realizar la debida diligencia con respecto a terceros para identificar vulnerabilidades y garantizar el cumplimiento de las normas de ciberseguridad. Las funciones «Proteger» y «Detectar» proporcionan directrices sobre la implementación de controles de seguridad para mitigar los riesgos de terceros, como la supervisión del acceso y la garantía del cumplimiento de las políticas de seguridad por parte de los proveedores.
La función de gobernanza: gestión exhaustiva de los riesgos de ciberseguridad en la cadena de suministro
Nota: Esta es solo una tabla resumen y no es una lista exhaustiva de las categorías del NIST. Para obtener una visión completa del NIST CSF, descargue la versión completa. Trabaje con su equipo de auditoría interna y con los auditores externos para determinar las categorías y subcategorías adecuadas en las que centrarse.
| Función, categoría y subcategoría | Buenas prácticas |
|---|---|
| GOBERNAR (GV): La estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización se establecen, se comunican y se supervisan | |
| Gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC): Los procesos de gestión de riesgos de la cadena de suministro cibernética son identificados, establecidos, gestionados, supervisados y mejorados por las partes interesadas de la organización. | |
| GV.SC-01: Las partes interesadas de la organización establecen y acuerdan un programa, una estrategia, unos objetivos, unas políticas y unos procesos de gestión de riesgos de la cadena de suministro en materia de ciberseguridad. GV.SC-02: Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades en materia de ciberseguridad de los proveedores, clientes y socios. GV.SC-03: La gestión de riesgos de la cadena de suministro en materia de ciberseguridad se integra en la gestión de riesgos empresariales y de ciberseguridad, la evaluación de riesgos y los procesos de mejora. | Cree un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad de la información y gobernanza, gestión de riesgos empresariales y cumplimiento. * Busque expertos para colaborar con su equipo en: Como parte de este proceso, debe definir: |
| GV.SC-04: Se conoce a los proveedores y se les prioriza según su importancia. | Centralice su inventario de terceros en una solución de software. A continuación, cuantifique riesgos inherentes para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros deben incluir: * Tipo de contenido necesario para validar los controles A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso. La lógica de clasificación basada en reglas debería permitir la categorización de proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación. |
| GV.SC-05: Se establecen y priorizan los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro, y se integran en los contratos y otros tipos de acuerdos con los proveedores y otras terceras partes relevantes. | Centralizar la distribución, discusión, retención y revisión de contratos con proveedores automatizar el ciclo de vida del contrato y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave deben incluir: * Seguimiento centralizado de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones. Con esta capacidad, puede asegurarse de que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y de que los SLA se controlan y gestionan en consecuencia. |
| GV.SC-06: Se llevan a cabo actividades de planificación y diligencia debida para reducir los riesgos antes de establecer relaciones formales con proveedores u otros terceros. | Centralice y automatice la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar los atributos clave. Dado que todos los proveedores de servicios se están centralizando y revisando, los equipos deben crear perfiles completos de los proveedores que contengan información sobre sus datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre su negocio y reputación, historial de violaciones de datos y resultados financieros recientes. Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones sobre la selección de proveedores. |
| GV.SC-07: Los riesgos que plantean un proveedor, sus productos y servicios, y otros terceros se comprenden, registran, priorizan, evalúan, responden y supervisan a lo largo de la relación. | Busque soluciones que incluyan una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de tercerosLas evaluaciones deben realizarse en el momento de la incorporación, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), en función de los cambios sustanciales que se produzcan. Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores. Como parte de este proceso, realice un seguimiento y análisis continuos de las amenazas externas a terceros. Supervise Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta. Asegúrese de incorporar datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo. |
| GV.SC-08: Los proveedores relevantes y otros terceros se incluyen en las actividades de planificación, respuesta y recuperación ante incidentes. | Como parte de su estrategia de gestión de incidentes Asegúrese de que su programa de respuesta a incidentes de terceros permita a su equipo identificar, responder, informar y mitigar rápidamente el impacto de terceros. incidentes de seguridad de proveedores. Busque servicios gestionados en los que expertos dedicados gestionen de forma centralizada a sus proveedores; realicen evaluaciones proactivas de los riesgos de los eventos; puntúen los riesgos identificados; correlacionen los riesgos con la inteligencia de supervisión cibernética continua; y emitan directrices de corrección. Los servicios gestionados pueden reducir en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad y garantizar que se apliquen las medidas correctivas. Las capacidades clave de un servicio de respuesta a incidentes de terceros deben incluir: * Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables Asimismo, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de filtraciones de datos de proveedores en tiempo real. Con esta información, su equipo puede comprender mejor el alcance y el impacto del incidente, qué datos se han visto afectados, si las operaciones de terceros se han visto afectadas y cuándo se han completado las medidas correctoras, todo ello gracias a la ayuda de expertos. |
| GV.SC-09: Las prácticas de seguridad de la cadena de suministro se integran en los programas de ciberseguridad y gestión de riesgos empresariales, y su rendimiento se supervisa a lo largo del ciclo de vida de los productos y servicios tecnológicos. | Consulte GV.SC-01 y GV.SC-02. |
| GV.SC-10: Los planes de gestión de riesgos de la cadena de suministro en materia de ciberseguridad incluyen disposiciones para las actividades que se llevan a cabo tras la conclusión de un acuerdo de colaboración o de prestación de servicios. | Basándose en las mejores prácticas recomendadas para GV.SC-05, automatizar las evaluaciones de contratos y despedida procedimientos para reducir el riesgo de exposición posterior al contrato de su organización. * Programar tareas para revisar los contratos y garantizar que se hayan cumplido todas las obligaciones |
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
