Cómo utilizar NIST SP 800-53 para mejorar la gestión de riesgos de la cadena de suministro de terceros

La Publicación Especial del Instituto Nacional de Normas y Tecnología (NIST SP) 800-53 es un marco ampliamente adoptado que muchos profesionales de la seguridad consideran la base de todos los controles posteriores de seguridad de la información del NIST. Actualmente en su quinta revisión, NIST SP 800-53 se centra en los controles de seguridad y privacidad de los sistemas de información y las organizaciones, también aplicable a terceros vendedores y proveedores.

Con numerosas organizaciones que adoptan la norma SP 800-53 para sus programas de seguridad de la información, este artículo examina los controles de gestión de riesgos de la cadena de suministro del marco y las directrices de gestión de riesgos de terceros, e identifica las mejores prácticas que puede emplear para cumplir los requisitos del NIST para reforzar la seguridad de la información de terceros.

NIST y los riesgos de la cadena de suministro de terceros

Las directrices del NIST exigen que las organizaciones desarrollen un plan para gestionar los riesgos de la cadena de suministro mediante:

Utilizar planes y políticas formales de gestión de riesgos para impulsar el proceso de gestión de la cadena de suministro.
Hacer hincapié en la seguridad y la privacidad mediante la colaboración en la identificación de riesgos y amenazas, y mediante la aplicación de controles basados en la seguridad y la privacidad.
Exigir la transparencia de los sistemas y productos (por ejemplo, ciclo de vida, trazabilidad y autenticidad de los componentes).
Aumentar la concienciación sobre la necesidad de evaluar previamente las organizaciones y garantizar la visibilidad de los problemas y las infracciones.

NIST SP 800-53r5 Capacidades de mejores prácticas de controles específicos de la cadena de suministro

NOTA: Esta entrada sólo incluye controles seleccionados. Para obtener una lista completa de los controles, por favor revise la guía completa SP 800-53 en detalle y consulte a su auditor.

SP 800-53r5 Controles específicos de la cadena de suministro	Mejores prácticas
CA-2 (2) Evaluaciones de control \| Evaluaciones especializadas Las organizaciones pueden llevar a cabo evaluaciones especializadas, como verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios malintencionados y otras formas de pruebas. CA-2 (3) Evaluaciones de control \| Aprovechamiento de los resultados de organizaciones externas Las organizaciones pueden confiar en las evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas).	Busque soluciones que ofrezcan una amplia biblioteca de plantillas predefinidas para [evaluaciones de riesgos de terceros](/products/vendor-risk-assessment/), incluidas las creadas específicamente en torno a los controles del NIST. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia requerida (por ejemplo, trimestral o anualmente) en función de los cambios materiales en la relación. Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores. Como parte de este proceso, rastree y analice continuamente [amenazas externas a terceros](/products/vendor-risk-monitoring/). Supervise Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta. Asegúrese de incorporar datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo. Si es necesario, sustituya las evaluaciones de riesgos de un proveedor por auditorías de terceros [informes SOC 2](/blog/aicpa-soc-2-third-party-risk-management/). Revise la lista de deficiencias de control identificadas en el informe SOC 2, cree elementos de riesgo contra el tercero y realice un seguimiento e informe de las deficiencias a lo largo del tiempo.
CP-2 (7) Plan de Contingencia \| Coordinar con Proveedores de Servicios Externos Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para garantizar que puedan satisfacerse los requisitos de contingencia. IR-4 (10) Gestión de incidentes \| Coordinación de la cadena de suministro Coordinar las actividades de gestión de incidentes relacionados con la cadena de suministro con otras organizaciones implicadas en la cadena de suministro. IR-5 Supervisión de incidentes Seguimiento y documentación de incidentes. IR-6 (3) Notificación de incidentes \| Coordinación de la cadena de suministro Proporcionar información sobre el incidente al proveedor del producto o servicio y a otras organizaciones implicadas en la cadena de suministro o en la gobernanza de la cadena de suministro para sistemas o componentes de sistemas relacionados con el incidente. IR-8(1) Plan de respuesta a incidentes \| Infracciones Incluya lo siguiente en el Plan de Respuesta a Incidentes para violaciones que involucren información personal identificable: (a) Un proceso para determinar si es necesaria la notificación a particulares u otras organizaciones, incluidas las organizaciones de supervisión; (b) Un proceso de evaluación para determinar el alcance del perjuicio, la vergüenza, la inconveniencia o la injusticia para las personas afectadas y cualquier mecanismo para mitigar tales perjuicios; y (c) Identificación de los requisitos de privacidad aplicables.	Como parte de su [estrategia de gestión de incidentes] más amplia (/blog/third-party-incident-response-management/), asegúrese de que su programa de respuesta a incidentes de terceros permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los [incidentes de seguridad de proveedores externos] (/services/third-party-incident-response-service/). Busque servicios gestionados en los que expertos especializados gestionen de forma centralizada a sus proveedores, lleven a cabo evaluaciones proactivas de los riesgos de los eventos, puntúen los riesgos identificados, correlacionen los riesgos con la inteligencia de la cibervigilancia continua y emitan directrices de corrección en nombre de su organización. Los servicios gestionados pueden reducir en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar la aplicación de medidas correctoras. Entre las funciones clave del [Servicio de respuesta a incidentes de terceros](/services/third-party-incident-response-service/) se incluyen: * Cuestionarios de gestión de incidentes y eventos continuamente actualizados y personalizables. * Seguimiento en tiempo real del progreso en la cumplimentación de los cuestionarios * Propietarios de riesgos definidos con recordatorios de persecución automatizados para mantener las encuestas dentro del calendario. * Informes proactivos de proveedores * Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor. * Reglas de flujo de trabajo para activar programas automatizados que actúen sobre los riesgos en función de su impacto potencial en la empresa. * Plantillas de informes integradas para las partes interesadas internas y externas. * Guía de recomendaciones de corrección integradas para reducir el riesgo. * Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceras, cuartas o enésimas partes, con el fin de visualizar las rutas de la información y revelar los datos de riesgo. Asimismo, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de filtraciones de datos de proveedores en tiempo real.
PM-9 Estrategia de gestión de riesgos a. Desarrollar una estrategia global de gestión: 1. El riesgo de seguridad para las operaciones y activos de la organización, los individuos, otras organizaciones y la Nación asociado con la operación y uso de los sistemas de la organización; y 2. Riesgo para la intimidad de las personas derivado del tratamiento autorizado de información personal identificable; b. Aplicar la estrategia de gestión de riesgos de forma coherente en toda la organización; y c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos. PM-30 Estrategia de gestión de riesgos en la cadena de suministro a. Desarrollar una estrategia a nivel de toda la organización para gestionar los riesgos de la cadena de suministro asociados al desarrollo, adquisición, mantenimiento y eliminación de sistemas, componentes de sistemas y servicios de sistemas; b. Aplicar la estrategia de gestión de riesgos de la cadena de suministro de forma coherente en toda la organización; y c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con una frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.	Cree un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad de la información y gobernanza, gestión de riesgos empresariales y cumplimiento. Busque [expertos](/servicios/profesionales-servicios/) para que colaboren con su equipo en: * Definir y aplicar procesos y soluciones de GTRC y GCRC. * Selección de cuestionarios y marcos de evaluación de riesgos * Optimizar su programa para abordar todo el ciclo de vida del riesgo de terceros -desde la contratación y la diligencia debida hasta la rescisión y la salida- de acuerdo con el apetito de riesgo de su organización. Como parte de este proceso, debe definir: * Funciones y responsabilidades claras (por ejemplo, RACI) * Inventarios de terceros * Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización. Evalúe continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades empresariales cambiantes, midiendo los [indicadores clave de rendimiento (KPI) y los [indicadores clave de riesgo (KRI)] del proveedor externo (/content-library/25-kpis-and-kris-for-third-party-risk-management/) a lo largo del ciclo de vida de la relación.
PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro \| Proveedores de artículos críticos o de misión esencial Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para las misiones.	Comience por cuantificar los [riesgos inherentes](/casos-de-uso/valoración-del-riesgo-inherente-del-proveedor/) para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen: * Tipo de contenido necesario para validar los controles * Carácter crítico para el rendimiento y las operaciones de la empresa * Ubicación(es) y consideraciones legales o reglamentarias relacionadas. * Nivel de dependencia de terceros * Exposición a procesos operativos o de cara al cliente. * Interacción con datos protegidos * Situación financiera y salud * A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.
PM-31 Estrategia de vigilancia continua Desarrollar una estrategia de supervisión continua en toda la organización y aplicar programas de supervisión continua que incluyan: a. Establecimiento de métricas a nivel de toda la organización para su seguimiento; b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia del control; c. Supervisión continua de las métricas definidas por la organización de acuerdo con la estrategia de supervisión continua; d. Correlación y análisis de la información generada por las evaluaciones de control y la supervisión; e. Acciones de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y f. Informar del estado de seguridad y privacidad de los sistemas de la organización al personal definido.	Rastree y analice continuamente [amenazas externas a terceros](/products/vendor-risk-monitoring/). Como parte de esto, vigile Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Las fuentes de vigilancia suelen incluir: * Foros criminales; páginas cebolla; foros de acceso especial de la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas - así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades. * Bases de datos con varios años de historial de filtraciones de datos de miles de empresas de todo el mundo. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta. Una vez que todos los datos de evaluación y supervisión estén correlacionados en un registro central de riesgos, aplique una puntuación y una priorización de los riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección en ellos. Asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.
RA-1 Política y procedimientos Desarrollar, documentar y difundir: 1. Una política de evaluación de riesgos que: (a) Aborda la finalidad, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades de la organización y el cumplimiento; y (b) Es coherente con las leyes, decretos, directivas, reglamentos, políticas, normas y directrices aplicables; y 2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados; b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y c. Revisar y actualizar la evaluación de riesgos actual: 1. Política y 2. Procedimientos.	Véase PM-9* Estrategia de gestión de riesgos*
RA-2 (1) Categorización de la seguridad \| Priorización del nivel de impacto Llevar a cabo una priorización a nivel de impacto de los sistemas de la organización para obtener una mayor granularidad en los niveles de impacto del sistema.	Véase PM 30 (1)* Estrategia de gestión de riesgos en la cadena de suministro \| Proveedores de artículos críticos o de misión esencial*
RA-3 (1) Evaluación de riesgos \| Evaluación de riesgos en la cadena de suministro (a) Evaluar los riesgos de la cadena de suministro asociados a los sistemas, componentes y servicios; y (b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos de operación u otras condiciones puedan hacer necesario un cambio en la cadena de suministro.	Busque soluciones que ofrezcan una amplia biblioteca de plantillas predefinidas para [evaluaciones de riesgos de terceros](/products/vendor-risk-assessment/), incluidas las creadas específicamente en torno a los controles del NIST. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia requerida (por ejemplo, trimestral o anualmente) en función de los cambios materiales. Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por flujos de trabajo, gestión de tareas y capacidades automatizadas de revisión de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.
RA-3 (2) Evaluación de Riesgos \| Uso de Inteligencia de Todas las Fuentes Utilizar todas las fuentes de inteligencia para ayudar en el análisis de riesgos. RA-3 (3) Evaluación de riesgos \| Conocimiento dinámico de las amenazas Determinar de forma continua el entorno actual de las ciberamenazas. RA-3 (4) Evaluación de riesgos \| Ciberanálisis predictivo Emplee funciones avanzadas de automatización y análisis para predecir e identificar riesgos. RA-7 Respuesta al riesgo Responder a las conclusiones de las evaluaciones, supervisiones y auditorías de seguridad y privacidad de acuerdo con la tolerancia al riesgo de la organización.	Rastree y analice continuamente [amenazas externas a terceros](/products/vendor-risk-monitoring/). Como parte de esto, vigile Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Las fuentes de control suelen incluir: * Foros de delincuentes, páginas cebolla, foros de acceso especial en la web oscura, fuentes de amenazas y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades. * Bases de datos con varios años de historial de filtraciones de datos de miles de empresas de todo el mundo. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta. Una vez que todos los datos de evaluación y supervisión estén correlacionados en un registro central de riesgos, aplique la puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, para que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección. Asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.
RA-9 Análisis de criticidad Identificar los componentes y funciones críticos del sistema realizando un análisis de criticidad en puntos de decisión definidos del ciclo de vida de desarrollo del sistema.	Véase PM 30 (1)* Estrategia de gestión de riesgos en la cadena de suministro \| Proveedores de artículos críticos o de misión esencial*
SR-1 Política y procedimientos Desarrollar, documentar y difundir: 1. Una política de gestión de riesgos en la cadena de suministro que: (a) Aborda la finalidad, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades de la organización y el cumplimiento; y (b) Es coherente con las leyes, decretos, directivas, reglamentos, políticas, normas y directrices aplicables; y 2. Procedimientos para facilitar la aplicación de la política de gestión de riesgos en la cadena de suministro y los controles asociados a la gestión de riesgos en la cadena de suministro; b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y c. Revisar y actualizar la actual gestión de riesgos de la cadena de suministro: 1. Política y 2. Procedimientos	Véase PM-9* Estrategia de gestión de riesgos*
SR-2 Plan de gestión de riesgos en la cadena de suministro a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas. b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a los cambios en las amenazas, la organización o el entorno; y c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.	Véase PM-9* Estrategia de gestión de riesgos*
SR-3 Controles y procesos de la cadena de suministro a. Establecer un proceso o procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro en coordinación con el personal de la cadena de suministro; b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro al sistema, componente del sistema o servicio del sistema y para limitar el daño o las consecuencias de los eventos relacionados con la cadena de suministro; y c. Documentar los procesos y controles de la cadena de suministro seleccionados y aplicados en el plan de gestión de riesgos de la cadena de suministro.	Véase PM-9* Estrategia de gestión de riesgos*
SR-4 (4) Procedencia \| Integridad de la cadena de suministro - Pedigrí Emplear controles y analizar para garantizar la integridad del sistema y sus componentes validando la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.	Como parte del proceso de diligencia debida, exija a los proveedores que proporcionen [listas de materiales de software (SBOM)](/blog/sbom-software-bill-of-materials/) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier vulnerabilidad potencial o problemas de licencia que puedan afectar a la seguridad y el cumplimiento de su organización.
SR-5 Estrategias, herramientas y métodos de adquisición Utilizar estrategias de adquisición, herramientas contractuales y métodos de contratación para proteger, identificar y mitigar los riesgos de la cadena de suministro.	Centralice y automatice la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) en una única solución que permite comparar atributos clave. A medida que se centralizan y revisan todos los proveedores de servicios, los equipos deben crear [perfiles completos de proveedores] (/content-library/risk-profiling-snapshot/) que contengan información demográfica de los proveedores, tecnologías de terceros, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violación de datos y rendimiento financiero reciente. Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones de [selección de proveedores](/products/rfp-rfi-management/)
SR-6 Evaluaciones y revisiones de proveedores Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados con los proveedores o contratistas y el sistema, componente del sistema o servicio del sistema que proporcionan.	Véase RA-3 (1)* Evaluación de riesgos \| Evaluación de riesgos en la cadena de suministro*
Acuerdos de notificación SR-8 Establecer acuerdos y procedimientos con las entidades implicadas en la cadena de suministro del sistema, componente o servicio del sistema para la notificación de los compromisos de la cadena de suministro y los resultados de las evaluaciones o auditorías.	Centralice la distribución, discusión, retención y revisión de [contratos con proveedores](/products/contract-lifecycle-management/) para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Entre las funciones clave se incluyen: * Seguimiento centralizado de todos los contratos y atributos contractuales, como tipo, fechas clave, valor, recordatorios y estado, con vistas personalizadas basadas en funciones. * Capacidades de flujo de trabajo (basadas en el usuario o el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos. * Recordatorios automáticos y avisos de vencimiento para agilizar la revisión de los contratos. * Seguimiento centralizado de discusiones y comentarios sobre contratos * Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos. * Seguimiento del control de versiones que permite editar contratos y documentos sin conexión. * Con esta capacidad, puede garantizar que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y que los acuerdos de nivel de servicio se controlan y gestionan en consecuencia.
SR-13 Inventario de proveedores a. Desarrollar, documentar y mantener un inventario de proveedores que: 1. Refleja de forma precisa y mínima los proveedores de primer nivel de la organización que pueden presentar un riesgo de ciberseguridad en la cadena de suministro; 2. Tiene el nivel de granularidad que se considera necesario para evaluar la criticidad y el riesgo de la cadena de suministro, el seguimiento y la elaboración de informes; 3. Documenta la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revisa y actualiza el inventario de proveedores. i. Identificación única del instrumento de contratación (es decir, contrato, tarea u orden de entrega); ii. Descripción de los productos y/o servicios suministrados; iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y iv. Nivel de criticidad asignado que se alinea con la criticidad del programa, proyecto y/o sistema (o componente del sistema). b. Revisar y actualizar el inventario de proveedores.	Centralice toda la información sobre los proveedores en un único perfil de proveedor para que todos los departamentos que se relacionan con ellos dispongan de la misma información, lo que mejora la visibilidad y la toma de decisiones. Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de aprovisionamiento existente, eliminando procesos manuales propensos a errores. Rellene los datos clave del proveedor con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto debería estar disponible para todos a través de una invitación por correo electrónico, sin necesidad de formación o experiencia en soluciones. Cree [perfiles exhaustivos de proveedores](/assets/documents/resources/Prevalent-Risk-Profiling-Snapshot-Data-Sheet.pdf) que comparen y supervisen los datos demográficos, la ubicación geográfica, las tecnologías de cuarta parte y la información operativa reciente de los proveedores. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica especialmente. Cómo ayuda Prevalent a cumplir las directrices de gestión de riesgos de la cadena de suministro NIST SP 800-53

SP 800-53r5 Controles específicos de la cadena de suministro

Mejores prácticas

CA-2 (2) Evaluaciones de control | Evaluaciones especializadas

Las organizaciones pueden llevar a cabo evaluaciones especializadas, como verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios malintencionados y otras formas de pruebas.

CA-2 (3) Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas

Las organizaciones pueden confiar en las evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas).

Busque soluciones que ofrezcan una amplia biblioteca de plantillas predefinidas para [evaluaciones de riesgos de terceros](/products/vendor-risk-assessment/), incluidas las creadas específicamente en torno a los controles del NIST. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia requerida (por ejemplo, trimestral o anualmente) en función de los cambios materiales en la relación.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.

Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, rastree y analice continuamente [amenazas externas a terceros](/products/vendor-risk-monitoring/). Supervise Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.

Asegúrese de incorporar datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

Si es necesario, sustituya las evaluaciones de riesgos de un proveedor por auditorías de terceros [informes SOC 2](/blog/aicpa-soc-2-third-party-risk-management/). Revise la lista de deficiencias de control identificadas en el informe SOC 2, cree elementos de riesgo contra el tercero y realice un seguimiento e informe de las deficiencias a lo largo del tiempo.

CP-2 (7) Plan de Contingencia | Coordinar con Proveedores de Servicios Externos

Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para garantizar que puedan satisfacerse los requisitos de contingencia.

IR-4 (10) Gestión de incidentes | Coordinación de la cadena de suministro

Coordinar las actividades de gestión de incidentes relacionados con la cadena de suministro con otras organizaciones implicadas en la cadena de suministro.

IR-5 Supervisión de incidentes

Seguimiento y documentación de incidentes.

IR-6 (3) Notificación de incidentes | Coordinación de la cadena de suministro

Proporcionar información sobre el incidente al proveedor del producto o servicio y a otras organizaciones implicadas en la cadena de suministro o en la gobernanza de la cadena de suministro para sistemas o componentes de sistemas relacionados con el incidente.

IR-8(1) Plan de respuesta a incidentes | Infracciones

Incluya lo siguiente en el Plan de Respuesta a Incidentes para violaciones que involucren información personal identificable:

(a) Un proceso para determinar si es necesaria la notificación a particulares u otras organizaciones, incluidas las organizaciones de supervisión;

(b) Un proceso de evaluación para determinar el alcance del perjuicio, la vergüenza, la inconveniencia o la injusticia para las personas afectadas y cualquier mecanismo para mitigar tales perjuicios; y

(c) Identificación de los requisitos de privacidad aplicables.

Como parte de su [estrategia de gestión de incidentes] más amplia (/blog/third-party-incident-response-management/), asegúrese de que su programa de respuesta a incidentes de terceros permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los [incidentes de seguridad de proveedores externos] (/services/third-party-incident-response-service/). Busque servicios gestionados en los que expertos especializados gestionen de forma centralizada a sus proveedores, lleven a cabo evaluaciones proactivas de los riesgos de los eventos, puntúen los riesgos identificados, correlacionen los riesgos con la inteligencia de la cibervigilancia continua y emitan directrices de corrección en nombre de su organización. Los servicios gestionados pueden reducir en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar la aplicación de medidas correctoras.

Entre las funciones clave del [Servicio de respuesta a incidentes de terceros](/services/third-party-incident-response-service/) se incluyen:
* Cuestionarios de gestión de incidentes y eventos continuamente actualizados y personalizables.
* Seguimiento en tiempo real del progreso en la cumplimentación de los cuestionarios
* Propietarios de riesgos definidos con recordatorios de persecución automatizados para mantener las encuestas dentro del calendario.
* Informes proactivos de proveedores
* Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
* Reglas de flujo de trabajo para activar programas automatizados que actúen sobre los riesgos en función de su impacto potencial en la empresa.
* Plantillas de informes integradas para las partes interesadas internas y externas.
* Guía de recomendaciones de corrección integradas para reducir el riesgo.
* Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceras, cuartas o enésimas partes, con el fin de visualizar las rutas de la información y revelar los datos de riesgo.

Asimismo, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de filtraciones de datos de proveedores en tiempo real.

PM-9 Estrategia de gestión de riesgos

a. Desarrollar una estrategia global de gestión:

1. El riesgo de seguridad para las operaciones y activos de la organización, los individuos, otras organizaciones y la Nación asociado con la operación y uso de los sistemas de la organización; y

2. Riesgo para la intimidad de las personas derivado del tratamiento autorizado de información personal identificable;

b. Aplicar la estrategia de gestión de riesgos de forma coherente en toda la organización; y

c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos.

PM-30 Estrategia de gestión de riesgos en la cadena de suministro

a. Desarrollar una estrategia a nivel de toda la organización para gestionar los riesgos de la cadena de suministro asociados al desarrollo, adquisición, mantenimiento y eliminación de sistemas, componentes de sistemas y servicios de sistemas;

b. Aplicar la estrategia de gestión de riesgos de la cadena de suministro de forma coherente en toda la organización; y

c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con una frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.

Cree un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad de la información y gobernanza, gestión de riesgos empresariales y cumplimiento.

Busque [expertos](/servicios/profesionales-servicios/) para que colaboren con su equipo en:
* Definir y aplicar procesos y soluciones de GTRC y GCRC.
* Selección de cuestionarios y marcos de evaluación de riesgos
* Optimizar su programa para abordar todo el ciclo de vida del riesgo de terceros -desde la contratación y la diligencia debida hasta la rescisión y la salida- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, debe definir:
* Funciones y responsabilidades claras (por ejemplo, RACI)
* Inventarios de terceros
* Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización.

Evalúe continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades empresariales cambiantes, midiendo los [indicadores clave de rendimiento (KPI) y los [indicadores clave de riesgo (KRI)] del proveedor externo (/content-library/25-kpis-and-kris-for-third-party-risk-management/) a lo largo del ciclo de vida de la relación.

PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o de misión esencial

Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para las misiones.

Comience por cuantificar los [riesgos inherentes](/casos-de-uso/valoración-del-riesgo-inherente-del-proveedor/) para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:
* Tipo de contenido necesario para validar los controles
* Carácter crítico para el rendimiento y las operaciones de la empresa
* Ubicación(es) y consideraciones legales o reglamentarias relacionadas.
* Nivel de dependencia de terceros
* Exposición a procesos operativos o de cara al cliente.
* Interacción con datos protegidos
* Situación financiera y salud
* A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

PM-31 Estrategia de vigilancia continua

Desarrollar una estrategia de supervisión continua en toda la organización y aplicar programas de supervisión continua que incluyan:

a. Establecimiento de métricas a nivel de toda la organización para su seguimiento;

b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia del control;

c. Supervisión continua de las métricas definidas por la organización de acuerdo con la estrategia de supervisión continua;

d. Correlación y análisis de la información generada por las evaluaciones de control y la supervisión;

e. Acciones de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y

f. Informar del estado de seguridad y privacidad de los sistemas de la organización al personal definido.

Rastree y analice continuamente [amenazas externas a terceros](/products/vendor-risk-monitoring/). Como parte de esto, vigile Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de vigilancia suelen incluir:
* Foros criminales; páginas cebolla; foros de acceso especial de la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas - así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
* Bases de datos con varios años de historial de filtraciones de datos de miles de empresas de todo el mundo.

Una vez que todos los datos de evaluación y supervisión estén correlacionados en un registro central de riesgos, aplique una puntuación y una priorización de los riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección en ellos.

Asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.

RA-1 Política y procedimientos

Desarrollar, documentar y difundir:

1. Una política de evaluación de riesgos que:

(a) Aborda la finalidad, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades de la organización y el cumplimiento; y

(b) Es coherente con las leyes, decretos, directivas, reglamentos, políticas, normas y directrices aplicables; y

2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados;

b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y

c. Revisar y actualizar la evaluación de riesgos actual:

1. Política y
2. Procedimientos.

Véase PM-9 Estrategia de gestión de riesgos

RA-2 (1) Categorización de la seguridad | Priorización del nivel de impacto

Llevar a cabo una priorización a nivel de impacto de los sistemas de la organización para obtener una mayor granularidad en los niveles de impacto del sistema.

Véase PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o de misión esencial

RA-3 (1) Evaluación de riesgos | Evaluación de riesgos en la cadena de suministro

(a) Evaluar los riesgos de la cadena de suministro asociados a los sistemas, componentes y servicios; y

(b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos de operación u otras condiciones puedan hacer necesario un cambio en la cadena de suministro.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por flujos de trabajo, gestión de tareas y capacidades automatizadas de revisión de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.

RA-3 (2) Evaluación de Riesgos | Uso de Inteligencia de Todas las Fuentes

Utilizar todas las fuentes de inteligencia para ayudar en el análisis de riesgos.

RA-3 (3) Evaluación de riesgos | Conocimiento dinámico de las amenazas

Determinar de forma continua el entorno actual de las ciberamenazas.

RA-3 (4) Evaluación de riesgos | Ciberanálisis predictivo

Emplee funciones avanzadas de automatización y análisis para predecir e identificar riesgos.

RA-7 Respuesta al riesgo

Responder a las conclusiones de las evaluaciones, supervisiones y auditorías de seguridad y privacidad de acuerdo con la tolerancia al riesgo de la organización.

Las fuentes de control suelen incluir:

* Foros de delincuentes, páginas cebolla, foros de acceso especial en la web oscura, fuentes de amenazas y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
* Bases de datos con varios años de historial de filtraciones de datos de miles de empresas de todo el mundo.

Una vez que todos los datos de evaluación y supervisión estén correlacionados en un registro central de riesgos, aplique la puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, para que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección.

Asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.

RA-9 Análisis de criticidad

Identificar los componentes y funciones críticos del sistema realizando un análisis de criticidad en puntos de decisión definidos del ciclo de vida de desarrollo del sistema.

Véase PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o de misión esencial

SR-1 Política y procedimientos

Desarrollar, documentar y difundir:

1. Una política de gestión de riesgos en la cadena de suministro que:

(a) Aborda la finalidad, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades de la organización y el cumplimiento; y

(b) Es coherente con las leyes, decretos, directivas, reglamentos, políticas, normas y directrices aplicables; y

2. Procedimientos para facilitar la aplicación de la política de gestión de riesgos en la cadena de suministro y los controles asociados a la gestión de riesgos en la cadena de suministro;

b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y

c. Revisar y actualizar la actual gestión de riesgos de la cadena de suministro:

1. Política y
2. Procedimientos

Véase PM-9 Estrategia de gestión de riesgos

SR-2 Plan de gestión de riesgos en la cadena de suministro

a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas.

b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a los cambios en las amenazas, la organización o el entorno; y

c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.

Véase PM-9 Estrategia de gestión de riesgos

SR-3 Controles y procesos de la cadena de suministro

a. Establecer un proceso o procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro en coordinación con el personal de la cadena de suministro;

b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro al sistema, componente del sistema o servicio del sistema y para limitar el daño o las consecuencias de los eventos relacionados con la cadena de suministro; y

c. Documentar los procesos y controles de la cadena de suministro seleccionados y aplicados en el plan de gestión de riesgos de la cadena de suministro.

Véase PM-9 Estrategia de gestión de riesgos

SR-4 (4) Procedencia | Integridad de la cadena de suministro - Pedigrí

Emplear controles y analizar para garantizar la integridad del sistema y sus componentes validando la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.

Como parte del proceso de diligencia debida, exija a los proveedores que proporcionen [listas de materiales de software (SBOM)](/blog/sbom-software-bill-of-materials/) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier vulnerabilidad potencial o problemas de licencia que puedan afectar a la seguridad y el cumplimiento de su organización.

SR-5 Estrategias, herramientas y métodos de adquisición

Utilizar estrategias de adquisición, herramientas contractuales y métodos de contratación para proteger, identificar y mitigar los riesgos de la cadena de suministro.

Centralice y automatice la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) en una única solución que permite comparar atributos clave.

A medida que se centralizan y revisan todos los proveedores de servicios, los equipos deben crear [perfiles completos de proveedores] (/content-library/risk-profiling-snapshot/) que contengan información demográfica de los proveedores, tecnologías de terceros, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violación de datos y rendimiento financiero reciente.

Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones de [selección de proveedores](/products/rfp-rfi-management/)

SR-6 Evaluaciones y revisiones de proveedores

Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados con los proveedores o contratistas y el sistema, componente del sistema o servicio del sistema que proporcionan.

Véase RA-3 (1) Evaluación de riesgos | Evaluación de riesgos en la cadena de suministro

Acuerdos de notificación SR-8

Establecer acuerdos y procedimientos con las entidades implicadas en la cadena de suministro del sistema, componente o servicio del sistema para la notificación de los compromisos de la cadena de suministro y los resultados de las evaluaciones o auditorías.

Centralice la distribución, discusión, retención y revisión de [contratos con proveedores](/products/contract-lifecycle-management/) para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Entre las funciones clave se incluyen:
* Seguimiento centralizado de todos los contratos y atributos contractuales, como tipo, fechas clave, valor, recordatorios y estado, con vistas personalizadas basadas en funciones.
* Capacidades de flujo de trabajo (basadas en el usuario o el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
* Recordatorios automáticos y avisos de vencimiento para agilizar la revisión de los contratos.
* Seguimiento centralizado de discusiones y comentarios sobre contratos
* Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
* Seguimiento del control de versiones que permite editar contratos y documentos sin conexión.
* Con esta capacidad, puede garantizar que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y que los acuerdos de nivel de servicio se controlan y gestionan en consecuencia.

SR-13 Inventario de proveedores

a. Desarrollar, documentar y mantener un inventario de proveedores que:

1. Refleja de forma precisa y mínima los proveedores de primer nivel de la organización que pueden presentar un riesgo de ciberseguridad en la cadena de suministro;

2. Tiene el nivel de granularidad que se considera necesario para evaluar la criticidad y el riesgo de la cadena de suministro, el seguimiento y la elaboración de informes;

3. Documenta la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revisa y actualiza el inventario de proveedores.

i. Identificación única del instrumento de contratación (es decir, contrato, tarea u orden de entrega);

ii. Descripción de los productos y/o servicios suministrados;

iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y

iv. Nivel de criticidad asignado que se alinea con la criticidad del programa, proyecto y/o sistema (o componente del sistema).

b. Revisar y actualizar el inventario de proveedores.

Centralice toda la información sobre los proveedores en un único perfil de proveedor para que todos los departamentos que se relacionan con ellos dispongan de la misma información, lo que mejora la visibilidad y la toma de decisiones.

Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de aprovisionamiento existente, eliminando procesos manuales propensos a errores.

Rellene los datos clave del proveedor con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto debería estar disponible para todos a través de una invitación por correo electrónico, sin necesidad de formación o experiencia en soluciones.

Cree [perfiles exhaustivos de proveedores](/assets/documents/resources/Prevalent-Risk-Profiling-Snapshot-Data-Sheet.pdf) que comparen y supervisen los datos demográficos, la ubicación geográfica, las tecnologías de cuarta parte y la información operativa reciente de los proveedores. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica especialmente.

Cómo ayuda Prevalent a cumplir las directrices de gestión de riesgos de la cadena de suministro NIST SP 800-53

Prevalent ofrece una plataforma central y automatizada para ampliar la gestión de riesgos de terceros y la gestión de riesgos de la cadena de suministro de ciberseguridad. Con Prevalent, su equipo puede:

Cree un programa de gestión de riesgos de terceros basado en las mejores prácticas, en consonancia con los programas más amplios de gestión de riesgos empresariales y de la cadena de suministro de ciberseguridad de su organización.
Aproveche la información consolidada sobre múltiples áreas de riesgo para automatizar los procesos de licitación y tomar decisiones más informadas sobre la diligencia debida de los proveedores.
Centralizar la distribución, el debate, la conservación y la revisión de los contratos con proveedores para garantizar que se incluyen, acuerdan y aplican los requisitos clave de seguridad con indicadores clave de rendimiento (KPI).
Crear un inventario único de proveedores y evaluar el riesgo inherente para elaborar perfiles, niveles y categorías de proveedores de servicios, y determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
Automatice las evaluaciones de riesgos y la corrección en todas las fases del ciclo de vida de terceros.
Seguimiento y análisis continuos de las amenazas externas a terceros mediante la vigilancia de Internet y la dark web en busca de ciberamenazas y vulnerabilidades.
Automatice las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de exposición de su organización tras la firma del contrato.
Identificar y mitigar rápidamente el impacto de los incidentes de seguridad y las violaciones de los proveedores de servicios mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a la orientación para la corrección.

Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir las directrices del NIST , solicite una demostración de la solución hoy mismo.

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Soluciones sectoriales

Cómo utilizar NIST SP 800-53 para mejorar la gestión de riesgos de la cadena de suministro de terceros

NIST y los riesgos de la cadena de suministro de terceros

NIST SP 800-53r5 Capacidades de mejores prácticas de controles específicos de la cadena de suministro

NOTA: Esta entrada sólo incluye controles seleccionados. Para obtener una lista completa de los controles, por favor revise la guía completa SP 800-53 en detalle y consulte a su auditor.

Cómo ayuda Prevalent a cumplir las directrices de gestión de riesgos de la cadena de suministro NIST SP 800-53