Centro para la Seguridad en Internet (CIS) Cumplimiento de los controles críticos de seguridad

Los controles del SIC y la gestión de riesgos de terceros

Los controles críticos de seguridad del Center for Internet Security® (CIS) son un conjunto de 18 controles recomendados y 153 subcontroles (también conocidos como "salvaguardas") diseñados para ayudar a los equipos de seguridad informática a reducir el impacto de los incidentes de ciberseguridad.

Los 18 controles del SIC y las 153 salvaguardias se clasifican por orden de prioridad en tres grupos de aplicación (GI):

IG1 incluye salvaguardias consideradas "ciberhigiene esencial" por el CIS y "deben poder aplicarse con conocimientos limitados de ciberseguridad y estar destinadas a frustrar ataques generales no selectivos".
IG2 incluye salvaguardias destinadas a los equipos que se enfrentan a una mayor complejidad operativa
IG3 incluye salvaguardias para hacer frente a ciberataques sofisticados

CIS clasifica cada Salvaguardia por función de seguridad NIST para simplificar la correspondencia cruzada con cada función básica NIST: Identificar, Detectar, Proteger, Responder y Recuperar.

Hay dos controles principales relacionados con la gestión de riesgos de terceros (TPRM) - Control 15: Gestión de proveedores de servicios y Control 17: Gestión de respuesta a incidentes. La plataforma TPRM de Prevalent permite agilizar y simplificar la implementación de las salvaguardas para cada control.

Requisitos pertinentes

Desarrollar un proceso para evaluar a los proveedores de servicios que poseen datos confidenciales o son responsables de las plataformas o procesos informáticos críticos de una empresa, con el fin de garantizar que dichos proveedores protegen adecuadamente las plataformas y los datos.
Establecer un programa para desarrollar y mantener una capacidad de respuesta ante incidentes (por ejemplo, políticas, planes, procedimientos, funciones definidas, formación y comunicaciones) para preparar, detectar y responder rápidamente a un ataque.

Control CIS 15: Gestión de proveedores de servicios

Visión general del control 15: "Desarrollar un proceso para evaluar a los proveedores de servicios que poseen datos sensibles, o son responsables de las plataformas o procesos críticos de TI de una empresa, para garantizar que estos proveedores protegen adecuadamente dichas plataformas y datos."

Salvaguardar	Cómo ayudamos
15.1 Establecer y mantener un inventario de proveedores de servicios Función de seguridad: Identificar GI1,2,3 "Establecer y mantener un inventario de proveedores de servicios. El inventario debe enumerar todos los proveedores de servicios conocidos, incluir la clasificación o clasificaciones y designar un contacto de la empresa para cada proveedor de servicios. Revise y actualice el inventario anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda."	Prevalent permite a las organizaciones crear un inventario centralizado de proveedores de servicios mediante la importación de proveedores a través de una plantilla de hoja de cálculo o mediante una conexión API a una solución de aprovisionamiento existente. Los equipos de toda la empresa pueden rellenar los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto está disponible para todo el mundo a través de una invitación por correo electrónico, sin necesidad de formación o experiencia en la solución. A medida que se centralizan todos los proveedores de servicios, los equipos pueden crear perfiles completos de proveedores que contengan información demográfica, tecnologías de 4ª parte, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violación de datos y rendimiento financiero reciente.
15.2 Establecer y mantener una política de gestión de proveedores de servicios Función de seguridad: Identificar GI2,3 "Establecer y mantener una política de gestión de proveedores de servicios. Asegúrese de que la política aborda la clasificación, el inventario, la evaluación, la supervisión y el desmantelamiento de los proveedores de servicios. Revise y actualice la política anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda".	Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real. Nuestros expertos colaboran con su equipo en la definición e implantación de procesos y soluciones de gestión de riesgos de terceros, la selección de cuestionarios y marcos de evaluación de riesgos y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la baja. Como parte de este proceso, Prevalent puede ayudarle a definir: Funciones y responsabilidades claras (por ejemplo, RACI) Inventarios de terceros Clasificación y categorización de proveedores Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización Metodologías de evaluación y supervisión basadas en la criticidad de terceros Cartografía de cuarta parte Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera) Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI) Políticas, normas, sistemas y procesos para proteger los datos Cumplimiento y presentación de informes contractuales sobre los niveles de servicio Requisitos de respuesta a incidentes Información sobre riesgos y partes interesadas internas Estrategias de mitigación y corrección de riesgos
15.3 Clasificar a los proveedores de servicios Función de seguridad: Identificar GI1,2,3 " Clasificar a los proveedores de servicios. La consideración de la clasificación puede incluir una o más características, como la sensibilidad de los datos, el volumen de datos, los requisitos de disponibilidad, la normativa aplicable, el riesgo inherente y el riesgo mitigado. Actualice y revise las clasificaciones anualmente, o cuando se produzcan cambios empresariales significativos que puedan afectar a esta Salvaguarda."	Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos inherentes para todos los terceros. Los criterios incluyen: Tipo de contenido necesario para validar los controles Importancia crítica para el rendimiento y las operaciones de la empresa Ubicación(es) y consideraciones legales o reglamentarias relacionadas Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración) Experiencia en procesos operativos o de cara al cliente Interacción con datos protegidos Situación económica y salud Reputación A partir de esta evaluación del riesgo inherente, su equipo puede clasificar y jerarquizar automáticamente a los proveedores, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso. La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.
15.4 Garantizar que los contratos con proveedores de servicios incluyan requisitos de seguridad Función de seguridad: Proteger IG1,2,3 "Garantizar que los contratos con los proveedores de servicios incluyan requisitos de seguridad. Algunos ejemplos de requisitos pueden ser los requisitos mínimos del programa de seguridad, la notificación y respuesta ante incidentes de seguridad y/o violación de datos, los requisitos de cifrado de datos y los compromisos de eliminación de datos. Estos requisitos de seguridad deben ser coherentes con la política de gestión de proveedores de servicios de la empresa. Revise anualmente los contratos con los proveedores de servicios para asegurarse de que no faltan requisitos de seguridad".	Prevalent centraliza la distribución, discusión, retención y revisión de los contratos con proveedores y ofrece funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja. Esto garantiza que los requisitos clave de seguridad se incorporen al contrato con el proveedor, se acuerden y se apliquen a lo largo de toda la relación con indicadores clave de rendimiento (KPI). Entre sus principales funciones figuran: Seguimiento centralizado de todos los contratos y atributos contractuales, como tipo, fechas clave, valor, recordatorios y estado, con vistas personalizadas basadas en funciones. Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos. Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos Debate centralizado sobre los contratos y seguimiento de los comentarios Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos. Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea. Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
15.5 Evaluar a los proveedores de servicios Función de seguridad: Identificar IG3 "Evaluar a los proveedores de servicios de acuerdo con la política de gestión de proveedores de servicios de la empresa. El alcance de la evaluación puede variar en función de la clasificación o clasificaciones, y puede incluir la revisión de informes de evaluación estandarizados, como el Control de la Organización de Servicios 2 (SOC 2) y la Certificación de Cumplimiento (AoC) de la Industria de Tarjetas de Pago (PCI), cuestionarios personalizados u otros procesos adecuadamente rigurosos. Reevalúe a los proveedores de servicios anualmente, como mínimo, o con los contratos nuevos y renovados".	Prevalent automatiza las evaluaciones de riesgos para ampliar la visibilidad, eficacia y escala de su programa de gestión de riesgos de terceros en cada etapa del ciclo de vida de terceros. Con una biblioteca de más de 750 evaluaciones estandarizadas -incluidas las de PCI-, funciones de personalización, y flujo de trabajo y corrección integrados, la solución lo automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la elaboración de informes. Con Prevalent, puede recopilar y correlacionar fácilmente inteligencia sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, en función de la criticidad del tercero según lo determinado por la evaluación de riesgos inherente. Los resultados de las evaluaciones y la supervisión continua se cotejan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones preparadas para terceros con el fin de mitigar los riesgos. En el caso de los terceros que presentan un informe SOC 2 en lugar de una evaluación de riesgos de proveedores completa, Prevalent revisa la lista de deficiencias de control identificadas en el informe SOC 2, crea elementos de riesgo contra el tercero dentro de la Plataforma, y realiza un seguimiento de las deficiencias y elabora informes al respecto.
15.6 Supervisar los datos de los proveedores de servicios Función de seguridad: Detectar IG3 "Supervisar a los proveedores de servicios de acuerdo con la política de gestión de proveedores de servicios de la empresa. La supervisión puede incluir la reevaluación periódica del cumplimiento del proveedor de servicios, la supervisión de las notas de publicación del proveedor de servicios y la supervisión de la web oscura."	Prevalent rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Las fuentes de seguimiento incluyen: Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas. Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Dado que no todas las amenazas son ciberataques directos, Prevalent también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos: 550.000 fuentes públicas y privadas de información sobre reputación, como fusiones y adquisiciones, noticias empresariales, noticias negativas, información reglamentaria y jurídica, actualizaciones operativas, etc. Una red mundial de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluidos volumen de negocio, pérdidas y ganancias, fondos de accionistas, etc. 30.000 fuentes de noticias de todo el mundo Una base de datos con más de 1,8 millones de perfiles de personas políticamente expuestas Listas mundiales de sanciones y más de 1.000 listas y expedientes judiciales de aplicación de la normativa mundial Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes y respuesta.
15.7 Dar de baja de forma segura los datos de los proveedores de servicios Función de seguridad: Proteger IG3 "Dar de baja de forma segura a los proveedores de servicios. Ejemplos de consideraciones incluyen la desactivación de cuentas de usuarios y servicios, la terminación de flujos de datos y la eliminación segura de datos empresariales dentro de los sistemas de los proveedores de servicios."	La plataforma Prevalent automatiza las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de exposición post-contractual de su organización. Programe tareas para revisar los contratos y asegurarse de que se han cumplido todas las obligaciones. Emita evaluaciones de contratos personalizables para valorar el estado. Aproveche las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc. Almacene y administre de forma centralizada documentos y certificaciones, como NDA, SLA, SOW y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural de AWS y los análisis de aprendizaje automático para confirmar que se cumplen los criterios clave. Adopte medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientaciones de corrección integradas. Visualice y aborde los requisitos de conformidad mediante la asignación automática de los resultados de la evaluación a cualquier normativa o marco.

Salvaguardar

Cómo ayudamos

15.1 Establecer y mantener un inventario de proveedores de servicios

Función de seguridad: Identificar
GI1,2,3

"Establecer y mantener un inventario de proveedores de servicios. El inventario debe enumerar todos los proveedores de servicios conocidos, incluir la clasificación o clasificaciones y designar un contacto de la empresa para cada proveedor de servicios. Revise y actualice el inventario anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda."

Prevalent permite a las organizaciones crear un inventario centralizado de proveedores de servicios mediante la importación de proveedores a través de una plantilla de hoja de cálculo o mediante una conexión API a una solución de aprovisionamiento existente. Los equipos de toda la empresa pueden rellenar los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto está disponible para todo el mundo a través de una invitación por correo electrónico, sin necesidad de formación o experiencia en la solución.

A medida que se centralizan todos los proveedores de servicios, los equipos pueden crear perfiles completos de proveedores que contengan información demográfica, tecnologías de 4ª parte, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violación de datos y rendimiento financiero reciente.

15.2 Establecer y mantener una política de gestión de proveedores de servicios

Función de seguridad: Identificar
GI2,3

"Establecer y mantener una política de gestión de proveedores de servicios. Asegúrese de que la política aborda la clasificación, el inventario, la evaluación, la supervisión y el desmantelamiento de los proveedores de servicios. Revise y actualice la política anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda".

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implantación de procesos y soluciones de gestión de riesgos de terceros, la selección de cuestionarios y marcos de evaluación de riesgos y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la baja.

Como parte de este proceso, Prevalent puede ayudarle a definir:

Funciones y responsabilidades claras (por ejemplo, RACI)
Inventarios de terceros
Clasificación y categorización de proveedores
Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
Metodologías de evaluación y supervisión basadas en la criticidad de terceros
Cartografía de cuarta parte
Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera)
Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
Políticas, normas, sistemas y procesos para proteger los datos
Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
Requisitos de respuesta a incidentes
Información sobre riesgos y partes interesadas internas
Estrategias de mitigación y corrección de riesgos

15.3 Clasificar a los proveedores de servicios

Función de seguridad: Identificar
GI1,2,3

" Clasificar a los proveedores de servicios. La consideración de la clasificación puede incluir una o más características, como la sensibilidad de los datos, el volumen de datos, los requisitos de disponibilidad, la normativa aplicable, el riesgo inherente y el riesgo mitigado. Actualice y revise las clasificaciones anualmente, o cuando se produzcan cambios empresariales significativos que puedan afectar a esta Salvaguarda."

Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos inherentes para todos los terceros. Los criterios incluyen:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones de la empresa
Ubicación(es) y consideraciones legales o reglamentarias relacionadas
Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
Experiencia en procesos operativos o de cara al cliente
Interacción con datos protegidos
Situación económica y salud
Reputación

A partir de esta evaluación del riesgo inherente, su equipo puede clasificar y jerarquizar automáticamente a los proveedores, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.
La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

15.4 Garantizar que los contratos con proveedores de servicios incluyan requisitos de seguridad

Función de seguridad: Proteger
IG1,2,3

"Garantizar que los contratos con los proveedores de servicios incluyan requisitos de seguridad. Algunos ejemplos de requisitos pueden ser los requisitos mínimos del programa de seguridad, la notificación y respuesta ante incidentes de seguridad y/o violación de datos, los requisitos de cifrado de datos y los compromisos de eliminación de datos. Estos requisitos de seguridad deben ser coherentes con la política de gestión de proveedores de servicios de la empresa. Revise anualmente los contratos con los proveedores de servicios para asegurarse de que no faltan requisitos de seguridad".

Prevalent centraliza la distribución, discusión, retención y revisión de los contratos con proveedores y ofrece funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja. Esto garantiza que los requisitos clave de seguridad se incorporen al contrato con el proveedor, se acuerden y se apliquen a lo largo de toda la relación con indicadores clave de rendimiento (KPI).

Entre sus principales funciones figuran:

Seguimiento centralizado de todos los contratos y atributos contractuales, como tipo, fechas clave, valor, recordatorios y estado, con vistas personalizadas basadas en funciones.
Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
Debate centralizado sobre los contratos y seguimiento de los comentarios
Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

15.5 Evaluar a los proveedores de servicios

Función de seguridad: Identificar
IG3

"Evaluar a los proveedores de servicios de acuerdo con la política de gestión de proveedores de servicios de la empresa. El alcance de la evaluación puede variar en función de la clasificación o clasificaciones, y puede incluir la revisión de informes de evaluación estandarizados, como el Control de la Organización de Servicios 2 (SOC 2) y la Certificación de Cumplimiento (AoC) de la Industria de Tarjetas de Pago (PCI), cuestionarios personalizados u otros procesos adecuadamente rigurosos. Reevalúe a los proveedores de servicios anualmente, como mínimo, o con los contratos nuevos y renovados".

Prevalent automatiza las evaluaciones de riesgos para ampliar la visibilidad, eficacia y escala de su programa de gestión de riesgos de terceros en cada etapa del ciclo de vida de terceros.

Con una biblioteca de más de 750 evaluaciones estandarizadas -incluidas las de PCI-, funciones de personalización, y flujo de trabajo y corrección integrados, la solución lo automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la elaboración de informes.

Con Prevalent, puede recopilar y correlacionar fácilmente inteligencia sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, en función de la criticidad del tercero según lo determinado por la evaluación de riesgos inherente.

Los resultados de las evaluaciones y la supervisión continua se cotejan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones preparadas para terceros con el fin de mitigar los riesgos.

En el caso de los terceros que presentan un informe SOC 2 en lugar de una evaluación de riesgos de proveedores completa, Prevalent revisa la lista de deficiencias de control identificadas en el informe SOC 2, crea elementos de riesgo contra el tercero dentro de la Plataforma, y realiza un seguimiento de las deficiencias y elabora informes al respecto.

15.6 Supervisar los datos de los proveedores de servicios

Función de seguridad: Detectar
IG3

"Supervisar a los proveedores de servicios de acuerdo con la política de gestión de proveedores de servicios de la empresa. La supervisión puede incluir la reevaluación periódica del cumplimiento del proveedor de servicios, la supervisión de las notas de publicación del proveedor de servicios y la supervisión de la web oscura."

Prevalent rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de seguimiento incluyen:

Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Dado que no todas las amenazas son ciberataques directos, Prevalent también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos:

550.000 fuentes públicas y privadas de información sobre reputación, como fusiones y adquisiciones, noticias empresariales, noticias negativas, información reglamentaria y jurídica, actualizaciones operativas, etc.
Una red mundial de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluidos volumen de negocio, pérdidas y ganancias, fondos de accionistas, etc.
30.000 fuentes de noticias de todo el mundo
Una base de datos con más de 1,8 millones de perfiles de personas políticamente expuestas
Listas mundiales de sanciones y más de 1.000 listas y expedientes judiciales de aplicación de la normativa mundial

Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes y respuesta.

15.7 Dar de baja de forma segura los datos de los proveedores de servicios

Función de seguridad: Proteger
IG3

"Dar de baja de forma segura a los proveedores de servicios. Ejemplos de consideraciones incluyen la desactivación de cuentas de usuarios y servicios, la terminación de flujos de datos y la eliminación segura de datos empresariales dentro de los sistemas de los proveedores de servicios."

La plataforma Prevalent automatiza las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de exposición post-contractual de su organización.

Programe tareas para revisar los contratos y asegurarse de que se han cumplido todas las obligaciones. Emita evaluaciones de contratos personalizables para valorar el estado.
Aproveche las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
Almacene y administre de forma centralizada documentos y certificaciones, como NDA, SLA, SOW y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural de AWS y los análisis de aprendizaje automático para confirmar que se cumplen los criterios clave.
Adopte medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientaciones de corrección integradas.
Visualice y aborde los requisitos de conformidad mediante la asignación automática de los resultados de la evaluación a cualquier normativa o marco.

Control CIS 15: Gestión de proveedores de servicios

Control 15 Visión general "Establecer un programa para desarrollar y mantener una capacidad de respuesta ante incidentes (por ejemplo, políticas, planes, procedimientos, funciones definidas, formación y comunicaciones) para preparar, detectar y responder rápidamente a un ataque."

Salvaguardar	Cómo ayudamos
17.1 Designar personal para gestionar la entrega de incidentes Función de seguridad: Responder IG1,2,3 "Designe a una persona clave, y al menos a una de reserva, que gestione el proceso de gestión de incidentes de la empresa. El personal de gestión es responsable de la coordinación y documentación de los esfuerzos de respuesta y recuperación de incidentes y puede estar formado por empleados internos de la empresa, proveedores externos o un enfoque híbrido. Si se recurre a un proveedor externo, designe al menos a una persona interna de la empresa para supervisar el trabajo de terceros. Revise anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda." 17.2 Establecer y mantener información de contacto para notificar incidentes de seguridad Función de seguridad: Responder IG1,2,3 " Establecer y mantener información de contacto para las partes que necesitan ser informadas de incidentes de seguridad. Los contactos pueden incluir personal interno, proveedores externos, fuerzas de seguridad, proveedores de ciberseguros, agencias gubernamentales pertinentes, socios del Centro de Análisis e Intercambio de Información (ISAC) u otras partes interesadas. Verifique los contactos anualmente para asegurarse de que la información está actualizada". 17.3 Establecer y mantener un proceso empresarial para notificar incidentes Función de seguridad: Responder IG1,2,3 "Establecer y mantener un proceso empresarial para que los trabajadores notifiquen los incidentes de seguridad. El proceso incluye el plazo de notificación, el personal al que se debe informar, el mecanismo de notificación y la información mínima que se debe notificar. Asegúrese de que el proceso está disponible públicamente para todos los trabajadores. Revíselo anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda". 17.4 Establecer y mantener un proceso de respuesta a incidentes Función de seguridad: Responder IG2,3 "Establecer y mantener un proceso de respuesta a incidentes que aborde las funciones y responsabilidades, los requisitos de cumplimiento y un plan de comunicación. Revíselo anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda". 17.5 Asignar funciones y responsabilidades clave Función de seguridad: Responder IG2,3 "Asigne funciones y responsabilidades clave para la respuesta a incidentes, incluido el personal jurídico, de TI, de seguridad de la información, de instalaciones, de relaciones públicas, de recursos humanos, de respuesta a incidentes y analistas, según proceda. Revisar anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda". 17.6 Definir mecanismos de comunicación durante la respuesta a incidentes Función de seguridad: Responder IG2,3 "Determine qué mecanismos primarios y secundarios se utilizarán para comunicar e informar durante un incidente de seguridad. Los mecanismos pueden incluir llamadas telefónicas, correos electrónicos o cartas. Tenga en cuenta que ciertos mecanismos, como el correo electrónico, pueden verse afectados durante un incidente de seguridad. Revise anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda."	Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de proveedores externos mediante la gestión centralizada de proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a la orientación para la corrección. Entre las funciones clave se incluyen: Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos. Informes proactivos sobre proveedores Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor. Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa. Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo Plantillas de informes integradas Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de la información y determinar los datos de riesgo. Al centralizar la respuesta a incidentes de terceros en un único sistema guiado por un único proceso de gestión de incidentes empresariales, los equipos de TI, seguridad, legal, privacidad y cumplimiento pueden trabajar al unísono para mitigar los riesgos.

Salvaguardar

Cómo ayudamos

17.1 Designar personal para gestionar la entrega de incidentes

Función de seguridad: Responder
IG1,2,3

"Designe a una persona clave, y al menos a una de reserva, que gestione el proceso de gestión de incidentes de la empresa. El personal de gestión es responsable de la coordinación y documentación de los esfuerzos de respuesta y recuperación de incidentes y puede estar formado por empleados internos de la empresa, proveedores externos o un enfoque híbrido. Si se recurre a un proveedor externo, designe al menos a una persona interna de la empresa para supervisar el trabajo de terceros. Revise anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda."

17.2 Establecer y mantener información de contacto para notificar incidentes de seguridad

Función de seguridad: Responder
IG1,2,3

" Establecer y mantener información de contacto para las partes que necesitan ser informadas de incidentes de seguridad. Los contactos pueden incluir personal interno, proveedores externos, fuerzas de seguridad, proveedores de ciberseguros, agencias gubernamentales pertinentes, socios del Centro de Análisis e Intercambio de Información (ISAC) u otras partes interesadas. Verifique los contactos anualmente para asegurarse de que la información está actualizada".

17.3 Establecer y mantener un proceso empresarial para notificar incidentes

Función de seguridad: Responder
IG1,2,3

"Establecer y mantener un proceso empresarial para que los trabajadores notifiquen los incidentes de seguridad. El proceso incluye el plazo de notificación, el personal al que se debe informar, el mecanismo de notificación y la información mínima que se debe notificar. Asegúrese de que el proceso está disponible públicamente para todos los trabajadores. Revíselo anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda".

17.4 Establecer y mantener un proceso de respuesta a incidentes

Función de seguridad: Responder
IG2,3

"Establecer y mantener un proceso de respuesta a incidentes que aborde las funciones y responsabilidades, los requisitos de cumplimiento y un plan de comunicación. Revíselo anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda".

17.5 Asignar funciones y responsabilidades clave

Función de seguridad: Responder
IG2,3

"Asigne funciones y responsabilidades clave para la respuesta a incidentes, incluido el personal jurídico, de TI, de seguridad de la información, de instalaciones, de relaciones públicas, de recursos humanos, de respuesta a incidentes y analistas, según proceda. Revisar anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda".

17.6 Definir mecanismos de comunicación durante la respuesta a incidentes

Función de seguridad: Responder
IG2,3

"Determine qué mecanismos primarios y secundarios se utilizarán para comunicar e informar durante un incidente de seguridad. Los mecanismos pueden incluir llamadas telefónicas, correos electrónicos o cartas. Tenga en cuenta que ciertos mecanismos, como el correo electrónico, pueden verse afectados durante un incidente de seguridad. Revise anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguarda."

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de proveedores externos mediante la gestión centralizada de proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a la orientación para la corrección. Entre las funciones clave se incluyen:

Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
Informes proactivos sobre proveedores
Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
Plantillas de informes integradas
Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de la información y determinar los datos de riesgo.

Al centralizar la respuesta a incidentes de terceros en un único sistema guiado por un único proceso de gestión de incidentes empresariales, los equipos de TI, seguridad, legal, privacidad y cumplimiento pueden trabajar al unísono para mitigar los riesgos.