Cumplimiento de las normas ISO 27001, 27002 y 27036-2

ISO y gestión de riesgos de terceros

LaOrganización Internacional de Normalizacióny laComisión ElectrotécnicaInternacional(IEC)reúnen a expertos para compartir conocimientos y desarrollar normas internacionales voluntarias y consensuadas con el fin de resolver los retos globales. Las normas de ciberseguridad y privacidad de datos de la ISO y la IEC proporcionan una base sólida para evaluar los controles de seguridad de terceros y revelar posibles exposiciones en su cadena de suministro.

Las normas ISO 27001, 27002 y 27036-2 establecen los requisitos para crear, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información.

La norma ISO 27001proporciona un marco para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información.
La norma ISO 27002ofrece consejos complementarios sobre cómo implementar los controles de seguridad enumerados en el anexo A de la norma ISO 27001. La sección 15 resume los requisitos para tratar de forma segura con diversos tipos de terceros.
La norma ISO 27036-2especifica los requisitos fundamentales de seguridad de la información para definir, implementar, operar, supervisar, revisar, mantener y mejorar las relaciones con proveedores y adquirentes. Las cláusulas 6 y 7 definen los requisitos fundamentales y de alto nivel de seguridad de la información aplicables a la gestión de varias relaciones con proveedores en cualquier momento del ciclo de vida de dicha relación.

Requisitos pertinentes

Crear una política de seguridad de la información para las relaciones con los proveedores que describa las políticas y procedimientos y establezca controles para la gestión de riesgos.
Incluir requisitos contractuales para abordar los riesgos asociados con los servicios de tecnología de la información y las cadenas de suministro de productos.
Gestionar los cambios en los servicios de los proveedores y reevaluar los riesgos cuando sea necesario.

Establecer acuerdos contractuales con proveedores para cualquier tercero que pueda acceder, procesar, almacenar, comunicar o proporcionar infraestructura informática a los datos de una organización.
Supervisar, revisar y auditar la prestación de servicios de los proveedores.

Cumplimiento de las normas ISO 27001, 27002 y 27036-2 TPRM

Así es como Prevalent puede ayudarle a cumplir con las normas ISO de gestión de riesgos de terceros.

Controles ISO 27001

Cómo ayudamos

5 Controles organizativos

5.1 Políticas de seguridad de la información

«La política de seguridad de la información y las políticas específicas sobre determinados temas se definirán, aprobarán por la dirección, publicarán, comunicarán y reconocerán por el personal pertinente y las partes interesadas pertinentes, y se revisarán a intervalos planificados y si se producen cambios significativos».

5.2 Funciones y responsabilidades en materia de seguridad de la información

«Las funciones y responsabilidades en materia de seguridad de la información se definirán y asignarán de acuerdo con las necesidades de la organización».

Prevalent colabora con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad de la información, ciberseguridad y protección de la privacidad, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implantación de procesos y soluciones de GTRC; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde el abastecimiento y la diligencia debida, hasta la rescisión y la baja- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

Funciones y responsabilidades claras (por ejemplo, RACI)
Inventarios de terceros
Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
Metodologías de evaluación y supervisión basadas en la criticidad de terceros
Cartografía de cuarta parte
Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera)
Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
Políticas, normas, sistemas y procesos para proteger los datos
Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
Requisitos de respuesta a incidentes
Información sobre riesgos y partes interesadas internas
Estrategias de mitigación y corrección de riesgos

5.7 Inteligencia sobre amenazas

«La información relativa a las amenazas a la seguridad de la información se recopilará y

Prevalent rastrea y analiza continuamente las amenazas externas a terceros. La solución vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de seguimiento incluyen:

Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes y respuesta.

5.11 Devolución de activos

«El personal y otras partes interesadas, según corresponda, devolverán todos los activos de la organización que obren en su poder al cambiar o finalizar su empleo, contrato o acuerdo».

Cuando se requiere larescisión o salidade servicios críticos, Prevalent aprovecha encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más. La solución también sugiere acciones basadas en las respuestas a las evaluaciones de salida y deriva las tareas a los revisores según sea necesario.

5.19 Seguridad de la información en las relaciones con los proveedores

«Se definirán y aplicarán procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados al uso de los productos o servicios del proveedor».

Prevalent ofrece una biblioteca con más de 750 plantillas prediseñadas, incluidos cuestionarios ISO específicos, paraevaluar los riesgos de seguridad de la informaciónasociados a terceros.

Las evaluaciones se gestionan de forma centralizada en la plataforma Prevalent. Cuentan con el respaldo de funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para permitir la visibilidad de los riesgos de terceros a lo largo de toda la relación con el proveedor.

Es importante destacar que Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria.

Para las organizaciones con recursos y experiencia limitados, Prevalent puedegestionar el ciclo de vida del riesgo de terceros en su nombre, desde la incorporación de proveedores y la recopilación de pruebas hasta la orientación sobre medidas correctivas y la presentación de informes sobre los acuerdos de nivel de servicio (SLA) de los contratos. Como resultado, se reduce el riesgo de los proveedores y se simplifica el cumplimiento normativo sin sobrecargar al personal interno.

5.20 Abordar la seguridad de la información en los acuerdos con los proveedores

«Se establecerán y acordarán con cada proveedor los requisitos pertinentes en materia de seguridad de la información, en función del tipo de relación con el proveedor».

Prevalent centraliza la distribución, discusión, retención y revisión delos contratos con proveedores. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.

Entre sus principales funciones figuran:

Seguimiento centralizado de todos los contratos y atributos contractuales, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
Debate centralizado sobre los contratos y seguimiento de los comentarios
Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

5.21 Gestión de la seguridad de la información en la cadena de suministro de las tecnologías de la información y la comunicación (TIC)

«Se definirán y aplicarán procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados a la cadena de suministro de productos y servicios de TIC».

Prevalent estandariza las evaluaciones según las mejores prácticas de la ISO y otros marcos de control de la seguridad de la información, proporcionando a los equipos de auditoría interna y seguridad informática una plataforma central para medir y demostrar el cumplimiento de las prácticas de desarrollo de software seguro y del ciclo de vida del desarrollo de software (SDLC).

5.22 Supervisión, revisión y gestión de cambios de los servicios de los proveedores

«La organización supervisará, revisará, evaluará y gestionará periódicamente los cambios en las prácticas de seguridad de la información y la prestación de servicios de los proveedores».

Las fuentes de seguimiento incluyen:

Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

5.23 Seguridad de la información para el uso de servicios en la nube

«Los procesos para la adquisición, el uso, la gestión y la salida de los servicios en la nube se establecerán de acuerdo con los requisitos de seguridad de la información de la organización».

Prevalent estandariza las evaluaciones segúnSOC 2, Cyber Essentials, ISO y otros marcos de control de seguridad de la información, proporcionando evaluaciones de controles clave según los requisitos de los servicios en la nube.

Estas mismas evaluaciones también se utilizan para evaluar los controles de seguridad de la información al dar de baja los servicios en la nube.

5.24 Planificación y preparación para la gestión de incidentes de seguridad de la información

«La organización planificará y se preparará para gestionar los incidentes de seguridad de la información mediante la definición, el establecimiento y la comunicación de los procesos, funciones y responsabilidades de gestión de incidentes de seguridad de la información».

5.25 Evaluación y decisión sobre incidentes de seguridad de la información

«La organización evaluará los eventos relacionados con la seguridad de la información y decidirá si deben clasificarse como incidentes de seguridad de la información».

5.26 Respuesta a incidentes de seguridad de la información

«Los incidentes de seguridad de la información se responderán de acuerdo con los procedimientos documentados».

5.28 Recopilación de pruebas

«La organización establecerá y aplicará procedimientos para la identificación, recopilación, adquisición y conservación de pruebas relacionadas con incidentes de seguridad de la información».

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de proveedores externos mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a directrices de corrección.

Entre sus principales funciones figuran:

Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
Informes proactivos sobre proveedores
Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
Plantillas de informes integradas
Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de la información y determinar los datos de riesgo.

5.30 Preparación de las TIC para la continuidad del negocio

«La preparación en materia de TIC se planificará, implementará, mantendrá y pondrá a prueba basándose en los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC».

Prevalent automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad de las operaciones de terceros, al tiempo que asigna automáticamente los resultados a la norma ISO y otros marcos de control.

Para complementar las evaluaciones de resistencia empresarial y validar los resultados, Prevalent:

Automatiza la supervisión cibernética continua que puede predecir posibles impactos comerciales de terceros.
Accede a información cualitativa de más de 550.000 fuentes públicas y privadas de información sobre reputación que podría indicar inestabilidad en los proveedores.
Accede a la información financiera de una red mundial de 2 millones de empresas para identificar la salud financiera o los problemas operativos de los proveedores.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Prevalent incluye una evaluación completa de la resiliencia empresarial basada en las prácticas de la norma ISO 22301 que permite a las organizaciones:

Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
Centralizar el inventario de sistemas, las evaluaciones de riesgos, los cuadros RACI y las terceras partes.
Garantizar una comunicación coherente con los proveedores durante las interrupciones de la actividad.

5.31 Requisitos legales, reglamentarios, normativos y contractuales

«Se identificarán, documentarán y mantendrán actualizados los requisitos legales, reglamentarios, normativos y contractuales pertinentes para la seguridad de la información, así como el enfoque de la organización para cumplir dichos requisitos».

Prevalent centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.

Entre sus principales funciones figuran:

Seguimiento centralizado de todos los contratos y atributos contractuales, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
Debate centralizado sobre los contratos y seguimiento de los comentarios
Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

5.34 Privacidad y protección de la información de identificación personal (PII)

«La organización identificará y cumplirá los requisitos relativos a la preservación de la privacidad y la protección de la información de identificación personal (PII) de conformidad con las leyes y reglamentos aplicables y los requisitos contractuales».

Prevalent ofrece una plataforma centralizada y colaborativa para realizarevaluaciones de privacidady mitigar los riesgos de privacidad tanto internos como de terceros. Las principales funciones de evaluación de la seguridad y la privacidad de los datos incluyen:

Evaluaciones programadas y mapeo de relaciones para revelar dónde existen los datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
Evaluaciones del impacto sobre la privacidad para descubrir datos empresariales en riesgo e información de identificación personal (PII).
Evaluaciones de proveedores con respecto al RGPD y otras normativas de privacidad a través del Marco de Cumplimiento Prevalente (PCF): revela posibles puntos críticos mediante la asignación de los riesgos identificados a controles específicos.
Mapeo de riesgos y respuestas del RGPD a los controles. Incluye calificaciones de cumplimiento porcentual e informes específicos para las partes interesadas.
Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas, incluyendo tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.
Centralización de la incorporación, distribución, discusión, retención y revisión de los contratos con los proveedores: garantiza que las disposiciones de protección de datos se apliquen desde el inicio de la relación.

5.36 Cumplimiento de las políticas, normas y estándares de seguridad de la información.

«El cumplimiento de la política de seguridad de la información de la organización, las políticas específicas sobre determinados temas, las normas y los estándares se revisará periódicamente».

Con Prevalent, los auditores pueden establecer un programa para lograr y demostrar el cumplimiento de manera eficiente. La solución automatizala auditoría de cumplimiento de la gestión de riesgos de tercerosmediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos, la recomendación de medidas correctivas y la generación de informes para docenas de regulaciones gubernamentales y marcos industriales.

Prevalent asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS y otros marcos normativos, lo que le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes.

Controles ISO 27002

Cómo ayudamos

5.19 Seguridad de la información en las relaciones con los proveedores

«Se deben definir e implementar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados con el uso de los productos o servicios del proveedor».

5.19 a) «identificar y documentar los tipos de proveedores (por ejemplo, servicios de TIC, logística, servicios públicos, servicios financieros, componentes de infraestructura de TIC) que pueden afectar a la confidencialidad, integridad y disponibilidad de la información de la organización;».

5.19 e) «definir los tipos de componentes y servicios de infraestructura de TIC proporcionados por los proveedores que pueden afectar a la confidencialidad, integridad y disponibilidad de la información de la organización;»

5.19 b)«establecer cómo evaluar y seleccionar a los proveedores en función de la sensibilidad de la información, los productos y los servicios (por ejemplo, mediante análisis de mercado, referencias de clientes, revisión de documentos, evaluaciones in situ, certificaciones)».

Prevalent centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) como parte de las decisionesde selección de proveedores.

Prevalent traslada a cada proveedor seleccionado a las fases de contratación y/o incorporación de la diligencia debida, haciendo avanzar automáticamente al proveedor a través del ciclo de vida de terceros.

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas paraevaluaciones continuasde riesgos de terceros. Estas se integran con capacidades nativas de supervisión de riesgos cibernéticos, empresariales, reputacionales y financieros, que validan continuamente los resultados de las evaluaciones y cubren las lagunas entre ellas.

Las recomendaciones de corrección integradas garantizan que los terceros aborden los riesgos de manera oportuna y satisfactoria.

5.19 c)«evaluar y seleccionar los productos o servicios de los proveedores que cuenten con controles de seguridad de la información adecuados y revisarlos; en particular, la precisión y la exhaustividad de los controles implementados por el proveedor que garantizan la integridad de la información y el procesamiento de la información del proveedor y, por lo tanto, la seguridad de la información de la organización».

La instantánea de perfiles de riesgo prevalentes le permite comparar y supervisar datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y rendimiento financiero de posibles proveedores. Con la instantánea, puede ver los resultados en línea con las respuestas a las solicitudes de oferta para obtener una visión holística de los proveedores: su idoneidad para el propósito y su adecuación según el apetito de riesgo de su organización.

5.19 g)«supervisar el cumplimiento de los requisitos de seguridad de la información establecidos para cada tipo de proveedor y tipo de acceso, incluida la revisión por terceros y la validación de productos».

5.19 h)mitigar el incumplimiento de un proveedor, ya sea que se haya detectado mediante supervisión o por otros medios;

Con Prevalent, los auditores pueden establecer un programa para lograr y demostrar el cumplimiento de manera eficiente. La solución automatiza la auditoría de cumplimiento de la gestión de riesgos de terceros mediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos, la recomendación de medidas correctivas y la generación de informes para docenas de regulaciones gubernamentales y marcos industriales.

Prevalent asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a la norma ISO y otros marcos normativos, y la valida medianteun seguimiento continuo, lo que le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes.

5.19 i) «gestión de incidentes y contingencias relacionados con los productos y servicios de los proveedores, incluidas las responsabilidades tanto de la organización como de los proveedores».

El servicio de respuesta ante incidentes de terceros prevalentes le permite identificar y mitigar rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.

5.19 j) «resiliencia y, si es necesario, medidas de recuperación y contingencia para garantizar la disponibilidad de la información del proveedor y el procesamiento de la información y, por lo tanto, la disponibilidad de la información de la organización;».

Prevalent automatiza la evaluación, la supervisión continua, el análisis y la corrección dela resiliencia y la continuidad de las operaciones de terceros, al tiempo que asigna automáticamente los resultados a la norma ISO y otros marcos de control.

Para complementar las evaluaciones de resistencia empresarial y validar los resultados, Prevalent:

Automatiza la supervisión cibernética continua que puede predecir posibles impactos comerciales de terceros.
Accede a información cualitativa de más de 550.000 fuentes públicas y privadas de información sobre reputación que podría indicar inestabilidad en los proveedores.
Accede a la información financiera de una red mundial de 2 millones de empresas para identificar la salud financiera o los problemas operativos de los proveedores.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Prevalent incluye una evaluación completa de la resiliencia empresarial basada en las prácticas de la norma ISO 22301 que permite a las organizaciones:

Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
Centralizar el inventario de sistemas, las evaluaciones de riesgos, los cuadros RACI y las terceras partes.
Garantizar una comunicación constante con los proveedores durante las interrupciones del negocio.

5.19 m)«requisitos para garantizar una terminación segura de la relación con el proveedor, incluyendo:

1) retirada de derechos de acceso;
2) tratamiento de la información;
3) determinación de la titularidad de la propiedad intelectual desarrollada durante la colaboración;
4) portabilidad de la información en caso de cambio de proveedor o internalización;
6) gestión de registros;
7) devolución de activos;
8) eliminación segura de la información y otros activos asociados;
9) requisitos de confidencialidad continuos.

La plataforma Prevalent automatiza las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición posterior al contrato de su organización.

Programe tareas para revisar los contratos y asegurarse de que se han cumplido todas las obligaciones. Emita evaluaciones de contratos personalizables para valorar el estado.
Aproveche las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
Almacene y administre de forma centralizada documentos y certificaciones, como NDA, SLA, SOW y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural de AWS y los análisis de aprendizaje automático para confirmar que se cumplen los criterios clave.
Adopte medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientaciones de corrección integradas.
Visualice y aborde los requisitos de conformidad mediante la asignación automática de los resultados de la evaluación a cualquier normativa o marco.

5.20 Abordar la seguridad en los acuerdos con los proveedores

«Se deben establecer y acordar con cada proveedor los requisitos pertinentes en materia de seguridad de la información, en función del tipo de relación con el proveedor».

5.20 d)«requisitos legales, reglamentarios y contractuales, incluidos la protección de datos, el tratamiento de la información de identificación personal (PII), los derechos de propiedad intelectual y los derechos de autor, y una descripción de cómo se garantizará su cumplimiento;».

Prevalent centraliza la distribución, discusión, retención y revisión delos contratos con los proveedores, garantizando que las disposiciones clave se incluyan en los contratos con los proveedores y se supervisen continuamente.

Entre sus principales funciones figuran:

Seguimiento centralizado de todos los contratos y atributos contractuales, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
Debate centralizado sobre los contratos y seguimiento de los comentarios
Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

5.20 e)«la obligación de cada parte contractual de aplicar un conjunto acordado de controles, incluidos el control de acceso, la revisión del rendimiento, la supervisión, la presentación de informes y la auditoría, así como las obligaciones del proveedor de cumplir los requisitos de seguridad de la información de la organización».

La solución Prevalent permite realizar evaluaciones internas basadas en controles (basadas en el marco normativo industrial ISO y/o cuestionarios personalizados). La plataforma incluye funciones de flujo de trabajo integradas que permiten a los evaluadores interactuar de manera eficiente con terceros durante los periodos de recopilación y revisión de la diligencia debida. Las sólidas funciones de generación de informes y auditoría proporcionan a cada nivel de la dirección la información que necesita para revisar adecuadamente el rendimiento de los terceros.

Las organizaciones pueden evaluar a terceros en materia de ciberseguridad, cumplimiento de los acuerdos de nivel de servicio (SLA) y otros aspectos, y correlacionar los resultados con los datos obtenidos mediante una supervisión externa continua para obtener una visión completa de los riesgos.

5.20 h)«requisitos de seguridad de la información relativos a la infraestructura de TIC del proveedor; en particular, requisitos mínimos de seguridad de la información para cada tipo de información y tipo de acceso que sirvan de base para los acuerdos individuales con los proveedores en función de las necesidades empresariales y los criterios de riesgo de la organización».

5.20 i)«indemnizaciones y medidas correctivas por incumplimiento de los requisitos por parte del contratista».

Prevalent proporciona un marco para medir de forma centralizadalos KPI y KRI de tercerosen función de sus requisitos y reducir las deficiencias en la supervisión de los proveedores con información integrada de aprendizaje automático (ML) e informes personalizables basados en funciones.

Estas capacidades pueden ayudar a su equipo a descubrir tendencias de riesgo y rendimiento, determinar el estado de riesgo de terceros e identificar excepciones al comportamiento habitual que podrían justificar una investigación más profunda.

Las recomendaciones de corrección integradas garantizan que los terceros aborden los riesgos de manera oportuna y satisfactoria.

5.20 j)«requisitos y procedimientos de gestión de incidentes (especialmente notificación y colaboración durante la resolución de incidentes)».

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de seguridad de terceros proveedorescomo parte de suestrategia generalde gestión de incidentes.

Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de los expertos de Prevalent.

5.20 l)«disposiciones pertinentes para la subcontratación, incluidos los controles que deben aplicarse, como el acuerdo sobre el uso de subproveedores (por ejemplo, exigirles que cumplan las mismas obligaciones que el proveedor, exigir una lista de subproveedores y notificar cualquier cambio);».

Prevalent puede identificar relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos.

Los proveedores descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.

Este enfoque proporciona información útil para abordar los posibles riesgos tecnológicos o de concentración geográfica.

5.20 o)«los mecanismos de prueba y garantía de las certificaciones de terceros para los requisitos de seguridad de la información pertinentes relacionados con los procesos del proveedor y un informe independiente sobre la eficacia de los controles».

5.20 q)«la obligación del proveedor de presentar periódicamente un informe sobre la eficacia de los controles y el acuerdo sobre la corrección oportuna de las cuestiones pertinentes planteadas en el informe;».

El Servicio de Validación de Controles Prevalentes revisa las respuestas y la documentación de las evaluaciones de terceros comparándolas con los protocolos de pruebas establecidos para validar que se aplican los controles indicados.

Los expertos de Prevalent revisan primero las respuestas a las evaluaciones, ya sean de cuestionarios personalizados o estandarizados. A continuación, comparamos las respuestas con la norma ISO y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y realizar un seguimiento hasta su finalización. Con opciones remotas y presenciales disponibles, Prevalent le ofrece su experiencia para ayudarle a reducir el riesgo con sus recursos actuales.

5.20 x)«cláusulas de rescisión al término del contrato, incluyendo la gestión de registros, la devolución de activos, la eliminación segura de información y otros activos asociados, y cualquier obligación de confidencialidad en curso;».

5.20 y) proporcionar un método para destruir de forma segura la información de la organización almacenada por el proveedor tan pronto como ya no sea necesaria;».

5.20 z)garantizar, al término del contrato, la asistencia en la transferencia a otro proveedor o a la propia organización;».

Las capacidades predominantesde gestión del ciclo de vida de los contratosgarantizan que las disposiciones clave se incluyan en los contratos con los proveedores y se supervisen continuamente. Las evaluaciones automatizadas de los contratos y los procedimientos de baja, como la presentación de informes sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de todas las leyes pertinentes y los pagos finales, reducen el riesgo de exposición de su organización tras la finalización del contrato.

5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC

«Se deben definir e implementar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados con la cadena de suministro de productos y servicios de TIC».

5.21 b)«exigir a los proveedores de servicios TIC que difundan los requisitos de seguridad de la organización a lo largo de toda la cadena de suministro si subcontratan parte de los servicios TIC prestados a la organización;».

5.21 c)«exigir a los proveedores de productos TIC que difundan prácticas de seguridad adecuadas a lo largo de toda la cadena de suministro si dichos productos incluyen componentes comprados o adquiridos a otros proveedores u otras entidades (por ejemplo, desarrolladores de software subcontratados y proveedores de componentes de hardware)».

5.21 f)«implementar un proceso de supervisión y métodos aceptables para validar que los productos y servicios TIC suministrados cumplen con los requisitos de seguridad establecidos. Entre los ejemplos de estos métodos de revisión de proveedores se pueden incluir pruebas de penetración y la comprobación o validación de certificaciones de terceros sobre las operaciones de seguridad de la información del proveedor».

El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos.

Este enfoque proporciona información útil para abordar los posibles riesgos tecnológicos o de concentración geográfica.

5.21 g)«implementar un proceso para identificar y documentar los componentes de productos o servicios que son críticos para mantener la funcionalidad y que, por lo tanto, requieren mayor atención, escrutinio y seguimiento adicional cuando se fabrican fuera de la organización, especialmente si el proveedor subcontrata aspectos de los componentes de productos o servicios a otros proveedores».

Prevalent le permite evaluar y supervisar a terceros en función de la criticidad o el alcance de las amenazas a sus activos de información mediante la captura, el seguimiento y la cuantificación de los riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones de la empresa
Ubicación(es) y consideraciones legales o reglamentarias relacionadas
Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
Experiencia en procesos operativos o de cara al cliente
Interacción con datos protegidos
Situación económica y salud
Reputación

A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

5.22 Supervisión, revisión y gestión de cambios de los servicios de los proveedores

«La organización debe supervisar, revisar, evaluar y gestionar periódicamente los cambios en las prácticas de seguridad de la información y la prestación de servicios de los proveedores».

5.22 a)«supervisar los niveles de rendimiento del servicio para verificar el cumplimiento de los acuerdos;»

Con la plataforma Prevalent, las organizaciones pueden personalizar las encuestas para facilitar la recopilación y el análisis de los datos necesarios sobre el rendimiento y los contratos en un único registro de riesgos. Prevalent identifica los atributos clave de los contratos relacionados conlos acuerdos de nivel de servicio (SLA) o el rendimiento, introduce esos requisitos en la plataforma y le asigna tareas a usted y a su tercero con fines de seguimiento.

5.22 b)«supervisar los cambios realizados por los proveedores, incluyendo:

1) mejoras en los servicios actuales ofrecidos;
2) desarrollo de nuevas aplicaciones y sistemas;
3) modificaciones o actualizaciones de las políticas y procedimientos del proveedor;
4) controles nuevos o modificados para resolver incidentes de seguridad de la información y mejorar la seguridad de la información;».

5.22 c)«supervisar los cambios en los servicios de los proveedores, incluyendo:

1) cambios y mejoras en las redes;
2) uso de nuevas tecnologías;
3) adopción de nuevos productos o versiones o lanzamientos más recientes;
4) nuevas herramientas y entornos de desarrollo;
5) cambios en la ubicación física de las instalaciones de servicio;
6) cambio de subproveedores;
7) subcontratación a otro proveedor;».

Las fuentes de seguimiento incluyen:

Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Dado que no todas las amenazas son ciberataques directos, Prevalent también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos:

550.000 fuentes públicas y privadas de información sobre reputación, como fusiones y adquisiciones, noticias empresariales, noticias negativas, información reglamentaria y jurídica, actualizaciones operativas, etc.
Una red mundial de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluidos volumen de negocio, pérdidas y ganancias, fondos de accionistas, etc.
30.000 fuentes de noticias de todo el mundo
Una base de datos con más de 1,8 millones de perfiles de personas políticamente expuestas
Listas mundiales de sanciones y más de 1.000 listas y expedientes judiciales de aplicación de la normativa mundial

5.22e) «realizar auditorías de los proveedores y subproveedores, junto con la revisión de los informes de los auditores independientes, si están disponibles, y dar seguimiento a los problemas identificados».

El Servicio de Validación de Controles Prevalentes revisa las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados.

5.22 f)«proporcionar información sobre incidentes de seguridad de la información y revisar dicha información según lo exijan los acuerdos y cualquier directriz y procedimiento de apoyo;»

5.22 g)«revisar los registros de auditoría de los proveedores y los registros de incidentes de seguridad de la información, problemas operativos, fallos, seguimiento de averías e interrupciones relacionadas con el servicio prestado;».

5.22 h)«responder y gestionar cualquier evento o incidente de seguridad de la información identificado;»

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de proveedores externosmediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a directrices de corrección.

Entre sus principales funciones figuran:

Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
Informes proactivos sobre proveedores
Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
Plantillas de informes integradas
Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de la información y determinar los datos de riesgo.

5.22 i)«identificar las vulnerabilidades en materia de seguridad de la información y gestionarlas»;

Prevalent realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, correlacionando los datos de supervisión con los resultados de las evaluaciones y centralizándolos en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de seguimiento incluyen:

Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
Una base de datos que contiene más de 10 años de historial de violaciones de datos para

5.22 j)«revisar los aspectos relacionados con la seguridad de la información de las relaciones del proveedor con sus propios proveedores».

5.22 k)garantizar que el proveedor mantenga una capacidad de servicio suficiente, junto con planes viables diseñados para garantizar que se mantengan los niveles de continuidad del servicio acordados tras fallos importantes del servicio o catástrofes;».

La plataforma Prevalent incluye una evaluación completa de la resiliencia empresarial basada en las prácticas de la norma ISO 22301 que permite a las organizaciones:

Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
Centralizar el inventario de sistemas, las evaluaciones de riesgos, los cuadros RACI y las terceras partes.
Garantizar una comunicación coherente con los proveedores durante las interrupciones de la actividad.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

5.22 m)«evaluar periódicamente que los proveedores mantengan niveles adecuados de seguridad de la información;»

Prevalent automatiza las evaluaciones de riesgos para ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros.

Con una biblioteca de más de 750 evaluaciones estandarizadas, capacidades de personalización y flujo de trabajo y corrección integrados, la solución automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la generación de informes.

Con Prevalent, puede recopilar y correlacionar fácilmente inteligencia sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, en función de la criticidad del tercero según lo determinado por la evaluación de riesgos inherente.

Los resultados de las evaluaciones y la supervisión continua se cotejan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones preparadas para terceros con el fin de mitigar los riesgos.

ISO 27036-2 Controles

Cómo ayudamos

6 Seguridad de la información en la gestión de las relaciones con los proveedores

6.1.1.1 Procesos de acuerdo / Proceso de adquisición / Objetivo

Establecer una estrategia de relación con los proveedores que:

se basa en la tolerancia al riesgo de seguridad de la información del adquirente;
define los fundamentos de la seguridad de la información que deben utilizarse al planificar, preparar, gestionar y finalizar la adquisición de un producto o servicio.

6.1.2.1 Procesos de acuerdo / Proceso de suministro / Objetivo

Establecer una estrategia de relaciones con los adquirentes que:

se basa en la tolerancia al riesgo de seguridad de la información del proveedor;
define la base de referencia de seguridad de la información que se debe utilizar al planificar, preparar, gestionar y dar por concluido el suministro de un producto o servicio.

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad de la información y gobernanza, riesgo y cumplimiento, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, Prevalent puede ayudarle a definir:

Funciones y responsabilidades claras (por ejemplo, RACI)
Inventarios de terceros
Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
Metodologías de evaluación y supervisión basadas en la criticidad de terceros
Cartografía de cuarta parte
Fuentes de datos de supervisión continua (cibernética, empresarial, de reputación, financiera)
Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
Políticas, normas, sistemas y procesos para proteger los datos
Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
Requisitos de respuesta a incidentes
Información sobre riesgos y partes interesadas internas
Estrategias de mitigación y corrección de riesgos

6.2.1 Procesos organizativos que facilitan los proyectos / Proceso de gestión del modelo del ciclo de vida

a) El adquirente y el proveedor establecerán el proceso de gestión del modelo del ciclo de vida al gestionar la seguridad de la información en las relaciones con los proveedores.

Prevalent ayuda a eliminar los riesgos de seguridad y cumplimiento normativo que conlleva trabajar con proveedores, distribuidores y otros terceros a lo largo de todo el ciclo de vida del riesgo de los proveedores, desde la búsqueda y selección hasta la salida de la empresa, pasando por todas las etapas intermedias.

6.2.2.1 Procesos organizativos que facilitan los proyectos / Proceso de gestión de infraestructuras / Objetivo

a) Proporcionar la infraestructura necesaria para ayudar a la organización a gestionar la seguridad de la información en las relaciones con los proveedores.

Prevalent ofrece una plataforma SaaS centralizada que permite a los adquirentes y proveedores colaborar en la reducción de riesgos mediante la automatización de evaluaciones de riesgos basadas en más de 750 normas industriales, incluida la ISO. Con esta plataforma, los adquirentes obtienen un flujo de trabajo y medidas correctivas integrados, así como análisis y generación de informes automatizados.

6.2.2.2 Procesos organizativos que facilitan los proyectos / Proceso de gestión de infraestructuras / Actividades

b) Definir, implementar, mantener y mejorar los planes de contingencia para garantizar que la adquisición o el suministro de un producto o servicio pueda continuar en caso de interrupción causada por motivos naturales o humanos.

Para complementar las evaluaciones de resistencia empresarial y validar los resultados, Prevalent:

Automatiza la supervisión cibernética continua que puede predecir posibles impactos comerciales de terceros.
Accede a información cualitativa de más de 550.000 fuentes públicas y privadas de información sobre reputación que podría indicar inestabilidad en los proveedores.
Accede a la información financiera de una red mundial de 2 millones de empresas para identificar la salud financiera o los problemas operativos de los proveedores.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Prevalent incluye una evaluación completa de la resiliencia empresarial basada en las prácticas de la norma ISO 22301 que permite a las organizaciones:

Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
Centralizar el inventario de sistemas, las evaluaciones de riesgos, los cuadros RACI y las terceras partes.
Garantizar una comunicación coherente con los proveedores durante las interrupciones de la actividad.

6.2.3.2 Proceso de gestión de la cartera de proyectos / Actividades

a) Definir, implementar, mantener y mejorar un proceso para identificar y categorizar a los proveedores o adquirentes
en función de la sensibilidad de la información que se comparte con ellos y del nivel de acceso que se les concede a los activos del adquirente o proveedor, como la información y los sistemas de información.

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones de la empresa
Ubicación(es) y consideraciones legales o reglamentarias relacionadas
Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
Experiencia en procesos operativos o de cara al cliente
Interacción con datos protegidos
Situación económica y salud
Reputación

6.3.4.1 Procesos del proyecto / Proceso de gestión de riesgos / Objetivo

a) Abordar continuamente los riesgos de seguridad de la información en las relaciones con los proveedores y a lo largo de su ciclo de vida, lo que incluye reexaminarlos periódicamente o cuando se produzcan cambios significativos en los ámbitos comercial, jurídico, normativo, arquitectónico, político y contractual.

Las fuentes de seguimiento incluyen:

Más de 1.500 foros de delincuentes; miles de páginas cebolla; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550.000 empresas.
Una base de datos con más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Dado que no todas las amenazas son ciberataques directos, Prevalent también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos:

550.000 fuentes públicas y privadas de información sobre reputación, como fusiones y adquisiciones, noticias empresariales, noticias negativas, información reglamentaria y jurídica, actualizaciones operativas, etc.
Una red mundial de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluidos volumen de negocio, pérdidas y ganancias, fondos de accionistas, etc.
30.000 fuentes de noticias de todo el mundo
Una base de datos con más de 1,8 millones de perfiles de personas políticamente expuestas
Listas mundiales de sanciones y más de 1.000 listas y expedientes judiciales de aplicación de la normativa mundial

6.3.7.1 Procesos del proyecto / Proceso de medición / Objetivo

a) Recopilar, analizar y comunicar las medidas de seguridad de la información relacionadas con la adquisición o el suministro de un producto o servicio para demostrar la madurez de la seguridad de la información en la relación con los proveedores y respaldar la gestión eficaz de los procesos.

7 Seguridad de la información en una relación con un proveedor

7.2.1 Proceso de selección de proveedores / Objetivos

a) Seleccionar un proveedor que ofrezca una seguridad adecuada de la información para el producto o servicio que se vaya a adquirir.

La instantánea de perfiles de riesgo prevalentesle permite comparar y supervisar datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y rendimiento financiero de posibles proveedores. Con la instantánea, puede ver los resultados en línea con las respuestas a las solicitudes de oferta para obtener una visión holística de los proveedores: su idoneidad para el propósito y su adecuación según el apetito de riesgo de su organización.

7.3.1 Proceso de gestión de las relaciones con los proveedores / Objetivo

Establecer y acordar un acuerdo de relación con el proveedor que aborde lo siguiente:
— Funciones y responsabilidades en materia de seguridad de la información del adquirente y del proveedor;
— Controles de seguridad necesarios en materia de seguridad de la información, seguridad de las TIC, seguridad del personal y seguridad física;
— un proceso de transición cuando el producto o servicio haya sido operado o fabricado previamente por una parte distinta del proveedor;
— gestión de cambios en la seguridad de la información;
— gestión de incidentes de seguridad de la información;
— supervisión y aplicación del cumplimiento;
— un proceso de rescisión.

La plataforma Prevalent automatiza los flujos de trabajo necesarios para evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo y la cadena de suministro/adquisición de terceros en todas las etapas del ciclo de vida del proveedor. La solución:

Automatiza la incorporación y salida de proveedores.
Perfiles, niveles, puntuaciones de riesgo inherente para todos los proveedores.
Automatiza el mapeo de cuartos y los datos demográficos de los proveedores en un perfil central.
Ofrece la mayor biblioteca de evaluaciones de riesgos estandarizadas y personalizadas con flujo de trabajo, tareas y gestión de pruebas integrados.
Integra la supervisión nativa de riesgos cibernéticos, empresariales, reputacionales y financieros para correlacionar los riesgos con los resultados de la evaluación y validar los hallazgos.
Incluye análisis de aprendizaje automático para normalizar y correlacionar los resultados de múltiples fuentes.
Proporciona informes de cumplimiento y riesgos por marco o normativa.
Mejora la gestión de la remediación con orientación integrada.
Incluye la gestión de contratos y RFx para permitir una gestión de riesgos más completa antes de la incorporación.
Automatiza la respuesta a incidentes de terceros.

7.4.1 Proceso de gestión de las relaciones con los proveedores / Objetivos

a) Mantener la seguridad de la información durante el período de ejecución de la relación con el proveedor, de conformidad con el acuerdo de relación con el proveedor y teniendo especialmente en cuenta lo siguiente:

4) Supervisar y hacer cumplir el cumplimiento por parte del proveedor de las disposiciones de seguridad de la información definidas en el acuerdo de relación con el proveedor.

Con la plataforma Prevalent, los adquirentes pueden asignar automáticamente la información recopilada a partir de evaluaciones basadas en controles a marcos normativos, incluidos ISO y muchos otros, para visualizar y abordar rápidamente los requisitos de cumplimiento importantes en cada etapa del ciclo de vida del proveedor.

7.5.1 Proceso de terminación de la relación con el proveedor / Objetivos

a) Proteger el suministro del producto o servicio durante la rescisión para evitar cualquier impacto en la seguridad de la información, así como repercusiones legales y normativas tras la notificación de rescisión.

b) Terminar el suministro del producto o servicio de acuerdo con el plan de terminación.

La plataforma Prevalent automatiza las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición posterior al contrato de su organización.

Programe tareas para revisar los contratos y asegurarse de que se han cumplido todas las obligaciones. Emita evaluaciones de contratos personalizables para valorar el estado.
Aproveche las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
Almacene y administre de forma centralizada documentos y certificaciones, como NDA, SLA, SOW y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural de AWS y los análisis de aprendizaje automático para confirmar que se cumplen los criterios clave.
Adopte medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientaciones de corrección integradas.
Visualice y aborde los requisitos de conformidad mediante la asignación automática de los resultados de la evaluación a cualquier normativa o marco.

Soluciones sectoriales

ISO y gestión de riesgos de terceros

Requisitos pertinentes

Cumplimiento de las normas ISO 27001, 27002 y 27036-2 TPRM

Controles ISO 27001

Cómo ayudamos

Controles ISO 27002

Cómo ayudamos

ISO 27036-2 Controles

Cómo ayudamos