Directriz de seguridad NERC para el ciclo de vida de la gestión de riesgos de ciberseguridad de la cadena de suministro

Contactar con un experto

Volver a todos los casos de uso

Identificar, evaluar y mitigar los ciberriesgos para las infraestructuras críticas

En respuesta a las infracciones generalizadas en la cadena de suministro, la North American Electric Reliability Corporation (NERC) publicó una directriz de seguridad para el ciclo de vida de la gestión de riesgos de ciberseguridad en la cadena de suministro.

La directriz recomienda que las organizaciones de infraestructuras críticas, como las compañías eléctricas, los proveedores de gas natural y otros, identifiquen, evalúen y mitiguen los riesgos de ciberseguridad de la cadena de suministro para sus activos críticos de tecnología operativa (OT). Las interrupciones de los sistemas de OT, como las causadas por incidentes en la cadena de suministro, pueden provocar cortes de suministro y tener repercusiones sociales negativas de gran alcance.

Requisitos pertinentes

  • Identificar los riesgos para los activos críticos de OT que podrían tener un alto impacto, o una alta probabilidad de compromiso.

  • Mitigar los riesgos identificados en las evaluaciones de riesgos de los proveedores

  • Actualizar periódicamente la estrategia de gestión de riesgos

  • Evaluar a los proveedores para determinar el grado de riesgo que plantean con respecto a cada uno de los riesgos identificados (requiere un cuestionario).

  • Considerar la mitigación de riesgos a lo largo del ciclo de vida del proveedor

Cumplimiento de los requisitos de las directrices de seguridad NERC

A continuación le explicamos cómo Prevalent puede ayudarle a cumplir las mejores prácticas de gestión de riesgos de terceros de NERC:

 

Requisito

Cómo ayudamos

Capítulo 1: Identificación de riesgos

El primer objetivo de la organización en el proceso de gestión de riesgos de ciberseguridad de la cadena de suministro es identificar los riesgos para sus activos críticos de OT que podrían tener un alto impacto, o una alta probabilidad de compromiso, dependiendo del proveedor.

Prevalent ofrece las siguientes capacidades para dar respuesta a este requisito:

  • Una metodología de puntuación de dos ejes basada en la probabilidad de peligro y el impacto para la organización, que crea una matriz similar a un mapa de calor en la que representar los riesgos.
  • Reglas automatizadas para asignar puntuaciones si la respuesta de un proveedor a una pregunta de evaluación no alcanza un umbral de riesgo aceptable, trazando así los riesgos en la matriz.
  • Informes para clasificar los riesgos por la puntuación más alta de la matriz.
  • Soluciones personalizadas que recomendar al proveedor para mitigar el riesgo.

La plataforma Prevalent le permite realizar evaluaciones de perfiles y niveles para rastrear y cuantificar los riesgos inherentes de todos los proveedores. A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar y jerarquizar automáticamente a los proveedores (incluida la identificación de los considerados críticos); establecer niveles adecuados de diligencia adicional a partir de esta línea de base; y determinar el alcance de las evaluaciones en curso.

Capítulo 2: Evaluación de riesgos

Una vez que la organización ha identificado los riesgos, necesita evaluar a sus proveedores para determinar el grado de riesgo que plantean con respecto a cada riesgo identificado; en la mayoría de los casos, la evaluación de proveedores se realizará mediante un cuestionario.

Prevalent le permite automatizar las evaluaciones de riesgos para ampliar la visibilidad, eficacia y escala de su programa de gestión de riesgos de la cadena de suministro en cada etapa del ciclo de vida del proveedor.

La plataforma Prevalent ofrece una biblioteca de cientos de plantillas de evaluación estandarizadas, con capacidades de personalización y flujo de trabajo y corrección integrados para automatizar todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la elaboración de informes. Asegúrese de que la plataforma de evaluación que elija incluya evaluaciones específicas para la elaboración de informes sobre infraestructuras críticas y mejores prácticas, como el Marco para la mejora de la ciberseguridad de infraestructuras críticas del Instituto Nacional de Estándares y Tecnología (NIST).

Como parte del proceso de evaluación de riesgos, rastree y analice continuamente las amenazas externas a los proveedores mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades. Las fuentes de supervisión deben incluir foros criminales, páginas cebolla, foros de acceso especial de la web oscura, feeds de amenazas, sitios de pasta de credenciales filtradas, comunidades de seguridad, repositorios de código, bases de datos de vulnerabilidades y bases de datos de violaciones de datos.

Una capacidad importante en este paso es correlacionar los resultados de la supervisión continua con las respuestas de la evaluación para validar los controles. Esto no puede lograrse utilizando hojas de cálculo para las evaluaciones de riesgos o herramientas inconexas para la supervisión de la ciberseguridad.

Capítulo 3: Mitigación de riesgos

El Capítulo 3 recomienda que la organización pida al proveedor que mitigue los riesgos identificados en la evaluación. El objetivo de la mitigación de riesgos debe ser rebajar su valor a un nivel aceptable para reducir la probabilidad y/o el impacto del riesgo. La directriz dice que esto puede lograrse mediante la RFP o la aplicación contractual, pero las correcciones requeridas son también una importante aplicación posterior al contrato. Véanse a continuación algunas de las medidas de mitigación de la directriz.

Incluya un texto en la RFP en el que se identifiquen los riesgos de seguridad y las medidas que el proveedor debe adoptar para mitigarlos.

Prevalent centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) como parte de las decisiones de selección de proveedores. Garantiza la selección de proveedores en función de medidas de ciberseguridad críticas.

Incluya un lenguaje contractual que documente el compromiso del proveedor de implantar controles de seguridad específicos, prevea que la organización revise el progreso del proveedor e identifique métodos para la comunicación futura sobre estos asuntos.

Prevalent le permite centralizar la distribución, discusión, retención y revisión de los contratos con proveedores. Gestionar los contratos de proveedores de este modo garantiza que se incorporen al contrato las cláusulas de seguridad y las medidas de ejecución adecuadas.

Definir soluciones específicas.

La plataforma Prevalent le proporciona las medidas correctoras recomendadas para los proveedores en función de los resultados de la evaluación de riesgos, con el fin de garantizar que los proveedores abordan los riesgos de forma oportuna y satisfactoria. También le permite realizar un seguimiento de las medidas correctoras hasta su conclusión con responsables definidos, dentro de su organización y en la organización de su proveedor.

Capítulo 4: Adquisiciones e instalaciones

El capítulo 4 de la directriz exige que se consideren mitigaciones del riesgo de ciberseguridad en la cadena de suministro a lo largo del ciclo de vida de un producto o servicio para reducir el nivel de riesgo que se evaluó inicialmente como alto.

Con la plataforma Prevalent, puede realizar una evaluación básica de los riesgos de contratación al inicio del proceso de contratación, seguida de:

Capítulo 5: Actualización del plan de gestión de riesgos

El capítulo 5 de la directriz sugiere que el plan de gestión de riesgos de ciberseguridad de la cadena de suministro se actualice al menos una vez al año. Esto implicará la identificación de nuevos riesgos, la reevaluación de los proveedores y la revisión de las medidas de mitigación en consecuencia, repitiendo las tareas abordadas en los capítulos 1 a 3 según sea necesario.

Prevalent le permite optimizar su programa para abordar todo el ciclo de vida del riesgo del proveedor facilitando su actualización continua:

  • Políticas, normas, sistemas y procesos para proteger los sistemas
  • Funciones y responsabilidades de la organización (por ejemplo, RACI)
  • Inventarios de proveedores y criticidad
  • Reglas de puntuación del riesgo y umbrales basados en la tolerancia al riesgo de su organización
  • Metodologías de evaluación y seguimiento basadas en la criticidad del proveedor
  • Mapeo de la cuarta y la enésima parte para comprender su ecosistema de proveedores ampliado
  • Fuentes de datos de supervisión continua de la ciberseguridad
  • Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
  • Cumplimiento y presentación de informes contractuales sobre los niveles de servicio
  • Requisitos de respuesta a incidentes
  • Información sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y corrección de riesgos
Recursos adicionales
Gobernanza, Riesgo y Cumplimiento
Cómo prepararse para una auditoría NERC CIP-013-1 de seguridad de la cadena de suministro
Más información
Gobernanza, Riesgo y Cumplimiento
Cumplimiento de los requisitos de riesgo de terceros NIST 800-53, NIST 800-161 y NIST CSF
Más información
Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.