Evaluar y mitigar los riesgos para las infraestructuras críticas

La North American Electric Reliability Corporation (NERC) ha publicado una directriz de seguridad para el ciclo de vida de la gestión de riesgos de proveedores, con el fin de hacer frente a los crecientes riesgos para las infraestructuras críticas.

La directriz ofrece ejemplos de riesgos para los proveedores y sugerencias para mitigarlos que las organizaciones deben tener en cuenta a la hora de desarrollar sus planes generales de gestión de riesgos de ciberseguridad en la cadena de suministro, no sólo para el sistema eléctrico a granel (BES), sino también para otras áreas de infraestructuras críticas como gasoductos, generación de energía eléctrica, transmisión y distribución, y otras áreas.

Requisitos pertinentes

  • Considerar el riesgo como parte de las decisiones de selección de proveedores

  • Mitigar los riesgos identificados en las evaluaciones de riesgos de los proveedores

  • Desarrollar procedimientos de compra, rescisión y transición de proveedores.

  • Desarrollar un proceso para identificar, evaluar y mitigar continuamente tanto los riesgos residuales como los nuevos riesgos planteados por el proveedor.

  • Exigir la verificación de que el vendedor cumple las políticas y medidas de mitigación.

Cumplimiento de los requisitos de las directrices de seguridad NERC

A continuación le explicamos cómo Prevalent puede ayudarle a cumplir las mejores prácticas de gestión de riesgos de terceros de NERC:

 

Requisito

Cómo ayudamos

Capítulo 1: Mitigar los riesgos antes de la contratación

El capítulo 1 afirma: "Al decidir a qué proveedores se debe invitar a participar en la RFP, la organización podría considerar los factores de las listas de entidades aprobadas, las fuentes de inteligencia y la información disponible públicamente (por ejemplo, historial de gestión de vulnerabilidades, higiene del sitio web)."

Para abordar esta directriz, compare los detalles firmográficos, las tecnologías de cuarta parte, las puntuaciones ESG, las perspectivas empresariales y de reputación recientes, el historial de violaciones de datos y el rendimiento financiero de los posibles proveedores en una única tabla. La centralización de estos datos en línea con las respuestas a la RFx le ofrece una visión holística de los proveedores, tanto de su adecuación al propósito como de su adecuación al apetito de riesgo de su organización.

A continuación se sugieren otras medidas paliativas del capítulo 1.

Recopile información sobre los planes de mitigación del proveedor para riesgos específicos de ciberseguridad de la cadena de suministro, utilizando una evaluación específica que contenga sólo preguntas relevantes.

Prevalent le permite utilizar una evaluación personalizable para recopilar y correlacionar los controles de los proveedores con el fin de determinar las amenazas para los sistemas y los datos, en función de la criticidad del proveedor.

La plataforma reúne los datos en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo.

Incluir términos y condiciones de ciberseguridad en el contrato con el proveedor, o identificar los entregables específicos que deben medirse.

Aproveche una solución de gestión del ciclo de vida de los contratos que centralice la distribución, discusión, retención y revisión de los contratos con proveedores. De este modo, se asegurará de que las disposiciones contractuales clave, como los indicadores clave de rendimiento (KPI), los indicadores clave de riesgo (KRI) y los acuerdos de nivel de servicio (SLA), se incluyan en los contratos con los proveedores y se cumplan a lo largo de toda la relación.

Aportar pruebas justificativas, como certificaciones o informes de auditoría realizados por terceros evaluadores cualificados.

-

Solicite al proveedor una lista de materiales de software (SBOM ) en la que se enumeren todos los componentes de su software y/o firmware desarrollados por terceros.

-

Realizar una evaluación de los riesgos de contratación (ERC).

-

Mitigar todos los riesgos elevados identificados en el ARP.

La plataforma Prevalent centraliza los documentos, las pruebas justificativas y las certificaciones de los proveedores en un único perfil de proveedor asociado a las evaluaciones de riesgos de proveedores completadas y a un registro central de riesgos.

La plataforma también le permite ofrecer a los proveedores soluciones recomendadas basadas en los resultados de la evaluación de riesgos para garantizar que los proveedores abordan los riesgos de forma oportuna y satisfactoria. Con Prevalent, puede realizar un seguimiento de las medidas correctivas hasta su conclusión con propietarios definidos, dentro de su organización y en la organización de su proveedor.

Capítulo 2: Evaluación de riesgos

En el capítulo 2 de la directriz de seguridad se afirma que "una vez que se ha establecido una relación con un proveedor y la organización ha empezado a obtener productos o servicios de éste, la organización necesita un proceso para identificar, evaluar y mitigar continuamente tanto los riesgos residuales como los nuevos que plantea el proveedor". Para lograrlo, la directriz sugiere algunos de los pasos de las filas siguientes.

Centra las preguntas específicamente en la protección del acceso remoto mediante la autenticación multifactor.

-

Utilice un cuestionario en el que sólo se formulen preguntas pertinentes.

-

Disponer de cuestionarios separados para proveedores de TI y OT.

-

Considere certificaciones como ISO 27001 o SOC2.

Prevalent automatiza las evaluaciones de riesgos para ampliar la visibilidad, eficacia y escala de su programa de gestión de riesgos de proveedores en cada etapa del ciclo de vida del proveedor.

La plataforma incluye una biblioteca de cientos de plantillas de evaluación estandarizadas -incluidos cuestionarios dirigidos a los ámbitos de TI y OT- con capacidades de personalización y flujo de trabajo y corrección integrados para automatizar todo, desde la recopilación y el análisis de encuestas hasta la clasificación de riesgos y la elaboración de informes.

Si el proveedor no puede o no quiere completar una evaluación estandarizada, puede utilizar la plataforma Prevalent para asignar certificaciones ISO o informes SOC 2 a la vista de registro de riesgos central para gestionar los riesgos de ese proveedor junto con los riesgos recopilados de las evaluaciones de otros proveedores.

Con Prevalent, puede validar los resultados de la evaluación con información continua sobre las ciberamenazas. La consolidación de toda la inteligencia en un "único panel de vidrio" optimiza sus esfuerzos de análisis de riesgos.

Capítulo 3: Mitigación de riesgos

Durante el uso del producto/servicio
El capítulo 3 de la directriz recomienda que la organización pida al proveedor que mitigue los riesgos identificados en la evaluación. El objetivo de la mitigación de riesgos debe ser rebajar su valor a un nivel aceptable para reducir la probabilidad y/o el impacto del riesgo.

Según la directriz, esto puede lograrse mediante la solicitud de propuestas o la aplicación contractual, pero las medidas correctoras exigidas también son importantes para la aplicación posterior al contrato. Véanse a continuación algunas medidas de mitigación de la Directriz.

Incluya un texto en la RFP en el que se identifiquen los riesgos de seguridad y las medidas que el proveedor debe adoptar para mitigarlos.

Control 15 Visión general "Establecer un programa para desarrollar y mantener una capacidad de respuesta ante incidentes (por ejemplo, políticas, planes, procedimientos, funciones definidas, formación y comunicaciones) para preparar, detectar y responder rápidamente a un ataque."

Prevalent centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) como parte de las decisiones de selección de proveedores. Esto garantiza que pueda seleccionar proveedores basándose en medidas críticas de ciberseguridad.

Incluya un lenguaje contractual que documente el compromiso del proveedor de implantar controles de seguridad específicos, prevea que la organización revise el progreso del proveedor e identifique métodos para la comunicación futura sobre estos asuntos.

Con Prevalent, puede centralizar la distribución, discusión, retención y revisión de los contratos de proveedores. Gestionar los contratos de suministro de esta forma le garantizará que dispone de las cláusulas de seguridad y las medidas de ejecución adecuadas integradas en el contrato.

Definir soluciones específicas.

Proporcionar a los proveedores las medidas correctoras recomendadas en función de los resultados de la evaluación de riesgos para garantizar que los proveedores abordan los riesgos de forma oportuna y satisfactoria. Realice un seguimiento de las medidas correctoras hasta su conclusión con propietarios definidos, dentro de su organización y en la organización de su proveedor.

Capítulo 4: Verificación de la mitigación de riesgos

El capítulo 4 de la directriz requiere la verificación de que el vendedor cumple las políticas y los pasos de mitigación. Entre las acciones posibles se incluyen las de las filas siguientes.

Documente y comunique al proveedor la diferencia de rendimiento, el servicio esperado y las condiciones contractuales aplicables o el compromiso documentado.

Prevalent le permite personalizar encuestas para facilitar la recopilación y el análisis de los datos necesarios sobre rendimiento y contratos en un único registro de riesgos. También puede identificar atributos contractuales clave relacionados con los SLA o el rendimiento, rellenar esos requisitos en una plataforma central y asignarle tareas a usted y a su proveedor para realizar un seguimiento.

Comunicar al proveedor que las medidas de rendimiento se reflejarán en la futura puntuación o evaluación de nuevas compras de productos o servicios.

 

La plataforma Prevalent mide de forma centralizada los KPI y KRI de los proveedores en función de sus requisitos, extrayéndolos automáticamente del contrato con el proveedor.

La plataforma también sugiere recomendaciones de corrección para garantizar que los proveedores abordan los riesgos de manera oportuna y satisfactoria.

Evaluar la posibilidad de poner fin a la relación con el proveedor.

 

Cuando se requiere la terminación o salida de servicios críticos, Prevelant le equipa con encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más.

Capítulo 5: Adquisición, rescisión y transición

En el capítulo 5 de la Directriz se examinan los procedimientos necesarios para poner fin a una relación con un proveedor, incluidos los que figuran en las filas siguientes.

Identificar y mitigar los riesgos asociados al cese o la transición (por ejemplo, retener información sensible).

-

Haga un inventario de la información confidencial que el proveedor posee sobre los sistemas y redes de la organización y exíjale que dé fe de que toda la información ha sido eliminada.

Prevalent te permite:

  • Automatice las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de exposición de su organización tras la firma del contrato.
  • Programe tareas para revisar los contratos y asegurarse de que se han cumplido todas las obligaciones. Emita evaluaciones de contratos personalizables para valorar el estado.
  • Aproveche las encuestas personalizables y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
  • Almacene y administre de forma centralizada documentos y certificaciones, como NDA, SLA, SOW y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural de AWS y los análisis de aprendizaje automático para confirmar que se cumplen los criterios clave.
  • Adopte medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientaciones de corrección integradas.
  • Visualice y aborde los requisitos de conformidad mediante la asignación automática de los resultados de la evaluación a cualquier normativa o marco.