Marco de Ciberseguridad (CSF) 2.0 del NIST

GOBERNAR (GV): La estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización se establecen, se comunican y se supervisan

Cybersecurity Supply Chain Risk Management (GV.SC): Cyber supply chain risk management processes are identified, established, managed, monitored, and improved by organizational stakeholders

Cree un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad de la información y gobernanza, gestión de riesgos empresariales y cumplimiento.

Busque expertos en los que colaborar con su equipo:

• Definir e implantar procesos y soluciones de GTRC y GCRC
• Selección de cuestionarios y marcos de evaluación de riesgos
• Optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde la contratación y la diligencia debida hasta la rescisión del contrato y la salida del servicio- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, debe definir:

• Funciones y responsabilidades claras (por ejemplo, RACI)
• Inventarios de terceros
• Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
• Indicadores clave de riesgo (KRI), indicadores clave de rendimiento (KPI ) y niveles de servicio para la respuesta a incidentes.

GV.SC-04: Los proveedores son conocidos y priorizados por criticidad

Centralice su inventario de terceros en una solución de software. A continuación, cuantifique los riesgos inherentes de todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros deben incluir:

• Tipo de contenido necesario para validar los controles
• Importancia crítica para el rendimiento y las operaciones de la empresa
• Ubicación(es) y consideraciones legales o reglamentarias relacionadas
• Grado de dependencia de terceros
• Experiencia en procesos operativos o de cara al cliente
• Interacción con datos protegidos
• Situación económica y salud
• Reputación

A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

GV.SC-05: Los requisitos para hacer frente a los riesgos de ciberseguridad en las cadenas de suministro se establecen, priorizan e integran en los contratos y otros tipos de acuerdos con proveedores y otros terceros pertinentes.

Centralizar la distribución, discusión, retención y revisión de los contratos de proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave deben incluir:

• Seguimiento centralizado de todos los contratos y atributos contractuales, como tipo, fechas clave, valor, recordatorios y estado, con vistas personalizadas basadas en funciones.
• Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
• Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
• Debate centralizado sobre los contratos y seguimiento de los comentarios
• Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
• Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
• Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede asegurarse de que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y de que los SLA se controlan y gestionan en consecuencia.

GV.SC-06: Se llevan a cabo la planificación y la diligencia debida para reducir los riesgos antes de entablar relaciones formales con proveedores u otros terceros.

Centralice y automatice la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) en una única solución que permite comparar atributos clave.

A medida que se centralizan y revisan todos los proveedores de servicios, los equipos deben crear perfiles de proveedores completos que contengan información demográfica de los proveedores, tecnologías de 4ª parte, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violaciones de datos y rendimiento financiero reciente.

Este nivel de diligencia debida crea un mayor contexto para tomar decisiones de selección de proveedores.

GV.SC-07: Los riesgos planteados por un proveedor, sus productos y servicios, y otros terceros son comprendidos, registrados, priorizados, evaluados, respondidos y monitoreados durante el curso de la relación.

Busque soluciones que ofrezcan una amplia biblioteca de plantillas predefinidas para las evaluaciones de riesgos de terceros. Las evaluaciones deben realizarse en el momento de la incorporación, de la renovación del contrato o con la frecuencia requerida (por ejemplo, trimestral o anualmente) en función de los cambios materiales.

Assessments should be managed centrally and backed by workflow, task management and automated evidence review capabilities to ensure that your team has visibility into third-party risks throughout the relationship lifecycle.

Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, rastrear y analizar continuamente las amenazas externas a terceros. Supervise Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.

Asegúrese de incorporar datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

GV.SC-08: Los proveedores pertinentes y otras terceras partes se incluyen en las actividades de planificación, respuesta y recuperación de incidentes.

As part of your broader incident management strategy ensure that your third-party incident response program enables your team to rapidly identify, respond to, report on, and mitigate the impact of third-party vendor security incidents. Look for managed services where dedicated experts centrally manage your vendors; conduct proactive event risk assessments; score identified risks; correlate risks with continuous cyber monitoring intelligence; and issue remediation guidance. Managed services can greatly reduce the time required to identify vendors impacted by a cybersecurity incident and ensure that remediations are in place.

Las capacidades clave de un servicio de respuesta a incidentes de terceros deben incluir:

• Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
• Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
• Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
• Informes proactivos sobre proveedores
• Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
• Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial en la empresa.
• Plantillas de informes integradas para partes interesadas internas y externas
• Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
• Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceras, cuartas o enésimas partes, con el fin de visualizar las rutas de la información y revelar los datos de riesgo.

Asimismo, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de filtraciones de datos de proveedores en tiempo real.

Con esta información, su equipo puede comprender mejor el alcance y el impacto del incidente, qué datos se han visto afectados, si las operaciones de terceros se han visto afectadas y cuándo se han completado las medidas correctoras, todo ello gracias a la ayuda de expertos.

GV.SC-09: Supply chain security practices are integrated into cybersecurity and enterprise risk management programs, and their performance is monitored throughout the technology product and service life cycle

Please see GV.SC-01 and GV.SC-02.

IDENTIFY (ID): The organization’s current cybersecurity risks are understood

Asset Management (ID.AM): Assets (e.g., data, hardware software, systems, facilities, services, people) that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to organizational objectives and the organization’s risk strategy

ID.AM-03: Representations of the organization’s authorized network communication and internal and external network data flows are maintained

To address this Subcategory, Prevalent helps to identify fourth-party and Nth-party subcontracting relationships in your supplier ecosystem. The solution includes a questionnaire-based assessment of your suppliers and passive scanning of the supplier’s public-facing infrastructure. The resulting relationship map depicts extended dependencies and information flows that could expose your organization to risk.

ID.AM-04: Inventories of services provided by suppliers are maintained

Prevalent enables you to build a centralized service provider inventory by importing vendors via a spreadsheet template or through an API connection to an existing procurement solution. Teams throughout the enterprise can populate key supplier details with a centralized and customizable intake form and associated workflow tasks. This capability is available to everyone via email invitation, without requiring any training or solution expertise.

ID.AM-05: Assets are prioritized based on classification, criticality, resources, and impact on the mission

Please see GV.SC-04.

ID.AM-08: Systems, hardware, software, services, and data are managed throughout their life cycle

To address this Category, Prevalent enables you to:

• Continuously assess and monitor the potential risks the service provider introduces into your environment; and make recommendations to mitigate the impact of those risks
• Monitor service levels, key performance indicators (KPIs) and key risk indicators (KRIs) to ensure adherence to contractual agreements
• Securely offboard service providers to ensure data and system security post-contract termination

Risk Assessment (ID.RA): The cybersecurity risk to the organization, assets, and individuals is understood by the organization

ID.RA-02: Cyber threat intelligence is received from information sharing forums and sources

ID.RA-03: Internal and external threats to the organization are identified and recorded

ID.RA-04: Potential impacts and likelihoods of threats exploiting vulnerabilities are identified and recorded

ID.RA-05: Threats, vulnerabilities, likelihoods, and impacts are used to understand inherent risk and inform risk response prioritization

ID.RA-06: Risk responses are chosen from the available options, prioritized, planned, tracked, and communicated

ID.RA-07: Changes and exceptions are managed, assessed for risk impact, recorded, and tracked

Prevalent Vendor Threat Monitor continuously tracks and analyzes external threats to third parties. As part of this, Prevalent monitors the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions and financial information.

Las fuentes de seguimiento incluyen:

• Foros de delincuentes; páginas cebolla; foros de acceso especial a la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
• Bases de datos con varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.

Once all assessment and monitoring data is correlated into a central risk register, the Prevalent Platform applies risk scoring and prioritization according to a likelihood and impact model. This model frames risks into a matrix, so you can easily see the highest impact risks and can prioritize remediation efforts on those.

A continuación, puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.

Please also see GV.SC-04.

D.RA-09: The authenticity and integrity of hardware and software are assessed prior to acquisition and use

As part of the due diligence process, you can use Prevalent to require vendors to provide updated software bills of materials (SBOMs) for their software products. This will help you identify any potential vulnerabilities or licensing issues that may impact your organization’s security and compliance. SBOMs are treated as any other document type, and you can apply automated document profiles to search for extract key details important to validating software components.

ID.RA-10: Critical suppliers are assessed prior to acquisition

Please see GV.SC-06.

Improvement (ID.IM): Improvements to organizational cybersecurity risk management processes, procedures and activities are identified across all CSF Functions

ID.IM-02: Improvements are identified from security tests and exercises, including those done in coordination with suppliers and relevant third parties

ID.IM-04: Incident response plans and other cybersecurity plans that affect operations are established, communicated, maintained, and improved

Please see GV.SC-08.

DETECT (DE): Possible cybersecurity attacks and compromises are found and analyzed

Continuous Monitoring (DE.CM): Assets are monitored to find anomalies, indicators of compromise, and other potentially adverse events

DE.CM-06: External service provider activities and services are monitored to find potentially adverse events

Please see ID.RA

RESPOND (RS): Actions regarding a detected cybersecurity incident are taken

Incident Management (RS.MA): Responses to detected cybersecurity incidents are managed

RS.MA-01: The incident response plan is executed in coordination with relevant third parties once an incident is declared

Please see GV.SC-08.

Incident Response Reporting and Communication (RS.CO): Response activities are coordinated with internal and external stakeholders as required by laws, regulations, or policies

RS.CO-02: Internal and external stakeholders are notified of incidents

RS.CO-03: Information is shared with designated internal and external stakeholders

Please see GV.SC-08.

RECOVER (RC): Assets and operations affected by a cybersecurity incident are restored

Incident Recovery Communication (RC.CO): Restoration activities are coordinated with internal and external parties

RC.CO-03: Recovery activities and progress in restoring operational capabilities are communicated to designated internal and external stakeholders

Please see GV.SC-08.