Marco de Ciberseguridad (CSF) 2.0 del NIST

GOBERNAR (GV): La estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización se establecen, se comunican y se supervisan

Gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC):Los procesos de gestión de riesgos de la cadena de suministro cibernética son identificados, establecidos, gestionados, supervisados y mejorados por las partes interesadas de la organización.

Cree un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad de la información y gobernanza, gestión de riesgos empresariales y cumplimiento.

Busque expertos en los que colaborar con su equipo:

• Definir e implantar procesos y soluciones de GTRC y GCRC
• Selección de cuestionarios y marcos de evaluación de riesgos
• Optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde la contratación y la diligencia debida hasta la rescisión del contrato y la salida del servicio- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, debe definir:

• Funciones y responsabilidades claras (por ejemplo, RACI)
• Inventarios de terceros
• Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
• Indicadores clave de riesgo (KRI), indicadores clave de rendimiento (KPI ) y niveles de servicio para la respuesta a incidentes.

GV.SC-04: Los proveedores son conocidos y priorizados por criticidad

Centralice su inventario de terceros en una solución de software. A continuación, cuantifique los riesgos inherentes de todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros deben incluir:

• Tipo de contenido necesario para validar los controles
• Importancia crítica para el rendimiento y las operaciones de la empresa
• Ubicación(es) y consideraciones legales o reglamentarias relacionadas
• Grado de dependencia de terceros
• Experiencia en procesos operativos o de cara al cliente
• Interacción con datos protegidos
• Situación económica y salud
• Reputación

A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

GV.SC-05: Los requisitos para hacer frente a los riesgos de ciberseguridad en las cadenas de suministro se establecen, priorizan e integran en los contratos y otros tipos de acuerdos con proveedores y otros terceros pertinentes.

Centralizar la distribución, discusión, retención y revisión de los contratos de proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave deben incluir:

• Seguimiento centralizado de todos los contratos y atributos contractuales, como tipo, fechas clave, valor, recordatorios y estado, con vistas personalizadas basadas en funciones.
• Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
• Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
• Debate centralizado sobre los contratos y seguimiento de los comentarios
• Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
• Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
• Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede asegurarse de que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y de que los SLA se controlan y gestionan en consecuencia.

GV.SC-06: Se llevan a cabo la planificación y la diligencia debida para reducir los riesgos antes de entablar relaciones formales con proveedores u otros terceros.

Centralice y automatice la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) en una única solución que permite comparar atributos clave.

A medida que se centralizan y revisan todos los proveedores de servicios, los equipos deben crear perfiles de proveedores completos que contengan información demográfica de los proveedores, tecnologías de 4ª parte, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violaciones de datos y rendimiento financiero reciente.

Este nivel de diligencia debida crea un mayor contexto para tomar decisiones de selección de proveedores.

GV.SC-07: Los riesgos planteados por un proveedor, sus productos y servicios, y otros terceros son comprendidos, registrados, priorizados, evaluados, respondidos y monitoreados durante el curso de la relación.

Busque soluciones que ofrezcan una amplia biblioteca de plantillas predefinidas para las evaluaciones de riesgos de terceros. Las evaluaciones deben realizarse en el momento de la incorporación, de la renovación del contrato o con la frecuencia requerida (por ejemplo, trimestral o anualmente) en función de los cambios materiales.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas, con el fin de garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, rastrear y analizar continuamente las amenazas externas a terceros. Supervise Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.

Asegúrese de incorporar datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

GV.SC-08: Los proveedores pertinentes y otras terceras partes se incluyen en las actividades de planificación, respuesta y recuperación de incidentes.

Como parte de su estrategia general de gestión de incidentes, asegúrese de que su programa de respuesta a incidentes de terceros permita a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de seguridad de los proveedores externos. Busque servicios gestionados en los que expertos dedicados gestionen de forma centralizada a sus proveedores; realicen evaluaciones proactivas de los riesgos de los eventos; puntúen los riesgos identificados; correlacionen los riesgos con la inteligencia de supervisión cibernética continua; y emitan directrices de corrección.Los servicios gestionadospueden reducir en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad y garantizar que se apliquen las medidas correctivas.

Las capacidades clave de un servicio de respuesta a incidentes de terceros deben incluir:

• Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
• Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
• Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
• Informes proactivos sobre proveedores
• Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
• Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial en la empresa.
• Plantillas de informes integradas para partes interesadas internas y externas
• Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
• Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceras, cuartas o enésimas partes, con el fin de visualizar las rutas de la información y revelar los datos de riesgo.

Asimismo, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de filtraciones de datos de proveedores en tiempo real.

Con esta información, su equipo puede comprender mejor el alcance y el impacto del incidente, qué datos se han visto afectados, si las operaciones de terceros se han visto afectadas y cuándo se han completado las medidas correctoras, todo ello gracias a la ayuda de expertos.

GV.SC-09:Las prácticas de seguridad de la cadena de suministro se integran en los programas de ciberseguridad y gestión de riesgos empresariales, y su rendimiento se supervisa a lo largo del ciclo de vida de los productos y servicios tecnológicos.

ConsulteGV.SC-01yGV.SC-02.

IDENTIFICAR (ID): Se comprenden los riesgos actuales de ciberseguridad de la organización.

Gestión de activos (ID.AM):Los activos (por ejemplo, datos, hardware, software, sistemas, instalaciones, servicios, personal) que permiten a la organización alcanzar sus objetivos empresariales se identifican y gestionan de acuerdo con su importancia relativa para los objetivos de la organización y la estrategia de riesgo de la misma.

ID.AM-03:Se mantienen representaciones de las comunicaciones de red autorizadas por la organización y de los flujos de datos de redes internas y externas.

Para abordar esta subcategoría, Prevalent ayuda a identificar las relaciones de subcontrataciónde cuarta y enésima parteen su ecosistema de proveedores. La solución incluye una evaluación basada en cuestionarios de sus proveedores y un escaneo pasivo de la infraestructura pública del proveedor. El mapa de relaciones resultante muestra las dependencias extendidas y los flujos de información que podrían exponer a su organización a riesgos.

ID.AM-04:Se mantienen inventarios de los servicios prestados por los proveedores.

Prevalent le permite crear uninventario centralizado de proveedores de serviciosimportando proveedores a través de una plantilla de hoja de cálculo o mediante una conexión API a una solución de compras existente. Los equipos de toda la empresa pueden rellenar los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y las tareas de flujo de trabajo asociadas. Esta función está disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

ID.AM-05:Los activos se priorizan en función de su clasificación, criticidad, recursos e impacto en la misión.

ConsulteGV.SC-04.

ID.AM-08:Los sistemas, el hardware, el software, los servicios y los datos se gestionan a lo largo de todo su ciclo de vida.

Para abordar esta categoría, Prevalent le permite:

• Evaluar y supervisar continuamente los riesgos potenciales que el proveedor de servicios introduce en su entorno; y hacer recomendaciones para mitigar el impacto de esos riesgos.
• Supervisar los niveles de servicio,los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)para garantizar el cumplimiento de los acuerdos contractuales.
• Despida de forma segura a los proveedores de servicios para garantizar la seguridad de los datos y los sistemas tras la finalización del contrato.

Evaluación de riesgos (ID.RA):La organización comprende los riesgos de ciberseguridad para la organización, los activos y las personas.

ID.RA-02:La información sobre amenazas cibernéticas se recibe de foros y fuentes de intercambio de información.

ID.RA-03:Se identifican y registran las amenazas internas y externas a la organización.

ID.RA-04:Se identifican y registran los posibles impactos y la probabilidad de que las amenazas aprovechen las vulnerabilidades.

ID.RA-05:Las amenazas, vulnerabilidades, probabilidades e impactos se utilizan para comprender el riesgo inherente y fundamentar la priorización de la respuesta al riesgo.

ID.RA-06:Las respuestas al riesgo se seleccionan entre las opciones disponibles, se priorizan, se planifican, se supervisan y se comunican.

ID.RA-07:Los cambios y las excepciones se gestionan, se evalúan en función de su impacto en el riesgo, se registran y se realiza un seguimiento de los mismos.

PrevalentVendor Threat Monitorrealiza un seguimiento y análisis continuos de las amenazas externas a terceros. Como parte de ello, Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de seguimiento incluyen:

• Foros de delincuentes; páginas cebolla; foros de acceso especial a la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
• Bases de datos con varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.

Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, la plataforma Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, de modo que se pueden ver fácilmente los riesgos de mayor impacto y se pueden priorizar las medidas correctivas para ellos.

A continuación, puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.

Véase tambiénGV.SC-04.

D.RA-09:Se evalúa la autenticidad e integridad del hardware y el software antes de su adquisición y uso.

Como parte del proceso de diligencia debida, puede utilizar Prevalent para exigir a los proveedores que proporcionenlistas de materiales de software (SBOM)actualizadas para sus productos de software. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización. Las SBOM se tratan como cualquier otro tipo de documento, y puede aplicar perfiles de documentos automatizados para buscar detalles clave importantes para validar los componentes de software.

ID.RA-10: Los proveedores críticos se evalúan antes de la adquisición.

ConsulteGV.SC-06.

Mejora (ID.IM): Se identifican mejoras en los procesos, procedimientos y actividades de gestión de riesgos de ciberseguridad de la organización en todas las funciones del CSF.

ID.IM-02: Se identifican mejoras a partir de pruebas y ejercicios de seguridad, incluidos los realizados en coordinación con proveedores y terceros pertinentes.

ID.IM-04: Se establecen, comunican, mantienen y mejoran los planes de respuesta ante incidentes y otros planes de ciberseguridad que afectan a las operaciones.

ConsulteGV.SC-08.

DETECT (DE): Se detectan y analizan posibles ataques y vulnerabilidades de ciberseguridad.

Monitorización continua (DE.CM):Se supervisan los activos para detectar anomalías, indicadores de compromiso y otros eventos potencialmente adversos.

DE.CM-06: Se supervisan las actividades y los servicios de los proveedores de servicios externos para detectar posibles eventos adversos.

ConsulteID.RA.

RESPONDER (RS): Se toman medidas con respecto a un incidente de ciberseguridad detectado.

Gestión de incidentes (RS.MA):Se gestionan las respuestas a los incidentes de ciberseguridad detectados.

RS.MA-01:El plan de respuesta ante incidentes se ejecuta en coordinación con terceros relevantes una vez que se declara un incidente.

ConsulteGV.SC-08.

Informes y comunicación sobre respuesta a incidentes (RS.CO):Las actividades de respuesta se coordinan con las partes interesadas internas y externas según lo exijan las leyes, los reglamentos o las políticas.

RS.CO-02:Se notifica a las partes interesadas internas y externas sobre los incidentes.

RS.CO-03:La información se comparte con las partes interesadas internas y externas designadas.

ConsulteGV.SC-08.

RECUPERACIÓN (RC): Se restauran los activos y las operaciones afectados por un incidente de ciberseguridad.

Comunicación de recuperación ante incidentes (RC.CO):Las actividades de restauración se coordinan con partes internas y externas.

RC.CO-03:Las actividades de recuperación y los avances en el restablecimiento de las capacidades operativas se comunican a las partes interesadas internas y externas designadas.

ConsulteGV.SC-08.