NIST y la ciberseguridad Gestión de riesgos en la cadena de suministro
La Publicación Especial 800-161 del Instituto Nacional de Normas y Tecnología(NIST SP 800-161) es una guía de prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad que aumenta los controles básicos de seguridad de la información comunicados en NIST SP 800-53.
La publicación NIST SP 800-161 proporciona orientación a las organizaciones para identificar, evaluar y mitigar los riesgos de ciberseguridad a lo largo de la cadena de suministro en todos los niveles de sus organizaciones. SP 800-161 también integra la gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en las actividades de gestión de riesgos mediante la aplicación de un enfoque multinivel específico de C-SCRM, que incluye orientación sobre el desarrollo de planes de implementación de estrategias de C-SCRM, políticas de C-SCRM, planes de C-SCRM y evaluaciones de riesgos para productos y servicios.
Requisitos pertinentes
- Evaluar si los controles de seguridad se aplican correctamente, funcionan según lo previsto y cumplen los requisitos.
- Comunicar a los proveedores cómo se verificarán y validarán los requisitos de ciberseguridad.
- Promulgar requisitos de ciberseguridad mediante acuerdos formales (por ejemplo, contratos).
- Determinar los requisitos de ciberseguridad para los proveedores
- Supervisar continuamente los controles de seguridad para determinar su eficacia.
- Verificar que se cumplen los requisitos de ciberseguridad mediante metodologías de evaluación.
NIST SP 800-161r1 Mapeo cruzado de controles C-SCRM
La tabla resumen que figura a continuación asigna las capacidades de mejores prácticas para seleccionar los controles de gestión de riesgos de la cadena de suministro de ciberseguridad presentes en la superposición SP 800-161r1 a SP 800-53r5.
NOTA: Esta tabla no debe considerarse una guía definitiva. Para obtener una lista completa de controles, revise detalladamente la guía completa SP 800-161 y consulte a su auditor.
SP 800-53r5 Controles específicos de la cadena de suministro y guía aplicable de gestión de riesgos de ciberseguridad SP 800-161r1
Cómo ayuda Prevalent
CA-2 (2) Evaluaciones de control | Evaluaciones especializadas
Las organizaciones pueden llevar a cabo evaluaciones especializadas, incluyendo verificación y validación, monitoreo de sistemas, evaluaciones de amenazas internas, pruebas de usuarios maliciosos y otras formas de pruebas.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Las empresas deben utilizar diversas técnicas y metodologías de evaluación, como la supervisión continua, la evaluación de amenazas internas y la evaluación de usuarios maliciosos. Estos mecanismos de evaluación son específicos del contexto y requieren que la empresa comprenda su cadena de suministro y defina el conjunto de medidas necesarias para evaluar y verificar que se han implementado las protecciones adecuadas.
CA-2 (3) Evaluaciones de Control | Aprovechamiento de Resultados de Organizaciones Externas
Las organizaciones pueden basarse en evaluaciones de control de los sistemas de la organización realizadas por otras organizaciones (externas).
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: Para C-SCRM, las empresas deben utilizar evaluaciones de seguridad externas para proveedores, desarrolladores, integradores de sistemas, proveedores de servicios de sistemas externos y otros proveedores de servicios relacionados con TIC/OT. Las evaluaciones externas incluyen certificaciones, evaluaciones de terceros y, en el contexto federal, evaluaciones previas realizadas por otros departamentos y agencias. Las certificaciones de la International Enterprise for Standardization (ISO), la National Information Assurance Partnership (Common Criteria) y el Open Group Trusted Technology Forum (OTTF) también pueden ser utilizadas por empresas federales y no federales si dichas certificaciones satisfacen las necesidades de la agencia.
Prevalent ofrece una amplia biblioteca de plantillas preconfiguradas para la evaluación de riesgos de terceros, incluidas las creadas específicamente en torno a los controles NIST. Con Prevalent, puede realizar evaluaciones en el momento de la incorporación del proveedor, la renovación del contrato o con cualquier frecuencia necesaria (p. ej., trimestral o anual) en función de los cambios materiales que se produzcan en la relación.
Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.
Y lo que es más importante, Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros abordan los riesgos de forma oportuna y satisfactoria y pueden proporcionar las pruebas adecuadas a los auditores.
Como parte de este proceso, Prevalent también rastrea y analiza continuamente las amenazas externas a terceros. Prevalent vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de sanciones reputacionales e información financiera.
Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.
Prevalent también incorpora datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.
Si es necesario, puede analizar los informes SOC 2 o la Declaración de Aplicabilidad ISO en lugar de las evaluaciones de riesgos de un proveedor. Nuestro servicio revisa la lista de deficiencias de control identificadas en el informe SOC 2, crea elementos de riesgo contra el tercero y realiza un seguimiento de las deficiencias e informa sobre ellas a lo largo del tiempo.
CP-2 (7) Plan de Contingencia | Coordinar con Proveedores de Servicios Externos
Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para asegurar que los requerimientos de contingencia puedan ser satisfechos.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Las empresas deben definir e implementar un plan de contingencia para los sistemas de información de la cadena de suministro y la red para asegurar que los preparativos están en su lugar para mitigar la pérdida o degradación de los datos o las operaciones. Deben establecerse contingencias para la cadena de suministro, la red, los sistemas de información (especialmente los componentes críticos) y los procesos para garantizar la protección contra el compromiso y proporcionar la conmutación por error adecuada y la recuperación oportuna a un estado aceptable de las operaciones.
IR-4 (10) Manejo de Incidentes | Coordinación de la Cadena de Suministro
Coordinar las actividades de manejo de incidentes que involucren eventos de la cadena de suministro con otras organizaciones involucradas en la cadena de suministro.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Varias empresas pueden estar involucradas en la gestión de incidentes y respuestas para la seguridad de la cadena de suministro. Después de procesar inicialmente el incidente y decidir un curso de acción (en algunos casos, la acción puede ser "ninguna acción"), la empresa puede necesitar coordinarse con sus proveedores, desarrolladores, integradores de sistemas, proveedores de servicios de sistemas externos, otros proveedores de servicios relacionados con TIC/OT y cualquier organismo interinstitucional relevante para facilitar las comunicaciones, la respuesta al incidente, la causa raíz y las acciones correctivas. Las empresas deben compartir información de forma segura a través de un conjunto coordinado de personal en funciones clave para permitir un enfoque más exhaustivo de la gestión de incidentes. Seleccionar proveedores, desarrolladores, integradores de sistemas, proveedores de servicios de sistemas externos y otros proveedores de servicios relacionados con las TIC/OT con capacidades maduras para apoyar la gestión de incidentes de ciberseguridad en la cadena de suministro es importante para reducir la exposición a los riesgos de ciberseguridad en toda la cadena de suministro. Si la transparencia para la gestión de incidentes es limitada debido a la naturaleza de la relación, defina un conjunto de criterios aceptables en el acuerdo (por ejemplo, contrato). Se recomienda una revisión (y posible revisión) del acuerdo, basada en las lecciones aprendidas de incidentes anteriores. Las empresas deben exigir a sus contratistas principales que apliquen este control y transmitir este requisito a los contratistas subalternos pertinentes.
IR-5 Seguimiento de incidentes
Seguimiento y documentación de incidentes.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Las empresas deben asegurarse de que los acuerdos con los proveedores incluyan requisitos para rastrear y documentar incidentes, decisiones de respuesta y actividades.
IR-6 (3) Reporte de Incidentes | Coordinación de la Cadena de Suministro
Proporcionar información del incidente al proveedor del producto o servicio y a otras organizaciones involucradas en la cadena de suministro o en el gobierno de la cadena de suministro para sistemas o componentes de sistemas relacionados con el incidente.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: Las comunicaciones de información sobre incidentes de seguridad de la empresa a proveedores, desarrolladores, integradores de sistemas, proveedores externos de servicios de sistemas y otros proveedores de servicios relacionados con TIC/OT y viceversa requieren protección. La empresa debe asegurarse de que la información se revisa y aprueba para su envío basándose en sus acuerdos con los proveedores y cualquier organismo interinstitucional pertinente. Cualquier escalada o excepción de esta información debe estar claramente definida en el acuerdo. La empresa debe garantizar que los datos de notificación de incidentes estén adecuadamente protegidos para su transmisión y que sólo los reciban las personas autorizadas. Las empresas deben exigir a sus contratistas principales que apliquen este control y que transmitan este requisito a los contratistas subalternos pertinentes.
IR-8(1) Plan de Respuesta a Incidentes | Infracciones
Incluya lo siguiente en el Plan de Respuesta a Incidentes para violaciones que involucren información personal identificable:
(a) Un proceso para determinar si es necesario notificar a las personas o a otras organizaciones, incluidas las organizaciones de supervisión;
(b) Un proceso de evaluación para determinar el alcance del daño, la vergüenza, la inconveniencia o la injusticia para las personas afectadas y cualquier mecanismo para mitigar tales daños; y
(c) Identificación de los requisitos de privacidad aplicables.
Guía de Gestión de Riesgos de Ciberseguridad SP 800-161r1 aplicable:Las empresas deben coordinar, desarrollar e implementar un plan de respuesta a incidentes que incluya responsabilidades de intercambio de información con proveedores críticos y, en un contexto federal, socios interinstitucionales y el FASC. Las empresas deben exigir a sus contratistas principales que apliquen este control y transmitir este requisito a los contratistas subalternos pertinentes.
Como parte de su estrategia más amplia de gestión de incidentes, Prevalent garantiza que su programa de respuesta a incidentes de terceros pueda identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de seguridad de proveedores externos. El equipo de servicios gestionados de Prevalent incluye expertos dedicados que gestionan de forma centralizada a sus proveedores, realizan evaluaciones proactivas de riesgos de eventos, puntúan los riesgos identificados, correlacionan los riesgos con la inteligencia de supervisión cibernética continua y emiten directrices de corrección en nombre de su organización. Los servicios gestionados reducen en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar la aplicación de medidas correctoras.
Entre las funciones clave del servicio de respuesta a incidentes de terceros de Prevalent se incluyen:
- Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
- Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
- Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
- Informes proactivos sobre proveedores
- Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
- Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial en la empresa.
- Plantillas de informes integradas para partes interesadas internas y externas
- Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
- Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceras, cuartas o enésimas partes, con el fin de visualizar las rutas de la información y revelar los datos de riesgo.
Prevalent también analiza bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, los problemas de conformidad y reglamentación, y las notificaciones de filtraciones de datos de proveedores en tiempo real.
Con esta información, su equipo puede comprender mejor el alcance y el impacto del incidente, qué datos se han visto afectados, si las operaciones de terceros se han visto afectadas y cuándo se han completado las medidas correctoras, todo ello gracias a la ayuda de expertos.
PM-9 Estrategia de gestión de riesgos
a. Desarrollar una estrategia integral para gestionar:
1. 1. Los riesgos de seguridad para las operaciones y activos de la organización, los individuos, otras organizaciones y la Nación asociados con la operación y el uso de los sistemas de la organización; y
2. 2. El riesgo para la intimidad de las personas derivado del tratamiento autorizado de información personal identificable;
b. Aplicar la estrategia de gestión de riesgos de forma coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: La estrategia de gestión de riesgos debe abordar los riesgos de ciberseguridad en toda la cadena de suministro.
PM-30 Estrategia de gestión de riesgos en la cadena de suministro
a. Desarrollar una estrategia a nivel de toda la organización para gestionar los riesgos de la cadena de suministro asociados al desarrollo, adquisición, mantenimiento y eliminación de sistemas, componentes de sistemas y servicios de sistemas;
b. Implemente la estrategia de gestión de riesgos de la cadena de suministro de forma coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con una frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.
Guía de Gestión de Riesgos de Ciberseguridad SP 800-161r1 aplicable: La Estrategia de Gestión de Riesgos de la Cadena de Suministro (también conocida como Estrategia C-SCRM) debe complementarse con un Plan de Implementación C-SCRM que establezca iniciativas y actividades detalladas para la empresa con plazos y responsables. Este plan de implantación puede ser un POA&M o estar incluido en un POA&M. Sobre la base de la estrategia C-SCRM y el plan de implementación de nivel 1, la empresa debe seleccionar y documentar los controles C-SCRM comunes que deben abordar las necesidades específicas de la empresa, el programa y el sistema.
Prevalent ayuda a su organización a crear un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad y gobierno de la información, gestión de riesgos empresariales y cumplimiento.
Nuestros expertos colaboran con su equipo en:
- Definir e implantar procesos y soluciones de GTRC y GCRC
- Selección de cuestionarios y marcos de evaluación de riesgos
- Optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde la contratación y la diligencia debida hasta la rescisión del contrato y la salida del servicio- de acuerdo con el apetito de riesgo de su organización.
Como parte de este proceso, le ayudamos a definir:
- Funciones y responsabilidades claras (por ejemplo, RACI)
- Inventarios de terceros
- Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
Con Prevalent, su equipo puede evaluar continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades empresariales cambiantes, midiendo los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) de los proveedores externos a lo largo del ciclo de vida de la relación.
PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión
Identificar, priorizar y evaluar proveedores de tecnologías, productos y servicios críticos o esenciales para la misión.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Véase más arriba.
Prevalent cuantifica los riesgos inherentes para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:
- Tipo de contenido necesario para validar los controles
- Importancia crítica para el rendimiento y las operaciones de la empresa
- Ubicación(es) y consideraciones legales o reglamentarias relacionadas
- Grado de dependencia de terceros
- Experiencia en procesos operativos o de cara al cliente
- Interacción con datos protegidos
- Situación económica y salud
- Reputación
A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.
La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.
PM-31 Estrategia de vigilancia continua
Desarrollar una estrategia de supervisión continua en toda la organización y aplicar programas de supervisión continua que incluyan:
a. Establecimiento de métricas a nivel de toda la organización para su seguimiento;
b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia del control;
c. Supervisión continua de las métricas definidas por la organización de acuerdo con la estrategia de supervisión continua;
d. Correlación y análisis de la información generada por las evaluaciones de control y la supervisión;
e. Acciones de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y
f. Informar del estado de seguridad y privacidad de los sistemas de la organización al personal definido.
Rastree y analice continuamente las amenazas externas a terceros con Prevalent. Vigilamos Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de riesgos para la reputación, sanciones e información financiera.
Las fuentes de seguimiento incluyen:
- Foros de delincuentes; páginas cebolla; foros de acceso especial a la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
- Bases de datos con varios años de historial de violaciones de datos de miles de empresas de todo el mundo.
Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, para que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección en ellos.
A continuación, puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.
RA-1 Política y procedimientos
Desarrollar, documentar y difundir:
1. Una política de evaluación de riesgos que:
(a) Aborde la finalidad, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades de la organización y el cumplimiento; y
(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados;
b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y
c. Revisar y actualizar la evaluación de riesgos actual:
1. Política y
2. 2. Procedimientos.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: Las evaluaciones de riesgos deben realizarse a nivel de empresa, misión/programa y operativo. La evaluación de riesgos a nivel de sistema debe incluir tanto la infraestructura de la cadena de suministro (por ejemplo, entornos de desarrollo y pruebas y sistemas de entrega) como el sistema de información/componentes que atraviesan la cadena de suministro. Las evaluaciones de riesgos a nivel de sistema se cruzan significativamente con el SDLC y deben complementar las actividades RMF más amplias de la empresa, que toman parte durante el SDLC. Un análisis de criticidad garantizará que las funciones y componentes críticos para la misión reciban mayor prioridad debido a su impacto en la misión en caso de verse comprometidos. La política debe incluir roles de ciberseguridad relevantes para la cadena de suministro que se apliquen a la realización y coordinación de evaluaciones de riesgo en toda la empresa (véase la Sección 2 para el listado y descripción de roles). Deben definirse las funciones aplicables dentro de los proveedores, desarrolladores, integradores de sistemas, proveedores de servicios de sistemas externos y otros proveedores de servicios relacionados con las TIC/OT.
Véase PM-9 Estrategia de gestión de riesgos
RA-2 (1) Categorización de la seguridad | Priorización del nivel de impacto
Llevar a cabo una priorización del nivel de impacto de los sistemas de la organización para obtener una mayor granularidad en los niveles de impacto del sistema.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: La categorización de la seguridad es crítica para C-SCRM en los niveles 1, 2 y 3. Además de la categorización [FIPS 199], la categorización de seguridad para C-SCRM debe basarse en el análisis de criticidad que se realiza como parte del SDLC. Ver Sección 2 y [NISTIR 8179] para una descripción detallada del análisis de criticidad.
Véase PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o de misión esencial
RA-3 (1) Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro
(a) Evaluar los riesgos de la cadena de suministro asociados a los sistemas, componentes y servicios; y
(b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando cambios en el sistema, entornos de operación u otras condiciones puedan hacer necesario un cambio en la cadena de suministro.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: Las evaluaciones de riesgos deben incluir un análisis de criticidad, amenazas, vulnerabilidades, probabilidad e impacto, como se describe en detalle en el Apéndice C. Los datos que deben revisarse y recopilarse incluyen las funciones específicas de C-SCRM, los procesos y los resultados de las adquisiciones, implementación e integración de sistemas/componentes y servicios. Las evaluaciones de riesgos deben realizarse en los niveles 1, 2 y 3. Las evaluaciones de riesgos a niveles superiores deben consistir principalmente en una síntesis de varias evaluaciones de riesgos realizadas a niveles inferiores y utilizadas para comprender el impacto global con el nivel (por ejemplo, a nivel de empresa o de misión/función). Las evaluaciones de riesgos de C-SCRM deben complementar e informar las evaluaciones de riesgos, que se realizan como actividades continuas a lo largo del SDLC, y los procesos deben estar debidamente alineados o integrados en los procesos y la gobernanza de ERM.
La plataforma TPRM de Prevalent incluye una amplia biblioteca de plantillas predefinidas para evaluaciones de riesgos de terceros, incluidas las creadas específicamente en torno a los controles NIST. Las evaluaciones pueden realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con cualquier frecuencia necesaria (por ejemplo, trimestral o anual) en función de los cambios materiales.
Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.
Y lo que es más importante, Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros abordan los riesgos de forma oportuna y satisfactoria y pueden proporcionar las pruebas adecuadas a los auditores.
RA-3 (2) Evaluación de Riesgos | Uso de Inteligencia de Todas las Fuentes
Utilizar inteligencia de todas las fuentes para ayudar en el análisis de riesgos.
RA-3 (3) Evaluación de riesgos | Conocimiento dinámico de las amenazas
Determinar el entorno actual de ciberamenazas de forma continua.
RA-3 (4) Evaluación de riesgos | Ciberanálisis predictivo
Emplee capacidades avanzadas de automatización y análisis para predecir e identificar riesgos.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Véase RA-3 (1)
Con Prevalent, puede rastrear y analizar continuamente las amenazas externas a terceros. Como parte de ello, supervisamos Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.
Las fuentes de seguimiento incluyen:
- Foros de delincuentes; páginas cebolla; foros de acceso especial a la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
- Bases de datos con varios años de historial de violaciones de datos de miles de empresas de todo el mundo.
Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.
RA-7 Respuesta al riesgo
Responda a las conclusiones de las evaluaciones, supervisiones y auditorías de seguridad y privacidad de acuerdo con la tolerancia al riesgo de la organización.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: Las empresas deben integrar las capacidades para responder a los riesgos de ciberseguridad a lo largo de la cadena de suministro en la postura general de respuesta de la empresa, asegurando que estas respuestas estén alineadas y dentro de los límites de la tolerancia al riesgo de la empresa. La respuesta al riesgo debe incluir la consideración de la identificación de la respuesta al riesgo, la evaluación de alternativas y las actividades de decisión de la respuesta al riesgo.
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, para que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección en ellos.
Por último, asigne propietarios y realice un seguimiento de los riesgos y las soluciones en la Plataforma hasta un nivel aceptable para la empresa.
RA-9 Análisis de criticidad
Identifique los componentes y funciones críticos del sistema realizando un análisis de criticidad en puntos de decisión definidos en el ciclo de vida de desarrollo del sistema.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Las empresas deben completar un análisis de criticidad como requisito previo a las evaluaciones de las actividades de gestión de riesgos de la cadena de suministro de ciberseguridad. En primer lugar, las empresas deben completar un análisis de criticidad como parte del paso Marco del Proceso de Gestión de Riesgos C-SCRM. A continuación, los resultados generados en las actividades del paso Evaluar (por ejemplo, análisis de criticidad, análisis de amenazas, análisis de vulnerabilidad y estrategias de mitigación) actualizan y adaptan el análisis de criticidad. Existe una relación simbiótica entre el análisis de la criticidad y otras actividades de la etapa Evaluar, ya que se informan y mejoran mutuamente. Para obtener un análisis de la criticidad de alta calidad, las empresas deben emplearlo de forma iterativa a lo largo de todo el proceso SLDC y simultáneamente en los tres niveles. Las empresas deben exigir a sus contratistas principales que apliquen este control y transmitir este requisito a los contratistas subalternos pertinentes. Los departamentos y agencias también deben consultar el Apéndice F para complementar esta guía de acuerdo con la Orden Ejecutiva 14028, Mejora de la ciberseguridad de la nación.
Véase PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o de misión esencial
SR-1 Política y procedimientos
Desarrollar, documentar y difundir:
1. Una política de gestión de riesgos de la cadena de suministro que:
(a) Aborde el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la gerencia, la coordinación entre las entidades de la organización y el cumplimiento; y
(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la aplicación de la política de gestión de riesgos de la cadena de suministro y los controles asociados de gestión de riesgos de la cadena de suministro;
b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y
c. Revisar y actualizar la actual gestión de riesgos de la cadena de suministro:
1. Política y
2. Procedimientos
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: Las políticas C-SCRM se desarrollan en el Nivel 1 para toda la empresa y en el Nivel 2 para misiones y funciones específicas. Las políticas C-SCRM pueden implementarse en los Niveles 1, 2 y 3, dependiendo del nivel de profundidad y detalle. Los procedimientos de C-SCRM se desarrollan en el Nivel 2 para misiones y funciones específicas y en el Nivel 3 para sistemas específicos. Las funciones de la empresa, incluidas, entre otras, las de seguridad de la información, asuntos jurídicos, gestión de riesgos y adquisiciones, deben revisar el desarrollo de las políticas y los procedimientos de C-SCRM y estar de acuerdo con ellos, o proporcionar orientación a los propietarios de los sistemas para que desarrollen procedimientos de C-SCRM específicos para cada sistema.
Véase PM-9 Estrategia de gestión de riesgos
SR-2 Plan de gestión de riesgos de la cadena de suministro
a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas.
b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a cambios en las amenazas, la organización o el entorno; y
c. Proteger el plan de gestión de riesgos de la cadena de suministro frente a divulgaciones y modificaciones no autorizadas.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: Los planes C-SCRM describen implementaciones, requerimientos, restricciones e implicaciones a nivel de sistema. Los planes C-SCRM están influenciados por otras actividades de evaluación de riesgos de la empresa y pueden heredar y adaptar líneas de base de control comunes definidas en el Nivel 1 y Nivel 2. Los planes C-SCRM definidos en el Nivel 3 trabajan en colaboración con la Estrategia y Políticas C-SCRM de la empresa (Nivel 1 y Nivel 2) y el Plan de Implementación C-SCRM (Nivel 1 y Nivel 2) para proporcionar un enfoque sistemático y holístico para la gestión de riesgos de la cadena de suministro de ciberseguridad en toda la empresa. Los planes de C-SCRM deben desarrollarse como un documento independiente y sólo integrarse en los planes de seguridad del sistema existentes si las limitaciones de la empresa lo requieren.
Véase PM-9 Estrategia de gestión de riesgos
SR-3 Controles y procesos de la cadena de suministro
a. Establecer un proceso o procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro en coordinación con el personal de la cadena de suministro;
b. Emplear los siguientes controles para protegerse contra los riesgos de la cadena de suministro para el sistema, componente del sistema o servicio del sistema y para limitar el daño o las consecuencias de los eventos relacionados con la cadena de suministro; y
c. Documentar los procesos y controles de la cadena de suministro seleccionados y aplicados en el plan de gestión de riesgos de la cadena de suministro.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: La Sección 2 y el Apéndice C de este documento proporcionan orientación detallada sobre la implementación de este control. Los departamentos y organismos deben consultar el Apéndice F para aplicar estas directrices de conformidad con la Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad de la nación.
Véase PM-9 Estrategia de gestión de riesgos
SR-4 (4) Procedencia | Integridad de la Cadena de Suministro - Pedigrí
Emplear controles y analizar para garantizar la integridad del sistema y sus componentes validando la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.
Aplicable SP 800-161r1 Cybersecurity Risk Management Guidance: La procedencia debe documentarse para sistemas, componentes de sistemas y datos asociados a lo largo del SDLC. Las empresas deben considerar la producción de SBOMs para las clases aplicables y apropiadas de software, incluyendo software comprado, software de código abierto y software interno. Los SBOM deben producirse utilizando únicamente formatos de SBOM respaldados por la NTIA que puedan satisfacer los elementos mínimos de SBOM [SBOM de la NTIA] EO 14028 de la NTIA. Las empresas que produzcan SBOM deben utilizar los elementos mínimos de SBOM de la [NTIA SBOM] como marco para la inclusión de componentes primarios. Los SBOM deben firmarse digitalmente utilizando una clave verificable y de confianza. Los SBOM pueden desempeñar un papel fundamental a la hora de permitir a las organizaciones mantener la procedencia. Sin embargo, a medida que maduran los SBOM, las organizaciones deben asegurarse de que no restan prioridad a las capacidades existentes de C-SCRM (por ejemplo, prácticas de gestión de vulnerabilidades y evaluaciones de riesgos de proveedores) bajo el supuesto erróneo de que el SBOM sustituye a estas actividades. Los SBOM y la mayor transparencia que deben proporcionar a las organizaciones son capacidades complementarias, no sustitutivas. Las organizaciones que no ingieran, analicen y actúen adecuadamente sobre los datos que proporcionan los SBOM probablemente no mejorarán su postura general de C-SCRM. Los organismos federales deben consultar el Apéndice F para aplicar estas directrices de conformidad con el Decreto 14028 sobre la mejora de la ciberseguridad de la nación.
Como parte del proceso de diligencia debida, Prevalent permite a los proveedores proporcionar listas de materiales de software (SBOM ) actualizadas para sus productos de software. Esto le ayuda a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento de su organización.
SR-5 Estrategias, herramientas y métodos de adquisición
Emplear estrategias de adquisición, herramientas contractuales y métodos de contratación para proteger, identificar y mitigar los riesgos de la cadena de suministro.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: La Sección 3 y los controles SA proporcionan orientación adicional sobre estrategias, herramientas y métodos de adquisición. Los departamentos y agencias deben consultar el Apéndice F para implementar esta guía de acuerdo con la Orden Ejecutiva 14028 sobre la Mejora de la Ciberseguridad de la Nación.
Prevalent permite a su equipo centralizar y automatizar la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar atributos clave.
A medida que se centralizan y revisan todos los proveedores de servicios, la plataforma Prevalent crea perfiles completos de proveedores que contienen información demográfica, tecnologías de 4ª parte, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violación de datos y rendimiento financiero reciente.
Este nivel de diligencia debida crea un mayor contexto para tomar decisiones de selección de proveedores.
SR-6 Evaluaciones y Revisiones de Proveedores
Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados con proveedores o contratistas y el sistema, componente del sistema o servicio del sistema que proporcionan.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Generalmente, una empresa debe considerar cualquier información pertinente a la seguridad, integridad, resiliencia, calidad, confiabilidad o autenticidad del proveedor o sus servicios o productos suministrados. Las empresas deben considerar la aplicación de esta información contra un conjunto coherente de factores básicos de referencia y criterios de evaluación para facilitar la comparación equitativa (entre proveedores y en el tiempo). Dependiendo del contexto específico y del propósito para el que se realice la evaluación, la empresa puede seleccionar factores adicionales. La calidad de la información (por ejemplo, su pertinencia, integridad, exactitud, etc.) en la que se basa una evaluación también es una consideración importante. También deben documentarse las fuentes de referencia de la información de evaluación. La PMO de C-SCRM puede ayudar a definir los requisitos, métodos y herramientas para las evaluaciones de proveedores de la empresa. Los departamentos y organismos deben consultar el Apéndice E para obtener más orientación sobre los factores de riesgo de referencia y la documentación de las evaluaciones y el Apéndice F para aplicar esta orientación de conformidad con la Orden Ejecutiva 14028, Improving the Nation's Cybersecurity.
Véase RA-3 (1) Evaluación de riesgos | Evaluación de riesgos en la cadena de suministro
SR-8 Acuerdos de Notificación
Establecer acuerdos y procedimientos con las entidades involucradas en la cadena de suministro del sistema, componente del sistema o servicio del sistema para la notificación de los compromisos de la cadena de suministro; y los resultados de las evaluaciones o auditorías.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Como mínimo, las empresas deberían exigir a sus proveedores que establezcan acuerdos de notificación con entidades dentro de su cadena de suministro que tengan una función o responsabilidad relacionada con ese servicio o producto crítico. Los departamentos y agencias deben consultar el Apéndice F para implementar esta guía de acuerdo con la Orden Ejecutiva 14028, Mejora de la Ciberseguridad de la Nación.
Prevalent permite a su equipo centralizar la distribución, discusión, retención y revisión de los contratos de proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.
Entre sus principales funciones figuran:
- Seguimiento centralizado de todos los contratos y atributos contractuales, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
- Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
- Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
- Debate centralizado sobre los contratos y seguimiento de los comentarios
- Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
- Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
- Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
Con esta capacidad, puede asegurarse de que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y de que los SLA se controlan y gestionan en consecuencia.
SR-13 Inventario de proveedores
Desarrollar, documentar y mantener un inventario de proveedores que:
1. Refleje de manera precisa y mínima los proveedores de primer nivel de la organización que puedan presentar un riesgo de ciberseguridad en la cadena de suministro;
2. Tenga el nivel de granularidad que se considere necesario para evaluar la criticidad y el riesgo de la cadena de suministro, el seguimiento y la presentación de informes;
3. Documenta la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revisión y actualización del inventario de proveedores.
i. Identificación única del instrumento de adquisición (es decir, contrato, tarea u orden de entrega);
ii. Descripción de los productos y/o servicios suministrados;
iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y
iv. Nivel de criticidad asignado que se ajuste a la criticidad del programa, proyecto y/o sistema (o componente del sistema).
b. Revisar y actualizar el inventario de proveedores.
Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable: Las empresas dependen de numerosos proveedores para ejecutar sus misiones y funciones. Muchos proveedores proporcionan productos y servicios en apoyo de múltiples misiones, funciones, programas, proyectos y sistemas. Algunos proveedores son más críticos que otros, en función de la criticidad de las misiones, funciones, programas, proyectos y sistemas a los que dan soporte sus productos y servicios, y del nivel de dependencia de la empresa con respecto al proveedor. Las empresas deben utilizar el análisis de criticidad para ayudar a determinar qué productos y servicios son críticos para determinar la criticidad de los proveedores que deben documentarse en el inventario de proveedores. Consulte la Sección 2, el Apéndice C y el RA-9 para obtener orientación sobre la realización de análisis de criticidad.
La plataforma TPRM de Prevalent centraliza toda la información sobre los proveedores en un único perfil de proveedor, de modo que todos los departamentos que se relacionan con los proveedores utilizan la misma información, lo que mejora la visibilidad y la toma de decisiones.
Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de aprovisionamiento existente, eliminando procesos manuales propensos a errores.
Rellene los datos clave del proveedor con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Todo el mundo puede acceder a él a través de una invitación por correo electrónico, sin necesidad de formación ni conocimientos sobre la solución.
Con Prevalent, puede crear perfiles completos de proveedores que comparen y supervisen los datos demográficos, la ubicación geográfica, las tecnologías de cuarta parte y la información operativa reciente de los proveedores. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica especialmente.
