NIST y gestión de riesgos en la cadena de suministro
La Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-53) es un marco para los controles de seguridad y privacidad de los sistemas de información y las organizaciones.
Considerada la base sobre la que se construyen todos los demás controles de ciberseguridad, la última versión, la publicación NIST SP 800-53 Rev. 5, amplía y perfecciona las directrices de seguridad y privacidad de la cadena de suministro mediante el establecimiento de un grupo de control completamente nuevo, SR-Gestión de riesgos de la cadena de suministro.
Requisitos pertinentes
- Hacer hincapié en la seguridad y la privacidad mediante la colaboración en la identificación de riesgos y amenazas, y mediante la aplicación de controles basados en la seguridad y la privacidad.
- Aumentar la concienciación sobre la necesidad de evaluar previamente las organizaciones y garantizar la visibilidad de los problemas y las infracciones.
- Exigir transparencia en los sistemas y productos (por ejemplo, ciclo de vida, trazabilidad y autenticidad de los componentes).
- Utilizar planes y políticas formales de gestión de riesgos para impulsar el proceso de gestión de la cadena de suministro.
NIST SP 800-53r5 Controles SCRM: correspondencias cruzadas
La tabla resumen que figura a continuación muestra las capacidades de las mejores prácticas para seleccionar controles de terceros proveedores o suministradores presentes en SP 800-53.
NOTA: Esta tabla no debe considerarse una guía definitiva. Para obtener una lista completa de los controles, revise detalladamente la publicaciónSP 800-53completa y consulte a su auditor.
SP 800-53r5 Controles específicos de la cadena de suministro
Cómo ayuda Prevalent
A-2 (2)Evaluaciones de control | Evaluaciones especializadas
Las organizaciones pueden llevar a cabo evaluaciones especializadas, como verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios malintencionados y otras formas de pruebas.
CA-2 (3)Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas
Las organizaciones pueden confiar en las evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas).
Gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC):Los procesos de gestión de riesgos de la cadena de suministro cibernética son identificados, establecidos, gestionados, supervisados y mejorados por las partes interesadas de la organización.
Prevalent ofrece una amplia biblioteca de plantillas preconfiguradas para la evaluación de riesgos de terceros, incluidas las creadas específicamente en torno a los controles NIST. Con Prevalent, puede realizar evaluaciones en el momento de la incorporación del proveedor, la renovación del contrato o con cualquier frecuencia necesaria (p. ej., trimestral o anual) en función de los cambios materiales que se produzcan en la relación.
Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.
Y lo que es más importante, Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros abordan los riesgos de forma oportuna y satisfactoria y pueden proporcionar las pruebas adecuadas a los auditores.
Como parte de este proceso, Prevalent también rastrea y analiza continuamente las amenazas externas a terceros. Prevalent vigila Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de sanciones reputacionales e información financiera.
Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.
Prevalent también incorpora datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.
Si es necesario, puede analizar los informes SOC 2 o la Declaración de Aplicabilidad ISO en lugar de las evaluaciones de riesgos de un proveedor. Nuestro servicio revisa la lista de deficiencias de control identificadas en el informe SOC 2, crea elementos de riesgo contra el tercero y realiza un seguimiento de las deficiencias e informa sobre ellas a lo largo del tiempo.
CP-2 (7)Plan de contingencia | Coordinar con los proveedores de servicios externos
Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para garantizar que puedan satisfacerse los requisitos de contingencia.
IR-4 (10)Gestión de incidentes | Coordinación de la cadena de suministro
Coordinar las actividades de gestión de incidentes relacionados con la cadena de suministro con otras organizaciones implicadas en la cadena de suministro.
IR-5Supervisión de incidentes
Seguimiento y documentación de incidentes.
IR-6 (3)Notificación de incidentes | Coordinación de la cadena de suministro
Proporcionar información sobre el incidente al proveedor del producto o servicio y a otras organizaciones implicadas en la cadena de suministro o en la gobernanza de la cadena de suministro para sistemas o componentes de sistemas relacionados con el incidente.
IR-8(1)Plan de respuesta ante incidentes | Violaciones
Incluya lo siguiente en el Plan de Respuesta a Incidentes para violaciones que involucren información personal identificable:
(a) Un proceso para determinar si es necesaria la notificación a particulares u otras organizaciones, incluidas las organizaciones de supervisión;
(b) Un proceso de evaluación para determinar el alcance del perjuicio, la vergüenza, la inconveniencia o la injusticia para las personas afectadas y cualquier mecanismo para mitigar tales perjuicios; y
(c) Identificación de los requisitos de privacidad aplicables.
GV.SC-02:Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades en materia de ciberseguridad de los proveedores, clientes y socios.
GV.SC-03:La gestión de riesgos de la cadena de suministro en materia de ciberseguridad se integra en la gestión de riesgos empresariales y de ciberseguridad, la evaluación de riesgos y los procesos de mejora.
Como parte de su estrategia más amplia de gestión de incidentes, Prevalent garantiza que su programa de respuesta a incidentes de terceros pueda identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de seguridad de proveedores externos. El equipo de servicios gestionados de Prevalent incluye expertos dedicados que gestionan de forma centralizada a sus proveedores, realizan evaluaciones proactivas de riesgos de eventos, puntúan los riesgos identificados, correlacionan los riesgos con la inteligencia de supervisión cibernética continua y emiten directrices de corrección en nombre de su organización. Los servicios gestionados reducen en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar la aplicación de medidas correctoras.
Entre las funciones clave del servicio de respuesta a incidentes de terceros de Prevalent se incluyen:
- Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
- Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
- Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
- Informes proactivos sobre proveedores
- Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
- Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial en la empresa.
- Plantillas de informes integradas para partes interesadas internas y externas
- Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
- Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceras, cuartas o enésimas partes, con el fin de visualizar las rutas de la información y revelar los datos de riesgo.
Prevalent también analiza bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, los problemas de conformidad y reglamentación, y las notificaciones de filtraciones de datos de proveedores en tiempo real.
Con esta información, su equipo puede comprender mejor el alcance y el impacto del incidente, qué datos se han visto afectados, si las operaciones de terceros se han visto afectadas y cuándo se han completado las medidas correctoras, todo ello gracias a la ayuda de expertos.
PM-9Estrategia de gestión de riesgos
a. Desarrollar una estrategia global de gestión:
1. El riesgo de seguridad para las operaciones y activos de la organización, los individuos, otras organizaciones y la Nación asociado con la operación y uso de los sistemas de la organización; y
2. Riesgo para la intimidad de las personas derivado del tratamiento autorizado de información personal identificable;
b. Aplicar la estrategia de gestión de riesgos de forma coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos.
PM-30 Estrategia de gestión de riesgos en la cadena de suministro
a. Desarrollar una estrategia a nivel de toda la organización para gestionar los riesgos de la cadena de suministro asociados al desarrollo, adquisición, mantenimiento y eliminación de sistemas, componentes de sistemas y servicios de sistemas;
b. Aplicar la estrategia de gestión de riesgos de la cadena de suministro de forma coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con una frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.
Prevalent ayuda a su organización a crear un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad y gobierno de la información, gestión de riesgos empresariales y cumplimiento.
Nuestros expertos colaboran con su equipo en:
- Definir e implantar procesos y soluciones de GTRC y GCRC
- Selección de cuestionarios y marcos de evaluación de riesgos
- Optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde la contratación y la diligencia debida hasta la rescisión del contrato y la salida del servicio- de acuerdo con el apetito de riesgo de su organización.
Como parte de este proceso, le ayudamos a definir:
- Funciones y responsabilidades claras (por ejemplo, RACI)
- Inventarios de terceros
- Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización
Con Prevalent, su equipo puede evaluar continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes del negocio, midiendolos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)de los proveedores externos a lo largo del ciclo de vida de la relación.
PM 30 (1)Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión
Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para las misiones.
Prevalent cuantifica los riesgos inherentes para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:
- Tipo de contenido necesario para validar los controles
- Importancia crítica para el rendimiento y las operaciones de la empresa
- Ubicación(es) y consideraciones legales o reglamentarias relacionadas
- Grado de dependencia de terceros
- Experiencia en procesos operativos o de cara al cliente
- Interacción con datos protegidos
- Situación económica y salud
- Reputación
A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.
PM-31 Estrategia de vigilancia continua
Desarrollar una estrategia de supervisión continua en toda la organización y aplicar programas de supervisión continua que incluyan:
a. Establecimiento de métricas a nivel de toda la organización para su seguimiento;
b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia del control;
c. Supervisión continua de las métricas definidas por la organización de acuerdo con la estrategia de supervisión continua;
d. Correlación y análisis de la información generada por las evaluaciones de control y la supervisión;
e. Acciones de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y
f. Informar del estado de seguridad y privacidad de los sistemas de la organización al personal definido.
Rastree y analice continuamente las amenazas externas a terceros con Prevalent. Vigilamos Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de riesgos para la reputación, sanciones e información financiera.
Las fuentes de seguimiento incluyen:
- Foros de delincuentes; páginas cebolla; foros de acceso especial a la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
- Bases de datos con varios años de historial de violaciones de datos de miles de empresas de todo el mundo.
Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, para que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección en ellos.
A continuación, puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta un nivel aceptable para la empresa.
Política y procedimientos RA-1
Desarrollar, documentar y difundir:
1. Una política de evaluación de riesgos que:
(a) Aborda la finalidad, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades de la organización y el cumplimiento; y
(b) Es coherente con las leyes, decretos, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados;
b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y
c. Revisar y actualizar la evaluación de riesgos actual:
1. Política y
2. Procedimientos.
Véase PM-9 Estrategia de gestión de riesgos
RA-2 (1)Clasificación de seguridad | Priorización por nivel de impacto
Llevar a cabo una priorización a nivel de impacto de los sistemas de la organización para obtener una mayor granularidad en los niveles de impacto del sistema.
Véase PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o de misión esencial
RA-3 (1)Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro
(a) Evaluar los riesgos de la cadena de suministro asociados a los sistemas, componentes y servicios; y
(b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos de operación u otras condiciones puedan hacer necesario un cambio en la cadena de suministro.
La plataforma TPRM de Prevalent incluye una amplia biblioteca de plantillas predefinidas para evaluaciones de riesgos de terceros, incluidas las creadas específicamente en torno a los controles NIST. Las evaluaciones pueden realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con cualquier frecuencia necesaria (por ejemplo, trimestral o anual) en función de los cambios materiales.
Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.
Y lo que es más importante, Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros abordan los riesgos de forma oportuna y satisfactoria y pueden proporcionar las pruebas adecuadas a los auditores.
RA-3 (2)Evaluación de riesgos | Uso de inteligencia de todas las fuentes
Utilizar todas las fuentes de inteligencia para ayudar en el análisis de riesgos.
RA-3 (3)Evaluación de riesgos | Concienciación dinámica sobre amenazas
Determinar de forma continua el entorno actual de las ciberamenazas.
RA-3 (4)Evaluación de riesgos | Análisis cibernético predictivo
Emplee funciones avanzadas de automatización y análisis para predecir e identificar riesgos.
RA-7Respuesta al riesgo
Responder a las conclusiones de las evaluaciones, supervisiones y auditorías de seguridad y privacidad de acuerdo con la tolerancia al riesgo de la organización.
Con Prevalent, puede rastrear y analizar continuamente las amenazas externas a terceros. Como parte de ello, supervisamos Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.
Las fuentes de seguimiento incluyen:
- Foros de delincuentes; páginas cebolla; foros de acceso especial a la web oscura; feeds de amenazas; y sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
- Bases de datos con varios años de historial de violaciones de datos de miles de empresas de todo el mundo.
Todos los datos de supervisión se correlacionan con los resultados de las evaluaciones y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, para que pueda ver fácilmente los riesgos de mayor impacto y priorizar los esfuerzos de corrección en ellos.
Por último, asigne propietarios y realice un seguimiento de los riesgos y las soluciones en la Plataforma hasta un nivel aceptable para la empresa.
Análisis de criticidad RA-9
Identificar los componentes y funciones críticos del sistema realizando un análisis de criticidad en puntos de decisión definidos del ciclo de vida de desarrollo del sistema.
Véase PM 30 (1) Estrategia de gestión de riesgos en la cadena de suministro | Proveedores de artículos críticos o de misión esencial
Política y procedimientos SR-1
Desarrollar, documentar y difundir:
1. Una política de gestión de riesgos en la cadena de suministro que:
(a) Aborda la finalidad, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades de la organización y el cumplimiento; y
(b) Es coherente con las leyes, decretos, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la aplicación de la política de gestión de riesgos en la cadena de suministro y los controles asociados a la gestión de riesgos en la cadena de suministro;
b. Designar a un funcionario que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y
c. Revisar y actualizar la actual gestión de riesgos de la cadena de suministro:
1. Política y
2. Procedimientos
Véase PM-9 Estrategia de gestión de riesgos
SR-2 Plan de gestión de riesgos en la cadena de suministro
a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas.
b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a los cambios en las amenazas, la organización o el entorno; y
c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.
Véase PM-9 Estrategia de gestión de riesgos
SR-3Controles y procesos de la cadena de suministro
a. Establecer un proceso o procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro en coordinación con el personal de la cadena de suministro;
*b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro para el sistema, los componentes del sistema o los servicios del sistema, y para limitar los daños o las consecuencias de los eventos relacionados con la cadena de suministro; y
c. Documentar losprocesos y controles de la cadena de suministro seleccionados e implementadosen el plan de gestión de riesgos de la cadena de suministro.*
Véase PM-9 Estrategia de gestión de riesgos
SR-4 (4) Procedencia | Integridad de la cadena de suministro - Pedigrí
Emplear controles y analizar para garantizar la integridad del sistema y sus componentes validando la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.
Como parte del proceso de diligencia debida, Prevalent permite a los proveedores proporcionar listas de materiales de software (SBOM ) actualizadas para sus productos de software. Esto le ayuda a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento de su organización.
SR-5 Estrategias, herramientas y métodos de adquisición
Utilizar estrategias de adquisición, herramientas contractuales y métodos de contratación para proteger, identificar y mitigar los riesgos de la cadena de suministro.
Prevalent permite a su equipo centralizar y automatizar la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar atributos clave.
A medida que se centralizan y revisan todos los proveedores de servicios, la plataforma Prevalent crea perfiles completos de proveedores que contienen información demográfica, tecnologías de 4ª parte, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violación de datos y rendimiento financiero reciente.
Este nivel de diligencia debida crea un mayor contexto para tomar decisiones de selección de proveedores.
SR-6Evaluaciones y revisiones de proveedores
Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados con los proveedores o contratistas y el sistema, componente del sistema o servicio del sistema que proporcionan.
Véase RA-3 (1) Evaluación de riesgos | Evaluación de riesgos en la cadena de suministro
Acuerdos de notificación SR-8
Establecer acuerdos y procedimientos con las entidades implicadas en la cadena de suministro del sistema, componente o servicio del sistema para la notificación de los compromisos de la cadena de suministro y los resultados de las evaluaciones o auditorías.
Prevalent permite a su equipo centralizar la distribución, discusión, retención y revisión de los contratos de proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.
Entre sus principales funciones figuran:
- Seguimiento centralizado de todos los contratos y atributos contractuales, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
- Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
- Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
- Debate centralizado sobre los contratos y seguimiento de los comentarios
- Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
- Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
- Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
Con esta capacidad, puede asegurarse de que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y de que los SLA se controlan y gestionan en consecuencia.
Inventario de proveedores SR-13
Desarrollar, documentar y mantener un inventario de proveedores que:
1. Refleje de forma precisa y mínima los proveedores de primer nivel de la organización que pueden presentar un riesgo de ciberseguridad en la cadena de suministro.
2. Tenga el nivel de detalle necesario para evaluar la criticidad y el riesgo de la cadena de suministro, realizar un seguimiento e informar al respecto.
3. Documente la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revise y actualice el inventario de proveedores.
i. Identificación única del instrumento de adquisición (es decir, contrato, tarea u orden de entrega);
ii. Descripción de los productos y/o servicios suministrados;
iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y
iv. Nivel de criticidad asignado que se ajusta a la criticidad del programa, proyecto y/o sistema (o componente del sistema).
b. Revisar y actualizar el inventario de proveedores.
La plataforma TPRM de Prevalent centraliza toda la información sobre los proveedores en un único perfil de proveedor, de modo que todos los departamentos que se relacionan con los proveedores utilizan la misma información, lo que mejora la visibilidad y la toma de decisiones.
Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de aprovisionamiento existente, eliminando procesos manuales propensos a errores.
Rellene los datos clave del proveedor con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Todo el mundo puede acceder a él a través de una invitación por correo electrónico, sin necesidad de formación ni conocimientos sobre la solución.
Con Prevalent, puede crear perfiles completos de proveedores que comparen y supervisen los datos demográficos, la ubicación geográfica, las tecnologías de cuarta parte y la información operativa reciente de los proveedores. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica especialmente.
