Cumplimiento de NIST SP 800-53r5, NIST SP 800-161r1 y NIST CSF v2.0

Contactar con un experto

Volver a todos los casos de uso

NIST y la gestión de riesgos de terceros

El Instituto Nacional de Normas y Tecnología (NIST) es una agencia federal del Departamento de Comercio de Estados Unidos. Entre las responsabilidades del NIST se incluye el establecimiento de normas y directrices relacionadas con la informática y las tecnologías de la información para los organismos federales. Dado que el NIST publica y mantiene recursos clave para gestionar los riesgos de ciberseguridad aplicables a cualquier empresa, muchas organizaciones del sector privado consideran que el cumplimiento de estas normas y directrices es una prioridad absoluta.

Varias publicaciones especiales del NIST tienen controles específicos que requieren que las organizaciones establezcan e implementen los procesos para identificar, evaluar y gestionar el riesgo de la cadena de suministro. Estas publicaciones especiales del NIST incluyen:

Dado que las directrices del NIST se complementan entre sí, las organizaciones que se estandarizan en una publicación especial y la cruzan con las demás, en efecto, cumplen múltiples requisitos utilizando un único marco. La plataforma de gestión de riesgos de terceros de Prevalent puede utilizarse para cumplir los requisitos del NIST y reforzar la seguridad de la cadena de suministro.

Requisitos pertinentes

  • Evaluar si los controles de seguridad se aplican correctamente, funcionan según lo previsto y cumplen los requisitos.
  • Determinar los requisitos de ciberseguridad para los proveedores
  • Comunicar a los proveedores cómo se verificarán y validarán los requisitos de ciberseguridad.
  • Supervisar continuamente los controles de seguridad para determinar su eficacia.
  • Promulgar requisitos de ciberseguridad mediante acuerdos formales (por ejemplo, contratos).
  • Verificar que se cumplen los requisitos de ciberseguridad mediante metodologías de evaluación.

NIST SP 800-53r5 y SP 800-161r1 TPRM Controles Cross-Mapping

En las tablas resumen que figuran a continuación se asignan las funciones disponibles en la plataforma de gestión de riesgos de terceros prevalentes a controles de terceros, vendedores o proveedores seleccionados presentes en la norma SP 800-53, con asignación cruzada a la norma SP 800-161.

SP 800-53 r5 Número de control con correspondencia cruzada SP 800-161r1

Cómo ayudamos

Control SP 800 53 con superposición SP 800-161

  • CA-2 (1) Evaluaciones de control | Evaluaciones especializadas
  • CA-2 (3) Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas

La plataforma de gestión de riesgos de terceros de Prevalent incluye más de 100 plantillas estandarizadas de encuestas de evaluación de riesgos -incluidas las de NIST, ISO y muchas otras-, un asistente de creación de encuestas personalizadas y un cuestionario que asigna automáticamente las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en las normas del sector y abordan todos los temas de seguridad de la información relacionados con los controles de seguridad de los socios de la cadena de suministro.

Prevalent Vendor Threat Monitor (VTM) rastrea y analiza continuamente las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad notificados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la Web oscura en busca de ciberamenazas y vulnerabilidades. También correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite el triaje y la respuesta centralizados a los riesgos.

Con la plataforma Prevalent, puede comunicarse eficazmente con los proveedores y coordinar los esfuerzos de corrección. Capture y audite las conversaciones; registre las fechas estimadas de finalización; acepte o rechace los envíos en función de cada respuesta; asigne tareas en función de los riesgos, los documentos o las entidades; y relacione la documentación y las pruebas con los riesgos.

Control SP 800 53 con superposición SP 800-161

  • CA-7 (3) Monitorización continua | Análisis de tendencias

Prevalent VTM revela incidentes cibernéticos de terceros para 550.000 empresas rastreadas activamente mediante la supervisión de más de 1.500 foros delictivos; miles de páginas cebolla, más de 80 foros de acceso especial a la web oscura; más de 65 feeds de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.

A continuación, Prevalent normaliza, correlaciona y analiza la información procedente de múltiples entradas, incluidas las evaluaciones de riesgos internas y externas y la supervisión externa de Prevalent Vendor Threat Monitor y BitSight. Este modelo unificado proporciona contexto, cuantificación, gestión y ayuda para la corrección.

Control SP 800 53 con superposición SP 800-161

  • CP-2 (3) Plan de Contingencia | Coordinar con Proveedores de Servicios Externos

El servicio Prevalent Third-Party Incident Response Service le permite identificar y mitigar rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de proveedores, la realización proactiva de evaluaciones de sucesos, la puntuación de los riesgos identificados y el acceso a orientaciones sobre medidas correctoras.

La plataforma Prevalent incluye funciones unificadas para evaluar, analizar y abordar los puntos débiles de los planes de resistencia empresarial de los proveedores. Esto le permite trabajar de forma proactiva con su comunidad de proveedores para prepararse ante pandemias, desastres medioambientales y otras posibles crisis.

Además de facilitar evaluaciones automatizadas y periódicas basadas en el control interno, la plataforma Prevalent proporciona supervisión de ciberseguridad, empresarial, reputacional y financiera, evaluando continuamente a terceros para identificar posibles puntos débiles que puedan ser explotados por ciberdelincuentes.

Toda la información sobre riesgos se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y cuenta con un modelo flexible de puntuación ponderada basado en la probabilidad de un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • IR-4 (3) Gestión de incidentes | Coordinación de la cadena de suministro

El servicio Prevalent Third-Party Incident Response Service le permite identificar y mitigar rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de proveedores, la realización proactiva de evaluaciones de sucesos, la puntuación de los riesgos identificados y el acceso a orientaciones sobre medidas correctoras.

La plataforma Prevalent incluye funciones unificadas para evaluar, analizar y abordar los puntos débiles de los planes de resistencia empresarial de los proveedores. Esto le permite trabajar de forma proactiva con su comunidad de proveedores para prepararse ante pandemias, desastres medioambientales y otras posibles crisis.

Además de facilitar evaluaciones automatizadas y periódicas basadas en el control interno, la plataforma Prevalent proporciona supervisión de ciberseguridad, empresarial, reputacional y financiera, evaluando continuamente a terceros para identificar posibles puntos débiles que puedan ser explotados por ciberdelincuentes.

Toda la información sobre riesgos se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y cuenta con un modelo flexible de puntuación ponderada basado en la probabilidad de un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • IR-5 Supervisión de incidentes

Prevalent Contract Essentials es una solución SaaS que centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja. Con Contract Essentials, sus equipos jurídicos y de adquisiciones disponen de una única solución para garantizar que se aplican las cláusulas contractuales clave y que se gestionan los niveles de servicio y los tiempos de respuesta.

Control SP 800 53 con superposición SP 800-161

  • IR-6 (1) Notificación de incidentes | Coordinación de la cadena de suministro

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y presenta un modelo flexible de puntuación ponderada basado en la probabilidad de que se produzca un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • IR-8 Plan de respuesta a incidentes

El servicio Prevalent Third-Party Incident Response Service le permite identificar y mitigar rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a orientaciones de corrección. Los servicios de respuesta a incidentes proporcionan la base para estar bien preparado ante las preguntas de la junta directiva y de los ejecutivos sobre el impacto de los incidentes en la cadena de suministro, y para demostrar a los auditores y reguladores las pruebas de su plan de respuesta ante infracciones de terceros.

Control SP 800 53 con superposición SP 800-161

  • PM-16 Programa de concienciación sobre amenazas

Prevalent VTM revela incidentes cibernéticos de terceros para 550.000 empresas rastreadas activamente mediante la supervisión de más de 1.500 foros delictivos; miles de páginas cebolla, más de 80 foros de acceso especial a la web oscura; más de 65 feeds de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.

A continuación, Prevalent normaliza, correlaciona y analiza la información procedente de múltiples entradas, incluidas las evaluaciones de riesgos internas y externas y la supervisión externa de Prevalent Vendor Threat Monitor y BitSight. Este modelo unificado proporciona contexto, cuantificación, gestión y ayuda para la corrección.

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y presenta un modelo flexible de puntuación ponderada basado en la probabilidad de que se produzca un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • PM-31 Estrategia de vigilancia continua

Prevalent VTM revela incidentes cibernéticos de terceros para 550.000 empresas rastreadas activamente mediante la supervisión de más de 1.500 foros delictivos; miles de páginas cebolla, más de 80 foros de acceso especial a la web oscura; más de 65 feeds de amenazas; y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.

A continuación, Prevalent normaliza, correlaciona y analiza la información procedente de múltiples entradas, incluidas las evaluaciones de riesgos internas y externas y la supervisión externa de Prevalent Vendor Threat Monitor y BitSight. Este modelo unificado proporciona contexto, cuantificación, gestión y ayuda para la corrección.

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y presenta un modelo flexible de puntuación ponderada basado en la probabilidad de que se produzca un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • RA-1 Política y procedimientos

La plataforma Prevalent incluye más de 100 plantillas estandarizadas de encuestas de evaluación de riesgos -incluidas las de NIST, ISO y muchas otras-, un asistente de creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en las normas del sector y abordan todos los temas de seguridad de la información relacionados con los controles de seguridad de los socios de la cadena de suministro.

Con la plataforma Prevalent, puede generar automáticamente un registro de riesgos una vez finalizada la encuesta, lo que garantiza que todo el perfil de riesgo (o una versión específica para cada función) pueda visualizarse en el panel de informes centralizado y en tiempo real, y que los informes puedan descargarse y exportarse para determinar el estado de cumplimiento. Esto filtra el ruido innecesario y se centra en las áreas de posible preocupación, proporcionando visibilidad y tendencias para medir la eficacia del programa. A continuación, puede tomar medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación integradas.

Control SP 800 53 con superposición SP 800-161

  • Evaluación de riesgos RA-3

Véase PM-9 Estrategia de gestión de riesgos

SR-2 Plan de gestión de riesgos en la cadena de suministro

a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas.

b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a los cambios en las amenazas, la organización o el entorno; y

c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.

La plataforma Prevalent incluye más de 100 plantillas estandarizadas de encuestas de evaluación de riesgos -incluidas las de NIST, ISO y muchas otras-, un asistente de creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en las normas del sector y abordan todos los temas de seguridad de la información relacionados con los controles de seguridad de los socios de la cadena de suministro. Prevalent ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de proveedores y determinar el cumplimiento por parte de éstos de los requisitos de seguridad informática, normativos y de privacidad de datos.

Además de facilitar evaluaciones automatizadas y periódicas basadas en el control interno, la plataforma Prevalent también proporciona supervisión de ciberseguridad, empresarial, de reputación y financiera, evaluando continuamente a terceros para identificar posibles puntos débiles que puedan ser explotados por ciberdelincuentes.

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y presenta un modelo flexible de puntuación ponderada basado en la probabilidad de que se produzca un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • RA-7 Respuesta al riesgo

Véase PM-9 Estrategia de gestión de riesgos

SR-4 (4) Procedencia | Integridad de la cadena de suministro - Pedigrí

Emplear controles y analizar para garantizar la integridad del sistema y sus componentes validando la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.

La plataforma Prevalent cuenta con una guía integrada para remediar los fallos de control u otros riesgos identificados a niveles aceptables para su organización. Prevalent también permite a los evaluadores de riesgos comunicarse con terceros acerca de las correcciones, documentar conversaciones y actualizaciones, y almacenar documentación de control de apoyo en un repositorio centralizado.

SR-5 Estrategias, herramientas y métodos de adquisición

Utilizar estrategias de adquisición, herramientas contractuales y métodos de contratación para proteger, identificar y mitigar los riesgos de la cadena de suministro.

Prevalent ofrece un cuestionario de evaluación de riesgos inherentes con una puntuación clara basada en ocho criterios para captar, seguir y cuantificar los riesgos de todos los terceros. Los criterios de evaluación incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de cara al cliente
    *Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

Mediante la evaluación de riesgos inherentes, puede establecer automáticamente niveles de proveedores, fijar niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores.

La lógica de clasificación por niveles basada en reglas permite clasificar a los proveedores en función de una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

Control SP 800 53 con superposición SP 800-161

  • SA-4 (3) Proceso de adquisición | Plan de supervisión continua de los controles

Además de facilitar evaluaciones automatizadas y periódicas basadas en el control interno, la plataforma Prevalent también proporciona supervisión de ciberseguridad, empresarial, de reputación y financiera, evaluando continuamente a terceros para identificar posibles puntos débiles que puedan ser explotados por ciberdelincuentes.

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y presenta un modelo flexible de puntuación ponderada basado en la probabilidad de que se produzca un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • SI-4 (1) Supervisión del sistema | Conocimiento integrado de la situación

Prevalent VTM rastrea y analiza continuamente las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad notificados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, y la correlación de los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas a los riesgos.

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y presenta un modelo flexible de puntuación ponderada basado en la probabilidad de que se produzca un suceso y su impacto.

Control SP 800 53 con superposición SP 800-161

  • SI-5 Alertas, avisos y directivas de seguridad

Prevalent VTM rastrea y analiza continuamente las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad notificados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, y la correlación de los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas a los riesgos.

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la elaboración de informes y la respuesta, y presenta un modelo flexible de puntuación ponderada basado en la probabilidad de que se produzca un suceso y su impacto.

SP 800-53 r5 Gestión de riesgos en la cadena de suministro (SR) Control

La siguiente tabla incluye un extracto del control de gestión de riesgos de la cadena de suministro SP 800-53 r5 y cómo la plataforma Prevalent aborda los requisitos. Para obtener una descripción completa, descargue la guía completa del NIST.

SP 800-53 r5 Gestión de riesgos en la cadena de suministro (SR) Control

Cómo ayudamos

SR-1 Política y procedimientos

Los servicios de diseño de programas de Prevalent definen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas al tiempo que incorpora las mejores prácticas para la gestión integral de riesgos de terceros.

SR-2 Plan de gestión de riesgos en la cadena de suministro

Los servicios de optimización de programas Prevalent le ayudan a mejorar continuamente la implementación de su plataforma Prevalent, garantizando que su programa TPRM mantenga la flexibilidad y agilidad que necesita para cumplir los requisitos empresariales y normativos en constante evolución.

SR-3 Controles y procesos de la cadena de suministro

Los servicios de diseño de programas de Prevalent definen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas al tiempo que incorpora las mejores prácticas para la gestión integral de riesgos de terceros.

SR-5 Estrategias, herramientas y métodos de adquisición

Prevalent ayuda a los equipos de compras a reducir los costes, la complejidad y la exposición al riesgo durante la selección de proveedores. Nuestra solución RFx Essentials proporciona distribución, comparación y gestión centralizadas de RFP y RFI. También le ayuda a anticiparse a los posibles riesgos de los proveedores con puntuaciones demográficas, de 4ª parte y ESG, además de información opcional sobre riesgos empresariales, de reputación y financieros. Como resultado, podrá dar un primer paso importante para abordar el riesgo en el ciclo de vida de terceros.

Una vez completada la selección de proveedores, Prevalent Contract Essentials centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la baja. Con Contract Essentials, los equipos jurídicos y de compras disponen de una única solución para gestionar los contratos de proveedores, simplificar la gestión y la revisión, y reducir costes y riesgos.

SR-6 Evaluaciones y revisiones de proveedores

La plataforma Prevalent incluye más de 600 plantillas estandarizadas de encuestas de evaluación de riesgos -incluidas las de NIST, ISO y muchas otras-, un asistente de creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en las normas del sector y abordan todos los temas de seguridad de la información relacionados con los controles de seguridad de los socios de la cadena de suministro y la resistencia empresarial.

Prevalent Vendor Threat Monitor rastrea y analiza continuamente las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad notificados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la Web oscura en busca de ciberamenazas y vulnerabilidades, y la correlación de los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas a los riesgos.

Acuerdos de notificación SR-8

Con la plataforma Prevalent, puede colaborar en documentos, acuerdos y certificaciones, como NDA, SLA, SOW y contratos, con control de versiones integrado, asignación de tareas y cadencias de revisión automática. También puede gestionar todos los documentos a lo largo del ciclo de vida del proveedor en perfiles de proveedor centralizados.

 

SR-13 Inventario de proveedores

Prevalent ofrece un cuestionario de evaluación de riesgos inherentes con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos para todos los terceros. Los criterios de evaluación incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

Mediante la evaluación de riesgos inherentes, puede establecer automáticamente niveles de proveedores, fijar niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores.

La lógica de clasificación por niveles basada en reglas permite clasificar a los proveedores en función de una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

Marco de Ciberseguridad del NIST (CSF) v2.0 y Gestión de Riesgos de Terceros

La siguiente tabla incluye un desglose de los controles específicos de la cadena de suministro en la Función de Gobierno del Marco de Ciberseguridad v2.0 y cómo Prevalent ayuda a abordarlos. Para una comprensión completa del marco, descargue el NIST CSF completo.

Función, categoría y subcategoría

Buenas prácticas

GOBERNAR (GV): La estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización se establecen, se comunican y se supervisan

Gestión de riesgos de la cadena de suministro de ciberseguridad (GV.SC): Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética.

GV.SC-01: Las partes interesadas de la organización establecen y acuerdan un programa, una estrategia, unos objetivos, unas políticas y unos procesos de gestión de los riesgos de la cadena de suministro en materia de ciberseguridad.

Cree un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad de la información y gobernanza, gestión de riesgos empresariales y cumplimiento.

GV.SC-02: Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades en materia de ciberseguridad de proveedores, clientes y socios.

GV.SC-03: La gestión de los riesgos de la cadena de suministro en materia de ciberseguridad se integra en los procesos de gestión, evaluación y mejora de la ciberseguridad y de los riesgos empresariales.

Cree un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en línea con sus programas más amplios de seguridad de la información y gobernanza, gestión de riesgos empresariales y cumplimiento.

Busque expertos en los que colaborar con su equipo:

  • Definir e implantar procesos y soluciones de GTRC y GCRC
  • Selección de cuestionarios y marcos de evaluación de riesgos
  • Optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros -desde la contratación y la diligencia debida hasta la rescisión del contrato y la salida del servicio- de acuerdo con el apetito de riesgo de su organización.

Como parte de este proceso, debe definir:

GV.SC-04: Los proveedores son conocidos y priorizados por criticidad

Centralice su inventario de terceros en una solución de software. A continuación, cuantifique los riesgos inherentes de todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros deben incluir:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Grado de dependencia de terceros
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

La lógica de clasificación por niveles basada en reglas debe permitir la categorización de proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

GV.SC-05: Los requisitos para hacer frente a los riesgos de ciberseguridad en las cadenas de suministro se establecen, priorizan e integran en los contratos y otros tipos de acuerdos con proveedores y otros terceros pertinentes.

Centralizar la distribución, discusión, retención y revisión de los contratos de proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave deben incluir:

  • Seguimiento centralizado de todos los contratos y atributos contractuales, como tipo, fechas clave, valor, recordatorios y estado, con vistas personalizadas basadas en funciones.
  • Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
  • Debate centralizado sobre los contratos y seguimiento de los comentarios
  • Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
  • Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede asegurarse de que en el contrato con el proveedor se articulan responsabilidades claras y cláusulas de derecho de auditoría, y de que los SLA se controlan y gestionan en consecuencia.

GV.SC-06: Se llevan a cabo la planificación y la diligencia debida para reducir los riesgos antes de entablar relaciones formales con proveedores u otros terceros.

Centralice y automatice la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) en una única solución que permite comparar atributos clave.

A medida que se centralizan y revisan todos los proveedores de servicios, los equipos deben crear perfiles de proveedores completos que contengan información demográfica de los proveedores, tecnologías de 4ª parte, puntuaciones ESG, información reciente sobre negocios y reputación, historial de violaciones de datos y rendimiento financiero reciente.

Este nivel de diligencia debida crea un mayor contexto para tomar decisiones de selección de proveedores.

GV.SC-07: Los riesgos planteados por un proveedor, sus productos y servicios, y otros terceros son comprendidos, registrados, priorizados, evaluados, respondidos y monitoreados durante el curso de la relación.

Busque soluciones que ofrezcan una amplia biblioteca de plantillas predefinidas para las evaluaciones de riesgos de terceros. Las evaluaciones deben realizarse en el momento de la incorporación, de la renovación del contrato o con la frecuencia requerida (por ejemplo, trimestral o anualmente) en función de los cambios materiales.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.

Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, rastrear y analizar continuamente las amenazas externas a terceros. Supervise Internet y la dark web en busca de ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes, corrección y respuesta.

Asegúrese de incorporar datos operativos, de reputación y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

GV.SC-08: Los proveedores pertinentes y otras terceras partes se incluyen en las actividades de planificación, respuesta y recuperación de incidentes.

Como parte de su estrategia más amplia de gestión de incidentes, asegúrese de que su programa de respuesta a incidentes de terceros permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de seguridad de proveedores externos.

Busque servicios gestionados en los que expertos dedicados gestionen de forma centralizada a sus proveedores, realicen evaluaciones proactivas de los riesgos de los eventos, puntúen los riesgos identificados, correlacionen los riesgos con la inteligencia de la cibervigilancia continua y emitan directrices de corrección. Los servicios gestionados pueden reducir en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad y garantizar la aplicación de medidas correctoras.

Las capacidades clave de un servicio de respuesta a incidentes de terceros deben incluir:

  • Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
  • Informes proactivos sobre proveedores
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial en la empresa.
  • Plantillas de informes integradas para partes interesadas internas y externas
  • Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceras, cuartas o enésimas partes, con el fin de visualizar las rutas de la información y revelar los datos de riesgo.

Asimismo, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de filtraciones de datos de miles de empresas de todo el mundo, incluidos los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de filtraciones de datos de proveedores en tiempo real.

Con esta información, su equipo puede comprender mejor el alcance y el impacto del incidente, qué datos se han visto afectados, si las operaciones de terceros se han visto afectadas y cuándo se han completado las medidas correctoras, todo ello gracias a la ayuda de expertos.

GV.SC-10: Los planes de gestión de riesgos de la cadena de suministro en materia de ciberseguridad incluyen disposiciones para las actividades que tienen lugar después de la conclusión de un acuerdo de asociación o de servicio.

Basándose en las mejores prácticas recomendadas para GV.SC-05, automatice las evaluaciones de contratos y los procedimientos de incorporación para reducir el riesgo de su organización de exposición posterior al contrato.

  • Programar tareas para revisar los contratos a fin de garantizar que se han cumplido todas las obligaciones.
  • Evaluar el estado de los contratos
  • Aproveche las encuestas y los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, mandatos y contratos.
  • Analizar los documentos para confirmar que se cumplen los criterios clave
  • Adopte medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientaciones de corrección.
  • Visualizar y abordar los requisitos de conformidad mediante la asignación automática de los resultados de la evaluación a las normativas y marcos.
Recursos adicionales
Gobernanza, Riesgo y Cumplimiento
Cumplimiento de los requisitos de riesgo de terceros NIST 800-53, NIST 800-161 y NIST CSF
Más información
Gobernanza, Riesgo y Cumplimiento
NIST CSF 2.0: Implicaciones para su programa de gestión de riesgos de terceros
Más información
Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.