Cómo cumplir los requisitos de gestión de riesgos de terceros de la ISO

Mitratech ofrece un marco completo para la gestión de políticas, la auditoría y la presentación de informes relacionados con los requisitos de seguridad de la cadena de suministro y los riesgos de terceros en las normas ISO 27001, 27002 y 27036-2.

Personal de Mitratech
Personal de Mitratech 21 de marzo de 2023 38 minutos de lectura
Decorative image

ISO 27001 y gestión de riesgos de terceros

La norma ISO 27001 es una norma internacional para la evaluación rigurosa de las prácticas de seguridad cibernética y de la información. Proporciona un marco para establecer, implementar, mantener y mejorar continuamente los sistemas de gestión de la seguridad de la información. Basada en un conjunto de requisitos internacionales, describe un enfoque sistemático para gestionar de forma segura la información confidencial de la empresa.

Hay dos suplementos que deben considerarse como corolarios importantes de la gestión de riesgos de terceros para la norma ISO 27001, entre ellos:

  • ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información
  • ISO/IEC 27036-2:2022 Ciberseguridad. Relaciones con los proveedores. Parte 2: Requisitos.

ISO 27002 y gestión de riesgos de terceros

La norma ISO 27002 es una norma complementaria que ofrece asesoramiento sobre cómo implementar los controles de seguridad enumerados en el anexo A de la norma ISO 27001. Ayuda a las organizaciones a considerar qué deben poner en marcha para cumplir estos requisitos.

Juntas, las normas ISO 27001 y 27002 constituyen la base de la mayoría de las normas ISO relacionadas con la ciberseguridad. En lo que respecta a la gestión de la seguridad de la información en las relaciones con los proveedores, la sección 15 de las normas ISO 27001 e ISO 27002 resume los requisitos para tratar de forma segura con diversos tipos de terceros.

ISO 27036-2 y gestión de riesgos de terceros

La norma ISO 27036-2 especifica los requisitos fundamentales de seguridad de la información para definir, implementar, operar, supervisar, revisar, mantener y mejorar las relaciones con proveedores y adquirentes. Esta norma es especialmente relevante para la gestión de riesgos de terceros, ya que los requisitos abarcan la adquisición y el suministro de productos y servicios.

Las cláusulas 6 y 7 de la norma ISO 27036-2 definen los requisitos fundamentales y de alto nivel en materia de seguridad de la información aplicables a la gestión de cada etapa del ciclo de vida de la relación con los proveedores.

Requisitos de gestión de riesgos de terceros de la ISO

Mediante un enfoque descendente basado en el riesgo, las normas ISO proporcionan las siguientes directrices para la gestión de proveedores:

  • Crear una política de seguridad de la información para las relaciones con los proveedores que describa políticas y procedimientos específicos y exija la implementación de controles específicos para gestionar los riesgos.
  • Establecer acuerdos contractuales con proveedores para cualquier tercero que pueda acceder, procesar, almacenar, comunicar o proporcionar infraestructura informática a los datos de una organización.
  • Incluir requisitos para abordar los riesgos de seguridad de la información asociados con los servicios de tecnología de la información y las comunicaciones y la cadena de suministro de productos.
  • Supervisar, revisar y auditar la prestación de servicios de los proveedores.
  • Gestionar los cambios en los servicios de los proveedores, teniendo en cuenta la reevaluación de los riesgos.

Mitratech ayuda a satisfacer cada uno de estos requisitos.

Cumplimiento de las directrices de terceros de la ISO mediante la plataforma TPRM de Mitratech

Así es como Mitratech puede ayudarle a cumplir con las normas de gestión de riesgos de terceros de las normas ISO 27001, 27002 y 27036-2.

Controles ISO 27001 Cómo ayudamos
5 Controles organizativos
5.1 Políticas de seguridad de la información

«La política de seguridad de la información y las políticas específicas sobre determinados temas se definirán, aprobarán por la dirección, publicarán, comunicarán y reconocerán por el personal pertinente y las partes interesadas pertinentes, y se revisarán a intervalos planificados y si se producen cambios significativos».

5.2 Funciones y responsabilidades en materia de seguridad de la información

«Las funciones y responsabilidades en materia de seguridad de la información se definirán y asignarán de acuerdo con las necesidades de la organización».

 Mitratech colabora con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad de la información, ciberseguridad y protección de la privacidad, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, Mitratech puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos
5.7 Inteligencia sobre amenazas

«Se recopilará y analizará la información relativa a las amenazas a la seguridad de la información con el fin de generar inteligencia sobre amenazas».

 Mitratech realiza un seguimiento y análisis continuos. amenazas externas a tercerosLa solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.
5.11 Devolución de activos

«El personal y otras partes interesadas, según corresponda, devolverán todos los activos de la organización que obren en su poder al cambiar o finalizar su empleo, contrato o acuerdo».

 Cuando se requiere la rescisión o salida de servicios críticos, Mitratech utiliza encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más. La solución también sugiere acciones basadas en las respuestas a las evaluaciones de salida y deriva las tareas a los revisores según sea necesario.
5.19 Seguridad de la información en las relaciones con los proveedores

«Se definirán y aplicarán procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados al uso de los productos o servicios del proveedor».

 Mitratech ofrece una biblioteca con más de 200 plantillas prediseñadas, incluyendo cuestionarios ISO específicos, para evaluar los riesgos de seguridad de la información asociado con terceros.

Las evaluaciones se gestionan de forma centralizada en la plataforma TPRM de Mitratech. Cuentan con el respaldo de funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para permitir la visibilidad de los riesgos de terceros a lo largo de toda la relación con los proveedores.

Es importante destacar que Mitratech ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria.

Para las organizaciones con recursos y experiencia limitados, Mitratech puede gestionar el ciclo de vida del riesgo de terceros en su nombre, desde la incorporación de proveedores y la recopilación de pruebas hasta la orientación sobre medidas correctivas y la presentación de informes sobre los acuerdos de nivel de servicio (SLA) de los contratos. Como resultado, se reduce el riesgo de los proveedores y se simplifica el cumplimiento normativo sin sobrecargar al personal interno.
5.20 Abordar la seguridad de la información en los acuerdos con los proveedores

«Se establecerán y acordarán con cada proveedor los requisitos pertinentes en materia de seguridad de la información, en función del tipo de relación con el proveedor».

 Mitratech centraliza la distribución, discusión, retención y revisión de contratos con proveedores. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida.

Las capacidades clave incluyen:

  • Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
5.21 Gestión de la seguridad de la información en la cadena de suministro de las tecnologías de la información y la comunicación (TIC)

«Se definirán y aplicarán procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados a la cadena de suministro de productos y servicios de TIC».

 Mitratech estandariza las evaluaciones según las mejores prácticas de la ISO y otros marcos de control de la seguridad de la información, proporcionando a los equipos de auditoría interna y seguridad informática una plataforma central para medir y demostrar el cumplimiento de las prácticas de desarrollo de software seguro y del ciclo de vida del desarrollo de software (SDLC).
5.22 Supervisión, revisión y gestión de cambios de los servicios de los proveedores

«La organización supervisará, revisará, evaluará y gestionará periódicamente los cambios en las prácticas de seguridad de la información y la prestación de servicios de los proveedores».

 Mitratech realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.
5.23 Seguridad de la información para el uso de servicios en la nube

«Los procesos para la adquisición, el uso, la gestión y la salida de los servicios en la nube se establecerán de acuerdo con los requisitos de seguridad de la información de la organización».

 Mitratech estandariza las evaluaciones con respecto a SOC 2, Cyber Essentials, ISO y otros marcos de control de la seguridad de la información, proporcionando evaluaciones de controles clave en relación con los requisitos de los servicios en la nube.

Estas mismas evaluaciones también se utilizan para evaluar los controles de seguridad de la información al dar de baja los servicios en la nube.
5.24 Planificación y preparación para la gestión de incidentes de seguridad de la información

«La organización planificará y se preparará para gestionar los incidentes de seguridad de la información mediante la definición, el establecimiento y la comunicación de los procesos, funciones y responsabilidades de gestión de incidentes de seguridad de la información».

5.25 Evaluación y decisión sobre incidentes de seguridad de la información

«La organización evaluará los eventos relacionados con la seguridad de la información y decidirá si deben clasificarse como incidentes de seguridad de la información».

5.26 Respuesta a incidentes de seguridad de la información

«Los incidentes de seguridad de la información se responderán de acuerdo con los procedimientos documentados».

5.28 Recopilación de pruebas

«La organización establecerá y aplicará procedimientos para la identificación, recopilación, adquisición y conservación de pruebas relacionadas con incidentes de seguridad de la información».

 Mitratech permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de proveedores externos mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a orientación sobre medidas correctivas.

Las capacidades clave incluyen:

  • Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de proveedores
  • Vistas consolidadas de calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de información y determinar los datos en riesgo.
5.30 Preparación de las TIC para la continuidad del negocio

«La preparación en materia de TIC se planificará, implementará, mantendrá y pondrá a prueba basándose en los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC».

 Mitratech automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad empresarial de terceros, al tiempo que asigna automáticamente los resultados a la norma ISO y otros marcos de control.

Para complementar las evaluaciones de resiliencia empresarial y validar los resultados, Mitratech:

  • Automatiza la supervisión cibernética continua que puede predecir posibles impactos comerciales de terceros.
  • Accede a información cualitativa procedente de más de 550 000 fuentes públicas y privadas de información sobre reputación que podrían indicar inestabilidad por parte de los proveedores.
  • Accede a información financiera de una red global de 2 millones de empresas para identificar la salud financiera de los proveedores o los problemas operativos.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Mitratech incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301, que permite a las organizaciones:

  • Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
  • Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
  • Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.
5.31 Requisitos legales, reglamentarios, normativos y contractuales

«Se identificarán, documentarán y mantendrán actualizados los requisitos legales, reglamentarios, normativos y contractuales pertinentes para la seguridad de la información, así como el enfoque de la organización para cumplir dichos requisitos».

 Mitratech centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También ofrece funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.

Las capacidades clave incluyen:

  • Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
5.34 Privacidad y protección de la información de identificación personal (PII)

«La organización identificará y cumplirá los requisitos relativos a la preservación de la privacidad y la protección de la información de identificación personal (PII) de conformidad con las leyes y reglamentos aplicables y los requisitos contractuales».

 Mitratech ofrece una plataforma centralizada y colaborativa para llevar a cabo evaluaciones de privacidad y mitigando los riesgos de privacidad tanto internos como de terceros. Las capacidades clave de evaluación de la seguridad y la privacidad de los datos incluyen:

  • Evaluaciones programadas y mapeo de relaciones para revelar dónde existen los datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
  • Evaluaciones del impacto sobre la privacidad para descubrir datos empresariales en riesgo e información de identificación personal (PII).
  • Evaluaciones de proveedores con respecto al RGPD y otras normativas de privacidad a través del Marco de Cumplimiento de Mitratech: revela posibles puntos críticos mediante la asignación de los riesgos identificados a controles específicos.
  • Mapeo de riesgos y respuestas del RGPD a los controles. Incluye calificaciones de cumplimiento porcentual e informes específicos para las partes interesadas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas, incluyendo tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.
  • Centralización de la incorporación, distribución, discusión, retención y revisión de los contratos con los proveedores: garantiza que las disposiciones de protección de datos se apliquen desde el inicio de la relación.
5.36 Cumplimiento de las políticas, normas y estándares de seguridad de la información.

«El cumplimiento de la política de seguridad de la información de la organización, las políticas específicas sobre determinados temas, las normas y los estándares se revisará periódicamente».

 Con Mitratech, los auditores pueden establecer un programa para lograr y demostrar el cumplimiento de manera eficiente. La solución automatiza Auditoría de cumplimiento de la gestión de riesgos de terceros recopilando información sobre los riesgos de los proveedores, cuantificando los riesgos, recomendando soluciones y generando informes para docenas de normativas gubernamentales y marcos industriales.

Mitratech asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS y otros marcos normativos, lo que le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes.
Controles ISO 27002 Cómo ayudamos
5.19 Seguridad de la información en las relaciones con los proveedores

«Se deben definir e implementar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados con el uso de los productos o servicios del proveedor».
5.19 a) «Identificar y documentar los tipos de proveedores (por ejemplo, servicios de TIC, logística, servicios públicos, servicios financieros, componentes de infraestructura de TIC) que pueden afectar a la confidencialidad, integridad y disponibilidad de la información de la organización».

5.19 e) «definir los tipos de componentes y servicios de infraestructura de TIC proporcionados por los proveedores que pueden afectar a la confidencialidad, integridad y disponibilidad de la información de la organización;»

 La plataforma Mitratech permite a las organizaciones clasificar automáticamente a los proveedores según su iPuntuaciones de riesgo inherente, establecer los niveles adecuados de diligencia y determinar el alcance de las evaluaciones continuas.

Las organizaciones también pueden clasificar a los proveedores con una lógica basada en reglas, teniendo en cuenta una serie de factores relacionados con la interacción de datos, las finanzas, la normativa y la reputación.
5.19 b) «establecer cómo evaluar y seleccionar a los proveedores en función de la sensibilidad de la información, los productos y los servicios (por ejemplo, mediante análisis de mercado, referencias de clientes, revisión de documentos, evaluaciones in situ, certificaciones)». Mitratech centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) como parte de selección de proveedores decisiones.

Mitratech pasa a cada proveedor seleccionado a las fases de contratación y/o incorporación de la diligencia debida, haciendo avanzar automáticamente al proveedor a través del ciclo de vida de terceros.

Mitratech cuenta con una biblioteca de más de 200 plantillas prediseñadas para evaluaciones continuas de riesgos de terceros. Estas se integran con capacidades nativas de supervisión de riesgos cibernéticos, empresariales, reputacionales y financieros, que validan continuamente los resultados de las evaluaciones y cubren las lagunas entre ellas.

Las recomendaciones de corrección integradas garantizan que los terceros aborden los riesgos de manera oportuna y satisfactoria.
5.19 c) «evaluar y seleccionar los productos o servicios de los proveedores que cuenten con controles de seguridad de la información adecuados y revisarlos; en particular, la precisión y la exhaustividad de los controles implementados por el proveedor que garantizan la integridad de la información y el procesamiento de la información del proveedor y, por lo tanto, la seguridad de la información de la organización». Mitratech Risk Profiling Snapshot le permite comparar y supervisar datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y rendimiento financiero de posibles proveedores. Con Snapshot, puede ver los resultados en línea con las respuestas a las solicitudes de oferta para obtener una visión holística de los proveedores: su idoneidad para el propósito y su adecuación según el apetito de riesgo de su organización.
5,19 g) «supervisar el cumplimiento de los requisitos de seguridad de la información establecidos para cada tipo de proveedor y tipo de acceso, incluida la revisión por parte de terceros y la validación de productos».

5.19 h) mitigar el incumplimiento de un proveedor, ya sea que se haya detectado mediante supervisión o por otros medios;

 Con Mitratech, los auditores pueden establecer un programa para lograr y demostrar el cumplimiento de manera eficiente. La solución automatiza la auditoría de cumplimiento de la gestión de riesgos de terceros mediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos, la recomendación de medidas correctivas y la generación de informes para docenas de regulaciones gubernamentales y marcos industriales.

Mitratech asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a la norma ISO y otros marcos normativos, y la valida mediante un seguimiento continuo, lo que le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes.
5.19 i) «gestión de incidentes y contingencias relacionados con los productos y servicios de los proveedores, incluidas las responsabilidades tanto de la organización como de los proveedores». El servicio de respuesta ante incidentes de terceros de Mitratech le permite identificar y mitigar rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de los proveedores, la realización de evaluaciones de incidentes, la puntuación de los riesgos identificados y el acceso a directrices de corrección.
5.19 j) «resiliencia y, si es necesario, medidas de recuperación y contingencia para garantizar la disponibilidad de la información del proveedor y el procesamiento de la información y, por lo tanto, la disponibilidad de la información de la organización;». Mitratech automatiza la evaluación, el monitoreo continuo, el análisis y la corrección de resiliencia empresarial de terceros y continuidad, al tiempo que se asignan automáticamente los resultados a la norma ISO y otros marcos de control.

Para complementar las evaluaciones de resiliencia empresarial y validar los resultados, Mitratech:

  • Automatiza la supervisión cibernética continua que puede predecir posibles impactos comerciales de terceros.
  • Accede a información cualitativa procedente de más de 550 000 fuentes públicas y privadas de información sobre reputación que podrían indicar inestabilidad por parte de los proveedores.
  • Accede a información financiera de una red global de 2 millones de empresas para identificar la salud financiera de los proveedores o los problemas operativos.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Mitratech incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301, que permite a las organizaciones:

  • Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
  • Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
  • Garantizar una comunicación constante con los proveedores durante las interrupciones del negocio.
5,19 m) «Requisitos para garantizar una terminación segura de la relación con el proveedor, incluyendo:

1) retirada de derechos de acceso;
2) tratamiento de la información;
3) determinación de la titularidad de la propiedad intelectual desarrollada durante la colaboración;
4) portabilidad de la información en caso de cambio de proveedor o internalización;
6) gestión de registros;
7) devolución de activos;
8) eliminación segura de la información y otros activos asociados;
9) requisitos de confidencialidad continuos.

 La plataforma Mitratech automatiza las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato.

  • Programa tareas para revisar los contratos y asegurarte de que se han cumplido todas las obligaciones. Emite evaluaciones de contratos personalizables para valorar el estado.
  • Aproveche las encuestas y los flujos de trabajo personalizables para generar informes sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural y el análisis de aprendizaje automático de AWS para confirmar que se cumplen los criterios clave.
  • Tome medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación integradas para la corrección.
  • Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a cualquier normativa o marco regulatorio.
5.20 Abordar la seguridad en los acuerdos con los proveedores

«Se deben establecer y acordar con cada proveedor los requisitos pertinentes en materia de seguridad de la información, en función del tipo de relación con el proveedor».
5.20 d) «requisitos legales, reglamentarios y contractuales, incluidos la protección de datos, el tratamiento de la información de identificación personal (PII), los derechos de propiedad intelectual y los derechos de autor, y una descripción de cómo se garantizará su cumplimiento;». Mitratech centraliza la distribución, discusión, retención y revisión de contratos con proveedores, asegurándose de que las disposiciones clave se incluyan en los contratos con los proveedores y se supervisen continuamente.

Las capacidades clave incluyen:

  • Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
5.20 e) «la obligación de cada parte contractual de aplicar un conjunto acordado de controles, incluidos el control de acceso, la revisión del rendimiento, la supervisión, la presentación de informes y la auditoría, así como las obligaciones del proveedor de cumplir los requisitos de seguridad de la información de la organización». La solución Mitratech permite realizar evaluaciones internas basadas en controles (basadas en el marco normativo ISO del sector y/o cuestionarios personalizados). La plataforma incluye funciones de flujo de trabajo integradas que permiten a los evaluadores interactuar de manera eficiente con terceros durante los periodos de recopilación y revisión de la diligencia debida. Las sólidas funciones de generación de informes y auditoría proporcionan a cada nivel de la dirección la información que necesita para revisar adecuadamente el rendimiento de los terceros.

Las organizaciones pueden evaluar a terceros en materia de ciberseguridad, cumplimiento de los acuerdos de nivel de servicio (SLA) y otros aspectos, y correlacionar los resultados con los datos obtenidos mediante una supervisión externa continua para obtener una visión completa de los riesgos.
5,20 h) «Requisitos de seguridad de la información relativos a la infraestructura de TIC del proveedor; en particular, requisitos mínimos de seguridad de la información para cada tipo de información y tipo de acceso que sirvan de base para los acuerdos individuales con los proveedores, basados en las necesidades comerciales y los criterios de riesgo de la organización».

5.20 i) «indemnizaciones y medidas correctivas por incumplimiento de los requisitos por parte del contratista».

 Mitratech proporciona un marco para medir de forma centralizada KPI y KRI de terceros contra sus requisitos y reduciendo las deficiencias en la supervisión de proveedores con información integrada de aprendizaje automático (ML) e informes personalizables basados en funciones.

Estas capacidades pueden ayudar a su equipo a descubrir tendencias de riesgo y rendimiento, determinar el estado de riesgo de terceros e identificar excepciones al comportamiento habitual que podrían justificar una investigación más profunda.

Las recomendaciones de corrección integradas garantizan que los terceros aborden los riesgos de manera oportuna y satisfactoria.
5.20 j) «requisitos y procedimientos de gestión de incidentes (especialmente notificación y colaboración durante la resolución de incidentes)». Mitratech permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de incidentes de seguridad de proveedores externos como parte de su estrategia de gestión de incidentes.

Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de los expertos de Mitratech.
5.20 l) «disposiciones pertinentes para la subcontratación, incluidos los controles que deben aplicarse, como el acuerdo sobre el uso de subproveedores (por ejemplo, exigirles que cumplan las mismas obligaciones que el proveedor, exigir una lista de subproveedores y notificar cualquier cambio);». Mitratech puede identificar relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos.

Los proveedores descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.

Este enfoque proporciona información útil para abordar los posibles riesgos tecnológicos o de concentración geográfica.
5,20 o) «los mecanismos de prueba y garantía de las certificaciones de terceros para los requisitos de seguridad de la información pertinentes relacionados con los procesos del proveedor y un informe independiente sobre la eficacia de los controles;».

5.20 q) «la obligación del proveedor de presentar periódicamente un informe sobre la eficacia de los controles y el acuerdo sobre la corrección oportuna de las cuestiones pertinentes planteadas en el informe;».

 Mitratech Servicio de validación de controles Revisa las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que se hayan implementado los controles indicados.

Los expertos de Mitratech revisan primero las respuestas de las evaluaciones, ya sean de cuestionarios personalizados o estandarizados. A continuación, comparamos las respuestas con la norma ISO y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y realizar un seguimiento hasta su finalización. Con opciones remotas y presenciales disponibles, Mitratech le ofrece su experiencia para ayudarle a reducir el riesgo con sus recursos actuales.
5,20 x) «cláusulas de rescisión al término del acuerdo, incluyendo la gestión de registros, la devolución de activos, la eliminación segura de información y otros activos asociados, y cualquier obligación de confidencialidad vigente».

5.20 y) proporcionar un método para destruir de forma segura la información de la organización almacenada por el proveedor tan pronto como ya no sea necesaria;».

5.20 z) garantizar, al término del contrato, la asistencia en la transferencia a otro proveedor o a la propia organización;».

 Las capacidades de gestión del ciclo de vida de los contratos de Mitratech garantizan que las disposiciones clave se incluyan en los contratos con los proveedores y se supervisen continuamente. Las evaluaciones automatizadas de los contratos y los procedimientos de baja, como la notificación sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de todas las leyes pertinentes y los pagos finales, reducen el riesgo de exposición de su organización tras la finalización del contrato.
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC

«Se deben definir e implementar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados con la cadena de suministro de productos y servicios de TIC».
5.21 b) «Exigir a los proveedores de servicios TIC que difundan los requisitos de seguridad de la organización a lo largo de toda la cadena de suministro si subcontratan parte de los servicios TIC prestados a la organización».

5.21 c) «exigir a los proveedores de productos TIC que difundan prácticas de seguridad adecuadas a lo largo de toda la cadena de suministro si dichos productos incluyen componentes comprados o adquiridos a otros proveedores u otras entidades (por ejemplo, desarrolladores de software subcontratados y proveedores de componentes de hardware)».

5.21 f) «implementar un proceso de supervisión y métodos aceptables para validar que los productos y servicios TIC suministrados cumplen con los requisitos de seguridad establecidos. Entre los ejemplos de estos métodos de revisión de proveedores se pueden incluir pruebas de penetración y la comprobación o validación de certificaciones de terceros sobre las operaciones de seguridad de la información del proveedor».

 Mitratech puede identificar Relaciones de subcontratación de cuarta parte y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero.

El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos.

Los proveedores descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.

Este enfoque proporciona información útil para abordar los posibles riesgos tecnológicos o de concentración geográfica.
5.21 g) «implementar un proceso para identificar y documentar los componentes de productos o servicios que son críticos para mantener la funcionalidad y que, por lo tanto, requieren mayor atención, escrutinio y seguimiento adicional cuando se fabrican fuera de la organización, especialmente si el proveedor subcontrata aspectos de los componentes de productos o servicios a otros proveedores». Mitratech le permite evaluar y supervisar a terceros en función de la importancia o el alcance de las amenazas a sus activos de información mediante la captura, el seguimiento y la cuantificación de los riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.
5.22 Supervisión, revisión y gestión de cambios de los servicios de los proveedores

«La organización debe supervisar, revisar, evaluar y gestionar periódicamente los cambios en las prácticas de seguridad de la información y la prestación de servicios de los proveedores».
5.22 a) «supervisar los niveles de rendimiento del servicio para verificar el cumplimiento de los acuerdos;» Con la plataforma Mitratech, las organizaciones pueden personalizar encuestas para facilitar la recopilación y el análisis de los datos necesarios sobre el rendimiento y los contratos en un único registro de riesgos. Mitratech identifica los atributos clave de los contratos relacionados con los acuerdos de nivel de servicio (SLA) o el rendimiento, introduce esos requisitos en la plataforma y le asigna tareas a usted y a su tercero con fines de seguimiento.
5,22 b) «supervisar los cambios realizados por los proveedores, incluyendo:

1) mejoras en los servicios actuales ofrecidos;
2) desarrollo de nuevas aplicaciones y sistemas;
3) modificaciones o actualizaciones de las políticas y procedimientos del proveedor;
4) controles nuevos o modificados para resolver incidentes de seguridad de la información y mejorar la seguridad de la información;».

5.22 c) «supervisar los cambios en los servicios de los proveedores, incluyendo:

1) cambios y mejoras en las redes;
2) uso de nuevas tecnologías;
3) adopción de nuevos productos o versiones o lanzamientos más recientes;
4) nuevas herramientas y entornos de desarrollo;
5) cambios en la ubicación física de las instalaciones de servicio;
6) cambio de subproveedores;
7) subcontratación a otro proveedor;».

 Mitratech realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Dado que no todas las amenazas son ciberataques directos, Mitratech también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos:

  • 550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más.
  • Una red global de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • 30 000 fuentes de noticias globales
  • Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas.
  • Listas de sanciones globales y más de 1000 listas de ejecución globales y documentos judiciales.
5.22 e) «realizar auditorías de los proveedores y subproveedores, junto con la revisión de los informes de los auditores independientes, si están disponibles, y dar seguimiento a los problemas identificados». El Servicio de Validación de Controles de Mitratech revisa las respuestas y la documentación de las evaluaciones de terceros en comparación con los protocolos de prueba establecidos para validar que los controles indicados estén implementados.

Los expertos de Mitratech revisan primero las respuestas de las evaluaciones, ya sean de cuestionarios personalizados o estandarizados. A continuación, comparamos las respuestas con la norma ISO y/u otros marcos de control. Por último, trabajamos con usted para desarrollar planes de corrección y realizar un seguimiento hasta su finalización. Con opciones remotas y presenciales disponibles, Mitratech le ofrece su experiencia para ayudarle a reducir el riesgo con sus recursos actuales.
5,22 f) «proporcionar información sobre incidentes de seguridad de la información y revisar dicha información según lo exigido por los acuerdos y cualquier directriz y procedimiento de apoyo;»

5.22 g) «revisar los registros de auditoría de los proveedores y los registros de incidentes de seguridad de la información, problemas operativos, fallos, seguimiento de averías e interrupciones relacionadas con el servicio prestado;».

5.22 h) «responder y gestionar cualquier evento o incidente de seguridad de la información identificado;»

 Mitratech permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de incidentes con proveedores externos mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a directrices de corrección.

Las capacidades clave incluyen:

  • Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de proveedores
  • Vistas consolidadas de calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de información y determinar los datos en riesgo.
5.22 i) «identificar las vulnerabilidades en materia de seguridad de la información y gestionarlas»; Mitratech realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, correlacionando los datos de supervisión con los resultados de las evaluaciones y centralizándolos en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la elaboración de informes y las iniciativas de respuesta.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.
5.22 j) «revisar los aspectos relacionados con la seguridad de la información de las relaciones del proveedor con sus propios proveedores». Mitratech puede identificar relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos.

Los proveedores descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.
5.22 k) garantizar que el proveedor mantenga una capacidad de servicio suficiente, junto con planes viables diseñados para garantizar que se mantengan los niveles de continuidad del servicio acordados tras fallos importantes del servicio o catástrofes;». Mitratech automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad empresarial de terceros, al tiempo que asigna automáticamente los resultados a la norma ISO y otros marcos de control.

La plataforma Mitratech incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301, que permite a las organizaciones:

  • Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
  • Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
  • Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.
5.22 m) «evaluar periódicamente que los proveedores mantengan niveles adecuados de seguridad de la información;» Mitratech automatiza las evaluaciones de riesgos para ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros.

Con una biblioteca de más de 200 evaluaciones estandarizadas, capacidades de personalización y flujo de trabajo y corrección integrados, la solución automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la generación de informes.

Con Mitratech, puede recopilar y correlacionar fácilmente información sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, basándose en la importancia crítica del tercero según lo determinado por la evaluación de riesgos inherentes.

Los resultados de las evaluaciones y el seguimiento continuo se recopilan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones de corrección ya preparadas para que terceros mitiguen los riesgos.
ISO 27036-2 Controles Cómo ayudamos
6 Seguridad de la información en la gestión de las relaciones con los proveedores
6.1.1.1 Procesos de acuerdo / Proceso de adquisición / Objetivo

Establecer una estrategia de relación con los proveedores que:

  • se basa en la tolerancia al riesgo de seguridad de la información del adquirente;
  • define los fundamentos de la seguridad de la información que deben utilizarse al planificar, preparar, gestionar y finalizar la adquisición de un producto o servicio.

6.1.2.1 Procesos de acuerdo / Proceso de suministro / Objetivo

Establecer una estrategia de relaciones con los adquirentes que:

  • se basa en la tolerancia al riesgo de seguridad de la información del proveedor;
  • define la base de referencia de seguridad de la información que se debe utilizar al planificar, preparar, gestionar y dar por concluido el suministro de un producto o servicio.
 Mitratech se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) en consonancia con sus programas más amplios de seguridad de la información y gobernanza, riesgo y cumplimiento, basándose en las mejores prácticas probadas y en una amplia experiencia en el mundo real.

Nuestros expertos colaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, Mitratech puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos
6.2.1 Procesos organizativos que facilitan los proyectos / Proceso de gestión del modelo del ciclo de vida

a) El adquirente y el proveedor establecerán el proceso de gestión del modelo del ciclo de vida al gestionar la seguridad de la información en las relaciones con los proveedores.

 Mitratech ayuda a eliminar los riesgos de seguridad y cumplimiento normativo que conlleva trabajar con proveedores, distribuidores y otros terceros a lo largo de todo el ciclo de vida del riesgo de los proveedores, desde la búsqueda y selección hasta la salida de la empresa, pasando por todas las etapas intermedias.
6.2.2.1 Procesos organizativos que facilitan los proyectos / Proceso de gestión de infraestructuras / Objetivo

a) Proporcionar la infraestructura necesaria para ayudar a la organización a gestionar la seguridad de la información en las relaciones con los proveedores.

 Mitratech ofrece una plataforma SaaS centralizada que permite a los adquirentes y proveedores colaborar en la reducción de riesgos mediante la automatización de evaluaciones de riesgos basadas en más de 200 normas industriales, incluida la ISO. Con esta plataforma, los adquirentes obtienen un flujo de trabajo y una corrección integrados, así como análisis y generación de informes automatizados.
6.2.2.2 Procesos organizativos que facilitan los proyectos / Proceso de gestión de infraestructuras / Actividades

b) Definir, implementar, mantener y mejorar los planes de contingencia para garantizar que la adquisición o el suministro de un producto o servicio pueda continuar en caso de interrupción causada por motivos naturales o humanos.

 Mitratech automatiza la evaluación, la supervisión continua, el análisis y la corrección de la resiliencia y la continuidad empresarial de terceros, al tiempo que asigna automáticamente los resultados a la norma ISO y otros marcos de control.

Para complementar las evaluaciones de resiliencia empresarial y validar los resultados, Mitratech:

  • Automatiza la supervisión cibernética continua que puede predecir posibles impactos comerciales de terceros.
  • Accede a información cualitativa procedente de más de 550 000 fuentes públicas y privadas de información sobre reputación que podrían indicar inestabilidad por parte de los proveedores.
  • Accede a información financiera de una red global de 2 millones de empresas para identificar la salud financiera de los proveedores o los problemas operativos.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Mitratech incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301, que permite a las organizaciones:

  • Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
  • Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
  • Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.
6.2.3.2 Proceso de gestión de la cartera de proyectos / Actividades

a) Definir, implementar, mantener y mejorar un proceso para identificar y categorizar a los proveedores o adquirentes
en función de la sensibilidad de la información que se comparte con ellos y del nivel de acceso que se les concede a los activos del adquirente o proveedor, como la información y los sistemas de información.

 Mitratech le permite evaluar y supervisar a terceros en función de la importancia o el alcance de las amenazas a sus activos de información mediante la captura, el seguimiento y la cuantificación de los riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.
6.3.4.1 Procesos del proyecto / Proceso de gestión de riesgos / Objetivo

a) Abordar continuamente los riesgos de seguridad de la información en las relaciones con los proveedores y a lo largo de su ciclo de vida, lo que incluye reexaminarlos periódicamente o cuando se produzcan cambios significativos en los ámbitos comercial, jurídico, normativo, arquitectónico, político y contractual.

 Mitratech realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Dado que no todas las amenazas son ciberataques directos, Mitratech también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos:

  • 550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más.
  • Una red global de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • 30 000 fuentes de noticias globales
  • Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas.
  • Listas de sanciones globales y más de 1000 listas de ejecución globales y documentos judiciales.

Debe existir una política para seleccionar proveedores basada en prácticas de seguridad de la información.
6.3.7.1 Procesos del proyecto / Proceso de medición / Objetivo

a) Recopilar, analizar y comunicar las medidas de seguridad de la información relacionadas con la adquisición o el suministro de un producto o servicio para demostrar la madurez de la seguridad de la información en la relación con los proveedores y respaldar la gestión eficaz de los procesos.

 Mitratech automatiza las evaluaciones de riesgos para ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros.

Con una biblioteca de más de 200 evaluaciones estandarizadas, capacidades de personalización y flujo de trabajo y corrección integrados, la solución automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la generación de informes.

Con Mitratech, puede recopilar y correlacionar fácilmente información sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, basándose en la importancia crítica del tercero según lo determinado por la evaluación de riesgos inherentes.

Los resultados de las evaluaciones y el seguimiento continuo se recopilan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones de corrección ya preparadas para que terceros mitiguen los riesgos.
7 Seguridad de la información en una relación con un proveedor
7.2.1 Proceso de selección de proveedores / Objetivos

a) Seleccionar un proveedor que ofrezca una seguridad adecuada de la información para el producto o servicio que se vaya a adquirir.

 Mitratech Risk Profiling Snapshot le permite comparar y supervisar datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y rendimiento financiero de posibles proveedores. Con Snapshot, puede ver los resultados en línea con las respuestas a las solicitudes de oferta para obtener una visión holística de los proveedores: su idoneidad para el propósito y su adecuación según el apetito de riesgo de su organización.
7.3.1 Proceso de gestión de las relaciones con los proveedores / Objetivo

Establecer y acordar un acuerdo de relación con el proveedor que aborde lo siguiente:
— Funciones y responsabilidades en materia de seguridad de la información del adquirente y del proveedor;
— Controles de seguridad necesarios en materia de seguridad de la información, seguridad de las TIC, seguridad del personal y seguridad física;
— un proceso de transición cuando el producto o servicio haya sido operado o fabricado previamente por una parte distinta del proveedor;
— gestión de cambios en la seguridad de la información;
— gestión de incidentes de seguridad de la información;
— supervisión y aplicación del cumplimiento;
— un proceso de rescisión.

 La plataforma Mitratech automatiza los flujos de trabajo necesarios para evaluar, gestionar, supervisar continuamente y remediar los riesgos relacionados con la seguridad, la privacidad, el cumplimiento normativo y la cadena de suministro/adquisición de terceros en todas las etapas del ciclo de vida del proveedor. La solución:

  • Automatiza la incorporación y salida de proveedores.
  • Perfiles, niveles, puntuaciones de riesgo inherente para todos los proveedores.
  • Automatiza el mapeo de cuartos y los datos demográficos de los proveedores en un perfil central.
  • Ofrece la mayor biblioteca de evaluaciones de riesgos estandarizadas y personalizadas con flujo de trabajo, tareas y gestión de pruebas integrados.
  • Integra la supervisión nativa de riesgos cibernéticos, empresariales, reputacionales y financieros para correlacionar los riesgos con los resultados de la evaluación y validar los hallazgos.
  • Incluye análisis de aprendizaje automático para normalizar y correlacionar los resultados de múltiples fuentes.
  • Proporciona informes de cumplimiento y riesgos por marco o normativa.
  • Mejora la gestión de la remediación con orientación integrada.
  • Incluye la gestión de contratos y RFx para permitir una gestión de riesgos más completa antes de la incorporación.
  • Automatiza la respuesta a incidentes de terceros.
7.4.1 Proceso de gestión de las relaciones con los proveedores / Objetivos

a) Mantener la seguridad de la información durante el período de ejecución de la relación con el proveedor, de conformidad con el acuerdo de relación con el proveedor y teniendo especialmente en cuenta lo siguiente:

4) Supervisar y hacer cumplir el cumplimiento por parte del proveedor de las disposiciones de seguridad de la información definidas en el acuerdo de relación con el proveedor.

 Con la plataforma Mitratech, los adquirentes pueden asignar automáticamente la información recopilada a partir de evaluaciones basadas en controles a marcos normativos, incluidos ISO y muchos otros, para visualizar y abordar rápidamente los requisitos de cumplimiento importantes en cada etapa del ciclo de vida del proveedor.
7.5.1 Proceso de terminación de la relación con el proveedor / Objetivos

a) Proteger el suministro del producto o servicio durante la rescisión para evitar cualquier impacto en la seguridad de la información, así como repercusiones legales y normativas tras la notificación de rescisión.

b) Terminar el suministro del producto o servicio de acuerdo con el plan de terminación.

 La plataforma Mitratech automatiza las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato.

  • Programa tareas para revisar los contratos y asegurarte de que se han cumplido todas las obligaciones. Emite evaluaciones de contratos personalizables para valorar el estado.
  • Aproveche las encuestas y los flujos de trabajo personalizables para generar informes sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural y el análisis de aprendizaje automático de AWS para confirmar que se cumplen los criterios clave.
  • Tome medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación integradas para la corrección.
  • Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a cualquier normativa o marco regulatorio.

Próximos pasos para el cumplimiento de la norma ISO

Las normas ISO aquí presentadas exigen una gestión y un seguimiento rigurosos de los riesgos de seguridad y la privacidad de los datos de los proveedores externos. Especifican lo siguiente:

  • Debe existir una política para seleccionar proveedores basada en prácticas de seguridad de la información.
  • Debe existir una política para gestionar los riesgos.
  • Las políticas deben codificarse en los acuerdos con los proveedores.
  • Los proveedores deben gestionarse y auditarse según los requisitos acordados.

Contar con sistemas sólidos de gestión de la seguridad de la información forma parte del ciclo de vida del proveedor y requiere una visión interna completa de los controles implantados, así como una supervisión continua de todos los terceros. Esto no se puede abordar con un simple escaneo automatizado externo o con hojas de cálculo. Mitratech ofrece una plataforma unificada que puede ayudar a auditar eficazmente los controles de seguridad de los proveedores para garantizar el cumplimiento de la norma ISO.

Póngase en contacto con nosotros hoy mismo para solicitar una demostración personalizada o descargue la lista de verificación de cumplimiento de ISO por terceros para saber cómo Mitratech puede satisfacer sus requisitos ISO.

 

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.