El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia federal dependiente del Departamento de Comercio de los Estados Unidos cuyas responsabilidades incluyen el establecimiento de normas y directrices relacionadas con la tecnología informática y de la información para las agencias federales. Una de estas directrices del NIST es la Publicación Especial (SP) 800-161. Actualmente en su revisión 1, actualizada en 2022, la NIST SP 800-161 describe un marco complementario a la NIST SP 800-53 que permite enmarcar, evaluar, responder y supervisar los riesgos de la cadena de suministro en materia de ciberseguridad.
La norma SP 800-161 integra la gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en las actividades de gestión de riesgos mediante la aplicación de un enfoque multinivel específico para la C-SCRM. Ofrece orientación sobre el desarrollo de planes de implementación de estrategias de C-SCRM, políticas de C-SCRM, planes de C-SCRM y evaluaciones de riesgos para productos y servicios. Debido a su exhaustivo contenido, esta norma se ha convertido en un marco adoptado a nivel mundial para implementar y mantener controles de gestión de riesgos en la cadena de suministro.
Esta publicación examina los controles aplicables para la gestión de riesgos en la cadena de suministro de ciberseguridad de la familia de controles SP 800-53r5 Supply Chain Risk Management (SR), con orientación adicional de NIST SP 800-161r1. Identifica las capacidades de mejores prácticas que puede utilizar para cumplir con los requisitos del NIST para una mayor seguridad de la cadena de suministro.
Controles de gestión de riesgos de la cadena de suministro de ciberseguridad del NIST
**NOTA:** *Esta publicación incluye solo algunos controles C-SCRM de la familia de controles de gestión de riesgos de la cadena de suministro (SR). Para obtener una lista completa de los controles, revise detalladamente la [guía completa SP 800-161](https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final) y consulte a su auditor.*
| Columna 1 | Columna 2 |
|---|---|
| SP 800-53r5 Controles específicos para la cadena de suministro y SP 800-161r1 aplicable Guía para la gestión de riesgos de ciberseguridad | Capacidades de mejores prácticas |
| Política y procedimientos SR-1
Desarrollar, documentar y difundir: Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: Las funciones empresariales, entre las que se incluyen, entre otras, la seguridad de la información, los asuntos legales, la gestión de riesgos y las adquisiciones, deben revisar y aprobar el desarrollo de políticas y procedimientos de C-SCRM o proporcionar orientación a los propietarios de los sistemas para el desarrollo de procedimientos de C-SCRM específicos para cada sistema. SR-2 Plan de gestión de riesgos de la cadena de suministro a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas. Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: Los planes C-SCRM describen las implementaciones, los requisitos, las restricciones y las implicaciones a nivel del sistema. ... Los planes C-SCRM deben elaborarse como un documento independiente y solo integrarse en los planes de seguridad del sistema existentes si las restricciones de la empresa así lo requieren. SR-3 Controles y procesos de la cadena de suministro a. Establecer uno o varios procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro, en coordinación con el personal de la cadena de suministro. Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: ... Los departamentos y agencias deben ... aplicar estas directrices de conformidad con la Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad nacional. |
Desarrolle un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro en materia de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.
Busque expertos para colaborar con su equipo en: Como parte de este proceso, debe definir: Evalúe continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes de la empresa, midiendo los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) de los proveedores externos a lo largo del ciclo de vida de la relación. |
| SR-4 (4) Procedencia | Integridad de la cadena de suministro: pedigrí
Emplear controles y análisis para garantizar la integridad del sistema y sus componentes mediante la validación de la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión. Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: La procedencia debe documentarse para los sistemas, los componentes del sistema y los datos asociados a lo largo del ciclo de vida del desarrollo de software (SDLC). Las empresas deben considerar la posibilidad de elaborar SBOM para las clases de software aplicables y adecuadas, incluyendo el software adquirido, el software de código abierto y el software interno... |
Como parte del proceso de diligencia debida, solicite a los proveedores que proporcionen listas de materiales de software (SBOM) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización. |
| Estrategias, herramientas y métodos de adquisición SR-5
Emplear estrategias de adquisición, herramientas contractuales y métodos de aprovisionamiento para proteger, identificar y mitigar los riesgos de la cadena de suministro. Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: ... Los departamentos y agencias deben ... aplicar estas directrices de conformidad con la Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad nacional. |
Centralice y automatice la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar los atributos clave.
Dado que todos los proveedores de servicios se están centralizando y revisando, los equipos deben crear perfiles completos de los proveedores que contengan información sobre sus datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre su negocio y reputación, historial de violaciones de datos y resultados financieros recientes. Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones sobre la selección de proveedores. |
| SR-6 Evaluaciones y revisiones de proveedores
Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados a los proveedores o contratistas y al sistema, componente del sistema o servicio del sistema que proporcionan. Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: En general, una empresa debe tener en cuenta cualquier información pertinente para la seguridad, integridad, resiliencia, calidad, fiabilidad o autenticidad del proveedor o de los servicios o productos que ofrece. Las empresas deben considerar la aplicación de esta información en función de un conjunto coherente de factores básicos y criterios de evaluación para facilitar una comparación equitativa (entre proveedores y a lo largo del tiempo). Dependiendo del contexto específico y del propósito para el que se realice la evaluación, la empresa puede seleccionar factores adicionales. La calidad de la información (por ejemplo, su relevancia, integridad, exactitud, etc.) en la que se basa una evaluación también es una consideración importante. Las fuentes de referencia para la información de la evaluación también deben documentarse... |
Realizar un seguimiento y análisis continuos. amenazas externas a terceros. Como parte de ello, supervisar Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.
Las fuentes de supervisión suelen incluir: Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta. |
| Acuerdos de notificación SR-8
Establecer acuerdos y procedimientos con las entidades involucradas en la cadena de suministro del sistema, los componentes del sistema o los servicios del sistema para la notificación de compromisos de la cadena de suministro, así como los resultados de las evaluaciones o auditorías. Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: Como mínimo, las empresas deben exigir a sus proveedores que establezcan acuerdos de notificación con las entidades de su cadena de suministro que tengan una función o responsabilidad relacionada con ese servicio o producto crítico... |
Centralice la distribución, discusión, retención y revisión de los contratos con proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave incluyen: * Seguimiento centralizado de todos los contratos y atributos de los mismos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones * Capacidades de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos * Recordatorios automatizados y avisos de vencimiento para agilizar las revisiones de los contratos * Seguimiento centralizado de las discusiones y comentarios sobre los contratos * Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos * Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión * Permisos basados en roles que permiten la asignación de funciones, el acceso a los contratos y el acceso de lectura/escritura/modificación. Con esta capacidad, puede garantizar que las responsabilidades claras y las cláusulas de derecho de auditoría se articulen en el contrato del proveedor, y que los SLA se supervisen y gestionen en consecuencia. |
| Inventario de proveedores SR-13
Desarrollar, documentar y mantener un inventario de proveedores que: Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad: Las empresas dependen de numerosos proveedores para llevar a cabo sus misiones y funciones. Muchos proveedores ofrecen productos y servicios que dan soporte a múltiples misiones, funciones, programas, proyectos y sistemas. Algunos proveedores son más importantes que otros, en función de la importancia de las misiones, funciones, programas, proyectos y sistemas a los que dan soporte sus productos y servicios, y del nivel de dependencia de la empresa respecto al proveedor. Las empresas deben utilizar el análisis de criticidad para ayudar a determinar qué productos y servicios son críticos para determinar la criticidad de los proveedores que se documentarán en el inventario de proveedores... |
Centralice toda la información sobre los proveedores en un único perfil de proveedor, de modo que todos los departamentos que interactúan con ellos puedan aprovechar la misma información, mejorando así la visibilidad y la toma de decisiones.
Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras existente, eliminando los procesos manuales propensos a errores. Rellene los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto debería estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución. Cree perfiles completos de proveedores que comparen y supervisen sus datos demográficos, ubicación geográfica, tecnologías de terceros y conocimientos operativos recientes. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica, en particular. |
Cómo Prevalent ayuda a abordar las directrices de gestión de riesgos de la cadena de suministro de ciberseguridad NIST SP 800-161
Prevalent ofrece una plataforma centralizada y automatizada para ampliar la gestión de riesgos de terceros y la gestión de riesgos de la cadena de suministro en materia de ciberseguridad. Con Prevalent, su equipo puede:
- Cree un programa de gestión de riesgos de terceros basado en las mejores prácticas, en consonancia con los programas más amplios de ciberseguridad de la cadena de suministro y de gestión de riesgos empresariales de su organización.
- Aproveche la información consolidada de múltiples áreas de riesgo para automatizar los procesos de RFx y tomar decisiones más informadas sobre la diligencia debida de los proveedores.
- Centralizar la distribución, discusión, retención y revisión de los contratos con los proveedores para garantizar que se incluyan, acuerden y apliquen los requisitos de seguridad clave con indicadores clave de rendimiento (KPI).
- Crear un inventario de proveedores únicos y evaluar el riesgo inherente para informar sobre la elaboración de perfiles, la clasificación y la categorización de los proveedores de servicios, y determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
- Automatice las evaluaciones de riesgos y las medidas correctivas en todas las etapas del ciclo de vida de los terceros.
- Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades.
Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir las directrices del NIST, solicite hoy mismo una demostración de la solución.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
