Cumplimiento de los requisitos de riesgo de terceros NIST 800-53, NIST 800-161 y NIST CSF.

El NIST ha elaborado varias normas industriales que tratan sobre la identificación, evaluación y gestión de los riesgos de la cadena de suministro. A continuación se ofrece una descripción general de algunas directrices del NIST relativas a los riesgos de terceros y cómo Prevalent puede ayudar.

Personal de Mitratech
Personal de Mitratech 23 de junio de 2022 9 minutos de lectura
Decorative image

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia federal dependiente del Departamento de Comercio de los Estados Unidos. Entre las responsabilidades del NIST se incluyen el establecimiento de normas y directrices relacionadas con la tecnología informática y de la información para las agencias federales. Sin embargo, dado que el NIST publica y mantiene recursos clave para la gestión de los riesgos de ciberseguridad aplicables a cualquier empresa, muchas organizaciones del sector privado consideran que el cumplimiento de estas normas y directrices es una prioridad absoluta.

Varias publicaciones especiales del NIST incluyen controles específicos que exigen a las organizaciones establecer e implementar procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro. Entre estas publicaciones especiales del NIST se incluyen:

Dado que las directrices del NIST se complementan entre sí, las organizaciones que se basan en una publicación específica pueden establecer correspondencias con las demás, lo que les permite cumplir múltiples requisitos utilizando un único marco. La plataforma de gestión de riesgos de terceros de Prevalent puede utilizarse para cumplir los requisitos del NIST en materia de seguridad de la cadena de suministro.

Esta publicación explica cada publicación especial del NIST y asigna las capacidades prevalentes a esos marcos.

Controles de gestión de riesgos de la cadena de suministro en SP 800-53 Rev. 5

La seguridad de la cadena de suministro y los controles de privacidad de datos han evolucionado a medida que se ha revisado la norma SP 800-53. Por ejemplo, en la SP 800-53 Rev. 4, la protección de la cadena de suministro se incluía en un grupo de control más amplio denominado «Adquisición de sistemas y servicios». Este control único abordaba la necesidad de identificar las vulnerabilidades a lo largo del ciclo de vida de un sistema de información y de responder a ellas mediante estrategias y controles. Animaba a las organizaciones a adquirir y contratar soluciones de terceros para implementar medidas de seguridad. También exigía a las organizaciones revisar y evaluar a los proveedores y sus productos antes de contratarles, con el fin de lograr una mayor visibilidad de la cadena de suministro.

Reconociendo el creciente número de violaciones de datos relacionadas con proveedores externos y otros incidentes de seguridad, la norma SP 800-53 Rev. 5 amplía y perfecciona las directrices de seguridad y privacidad de la cadena de suministro mediante el establecimiento de un grupo de control completamente nuevo, SR-Gestión de riesgos de la cadena de suministro. También exige a las organizaciones que desarrollen y planifiquen la gestión de los riesgos de la cadena de suministro mediante:

  • Utilizar planes y políticas formales de gestión de riesgos para impulsar el proceso de gestión de la cadena de suministro.
  • Hacer hincapié en la seguridad y la privacidad mediante la colaboración en la identificación de riesgos y amenazas, y mediante la aplicación de controles basados en la seguridad y la privacidad.
  • Exigir transparencia en los sistemas y productos (por ejemplo, ciclo de vida, trazabilidad y autenticidad de los componentes).
  • Aumentar la concienciación sobre la necesidad de evaluar previamente a las organizaciones y garantizar la visibilidad de los problemas y las infracciones.

Cómo la norma SP 800-161 Rev. 1 complementa la gestión de riesgos de la cadena de suministro en materia de ciberseguridad

La norma NIST SP 800-53 se considera la base sobre la que se construyen todos los demás controles de ciberseguridad. Con la norma SP 800-161 Rev. 1, el NIST esboza un marco complementario para enmarcar, evaluar, responder y supervisar los riesgos de la cadena de suministro en materia de ciberseguridad. Juntas, la norma SP 800-53 y la guía de control complementaria SP 800-161 presentan un marco integral para evaluar y mitigar los riesgos de los proveedores.

Requisitos de gestión de riesgos de la cadena de suministro en el Marco de Ciberseguridad v2.0

El Marco de Ciberseguridad es otra publicación del NIST que se aplica a la gestión de riesgos de terceros y a la seguridad de la cadena de suministro. El Marco aprovecha los marcos de seguridad existentes, como CIS, COBIT, ISA, ISO/IEC y NIST, para evitar crear una carga indebida a las organizaciones a la hora de cumplir los requisitos. NIST CSF 2.0, publicado en febrero de 2024, reorganiza los controles de gestión de riesgos de la cadena de suministro bajo una nueva función denominada «Gobernar». Las subcategorías específicas de gestión de riesgos de la cadena de suministro identificadas en el CSF incluyen:

  • GV.SC-01: Las partes interesadas de la organización establecen y acuerdan un programa, una estrategia, unos objetivos, unas políticas y unos procesos de gestión de riesgos de la cadena de suministro en materia de ciberseguridad.
  • GV.SC-02: Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades en materia de ciberseguridad de los proveedores, clientes y socios.
  • GV.SC-03: La gestión de riesgos de la cadena de suministro en materia de ciberseguridad se integra en la gestión de riesgos empresariales y de ciberseguridad, la evaluación de riesgos y los procesos de mejora.
  • GV.SC-04: Se conoce a los proveedores y se les prioriza según su importancia.
  • GV.SC-05: Se establecen y priorizan los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro, y se integran en los contratos y otros tipos de acuerdos con los proveedores y otras terceras partes relevantes.
  • GV.SC-06: Se llevan a cabo actividades de planificación y diligencia debida para reducir los riesgos antes de establecer relaciones formales con proveedores u otros terceros.
  • GV.SC-07: Los riesgos que plantean un proveedor, sus productos y servicios, y otros terceros se comprenden, registran, priorizan, evalúan, responden y supervisan a lo largo de la relación.
  • GV.SC-08: Los proveedores relevantes y otros terceros se incluyen en las actividades de planificación, respuesta y recuperación ante incidentes.
  • GV.SC-09: Las prácticas de seguridad de la cadena de suministro se integran en los programas de ciberseguridad y gestión de riesgos empresariales, y su rendimiento se supervisa a lo largo del ciclo de vida de los productos y servicios tecnológicos.
  • GV.SC-10: Los planes de gestión de riesgos de la cadena de suministro en materia de ciberseguridad incluyen disposiciones para las actividades que se llevan a cabo tras la conclusión de un acuerdo de colaboración o de prestación de servicios.

Cumplimiento de las directrices de ciberseguridad para la cadena de suministro NIST SP 800-53r5 y NIST 800-161r1 mediante la plataforma Prevalent.

Prevalent puede ayudar a cumplir los requisitos de terceros establecidos en la norma NIST SP 800-53r5 «Controles de seguridad y privacidad para sistemas y organizaciones de información federales», así como en la norma NIST 800-161r1 «Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad», mediante una plataforma automatizada que gestiona el proceso de evaluación de riesgos de los proveedores y determina el cumplimiento de estos con los requisitos de seguridad informática, normativos y de privacidad de datos.

Con la plataforma de gestión de riesgos de terceros más utilizada, usted puede:

  • Realizar un seguimiento y análisis continuos de las amenazas observables externamente para los proveedores y otros terceros, y complementar y validar los datos de control de seguridad comunicados por los proveedores para dar cabida a CA-2 (1) Evaluaciones de control | Evaluaciones especializadas, CA-2 (3) Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas y SA-4 (7) Supervisión del sistema | Concienciación situacional integrada.
  • Revelar incidentes cibernéticos de terceros para 550 000 empresas mediante la supervisión de más de 1500 foros criminales; miles de páginas onion, más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades para dar cabida a CA-7 (3) Supervisión continua | Análisis de tendencias, PM-16 Programa de concienciación sobre amenazas, PM-31 Estrategia de supervisión continua, SA-4 (3) Proceso de adquisición | Plan de supervisión continua para controles y SI-5 Alertas, avisos y directivas de seguridad.
  • Identifique y mitigue rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección para adaptarse al CP-2 (7) Plan de contingencia | Coordinación con proveedores de servicios externos, IR-4 (3) Gestión de incidentes | Coordinación de la cadena de suministro, IR-6 (1) Notificación de incidentes | Coordinación de la cadena de suministro e IR-8 Plan de respuesta a incidentes.
  • Automatice la gestión del ciclo de vida de los contratos para garantizar que se apliquen las cláusulas contractuales clave para la respuesta ante incidentes y que los niveles de servicio y los tiempos de respuesta se gestionen de acuerdo con los acuerdos IR-5 de supervisión de incidentes y SR-8 de notificación.
  • Evalúe los controles de los socios de la cadena de suministro utilizando más de 750 plantillas estandarizadas de encuestas de evaluación de riesgos, incluidas las de NIST, ISO y muchas otras, un asistente de creación de encuestas personalizadas y un cuestionario que mapea las respuestas a cualquier normativa o marco de cumplimiento para adaptarse a las evaluaciones de seguridad CA-2 (3) | Organizaciones externas, RA-1 Políticas y procedimientos, RA-3 Evaluación de riesgos, RA-7 Respuesta a riesgos y SR-6 Evaluaciones y revisiones de proveedores.
  • Clasificar y ordenar a todos los proveedores utilizando múltiples criterios para adaptarse al análisis de criticidad RA-9 y al inventario de proveedores SR-13.
  • Proporcione acceso instantáneo a miles de perfiles de riesgo de proveedores completos y conformes con los estándares del sector, que ofrecen información en tiempo real sobre seguridad, reputación y finanzas para adaptarse al proceso de adquisición SA-9 y a las estrategias, herramientas y métodos de adquisición SR-5.
  • Defina y documente su programa de TPRM para adaptarlo a las políticas y procedimientos SR-1 y a los controles y procesos de la cadena de suministro SR-3.
  • Mejore continuamente su programa TPRM y asegúrese de que sea ágil y flexible para adaptarse al Plan de gestión de riesgos de la cadena de suministro SR-2.

Cumplimiento del Marco del NIST para mejorar la ciberseguridad de las infraestructuras críticas
Requisitos de terceros del Marco (CSF) v2.0

Con la plataforma de gestión de riesgos de terceros más utilizada,, usted puede:

  • Defina y documente su programa de gestión de riesgos de terceros con servicios profesionales expertos. Obtenga un plan claro que tenga en cuenta la estrategia del programa, las funciones y responsabilidades, y la integración en la estrategia más amplia de gestión de riesgos empresariales, al tiempo que incorpora las mejores prácticas para la gestión integral de riesgos de terceros (TPRM) con el fin de abordar la gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC-01, GV.SC-02, GV.SC-03 y GV.SC-09).
  • Centralizar, perfilar, clasificar y puntuar los riesgos inherentes a todos los terceros como primer paso fundamental en las fases de incorporación y priorización del ciclo de vida de los proveedores para abordar la gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC-04).
  • Centralizar la distribución, discusión, retención y revisión de los contratos con proveedores para automatizar el ciclo de vida de los contratos y garantizar que se cumplan las cláusulas clave como parte de la gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC-05).
  • Centralice y automatice la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite realizar la diligencia debida previa al contrato como parte de la gestión de riesgos de la cadena de suministro de ciberseguridad (GV.SC-06).
  • Utilice una solución integral para evaluar y supervisar todos los aspectos relacionados con la seguridad de la información que afectan a los controles de seguridad de los socios de la cadena de suministro, con el fin de abordar la gestión de riesgos de ciberseguridad en la cadena de suministro (GV.SC-07).
  • Identificar, responder, informar y mitigar el impacto de los incidentes de seguridad de proveedores externos como parte de la gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC-08).
  • Automatice las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición posterior al contrato de su organización como parte de la gestión de riesgos de la cadena de suministro de ciberseguridad (GV.SC-10).

Próximos pasos para el cumplimiento de las normas del NIST

El NIST exige una gestión y un seguimiento rigurosos de los riesgos de seguridad de la cadena de suministro de terceros. Las normas SP 800-53r5, SP 800-161r1 y CSF v2.0 especifican que:

  • debe existir una política para gestionar el riesgo
  • Se deben seleccionar controles de seguridad.
  • Se debe codificar una política en los acuerdos con los proveedores cuando sea apropiado.
  • Los proveedores deben ser evaluados, gestionados y auditados según los requisitos y controles.

Prevalent ofrece una plataforma unificada con capacidades de cumplimiento de NIST que le permiten auditar eficazmente los controles de seguridad de los proveedores. Para obtener una lista completa de los requisitos de gestión de riesgos de la cadena de suministro de NIST y cómo se corresponden con las capacidades de Prevalent, lea la lista de verificación de cumplimiento de terceros de NIST o solicite una demostración hoy mismo. Para saber cómo se aplica la gestión de riesgos de terceros a más de 50 normativas, descargue elManual de cumplimiento de los marcos de ciberseguridad de la Asociación de Compañías de Seguros ( ).

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.