Tras un comienzo de año muy ajetreado, me complace anunciar la versión 3.16 de nuestra plataforma de gestión de riesgos de terceros. En esta publicación, presentaré las importantes actualizaciones de la v3.16 en cuanto al flujo de trabajo y la automatización, así como la nueva integración con ServiceNow y otras soluciones. También hablaré de las nuevas funciones de la versión 3.15 (disponible desde enero), entre las que se incluyen nuevos tipos de evaluación y una API mejorada. Por último, repasaré la nueva información sobre riesgos añadida a nuestra solución de supervisión cibernética y empresarial, Vendor Threat Monitor (VTM), y presentaré nuevas opciones de licencia para ayudarle a ampliar su programa de forma más eficiente. ¡Siga leyendo para obtener más información!
Plantillas de tareas: flujo de trabajo avanzado para la automatización de la gestión del ciclo de vida de los proveedores
La gestión del ciclo de vida de los proveedores puede implicar muchos pasos complejos, desde la creación de entidades y el cambio de estados hasta la notificación a las partes pertinentes sobre determinadas acciones, lo que dificulta la ampliación de su programa de gestión de riesgos de terceros. Prevalent aborda este reto con la introducción de plantillas de tareas en la versión 3.16. Las plantillas de tareas utilizan desencadenantes (por ejemplo, la creación de una entidad o la finalización de una evaluación) para generar nuevas tareas de flujo de trabajo. Puede utilizar los desencadenantes de tareas para acciones de flujo de trabajo como:
- Notificar al propietario de la entidad para que revise una entidad recién creada.
- Cambiar automáticamente el estado de la entidad al completar la tarea.
- Avisar a los revisores de la encuesta una vez completada la evaluación.
Al automatizar las acciones del flujo de trabajo, se eliminan los pasos manuales, se reducen los errores y se puede centrar en cuestiones prioritarias que requieren su intervención directa. Para ver una representación de una plantilla de tareas, consulte la captura de pantalla siguiente.
Las plantillas de tareas generan tareas de flujo de trabajo basadas en desencadenantes.
El conector ServiceNow permite la gestión centralizada de datos de terceros, servicios de TI y riesgos.
Las organizaciones que han estandarizado ServiceNow para la gestión de servicios de TI (ITSM) suelen buscar la integración con otras soluciones empresariales para optimizar los flujos de trabajo y la productividad. Lo mismo ocurre con la gestión de riesgos. Basándose en las mejoras de la API anunciadas en las versiones 3.14 y 3.15 (véase más abajo), la versión 3.16 introduce un conector que permite a ServiceNow consumir y gestionar los datos de la plataforma Prevalent, lo que le permite:
- Gestiona de forma centralizada la gestión de riesgos de terceros, la gestión de servicios de TI y otras actividades de gestión de riesgos empresariales.
- Analizar los datos de riesgo de terceros con otros datos de riesgo
- Reduzca el número de credenciales y plataformas que necesita gestionar.
Esta integración es esencial para las organizaciones que gestionan sus negocios con ServiceNow.
Las mejoras en la programación añaden flexibilidad a las evaluaciones
La programación de evaluaciones suele implicar diferentes requisitos de flujo de trabajo, dependiendo de si se está evaluando a un nuevo proveedor por primera vez o si se está introduciendo una nueva evaluación a un tercero ya existente. Cuando se necesitan varios tipos de evaluación, es necesario contar con flexibilidad en la programación de las evaluaciones para adaptarse a las necesidades específicas de flujo de trabajo. La versión 3.15 de la plataforma Prevalent introdujo dos nuevos tipos de programación para agilizar el proceso:
- Programación proactiva de evaluaciones en la que el proveedor puede completar una evaluación cuando lo desee, sin plazos ni fechas límite específicos.
- Programación flexible de evaluaciones en la que una entidad debe completar la evaluación dentro de un plazo determinado en el momento en que se añade a un programa.
Para ver una representación de los nuevos horarios, consulte la captura de pantalla siguiente.
Los nuevos tipos de horarios añaden flexibilidad a las evaluaciones.
Las mejoras de la API centralizan la información sobre gestión de riesgos.
Para tomar decisiones acertadas basadas en el riesgo, normalmente hay que analizar datos de múltiples fuentes de toda la organización. Por desgracia, es habitual que las organizaciones caigan en un enfoque aislado de la gestión de riesgos empresariales, con conjuntos de herramientas dispares que dificultan la detección, interpretación y actuación ante los riesgos.
Las mejoras de la API añadidas en la versión 3.15 facilitan la recopilación e interpretación de datos de múltiples vectores de riesgo. Con la nueva capacidad de lectura/escritura de la API, ahora puede gestionar y analizar de forma centralizada los datos de riesgo de terceros de Prevalent junto con la información de sus soluciones de gestión de servicios de TI y gestión de riesgos empresariales.
La supervisión mejorada en Vendor Threat Monitor 2.0 expone más riesgos cibernéticos y empresariales
Un programa completo de gestión de riesgos de terceros requiere una combinación de evaluaciones de controles internos y externos, y supervisión externa de los riesgos cibernéticos y empresariales. Sin embargo, sin el nivel adecuado de integración con sus soluciones de evaluación, las herramientas de puntuación ofrecen poca visibilidad sobre si las actividades de un proveedor podrían suponer un riesgo antes, después o entre evaluaciones. Las organizaciones deben ser capaces de aprovechar la supervisión continua que proporciona visibilidad de las actividades empresariales y el panorama de ciberseguridad de sus proveedores para informar mejor las evaluaciones en curso.
Basándose en su integración nativa entre evaluaciones y supervisión, pionera en el mercado y anunciada originalmente en la versión 3.14, la plataforma Prevalent versión 3.16 amplía su cobertura para incluir ahora la supervisión de la web oscura, así como información adicional sobre amenazas IP. Los nuevos indicadores de amenazas incluyen:
- Escaneo y alertas de credenciales filtradas profundas/oscuras
- Actividad de activos (por ejemplo, alojamiento de una red TOR; comando y control de alojamiento de activos; comunicación con un servidor de comando y control; IP detectada en el análisis de muestras de malware; etc.).
- Actividad en la Dark Web (por ejemplo, foros de conversación entre delincuentes; atención de los delincuentes a los mercados de la Dark Web, etc.).
- Notificaciones de typosquatting de DNS y eventos de actividad sospechosa de DNS
- Infecciones notificadas recientemente (por ejemplo, listas de amenazas externas, honeypots externos, etc.).
- Divulgación de violaciones de datos
- Ciberataques recientemente validados por nuestro equipo global de investigación de amenazas.
Disponible a través de una sencilla ruta de actualización para los clientes actuales de VTM, esta solución ofrece información más detallada sobre los posibles riesgos de terceros, lo que permite a sus equipos de seguridad y gestión de riesgos ser más proactivos. Para ver cómo estos nuevos tipos de riesgos e incidentes influyen en la puntuación de riesgos, consulte la captura de pantalla siguiente.
Los nuevos indicadores proporcionan un contexto adicional sobre los riesgos.
Nuevas opciones de licencia: desde un kit de inicio hasta TPRM para empresas
Los equipos de gestión de proveedores, sobrecargados de trabajo, se enfrentan cada día a todo tipo de retos, desde definir quiénes son sus proveedores hasta comprender el riesgo que estos suponen para el negocio. Basándonos en nuestra experiencia en ayudar a las organizaciones a establecer y desarrollar sus programas de gestión de riesgos de terceros, Prevalent ofrece ahora nuevas opciones para que los equipos de proveedores gestionen, evalúen y supervisen a sus terceros, independientemente del grado de madurez de su programa.
- Elementos esenciales de la plataforma Prevalent. Deshágase de las hojas de cálculo y gestione su población global de proveedores con la plataforma Prevalent. Piense en los elementos esenciales de la plataforma como su «kit de inicio» para centralizar la gestión de entidades y realizar perfiles, clasificaciones y evaluaciones de riesgos inherentes.
- Estándar de evaluación prevalente: opción PCF. Cumpla con los requisitos de múltiples mandatos normativos y marcos de seguridad realizando evaluaciones con el contenido estándar del Marco de cumplimiento prevalente (PCF). El PCF es una evaluación exhaustiva que contiene más de 175 preguntas relacionadas con marcos y normativas comunes, como el RGPD, la CCPA, la NYDFS, la NYMITY, la SOX, la HIPAA, la ISO27001, el NIST y la SSAE18 (SOC y SOC II). La realización de una evaluación PCF permite a una organización revisar, informar y corregir múltiples normativas, lo que agiliza en gran medida el proceso de cumplimiento.
- Estándar de evaluación prevalente: opción personalizada. Ideal para clientes que desean utilizar su propio cuestionario e importarlo a la plataforma, tienen requisitos específicos de cuestionarios personalizados o necesitan ayuda para crear un cuestionario personalizado.
- Profesional de evaluación de Prevalent. Aproveche todas las capacidades de evaluación de la plataforma Prevalent, incluido el acceso completo al contenido de la biblioteca estándar y la posibilidad de crear contenido personalizado. Ideal para clientes que respaldan un programa maduro de gestión de riesgos en toda la empresa y requieren flexibilidad en el uso de contenido estándar y personalizado.
Con estas nuevas opciones, los equipos de gestión de riesgos pueden madurar y ampliar sus programas de TPRM con automatización y mayor visibilidad.
¡Espero que estés tan emocionado como yo por estas mejoras! Para obtener más información sobre esta versión, consulta el documento Novedades o lee las Notas de la versión en el Portal de clientes de Prevalent.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
