La Publicación Especial del Instituto Nacional de Estándares y Tecnología (NIST SP) 800-53 es un marco ampliamente adoptado que muchos profesionales de la seguridad consideran la base de todos los controles de seguridad de la información posteriores del NIST. Actualmente en su quinta revisión, la NIST SP 800-53 se centra en los controles de seguridad y privacidad para los sistemas de información y las organizaciones, y también es aplicable a terceros proveedores y distribuidores.
With numerous organizations adopting SP 800-53 for their information security programs, this post examines the framework’s supply chain risk management controls and third-party risk management guidance and identifies best practice capabilities you can employ to meet NIST requirements for stronger third-party information security.
Riesgos del NIST y de la cadena de suministro de terceros
NIST guidelines require organizations to develop a plan for managing supply chain risks by:
- Utilizar planes y políticas formales de gestión de riesgos para impulsar el proceso de gestión de la cadena de suministro.
- Hacer hincapié en la seguridad y la privacidad mediante la colaboración en la identificación de riesgos y amenazas, y mediante la aplicación de controles basados en la seguridad y la privacidad.
- Exigir transparencia en los sistemas y productos (por ejemplo, ciclo de vida, trazabilidad y autenticidad de los componentes).
- Aumentar la concienciación sobre la necesidad de evaluar previamente a las organizaciones y garantizar la visibilidad de los problemas y las infracciones.
NIST SP 800-53r5 Controles específicos para la cadena de suministro: capacidades de mejores prácticas
This post includes select controls only. For a full list of controls, please review the complete SP 800-53 guidance in detail and consult your auditor.
| SP 800-53r5 Controles específicos para la cadena de suministro | Capacidades de mejores prácticas |
|---|---|
| CA-2 (2) Evaluaciones de control | Evaluaciones especializadas
Las organizaciones pueden realizar evaluaciones especializadas, incluyendo verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios maliciosos y otras formas de pruebas. CA-2 (3) Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas Las organizaciones pueden basarse en evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas). |
Busca soluciones que incluyan una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de terceros – including those specifically built around NIST controls. Assessments should be conducted at the time of supplier onboarding, contract renewal, or at any required frequency (e.g., quarterly or annually) depending on material changes in the relationship.
Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos, a fin de garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria, y puedan proporcionar las pruebas adecuadas a los auditores. As part of this process, continuously track and analyze external threats to third parties. Monitor the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanction, and financial information. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta. Asegúrese de incorporar datos operativos, reputacionales y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo. If required, substitute third-party auditors SOC 2 reports for a vendor’s risk assessments. Review the list of control gaps identified within the SOC 2 report, create risk items against the third party, and track and report against deficiencies over time. |
| CP-2 (7) Plan de contingencia | Coordinar con los proveedores de servicios externos
Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para garantizar que se puedan satisfacer los requisitos de contingencia. IR-4 (10) Gestión de incidentes | Coordinación de la cadena de suministro Coordinar las actividades de gestión de incidentes relacionados con la cadena de suministro con otras organizaciones involucradas en la cadena de suministro. IR-5 Supervisión de incidentes Seguir y documentar los incidentes. IR-6 (3) Notificación de incidentes | Coordinación de la cadena de suministro Proporcione información sobre el incidente al proveedor del producto o servicio y a otras organizaciones involucradas en la cadena de suministro o en la gobernanza de la cadena de suministro de los sistemas o componentes del sistema relacionados con el incidente. IR-8(1) Plan de respuesta ante incidentes | Violaciones Incluya lo siguiente en el Plan de respuesta ante incidentes para violaciones que impliquen información de identificación personal: (a) Un proceso para determinar si es necesario notificar a personas u otras organizaciones, incluidas las organizaciones de supervisión. (b) Un proceso de evaluación para determinar el alcance del daño, la vergüenza, las molestias o la injusticia causadas a las personas afectadas y cualquier mecanismo para mitigar dichos daños; y (c) Identificación de los requisitos de privacidad aplicables. |
As part of your broader incident management strategy, ensure that your third-party incident response program enables your team to rapidly identify, respond to, report on, and mitigate the impact of third-party vendor security incidents. Look for managed services where dedicated experts centrally manage your vendors; conduct proactive event risk assessments; score identified risks; correlate risks with continuous cyber monitoring intelligence; and issue remediation guidance on your organization’s behalf. Managed services can greatly reduce the time required to identify vendors impacted by a cybersecurity incident, coordinate with vendors, and ensure that remediations are in place.
Las capacidades clave incluyen:
Además, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores. |
| PM-9 Estrategia de gestión de riesgos
a. Desarrollar una estrategia integral para gestionar: 1. Riesgos de seguridad para las operaciones y los activos de la organización, las personas, otras organizaciones y la nación asociados con el funcionamiento y el uso de los sistemas de la organización; y 2. Riesgo para la privacidad de las personas derivado del tratamiento autorizado de información de identificación personal. b. Implementar la estrategia de gestión de riesgos de manera coherente en toda la organización; y c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos. PM-30 Supply Chain Risk Management Strategy a. Desarrollar una estrategia para toda la organización con el fin de gestionar los riesgos de la cadena de suministro asociados con el desarrollo, la adquisición, el mantenimiento y la eliminación de sistemas, componentes de sistemas y servicios de sistemas. b. Implementar la estrategia de gestión de riesgos de la cadena de suministro de manera coherente en toda la organización; y c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con la frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos. |
Desarrolle un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro en materia de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.
Seek out experts to collaborate with your team on:
Como parte de este proceso, debe definir:
Continually evaluate the effectiveness of your TPRM program according to changing business needs and priorities, measuring third-party vendor key performance indicators (KPIs) and key risk indicators (KRIs) through the relationship lifecycle. |
| PM 30 (1) Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión
Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para la misión. |
Start by quantifying inherent risks for all third parties. Criteria used to calculate inherent risk for third-party prioritization includes:
From this inherent risk assessment, your team can automatically tier suppliers, set appropriate levels of further diligence; and determine the scope of ongoing assessments. La lógica de clasificación basada en reglas debería permitir la categorización de proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación. |
| Estrategia de monitorización continua PM-31
Desarrollar una estrategia de supervisión continua para toda la organización e implementar programas de supervisión continua que incluyan: a. Establecer métricas para toda la organización que se supervisarán; b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia de los controles. c. Supervisión continua de los parámetros definidos por la organización de acuerdo con la estrategia de supervisión continua. d. Correlación y análisis de la información generada por las evaluaciones de control y el seguimiento; e. Medidas de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y f. Informar sobre el estado de seguridad y privacidad de los sistemas de la organización al personal designado. |
Continuously track and analyze external threats to third parties. As part of this, monitor the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions, and financial information.
Las fuentes de supervisión suelen incluir:
Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta. Una vez que todos los datos de evaluación y supervisión se hayan correlacionado en un registro central de riesgos, aplique una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar las medidas correctivas para ellos. Asignar propietarios y realizar un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa. |
| Política y procedimientos RA-1
Desarrollar, documentar y difundir: 1. Una política de evaluación de riesgos que: (a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y (b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y 2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados. b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y c. Revisar y actualizar la evaluación de riesgos actual: 1. Policy and 2. Procedures. |
Véase PM-9 Estrategia de gestión de riesgos . |
| RA-2 (1) Clasificación de seguridad | Priorización por nivel de impacto
Realizar una priorización por nivel de impacto de los sistemas organizativos para obtener una mayor granularidad sobre los niveles de impacto de los sistemas. |
Véase PM 30 (1) Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión. |
| RA-3 (1) Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro
(a) Evaluar los riesgos de la cadena de suministro asociados con los sistemas, componentes y servicios; y (b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos operativos u otras condiciones puedan requerir un cambio en la cadena de suministro. |
Look for solutions that feature a large library of pre-built templates for third-party risk assessments – including those specifically built around NIST controls. Assessments should be conducted at the time of supplier onboarding, contract renewal, or at any required frequency (e.g., quarterly or annually) depending on material changes.
Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas, con el fin de garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos, a fin de garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria, y puedan proporcionar las pruebas adecuadas a los auditores. |
| RA-3 (2) Evaluación de riesgos | Uso de inteligencia de todas las fuentes
Utilizar información procedente de todas las fuentes para ayudar en el análisis de riesgos. RA-3 (3) Evaluación de riesgos | Concienciación dinámica sobre amenazas Determinar de forma continua el entorno actual de amenazas cibernéticas. RA-3 (4) Evaluación de riesgos | Análisis cibernético predictivo Emplee capacidades avanzadas de automatización y análisis para predecir e identificar riesgos. RA-7 Respuesta al riesgo Responder a los resultados de las evaluaciones de seguridad y privacidad, la supervisión y las auditorías de acuerdo con la tolerancia al riesgo de la organización. |
Continuously track and analyze external threats to third parties. As part of this, monitor the internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions, and financial information.
Las fuentes de supervisión suelen incluir:
Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta. Una vez que todos los datos de evaluación y supervisión se hayan correlacionado en un registro central de riesgos, aplique una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar las medidas correctivas. Asignar propietarios y realizar un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa. |
| Análisis de criticidad RA-9
Identificar los componentes y funciones críticos del sistema mediante la realización de un análisis de criticidad en puntos de decisión definidos del ciclo de vida del desarrollo del sistema. |
Véase PM 30 (1) Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión. |
| Política y procedimientos SR-1
Desarrollar, documentar y difundir: 1. Una política de gestión de riesgos de la cadena de suministro que: (a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y (b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y 2. Procedimientos para facilitar la implementación de la política de gestión de riesgos de la cadena de suministro y los controles asociados a la gestión de riesgos de la cadena de suministro. b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y c. Revisar y actualizar la gestión actual de riesgos de la cadena de suministro: 1. Policy and 2. Procedures |
Véase PM-9 Estrategia de gestión de riesgos. |
| SR-2 Plan de gestión de riesgos de la cadena de suministro
a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas. b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a amenazas, cambios organizativos o ambientales; y c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas. |
Véase PM-9 Estrategia de gestión de riesgos. |
| SR-3 Controles y procesos de la cadena de suministro
a. Establecer uno o varios procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro, en coordinación con el personal de la cadena de suministro. b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro para el sistema, los componentes del sistema o los servicios del sistema, y para limitar los daños o las consecuencias de los eventos relacionados con la cadena de suministro; y c. Documentar los procesos y controles seleccionados e implementados en la cadena de suministro en el plan de gestión de riesgos de la cadena de suministro. |
Véase PM-9 Estrategia de gestión de riesgos. |
| SR-4 (4) Procedencia | Integridad de la cadena de suministro: pedigrí
Emplear controles y análisis para garantizar la integridad del sistema y sus componentes mediante la validación de la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión. |
As part of the due diligence process, require vendors to provide updated software bills of materials (SBOMs) for their software products. This will help you identify any potential vulnerabilities or licensing issues that may impact your organization’s security and compliance. |
| Estrategias, herramientas y métodos de adquisición SR-5
Emplear estrategias de adquisición, herramientas contractuales y métodos de aprovisionamiento para proteger, identificar y mitigar los riesgos de la cadena de suministro. |
Centralice y automatice la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar los atributos clave.
As all service providers are being centralized and reviewed, teams should create comprehensive vendor profiles that contain insight into a vendor’s demographic information, 4th-party technologies, ESG scores, recent business and reputational insights, data breach history, and recent financial performance. Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones sobre la selección de proveedores. |
| SR-6 Evaluaciones y revisiones de proveedores
Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados a los proveedores o contratistas y al sistema, componente del sistema o servicio del sistema que proporcionan. |
See RA-3 (1) Risk Assessment | Supply Chain Risk Assessment |
| Acuerdos de notificación SR-8
Establecer acuerdos y procedimientos con las entidades involucradas en la cadena de suministro del sistema, los componentes del sistema o los servicios del sistema para la notificación de compromisos de la cadena de suministro, así como los resultados de las evaluaciones o auditorías. |
Centralize the distribution, discussion, retention, and review of vendor contracts to automate the contract lifecycle and ensure key clauses are enforced. Key capabilities include:
|
| Inventario de proveedores SR-13
a. Desarrollar, documentar y mantener un inventario de proveedores que: 1. Refleja de forma precisa y mínima los proveedores de primer nivel de la organización que pueden suponer un riesgo para la ciberseguridad en la cadena de suministro. 2. ¿Se encuentra al nivel de detalle necesario para evaluar la criticidad y el riesgo de la cadena de suministro, realizar un seguimiento y elaborar informes? 3. Documenta la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revisa y actualiza el inventario de proveedores. i. Identificador único del instrumento de adquisición (es decir, contrato, tarea u orden de entrega); ii. Descripción de los productos y/o servicios suministrados; iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y iv. Nivel de criticidad asignado que se ajusta a la criticidad del programa, proyecto y/o sistema (o componente del sistema). b. Revisar y actualizar el inventario de proveedores. |
Centralice toda la información sobre los proveedores en un único perfil de proveedor, de modo que todos los departamentos que interactúan con ellos puedan aprovechar la misma información, mejorando así la visibilidad y la toma de decisiones.
Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras existente, eliminando los procesos manuales propensos a errores. Rellene los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto debería estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución. Build comprehensive supplier profiles that compare and monitor supplier demographics, geographic location, fourth-party technologies, and recent operational insights. Having this accumulated data will enable you to report on and take action against geographic and technology concentration risks especially. |
How Mitratech Helps Address NIST SP 800-53 Supply Chain Risk Management Guidelines
Mitratech delivers a central, automated platform for scaling third-party risk management and cybersecurity supply chain risk management. With the right platform, your team can:
- Cree un programa de gestión de riesgos de terceros basado en las mejores prácticas, en consonancia con los programas más amplios de ciberseguridad de la cadena de suministro y de gestión de riesgos empresariales de su organización.
- Aproveche la información consolidada de múltiples áreas de riesgo para automatizar los procesos de RFx y tomar decisiones más informadas sobre la diligencia debida de los proveedores.
- Centralizar la distribución, discusión, retención y revisión de los contratos con los proveedores para garantizar que se incluyan, acuerden y apliquen los requisitos de seguridad clave con indicadores clave de rendimiento (KPI).
- Crear un inventario de proveedores únicos y evaluar el riesgo inherente para informar sobre la elaboración de perfiles, la clasificación y la categorización de los proveedores de servicios, y determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
- Automatice las evaluaciones de riesgos y las medidas correctivas en todas las etapas del ciclo de vida de los terceros.
- Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades.
- Automatice las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato.
- Identifique y mitigue rápidamente el impacto de los incidentes y las violaciones de seguridad de los proveedores de servicios mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.
Ready to see how your vendor program stacks up against NIST 800-53 SR controls?
Solicitar una demostraciónPreguntas frecuentes
What is NIST SP 800-53 SR-6 (Supplier Assessments and Reviews)?
SR-6 requires organizations to assess and review supply chain risks associated with each supplier and the systems or services they provide. Assessments should use consistent baseline criteria to allow risk comparison across suppliers over time, and results must be documented and factored into ongoing vendor risk decisions.
How does NIST 800-53 address third-party and vendor risk management?
NIST 800-53 governs vendor risk primarily through the SR (Supply Chain Risk Management) and RA (Risk Assessment) control families. SR controls establish requirements for supplier assessments, risk plans, notification agreements, and supplier inventories. RA controls govern how those assessments are conducted and how ongoing threats are monitored.
What is NIST SP 800-53 SR-13 (Supplier Inventory)?
SR-13 requires organizations to maintain a documented inventory of tier-one suppliers, including each supplier’s criticality level, what they provide, and which internal systems depend on them. It is the foundation of supplier tiering and appears frequently in federal contractor audits and vendor security questionnaires.
How do NIST 800-53 SR controls apply to third-party vendor assessments?
The SR control family defines what a vendor assessment program must include: a supply chain risk management plan (SR-2), documented controls and processes for identifying weaknesses (SR-3), structured supplier assessments (SR-6), contractual notification agreements (SR-8), and a maintained supplier inventory (SR-13). Each control maps directly to a capability a mature TPRM program should have in place.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.