Cómo utilizar la norma NIST SP 800-53 para mejorar la gestión de riesgos de la cadena de suministro de terceros

La Publicación Especial del Instituto Nacional de Estándares y Tecnología (NIST SP) 800-53 es un marco ampliamente adoptado que muchos profesionales de la seguridad consideran la base de todos los controles de seguridad de la información posteriores del NIST. Actualmente en su quinta revisión, la NIST SP 800-53 se centra en los controles de seguridad y privacidad para los sistemas de información y las organizaciones, y también es aplicable a terceros proveedores y distribuidores.

Dado que numerosas organizaciones están adoptando la norma SP 800-53 para sus programas de seguridad de la información, este artículo examina los controles de gestión de riesgos de la cadena de suministro y las directrices de gestión de riesgos de terceros del marco, e identifica las mejores prácticas que se pueden emplear para cumplir los requisitos del NIST para una mayor seguridad de la información de terceros.

Riesgos del NIST y de la cadena de suministro de terceros

Las directrices del NIST exigen a las organizaciones que desarrollen un plan para gestionar los riesgos de la cadena de suministro mediante:

Utilizar planes y políticas formales de gestión de riesgos para impulsar el proceso de gestión de la cadena de suministro.
Hacer hincapié en la seguridad y la privacidad mediante la colaboración en la identificación de riesgos y amenazas, y mediante la aplicación de controles basados en la seguridad y la privacidad.
Exigir transparencia en los sistemas y productos (por ejemplo, ciclo de vida, trazabilidad y autenticidad de los componentes).
Aumentar la concienciación sobre la necesidad de evaluar previamente a las organizaciones y garantizar la visibilidad de los problemas y las infracciones.

NIST SP 800-53r5 Controles específicos para la cadena de suministro: capacidades de mejores prácticas

NOTA: Esta publicación incluye solo algunos controles seleccionados. Para obtener una lista completa de los controles, revise detalladamente la guía SP 800-53 y consulte a su auditor.

SP 800-53r5 Controles específicos para la cadena de suministro	Capacidades de mejores prácticas
CA-2 (2) Evaluaciones de control \| Evaluaciones especializadas Las organizaciones pueden realizar evaluaciones especializadas, incluyendo verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios maliciosos y otras formas de pruebas. CA-2 (3) Evaluaciones de control \| Aprovechamiento de los resultados de organizaciones externas Las organizaciones pueden basarse en evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas).	Busque soluciones que incluyan una amplia biblioteca de plantillas prediseñadas para [evaluaciones de riesgos de terceros](/products/vendor-risk-assessment/), incluidas aquellas creadas específicamente en torno a los controles del NIST. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación. Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos, a fin de garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria, y puedan proporcionar las pruebas adecuadas a los auditores. Como parte de este proceso, realice un seguimiento y análisis continuos de [las amenazas externas a terceros](/products/vendor-risk-monitoring/). Supervise Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta. Asegúrese de incorporar datos operativos, reputacionales y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo. Si es necesario, sustituya las evaluaciones de riesgos de un proveedor por auditorías de terceros [informes SOC 2](/blog/aicpa-soc-2-third-party-risk-management/). Revise la lista de deficiencias de control identificadas en el informe SOC 2, cree elementos de riesgo contra el tercero y realice un seguimiento e informe sobre las deficiencias a lo largo del tiempo.
CP-2 (7) Plan de contingencia \| Coordinar con los proveedores de servicios externos Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para garantizar que se puedan satisfacer los requisitos de contingencia. IR-4 (10) Gestión de incidentes \| Coordinación de la cadena de suministro Coordinar las actividades de gestión de incidentes relacionados con la cadena de suministro con otras organizaciones involucradas en la cadena de suministro. IR-5 Supervisión de incidentes Seguir y documentar los incidentes. IR-6 (3) Notificación de incidentes \| Coordinación de la cadena de suministro Proporcione información sobre el incidente al proveedor del producto o servicio y a otras organizaciones involucradas en la cadena de suministro o en la gobernanza de la cadena de suministro de los sistemas o componentes del sistema relacionados con el incidente. IR-8(1) Plan de respuesta ante incidentes \| Violaciones Incluya lo siguiente en el Plan de respuesta ante incidentes para violaciones que impliquen información de identificación personal: (a) Un proceso para determinar si es necesario notificar a personas u otras organizaciones, incluidas las organizaciones de supervisión. (b) Un proceso de evaluación para determinar el alcance del daño, la vergüenza, las molestias o la injusticia causadas a las personas afectadas y cualquier mecanismo para mitigar dichos daños; y (c) Identificación de los requisitos de privacidad aplicables.	Como parte de su estrategia general de gestión de incidentes, asegúrese de que su programa de respuesta a incidentes de terceros permita a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de seguridad de proveedores externos. Busque servicios gestionados en los que expertos dedicados gestionen de forma centralizada a sus proveedores; realicen evaluaciones proactivas de los riesgos de los eventos; puntúen los riesgos identificados; correlacionen los riesgos con la inteligencia de supervisión cibernética continua; y emitan directrices de corrección en nombre de su organización. Los servicios gestionados pueden reducir en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar que se apliquen las medidas correctivas. Las capacidades clave del [Servicio de respuesta a incidentes de terceros](/services/third-party-incident-response-service/) incluyen: * Cuestionarios de gestión de eventos e incidentes personalizables y actualizados continuamente * Seguimiento en tiempo real del progreso de cumplimentación de los cuestionarios * Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del plazo previsto * Informes proactivos de los proveedores * Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor * Reglas de flujo de trabajo para activar manuales automatizados que actúen sobre los riesgos según su impacto potencial en el negocio * Plantillas de informes integradas para las partes interesadas internas y externas * Orientación a partir de recomendaciones de corrección integradas para reducir el riesgo * Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo Además, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores.
PM-9 Estrategia de gestión de riesgos a. Desarrollar una estrategia integral para gestionar: 1. Riesgos de seguridad para las operaciones y los activos de la organización, las personas, otras organizaciones y la nación asociados con el funcionamiento y el uso de los sistemas de la organización; y 2. Riesgo para la privacidad de las personas derivado del tratamiento autorizado de información de identificación personal. b. Implementar la estrategia de gestión de riesgos de manera coherente en toda la organización; y c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos. PM-30Estrategia de gestión de riesgos en la cadena de suministro a. Desarrollar una estrategia para toda la organización con el fin de gestionar los riesgos de la cadena de suministro asociados con el desarrollo, la adquisición, el mantenimiento y la eliminación de sistemas, componentes de sistemas y servicios de sistemas. b. Implementar la estrategia de gestión de riesgos de la cadena de suministro de manera coherente en toda la organización; y c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con la frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.	Desarrolle un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro en materia de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo. Busque [expertos](/services/professional-services/) para colaborar con su equipo en: * Definición e implementación de procesos y soluciones TPRM y C-SCRM * Selección de cuestionarios y marcos de evaluación de riesgos * Optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización. Como parte de este proceso, debe definir: * Funciones y responsabilidades claras (por ejemplo, RACI) * Inventarios de terceros * Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización Evalúe continuamente la eficacia de su programa de TPRM en función de las necesidades y prioridades cambiantes del negocio, midiendo los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) de los proveedores externos a lo largo del ciclo de vida de la relación.
PM 30 (1) Estrategia de gestión de riesgos de la cadena de suministro \| Proveedores de artículos críticos o esenciales para la misión Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para la misión.	Comience por cuantificar [los riesgos inherentes](/use-cases/vendor-inherent-risk-scoring/) para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen: * Tipo de contenido necesario para validar los controles * Importancia crítica para el rendimiento y las operaciones del negocio * Ubicación(es) y consideraciones legales o normativas relacionadas * Nivel de dependencia de terceros * Exposición a procesos operativos o de cara al cliente * Interacción con datos protegidos * Situación financiera y salud * Reputación A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso. La lógica de clasificación basada en reglas debe permitir la categorización de los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.
Estrategia de monitorización continua PM-31 Desarrollar una estrategia de supervisión continua para toda la organización e implementar programas de supervisión continua que incluyan: a. Establecer métricas para toda la organización que se supervisarán; b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia de los controles. c. Supervisión continua de los parámetros definidos por la organización de acuerdo con la estrategia de supervisión continua. d. Correlación y análisis de la información generada por las evaluaciones de control y el seguimiento; e. Medidas de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y f. Informar sobre el estado de seguridad y privacidad de los sistemas de la organización al personal designado.	Realizar un seguimiento y análisis continuos de [las amenazas externas a terceros](/products/vendor-risk-monitoring/). Como parte de ello, supervisar Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Las fuentes de supervisión suelen incluir: * Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades. * Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta. Una vez que todos los datos de evaluación y supervisión se hayan correlacionado en un registro central de riesgos, aplique una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar las medidas correctivas para ellos. Asignar propietarios y realizar un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.
Política y procedimientos RA-1 Desarrollar, documentar y difundir: 1. Una política de evaluación de riesgos que: (a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y (b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y 2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados. b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y c. Revisar y actualizar la evaluación de riesgos actual: 1. Política y 2. Procedimientos.	Véase PM-9* Estrategia de gestión de riesgos .*
RA-2 (1) Clasificación de seguridad \| Priorización por nivel de impacto Realizar una priorización por nivel de impacto de los sistemas organizativos para obtener una mayor granularidad sobre los niveles de impacto de los sistemas.	Véase PM 30 (1)* Estrategia de gestión de riesgos de la cadena de suministro \| Proveedores de artículos críticos o esenciales para la misión.*
RA-3 (1) Evaluación de riesgos \| Evaluación de riesgos de la cadena de suministro (a) Evaluar los riesgos de la cadena de suministro asociados con los sistemas, componentes y servicios; y (b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos operativos u otras condiciones puedan requerir un cambio en la cadena de suministro.	Busque soluciones que incluyan una amplia biblioteca de plantillas prediseñadas para [evaluaciones de riesgos de terceros](/products/vendor-risk-assessment/), incluidas aquellas creadas específicamente en torno a los controles del NIST. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), en función de los cambios sustanciales. Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas, con el fin de garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación. Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos, a fin de garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria, y puedan proporcionar las pruebas adecuadas a los auditores.
RA-3 (2) Evaluación de riesgos \| Uso de inteligencia de todas las fuentes Utilizar información procedente de todas las fuentes para ayudar en el análisis de riesgos. RA-3 (3) Evaluación de riesgos \| Concienciación dinámica sobre amenazas Determinar de forma continua el entorno actual de amenazas cibernéticas. RA-3 (4) Evaluación de riesgos \| Análisis cibernético predictivo Emplee capacidades avanzadas de automatización y análisis para predecir e identificar riesgos. RA-7 Respuesta al riesgo Responder a los resultados de las evaluaciones de seguridad y privacidad, la supervisión y las auditorías de acuerdo con la tolerancia al riesgo de la organización.	Realizar un seguimiento y análisis continuos de [las amenazas externas a terceros](/products/vendor-risk-monitoring/). Como parte de ello, supervisar Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Las fuentes de supervisión suelen incluir: * Foros criminales; páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades * Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta. Una vez que todos los datos de evaluación y supervisión se hayan correlacionado en un registro central de riesgos, aplique una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar las medidas correctivas. Asignar propietarios y realizar un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.
Análisis de criticidad RA-9 Identificar los componentes y funciones críticos del sistema mediante la realización de un análisis de criticidad en puntos de decisión definidos del ciclo de vida del desarrollo del sistema.	Véase PM 30 (1)* Estrategia de gestión de riesgos de la cadena de suministro \| Proveedores de artículos críticos o esenciales para la misión.*
Política y procedimientos SR-1 Desarrollar, documentar y difundir: 1. Una política de gestión de riesgos de la cadena de suministro que: (a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y (b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y 2. Procedimientos para facilitar la implementación de la política de gestión de riesgos de la cadena de suministro y los controles asociados a la gestión de riesgos de la cadena de suministro. b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y c. Revisar y actualizar la gestión actual de riesgos de la cadena de suministro: 1. Política y 2. Procedimientos	Véase PM-9* Estrategia de gestión de riesgos.*
SR-2 Plan de gestión de riesgos de la cadena de suministro a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas. b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a amenazas, cambios organizativos o ambientales; y c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.	Véase PM-9* Estrategia de gestión de riesgos.*
SR-3 Controles y procesos de la cadena de suministro a. Establecer uno o varios procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro, en coordinación con el personal de la cadena de suministro. b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro para el sistema, los componentes del sistema o los servicios del sistema, y para limitar los daños o las consecuencias de los eventos relacionados con la cadena de suministro; y c. Documentar los procesos y controles seleccionados e implementados en la cadena de suministro en el plan de gestión de riesgos de la cadena de suministro.	Véase PM-9Estrategia de gestión de riesgos.
SR-4 (4) Procedencia \| Integridad de la cadena de suministro: pedigrí Emplear controles y análisis para garantizar la integridad del sistema y sus componentes mediante la validación de la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.	Como parte del proceso de diligencia debida, exija a los proveedores que proporcionen [listas de materiales de software (SBOM)](/blog/sbom-software-bill-of-materials/) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.
Estrategias, herramientas y métodos de adquisición SR-5 Emplear estrategias de adquisición, herramientas contractuales y métodos de aprovisionamiento para proteger, identificar y mitigar los riesgos de la cadena de suministro.	Centralice y automatice la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar los atributos clave. Dado que todos los proveedores de servicios se están centralizando y revisando, los equipos deben crear [perfiles completos de los proveedores](/content-library/risk-profiling-snapshot/) que contengan información sobre los datos demográficos del proveedor, las tecnologías de terceros, las puntuaciones ESG, información reciente sobre el negocio y la reputación, el historial de violaciones de datos y los resultados financieros recientes. Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones sobre la selección de proveedores.
SR-6 Evaluaciones y revisiones de proveedores Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados a los proveedores o contratistas y al sistema, componente del sistema o servicio del sistema que proporcionan.	Véase RA-3 (1)Evaluación de riesgos \| Evaluación de riesgos de la cadena de suministro
Acuerdos de notificación SR-8 Establecer acuerdos y procedimientos con las entidades involucradas en la cadena de suministro del sistema, los componentes del sistema o los servicios del sistema para la notificación de compromisos de la cadena de suministro, así como los resultados de las evaluaciones o auditorías.	Centralice la distribución, discusión, retención y revisión de [contratos con proveedores](/products/contract-lifecycle-management/) para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave incluyen: * Seguimiento centralizado de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en roles * Capacidades de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos * Recordatorios automatizados y avisos de vencimiento para agilizar las revisiones de los contratos * Seguimiento centralizado de las discusiones y comentarios sobre los contratos * Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos * Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión * Permisos basados en roles que permiten la asignación de funciones, el acceso a los contratos y el acceso de lectura/escritura/modificación. Con esta capacidad, puede garantizar que las responsabilidades claras y las cláusulas de derecho de auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.
Inventario de proveedores SR-13 a. Desarrollar, documentar y mantener un inventario de proveedores que: 1. Refleja de forma precisa y mínima los proveedores de primer nivel de la organización que pueden suponer un riesgo para la ciberseguridad en la cadena de suministro. 2. ¿Se encuentra al nivel de detalle necesario para evaluar la criticidad y el riesgo de la cadena de suministro, realizar un seguimiento y elaborar informes? 3. Documenta la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revisa y actualiza el inventario de proveedores. i. Identificador único del instrumento de adquisición (es decir, contrato, tarea u orden de entrega); ii. Descripción de los productos y/o servicios suministrados; iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y iv. Nivel de criticidad asignado que se ajusta a la criticidad del programa, proyecto y/o sistema (o componente del sistema). b. Revisar y actualizar el inventario de proveedores.	Centralice toda la información sobre los proveedores en un único perfil de proveedor, de modo que todos los departamentos que interactúan con ellos puedan aprovechar la misma información, mejorando así la visibilidad y la toma de decisiones. Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras existente, eliminando los procesos manuales propensos a errores. Rellene los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto debería estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución. Cree [perfiles completos de proveedores](/assets/documents/resources/Prevalent-Risk-Profiling-Snapshot-Data-Sheet.pdf) que comparen y supervisen los datos demográficos de los proveedores, su ubicación geográfica, las tecnologías de terceros y la información operativa reciente. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica en particular. Cómo Prevalent ayuda a cumplir las directrices de gestión de riesgos de la cadena de suministro NIST SP 800-53

SP 800-53r5 Controles específicos para la cadena de suministro

Capacidades de mejores prácticas

CA-2 (2) Evaluaciones de control | Evaluaciones especializadas

Las organizaciones pueden realizar evaluaciones especializadas, incluyendo verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios maliciosos y otras formas de pruebas.

CA-2 (3) Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas

Las organizaciones pueden basarse en evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas).

Busque soluciones que incluyan una amplia biblioteca de plantillas prediseñadas para [evaluaciones de riesgos de terceros](/products/vendor-risk-assessment/), incluidas aquellas creadas específicamente en torno a los controles del NIST. Las evaluaciones deben realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos, a fin de garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria, y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, realice un seguimiento y análisis continuos de [las amenazas externas a terceros](/products/vendor-risk-monitoring/). Supervise Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta.

Asegúrese de incorporar datos operativos, reputacionales y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

Si es necesario, sustituya las evaluaciones de riesgos de un proveedor por auditorías de terceros [informes SOC 2](/blog/aicpa-soc-2-third-party-risk-management/). Revise la lista de deficiencias de control identificadas en el informe SOC 2, cree elementos de riesgo contra el tercero y realice un seguimiento e informe sobre las deficiencias a lo largo del tiempo.

CP-2 (7) Plan de contingencia | Coordinar con los proveedores de servicios externos

Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para garantizar que se puedan satisfacer los requisitos de contingencia.

IR-4 (10) Gestión de incidentes | Coordinación de la cadena de suministro

Coordinar las actividades de gestión de incidentes relacionados con la cadena de suministro con otras organizaciones involucradas en la cadena de suministro.

IR-5 Supervisión de incidentes

Seguir y documentar los incidentes.

IR-6 (3) Notificación de incidentes | Coordinación de la cadena de suministro

Proporcione información sobre el incidente al proveedor del producto o servicio y a otras organizaciones involucradas en la cadena de suministro o en la gobernanza de la cadena de suministro de los sistemas o componentes del sistema relacionados con el incidente.

IR-8(1) Plan de respuesta ante incidentes | Violaciones

Incluya lo siguiente en el Plan de respuesta ante incidentes para violaciones que impliquen información de identificación personal:

(a) Un proceso para determinar si es necesario notificar a personas u otras organizaciones, incluidas las organizaciones de supervisión.

(b) Un proceso de evaluación para determinar el alcance del daño, la vergüenza, las molestias o la injusticia causadas a las personas afectadas y cualquier mecanismo para mitigar dichos daños; y

(c) Identificación de los requisitos de privacidad aplicables.

Como parte de su estrategia general de gestión de incidentes, asegúrese de que su programa de respuesta a incidentes de terceros permita a su equipo identificar, responder, informar y mitigar rápidamente el impacto de los incidentes de seguridad de proveedores externos. Busque servicios gestionados en los que expertos dedicados gestionen de forma centralizada a sus proveedores; realicen evaluaciones proactivas de los riesgos de los eventos; puntúen los riesgos identificados; correlacionen los riesgos con la inteligencia de supervisión cibernética continua; y emitan directrices de corrección en nombre de su organización. Los servicios gestionados pueden reducir en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar que se apliquen las medidas correctivas.

Las capacidades clave del [Servicio de respuesta a incidentes de terceros](/services/third-party-incident-response-service/) incluyen:
* Cuestionarios de gestión de eventos e incidentes personalizables y actualizados continuamente
* Seguimiento en tiempo real del progreso de cumplimentación de los cuestionarios
* Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del plazo previsto
* Informes proactivos de los proveedores
* Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor
* Reglas de flujo de trabajo para activar manuales automatizados que actúen sobre los riesgos según su impacto potencial en el negocio
* Plantillas de informes integradas para las partes interesadas internas y externas
* Orientación a partir de recomendaciones de corrección integradas para reducir el riesgo
* Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo

Además, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores.

PM-9 Estrategia de gestión de riesgos

a. Desarrollar una estrategia integral para gestionar:

1. Riesgos de seguridad para las operaciones y los activos de la organización, las personas, otras organizaciones y la nación asociados con el funcionamiento y el uso de los sistemas de la organización; y

2. Riesgo para la privacidad de las personas derivado del tratamiento autorizado de información de identificación personal.

b. Implementar la estrategia de gestión de riesgos de manera coherente en toda la organización; y

c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos.

PM-30Estrategia de gestión de riesgos en la cadena de suministro

a. Desarrollar una estrategia para toda la organización con el fin de gestionar los riesgos de la cadena de suministro asociados con el desarrollo, la adquisición, el mantenimiento y la eliminación de sistemas, componentes de sistemas y servicios de sistemas.

b. Implementar la estrategia de gestión de riesgos de la cadena de suministro de manera coherente en toda la organización; y

c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con la frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.

Desarrolle un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro en materia de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.

Busque [expertos](/services/professional-services/) para colaborar con su equipo en:
* Definición e implementación de procesos y soluciones TPRM y C-SCRM
* Selección de cuestionarios y marcos de evaluación de riesgos
* Optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la propensión al riesgo de su organización.

Como parte de este proceso, debe definir:
* Funciones y responsabilidades claras (por ejemplo, RACI)
* Inventarios de terceros
* Puntuación y umbrales de riesgo basados en la tolerancia al riesgo de su organización

Evalúe continuamente la eficacia de su programa de TPRM en función de las necesidades y prioridades cambiantes del negocio, midiendo los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) de los proveedores externos a lo largo del ciclo de vida de la relación.

PM 30 (1) Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión

Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para la misión.

Comience por cuantificar [los riesgos inherentes](/use-cases/vendor-inherent-risk-scoring/) para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:
* Tipo de contenido necesario para validar los controles
* Importancia crítica para el rendimiento y las operaciones del negocio
* Ubicación(es) y consideraciones legales o normativas relacionadas
* Nivel de dependencia de terceros
* Exposición a procesos operativos o de cara al cliente
* Interacción con datos protegidos
* Situación financiera y salud
* Reputación A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso. La lógica de clasificación basada en reglas debe permitir la categorización de los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Estrategia de monitorización continua PM-31

Desarrollar una estrategia de supervisión continua para toda la organización e implementar programas de supervisión continua que incluyan:

a. Establecer métricas para toda la organización que se supervisarán;

b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia de los controles.

c. Supervisión continua de los parámetros definidos por la organización de acuerdo con la estrategia de supervisión continua.

d. Correlación y análisis de la información generada por las evaluaciones de control y el seguimiento;

e. Medidas de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y

f. Informar sobre el estado de seguridad y privacidad de los sistemas de la organización al personal designado.

Realizar un seguimiento y análisis continuos de [las amenazas externas a terceros](/products/vendor-risk-monitoring/). Como parte de ello, supervisar Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión suelen incluir:
* Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
* Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Una vez que todos los datos de evaluación y supervisión se hayan correlacionado en un registro central de riesgos, aplique una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar las medidas correctivas para ellos.

Asignar propietarios y realizar un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.

Política y procedimientos RA-1

Desarrollar, documentar y difundir:

1. Una política de evaluación de riesgos que:

(a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y

(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y

2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados.

b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y

c. Revisar y actualizar la evaluación de riesgos actual:

1. Política y
2. Procedimientos.

Véase PM-9 Estrategia de gestión de riesgos .

RA-2 (1) Clasificación de seguridad | Priorización por nivel de impacto

Realizar una priorización por nivel de impacto de los sistemas organizativos para obtener una mayor granularidad sobre los niveles de impacto de los sistemas.

Véase PM 30 (1) Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión.

RA-3 (1) Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro

(a) Evaluar los riesgos de la cadena de suministro asociados con los sistemas, componentes y servicios; y

(b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos operativos u otras condiciones puedan requerir un cambio en la cadena de suministro.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas, con el fin de garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

RA-3 (2) Evaluación de riesgos | Uso de inteligencia de todas las fuentes

Utilizar información procedente de todas las fuentes para ayudar en el análisis de riesgos.

RA-3 (3) Evaluación de riesgos | Concienciación dinámica sobre amenazas

Determinar de forma continua el entorno actual de amenazas cibernéticas.

RA-3 (4) Evaluación de riesgos | Análisis cibernético predictivo

Emplee capacidades avanzadas de automatización y análisis para predecir e identificar riesgos.

RA-7 Respuesta al riesgo

Responder a los resultados de las evaluaciones de seguridad y privacidad, la supervisión y las auditorías de acuerdo con la tolerancia al riesgo de la organización.

Las fuentes de supervisión suelen incluir:

* Foros criminales; páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades
* Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Asignar propietarios y realizar un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.

Análisis de criticidad RA-9

Identificar los componentes y funciones críticos del sistema mediante la realización de un análisis de criticidad en puntos de decisión definidos del ciclo de vida del desarrollo del sistema.

Véase PM 30 (1) Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión.

Política y procedimientos SR-1

Desarrollar, documentar y difundir:

1. Una política de gestión de riesgos de la cadena de suministro que:

(a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y

(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y

2. Procedimientos para facilitar la implementación de la política de gestión de riesgos de la cadena de suministro y los controles asociados a la gestión de riesgos de la cadena de suministro.

b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y

c. Revisar y actualizar la gestión actual de riesgos de la cadena de suministro:

1. Política y
2. Procedimientos

Véase PM-9 Estrategia de gestión de riesgos.

SR-2 Plan de gestión de riesgos de la cadena de suministro

a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas.

b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a amenazas, cambios organizativos o ambientales; y

c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.

Véase PM-9 Estrategia de gestión de riesgos.

SR-3 Controles y procesos de la cadena de suministro

a. Establecer uno o varios procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro, en coordinación con el personal de la cadena de suministro.

b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro para el sistema, los componentes del sistema o los servicios del sistema, y para limitar los daños o las consecuencias de los eventos relacionados con la cadena de suministro; y

c. Documentar los procesos y controles seleccionados e implementados en la cadena de suministro en el plan de gestión de riesgos de la cadena de suministro.

Véase PM-9Estrategia de gestión de riesgos.

SR-4 (4) Procedencia | Integridad de la cadena de suministro: pedigrí

Emplear controles y análisis para garantizar la integridad del sistema y sus componentes mediante la validación de la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.

Como parte del proceso de diligencia debida, exija a los proveedores que proporcionen [listas de materiales de software (SBOM)](/blog/sbom-software-bill-of-materials/) actualizadas para sus productos de software. Esto le ayudará a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.

Estrategias, herramientas y métodos de adquisición SR-5

Emplear estrategias de adquisición, herramientas contractuales y métodos de aprovisionamiento para proteger, identificar y mitigar los riesgos de la cadena de suministro.

Centralice y automatice la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar los atributos clave.

Dado que todos los proveedores de servicios se están centralizando y revisando, los equipos deben crear [perfiles completos de los proveedores](/content-library/risk-profiling-snapshot/) que contengan información sobre los datos demográficos del proveedor, las tecnologías de terceros, las puntuaciones ESG, información reciente sobre el negocio y la reputación, el historial de violaciones de datos y los resultados financieros recientes.

Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones sobre la selección de proveedores.

SR-6 Evaluaciones y revisiones de proveedores

Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados a los proveedores o contratistas y al sistema, componente del sistema o servicio del sistema que proporcionan.

Véase RA-3 (1)Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro

Acuerdos de notificación SR-8

Establecer acuerdos y procedimientos con las entidades involucradas en la cadena de suministro del sistema, los componentes del sistema o los servicios del sistema para la notificación de compromisos de la cadena de suministro, así como los resultados de las evaluaciones o auditorías.

Centralice la distribución, discusión, retención y revisión de [contratos con proveedores](/products/contract-lifecycle-management/) para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave incluyen:
* Seguimiento centralizado de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en roles
* Capacidades de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos
* Recordatorios automatizados y avisos de vencimiento para agilizar las revisiones de los contratos
* Seguimiento centralizado de las discusiones y comentarios sobre los contratos
* Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos
* Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión
* Permisos basados en roles que permiten la asignación de funciones, el acceso a los contratos y el acceso de lectura/escritura/modificación. Con esta capacidad, puede garantizar que las responsabilidades claras y las cláusulas de derecho de auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.

Inventario de proveedores SR-13

a. Desarrollar, documentar y mantener un inventario de proveedores que:

1. Refleja de forma precisa y mínima los proveedores de primer nivel de la organización que pueden suponer un riesgo para la ciberseguridad en la cadena de suministro.

2. ¿Se encuentra al nivel de detalle necesario para evaluar la criticidad y el riesgo de la cadena de suministro, realizar un seguimiento y elaborar informes?

3. Documenta la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revisa y actualiza el inventario de proveedores.

i. Identificador único del instrumento de adquisición (es decir, contrato, tarea u orden de entrega);

ii. Descripción de los productos y/o servicios suministrados;

iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y

iv. Nivel de criticidad asignado que se ajusta a la criticidad del programa, proyecto y/o sistema (o componente del sistema).

b. Revisar y actualizar el inventario de proveedores.

Centralice toda la información sobre los proveedores en un único perfil de proveedor, de modo que todos los departamentos que interactúan con ellos puedan aprovechar la misma información, mejorando así la visibilidad y la toma de decisiones.

Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras existente, eliminando los procesos manuales propensos a errores.

Rellene los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Esto debería estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

Cree [perfiles completos de proveedores](/assets/documents/resources/Prevalent-Risk-Profiling-Snapshot-Data-Sheet.pdf) que comparen y supervisen los datos demográficos de los proveedores, su ubicación geográfica, las tecnologías de terceros y la información operativa reciente. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica en particular.

Cómo Prevalent ayuda a cumplir las directrices de gestión de riesgos de la cadena de suministro NIST SP 800-53

Prevalent ofrece una plataforma centralizada y automatizada para ampliar la gestión de riesgos de terceros y la gestión de riesgos de la cadena de suministro en materia de ciberseguridad. Con Prevalent, su equipo puede:

Cree un programa de gestión de riesgos de terceros basado en las mejores prácticas, en consonancia con los programas más amplios de ciberseguridad de la cadena de suministro y de gestión de riesgos empresariales de su organización.
Aproveche la información consolidada de múltiples áreas de riesgo para automatizar los procesos de RFx y tomar decisiones más informadas sobre la diligencia debida de los proveedores.
Centralizar la distribución, discusión, retención y revisión de los contratos con los proveedores para garantizar que se incluyan, acuerden y apliquen los requisitos de seguridad clave con indicadores clave de rendimiento (KPI).
Crear un inventario de proveedores únicos y evaluar el riesgo inherente para informar sobre la elaboración de perfiles, la clasificación y la categorización de los proveedores de servicios, y determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
Automatice las evaluaciones de riesgos y las medidas correctivas en todas las etapas del ciclo de vida de los terceros.
Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades.
Automatice las evaluaciones de contratos y los procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato.
Identifique y mitigue rápidamente el impacto de los incidentes y las violaciones de seguridad de los proveedores de servicios mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.

Para obtener más información sobre cómo Prevalent puede ayudarle a cumplir las directrices del NIST, solicite hoy mismo una demostración de la solución.

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.