Centro para la Seguridad en Internet (CIS) Cumplimiento de los controles críticos de seguridad

Contactar con un experto

Volver a todos los casos de uso

Los controles CIS y la gestión de riesgos de terceros

Los controles de seguridad críticosdelCentro para la Seguridad en Internet® (CIS)son un conjunto de 18 controles recomendados y 153 subcontroles (también conocidos como «medidas de protección») diseñados para ayudar a los equipos de seguridad informática a reducir el impacto de los incidentes de ciberseguridad.

Los 18 controles CIS y las 153 salvaguardias se clasifican por orden de prioridad en tres grupos de implementación (IG):

  • IG1incluye medidas de seguridad consideradas «higiene cibernética esencial» por el CIS y «que deben poder implementarse con conocimientos limitados de ciberseguridad y cuyo objetivo es frustrar ataques generales y no dirigidos».
  • IG2incluye salvaguardias dirigidas a equipos que se enfrentan a una mayor complejidad operativa.
  • IG3incluye medidas de seguridad destinadas a hacer frente a ciberataques sofisticados.

CIS clasifica cada salvaguarda segúnla función de seguridad del NISTpara simplificar la correspondencia cruzada con cada función básica del NIST:identificar,detectar,proteger,responderyrecuperar.

Hay dos controles principales relacionados con la gestión de riesgos de terceros (TPRM):el control 15, «Gestión de proveedores de servicios»,yel control 17, «Gestión de respuesta a incidentes». LaplataformaPrevalentTPRMfacilita y agiliza la implementación de las medidas de protección para cada control.

Requisitos pertinentes

  • Desarrollar un proceso para evaluar a los proveedores de servicios que poseen datos confidenciales o que son responsables de las plataformas o procesos informáticos críticos de una empresa, con el fin de garantizar que dichos proveedores protegen adecuadamente esas plataformas y datos.
  • Establecer un programa para desarrollar y mantener una capacidad de respuesta ante incidentes (por ejemplo, políticas, planes, procedimientos, funciones definidas, formación y comunicaciones) con el fin de prepararse, detectar y responder rápidamente ante un ataque.

Abordando el control CIS 15: Gestión de proveedores de servicios

Control 15 Resumen:«Desarrollar un proceso para evaluar a los proveedores de servicios que poseen datos confidenciales o que son responsables de las plataformas o procesos informáticos críticos de una empresa, con el fin de garantizar que dichos proveedores protegen adecuadamente esas plataformas y datos».

 

Salvaguardar

Cómo ayudamos

15.1 Establecer y mantener un inventario de proveedores de servicios.

Función de seguridad: Identificar
IG1,2,3

«Establecer y mantener un inventario de proveedores de servicios. El inventario debe incluir una lista de todos los proveedores de servicios conocidos, incluir clasificaciones y designar un contacto de la empresa para cada proveedor de servicios. Revisar y actualizar el inventario anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta medida de seguridad».

Prevalent permite a las organizaciones crear uninventario centralizado de proveedores de serviciosmediante la importación de proveedores a través de una plantilla de hoja de cálculo o mediante una conexión API a una solución de compras existente. Los equipos de toda la empresa pueden rellenar los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Está disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

Dado que todos los proveedores de servicios se están centralizando, los equipos pueden crearperfiles completos de los proveedoresque contengan información demográfica, tecnologías de terceros, puntuaciones ESG, información reciente sobre su actividad y reputación, historial de violaciones de datos y resultados financieros recientes.

15.2 Establecer y mantener una política de gestión de proveedores de servicios.

Función de seguridad: Identificar
IG2,3

«Establecer y mantener una política de gestión de proveedores de servicios. Asegurarse de que la política aborde la clasificación, el inventario, la evaluación, la supervisión y la retirada de los proveedores de servicios. Revisar y actualizar la política anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta salvaguardia».

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real.

Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida de la empresa.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Clasificación y categorización de proveedores
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos

15.3 Clasificar a los proveedores de servicios

Función de seguridad: Identificar
IG1,2,3

«Clasificar a los proveedores de servicios. La clasificación puede tener en cuenta una o varias características, como la sensibilidad de los datos, el volumen de datos, los requisitos de disponibilidad, la normativa aplicable, el riesgo inherente y el riesgo mitigado. Actualizar y revisar las clasificaciones anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta medida de protección».

Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificarlos riesgos inherentespara todos los terceros. Los criterios incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar y categorizar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.
La lógica de categorización basada en reglas permite clasificar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

15.4 Asegurarse de que los contratos con los proveedores de servicios incluyan requisitos de seguridad.

Función de seguridad: Proteger
IG1,2,3

«Asegúrese de que los contratos con los proveedores de servicios incluyan requisitos de seguridad. Entre los requisitos pueden figurar requisitos mínimos del programa de seguridad, notificación y respuesta ante incidentes de seguridad o violaciones de datos, requisitos de cifrado de datos y compromisos de eliminación de datos. Estos requisitos de seguridad deben ser coherentes con la política de gestión de proveedores de servicios de la empresa. Revise anualmente los contratos con los proveedores de servicios para asegurarse de que no falten requisitos de seguridad».

Prevalent centraliza la distribución, discusión, retención y revisión delos contratos con proveedoresy ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida. Esto garantiza que los requisitos de seguridad clave se incorporen al contrato con el proveedor, se acuerden y se apliquen a lo largo de la relación con indicadores clave de rendimiento (KPI).

Las capacidades clave incluyen:

  • Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en roles.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

15.5 Evaluar a los proveedores de servicios

Función de seguridad: Identificar
IG3

«Evaluar a los proveedores de servicios de acuerdo con la política de gestión de proveedores de servicios de la empresa. El alcance de la evaluación puede variar en función de la clasificación o clasificaciones, y puede incluir la revisión de informes de evaluación estandarizados, como el Control 2 de la Organización de Servicios (SOC 2) y la Certificación de Cumplimiento (AoC) de la Industria de Tarjetas de Pago (PCI), cuestionarios personalizados u otros procesos rigurosos adecuados. Reevaluar a los proveedores de servicios al menos una vez al año, o cuando se firmen contratos nuevos o se renueven los existentes».

Prevalent automatizalas evaluaciones de riesgospara ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros.

Con una biblioteca de más de 750 evaluaciones estandarizadas, incluidas las de PCI, capacidades de personalización y flujo de trabajo y corrección integrados, la solución automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la elaboración de informes.

Con Prevalent, puede recopilar y correlacionar fácilmente información sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, basándose en la importancia crítica del tercero según lo determinado por la evaluación de riesgos inherentes.

Los resultados de las evaluaciones y el seguimiento continuo se recopilan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones de corrección ya preparadas para que terceros mitiguen los riesgos.

En el caso de terceros que presenten uninforme SOC 2en lugar de una evaluación de riesgos del proveedor completada, Prevalent revisa la lista de deficiencias de control identificadas en el informe SOC 2, crea elementos de riesgo contra el tercero dentro de la Plataforma y realiza un seguimiento e informa sobre las deficiencias.

15.6 Supervisar los datos de los proveedores de servicios

Función de seguridad: Detectar
IG3

«Supervisar a los proveedores de servicios de acuerdo con la política de gestión de proveedores de servicios de la empresa. La supervisión puede incluir la reevaluación periódica del cumplimiento de los proveedores de servicios, la supervisión de las notas de lanzamiento de los proveedores de servicios y la supervisión de la web oscura».

Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.

Dado que no todas las amenazas son ciberataques directos, Prevalent también incorpora datos de las siguientes fuentes para añadir contexto a los hallazgos cibernéticos:

  • 550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más.
  • Una red global de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • 30 000 fuentes de noticias globales
  • Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas.
  • Listas de sanciones globales y más de 1000 listas de ejecución globales y documentos judiciales.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

15.7 Eliminación segura de los datos de los proveedores de servicios

Función de seguridad: Proteger
IG3

«Desactivar de forma segura los proveedores de servicios. Entre las consideraciones a tener en cuenta se incluyen la desactivación de cuentas de usuario y de servicio, la interrupción de los flujos de datos y la eliminación segura de los datos empresariales dentro de los sistemas de los proveedores de servicios».

La plataforma Prevalent automatiza las evaluaciones de contratos ylos procedimientos de bajapara reducir el riesgo de exposición posterior al contrato de su organización.

  • Programa tareas para revisar los contratos y asegurarte de que se han cumplido todas las obligaciones. Emite evaluaciones de contratos personalizables para valorar el estado.
  • Aproveche las encuestas y los flujos de trabajo personalizables para generar informes sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural y el análisis de aprendizaje automático de AWS para confirmar que se cumplen los criterios clave.
  • Tome medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación integradas para la corrección.
  • Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a cualquier normativa o marco regulatorio.

Abordando el control CIS 15: Gestión de proveedores de servicios

Control 15 Descripción general«Establecer un programa para desarrollar y mantener una capacidad de respuesta ante incidentes (por ejemplo, políticas, planes, procedimientos, funciones definidas, formación y comunicaciones) con el fin de prepararse, detectar y responder rápidamente a un ataque».

Salvaguardar

Cómo ayudamos

17.1 Designar personal para gestionar la gestión de incidentes

Función de seguridad: Respuesta a
IG1,2,3

«Designe a una persona clave y al menos a una persona de respaldo que se encarguen de gestionar el proceso de gestión de incidentes de la empresa. El personal directivo es responsable de la coordinación y documentación de las medidas de respuesta y recuperación ante incidentes, y puede estar compuesto por empleados internos de la empresa, proveedores externos o una combinación de ambos. Si se recurre a un proveedor externo, designe al menos a una persona interna de la empresa para supervisar el trabajo de dicho proveedor. Revisar anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta medida de protección».

17.2 Establecer y mantener información de contacto para informar sobre incidentes de seguridad.

Función de seguridad: Respuesta a
IG1,2,3

«Establezca y mantenga la información de contacto de las partes que deben ser informadas de los incidentes de seguridad. Los contactos pueden incluir personal interno, proveedores externos, fuerzas del orden, proveedores de seguros cibernéticos, agencias gubernamentales pertinentes, socios del Centro de Intercambio y Análisis de Información (ISAC) u otras partes interesadas. Verifique los contactos anualmente para asegurarse de que la información esté actualizada».

17.3 Establecer y mantener un proceso empresarial para informar de incidentes.

Función de seguridad: Respuesta a
IG1,2,3

«Establecer y mantener un proceso empresarial para que los empleados puedan informar de incidentes de seguridad. El proceso incluye el plazo para informar, el personal al que informar, el mecanismo para informar y la información mínima que se debe comunicar. Asegurarse de que el proceso esté a disposición de todos los empleados. Revisar anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta medida de seguridad».

17.4 Establecer y mantener un proceso de respuesta ante incidentes.

Función de seguridad: Respuesta a
IG2,3

«Establecer y mantener un proceso de respuesta ante incidentes que aborde las funciones y responsabilidades, los requisitos de cumplimiento y un plan de comunicación. Revisar anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta medida de protección».

17.5 Asignar funciones y responsabilidades clave

Función de seguridad: Respuesta a
IG2,3

«Asignar funciones y responsabilidades clave para la respuesta ante incidentes, incluyendo personal de los departamentos jurídico, informático, de seguridad de la información, de instalaciones, de relaciones públicas, de recursos humanos, de respuesta ante incidentes y de análisis, según corresponda. Revisar anualmente, o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta medida de protección».

17.6 Definir mecanismos para la comunicación durante la respuesta a incidentes.

Función de seguridad: Respuesta a
IG2,3

«Determine qué mecanismos primarios y secundarios se utilizarán para comunicarse e informar durante un incidente de seguridad. Los mecanismos pueden incluir llamadas telefónicas, correos electrónicos o cartas. Tenga en cuenta que ciertos mecanismos, como los correos electrónicos, pueden verse afectados durante un incidente de seguridad. Revíselos anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar a esta medida de protección».

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de proveedores externosmediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a orientación sobre medidas correctivas. Las capacidades clave incluyen:

  • Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de proveedores
  • Vistas consolidadas de calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de información y determinar los datos en riesgo.

Al centralizar la respuesta a incidentes de terceros en un único sistema guiado por un único proceso de gestión de incidentes empresarial, los equipos de TI, seguridad, legal, privacidad y cumplimiento normativo pueden trabajar al unísono para mitigar los riesgos.

Recursos adicionales

Blog

Los controles de seguridad críticos del CIS: mejores prácticas para la gestión de riesgos de terceros

Blog

Cómo cumplir los requisitos de gestión de riesgos de terceros de la ISO

Blog

Cumplimiento de los requisitos de riesgo de terceros NIST 800-53, NIST 800-161 y NIST CSF.

Lista de control

Alinee su programa TPRM con los controles de seguridad críticos de CIS

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.