Gestión de riesgos de terceros en la orden ejecutiva del presidente
En mayo de 2021, el presidente de los Estados Unidos firmó laOrden Ejecutiva sobre la mejora de la ciberseguridad nacional. Elaborada a raíz de laviolación de la cadena de suministro del software SolarWinds Orion, la Orden Ejecutiva (EO) ordena a varias agencias del Gobierno federal de los Estados Unidos que coordinen mejor la prevención, detección, respuesta y mitigación de incidentes y violaciones de seguridad.
La sección 4 de la orden ejecutiva, «Mejora de la seguridad de la cadena de suministro de software», introduce varios requisitos nuevosen materia de gestión de riesgos de tercerosque deben aplicar las agencias federales. En concreto, la orden ejecutiva pretende mejorar la cadena de suministro de software mediante directrices específicas que pueden utilizarse para evaluar la seguridad del software, incluidos criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores, e identificar herramientas y métodos para demostrar el cumplimiento de estas prácticas seguras.
Prevalent automatiza las tareas críticas necesarias para identificar, evaluar, analizar, remediar y supervisar continuamente los riesgos relacionados con la seguridad, la privacidad, las operaciones, el cumplimiento normativo y las adquisiciones de terceros en todas las etapas del ciclo de vida de los proveedores.
Requisitos pertinentes
- Identificar qué proveedores se consideran críticos y centrar los esfuerzos de evaluación en aquellos que presentan el mayor riesgo inherente para las operaciones.
- Evaluar periódicamente las prácticas seguras del ciclo de vida del desarrollo de software de terceros clave que aportan código o actualizaciones a las compilaciones finales.
- Centralizar la documentación y la presentación de informes para los auditores.
- Evaluar periódicamente las prácticas seguras del ciclo de vida del desarrollo de software de terceros clave que aportan código o actualizaciones a las compilaciones finales.
- Clasificar y remediar los resultados de la evaluación y el seguimiento.
Cumplimiento de los requisitos del decreto ejecutivo sobre la mejora de la ciberseguridad nacional
A continuación se explica cómo Prevalent puede ayudar a evaluar a los proveedores externos según la Orden Ejecutiva:
Requisitos de EO
Cómo ayudamos
4 (e) (i) (A)-(F)
Dichas directrices incluirán normas, procedimientos o criterios relativos a:
(i) entornos seguros de desarrollo de software, incluidas medidas tales como:
(A) utilizar entornos de compilación administrativamente separados;
(B) auditar las relaciones de confianza;
(C) el establecimiento de una autenticación multifactorial basada en el riesgo y un acceso condicional en toda la empresa;
(D) la documentación y minimización de las dependencias de los productos empresariales que forman parte de los entornos utilizados para desarrollar, construir y editar software;
(E) el empleo de cifrado para los datos; y
(F) la supervisión de las operaciones y alertas y la respuesta a los incidentes cibernéticos intentados y reales;
A la hora de evaluar las prácticas de seguridad del software de terceros, aproveche las plantillas de cuestionarios de evaluación de riesgos estandarizadas y aceptadas por el sector, comoStandard Information Gathering (SIG),NIST,CMMC y otras evaluaciones relacionadas integradas en laplataforma Prevalent TPRM. El uso de una única evaluación estandarizada para toda su base de proveedores garantiza que las agencias puedan comparar de forma más eficiente las prácticas de seguridad del software de sus proveedores.
Nota: Las agencias también pueden aprovechar lasredes de riesgos de proveedores prevalentes, que contienen evaluaciones de riesgos de seguridad completadas para acelerar el proceso de identificación de riesgos.
4 (e) (ii)
(ii) generar y, cuando lo solicite un comprador, proporcionar artefactos que demuestren la conformidad con los procesos establecidos en el inciso (e)(i) de esta sección;
Al evaluar las prácticas de desarrollo de software seguro de un tercero, aproveche la capacidad de Prevalent para centralizar las pruebas justificativas en la plataforma con la gestión integrada de tareas y aceptaciones, además de las funciones de carga obligatoria. Un repositorio de documentos seguro garantiza que las partes pertinentes puedan revisar la documentación y los artefactos según corresponda.
4 (e) (iii)
iii) emplear herramientas automatizadas o procesos comparables para mantener cadenas de suministro de código fuente fiables, garantizando así la integridad del código;
Véase el apartado 4 (e) (i) (A)-(F) anterior.
4 (e) (iv)
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las subsanen, las cuales deberán funcionar con regularidad, o como mínimo antes del lanzamiento del producto, la versión o la actualización;
Los terceros deben escanear, clasificar y corregir las vulnerabilidades de su software y código, y dar fe de ello. Pero las amenazas no terminan ahí. Los equipos de seguridad también deben supervisar Internet y la web oscura en busca de amenazas cibernéticas, credenciales filtradas u otros indicadores de compromiso que, si no se detectan, pueden abrir vías de acceso a los sistemas federales.Prevalent Vendor Threat Monitorcombina fuentes directamente en la plataforma Prevalent para garantizar que las organizaciones tengan una visión completa de los riesgos, ya sea que se revelen durante una evaluación periódica o mediante una supervisión continua.
4 (e) (v)
(v) proporcionar, cuando lo solicite un comprador, artefactos de la ejecución de las herramientas y procesos descritos en los apartados (e)(iii) y (iv) de esta sección, y poner a disposición del público información resumida sobre la finalización de estas acciones, incluyendo una descripción resumida de los riesgos evaluados y mitigados;
La plataforma Prevalent TPRM revela tendencias de riesgo, estado, soluciones y excepciones al comportamiento habitual de proveedores individuales o grupos con información integrada obtenida mediante aprendizaje automático. Esto permite a los equipos identificar rápidamente valores atípicos en evaluaciones, tareas, riesgos, etc., que podrían requerir una investigación más profunda.
4 (e) (vi)
(vi) mantener datos precisos y actualizados, la procedencia (es decir, el origen) del código o los componentes del software, y los controles sobre los componentes, herramientas y servicios de software internos y de terceros presentes en los procesos de desarrollo de software, y realizar auditorías y aplicar estos controles de forma periódica;
Prevalent asigna automáticamente la información recopilada de las auditorías internas a las normas o marcos normativos aplicables en esta EO, incluidos NIST, CMMC y otros, para visualizar y abordar rápidamente las deficiencias de control importantes y dar fe de las prácticas.
4 (e) (vii)
(vii) proporcionar al comprador una lista de materiales de software (SBOM) para cada producto, ya sea directamente o mediante su publicación en un sitio web público;
Véase el apartado 4 (e) (i) (A)-(F) anterior.
4 (e) (viii)
(viii) participar en un programa de divulgación de vulnerabilidades que incluya un proceso de notificación y divulgación;
Véase el apartado 4 (e) (i) (A)-(F) anterior.
4 (e) (ix)
(ix) certificar el cumplimiento de las prácticas de desarrollo de software seguro; y
Véase el apartado 4, letra e), inciso ii), supra.
4 (e) (x)
(x) garantizar y certificar, en la medida de lo posible, la integridad y procedencia del software de código abierto utilizado en cualquier parte de un producto.
Véase el apartado 4 (e) (vi) anterior.
