Identificar, evaluar y mitigar los riesgos cibernéticos para las infraestructuras críticas.
En respuesta a las omnipresentes violaciones de la cadena de suministro, la North American Electric Reliability Corporation (NERC) publicó unaguía de seguridad para el ciclo de vida de la gestión de riesgos de ciberseguridad en la cadena de suministro.
La Guía recomienda que las organizaciones de infraestructura crítica, como las empresas eléctricas, los proveedores de gas natural y otros, identifiquen, evalúen y mitiguen los riesgos de ciberseguridad de la cadena de suministro para sus activos críticos de tecnología operativa (OT). Las interrupciones del sistema OT, como las causadas por incidentes en la cadena de suministro, pueden provocar cortes en el suministro y tener repercusiones sociales negativas de gran alcance.
Requisitos pertinentes
-
Identificar los riesgos para los activos críticos de OT que podrían tener un gran impacto o una alta probabilidad de verse comprometidos.
-
Mitigar los riesgos identificados en las evaluaciones de riesgos de los proveedores.
-
Actualizar periódicamente la estrategia de gestión de riesgos.
-
Evaluar a los proveedores para determinar el grado de riesgo que representan con respecto a cada riesgo identificado (requiere cuestionario).
-
Considere la mitigación de riesgos a lo largo del ciclo de vida del proveedor.
Cumplimiento de los requisitos de las directrices de seguridad de la NERC
Así es como Prevalent puede ayudarle a abordar las mejores prácticas de gestión de riesgos de terceros de NERC:
Requisito
Cómo ayudamos
Capítulo 1: Identificación de riesgos
El primer objetivo de la organización en el proceso de gestión de riesgos de ciberseguridad de la cadena de suministro es identificar los riesgos para sus activos críticos de tecnología operativa (OT) que podrían tener un gran impacto o una alta probabilidad de verse comprometidos, dependiendo del proveedor.
Prevalent ofrece las siguientes capacidades para satisfacer este requisito:
- Una metodología de puntuación de dos ejes basada en la probabilidad de compromiso y el impacto en la organización, que crea una matriz similar a un mapa de calor para representar los riesgos.
- Reglas automatizadas para asignar puntuaciones si la respuesta de un proveedor a una pregunta de evaluación no alcanza un umbral de riesgo aceptable, lo que permite trazar los riesgos en la matriz.
- Informes para clasificar los riesgos según la puntuación más alta en la matriz.
- Medidas correctivas personalizadas que se recomiendan al proveedor para mitigar el riesgo.
La plataforma Prevalent le permite realizar evaluaciones de perfil y clasificación para rastrear y cuantificarlos riesgos inherentesde todos los proveedores. A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar y categorizar automáticamente a los proveedores (incluida la identificación de aquellos considerados críticos); establecer los niveles adecuados de diligencia adicional a partir de esta base de referencia; y determinar el alcance de las evaluaciones continuas.
Capítulo 2: Evaluación de riesgos
Una vez que la organización ha identificado los riesgos, debe evaluar a sus proveedores para determinar el grado de riesgo que representan con respecto a cada riesgo identificado; en la mayoría de los casos, la evaluación de los proveedores se llevará a cabo mediante un cuestionario.
Prevalent le permite automatizarlas evaluaciones de riesgospara ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de la cadena de suministro en todas las etapas del ciclo de vida del proveedor.
La plataforma Prevalent ofrece una biblioteca con cientos de plantillas de evaluación estandarizadas, con capacidades de personalización y flujos de trabajo y medidas correctivas integrados para automatizar todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la elaboración de informes. Asegúrese de que la plataforma de evaluación que elija incluya evaluaciones específicas para la elaboración de informes sobre infraestructuras críticas y las mejores prácticas, como elMarco para la mejora de la ciberseguridad de las infraestructuras críticas del Instituto Nacional de Estándares y Tecnología (NIST).
Como parte del proceso de evaluación de riesgos, realice un seguimiento y análisis continuosde las amenazas externas a los proveedoresmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión deben incluir foros criminales, páginas onion, foros de acceso especial a la web oscura, fuentes de amenazas, sitios de pegado de credenciales filtradas, comunidades de seguridad, repositorios de código, bases de datos de vulnerabilidades y bases de datos de violaciones de datos.
Una capacidad importante en este paso es correlacionar los resultados del monitoreo continuo con las respuestas de la evaluación para validar los controles. Esto no se puede lograr utilizando hojas de cálculo para las evaluaciones de riesgos o herramientas inconexas para el monitoreo de la ciberseguridad.
Capítulo 3: Mitigación de riesgos
El capítulo 3 recomienda que la organización solicite al proveedor que mitigue los riesgos identificados en la evaluación. El objetivo de la mitigación de riesgos debe ser reducir su valor a un nivel aceptable con el fin de disminuir la probabilidad y/o el impacto del riesgo. La Guía indica que esto se puede lograr mediante una solicitud de propuestas o el cumplimiento contractual, pero las medidas correctivas requeridas también son una medida importante de cumplimiento posterior al contrato. A continuación se presentan algunas medidas de mitigación seleccionadas de la Guía.
Incluya en la solicitud de propuestas un texto que identifique los riesgos de seguridad y las medidas de mitigación que el proveedor debe adoptar para hacer frente a dichos riesgos.
Prevalent centraliza y automatiza la distribución, comparación y gestión de las solicitudes de propuestas (RFP) y las solicitudes de información (RFI) como parte de las decisionesde selección de proveedores. Esto garantiza que los proveedores se seleccionen en función de medidas críticas de ciberseguridad.
Incluya en el contrato cláusulas que documenten el compromiso del proveedor de implementar controles de seguridad específicos, permitan a la organización supervisar el progreso del proveedor e identifiquen métodos para la comunicación futura sobre estos asuntos.
Prevalent le permite centralizar la distribución, discusión, retención y revisión delos contratos con proveedores. Gestionar los contratos con proveedores de esta manera garantiza que se incluyan las cláusulas de seguridad y las medidas de cumplimiento adecuadas en el contrato.
Definir medidas correctivas específicas.
La plataforma Prevalent le proporciona recomendaciones de medidas correctivas para los proveedores basadas en los resultados de la evaluación de riesgos, con el fin de garantizar que los proveedores aborden los riesgos de manera oportuna y satisfactoria. También le permite realizar un seguimiento de las medidas correctivas hasta su conclusión con responsables definidos, tanto dentro de su organización como en la organización de su proveedor.
Capítulo 4: Adquisiciones e instalaciones
El capítulo 4 de la Guía exige que se tengan en cuenta las medidas de mitigación de los riesgos de ciberseguridad de la cadena de suministro a lo largo de todo el ciclo de vida de un producto o servicio, con el fin de reducir el nivel de riesgo que inicialmente se evaluó como alto.
Con la plataforma Prevalent, puede realizar una evaluación inicial de los riesgos de adquisición al inicio del proceso de adquisición, seguida de:
- Perfilado, clasificación por niveles ypuntuación del riesgo inherentede todos los proveedores para que puedas centrarte en los proveedores críticos.
- Evaluar y supervisar continuamente a los proveedores basándose en los resultados de la evaluación de riesgos inherentes de referencia.
- Medición del cumplimiento delos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) contractuales.
- Analizar los riesgos, subsanarlos e informar al respecto de acuerdo con las directrices sobre mejores prácticas estándar del sector.
Capítulo 5: Actualización del plan de gestión de riesgos
El capítulo 5 de la Guía sugiere que el plan de gestión de riesgos de ciberseguridad de la cadena de suministro se actualice al menos una vez al año. Esto implicará identificar nuevos riesgos, reevaluar a los proveedores y revisar las medidas de mitigación correspondientes, repitiendo las tareas descritas en los capítulos 1 a 3 según sea necesario.
Prevalent le permite optimizar su programa para abordar todo el ciclo de vida del riesgo de los proveedores, facilitando su actualización continua:
- Políticas, normas, sistemas y procesos de gobernanza para proteger los sistemas.
- Funciones y responsabilidades organizativas (por ejemplo, RACI)
- Inventarios y criticidad de los proveedores
- Reglas y umbrales de puntuación de riesgo basados en la tolerancia al riesgo de su organización.
- Metodologías de evaluación y supervisión basadas en la importancia de los proveedores.
- Mapeo de cuartos y enésimos para comprender su ecosistema ampliado de proveedores.
- Fuentes de datos de supervisión continua de la ciberseguridad
- Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
- Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
- Requisitos de respuesta ante incidentes
- Informes sobre riesgos y partes interesadas internas
- Estrategias de mitigación y remediación de riesgos