Directriz de seguridad NERC para el ciclo de vida de la gestión de riesgos de proveedores

Contactar con un experto

Volver a todos los casos de uso

Evaluar y mitigar los riesgos para las infraestructuras críticas.

La North American Electric Reliability Corporation (NERC) ha publicado unaguía de seguridad para el ciclo de vida de la gestión de riesgos de los proveedorescon el fin de abordar los crecientes riesgos para las infraestructuras críticas.

La guía proporciona ejemplos de riesgos relacionados con los proveedores y medidas de mitigación recomendadas que las organizaciones deben tener en cuenta al desarrollar sus planes generales de gestión de riesgos de ciberseguridad en la cadena de suministro, no solo para el sistema eléctrico mayorista (BES), sino también para otras áreas de infraestructura crítica, como gasoductos, generación, transmisión y distribución de energía eléctrica, y otras áreas.

Requisitos pertinentes

  • Considere el riesgo como parte de las decisiones de selección de proveedores.

  • Mitigar los riesgos identificados en las evaluaciones de riesgos de los proveedores.

  • Desarrollar procedimientos para la contratación, rescisión y transición de proveedores.

  • Desarrollar un proceso para identificar, evaluar y mitigar de forma continua tanto los riesgos residuales como los nuevos riesgos que plantea el proveedor.

  • Exigir la verificación de que el proveedor cumple con las políticas y las medidas de mitigación.

Cumplimiento de los requisitos de las directrices de seguridad de la NERC

Así es como Prevalent puede ayudarle a abordar las mejores prácticas de gestión de riesgos de terceros de NERC:

 

Requisito

Cómo ayudamos

Capítulo 1: Mitigación de riesgos antes de la adquisición

El capítulo 1 establece que «a la hora de decidir qué proveedores deben ser invitados a participar en la solicitud de propuestas, la organización podría tener en cuenta factores como las listas de entidades aprobadas, las fuentes de inteligencia y la información disponible públicamente (por ejemplo, el historial de gestión de vulnerabilidades o la higiene del sitio web)».

Para abordar esta directriz, compare los datos firmográficos, las tecnologías de terceros, las puntuaciones ESG, la información reciente sobre el negocio y la reputación, el historial de violaciones de datos y los resultados financieros de los posibles proveedores en una sola tabla.Centralizar esta informaciónen consonancia con las respuestas a las solicitudes de oferta le ofrece una visión global de los proveedores, tanto en lo que respecta a su idoneidad para el propósito como a su adecuación al apetito de riesgo de su organización.

Consulte a continuación las medidas de mitigación adicionales sugeridas en el capítulo 1.

Recopile información sobre los planes de mitigación del proveedor para riesgos específicos de ciberseguridad en la cadena de suministro, utilizando una evaluación específica que contenga solo preguntas relevantes.

Prevalent le permite utilizar unaevaluaciónpersonalizable para recopilar y correlacionar los controles de los proveedores con el fin de determinar las amenazas para los sistemas y los datos, en función de la importancia crítica del proveedor.

La plataforma recopila datos en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo.

Incluya términos y condiciones de ciberseguridad en el contrato con el proveedor, o identifique los resultados específicos que se van a medir.

Aproveche una soluciónde gestión del ciclo de vida de los contratosque centraliza la distribución, el debate, la conservación y la revisión de los contratos con los proveedores. De este modo, se garantizará que las disposiciones contractuales clave, como los indicadores clave de rendimiento (KPI), los indicadores clave de riesgo (KRI) y los acuerdos de nivel de servicio (SLA), se incluyan en los contratos con los proveedores y se apliquen a lo largo de toda la relación.

Proporcione pruebas justificativas, como certificaciones o informes de auditoría realizados por evaluadores externos cualificados.

Solicite al proveedor que proporcione unalista de materiales de software (SBOM)en la que se enumeran todos los componentes de su software y/o firmware desarrollados por terceros.

Realizar una evaluación de riesgos de adquisición (PRA).

Mitigar todos los riesgos elevados identificados en el PRA.

La plataforma Prevalent centraliza los documentos, las pruebas justificativas y las certificaciones de los proveedores en un único perfil de proveedor asociado a las evaluaciones de riesgo de los proveedores completadas y a un registro central de riesgos.

La plataforma también le permite proporcionar a los proveedores las medidas correctivas recomendadas en función de los resultados de la evaluación de riesgos, con el fin de garantizar que los proveedores aborden los riesgos de manera oportuna y satisfactoria. Con Prevalent, puede realizar un seguimiento de las medidas correctivas hasta su conclusión con responsables definidos, tanto dentro de su organización como en la organización de su proveedor.

Capítulo 2: Evaluación de riesgos

El capítulo 2 de la Guía de seguridad establece que «una vez que se ha establecido una relación con un proveedor y la organización ha comenzado a obtener productos o servicios de dicho proveedor, la organización necesita un proceso para identificar, evaluar y mitigar de forma continua tanto los riesgos residuales como los nuevos riesgos que plantea el proveedor». Para lograrlo, la Guía sugiere algunos de los pasos que se indican a continuación.

Céntrese específicamente en proteger el acceso remoto mediante la autenticación multifactorial.

Utilice un cuestionario que solo contenga preguntas relevantes.

Tenga cuestionarios separados para proveedores de TI y OT.

Considere certificaciones como ISO 27001 o SOC2.

Prevalent automatiza las evaluaciones de riesgos para ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de proveedores en todas las etapas del ciclo de vida de los proveedores.

La plataforma incluye una biblioteca con cientos de plantillas de evaluación estandarizadas, entre las que se incluyen cuestionarios específicos para los ámbitos de TI y OT, con capacidades de personalización y flujos de trabajo y medidas correctivas integrados para automatizar todo el proceso, desde la recopilación y el análisis de encuestas hasta la clasificación de riesgos y la elaboración de informes.

Si el proveedor no puede o no quiere completar una evaluación estandarizada, puede utilizar la plataforma Prevalent para asignarcertificaciones ISOo informesSOC 2a la vista centralizada del registro de riesgos y gestionar los riesgos de ese proveedor junto con los riesgos recopilados de las evaluaciones de otros proveedores.

Con Prevalent, puede validar los resultados de las evaluaciones coninformación continuasobre las amenazas cibernéticas. La consolidación de toda la inteligencia en un «único panel» optimiza sus esfuerzos de análisis de riesgos.

Capítulo 3: Mitigación de riesgos

Durante el uso del producto/servicio
El capítulo 3 de la Guía recomienda que la organización solicite al proveedor que mitigue los riesgos identificados en la evaluación. El objetivo de la mitigación de riesgos debe ser reducir su valor a un nivel aceptable con el fin de disminuir la probabilidad y/o el impacto del riesgo.

La Guía indica que esto se puede lograr mediante una solicitud de propuestas o la ejecución contractual, pero las medidas correctivas requeridas también son una medida importante de ejecución posterior al contrato. A continuación se presentan algunas medidas de mitigación seleccionadas de la Guía.

Incluya en la solicitud de propuestas un texto que identifique los riesgos de seguridad y las medidas de mitigación que el proveedor debe adoptar para hacer frente a dichos riesgos.

Control 15 Descripción general«Establecer un programa para desarrollar y mantener una capacidad de respuesta ante incidentes (por ejemplo, políticas, planes, procedimientos, funciones definidas, formación y comunicaciones) con el fin de prepararse, detectar y responder rápidamente a un ataque».

Prevalent centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) como parte de las decisionesde selección de proveedores. Esto garantiza que pueda seleccionar proveedores basándose en medidas críticas de ciberseguridad.

Incluya en el contrato cláusulas que documenten el compromiso del proveedor de implementar controles de seguridad específicos, permitan a la organización supervisar el progreso del proveedor e identifiquen métodos para la comunicación futura sobre estos asuntos.

Con Prevalent, puede centralizar la distribución, discusión, retención y revisión delos contratos con proveedores. Gestionar los contratos de suministro de esta manera le garantizará que el contrato incluya las cláusulas de seguridad y las medidas de cumplimiento adecuadas.

Definir medidas correctivas específicas.

Proporcione a los proveedores las medidas correctivas recomendadas basadas en los resultados de la evaluación de riesgos para garantizar que estos aborden los riesgos de manera oportuna y satisfactoria. Realice un seguimiento de las medidas correctivas hasta su conclusión con responsables definidos, tanto dentro de su organización como en la organización de su proveedor.

Capítulo 4: Verificación de la mitigación de riesgos

El capítulo 4 de la Guía exige verificar que el proveedor cumpla con las políticas y las medidas de mitigación. Las posibles acciones incluyen las que se indican en las siguientes filas.

Documentar y comunicar al proveedor la diferencia en el rendimiento, el servicio esperado y los términos contractuales aplicables o el compromiso documentado.

Prevalent le permite personalizar encuestas para facilitar la recopilación y el análisis de los datos necesarios sobre el rendimiento y los contratos en un único registro de riesgos. También puede identificar los atributos clave de los contratos relacionados conlos acuerdos de nivel de servicio (SLA) o el rendimiento, introducir esos requisitos en una plataforma central y asignar tareas a usted y a su proveedor con fines de seguimiento.

Comunique al proveedor que las medidas de rendimiento se reflejarán en futuras puntuaciones o evaluaciones de nuevas compras de productos o servicios.

 

La plataforma Prevalent mide de forma centralizadalos KPI y KRI de los proveedoresen función de sus requisitos, extrayéndolos automáticamente del contrato del proveedor.

La plataforma también sugiere recomendaciones de remediación para garantizar que los proveedores aborden los riesgos de manera oportuna y satisfactoria.

Evaluar la posibilidad de rescindir la relación con el proveedor.

 

Cuando se requiere larescisión o salidade servicios críticos, Prevelant le proporciona encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más.

Capítulo 5: Compra, rescisión y transición

El capítulo 5 de la Guía revisa los procedimientos necesarios para rescindir una relación con un proveedor, incluidos los que se indican en las filas siguientes.

Identificar y mitigar los riesgos asociados con la terminación o transición (por ejemplo, retención de información confidencial).

Haga un inventario de la información confidencial que el proveedor tiene sobre los sistemas y redes de la organización y exíjale que certifique que toda la información ha sido eliminada.

Prevalent le permite:

  • Automatice las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de exposición de su organización tras la firma del contrato.
  • Programa tareas para revisar los contratos y asegurarte de que se han cumplido todas las obligaciones. Emite evaluaciones de contratos personalizables para valorar el estado.
  • Aproveche las encuestas y los flujos de trabajo personalizables para generar informes sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de todas las leyes pertinentes, los pagos finales y mucho más.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos. Aproveche el análisis automatizado de documentos integrado basado en el procesamiento del lenguaje natural y el análisis de aprendizaje automático de AWS para confirmar que se cumplen los criterios clave.
  • Tome medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación integradas para la corrección.
  • Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a cualquier normativa o marco regulatorio.
Recursos adicionales
Gobernanza, riesgo y cumplimiento normativo
Cómo prepararse para una auditoría NERC CIP-013-1 sobre seguridad de la cadena de suministro
Más información
Gobernanza, riesgo y cumplimiento normativo
Cumplimiento de los requisitos de riesgo de terceros NIST 800-53, NIST 800-161 y NIST CSF.
Más información
Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.