NERC y gestión de riesgos de terceros

La norma de protección de infraestructuras críticas (CIP)dela North American Electric Reliability Corporation (NERC)establece nuevos requisitos de ciberseguridad para las empresas eléctricas y de servicios públicos con el fin de garantizar, preservar y prolongar la fiabilidad del sistema eléctrico mayorista (BES). La NERC está autorizada a sancionar a las entidades registradas con hasta un millón de dólares al día por cada infracción pendiente.

La gestión de riesgos de tercerosdesempeña un papel fundamental a la hora de garantizar la seguridad de la cadena de suministro mediante laevaluaciónperiódica de los controles de seguridad internos de los socios de la cadena de suministro y lasupervisión continua de los riesgos de los proveedores en tiempo real. En conjunto, esta visión de dentro hacia fuera y de fuera hacia dentro proporciona una visibilidad más completa de los riesgos de la cadena de suministro.

Cumplimiento de los requisitos TPRM de la NERC

Así es como Prevalent puede ayudarle a abordar las mejores prácticas de gestión de riesgos de terceros de NERC:

Requisito Cómo ayudamos
CIP-013 Criterios de ciberseguridad
1.2.1 Notificación/Reconocimiento de incidentes de ciberseguridad

Los proveedores deben ser capaces de identificar cuándo se ha producido un incidente para garantizar que puedan notificarlo a la entidad en caso de que se produzca.

Prevalent permite a las entidades responsables evaluar periódicamente los planes de respuesta ante incidentes de sus proveedores, exigiendo que estos los carguen en la plataforma para su validación. Con este nivel de revisión, las entidades tienen visibilidad sobre cómo respondería un socio de la cadena de suministro ante una violación de la seguridad o un incidente cibernético.

Las herramientas de supervisión y puntuación por sí solas no pueden proporcionar este nivel de controles internos o visibilidad de los procesos, sin embargo, estas herramientas pueden complementar las evaluaciones para desencadenar la divulgación pública de un incidente.

1.2.2 Coordinación de las respuestas ante incidentes de ciberseguridad

Los proveedores deben coordinar con la entidad sus respuestas a incidentes relacionados con los productos o servicios prestados a la entidad que supongan un riesgo para la ciberseguridad de esta.

Prevalent proporciona una plataforma centralizada para la revisión de las pruebas que respaldan los planes de respuesta a incidentes y comunicaciones, con la flexibilidad de crear flujos de trabajo, tareas y vías de escalamiento personalizados para permitir una respuesta rápida.
1.2.3 Notificación cuando el acceso remoto o in situ ya no sea necesario o ya no deba estar disponible para los representantes del proveedor

Los proveedores deben responder adecuadamente a los cambios de personal. Un proveedor debe poder informar a la entidad cuando se produzca un cambio de personal que pueda afectar a la disponibilidad del acceso remoto para los representantes del proveedor.

La plataforma Prevalent incluye un asistente de creación de encuestas personalizadas que permite a las organizaciones crear y enviar una encuesta personalizable para la salida de empleados, en la que se formulan preguntas específicas al proveedor y al equipo interno sobre el acceso al sistema, la destrucción de datos y los pagos finales, con flujos de trabajo integrados para garantizar que el proceso de separación se desarrolle sin problemas.
1.2.4 Identificación de vulnerabilidades Los proveedores deben notificar a una entidad cuando se identifique una vulnerabilidad relacionada con un producto o servicio.

Para cumplir con esta obligación, un proveedor necesita saber cuándo existe una vulnerabilidad en su entorno.

La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. Las capacidades de supervisión continua integradas complementan las evaluaciones mediante la realización de análisis de vulnerabilidad externos para las interfaces de servicios web, con resultados integrados en un único registro de riesgos.
1.2.5. Verificación de la integridad y autenticidad de todo el software y los parches proporcionados por el proveedor para su uso en el sistema cibernético BES. La plataforma Prevalent incluye más de 50 cuestionarios estándar del sector integrados (como los de CIP, NIST, ISO y otros), muchos de los cuales plantean preguntas específicas sobre la cadencia de aplicación de parches y las comprobaciones de integridad del software para los sistemas internos. Las respuestas a estas preguntas se convierten en riesgos si no se cumplen los umbrales de aplicación de parches adecuados, lo que informa a las entidades responsables de los riesgos potenciales.
1.2.6 Coordinación de los controles para el acceso remoto interactivo iniciado por el proveedor y el acceso remoto de sistema a sistema con un proveedor

Los proveedores deben coordinarse con las entidades para controlar el acceso remoto interactivo iniciado por el proveedor y garantizar que el acceso remoto de sistema a sistema con un proveedor se gestione adecuadamente.

La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.
Gestión de activos, cambios y configuraciones
Gestión de activos, cambios y configuraciones Inventario de dispositivos autorizados y no autorizados

  • Se realiza un inventario de los dispositivos y sistemas físicos dentro de la organización.
  • Se inventarían las plataformas de software y las aplicaciones dentro de la organización.
  • Se mapean la comunicación organizativa y los flujos de datos.
  • Los sistemas de información externos están catalogados.
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.
Consideraciones sobre el control de cambios y la gestión de la configuración

  • Utiliza un marco reconocido para sus procesos de tecnología de la información (por ejemplo, ITIL).
  • Incluye la seguridad en el ciclo de vida del desarrollo de sus sistemas.
  • Cuenta con un proceso maduro de control de cambios.
  • Mantiene entornos de desarrollo y producción separados.
  • Mantiene entornos separados para diferentes clientes.
  • Cuenta con un mecanismo para garantizar la integridad del software (por ejemplo, PKI con cifrado, firma digital).
  • El producto permite el endurecimiento para minimizar la superficie de ataque.
  • Procesos para identificar, descubrir, inventariar, clasificar y gestionar los activos de información (hardware y software).
  • Procesos para detectar cambios no autorizados en el software y los parámetros de configuración.
  • Capaz de identificar si el hardware, el software o los componentes proceden de Estados Unidos y/o de otros países.
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.
Gobernanza
Establecer e implementar un programa de concienciación sobre seguridad.

  • Política y procedimientos de seguridad documentados e implementados.
  • Todos los usuarios reciben información y formación sobre las políticas y procedimientos de ciberseguridad.
  • Las partes interesadas externas comprenden sus funciones y responsabilidades y están sujetas a los mismos requisitos.
  • Los altos ejecutivos comprenden sus funciones y responsabilidades.
  • El personal de seguridad física y de la información comprende sus funciones y responsabilidades.
  • Capacidad para proporcionar asistencia continua para software y hardware.
  • Verificación de antecedentes personales
  • Capacidad para conservar datos en caso de litigios, incidentes de ciberseguridad, etc.
  • Presencia de recursos de ciberseguridad capacitados, con conocimientos y suficientes.
  • El proveedor cuenta con certificaciones para el proceso de fabricación (por ejemplo, ISO).
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.
Consideraciones sobre el registro y la supervisión

  • Mantiene un programa para realizar un registro, supervisión y análisis continuos de sus sistemas con el fin de identificar eventos significativos.
  • Cuenta con una segregación de funciones suficiente para garantizar que el registro y la supervisión sean eficaces a la hora de detectar anomalías.
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.
Consideraciones sobre la protección de la información

  • Utiliza controles adecuados para gestionar los datos en reposo (datos de proveedores o entidades).
  • Capacidad para proporcionar hardware adicional en caso de fallos • Cifra las credenciales en tránsito, tanto internas como externas
  • Cifra las credenciales en reposo.
  • Utiliza los algoritmos de cifrado estándar más potentes (por ejemplo, AES o SHA-2).
  • Controles de acceso físico de los proveedores al hardware, software y centros de fabricación.
  • Se realiza un inventario de los dispositivos y sistemas físicos dentro de la organización.
  • Ubicación de los proveedores de centros de datos (con sede en EE. UU./Canadá frente a internacionales)
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas.