NERC y gestión de riesgos de terceros
La norma de protección de infraestructuras críticas (CIP)dela North American Electric Reliability Corporation (NERC)establece nuevos requisitos de ciberseguridad para las empresas eléctricas y de servicios públicos con el fin de garantizar, preservar y prolongar la fiabilidad del sistema eléctrico mayorista (BES). La NERC está autorizada a sancionar a las entidades registradas con hasta un millón de dólares al día por cada infracción pendiente.
La gestión de riesgos de tercerosdesempeña un papel fundamental a la hora de garantizar la seguridad de la cadena de suministro mediante laevaluaciónperiódica de los controles de seguridad internos de los socios de la cadena de suministro y lasupervisión continua de los riesgos de los proveedores en tiempo real. En conjunto, esta visión de dentro hacia fuera y de fuera hacia dentro proporciona una visibilidad más completa de los riesgos de la cadena de suministro.
Cumplimiento de los requisitos TPRM de la NERC
Así es como Prevalent puede ayudarle a abordar las mejores prácticas de gestión de riesgos de terceros de NERC:
| Requisito | Cómo ayudamos |
|---|---|
| CIP-013 Criterios de ciberseguridad | |
| 1.2.1 Notificación/Reconocimiento de incidentes de ciberseguridad
Los proveedores deben ser capaces de identificar cuándo se ha producido un incidente para garantizar que puedan notificarlo a la entidad en caso de que se produzca. |
Prevalent permite a las entidades responsables evaluar periódicamente los planes de respuesta ante incidentes de sus proveedores, exigiendo que estos los carguen en la plataforma para su validación. Con este nivel de revisión, las entidades tienen visibilidad sobre cómo respondería un socio de la cadena de suministro ante una violación de la seguridad o un incidente cibernético.
Las herramientas de supervisión y puntuación por sí solas no pueden proporcionar este nivel de controles internos o visibilidad de los procesos, sin embargo, estas herramientas pueden complementar las evaluaciones para desencadenar la divulgación pública de un incidente. |
| 1.2.2 Coordinación de las respuestas ante incidentes de ciberseguridad
Los proveedores deben coordinar con la entidad sus respuestas a incidentes relacionados con los productos o servicios prestados a la entidad que supongan un riesgo para la ciberseguridad de esta. |
Prevalent proporciona una plataforma centralizada para la revisión de las pruebas que respaldan los planes de respuesta a incidentes y comunicaciones, con la flexibilidad de crear flujos de trabajo, tareas y vías de escalamiento personalizados para permitir una respuesta rápida. |
| 1.2.3 Notificación cuando el acceso remoto o in situ ya no sea necesario o ya no deba estar disponible para los representantes del proveedor
Los proveedores deben responder adecuadamente a los cambios de personal. Un proveedor debe poder informar a la entidad cuando se produzca un cambio de personal que pueda afectar a la disponibilidad del acceso remoto para los representantes del proveedor. |
La plataforma Prevalent incluye un asistente de creación de encuestas personalizadas que permite a las organizaciones crear y enviar una encuesta personalizable para la salida de empleados, en la que se formulan preguntas específicas al proveedor y al equipo interno sobre el acceso al sistema, la destrucción de datos y los pagos finales, con flujos de trabajo integrados para garantizar que el proceso de separación se desarrolle sin problemas. |
| 1.2.4 Identificación de vulnerabilidades Los proveedores deben notificar a una entidad cuando se identifique una vulnerabilidad relacionada con un producto o servicio.
Para cumplir con esta obligación, un proveedor necesita saber cuándo existe una vulnerabilidad en su entorno. |
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. Las capacidades de supervisión continua integradas complementan las evaluaciones mediante la realización de análisis de vulnerabilidad externos para las interfaces de servicios web, con resultados integrados en un único registro de riesgos. |
| 1.2.5. Verificación de la integridad y autenticidad de todo el software y los parches proporcionados por el proveedor para su uso en el sistema cibernético BES. | La plataforma Prevalent incluye más de 50 cuestionarios estándar del sector integrados (como los de CIP, NIST, ISO y otros), muchos de los cuales plantean preguntas específicas sobre la cadencia de aplicación de parches y las comprobaciones de integridad del software para los sistemas internos. Las respuestas a estas preguntas se convierten en riesgos si no se cumplen los umbrales de aplicación de parches adecuados, lo que informa a las entidades responsables de los riesgos potenciales. |
| 1.2.6 Coordinación de los controles para el acceso remoto interactivo iniciado por el proveedor y el acceso remoto de sistema a sistema con un proveedor
Los proveedores deben coordinarse con las entidades para controlar el acceso remoto interactivo iniciado por el proveedor y garantizar que el acceso remoto de sistema a sistema con un proveedor se gestione adecuadamente. |
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas. |
| Gestión de activos, cambios y configuraciones | |
Gestión de activos, cambios y configuraciones Inventario de dispositivos autorizados y no autorizados
|
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas. |
Consideraciones sobre el control de cambios y la gestión de la configuración
|
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas. |
| Gobernanza | |
Establecer e implementar un programa de concienciación sobre seguridad.
|
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas. |
Consideraciones sobre el registro y la supervisión
|
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas. |
Consideraciones sobre la protección de la información
|
La plataforma Prevalent ofrece pruebas y validación de procesos que demuestran la existencia de dichas políticas, exigiendo al socio de la cadena de suministro que proporcione dichas pruebas. La plataforma también cuantifica los riesgos de los proveedores, ofrece orientación prescriptiva para la corrección, realiza un seguimiento de las tareas y automatiza los flujos de trabajo para impulsar el cumplimiento de las políticas y las mejores prácticas. |