Cumplimiento de NIST SP 800-161r1

CA-2 (2)Evaluaciones de control | Evaluaciones especializadas
Las organizaciones pueden realizar evaluaciones especializadas, incluyendo verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios maliciosos y otras formas de pruebas.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:Las empresas deben utilizar diversas técnicas y metodologías de evaluación, como la supervisión continua, la evaluación de amenazas internas y la evaluación de usuarios maliciosos. Estos mecanismos de evaluación son específicos para cada contexto y requieren que la empresa comprenda su cadena de suministro y defina el conjunto de medidas necesarias para evaluar y verificar que se han implementado las protecciones adecuadas.

CA-2 (3)Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas
Las organizaciones pueden basarse en evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas).

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:Para C-SCRM, las empresas deben utilizar evaluaciones de seguridad externas para proveedores, desarrolladores, integradores de sistemas, proveedores de servicios de sistemas externos y otros proveedores de servicios relacionados con las TIC/OT. Las evaluaciones externas incluyen certificaciones, evaluaciones de terceros y, en el contexto federal, evaluaciones previas realizadas por otros departamentos y agencias. Las certificaciones de la Organización Internacional de Normalización (ISO), la Asociación Nacional de Seguridad de la Información (Criterios Comunes) y el Foro de Tecnología Confiable del Grupo Abierto (OTTF) también pueden ser utilizadas por empresas no federales y federales por igual, si dichas certificaciones satisfacen las necesidades de la agencia.

Prevalent ofrece una amplia biblioteca de plantillas prediseñadas paraevaluaciones de riesgos de terceros, incluidas aquellas creadas específicamente en torno a los controles del NIST. Con Prevalent, puede realizar evaluaciones en el momento de la incorporación de proveedores, la renovación de contratos o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación.

Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, Prevalent también realiza un seguimiento y análisis continuos delas amenazas externas a terceros. Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de sanciones reputacionales e información financiera.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.

Prevalent también incorpora datos operativos, reputacionales y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

Si es necesario, puede analizarlos informes SOC 2o la Declaración de aplicabilidad ISO en lugar de las evaluaciones de riesgo de un proveedor. Nuestro servicio revisa la lista de deficiencias de control identificadas en el informe SOC 2, crea elementos de riesgo contra el tercero y realiza un seguimiento e informa sobre las deficiencias a lo largo del tiempo.

Como parte de suestrategiageneralde gestión de incidentes, Prevalent garantiza que su programa de respuesta a incidentes de terceros pueda identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de seguridad de los proveedores externos. El equipo de servicios gestionados de Prevalent incluye expertos dedicados que gestionan de forma centralizada a sus proveedores, realizan evaluaciones proactivas de riesgos de eventos, puntúan los riesgos identificados, correlacionan los riesgos con inteligencia de supervisión cibernética continua y emiten directrices de corrección en nombre de su organización. Los servicios gestionados reducen en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar que se apliquen las medidas correctivas.

Las capacidades clave delservicio de respuesta a incidentes de terceros de Prevalentincluyen:

• Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
• Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
• Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
• Informes proactivos de proveedores
• Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
• Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
• Plantillas de informes integradas para partes interesadas internas y externas.
• Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
• Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo.

Prevalent también analiza bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.

Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de expertos.

PM-9Estrategia de gestión de riesgos
a. Desarrollar una estrategia integral para gestionar:
1. Los riesgos de seguridad para las operaciones y los activos de la organización, las personas, otras organizaciones y la nación asociados con el funcionamiento y el uso de los sistemas de la organización; y
2. Los riesgos para la privacidad de las personas derivados del tratamiento autorizado de información de carácter personal;
b. Aplicar la estrategia de gestión de riesgos de manera coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para hacer frente a los cambios organizativos.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:La estrategia de gestión de riesgos debe abordar los riesgos de ciberseguridad en toda la cadena de suministro.

PM-30Estrategia de gestión de riesgos de la cadena de suministro
a. Desarrollar una estrategia para toda la organización con el fin de gestionar los riesgos de la cadena de suministro asociados con el desarrollo, la adquisición, el mantenimiento y la eliminación de sistemas, componentes de sistemas y servicios de sistemas;
b. Implementar la estrategia de gestión de riesgos de la cadena de suministro de manera coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con la frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:La estrategia de gestión de riesgos de la cadena de suministro (también conocida como estrategia C-SCRM) debe complementarse con un plan de implementación C-SCRM que establezca iniciativas y actividades detalladas para la empresa con plazos y partes responsables. Este plan de implementación puede ser un POA&M o incluirse en un POA&M. Basándose en la estrategia C-SCRM y el plan de implementación del nivel 1, la empresa debe seleccionar y documentar los controles C-SCRM comunes que deben abordar las necesidades específicas de la empresa, el programa y el sistema.

Prevalent ayuda a su organización a crear un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.

Nuestrosexpertoscolaboran con su equipo en:

• Definición e implementación de procesos y soluciones TPRM y C-SCRM.
• Selección de cuestionarios y marcos de evaluación de riesgos
• Optimizar su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la tolerancia al riesgo de su organización.

Como parte de este proceso, le ayudamos a definir:

• Funciones y responsabilidades claras (por ejemplo, RACI)
• Inventarios de terceros
• Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.

Con Prevalent, su equipo puede evaluar continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes del negocio, midiendolos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)de los proveedores externos a lo largo del ciclo de vida de la relación.

PM 30 (1)Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos oesenciales para la misión
Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para la misión.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:Véase más arriba.

Prevalent cuantificalos riesgos inherentespara todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:

• Tipo de contenido necesario para validar los controles
• Importancia crítica para el rendimiento y las operaciones empresariales
• Ubicación(es) y consideraciones legales o normativas relacionadas
• Nivel de dependencia de terceros
• Exposición a procesos operativos o de atención al cliente
• Interacción con datos protegidos
• Situación financiera y salud
• Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Estrategia de monitorización continua PM-31

Desarrollar una estrategia de supervisión continua para toda la organización e implementar programas de supervisión continua que incluyan:

a. Establecer métricas para toda la organización que se supervisarán;

b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia de los controles.

c. Supervisión continua de los parámetros definidos por la organización de acuerdo con la estrategia de supervisión continua.

d. Correlación y análisis de la información generada por las evaluaciones de control y el seguimiento;

e. Medidas de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y

f. Informar sobre el estado de seguridad y privacidad de los sistemas de la organización al personal designado.

Realice un seguimiento y análisis continuos delas amenazas externas a terceroscon Prevalent. Supervisamos Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de riesgos para la reputación, sanciones e información financiera.

Las fuentes de supervisión incluyen:

• Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
• Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.

Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, de modo que se pueden ver fácilmente los riesgos de mayor impacto y se pueden priorizar las medidas correctivas para ellos.

A continuación, puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta alcanzar un nivel aceptable para la empresa.

Política y procedimientos RA-1
Desarrollar, documentar y difundir:
1. Una política de evaluación de riesgos que:
(a) Aborde el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y
(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la implementación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados;
b. Designar a un funcionario para gestionar el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y
c. Revisar y actualizar la evaluación de riesgos actual:
1. Política y
2. Procedimientos.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:Las evaluaciones de riesgos deben realizarse a nivel empresarial, de misión/programa y operativo. La evaluación de riesgos a nivel del sistema debe incluir tanto la infraestructura de la cadena de suministro (por ejemplo, entornos de desarrollo y pruebas y sistemas de entrega) como el sistema/componentes de información que atraviesan la cadena de suministro. Las evaluaciones de riesgos a nivel del sistema se cruzan significativamente con el SDLC y deben complementar las actividades más amplias de RMF de la empresa, que forman parte del SDLC. Un análisis de criticidad garantizará que se dé mayor prioridad a las funciones y componentes críticos para la misión debido a su impacto en la misión si se ven comprometidos. La política debe incluir funciones de ciberseguridad relevantes para la cadena de suministro que se apliquen a la realización y coordinación de evaluaciones de riesgos en toda la empresa (véase la sección 2 para la lista y descripción de las funciones). Deben definirse las funciones aplicables dentro de los proveedores, desarrolladores, integradores de sistemas, proveedores de servicios de sistemas externos y otros proveedores de servicios relacionados con las TIC/OT.

VéasePM-9Estrategia de gestión de riesgos.

RA-2 (1)Categorización de seguridad | Priorización por nivel de impacto
Realizar una priorización por nivel de impacto de los sistemas organizativos para obtener una mayor granularidad sobre los niveles de impacto del sistema.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:la categorización de la seguridad es fundamental para la C-SCRM en los niveles 1, 2 y 3. Además de la categorización [FIPS 199], la categorización de la seguridad para la C-SCRM debe basarse en el análisis de criticidad que se realiza como parte del SDLC. Consulte la sección 2 y [NISTIR 8179] para obtener una descripción detallada del análisis de criticidad.

VéasePM 30 (1)Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión.

RA-3 (1)Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro
(a) Evaluar los riesgos de la cadena de suministro asociados con los sistemas, componentes y servicios; y
(b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos de operación u otras condiciones puedan requerir un cambio en la cadena de suministro.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:Las evaluaciones de riesgos deben incluir un análisis de la criticidad, las amenazas, las vulnerabilidades, la probabilidad y el impacto, tal y como se describe detalladamente en el apéndice C. Los datos que deben revisarse y recopilarse incluyen las funciones específicas de C-SCRM, los procesos y los resultados de las adquisiciones, la implementación y la integración de sistemas/componentes y servicios. Las evaluaciones de riesgos deben realizarse en los niveles 1, 2 y 3. Las evaluaciones de riesgos en niveles superiores deben consistir principalmente en una síntesis de diversas evaluaciones de riesgos realizadas en niveles inferiores y utilizadas para comprender el impacto global con el nivel (por ejemplo, a nivel de la empresa o de la misión/función). Las evaluaciones de riesgos de C-SCRM deben complementar e informar las evaluaciones de riesgos, que se realizan como actividades continuas a lo largo del SDLC, y los procesos deben alinearse o integrarse adecuadamente con los procesos y la gobernanza de ERM.

La plataforma Prevalent TPRM incluye una amplia biblioteca de plantillas prediseñadas paraevaluaciones de riesgos de terceros, incluidas aquellas creadas específicamente en torno a los controles del NIST. Las evaluaciones pueden realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), en función de los cambios sustanciales que se produzcan.

Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

RA-3 (2)Evaluación de riesgos | Uso de inteligencia de todas las fuentes
Utilizar inteligencia de todas las fuentes para ayudar en el análisis de riesgos.

RA-3 (3)Evaluación de riesgos | Concienciación dinámica sobre amenazas
Determinar de forma continua el entorno actual de amenazas cibernéticas.

RA-3 (4)Evaluación de riesgos | Análisis cibernético predictivo
Emplee capacidades avanzadas de automatización y análisis para predecir e identificar riesgos.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:VéaseRA-3 (1)

Con Prevalent, puede realizar un seguimiento y análisis continuos delas amenazas externas a terceros. Como parte de ello, supervisamos Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Las fuentes de supervisión incluyen:

• Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
• Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.

RA-7Respuesta ante riesgos
Responder a los resultados de las evaluaciones, supervisiones y auditorías de seguridad y privacidad de acuerdo con la tolerancia al riesgo de la organización.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:Las empresas deben integrar capacidades para responder a los riesgos de ciberseguridad en toda la cadena de suministro en la postura de respuesta general de la empresa, asegurándose de que estas respuestas se ajusten y se mantengan dentro de los límites de tolerancia al riesgo de la empresa. La respuesta al riesgo debe incluir la consideración de la identificación de la respuesta al riesgo, la evaluación de alternativas y las actividades de decisión de respuesta al riesgo.

Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, de modo que se pueden ver fácilmente los riesgos de mayor impacto y se pueden priorizar las medidas correctivas para ellos.

Por último, asigne propietarios y realice un seguimiento de los riesgos y las soluciones en la plataforma hasta alcanzar un nivel aceptable para la empresa.

RA-9Análisis de criticidad
Identificar los componentes y funciones críticos del sistema mediante la realización de un análisis de criticidad en puntos de decisión definidos del ciclo de vida del desarrollo del sistema.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:Las empresas deben completar un análisis de criticidad como requisito previo para evaluar las actividades de gestión de riesgos de la cadena de suministro de ciberseguridad. En primer lugar, las empresas deben completar un análisis de criticidad como parte del paso «Marco» del proceso de gestión de riesgos C-SCRM. A continuación, los resultados generados en las actividades de la etapa «Evaluación» (por ejemplo, análisis de criticidad, análisis de amenazas, análisis de vulnerabilidades y estrategias de mitigación) actualizan y adaptan el análisis de criticidad. Existe una relación simbiótica entre el análisis de criticidad y otras actividades de la etapa «Evaluación», ya que se informan y mejoran mutuamente. Para obtener un análisis de criticidad de alta calidad, las empresas deben emplearlo de forma iterativa a lo largo del SLDC y simultáneamente en los tres niveles. Las empresas deben exigir a sus contratistas principales que implementen este control y transmitan este requisito a los contratistas de subniveles pertinentes. Los departamentos y agencias también deben consultar el apéndice F para complementar esta guía de acuerdo con la Orden Ejecutiva 14028, Mejora de la ciberseguridad de la nación.

VéasePM 30 (1)Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión.

Política y procedimientos SR-1
Desarrollar, documentar y difundir:
1. Una política de gestión de riesgos de la cadena de suministro que:
(a) Aborde el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y
(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la implementación de la política de gestión de riesgos de la cadena de suministro y los controles de gestión de riesgos de la cadena de suministro asociados;
b. Designar a un funcionario para gestionar el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y
c. Revisar y actualizar la gestión actual de riesgos de la cadena de suministro:
1. Política y
2. Procedimientos

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:Las políticas C-SCRM se desarrollan en el nivel 1 para toda la empresa y en el nivel 2 para misiones y funciones específicas. Las políticas C-SCRM pueden implementarse en los niveles 1, 2 y 3, dependiendo del nivel de profundidad y detalle. Los procedimientos C-SCRM se desarrollan en el nivel 2 para misiones y funciones específicas y en el nivel 3 para sistemas específicos. Las funciones empresariales, entre las que se incluyen, entre otras, la seguridad de la información, los aspectos legales, la gestión de riesgos y las adquisiciones, deben revisar y aprobar el desarrollo de políticas y procedimientos C-SCRM o proporcionar orientación a los propietarios de los sistemas para desarrollar procedimientos C-SCRM específicos para cada sistema.

Véase PM-9 Estrategia de gestión de riesgos.

SR-2Plan de gestión de riesgos de la cadena de suministro
a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas
b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a amenazas, cambios organizativos o ambientales; y
c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y la modificación no autorizadas.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:los planes C-SCRM describen las implementaciones, los requisitos, las restricciones y las implicaciones a nivel del sistema. Los planes C-SCRM se ven influidos por otras actividades de evaluación de riesgos de la empresa y pueden heredar y adaptar las bases de control comunes definidas en los niveles 1 y 2. Los planes C-SCRM definidos en el Nivel 3 funcionan en colaboración con la estrategia y las políticas C-SCRM de la empresa (Nivel 1 y Nivel 2) y el plan de implementación C-SCRM (Nivel 1 y Nivel 2) para proporcionar un enfoque sistemático y holístico de la gestión de riesgos de ciberseguridad en la cadena de suministro de toda la empresa. Los planes C-SCRM deben elaborarse como un documento independiente y solo integrarse en los planes de seguridad del sistema existentes si las limitaciones de la empresa lo requieren.

VéasePM-9Estrategia de gestión de riesgos.

SR-3Controles y procesos de la cadena de suministro
a. Establecer uno o varios procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro, en coordinación con el personal de la cadena de suministro;
b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro para el sistema, los componentes del sistema o los servicios del sistema y para limitar el daño o las consecuencias de los eventos relacionados con la cadena de suministro; y
c. Documentar losprocesos y controles de la cadena de suministro seleccionados e implementadosen el plan de gestión de riesgos de la cadena de suministro.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:La sección 2 y el apéndice C de este documento proporcionan orientación detallada sobre la implementación de este control. Los departamentos y agencias deben consultar el apéndice F para implementar esta guía de conformidad con la Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad de la nación.

Véase PM-9 Estrategia de gestión de riesgos.

SR-4 (4)Procedencia | Integridad de la cadena de suministro – Pedigrí
Emplear controles y análisis para garantizar la integridad del sistema y sus componentes mediante la validación de la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.

Guía de gestión de riesgos de ciberseguridad SP 800-161r1 aplicable:Se debe documentar la procedencia de los sistemas, los componentes del sistema y los datos asociados a lo largo del ciclo de vida del desarrollo de software (SDLC). Las empresas deben considerar la posibilidad de elaborar SBOM para las clases de software aplicables y apropiadas, incluyendo el software adquirido, el software de código abierto y el software interno. Las SBOM deben elaborarse utilizando únicamente formatos SBOM compatibles con la NTIA que puedan satisfacer los elementos mínimos SBOM de la [NTIA SBOM] EO 14028 NTIA. Las empresas que elaboren SBOM deben utilizar los elementos mínimos SBOM de la [NTIA SBOM] como marco para la inclusión de los componentes principales. Las SBOM deben firmarse digitalmente utilizando una clave verificable y fiable. Las SBOM pueden desempeñar un papel fundamental a la hora de permitir a las organizaciones mantener la procedencia. Sin embargo, a medida que las SBOM maduran, las organizaciones deben asegurarse de no restar prioridad a las capacidades C-SCRM existentes (por ejemplo, las prácticas de gestión de vulnerabilidades y las evaluaciones de riesgos de los proveedores) bajo la suposición errónea de que las SBOM sustituyen estas actividades. Las SBOM y la mayor transparencia que pretenden proporcionar a las organizaciones son capacidades complementarias, no sustitutivas. Las organizaciones que no sean capaces de incorporar, analizar y actuar adecuadamente sobre los datos que proporcionan las SBOM probablemente no mejorarán su postura general en materia de C-SCRM. Las agencias federales deben consultar el apéndice F para aplicar esta guía de conformidad con la Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad de la nación.

Como parte del proceso de diligencia debida, Prevalent permite a los proveedores proporcionarlistas de materiales de software (SBOM)actualizadas para sus productos de software. Esto le ayuda a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.

Estrategias, herramientas y métodos de adquisición SR-5
Emplee estrategias de adquisición, herramientas contractuales y métodos de aprovisionamiento para protegerse contra los riesgos de la cadena de suministro, identificarlos y mitigarlos.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:La sección 3 y los controles SA proporcionan orientación adicional sobre estrategias, herramientas y métodos de adquisición. Los departamentos y agencias deben consultar el apéndice F para implementar esta guía de conformidad con la Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad de la nación.

Prevalent permite a su equipo centralizar y automatizar la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar atributos clave.

A medida que todos los proveedores de servicios se centralizan y revisan, la plataforma Prevalent creaperfiles completos de los proveedoresque contienen información sobre sus datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre su negocio y reputación, historial de violaciones de datos y resultados financieros recientes.

Este nivel de diligencia debida crea un contexto más amplio para tomar decisionessobre la selección de proveedores.

SR-6Evaluaciones y revisiones de proveedores
Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados a los proveedores o contratistas y al sistema, componente del sistema o servicio del sistema que proporcionan.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:En general, una empresa debe tener en cuenta cualquier información pertinente para la seguridad, integridad, resiliencia, calidad, fiabilidad o autenticidad del proveedor o de los servicios o productos que ofrece. Las empresas deben considerar la aplicación de esta información en relación con un conjunto coherente de factores básicos y criterios de evaluación para facilitar una comparación equitativa (entre proveedores y a lo largo del tiempo). Dependiendo del contexto específico y del propósito para el que se realice la evaluación, la empresa puede seleccionar factores adicionales. La calidad de la información (por ejemplo, su relevancia, integridad, exactitud, etc.) en la que se basa una evaluación también es una consideración importante. Las fuentes de referencia para la información de la evaluación también deben documentarse. La PMO de C-SCRM puede ayudar a definir los requisitos, métodos y herramientas para las evaluaciones de proveedores de la empresa. Los departamentos y agencias deben consultar el Apéndice E para obtener más orientación sobre los factores de riesgo básicos y la documentación de las evaluaciones, y el Apéndice F para aplicar esta guía de conformidad con la Orden Ejecutiva 14028, Mejora de la ciberseguridad de la nación.

VéaseRA-3 (1)Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro.

Acuerdos de notificación SR-8
Establecer acuerdos y procedimientos con las entidades que participan en la cadena de suministro del sistema, los componentes del sistema o los servicios del sistema para la notificación de compromisos de la cadena de suministro, así como los resultados de las evaluaciones o auditorías.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:como mínimo, las empresas deben exigir a sus proveedores que establezcan acuerdos de notificación con las entidades de su cadena de suministro que tengan una función o responsabilidad relacionada con ese servicio o producto crítico. Los departamentos y agencias deben consultar el apéndice F para aplicar esta guía de conformidad con la Orden Ejecutiva 14028, Mejora de la ciberseguridad de la nación.

Prevalent permite a su equipo centralizar la distribución, discusión, retención y revisión delos contratos con proveedorespara automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.

Las capacidades clave incluyen:

• Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
• Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
• Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
• Discusión centralizada de contratos y seguimiento de comentarios
• Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
• Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
• Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede asegurarse de que las responsabilidades claras y las cláusulas de derecho a auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.

SR-13Inventario de proveedores
Desarrollar, documentar y mantener un inventario de proveedores que:
1. Refleje de forma precisa y mínima los proveedores de primer nivel de la organización que pueden presentar un riesgo de ciberseguridad en la cadena de suministro;
2. Tenga el nivel de detalle necesario para evaluar la criticidad y el riesgo de la cadena de suministro, realizar un seguimiento e informar al respecto;
3. Documenta la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revisar y actualizar el inventario de proveedores.
i. Identificación única del instrumento de adquisición (es decir, contrato, tarea u orden de entrega);
ii. Descripción de los productos y/o servicios suministrados;
iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y
iv. Nivel de criticidad asignado que se ajusta a la criticidad del programa, proyecto y/o sistema (o componente del sistema).
b. Revisar y actualizar el inventario de proveedores.

Guía aplicable SP 800-161r1 sobre gestión de riesgos de ciberseguridad:Las empresas dependen de numerosos proveedores para llevar a cabo sus misiones y funciones. Muchos proveedores ofrecen productos y servicios que dan soporte a múltiples misiones, funciones, programas, proyectos y sistemas. Algunos proveedores son más críticos que otros, en función de la importancia de las misiones, funciones, programas, proyectos y sistemas a los que dan soporte sus productos y servicios, y del nivel de dependencia de la empresa respecto al proveedor. Las empresas deben utilizar el análisis de criticidad para ayudar a determinar qué productos y servicios son críticos para determinar la criticidad de los proveedores que se documentarán en el inventario de proveedores. Consulte la sección 2, el apéndice C y RA-9 para obtener orientación sobre cómo realizar un análisis de criticidad.

La plataforma TPRM Prevalent centraliza toda la información sobre los proveedores en un único perfil, de modo que todos los departamentos que interactúan con ellos utilizan la misma información, lo que mejora la visibilidad y la toma de decisiones.

Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras existente, eliminando los procesos manuales propensos a errores.

Rellene los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Está disponible para todos mediante invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

Con Prevalent, puede crearperfiles completos de proveedoresque comparan y supervisan datos demográficos, ubicación geográfica, tecnologías de terceros y conocimientos operativos recientes. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica en particular.