NIST y gestión de riesgos de terceros
ElInstituto Nacional de Estándares y Tecnología (NIST)es una agencia federal dependiente del Departamento de Comercio de los Estados Unidos. Entre las responsabilidades del NIST se incluyen el establecimiento de normas y directrices relacionadas con la tecnología informática y de la información para las agencias federales. Dado que el NIST publica y mantiene recursos clave para la gestión de los riesgos de ciberseguridad aplicables a cualquier empresa, muchas organizaciones del sector privado consideran que el cumplimiento de estas normas y directrices es una prioridad absoluta.
Varias publicaciones especiales del NIST establecen controles específicos que exigen a las organizaciones establecer e implementar procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro. Entre estas publicaciones especiales del NIST se incluyen:
- SP 800-53 Rev. 5: Controles de seguridad y privacidad para sistemas de información y organizaciones
- SP 800-161 Rev. 1: Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones
- Marco de ciberseguridad v2.0
Dado que las directrices del NIST se complementan entre sí, las organizaciones que se basan en una publicación específica y la cruzan con las demás, cumplen de hecho múltiples requisitos utilizando un único marco. Laplataforma de gestión de riesgos de terceros Prevalentpuede utilizarse para cumplir los requisitos del NIST en materia de seguridad de la cadena de suministro.
Requisitos pertinentes
-
Evaluar si los controles de seguridad se aplican correctamente, funcionan según lo previsto y cumplen los requisitos.
-
Supervisar los controles de seguridad de forma continua para determinar su eficacia.
-
Determinar los requisitos de ciberseguridad para los proveedores
-
Establecer requisitos de ciberseguridad mediante acuerdos formales (por ejemplo, contratos)
-
Comunicar a los proveedores cómo se verificarán y validarán los requisitos de ciberseguridad.
-
Verificar que se cumplen los requisitos de ciberseguridad mediante metodologías de evaluación.
Correspondencia entre los controles TPRM de NIST SP 800-53r5 y SP 800-161r1
Las siguientes tablas resumen muestran las capacidades disponibles en la plataforma de gestión de riesgos de terceros de Prevalent para seleccionar controles de terceros, proveedores o distribuidores presentes en SP 800-53, con correspondencias cruzadas con SP 800-161.
| Número de control SP 800-53 r5 con correspondencia cruzada SP 800-161r1 | Cómo ayudamos |
|---|---|
SP 800 53 Control con superposición SP 800-161
|
El Plataforma predominante de gestión de riesgos de terceros includes more than 100 standardized risk assessment survey templates – including for NIST, ISO and many others — a custom survey creation wizard, and a questionnaire that automatically maps responses to any compliance regulation or framework. All assessments are based on industry standards and address all information security topics as they pertain to supply chain partner security controls.
Prevalent Vendor Threat Monitor (VTM)realiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades. También correlaciona los resultados de las evaluaciones con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos. Con la plataforma Prevalent, puede comunicarse de manera eficiente con los proveedores y coordinar las medidas correctivas. Capture y audite conversaciones; registre fechas estimadas de finalización; acepte o rechace envíos respuesta por respuesta; asigne tareas en función de los riesgos, los documentos o las entidades; y relacione la documentación y las pruebas con los riesgos. |
SP 800 53 Control con superposición SP 800-161
|
Prevalent VTM revela incidentes cibernéticos de terceros para 550 000 empresas que se supervisan activamente mediante el seguimiento de más de 1500 foros delictivos, miles de páginas onion, más de 80 foros de acceso especial a la web oscura, más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
Prevalent normaliza, correlaciona y analiza la información procedente de múltiples fuentes, incluidas las evaluaciones de riesgos internas y el seguimiento externo de Prevalent Vendor Threat Monitor y BitSight. Este modelo unificado proporciona contexto, cuantificación, gestión y apoyo para la corrección de errores. |
SP 800 53 Control con superposición SP 800-161
|
El Prevalent Third-Party Incident Response Service enables you to rapidly identify and mitigate the impact of supply chain breaches by centrally managing vendors, proactively conducting event assessments, scoring identified risks, and accessing remediation guidance.
La plataforma Prevalent incluye capacidades unificadas para evaluar, analizar y abordar las debilidades en los planes de resiliencia empresarial de los proveedores. Esto le permite trabajar de forma proactiva con su comunidad de proveedores para prepararse ante pandemias, desastres medioambientales y otras crisis potenciales. Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma Prevalent proporciona supervisión en materia de ciberseguridad, negocios, reputación y finanzas, evaluando continuamente a terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes. Toda la información sobre riesgos se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
El Prevalent Third-Party Incident Response Service enables you to rapidly identify and mitigate the impact supply chain breaches by centrally managing vendors, proactively conducting event assessments, scoring identified risks, and accessing remediation guidance.
La plataforma Prevalent incluye capacidades unificadas para evaluar, analizar y abordar las debilidades en los planes de resiliencia empresarial de los proveedores. Esto le permite trabajar de forma proactiva con su comunidad de proveedores para prepararse ante pandemias, desastres medioambientales y otras crisis potenciales. Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma Prevalent proporciona supervisión en materia de ciberseguridad, negocios, reputación y finanzas, evaluando continuamente a terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes. Toda la información sobre riesgos se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
Prevalent Contract Essentials es una solución SaaS que centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida. Con Contract Essentials, sus equipos de compras y jurídico disponen de una solución única para garantizar que se cumplan las cláusulas clave de los contratos y que se gestionen los niveles de servicio y los tiempos de respuesta. |
SP 800 53 Control con superposición SP 800-161
|
Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
El servicio de respuesta ante incidentes de terceros prevalente le permite identificar y mitigar rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de los proveedores, la realización de evaluaciones de incidentes, la puntuación de los riesgos identificados y el acceso a directrices de corrección. Los servicios de respuesta ante incidentes proporcionan la base necesaria para estar bien preparado para responder a las preguntas de la junta directiva y los ejecutivos sobre el impacto de los incidentes en la cadena de suministro, y para demostrar ante los auditores y reguladores su plan de respuesta ante infracciones de terceros. |
SP 800 53 Control con superposición SP 800-161
|
Prevalent VTM revela incidentes cibernéticos de terceros para 550 000 empresas que se supervisan activamente mediante el seguimiento de más de 1500 foros delictivos, miles de páginas onion, más de 80 foros de acceso especial a la web oscura, más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
Prevalent normaliza, correlaciona y analiza la información procedente de múltiples fuentes, incluidas las evaluaciones de riesgos internas y el seguimiento externo de Prevalent Vendor Threat Monitor y BitSight. Este modelo unificado proporciona contexto, cuantificación, gestión y apoyo para la corrección de errores. Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
Prevalent VTM revela incidentes cibernéticos de terceros para 550 000 empresas que se supervisan activamente mediante el seguimiento de más de 1500 foros delictivos, miles de páginas onion, más de 80 foros de acceso especial a la web oscura, más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
Prevalent normaliza, correlaciona y analiza la información procedente de múltiples fuentes, incluidas las evaluaciones de riesgos internas y el seguimiento externo de Prevalent Vendor Threat Monitor y BitSight. Este modelo unificado proporciona contexto, cuantificación, gestión y apoyo para la corrección de errores. Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
La plataforma Prevalent incluye más de 100 plantillas estandarizadas para encuestas de evaluación de riesgos, entre las que se incluyen las del NIST, la ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro.
Con la plataforma Prevalent, puede generar automáticamente un registro de riesgos al completar la encuesta, lo que garantiza que todo el perfil de riesgos (o una versión específica para cada función) se pueda ver en el panel de informes centralizado y en tiempo real, y que los informes se puedan descargar y exportar para determinar el estado de cumplimiento. Esto filtra el ruido innecesario y se centra en las áreas que pueden ser motivo de preocupación, proporcionando visibilidad y tendencias para medir la eficacia del programa. A continuación, puede tomar medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación de corrección integradas. |
SP 800 53 Control con superposición SP 800-161
|
La plataforma Prevalent incluye más de 100 plantillas estandarizadas para encuestas de evaluación de riesgos, entre las que se incluyen las de NIST, ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro. Prevalent ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de los proveedores y determinar su cumplimiento de los requisitos de seguridad informática, normativos y de privacidad de datos.
Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma Prevalent también proporciona supervisión en materia de ciberseguridad, negocios, reputación y finanzas, evaluando continuamente a terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes. Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
La plataforma Prevalent cuenta con una guía integrada para remediar los fallos de control u otros riesgos identificados hasta alcanzar niveles aceptables para su organización. Prevalent también permite a los evaluadores de riesgos comunicarse con terceros sobre las medidas correctivas, documentar las conversaciones y las actualizaciones, y almacenar la documentación de control de apoyo en un repositorio centralizado. |
SP 800 53 Control con superposición SP 800-161
|
Prevalent ofrece un cuestionario de evaluación de riesgos inherentes con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos de todos los terceros. Los criterios de evaluación incluyen:
Mediante la evaluación de riesgos inherentes, puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores. La lógica de clasificación basada en reglas permite categorizar a los proveedores en función de una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación. |
SP 800 53 Control con superposición SP 800-161
|
Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma Prevalent también proporciona supervisión en materia de ciberseguridad, negocios, reputación y finanzas, evaluando continuamente a terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes.
Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
Prevalent VTM realiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, y correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos.
Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800 53 Control con superposición SP 800-161
|
Prevalent VTM realiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, y correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos.
Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto. |
SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR)
La siguiente tabla incluye un extracto del control de gestión de riesgos de la cadena de suministro SP 800-53 r5 y cómo la plataforma Prevalent aborda los requisitos. Para obtener una descripción completa, descargue laguía completa del NIST.
| SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR) | Cómo ayudamos |
|---|---|
| Política y procedimientos SR-1 | Los servicios de diseño de programas prevalentesdefinen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas e incorpora las mejores prácticas para una gestión integral de los riesgos de terceros. |
| SR-2 Plan de gestión de riesgos de la cadena de suministro | Los servicios de optimización de programas de Prevalentle ayudan a mejorar continuamente la implementación de la plataforma Prevalent, garantizando que su programa TPRM mantenga la flexibilidad y agilidad necesarias para satisfacer los requisitos empresariales y normativos en constante evolución. |
| SR-3 Controles y procesos de la cadena de suministro | Los servicios de diseño de programas prevalentesdefinen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas e incorpora las mejores prácticas para una gestión integral de los riesgos de terceros. |
| Estrategias, herramientas y métodos de adquisición SR-5 | Prevalent helps procurement teams reduce cost, complexity and risk exposure during vendor selection. Our Aspectos esenciales de la RFx solution provides centralized distribution, comparison, and management of RFPs and RFIs. It also helps you get ahead of potential supplier risks with demographic, 4th-party, and ESG scores – plus optional business, reputational, and financial risk insights. As a result, you’re able to take an important first step toward tackling risk in the third-party lifecycle.
Una vez completada la selección de proveedores, PrevalentContract Essentialscentraliza la distribución, discusión, retención y revisión de los contratos con los proveedores. También incluye capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida. Con Contract Essentials, los equipos de compras y jurídicos disponen de una solución única para gestionar los contratos con los proveedores, simplificar la gestión y la revisión, y reducir los costes y los riesgos. |
| SR-6 Evaluaciones y revisiones de proveedores | The Prevalent Platform includes more than 600 standardized risk assessment survey templates – including for NIST, ISO and many others — a custom survey creation wizard, and a questionnaire that maps responses to any compliance regulation or framework. All assessments are based on industry standards and address all information security topics as they pertain to supply chain partner and business resilience security controls.
PrevalentVendor Threat Monitorrealiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, y correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos. |
| Acuerdos de notificación SR-8 | Con la plataforma Prevalent, puede colaborar en documentos, acuerdos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos, con control de versiones integrado, asignación de tareas y cadencia de revisión automática. También puede gestionar todos los documentos a lo largo del ciclo de vida del proveedor en perfiles de proveedor centralizados. |
| Inventario de proveedores SR-13 | Prevalent offers an inherent risk assessment questionnaire with clear scoring based on eight criteria to capture, track and quantify risks for all third parties. Assessment criteria include:
Mediante la evaluación de riesgos inherentes, puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores. La lógica de clasificación basada en reglas permite categorizar a los proveedores en función de una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación. |
