NIST y gestión de riesgos en la cadena de suministro
La Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-53) es un marco para los controles de seguridad y privacidad de los sistemas de información y las organizaciones.
Considerada la base sobre la que se construyen todos los demás controles de ciberseguridad, la última versión, la publicación NIST SP 800-53 Rev. 5, amplía y perfecciona las directrices de seguridad y privacidad de la cadena de suministro mediante el establecimiento de un grupo de control completamente nuevo, SR-Gestión de riesgos de la cadena de suministro.
Requisitos pertinentes
- Hacer hincapié en la seguridad y la privacidad mediante la colaboración en la identificación de riesgos y amenazas, y mediante la aplicación de controles basados en la seguridad y la privacidad.
- Aumentar la concienciación sobre la necesidad de evaluar previamente las organizaciones y garantizar la visibilidad de los problemas y las infracciones.
- Exigir transparencia en los sistemas y productos (por ejemplo, ciclo de vida, trazabilidad y autenticidad de los componentes).
- Utilizar planes y políticas formales de gestión de riesgos para impulsar el proceso de gestión de la cadena de suministro.
NIST SP 800-53r5 Controles SCRM: correspondencias cruzadas
La tabla resumen que figura a continuación muestra las capacidades de las mejores prácticas para seleccionar controles de terceros proveedores o suministradores presentes en SP 800-53.
NOTA: Esta tabla no debe considerarse una guía definitiva. Para obtener una lista completa de los controles, revise detalladamente la publicaciónSP 800-53completa y consulte a su auditor.
SP 800-53r5 Controles específicos para la cadena de suministro
Cómo ayuda Prevalent
A-2 (2)Evaluaciones de control | Evaluaciones especializadas
Las organizaciones pueden realizar evaluaciones especializadas, incluyendo verificación y validación, supervisión de sistemas, evaluaciones de amenazas internas, pruebas de usuarios maliciosos y otras formas de pruebas.
CA-2 (3)Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas
Las organizaciones pueden basarse en evaluaciones de control de los sistemas organizativos realizadas por otras organizaciones (externas).
Gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC):Los procesos de gestión de riesgos de la cadena de suministro cibernética son identificados, establecidos, gestionados, supervisados y mejorados por las partes interesadas de la organización.
Prevalent ofrece una amplia biblioteca de plantillas prediseñadas paraevaluaciones de riesgos de terceros, incluidas aquellas creadas específicamente en torno a los controles del NIST. Con Prevalent, puede realizar evaluaciones en el momento de la incorporación de proveedores, la renovación de contratos o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación.
Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.
Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.
Como parte de este proceso, Prevalent también realiza un seguimiento y análisis continuos delas amenazas externas a terceros. Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de sanciones reputacionales e información financiera.
Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.
Prevalent también incorpora datos operativos, reputacionales y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.
Si es necesario, puede analizarlos informes SOC 2o la Declaración de aplicabilidad ISO en lugar de las evaluaciones de riesgo de un proveedor. Nuestro servicio revisa la lista de deficiencias de control identificadas en el informe SOC 2, crea elementos de riesgo contra el tercero y realiza un seguimiento e informa sobre las deficiencias a lo largo del tiempo.
CP-2 (7)Plan de contingencia | Coordinar con los proveedores de servicios externos
Coordinar el plan de contingencia con los planes de contingencia de los proveedores de servicios externos para garantizar que se puedan satisfacer los requisitos de contingencia.
IR-4 (10)Gestión de incidentes | Coordinación de la cadena de suministro
Coordinar las actividades de gestión de incidentes relacionados con la cadena de suministro con otras organizaciones involucradas en la cadena de suministro.
IR-5Supervisión de incidentes
Seguir y documentar los incidentes.
IR-6 (3)Notificación de incidentes | Coordinación de la cadena de suministro
Proporcione información sobre el incidente al proveedor del producto o servicio y a otras organizaciones involucradas en la cadena de suministro o en la gobernanza de la cadena de suministro de los sistemas o componentes del sistema relacionados con el incidente.
IR-8(1)Plan de respuesta ante incidentes | Violaciones
Incluya lo siguiente en el Plan de respuesta ante incidentes para violaciones que impliquen información de identificación personal:
(a) Un proceso para determinar si es necesario notificar a personas u otras organizaciones, incluidas las organizaciones de supervisión.
(b) Un proceso de evaluación para determinar el alcance del daño, la vergüenza, las molestias o la injusticia causadas a las personas afectadas y cualquier mecanismo para mitigar dichos daños; y
(c) Identificación de los requisitos de privacidad aplicables.
GV.SC-02:Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades en materia de ciberseguridad de los proveedores, clientes y socios.
GV.SC-03:La gestión de riesgos de la cadena de suministro en materia de ciberseguridad se integra en la gestión de riesgos empresariales y de ciberseguridad, la evaluación de riesgos y los procesos de mejora.
Como parte de suestrategiageneralde gestión de incidentes, Prevalent garantiza que su programa de respuesta a incidentes de terceros pueda identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de seguridad de los proveedores externos. El equipo de servicios gestionados de Prevalent incluye expertos dedicados que gestionan de forma centralizada a sus proveedores, realizan evaluaciones proactivas de riesgos de eventos, puntúan los riesgos identificados, correlacionan los riesgos con inteligencia de supervisión cibernética continua y emiten directrices de corrección en nombre de su organización. Los servicios gestionados reducen en gran medida el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad, coordinarse con ellos y garantizar que se apliquen las medidas correctivas.
Las capacidades clave delservicio de respuesta a incidentes de terceros de Prevalentincluyen:
- Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
- Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
- Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
- Informes proactivos de proveedores
- Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
- Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
- Plantillas de informes integradas para partes interesadas internas y externas.
- Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
- Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo.
Prevalent también analiza bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.
Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de expertos.
PM-9Estrategia de gestión de riesgos
a. Desarrollar una estrategia integral para gestionar:
1. Riesgos de seguridad para las operaciones y los activos de la organización, las personas, otras organizaciones y la nación asociados con el funcionamiento y el uso de los sistemas de la organización; y
2. Riesgo para la privacidad de las personas derivado del tratamiento autorizado de información de identificación personal.
b. Implementar la estrategia de gestión de riesgos de manera coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos según sea necesario, para abordar los cambios organizativos.
PM-30Estrategia de gestión de riesgos en la cadena de suministro
a. Desarrollar una estrategia para toda la organización con el fin de gestionar los riesgos de la cadena de suministro asociados con el desarrollo, la adquisición, el mantenimiento y la eliminación de sistemas, componentes de sistemas y servicios de sistemas.
b. Implementar la estrategia de gestión de riesgos de la cadena de suministro de manera coherente en toda la organización; y
c. Revisar y actualizar la estrategia de gestión de riesgos de la cadena de suministro con la frecuencia definida por la organización o según sea necesario, para abordar los cambios organizativos.
Prevalent ayuda a su organización a crear un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.
Nuestrosexpertoscolaboran con su equipo en:
- Definición e implementación de procesos y soluciones TPRM y C-SCRM.
- Selección de cuestionarios y marcos de evaluación de riesgos
- Optimizar su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la tolerancia al riesgo de su organización.
Como parte de este proceso, le ayudamos a definir:
- Funciones y responsabilidades claras (por ejemplo, RACI)
- Inventarios de terceros
- Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
Con Prevalent, su equipo puede evaluar continuamente la eficacia de su programa TPRM en función de las necesidades y prioridades cambiantes del negocio, midiendolos indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI)de los proveedores externos a lo largo del ciclo de vida de la relación.
PM 30 (1)Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión
Identificar, priorizar y evaluar a los proveedores de tecnologías, productos y servicios críticos o esenciales para la misión.
Prevalent cuantificalos riesgos inherentespara todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:
- Tipo de contenido necesario para validar los controles
- Importancia crítica para el rendimiento y las operaciones empresariales
- Ubicación(es) y consideraciones legales o normativas relacionadas
- Nivel de dependencia de terceros
- Exposición a procesos operativos o de atención al cliente
- Interacción con datos protegidos
- Situación financiera y salud
- Reputación
A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.
Estrategia de monitorización continua PM-31
Desarrollar una estrategia de supervisión continua para toda la organización e implementar programas de supervisión continua que incluyan:
a. Establecer métricas para toda la organización que se supervisarán;
b. Establecer frecuencias definidas para el seguimiento y la evaluación de la eficacia de los controles.
c. Supervisión continua de los parámetros definidos por la organización de acuerdo con la estrategia de supervisión continua.
d. Correlación y análisis de la información generada por las evaluaciones de control y el seguimiento;
e. Medidas de respuesta para abordar los resultados del análisis de la evaluación del control y la información de seguimiento; y
f. Informar sobre el estado de seguridad y privacidad de los sistemas de la organización al personal designado.
Realice un seguimiento y análisis continuos delas amenazas externas a terceroscon Prevalent. Supervisamos Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de riesgos para la reputación, sanciones e información financiera.
Las fuentes de supervisión incluyen:
- Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
- Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.
Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, de modo que se pueden ver fácilmente los riesgos de mayor impacto y se pueden priorizar las medidas correctivas para ellos.
A continuación, puede asignar propietarios y realizar un seguimiento de los riesgos y las soluciones hasta alcanzar un nivel aceptable para la empresa.
Política y procedimientos RA-1
Desarrollar, documentar y difundir:
1. Una política de evaluación de riesgos que:
(a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y
(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la aplicación de la política de evaluación de riesgos y los controles de evaluación de riesgos asociados.
b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de evaluación de riesgos; y
c. Revisar y actualizar la evaluación de riesgos actual:
1. Política y
2. Procedimientos.
VéasePM-9Estrategia de gestión de riesgos.
RA-2 (1)Clasificación de seguridad | Priorización por nivel de impacto
Realizar una priorización por nivel de impacto de los sistemas organizativos para obtener una mayor granularidad sobre los niveles de impacto de los sistemas.
VéasePM 30 (1)Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión.
RA-3 (1)Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro
(a) Evaluar los riesgos de la cadena de suministro asociados con los sistemas, componentes y servicios; y
(b) Actualizar la evaluación de riesgos de la cadena de suministro cuando se produzcan cambios significativos en la cadena de suministro pertinente, o cuando los cambios en el sistema, los entornos operativos u otras condiciones puedan requerir un cambio en la cadena de suministro.
La plataforma Prevalent TPRM incluye una amplia biblioteca de plantillas prediseñadas paraevaluaciones de riesgos de terceros, incluidas aquellas creadas específicamente en torno a los controles del NIST. Las evaluaciones pueden realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), en función de los cambios sustanciales que se produzcan.
Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.
Es importante destacar que Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.
RA-3 (2)Evaluación de riesgos | Uso de inteligencia de todas las fuentes
Utilizar información procedente de todas las fuentes para ayudar en el análisis de riesgos.
RA-3 (3)Evaluación de riesgos | Concienciación dinámica sobre amenazas
Determinar de forma continua el entorno actual de amenazas cibernéticas.
RA-3 (4)Evaluación de riesgos | Análisis cibernético predictivo
Emplee capacidades avanzadas de automatización y análisis para predecir e identificar riesgos.
RA-7Respuesta al riesgo
Responder a los resultados de las evaluaciones de seguridad y privacidad, la supervisión y las auditorías de acuerdo con la tolerancia al riesgo de la organización.
Con Prevalent, puede realizar un seguimiento y análisis continuos delas amenazas externas a terceros. Como parte de ello, supervisamos Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.
Las fuentes de supervisión incluyen:
- Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
- Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.
Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza las iniciativas de revisión, notificación, corrección y respuesta ante riesgos.
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, de modo que se pueden ver fácilmente los riesgos de mayor impacto y se pueden priorizar las medidas correctivas para ellos.
Por último, asigne propietarios y realice un seguimiento de los riesgos y las soluciones en la plataforma hasta alcanzar un nivel aceptable para la empresa.
Análisis de criticidad RA-9
Identificar los componentes y funciones críticos del sistema mediante la realización de un análisis de criticidad en puntos de decisión definidos del ciclo de vida del desarrollo del sistema.
VéasePM 30 (1)Estrategia de gestión de riesgos de la cadena de suministro | Proveedores de artículos críticos o esenciales para la misión.
Política y procedimientos SR-1
Desarrollar, documentar y difundir:
1. Una política de gestión de riesgos de la cadena de suministro que:
(a) Aborda el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección, la coordinación entre las entidades organizativas y el cumplimiento; y
(b) Sea coherente con las leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices aplicables; y
2. Procedimientos para facilitar la implementación de la política de gestión de riesgos de la cadena de suministro y los controles asociados a la gestión de riesgos de la cadena de suministro.
b. Designar a un funcionario para que gestione el desarrollo, la documentación y la difusión de la política y los procedimientos de gestión de riesgos de la cadena de suministro; y
c. Revisar y actualizar la gestión actual de riesgos de la cadena de suministro:
1. Política y
2. Procedimientos
Véase PM-9 Estrategia de gestión de riesgos.
SR-2Plan de gestión de riesgos de la cadena de suministro
a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas.
b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a amenazas, cambios organizativos o ambientales; y
c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.
Véase PM-9 Estrategia de gestión de riesgos.
SR-3Controles y procesos de la cadena de suministro
a. Establecer uno o varios procesos para identificar y abordar las debilidades o deficiencias en los elementos y procesos de la cadena de suministro, en coordinación con el personal de la cadena de suministro.
*b. Emplear los siguientes controles para proteger contra los riesgos de la cadena de suministro para el sistema, los componentes del sistema o los servicios del sistema, y para limitar los daños o las consecuencias de los eventos relacionados con la cadena de suministro; y
c. Documentar losprocesos y controles de la cadena de suministro seleccionados e implementadosen el plan de gestión de riesgos de la cadena de suministro.*
VéasePM-9Estrategia de gestión de riesgos.
SR-4 (4)Procedencia | Integridad de la cadena de suministro: pedigrí
Emplear controles y análisis para garantizar la integridad del sistema y sus componentes mediante la validación de la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.
Como parte del proceso de diligencia debida, Prevalent permite a los proveedores proporcionarlistas de materiales de software (SBOM)actualizadas para sus productos de software. Esto le ayuda a identificar cualquier posible vulnerabilidad o problema de licencia que pueda afectar a la seguridad y el cumplimiento normativo de su organización.
Estrategias, herramientas y métodos de adquisición SR-5
Emplear estrategias de adquisición, herramientas contractuales y métodos de aprovisionamiento para proteger, identificar y mitigar los riesgos de la cadena de suministro.
Prevalent permite a su equipo centralizar y automatizar la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI) en una única solución que permite comparar atributos clave.
A medida que todos los proveedores de servicios se centralizan y revisan, la plataforma Prevalent creaperfiles completos de los proveedoresque contienen información sobre sus datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre su negocio y reputación, historial de violaciones de datos y resultados financieros recientes.
Este nivel de diligencia debida crea un contexto más amplio para tomar decisionessobre la selección de proveedores.
SR-6Evaluaciones y revisiones de proveedores
Evaluar y revisar los riesgos relacionados con la cadena de suministro asociados a los proveedores o contratistas y al sistema, componente del sistema o servicio del sistema que proporcionan.
VéaseRA-3 (1)Evaluación de riesgos | Evaluación de riesgos de la cadena de suministro.
Acuerdos de notificación SR-8
Establecer acuerdos y procedimientos con las entidades involucradas en la cadena de suministro del sistema, los componentes del sistema o los servicios del sistema para la notificación de compromisos de la cadena de suministro, así como los resultados de las evaluaciones o auditorías.
Prevalent permite a su equipo centralizar la distribución, discusión, retención y revisión delos contratos con proveedorespara automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.
Las capacidades clave incluyen:
- Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
- Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
- Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
- Discusión centralizada de contratos y seguimiento de comentarios
- Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
- Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
- Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.
Con esta capacidad, puede asegurarse de que las responsabilidades claras y las cláusulas de derecho a auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.
Inventario de proveedores SR-13
Desarrollar, documentar y mantener un inventario de proveedores que:
1. Refleje de forma precisa y mínima los proveedores de primer nivel de la organización que pueden presentar un riesgo de ciberseguridad en la cadena de suministro.
2. Tenga el nivel de detalle necesario para evaluar la criticidad y el riesgo de la cadena de suministro, realizar un seguimiento e informar al respecto.
3. Documente la siguiente información para cada proveedor de primer nivel (por ejemplo, contratista principal): revise y actualice el inventario de proveedores.
i. Identificación única del instrumento de adquisición (es decir, contrato, tarea u orden de entrega);
ii. Descripción de los productos y/o servicios suministrados;
iii. Programa, proyecto y/o sistema que utiliza los productos y/o servicios del proveedor; y
iv. Nivel de criticidad asignado que se ajusta a la criticidad del programa, proyecto y/o sistema (o componente del sistema).
b. Revisar y actualizar el inventario de proveedores.
La plataforma TPRM Prevalent centraliza toda la información sobre los proveedores en un único perfil, de modo que todos los departamentos que interactúan con ellos utilizan la misma información, lo que mejora la visibilidad y la toma de decisiones.
Importe proveedores mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras existente, eliminando los procesos manuales propensos a errores.
Rellene los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y el flujo de trabajo asociado. Está disponible para todos mediante invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.
Con Prevalent, puede crearperfiles completos de proveedoresque comparan y supervisan datos demográficos, ubicación geográfica, tecnologías de terceros y conocimientos operativos recientes. Disponer de estos datos acumulados le permitirá informar y tomar medidas contra los riesgos de concentración geográfica y tecnológica en particular.
