Cumplimiento de NIST SP 800-53r5, NIST SP 800-161r1 y NIST CSF v2.0

NIST y gestión de riesgos de terceros

ElInstituto Nacional de Estándares y Tecnología (NIST)es una agencia federal dependiente del Departamento de Comercio de los Estados Unidos. Entre las responsabilidades del NIST se incluyen el establecimiento de normas y directrices relacionadas con la tecnología informática y de la información para las agencias federales. Dado que el NIST publica y mantiene recursos clave para la gestión de los riesgos de ciberseguridad aplicables a cualquier empresa, muchas organizaciones del sector privado consideran que el cumplimiento de estas normas y directrices es una prioridad absoluta.

Varias publicaciones especiales del NIST establecen controles específicos que exigen a las organizaciones establecer e implementar procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro. Entre estas publicaciones especiales del NIST se incluyen:

SP 800-53 Rev. 5: Controles de seguridad y privacidad para sistemas de información y organizaciones
SP 800-161 Rev. 1: Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones
Marco de ciberseguridad v2.0

Dado que las directrices del NIST se complementan entre sí, las organizaciones que se basan en una publicación específica y la cruzan con las demás, cumplen de hecho múltiples requisitos utilizando un único marco. Laplataforma de gestión de riesgos de terceros Prevalentpuede utilizarse para cumplir los requisitos del NIST en materia de seguridad de la cadena de suministro.

Requisitos pertinentes

Evaluar si los controles de seguridad se aplican correctamente, funcionan según lo previsto y cumplen los requisitos.
Determinar los requisitos de ciberseguridad para los proveedores
Comunicar a los proveedores cómo se verificarán y validarán los requisitos de ciberseguridad.

Supervisar los controles de seguridad de forma continua para determinar su eficacia.
Establecer requisitos de ciberseguridad mediante acuerdos formales (por ejemplo, contratos)
Verificar que se cumplen los requisitos de ciberseguridad mediante metodologías de evaluación.

Correspondencia entre los controles TPRM de NIST SP 800-53r5 y SP 800-161r1

Las siguientes tablas resumen muestran las capacidades disponibles en la plataforma de gestión de riesgos de terceros de Prevalent para seleccionar controles de terceros, proveedores o distribuidores presentes en SP 800-53, con correspondencias cruzadas con SP 800-161.

Número de control SP 800-53 r5 con correspondencia cruzada SP 800-161r1

Cómo ayudamos

SP 800 53 Control con superposición SP 800-161

CA-2 (1) Evaluaciones de control | Evaluaciones especializadas
CA-2 (3) Evaluaciones de control | Aprovechamiento de los resultados de organizaciones externas

La plataforma Prevalent Third-Party Risk Managementincluye más de 100 plantillas estandarizadas para encuestas de evaluación de riesgos, entre las que se incluyen NIST, ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna automáticamente las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro.

Prevalent Vendor Threat Monitor (VTM)realiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades. También correlaciona los resultados de las evaluaciones con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos.

Con la plataforma Prevalent, puede comunicarse de manera eficiente con los proveedores y coordinar las medidas correctivas. Capture y audite conversaciones; registre fechas estimadas de finalización; acepte o rechace envíos respuesta por respuesta; asigne tareas en función de los riesgos, los documentos o las entidades; y relacione la documentación y las pruebas con los riesgos.

SP 800 53 Control con superposición SP 800-161

CA-7 (3) Monitorización continua | Análisis de tendencias

Prevalent VTM revela incidentes cibernéticos de terceros para 550 000 empresas que se supervisan activamente mediante el seguimiento de más de 1500 foros delictivos, miles de páginas onion, más de 80 foros de acceso especial a la web oscura, más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.

Prevalent normaliza, correlaciona y analiza la información procedente de múltiples fuentes, incluidas las evaluaciones de riesgos internas y el seguimiento externo de Prevalent Vendor Threat Monitor y BitSight. Este modelo unificado proporciona contexto, cuantificación, gestión y apoyo para la corrección de errores.

SP 800 53 Control con superposición SP 800-161

CP-2 (3) Plan de contingencia | Coordinar con los proveedores de servicios externos

La plataforma Prevalent incluye capacidades unificadas para evaluar, analizar y abordar las debilidades en los planes de resiliencia empresarial de los proveedores. Esto le permite trabajar de forma proactiva con su comunidad de proveedores para prepararse ante pandemias, desastres medioambientales y otras crisis potenciales.

Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma Prevalent proporciona supervisión en materia de ciberseguridad, negocios, reputación y finanzas, evaluando continuamente a terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes.

Toda la información sobre riesgos se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto.

SP 800 53 Control con superposición SP 800-161

IR-4 (3) Gestión de incidentes | Coordinación de la cadena de suministro

SP 800 53 Control con superposición SP 800-161

IR-5 Supervisión de incidentes

Prevalent Contract Essentials es una solución SaaS que centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida. Con Contract Essentials, sus equipos de compras y jurídico disponen de una solución única para garantizar que se cumplan las cláusulas clave de los contratos y que se gestionen los niveles de servicio y los tiempos de respuesta.

SP 800 53 Control con superposición SP 800-161

IR-6 (1) Notificación de incidentes | Coordinación de la cadena de suministro

Toda la información sobre riesgos de la plataforma Prevalent se centraliza, correlaciona y analiza en un único registro de riesgos que automatiza la generación de informes y la respuesta, y cuenta con un modelo de puntuación ponderada flexible basado en la probabilidad de que se produzca un evento y su impacto.

SP 800 53 Control con superposición SP 800-161

IR-8 Plan de respuesta ante incidentes

El servicio de respuesta ante incidentes de terceros prevalente le permite identificar y mitigar rápidamente el impacto de las infracciones en la cadena de suministro mediante la gestión centralizada de los proveedores, la realización de evaluaciones de incidentes, la puntuación de los riesgos identificados y el acceso a directrices de corrección. Los servicios de respuesta ante incidentes proporcionan la base necesaria para estar bien preparado para responder a las preguntas de la junta directiva y los ejecutivos sobre el impacto de los incidentes en la cadena de suministro, y para demostrar ante los auditores y reguladores su plan de respuesta ante infracciones de terceros.

SP 800 53 Control con superposición SP 800-161

Programa de concienciación sobre amenazas PM-16

SP 800 53 Control con superposición SP 800-161

Estrategia de monitorización continua PM-31

SP 800 53 Control con superposición SP 800-161

Política y procedimientos RA-1

La plataforma Prevalent incluye más de 100 plantillas estandarizadas para encuestas de evaluación de riesgos, entre las que se incluyen las del NIST, la ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro.

Con la plataforma Prevalent, puede generar automáticamente un registro de riesgos al completar la encuesta, lo que garantiza que todo el perfil de riesgos (o una versión específica para cada función) se pueda ver en el panel de informes centralizado y en tiempo real, y que los informes se puedan descargar y exportar para determinar el estado de cumplimiento. Esto filtra el ruido innecesario y se centra en las áreas que pueden ser motivo de preocupación, proporcionando visibilidad y tendencias para medir la eficacia del programa. A continuación, puede tomar medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación de corrección integradas.

SP 800 53 Control con superposición SP 800-161

RA-3 Evaluación de riesgos

Véase PM-9 Estrategia de gestión de riesgos.

SR-2Plan de gestión de riesgos de la cadena de suministro

a. Desarrollar un plan para gestionar los riesgos de la cadena de suministro asociados con la investigación y el desarrollo, el diseño, la fabricación, la adquisición, la entrega, la integración, las operaciones y el mantenimiento, y la eliminación de sistemas, componentes de sistemas o servicios de sistemas.

b. Revisar y actualizar el plan de gestión de riesgos de la cadena de suministro según sea necesario, para hacer frente a amenazas, cambios organizativos o ambientales; y

c. Proteger el plan de gestión de riesgos de la cadena de suministro contra la divulgación y modificación no autorizadas.

La plataforma Prevalent incluye más de 100 plantillas estandarizadas para encuestas de evaluación de riesgos, entre las que se incluyen las de NIST, ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro. Prevalent ofrece a los profesionales de la seguridad, la privacidad y la gestión de riesgos una plataforma automatizada para gestionar el proceso de evaluación de riesgos de los proveedores y determinar su cumplimiento de los requisitos de seguridad informática, normativos y de privacidad de datos.

Además de facilitar evaluaciones automatizadas y periódicas basadas en controles internos, la plataforma Prevalent también proporciona supervisión en materia de ciberseguridad, negocios, reputación y finanzas, evaluando continuamente a terceros para identificar posibles debilidades que puedan ser explotadas por los ciberdelincuentes.

SP 800 53 Control con superposición SP 800-161

RA-7 Respuesta al riesgo

VéasePM-9Estrategia de gestión de riesgos.

SR-4 (4)Procedencia | Integridad de la cadena de suministro: pedigrí

Emplear controles y análisis para garantizar la integridad del sistema y sus componentes mediante la validación de la composición interna y la procedencia de tecnologías, productos y servicios críticos o esenciales para la misión.

La plataforma Prevalent cuenta con una guía integrada para remediar los fallos de control u otros riesgos identificados hasta alcanzar niveles aceptables para su organización. Prevalent también permite a los evaluadores de riesgos comunicarse con terceros sobre las medidas correctivas, documentar las conversaciones y las actualizaciones, y almacenar la documentación de control de apoyo en un repositorio centralizado.

Estrategias, herramientas y métodos de adquisición SR-5

Emplear estrategias de adquisición, herramientas contractuales y métodos de aprovisionamiento para proteger, identificar y mitigar los riesgos de la cadena de suministro.

Prevalent ofrece un cuestionario de evaluación de riesgos inherentes con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos de todos los terceros. Los criterios de evaluación incluyen:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones empresariales
Ubicación(es) y consideraciones legales o normativas relacionadas
Nivel de dependencia de terceros (para evitar el riesgo de concentración)
Exposición a procesos operativos o de cara al cliente
*Interacción con datos protegidos
Situación financiera y salud
Reputación

Mediante la evaluación de riesgos inherentes, puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones periódicas posteriores.

La lógica de clasificación basada en reglas permite categorizar a los proveedores en función de una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

SP 800 53 Control con superposición SP 800-161

SA-4 (3) Proceso de adquisición | Plan de supervisión continua de los controles

SP 800 53 Control con superposición SP 800-161

SI-4 (1) Supervisión del sistema | Conciencia situacional integrada

Prevalent VTM realiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, y correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos.

SP 800 53 Control con superposición SP 800-161

Alertas, avisos y directivas de seguridad SI-5

SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR)

La siguiente tabla incluye un extracto del control de gestión de riesgos de la cadena de suministro SP 800-53 r5 y cómo la plataforma Prevalent aborda los requisitos. Para obtener una descripción completa, descargue laguía completa del NIST.

SP 800-53 r5 Control de gestión de riesgos de la cadena de suministro (SR)

Cómo ayudamos

Política y procedimientos SR-1

Los servicios de diseño de programas prevalentesdefinen y documentan su programa de gestión de riesgos de terceros. Obtendrá un plan claro que tiene en cuenta sus necesidades específicas e incorpora las mejores prácticas para una gestión integral de los riesgos de terceros.

SR-2 Plan de gestión de riesgos de la cadena de suministro

Los servicios de optimización de programas de Prevalentle ayudan a mejorar continuamente la implementación de la plataforma Prevalent, garantizando que su programa TPRM mantenga la flexibilidad y agilidad necesarias para satisfacer los requisitos empresariales y normativos en constante evolución.

SR-3 Controles y procesos de la cadena de suministro

Estrategias, herramientas y métodos de adquisición SR-5

Prevalent ayuda a los equipos de compras a reducir los costes, la complejidad y la exposición al riesgo durante la selección de proveedores. Nuestra soluciónRFx Essentialsproporciona distribución, comparación y gestión centralizadas de las solicitudes de propuestas y solicitudes de información. También le ayuda a adelantarse alos posibles riesgos de los proveedorescon puntuaciones demográficas, de cuartos y ESG, además de información opcional sobre riesgos empresariales, reputacionales y financieros. Como resultado, podrá dar un importante primer paso para abordar los riesgos en el ciclo de vida de los terceros.

Una vez completada la selección de proveedores, PrevalentContract Essentialscentraliza la distribución, discusión, retención y revisión de los contratos con los proveedores. También incluye capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida. Con Contract Essentials, los equipos de compras y jurídicos disponen de una solución única para gestionar los contratos con los proveedores, simplificar la gestión y la revisión, y reducir los costes y los riesgos.

SR-6 Evaluaciones y revisiones de proveedores

La plataforma Prevalent incluye más de 600 plantillas estandarizadas para encuestasde evaluación de riesgos, entre las que se incluyen las de NIST, ISO y muchas otras, un asistente para la creación de encuestas personalizadas y un cuestionario que asigna las respuestas a cualquier normativa o marco de cumplimiento. Todas las evaluaciones se basan en los estándares del sector y abordan todos los temas relacionados con la seguridad de la información en lo que respecta a los controles de seguridad de los socios de la cadena de suministro y la resiliencia empresarial.

PrevalentVendor Threat Monitorrealiza un seguimiento y análisis continuos de las amenazas observables externamente para proveedores y otros terceros. El servicio complementa y valida los datos de control de seguridad comunicados por los proveedores desde la plataforma Prevalent mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades, y correlaciona los resultados de la evaluación con la investigación sobre riesgos operativos, financieros, legales y de marca en un registro de riesgos unificado que permite la clasificación y respuesta centralizadas de los riesgos.

Acuerdos de notificación SR-8

Con la plataforma Prevalent, puede colaborar en documentos, acuerdos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos, con control de versiones integrado, asignación de tareas y cadencia de revisión automática. También puede gestionar todos los documentos a lo largo del ciclo de vida del proveedor en perfiles de proveedor centralizados.

Inventario de proveedores SR-13

Prevalent ofrece un cuestionario de evaluación de riesgos inherentescon una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos de todos los terceros. Los criterios de evaluación incluyen:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones empresariales
Ubicación(es) y consideraciones legales o normativas relacionadas
Nivel de dependencia de terceros (para evitar el riesgo de concentración)
Exposición a procesos operativos o de atención al cliente
Interacción con datos protegidos
Situación financiera y salud
Reputación

Marco de ciberseguridad (CSF) v2.0 del NIST y gestión de riesgos de terceros

La siguiente tabla incluye un desglose de los controles específicos de la cadena de suministro en la función de gobernanza del Marco de ciberseguridad v2.0 y cómo Prevalent ayuda a abordarlos. Para comprender completamente el Marco, descargue elNIST CSF completo.

Función, categoría y subcategoría

Mejores prácticas

GOVERN (GV): Se establecen, comunican y supervisan la estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización.

Gestión de riesgos de la cadena de suministro en materia de ciberseguridad (GV.SC): Los procesos de gestión de riesgos de la cadena de suministro cibernética son identificados, establecidos, gestionados, supervisados y mejorados por las partes interesadas de la organización.

GV.SC-01:Las partes interesadas de la organización establecen y acuerdan un programa, una estrategia, unos objetivos, unas políticas y unos procesos de gestión de riesgos de la cadena de suministro en materia de ciberseguridad.

Desarrolle un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de la cadena de suministro en materia de ciberseguridad (C-SCRM) en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.

GV.SC-02:Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades en materia de ciberseguridad de los proveedores, clientes y socios.

GV.SC-03:La gestión de riesgos de la cadena de suministro en materia de ciberseguridad se integra en la gestión de riesgos empresariales y de ciberseguridad, la evaluación de riesgos y los procesos de mejora.

Busqueexpertospara colaborar con su equipo en:

Definición e implementación de procesos y soluciones TPRM y C-SCRM.
Selección de cuestionarios y marcos de evaluación de riesgos
Optimizar su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la tolerancia al riesgo de su organización.

Como parte de este proceso, debe definir:

Funciones y responsabilidades claras (por ejemplo, RACI)
Inventarios de terceros
Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
Indicadores clave de riesgo (KRI), indicadores clave de rendimiento (KPI)y niveles de servicio para la respuesta a incidentes.

GV.SC-04:Se conoce a los proveedores y se les prioriza según su importancia.

Centralice su inventario de terceros en una solución de software. A continuación, cuantifiquelos riesgos inherentespara todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros deben incluir:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones empresariales
Ubicación(es) y consideraciones legales o normativas relacionadas
Nivel de dependencia de terceros
Exposición a procesos operativos o de atención al cliente
Interacción con datos protegidos
Situación financiera y salud
Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación basada en reglas debería permitir la categorización de proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

GV.SC-05:Se establecen y priorizan los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro, y se integran en los contratos y otros tipos de acuerdos con los proveedores y otras terceras partes relevantes.

Centralizar la distribución, discusión, retención y revisión delos contratos con proveedorespara automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave. Las capacidades clave deben incluir:

Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en roles.
Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
Discusión centralizada de contratos y seguimiento de comentarios
Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede asegurarse de que las responsabilidades claras y las cláusulas de derecho a auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.

GV.SC-06:Se llevan a cabo actividades de planificación y diligencia debida para reducir los riesgos antes de establecer relaciones formales con proveedores u otros terceros.

Centralice y automatice la distribución, comparación y gestión desolicitudes de propuestas (RFP) y solicitudes de información (RFI)en una única solución que permite comparar los atributos clave.

Dado que todos los proveedores de servicios se están centralizando y revisando, los equipos deben crearperfiles completos de los proveedoresque contengan información sobre sus datos demográficos, tecnologías de terceros, puntuaciones ESG, información reciente sobre su negocio y reputación, historial de violaciones de datos y resultados financieros recientes.

Este nivel de diligencia debida crea un contexto más amplio para tomar decisiones sobre la selección de proveedores.

GV.SC-07:Los riesgos que plantean un proveedor, sus productos y servicios, y otros terceros se comprenden, registran, priorizan, evalúan, responden y supervisan a lo largo de la relación.

Busque soluciones que incluyan una amplia biblioteca de plantillas prediseñadas paraevaluaciones de riesgos de terceros. Las evaluaciones deben realizarse en el momento de la incorporación, la renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos.

Las evaluaciones deben gestionarse de forma centralizada y estar respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Es importante destacar que una solución TPRM debe incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos, a fin de garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria, y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, realice un seguimiento y análisis continuos delas amenazas externas a terceros. Supervise Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, las medidas correctivas y las iniciativas de respuesta.

Asegúrese de incorporar datos operativos, reputacionales y financieros de terceros para añadir contexto a los hallazgos cibernéticos y medir el impacto de los incidentes a lo largo del tiempo.

GV.SC-08:Los proveedores relevantes y otros terceros se incluyen en las actividades de planificación, respuesta y recuperación ante incidentes.

Como parte de su estrategia general de gestión de incidentes, asegúrese de que su programa de respuesta a incidentes de terceros permita a su equipo identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de seguridad de los proveedores externos.

Busque servicios gestionados en los que expertos dedicados gestionen de forma centralizada a sus proveedores; realicen evaluaciones proactivas de los riesgos de los eventos; puntúen los riesgos identificados; correlacionen los riesgos con la inteligencia de supervisión cibernética continua; y emitan directrices de corrección. Los servicios gestionados pueden reducir considerablemente el tiempo necesario para identificar a los proveedores afectados por un incidente de ciberseguridad y garantizar que se apliquen las medidas correctivas.

Las capacidades clave de un servicio de respuesta a incidentes de terceros deben incluir:

Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
Informes proactivos de proveedores
Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
Plantillas de informes integradas para partes interesadas internas y externas.
Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros, cuartos o enésimos para visualizar las rutas de información y revelar los datos en riesgo.

Además, considere la posibilidad de aprovechar las bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores.

Con esta información, su equipo podrá comprender mejor el alcance y el impacto del incidente, qué datos se vieron afectados, si las operaciones de terceros se vieron afectadas y cuándo se completaron las medidas correctivas, todo ello gracias a la ayuda de expertos.

GV.SC-10:Los planes de gestión de riesgos de la cadena de suministro en materia de ciberseguridad incluyen disposiciones para las actividades que se llevan a cabo tras la conclusión de un acuerdo de colaboración o de prestación de servicios.

Basándose en las mejores prácticas recomendadas para GV.SC-05, automatice las evaluaciones de contratos y los procedimientosde bajapara reducir el riesgo de exposición posterior al contrato de su organización.

Programar tareas para revisar los contratos y garantizar que se hayan cumplido todas las obligaciones.
Emitir evaluaciones de contratos para evaluar el estado.
Aproveche las encuestas y los informes de flujos de trabajo sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de todas las leyes pertinentes, los pagos finales, etc.
Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos.
Analizar documentos para confirmar que se cumplen los criterios clave.
Tome medidas prácticas para reducir el riesgo de los proveedores con recomendaciones y orientación para su corrección.
Visualice y aborde los requisitos de cumplimiento mediante la asignación automática de los resultados de las evaluaciones a las normativas y marcos reglamentarios.