Uso de la norma ISO 27001 para crear KPI y KRI de TPRM aplicables

Ash: Eh, vamos a darles un minuto a todos para que se acomoden con sus bebidas y aperitivos. Y, mientras tanto, voy a lanzar nuestra primera encuesta. Tenemos curiosidad por saber qué les ha traído al seminario web de hoy. ¿Es por motivos educativos? ¿Están en las primeras etapas de su viaje con TPRM? ¿Les encanta escuchar el acento británico? En cualquier caso, no voy a juzgarles por ello. A mí también me encanta. Dicho esto, vamos a empezar con las presentaciones. Me llamo Ash. Trabajo en desarrollo empresarial aquí en Prevalent y nos acompañan unos invitados muy especiales. En primer lugar, nuestro director de proyectos, Thomas Humphre. ¿Qué tal, Thomas?

Thomas: Sí. Bien. Todo bien por aquí.

Ash: Nuestra ingeniera de soluciones, Sophie Apothecary. ¿Qué tal, Sophie?

Sophie: Estoy bien, gracias, Ashby. Espero que tú también.

Ash: Gracias. Y por último, pero no por ello menos importante en mi opinión, nuestro vicepresidente de marketing de productos, Scott Lang. ¿Qué tal, Scott?

Scott: Genial, Ashley. Espero que todos estén bien hoy.

Ash: Solo un pequeño recordatorio: este seminario web está siendo grabado y enviaremos una copia junto con las diapositivas de la presentación poco después del seminario. Tengo a todos en silencio, pero me encantan las preguntas. A Sophie le encantan las preguntas. A Thomas le encantan las preguntas. Así que, por favor, por favor, por favor, escríbanlas en el cuadro de preguntas y respuestas y las revisarán al final del seminario web. Hoy, Thomas y Sophie hablarán sobre cómo utilizar el marco ISO para medir su TPR y el éxito del programa. Nosotros. Así que voy a pasarles la palabra.

Thomas: Fantástico. Muchas gracias, Ashley. Y sí, buenos días, buenas tardes, buenas noches, eh, señoras y señores. Eh, mi nombre es Thomas Humphre y bienvenidos a este seminario web en el que nos centraremos en la norma ISO 27,01. Está relacionado con la gestión de riesgos de terceros (TPRM) y se centra especialmente en cómo podemos extraer los controles y requisitos al analizar los KPI, los KIS y otras mediciones para garantizar un resultado satisfactorio. Me acompaña Sophie. Sophie, si quieres, puedes presentarte.

Sophie: Sí, muchas gracias, Thomas. Me alegro de estar aquí hoy. Buenos días, buenas tardes y buenas noches. Soy una de las ingenieras de soluciones aquí en Prevalent y trabajo en estrecha colaboración con Thomas y el resto del equipo para seguir desarrollando programas TPRM y lograr el éxito en ISO 27001 y otras normas. Gracias, Thomas.

Thomas: Thank you very much. And myself to someies. I’ve been with PEN for 5 years. Um I was previously an ISO auditor for the best part of 10 years working across many standards not least around 27,01 um on a local and uh global level um both in in certification bodies in the UK and in Singapore. Um just a very brief bit of housekeeping. Um as Ashley’s mentioned uh as usual um with these webinars we like to save some time at at the end for for a Q&A, but obviously throughout um today where where appropriate, we’ll answer some questions as well. So, any questions that come to mind, please um uh post them into the there should be a Q&A uh chat box or or window. Um and then as as as we go through um we’ll try and answer as many as we can. So, let’s kick off looking at what we’re going to be covering today. I’ll give an overview of 27,01, paying particular attention to to some of the newer elements um since the standard was re-released for looking at how we can map standard TPRM practices um across to 27,000 and an information security management system. I’ll take a look at some of the key controls and how we can derive and identify key controls particularly if if you’re just starting out on that journey um of using 27 for the first time. I’ll then touch on um performance and risk indicators and what that can look like for your TPRM journey as well as um uh around the 27,000 standard itself. Uh before finishing with some next steps and where we can we can go from here and where how how you can take some of this and some of this information forward um when you’re either beginning your journey or if you’re already partly through um or or ongoing on a on a TPM process. So started an introduction to ISO 27. So for anyone who’s who’s unfamiliar um Um 27 is ISO’s principal standard on information security. It’s one of their older standards and also it’s most widely adopted standards. Um the the overall structure and approach of 27,0001 is to is to provide a a a framework a structured framework for an organization to identify and set some governance in place in terms of identifying risk in in terms of information security. risk and then managing that risk through a series of activities, controls, policies and processes as well. So, it’s built around a very strong core of of governance in terms of how you manage um the life cycle of information security management as well as risk and good uh risk practices and risk best practices as well. Um as say it’s internationally recognized, it’s one of the most widely adopted frameworks um and uh not too dissimilar to many of the other ISO standards. Uh one of the reasons it’s it’s so widely adopted is its universal approach. So regardless of size and complexity of organizations, regardless of industries, sectors and even geographies, um there there’s always a use case to be had for how you can build best practice around 27,000 whether it’s from a certification standpoint or purely using the standard to drive that best practice um and understanding of of a good security posture. Uh just briefly to note that there are um many other standards. We’ll be briefly touching on 27,0002 because there’s a close relationship between 27,0001 which is the certifiable standard and 27,0002 which provides those implementation guidelines on how we can apply and develop and build upon those security controls and what those controls look like um uh in practice. Um it’s always important to note that um although we’re focusing on 27,01 and2 Specifically um as is common with ISO they build what they call a family of wider standards which can sometimes be used to address sector or technology specific applications on how trend 70001 could be best used. So for example how it can be used for cloud environment and cloud provider or how secure how trend 70001 could be applied say in the healthcare sector or in the legal sector for example and so there’s quite a wider uh variety um of of of uh frameworks out there but nevertheless we’ll be dealing um very much with uh 2701 and two. So a very brief background so in 2022 uh the standard was re-released um roughly every 5 years ISO make the decision to formally review all their standards and the decision was made um that 20 uh 27,0001 was needed to be updated um and they seek to make uh updates based on new and emerging technologies where there are changes in um uh the way standards are used, the way standards are are are managed as well. And two of the biggest um outputs of this was a restructuring of the clauses. Um so for those who are perhaps less familiar, 27,000 split across two two main sections. One is the governance leadership management section of of what they call ISMS and then the second part is what they used to call annexa which is where all the technical controls organizational controls um are identified and the selection of which controls to meet the organization’s um use case and business cases. So there’s a restructuring of these clauses and they split them across what they’re called four control areas organizational people physical and technological based controls. So from an organizational con uh perspective areas in terms of uh access business continuity um uh and uh incident management and response, people in terms of background checks, uh personnel training um and on boarding. Obviously, physical controls in terms of physical protection of information systems um and then technological controls um particularly around from a data security perspective. So backup and encryption um addressing malware, addressing vulnerability and threat management. Secondly, and perhaps more interesting uh it developed these three areas it calls operational capability control types and cyber security con concepts and these are areas that I think are quite relevant particularly with regards to some of the areas we’re covering today around identifying key controls and identifying or how we can how we can use the standard from a a KPI ki perspective but broadly speaking these have been identified and are are useful in helping an organization plan for and implement the controls to address the security risks that they’ve identified through the riskmanagement process. Um, and these are attributes uh that have been developed throughout um the framework and are are are developed in more depth around 27,0002. But as we’ll see as we go along um later today um they can provide some useful indicators of trending and trend analysis and where critical controls can be identified and derived as well.

Sophie: Y Thomas, eso es muy interesante en lo que respecta a la reestructuración. ¿Dirías que esa división en cuatro áreas de control, en lugar de dos, hace que sea más aplicable a algunas de estas organizaciones? Has dicho que se ha adoptado ampliamente. ¿Eso hace que sea más fácil para una organización adherirse a estas normas con esa división ahora en el control?

Thomas: Bueno, se puede hacer de muchas maneras. Sí. Quiero decir, como he dicho, sí, ya sabes, independientemente de si eres una gran empresa de software, una pequeña agencia de publicidad, una empresa del sector manufacturero o de un sector completamente diferente. El hecho de que ahora haya una reestructuración, es importante señalar que aproximadamente entre el 90 y el 95 % de los controles siguen siendo los mismos que en el antiguo marco de 27 000. Pero sí, el hecho de que ahora se hayan reorganizado y, en particular, con el uso de cosas como estas capacidades operativas, puede facilitar a las empresas decir: «Bueno, ¿qué es lo que nos importa?». Y cuando pensamos en los riesgos que has identificado, ¿cómo podemos analizar el conjunto de controles más adecuado, ya sea desde una perspectiva de gobernanza organizativa o desde una perspectiva técnica, por ejemplo?

Sophie: Sí, por supuesto. Gracias.

Thomas: Solo quiero comentar esta sección. Eh... esto es ahora que eso ha aumentado ligeramente, especialmente desde una perspectiva de 27 0002. Siempre ha habido un caso en las iteraciones anteriores de 27,01 y es, incluso, la norma original en torno a la gestión de terceros, proveedores y cadena de suministro, y vale la pena señalar que, incluso ahora, establece los mismos requisitos para gestionar la seguridad de la información en toda la cadena de suministro, ya sea en lo que respecta a cómo identificamos los riesgos de seguridad de la información en nuestra base de terceros. Cómo abordamos esos riesgos de seguridad mediante la aplicación de controles, especialmente en lo que respecta a los acuerdos y contratos con proveedores, y lo que queremos captar en términos de lo que nos proporcionan nuestros terceros. Pensando en la cadena de suministro en general. Um, así que cuando hay, digamos, un cuarto, quinto o incluso más abajo en la cadena de suministro, y hay una serie de organizaciones, la consideración de cómo, a través de nuestros acuerdos con terceros, por ejemplo, podemos hacer cumplir o al menos preguntar sobre los controles de seguridad pertinentes, es importante para nosotros. Y luego, por supuesto , la supervisión, la revisión y la gestión del cambio cuando hay cambios en las actividades y servicios de los proveedores, la supervisión del rendimiento a través de revisiones de rendimiento, auditorías, auditorías in situ y remotas, um, y así sucesivamente. Lo que es bastante interesante aquí, y uno de los cambios cuando se observan en particular los números uno y dos, es la ampliación de la descripción a través de 27 0002, que no es muy diferente de otras normas como la NIST 800161 para cualquiera que conozca ese marco. Así pues, el marco de gestión de riesgos de la cadena de suministro de ciberseguridad abarca todo el proceso de gestión de la cadena de suministro y la base de terceros. Desde la identificación de terceros hasta los acuerdos de salida y el establecimiento de acuerdos y contratos con proveedores. Y esto puede ser bastante clave, especialmente cuando se analizan algunas de esas capacidades operativas, tipos de control y conceptos de ciberseguridad, porque cuando pensamos en cómo podemos aplicar la norma 27001 cuando construimos esas relaciones con terceros y ese modelo de ciclo de vida de terceros. Esto proporciona un impulso fundamental para pensar bien cómo pasar de los riesgos que hemos identificado a lo que debemos tener en cuenta desde el punto de vista de los acuerdos, ya sea la notificación de violaciones de datos y la respuesta instantánea y la continuidad, o aplicaciones más técnicas en torno al control de acceso, por ejemplo, basadas en cómo los terceros pueden manejar y acceder a los datos o la información o los sistemas relacionados. Esto se mantiene en gran medida con respecto a la versión anterior. Pero se hace mucho más hincapié en la aplicación de la cadena de suministro, y esto se ha ampliado a nuevos controles en torno a la consideración de los servicios en la nube, dado que la nube se está volviendo mucho más común entre muchas organizaciones y entidades. Thomas, solo una pregunta rápida mientras avanzamos en esta diapositiva y que toca una cuestión en la sección de preguntas y respuestas que creo que es bastante relevante para lo que acabas de comentar.

Sophie: Es más evidente en la nube y tenemos más trabajadores remotos. Tenemos mucho más control en términos de requisitos de control en cuanto a la gestión del acceso. Una de las preguntas que se han planteado es: ¿hasta qué punto son aplicables los controles físicos en esta era del trabajo remoto? ¿Cuánto control tiene realmente una organización cuando el personal trabaja de forma remota? Es

Thomas: Muy buena pregunta, muy oportuna, y sí, tienes toda la razón. Hay que fijarse en los últimos dos o tres años en lo que respecta a esta explosión del teletrabajo, hasta el punto de que las empresas siguen debatiendo la relevancia de disponer de un espacio físico de oficinas. Lo interesante de la nueva norma es que, incluso en lo que respecta a la terminología, han ampliado algunos de los términos y casos de uso de los dispositivos de los usuarios finales y la gestión de dichos dispositivos, por ejemplo. Se trata de una mayor consideración sobre el uso de controles para proteger los activos de la organización, pero también los dispositivos basados en BYOD, así como el concepto de trabajo remoto y trabajo desde casa. Siempre es importante tener en cuenta que, en particular con las normas ISO, nunca llegarán a una etapa en la que mencionen específicamente tecnologías o aplicaciones, porque es universal independientemente de la geografía, el país y la industria. Pero hay una mayor aceptación en el marco de cómo se gestiona desde el punto de vista del personal, cómo se gestiona desde el punto de vista de los dispositivos móviles, especialmente, como usted dice, dado que hay mucho más trabajo a distancia y también tenemos nuestros propios sistemas y activos. Todavía hay seguridad física dentro de la evaluación que afecta a algunas de las áreas comunes. ¿Cómo se protegen los activos sensibles? ¿Cómo se protegen si se tienen áreas de trabajo sensibles? Supongo que lo que es más pertinente aquí es cómo se pueden tomar algunos de esos controles existentes y aplicarlos en un entorno doméstico. Así que, aunque tradicionalmente se hablaría de salas de servidores en un espacio de oficina, obviamente no es tan aplicable si se trabaja desde casa. Por lo tanto, se trata de ver cómo podemos aplicar los mismos conceptos desde una solución de trabajo desde casa. ¿Existen controles que las organizaciones puedan pedir a los empleados que implementen en torno a la forma en que protegen sus activos? ¿Trabajan en áreas en las que pueden estar expuestos desde una perspectiva pública? ¿Trabajan en áreas con puertas cerradas, áreas cerradas? Además de los aspectos tecnológicos de los ordenadores portátiles, teléfonos y tabletas con los que trabajan.

Sophie: Sí.

Thomas: De acuerdo.

Sophie: Gracias.

Thomas: Um, pasemos a relacionar esas prácticas de TPR con un ISMS. Ahora bien, creo que, en un sentido bastante amplio, tenemos varias áreas diferentes que considerar. Um, um, obviamente, pensando desde el principio en términos de ¿cómo identificamos a nuestros terceros? ¿Cómo los identificamos a partir de un perfil y una clasificación? ¿Cómo los clasificamos en categorías relevantes según su importancia (alta, media, baja o crítica) o según su nivel (nivel 1, nivel 2, nivel 3) y cómo entendemos cuáles son los riesgos cuando tratamos con nuestros terceros? Aquí es donde los diferentes aspectos de la norma 27 000 encajan muy bien. Podemos ver la cláusula 5.1, 6.1, 6.2 y 6.3, y esto es lo que la ISO considera la estructura de alto nivel de su SGSI, y estas son áreas que se centran en la alta dirección de una organización, la planificación y la identificación de los recursos y las funciones y responsabilidades de asignación de recursos, así como un enfoque de riesgo muy bien definido en términos de identificación y gestión del riesgo en términos de revisiones, evaluaciones, documentación, propiedad y hasta el tratamiento del riesgo. Y además de eso, la cláusula 5.19, que es uno de los controles de seguridad que hemos mencionado brevemente antes, la seguridad de la información y la relación de suministro, combinadas, estas áreas pueden ayudar en el proceso de decir: ¿cómo identificamos lo que están haciendo nuestros terceros? ¿Tenemos los recursos necesarios en la organización para ayudar a interactuar con terceros y empezar a identificar el nivel de servicio que nos están proporcionando? Pero luego, al aplicar esa IS- 27,0001, la interpretación de la gestión de riesgos para empezar a pensar si ya sabemos lo que nos proporcionan los terceros en términos de producto y nivel de servicio de datos sensibles en los sistemas de información, podemos empezar a trabajar a partir de las cláusulas 61, 612 y 613, el nivel de impacto de una pérdida de confidencialidad, integridad y disponibilidad, de modo que una pérdida de esas áreas de información podría aplicarse a nosotros o podría causarnos daños. Um, así que hay una mezcla de requisitos estructurales de alto nivel, así como, um, llamémoslos controles del anexo A, um, que ya pueden ayudar a empezar a trazar un mapa de esas actividades de identificación de terceros y a comprender cuál es nuestro riesgo.

Thomas: Entonces pensamos en cómo abordar la seguridad en esos acuerdos con terceros, prestando atención a la cadena de suministro y, de nuevo, 519 20 y 21, como vimos en la diapositiva anterior, se centran en esas consideraciones en los acuerdos con los proveedores, y lo que 27,02 hace muy bien es que ya empieza a ofrecer sugerencias en cuanto a las áreas que se deben tener en cuenta. Entonces, ¿debemos pensar en la gestión de datos, la notificación de violaciones de datos? ¿Debemos pensar en el control instantáneo y la continuidad del negocio? ¿Debemos pensar en áreas relacionadas con el acceso y el uso aceptable de los activos, por ejemplo, así como en la seguridad física cuando sea apropiado? Y, de nuevo, a través de estos tres controles técnicos, ya podemos empezar a hacernos una idea de lo que podríamos querer tener en cuenta a la hora de elaborar un acuerdo o contrato con terceros. Entonces llegamos a la fase en la que hemos clasificado a los terceros en, digamos, varios niveles. Sabemos el tipo de riesgos en los que debemos centrarnos o que preocupan a la empresa o al sector. Estoy pensando en la visión más amplia que tiene la industria sobre los terceros y los riesgos que estos suponen. Deben pensar en cómo vamos a evaluar ahora a estos terceros. Y aquí es donde pueden entrar en juego estos controles anexos, desde los organizativos hasta los técnicos. Ya sea de forma global o solo como un subconjunto de controles basados en esos riesgos, en función de los acuerdos con terceros y de lo que intentamos conseguir. Así que se puede tomar la norma 27001, independientemente de si se está certificando o simplemente se utiliza como marco de buenas prácticas para luego crear una evaluación con la que evaluar o auditar o revisar a sus proveedores. Y, obviamente, el objetivo aquí es, a través de ese enfoque de gestión de riesgos, ayudar a identificar qué controles son más críticos para nosotros. Y, de nuevo, esa es un área a la que llegaremos en términos de ¿cómo podemos identificar los controles clave? ¿Cuáles son quizás algunos de los controles clave más impactantes que deberíamos considerar en general o más si se busca más específicamente lo que nos proporcionan los terceros?

Thomas: Y finalmente, hemos llegado a la etapa en la que hemos identificado a nuestros terceros. Tenemos acuerdos formales. Los hemos evaluado. Estamos realizando evaluaciones semestrales, trimestrales y anuales. Esa etapa final de cómo se lleva a cabo ese monitoreo continuo, esa revisión continua de esos terceros. Y, de nuevo, la sección 522 o el control 522 aborda los detalles sobre cómo podemos y cómo debemos supervisar a nuestros terceros y también a nuestra cadena de suministro en general. Así que podemos ver una combinación de controles de estructura de alto nivel en 27,01, así como controles técnicos más anexos en torno a la gestión de terceros y de la cadena de suministro o la gestión de riesgos de la cadena de suministro. Brevemente, voy a abordar estas tres áreas con un poco más de profundidad, en particular en torno a estos nuevos conceptos. Cuando nos fijamos en el aspecto del liderazgo de la estructura de alto nivel, en términos generales, se pide a las organizaciones que definan políticas de seguridad, establezcan objetivos y, en particular, garanticen que los recursos se gestionan y planifican y que las funciones están claramente establecidas, tanto en términos de gestión de actividades de seguridad como de línea de información a la alta dirección, la dirección superior y cualquier otra parte interesada crítica. Utilizando ese enfoque de gobernanza del curso 5.1 de la norma, en este caso. Y, de nuevo, si nos fijamos en ese control 519, estos dos combinados pueden empezar a ayudar a construir ese proceso de cadena de suministro y ese estudio de caso en términos de cómo vamos a supervisar y gestionar a nuestros proveedores y pensar en ello, aunque se centra en la política de seguridad, la política de riesgo de la cadena de suministro más amplia y el uso del núcleo 61 para construir esa gestión de riesgos, un ciclo de vida puede ayudar a establecer, ya sabes, cómo podemos entender e identificar cuáles son esos riesgos de terceros, si sonson riesgos técnicos, si son riesgos basados en, por ejemplo, preocupaciones de la industria y el sector, o también en otras áreas, y como se ha mencionado, una de las fortalezas de la norma 2701 es el hecho de que entra en mucho detalle en torno a pensar en establecer esos criterios de riesgo y esos procesos para identificar, analizar, evaluar y tratar los riesgos de seguridad.

Thomas: Um, utilizando especialmente enfoques muy conocidos, como la probabilidad y el impacto, para otorgar un cierto nivel de puntuación y calificación del riesgo. Um, pero además de pensar en los detalles sobre cómo tratamos esos riesgos y, basándonos en esas puntuaciones generales de riesgo y en los riesgos más críticos, qué queremos mitigar frente a evitar aceptar um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um o um Como hemos mencionado, 27 000 profundiza bastante en las consideraciones que debemos tener en cuenta en lo que respecta a los acuerdos con terceros. Una vez identificados los riesgos y conocidos esos terceros y servicios, podemos empezar a pensar en lo que más nos preocupa. Podría basarse en lo que hacen los terceros, el tipo de datos a los que se accede, los niveles de clasificación o sensibilidad de esos datos queutilizan, si conservan los nuestros o si estamos adquiriendo algún tipo de sistemas de información y infraestructura de información que puedan contener ese tipo de datos sensibles y, de ser así, si esto supone un riesgo crítico para nosotros, los requisitos de personal basados en cuántas personas y qué personas, y en particular si hay contratistas además de empleados a tiempo completo. ¿Hay algún requisito que debamos tener en cuenta e incorporar en los contratos en relación con la selección y la verificación de antecedentes del personal, los niveles de formación y los tipos de formación que se imparten? ¿Hay algo más en torno a las amenazas más comunes que hemos visto en los últimos dos o tres años en torno a los ataques basados en phishing y ransomware y cómo pueden responder los empleados a eso, por ejemplo, así como el uso aceptable y el uso aceptable de los activos de datos y los activos de información? Así, al identificar esas preocupaciones más importantes, podemos empezar a reconstruir, basándonos en esas cuatro áreas de control de la organización (personal, física y tecnológica), lo que es más importante para nosotros y cómo podemos extraer de los 90 , 93 y 94 controles que se recogen en esas cuatro áreas de control.

Thomas: ¿Queremos cubrir todo lo que en algunos casos puede ser relevante, especialmente teniendo en cuenta las organizaciones más complejas y los terceros más complejos, tal vez basándonos en el tarado y en la naturaleza de lo que proporcionan? Puede que exista una necesidad real de adoptar una visión global de la seguridad de la información que abarque esas cuatro áreas de control. Puede basarse en el nivel de tarado que se ha aplicado al tercero o en la naturaleza de lo que ofrecen como producto o servicio, que son áreas menos críticas. El control físico, por ejemplo, basado en... Si una organización no tiene acceso a información y datos confidenciales, ¿nos preocupan algunos de los controles físicos que pueda tener esa organización? En particular, si todavía tienen un nivel de espacio de oficina o si alquilan espacio de oficina, por ejemplo, ¿qué importancia tienen esos controles físicos para que comprendamos una buena postura de seguridad para esa organización? Puede que haya algunos controles que siempre sean obligatorios, dada la naturaleza de lo que nos proporciona ese tercero. Así que hay que empezar a unir las piezas de cuáles son esos riesgos. El nivel de visibilidad de lo que nos proporcionan los terceros y el tipo de servicios que prestan, y luego empezar a encajar las piezas. ¿Cuántos de esos controles nos preocupan realmente y queremos evaluar a nuestros terceros en función de ellos?

Sophie: Thomas, en lo que respecta a la evaluación de terceros que acabas de mencionar, obviamente podemos depender de ti, ya que la importancia y los tipos de servicios, entre otros factores, determinarán naturalmente el nivel o los tipos de evaluación. Una pregunta que se ha planteado y que resulta bastante interesante es cuál es el enfoque de la reestructuración de la ISO con respecto a la continuidad del negocio y la recuperación ante desastres, y qué controles clave se asignan al TPRM.

Thomas: Sí, eso es interesante, sí, así que... um... entonces la continuidad sigue existiendo en el marco y en torno a los controles organizativos... um... Creo que lo he mencionado más adelante en las evaluaciones de calificación. Lo analizaremos con más detalle. Pero sí, cuando nos fijamos en concreto en el 27.02, hay una mayor presión para decir que, especialmente en términos de actividades de recuperación, es necesario que haya un vínculo entre, obviamente, las actividades de los proveedores y los servicios que prestan. Pero hay que tener en cuenta el nivel de esfuerzo de continuidad y la relación que se tiene con el proveedor, especialmente en lo que respecta a esos acuerdos y a la imposición de algunas de esas áreas de control. Así que hay temas que hay que tener en cuenta en relación con la seguridad de la información y la continuidad del negocio, el desarrollo de programas de continuidad y recuperación ante desastres , y la prueba de esos programas. Y, de nuevo, es en las pruebas donde se hace un poco más de hincapié en que, cuando se realizan pruebas, no se hace de forma aislada, sino que se prueba con los proveedores si es necesario, ya sabes, cuando sea apropiado y cuando sea necesario. Por lo tanto, hay que involucrar a los proveedores críticos para asegurarse de que, si sus sistemas fallan o si hay un problema, existe un nivel de interrelación entre lo que los proveedores deben hacer por usted y lo que usted debe hacer por ellos. Por lo tanto, hay dos aspectos. Uno desde el punto de vista de su propia organización en cuanto a la gestión de la continuidad, pero también preguntar específicamente a los proveedores: ¿cuáles son sus esfuerzos de recuperación?

Sophie: Sí.

Thomas: ¿Y cómo nos lo puede demostrar? A través de programas de pruebas, a través de puntos clave de comunicación, por ejemplo, funciones y responsabilidades clave. Me refiero a que una de las áreas interesantes que, de nuevo, se está volviendo más común es, como puede que haya mencionado antes, cuando se trata de contratos, el incumplimiento y la notificación de incumplimiento no existe. El 27-02 lo destaca bastante y es un buen ejemplo, de modo que si nos encontramos con la desafortunada situación de que un proveedor sufre una violación de datos, ¿hemos capturado en el acuerdo y a través de la forma en que evaluamos a nuestro proveedor cómo nos responden sobre la naturaleza de la violación y qué han hecho para recuperarse y volver a la normalidad? Porque, obviamente, si eso no se recoge ahí y si me falta ese enlace, entonces, como sabemos, el riesgo puede aumentar considerablemente, sobre todo cuando empiezan a intervenir los reguladores y las fuerzas del orden.

Sophie: Por supuesto.

Thomas: Finally, monitoring, review, and reevaluate. So, sending out the third party assessment of course is only the beginning. What should we be doing? Um obviously, when the results come back and this is worth touching on these three c these three aspects of operational capabilities, control types and cyber security concepts um for anyone who’s um familiar with NIST particularly um the the cyber security concepts or yeah the concepts will be um uh very familiar because these follow on um uh based on NIST and NIST CSF cyber security framework. So these five areas around identifi identify protect detect respond and recover based controls basically controls that can help organize your cyber security activities. We’re thinking out OC operational capabilities. These are attributes and this is where we find a greater volume um of of of attributes is around operational capability and one of the key purposes here is to help assessors practitioners of the framework when planning and delivering a management system and then control types. So how controls can help modify risks particularly where information security incidents occur uh and these split across preventative, detective and corrective based controls. So that is to say controls that should be in place to help prevent the occurrence of a security incident. Controls that are used to help detect vulnerabilities and weaknesses and when a security incident may occur. And then there’s corrective controls, what what is being put in place and what controls do we need to put in place post incident to to get back to usual. So again, and thinking about some of the um uh uh uh uh controls from a from a continuity perspective. Um and so we can see on the screen three examples. So from an operational capability perspective, let’s look at information protection. And so looking at the 9394 controls set out across the standard, uh there are several that are labeled with this concept of information protection. And we can see a few examples here from protection against malware, classifying information labeling information, protecting records, privacy and protection of of personal information and endpoint devices. And so because this is is is meant to be an aid to help assessor and practitioners where it can be most useful is certainly at that um at that end of the process where we’re receiving risks back from our third parties. Um and let’s say we’re receiving 30 40 50 60 risks back and we’re now at the stage of saying well how do we What do we do with these? What do we man? How do we manage these? We may have our risk scores of critical high, medium, and low or or another similar process. But if we’re already identifying capabilities that are relevant to us, for example, data security, information protection, we can then obviously group risks as well to say, well, how many risks are associated with information protection and protection based controls? Can we start to see some trending here based on the type of controls that third parties um that that we’re receiving from third parties based on their 27,000 to1 assessment or or the way they’ve carried out the assessment. Um in a similar vein um by by categorizing controls based on say preventive, detective or corrective controls and as you can see here corrective controls, instant management planning, instant response, readiness for continuity, disciplinary process where there’s been a breach of of of corporate policy and security policy um and information back up. And again, if we can start to see there’s a larger volume of risks around um um these particular controls, that may help to shape our view of how do we approach these um not necessarily in isolation, but together particularly if you’re seeing there’s there’s there’s a trend between um multiple organizations or third parties um and risks in similar similar areas. And then in terms of cyber security concepts, so controls uh used in identifying um um good practice identifying security requirements for the supplier based uh aspects threat intelligence and engaging with um um um threat intelligence based organizations and how we invent inventory our information and other assets. So it can be used at the tail end in terms of how do we manage and and and bucket our risks if you will. It’s also worth thinking about when we’re looking at identifying key controls as well. If we know that there are capabil that we’re quite concerned about. They’re important to us based on our risks based whether it may be um uh sort of threat and vulnerability management or data security or the protection of information um or other areas. This can then help make it easier to say which controls are important to us and thinking about those 94 um which ones uh can we already do we already know uh are applicable to these type of third parties. And this can then make it so much easier when we’re starting to plan Do we need to give all 94 controls to this third party, this tier one or tier 2 organization, or can we give a subset based on capabilities important to us as a business and based on some of the security concepts um that maybe over time we’re seeing are more of a concern. Um if we feel for example that there are third parties we’re concerned more about the recovery and recovery efforts, let’s look at those controls under the banner of recovery and recover in terms of cyber concepts and perhaps we can use them as focused assessments and focused audits when engaging with our third parties. So it gives a lot more capability and really opens up the framework um um to give a lot more thought around which are the controls that are right for us at this time and then when risks occur and when risks are apparent to us through the assessment and assessment results. Uh how can we categorize these um and I say are there any trends um that are coming up that perhaps for a lot of have not been aware of um that are new to us that we can pay attention to particularly when engaging with the third parties or at least explaining from an executive and top management perspective as well. So impactful key controls. So as indicated with 94 controls there are many controls that will see multiple risk scenarios and considerations for risk treatment. Um and so thinking about those um uh uh uh uh cyber security concepts, if we can start to align the risks to controls that will help protect those assets, detect threats and vulnerabilities or provide a level of response and recovery. All this can help determine what for us is key particular when we’re looking at um how we monitor and analyze um the effectiveness of control requirements. Now generally speaking um as as as stated from the beginning. You know, this is a standard that’s open to any organization in the world regardless of industry and sector. So, it can be sometimes can be quite difficult to work out are there always controls that any organization regardless of size and complexity will will will need to adhere to or are recommended. Um, in general, yes, there always can be some controls that we find um almost all organizations or 99% of organizations should have in their back pocket. So, whether it’s areas concerning good access management and access controls. Um anything to do with managing a critical information system or critical data. Naturally, you want to be concerned about are they good practices in how they manage privileged access rights and access reviews and assigning and revoking access. Data backup and data recovery. Again, anything to do with proprietary information, intellectual property, personal information, uh having clear processes to to back up and recover. Um should the un unfortunate happen. Um again, these are also controls um that we’d find most companies um will be dealing with. And of course, we’ve briefly touched on it today around continuity as well. Um regardless of whether you are um a oneperson band, a mom and pop shop um um or whether you’re a a 10,000 employee multinational organization, there will always be a need to having a level of continuity um of covery and incident response as well. Obviously, will look very different depending on the type of organization but gives you a idea that there will always be some controls um in in standards like 27,01 that we can apply across the board.

Thomas: Dicho esto, sigue siendo importante reconocer el hecho de que, en gran medida, todo esto se reduce a cómo desarrollamos y comprendemos nuestro riesgo, el riesgo de nuestros terceros y nuestros proveedores, y cómo lo entendemos, en particular a través de esas capacidades operativas. Por ejemplo, ¿cuáles son las más importantes para nosotros? Y, obviamente, cuanto más precisos seamos y más profundidad aportemos a las actividades de gestión de riesgos y realmente determinemos lo que nos preocupa, lo que nos quita el sueño, realmente puede ayudarnos a empezar a reforzar los controles en los que debemos centrarnos, ya sea a corto plazo, durante los próximos 12 meses, o a largo plazo, porque sabemos que se trata de riesgos a largo plazo y riesgos que quizá nunca desaparezcan, en lugar de otros que quizá sean más reaccionarios. Bien, en cuanto a cuáles son los controles clave más impactantes, los controles clave en los que hay que pensar en términos de si nuestros terceros están aplicando las mejores prácticas, son armas de doble filo, hay algunos, pero depende en gran medida de lo que los terceros estén haciendo por ti. Pero, como digo, áreas generales en torno a la gestión de accesos, el control de accesos, la copia de seguridad de datos, la seguridad de los datos, la continuidad y la respuesta y recuperación ante incidentes y, por supuesto, la cadena de suministro. Así que esos cuatro controles que has cubierto, del 519 al 5, del 20 al 22, en torno a la gestión de la cadena de suministro y la seguridad de la cadena de suministro. Siempre recomendaría que esos son buenos controles con los que empezar, especialmente con lo que se ha dicho sobre el control de la cadena de suministro. Ayuda a sentar las bases para comprender realmente qué estamos pidiendo a los terceros que hagan por nosotros. ¿Qué necesitamos que cumplan y que nos demuestren que cumplen, que tienen buenas prácticas basadas en el producto y el servicio que suministran?

Scott: Eh, adelante.

Thomas: Creo que son relevantes en términos de... Sé que estás analizando ese tipo de controles clave y supongo que cómo se aplica eso en términos de lo que se considera crítico dependiendo del servicio, pero creo que muchos de nuestros oyentes en las llamadas de hoy probablemente estarán de acuerdo con esto en lo que respecta a algunas de esas grandes organizaciones como Google, Microsoft, AWSdel mundo, que normalmente podrían tener algún tipo de prueba de preparación para respaldar esas asignaciones y supervisiones de controles clave. ¿Existe la expectativa de que esos grandes proveedores proporcionen pruebas de preparación para que cada uno de sus clientes no tenga que realizar pruebas continuamente? ¿O se trata de un caso en el que la norma no se dirige necesariamente a algunas de esas organizaciones específicas y es una norma que cualquier organización puede adoptar?

Thomas: Bueno, en primer lugar, sí, es una norma que cualquiera puede adoptar. Curiosamente, si nos fijamos en áreas como, por ejemplo, Amazon y Microsoft, especialmente en lo que respecta a sus centros de datos y sus operaciones en la nube. Microsoft, en particular, es un buen ejemplo, ya que lleva años contando con múltiples certificaciones ISO y creo que incluso forma parte de algunos de los comités que desarrollan los marcos. Así que hay mucho reconocimiento por parte de esas grandes organizaciones de la importancia de estas normas y tienes toda la razón cuando vemos que estas empresas suelen tener, ya sabes, cuatro, cinco, seis, tendrán marcos ISO,, evaluaciones SOC 2, PCIDSS y, según la naturaleza de la organización, pueden tener otros marcos diferentes. Por lo tanto, es muy común que impongan su paquete predeterminado de controles de ciberseguridad y privacidad de datos, yEs muy común. Una de las razones por las que creo que es así es porque tienen tantas auditorías a nivel mundial a través de los reguladores, a través de los clientes, a través de otras agencias, que responder a cada negocio individual sería... simplemente dirían que no, que no pueden hacerlo. Así que es una práctica común. Hay ciertas cosas que siempre se pueden hacer para asegurarse de que, de todos modos, están aplicando algunas buenas prácticas. Sin duda, tener visibilidad de las certificaciones más actualizadas es un nivel de tranquilidad. La dificultad que veo a veces con las certificaciones y las normas. Sí, puedes recibir una copia de un certificado ISO, por ejemplo, y otros certificados, y eso te dirá las ubicaciones y el alcance de lo que se está aplicando. Así, puedes tener cierta tranquilidad al saber que, si han sido certificados por una organización independiente, siempre habrá algunos controles que mencioné antes en torno al acceso, la seguridad de los datos y la continuidad, por ejemplo, que deberían estar implementados, ya que se trata de controles que nunca se excluirán de ningún negocio. De este modo, si se produjera un incidente grave en un centro de datos de Amazon, por ejemplo, como parte de su configuración en la nube, cabría esperar que contaran con una actividad de continuidad y recuperación muy bien ejecutada o con una transferencia entre sistemas. Así que sí, en las grandes organizaciones a veces puede ser un reto, especialmente obtener información concreta si se está tratando de realizar una evaluación sobre ellas. Pero es habitual que muchas de ellas tengan declaraciones predeterminadas sobre conceptos de seguridad y privacidad. Tanto disponibles públicamente como bajo petición, pero sí, de nuevo, eso representa en cierto modo lo universales que son las normas ISO en cuanto a la complejidad de las organizaciones que las utilizan.

Scott: Sí, por supuesto. Una pregunta rápida: ¿facilita la norma ISO 27k de alguna manera la integración de la gestión de riesgos con otras familias de riesgos? Ya sabes, financieros, reputacionales, etc.

Thomas: Bueno, aparte del 27, hay otros marcos, el más reconocido como estándar es quizás el ISO 31000, que es un estándar de gestión de riesgos no muy diferente del marco de gestión de riesgos del NIST. Es universal en el sentido de que no se centra en la privacidad o la seguridad, ni en otros aspectos concretos, como los riesgos empresariales y estratégicos. Por lo tanto, tienen estándares que se pueden utilizar de manera generalizada, especialmente si se está tratando de integrar, lo cual es importante. Y cuando se observa parte del lenguaje utilizado, por ejemplo, en la norma 27001 frente a la norma ISO 31000, se aprecia una gran similitud. De hecho, la norma 27 hace referencia a la 31K en ese sentido. Por lo tanto, cuentan con algunos marcos universales de gestión de riesgos que se pueden aplicar desde una perspectiva estratégica empresarial, financiera, medioambiental o cualquier otra vía de riesgo.

Scott: Perfecto. Gracias.

Thomas: Entonces, con el volumen de controles disponibles en toda la norma 27 000, ¿cuáles son los más críticos? Como digo, puede resultar difícil identificarlos. Tenemos algunos ejemplos aquí. Si pensamos en la sensibilidad o en el acceso y el tratamiento de datos críticos sensibles, aquí es donde podemos pensar en qué controles de protección y protección podemos aprovechar del marco. Los controles relacionados con el acceso y la autenticación, la protección de datos, el cifrado y los métodos DLP para el trabajo remoto y la seguridad de los entornos de trabajo remoto y los dispositivos finales, y la protección contra el malware. La norma 27 0001 incluye algunos controles técnicos que abordan todos estos conceptos. Si sabemos que nos preocupa el acceso de terceros a datos sensibles y críticos, ya podemos empezar a crear el programa basándonos en cómo se agrupan los controles basados en la protección en el marco. Esto puede ayudar a determinar más fácilmente dónde necesitamos visibilidad y validación de que este tipo de controles están en marcha. Del mismo modo, si nos fijamos en la seguridad de los sistemas de información críticos y en la naturaleza de lo que hay en estos sistemas, queremos algunos controles basados en la protección. También se desea el nivel de controles basados en la recuperación. Entonces, ¿cómo se cita y protege este equipo? Um, de nuevo, aún más pertinente ahora, como discutimos anteriormente en términos de este concepto de más trabajo desde casa, trabajo remoto, um, uh, uh, estilo de vida laboral. Um, ¿cómo se protegen esos sistemas que pueden estar accediendo a información altamente sensible, cómo se protegen um, um, del espacio físico, um, uh? La gestión de la capacidad de esos sistemas y cómo se están estableciendo las previsiones, la planificación y los umbrales de gestión de la capacidad, la copia de seguridad de la información y la redundancia en caso de que esos sistemas, si esos sistemas de información críticos fallan, qué nivel de redundancia se ha establecido. ¿Estamos hablando de áreas quizás más tradicionales en las que todavía puede haber salas de servidores y centros de datos y centros de datos de respaldo, o se trata de algo más en términos de nivel de redundancia?

Thomas: Bueno, naturalmente siempre habrá solapamientos entre los diferentes controles, y habrá controles cuando pensemos en sistemas de información críticos que podríamos tomar de, eh, preocupaciones en torno a, eh, datos sensibles o críticos y también a la gestión de datos. Pero esto nos da una indicación de dónde podríamos empezar a basarnos en estos conceptos, en estos temas. Así que identifiquemos los controles basados en la protección, los controles basados en la protección de la información que pueden empezar a conformar lo que queremos impulsar como controles clave, controles obligatorios que esperamos que implementen los terceros. Entonces pasamos a... Bueno, tenemos un programa con criterios establecidos de evaluación. Estamos lanzando evaluaciones a nuestros terceros. Entonces, ¿qué más debemos tener en cuenta? Obviamente, cuando pensamos en KISS, los indicadores de riesgo K, debemos pensar en nuestro panorama de riesgo más amplio. En este caso, puede tratarse de la gestión de terceros y el nivel de riesgo que ello conlleva. Es importante asegurarnos de que estamos desarrollando indicadores basados, obviamente, en ese tipo de riesgos y áreas de riesgo que la organización ha decidido que son importantes y que es imprescindible supervisar, ya sean áreas relacionadas con, por ejemplo, la detección de malware, la violación de datos, la respuesta a violaciones de datos y amenazas a la cadena de suministro, ransomware, phishing y otras áreas críticas. Así pues, esas áreas críticas relacionadas con, por ejemplo, la pérdida de datos, la susceptibilidad de la cadena de suministro al ransomware, otros objetivos específicos... Por supuesto, desarrollar una evaluación utilizando una norma como la 27 000 puede ayudar a enmarcar esos controles de buenas prácticas para obtener ese nivel de garantía de que los terceros mantienen esa buena postura de seguridad que, por ejemplo, requiere el manejo de datos críticos sensibles y sistemas de información. Um, así que cuando pensamos en um, eh, qué riesgos son críticos para nosotros y cuáles consideramos que son los más altos um o los más preocupantes, pensar en cómo aplicamos diferentes controles ISO para ayudar a um obtener esa validez y validación y visibilidad de terceros de que están aplicando las mejores prácticas um es, obviamente, un paso para poder tener esa declaración y empezar a tomar esas decisiones.

Thomas: Entonces, pensando en el registro de eventos, la protección contra malware, la concienciación sobre seguridad y la formación en materia de seguridad, la seguridad durante las interrupciones y los incidentes de información, los niveles de criptografía aplicados, los puntos de control de seguridad de la información de la cadena de suministro y muchos otros controles que podrían ayudar a tratar y responder a esos riesgos y abordar esos riesgos potenciales. Obviamente, gestionar los riesgos de los proveedores durante 6, 12, 18 meses o periodos de tiempo más largos. Los riesgos clave que hemos identificado pueden cambiar, ya sean riesgos nuevos, riesgos nuevos y emergentes o tendencias entre los proveedores, especialmente en lo que respecta a la falta de adopción de buenas prácticas de seguridad o de una buena higiene de seguridad. Por lo tanto, observar esas mejoras continuas en la reducción de los riesgos o, en algunos casos, en su persistencia con terceros, sobre una base anual, puede ayudar a proporcionar esa garantía o visibilidad, en particular a la alta dirección, para asegurarse de que esos riesgos se gestionan de manera oportuna. Por lo tanto, hay que empezar a analizar cómo aplicamos los indicadores basándonos en cuáles son nuestros mayores riesgos y nuestras áreas de mayor riesgo, y cómo esos riesgos están aumentando con el tiempo o mediante la aplicación de evaluaciones de garantía de auditoría y controles de seguridad. ¿Estamos demostrando que esas áreas de riesgo están empezando a reducirse o tenemos más confianza en que, si se produce un riesgo, existe un control suficiente para proteger, detectar, responder y recuperarse, por ejemplo? En segundo lugar, obviamente, cuando se piensa en los indicadores clave de rendimiento y en el uso de la norma 27001 para reducir el riesgo de los proveedores, se empieza a identificar los controles clave que mejor abordarán esos riesgos de terceros. Así que tal vez haya que fijarse en las calificaciones generales de seguridad de los proveedores a un nivel superior. Hemos identificado y clasificado a los proveedores en varios niveles y grupos, y sabemos dónde se encuentran nuestros riesgos más críticos. Entonces, ¿cuáles podemos llevar a una etapa en la que podamos identificar a nuestros proveedores de mayor riesgo, supervisando esas calificaciones generales de riesgo de los proveedores a lo largo del tiempo y el tiempo que se tarda en responder y resolver los riesgos?

Thomas: Entonces, si vemos que las calificaciones de seguridad comienzan a bajar, significa que la seguridad está madurando en la organización, lo que puede ser una buena indicación para la alta dirección y los ejecutivos de que los proveedores de mayor riesgo se están gestionando correctamente, de manera eficiente, y que los riesgos que se presentan se están resolviendo de manera adecuada. Pero también hay que pensar en otras áreas. Una vez identificados los proveedores de alto riesgo, ¿cuál es el nivel de preparación en materia de seguridad? ¿Podemos examinar o conocer los porcentajes de concienciación y formación completados? ¿Qué niveles de detección de amenazas y respuesta a vulnerabilidades están captando los terceros en función del producto o servicio que nos ofrecen? Calidad de las pruebas de continuidad y respuesta instantánea. Ya sabes, lo estamos preguntando a través de los contratos y acuerdos. ¿Cómo nos informan los terceros de las violaciones de datos y las notificaciones de violaciones de datos? ¿Tenemos visibilidad de que tienen planes de continuidad que se gestionan y revisan cada 6 meses, cada 12 meses, que se prueban regularmente para que, en el peor de los casos, se produzca un ataque de ransomware o similar, por ejemplo, ¿tienen ya procesos establecidos y han preparado e identificado cuáles son los controles más adecuados para ayudar a proteger esos servicios y asegurar esos productos y sistemas y operaciones? Pensando en eso y en algunos de los objetivos clave, quizá debamos considerar cómo identificamos y aplicamos los controles clave vinculados a la gestión de riesgos de seguridad de la información. Entonces, ¿qué podemos hacer ahora? Por un lado, es obvio que debemos empezar a pensar en cómo podemos utilizar la norma 27001, en particular la gobernanza, la estructura de alto nivel y el marco de riesgos, para mejorar o desarrollar ese proceso de terceros.

Thomas: Entonces, utilizando ese proceso estructural, podemos determinar cuáles son los riesgos más críticos que debemos tener en cuenta al interactuar con nuestros terceros, identificando esos riesgos y requisitos de control y, obviamente, utilizando esas capacidades operativas, esos conceptos de ciberseguridad, para ayudar a enmarcar el contenido de la evaluación en el que debemos involucrar a nuestros terceros, y ellosayudarán a determinar el nivel y la complejidad de esas evaluaciones, utilizando de nuevo el anexo de control de la norma ISO 27001 como guía y, obviamente, una vez completada esa sección, publicando esas evaluaciones de seguridad y pasando por ese proceso continuo de supervisión y revisión: ¿estamos identificando los objetivos? ¿Están mejorando? ¿Estamos llegando a una etapa en la que la preparación en materia de seguridad de nuestros terceros o proveedores está mejorando? ¿Se están reduciendo esas calificaciones de riesgo? Así que aquellos proveedores que tradicionalmente presentaban un riesgo muy alto o eran motivo de gran preocupación están madurando su postura de seguridad y eso nos da mucha más tranquilidad en términos de buenas prácticas desde el punto de vista de la seguridad. De acuerdo. Antes de terminar, le cedo brevemente la palabra a Scott.

Scott: Hola, muchas gracias, Thomas. Te lo agradezco. Si pudieras dejar de compartir tu pantalla para que yo pueda compartir la mía, sería estupendo. Solo tengo una diapositiva que compartir con todos antes de pasar a la ronda de preguntas y respuestas. No quiero entretener a nadie demasiado hoy. Muy bien. Genial. Muy bien. Rápidamente, no voy a entrar en la descripción general de lo que prevalece hoy en día porque no tenemos tiempo para eso después de este seminario web tan rico. Pero sí quiero recordarles a todos que tenemos recursos a su disposición para ayudarles a maximizar el uso del marco ISO en sus organizaciones en lo que se refiere al riesgo de terceros. Hemos elaborado una guía muy completa que relaciona los controles ISO comunes con determinados KPI, KIS y métricas de la organización que querrán aplicar, y que les ayudará a desmitificar algunas de las complejidades de la ISO y a aclarar algunas de estas asignaciones de riesgos. Así que, si buscan una guía rápida, sí, 30 páginas como guía rápida.

Scott: Si buscan una guía rápida para aplicar la norma ISO a su programa TPRM, hemos elaborado una lista de verificación para que puedan hacerlo. Así que, sin límite. Eso es todo lo que quería compartir con ustedes hoy. Voy a pasarle la palabra a Ashley y ella abrirá el turno de preguntas.

Ash: Sí. Gracias, Scott. Eh, y por favor, echa un vistazo a la lista de verificación ISO. Tenemos un montón de recursos fenomenales en nuestro sitio web. Eh, acabamos de recibir uno en el chat y, de hecho, es para ti, Scott. Dice: «¿Cómo apoya la plataforma predominante la implementación de estas prácticas de TPRM y/o el enlace NIST, perdón, a los marcos ISO o NIST?».

Scott: Sí, buena pregunta. Tenemos una serie de cuestionarios que Thomas y su equipo han elaborado y subido a la plataforma Prevalent. Contamos con más de 600 plantillas de cuestionarios en la plataforma. Varias de ellas están dedicadas a secciones específicas de la norma ISO. Así, tenemos riesgos específicos basados en las respuestas y los umbrales que se aplican, y luego se suben las pruebas para abordar esos controles y preguntas concretos. Y luego, con los mapas de riesgos, se obtiene una puntuación de riesgo que indica las áreas en las que hay que centrarse realmente con ese proveedor o proveedor según esos controles. Así que todo es una especie de marco en el sistema y luego los informes ayudan a definir qué hacer a continuación con él.

Ash: Excelente. Bueno, muchas gracias Thomas, Sophie, Scott y a todos por sus preguntas. Todos nos han proporcionado información fantástica para asimilar hoy. Espero verlos a todos en su bandeja de entrada o en un próximo seminario web. Saludos a todos y que tengan un excelente resto de semana.

Scott: Adiós a todos.