Centre pour la sécurité de l'Internet (CIS) Conformité des contrôles de sécurité critiques

Prevalent permet aux organisations de créer un inventaire centralisé des fournisseurs de services en important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

Comme tous les fournisseurs de services sont centralisés, les équipes peuvent créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

• Rôles et responsabilités clairs (par exemple, RACI)
• Inventaires de tiers
• Classification et catégorisation des fournisseurs
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
• Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
• Cartographie de la quatrième partie
• Sources des données de contrôle continu (cyber, business, réputation, financier)
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
• Conformité et exigences de rapports contractuels par rapport aux niveaux de service
• Exigences en matière de réponse aux incidents
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

Prevalent offre une évaluation de diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à tous les tiers. Les critères incluent :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer et hiérarchiser les fournisseurs, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.
La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs et offre des capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Cela permet de s'assurer que les principales exigences en matière de sécurité sont intégrées dans le contrat du fournisseur, convenues et appliquées tout au long de la relation grâce à des indicateurs de performance clés (KPI).

Les capacités clés comprennent :

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et l'état, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Prevalent automatise les évaluations de risques afin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées - y compris pour PCI - des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète du risque fournisseur, Prevalent examine la liste des lacunes de contrôle identifiées dans le rapport SOC 2, crée des éléments de risque pour le tiers dans la plateforme, et assure le suivi et le reporting des déficiences.

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent :

• Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
• Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde.

Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :

• 550 000 sources publiques et privées d'informations sur la réputation, notamment les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
• Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performance financière, y compris le chiffre d'affaires, les profits et pertes, les fonds des actionnaires, etc.
• 30 000 sources d'information mondiales
• Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
• Listes de sanctions mondiales et plus de 1 000 listes d'exécution mondiales et dossiers judiciaires

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.

• Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.
• Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.
• Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.
• Prenez des mesures concrètes pour réduire le risque lié aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
• Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :

• Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
• Suivi en temps réel de la progression du remplissage du questionnaire
• Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
• Rapports proactifs des fournisseurs
• Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
• Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Recommandations de remédiation intégrées pour réduire les risques
• Modèles de rapports intégrés
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

En centralisant la réponse aux incidents des tiers dans un système unique guidé par un processus unique de gestion des incidents d'entreprise, les équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent travailler à l'unisson pour atténuer les risques.