Cadre de cybersécurité du NIST (CSF) 2.0

Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.

Recherchez des experts pour collaborer avec votre équipe :

• Définir et mettre en œuvre des processus et des solutions TPRM et C-SCRM
• Sélection des questionnaires et des cadres d'évaluation des risques
• Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.

Dans le cadre de ce processus, vous devez définir :

• Rôles et responsabilités clairs (par exemple, RACI)
• Inventaires de tiers
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
• Indicateurs clés de risque (KRI), indicateurs clés de performance (KPI) et niveaux de service pour la réponse aux incidents

Centralisez votre inventaire de tiers dans une solution logicielle. Ensuite, quantifiez les risques inhérents à tous les tiers. Les critères utilisés pour calculer les risques inhérents afin d'établir un ordre de priorité pour les tiers devraient inclure :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard de tierces parties
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation.

Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les capacités clés devraient inclure :

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et l'état, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés.

Comme tous les fournisseurs de services sont centralisés et examinés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.

Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions relatives à la sélection des fournisseurs.

Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations doivent être gérées de manière centralisée et soutenues par un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Veillez à intégrer des données opérationnelles, financières et de réputation provenant de tiers afin d'étoffer les conclusions de cyber et de mesurer l'impact des incidents au fil du temps.

Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents impliquant des tiers permette à votre équipe d'identifier rapidement les incidents de sécurité impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Recherchez le site services manages où des experts dédiés gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent une corrélation entre les risques et les informations de surveillance continue cyber et fournissent des conseils sur les mesures correctives. services manages La gestion centralisée des fournisseurs peut réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et veiller à ce que des mesures correctives soient mises en place.

Les capacités clés d'un service tiers de réponse aux incidents devraient comprendre les éléments suivants :

• Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
• Suivi en temps réel de la progression du remplissage du questionnaire
• Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
• Rapports proactifs sur les fournisseurs
• Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
• Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
• Modèles de rapports intégrés pour les parties prenantes internes et externes.
• Recommandations de remédiation intégrées pour réduire les risques
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des fournisseurs en cas de violation de données.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts.

Voir GV.SC-01 et GV.SC-02.

En s'appuyant sur les meilleures pratiques recommandées pour GV.SC-05, automatisez l'évaluation des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle de votre organisation.

• Planifier les tâches pour s'assurer que toutes les obligations ont été respectées.
• Procéder à l'évaluation des contrats afin d'en déterminer l'état d'avancement.
• Exploiter les enquêtes et les flux de travail pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, etc.
• Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats.
• Analyser les documents pour confirmer que les critères clés sont pris en compte.
• Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils en matière de remédiation.
• Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec les réglementations et les cadres.

Pour répondre à cette sous-catégorie, Prevalent aide à identifier les relations de sous-traitance de quatrième et de Nième partie dans votre écosystème de fournisseurs. La solution comprend une évaluation de vos fournisseurs au moyen d'un questionnaire et une analyse passive de l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues et les flux d'informations qui pourraient exposer votre organisation à des risques.

Prevalent vous permet de créer un inventaire centralisé des fournisseurs de services en important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et des tâches de flux de travail associées. Cette fonctionnalité est accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions.

Voir GV.SC-04.

Pour répondre à cette catégorie, Prevalent vous permet de :

• évaluer et surveiller en permanence les risques potentiels que le fournisseur de services introduit dans votre environnement et formuler des recommandations pour atténuer l'impact de ces risques
• Contrôler les niveaux de service, les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) afin de garantir le respect des accords contractuels.
• Débarquer en toute sécurité les fournisseurs de services pour garantir la sécurité des données et des systèmes après la résiliation du contrat.

Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces externes pesant sur les tiers. Dans ce cadre, Prevalent surveille l'Internet et le dark web pour cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance comprennent :

• Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de surveillance sont mises en corrélation avec les résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, la plateforme Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci.

Vous pouvez ensuite désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

Voir également GV.SC-04.

Dans le cadre du processus de diligence raisonnable, vous pouvez utiliser Prevalent pour demander aux vendeurs de fournir des nomenclatures logicielles (SBOM) à jour pour leurs produits logiciels. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation. Les SBOM sont traités comme n'importe quel autre type de document, et vous pouvez appliquer des profils de documents automatisés pour rechercher des détails clés d'extraction importants pour la validation des composants logiciels.

Voir GV.SC-06.

Voir GV.SC-08.

Voir ID.RA.

Voir GV.SC-08.

Voir GV.SC-08.

Voir GV.SC-08.