Establecer y Mantener un Inventario de Proveedores de Servicios
Descripción
Establecer y mantener un inventario de proveedores de servicios. El inventario debe listar todos los proveedores de servicios conocidos, incluir clasificación(es) y designar un contacto empresarial para cada proveedor de servicios. Revisar y actualizar el inventario anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gestión de riesgos de terceros con evaluaciones automatizadas de proveedores, monitoreo continuo y puntuación de riesgo
ServiceNow · Suscripción empresarial
Plataforma de gestión de riesgos de terceros con automatización de evaluación de proveedores, monitoreo continuo y mapeo de cumplimiento
OneTrust · Suscripción empresarial
Plataforma de calificaciones de seguridad que proporciona monitoreo continuo de la postura de ciberseguridad de proveedores con puntuación de riesgo basada en datos
BitSight · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Compromiso de Cadena de Suministro mediante Proveedor de Servicios Desconocido
ConfidencialidadUn proveedor de servicios con acceso a datos empresariales es comprometido, pero la organización no puede evaluar el impacto ni responder efectivamente porque no tiene inventario de qué proveedores tienen acceso a qué datos.
Proveedor de Servicios de TI en la Sombra Operando Sin Supervisión
ConfidencialidadUn departamento contrata independientemente un proveedor de servicios en la nube que procesa datos sensibles, y el equipo de seguridad desconoce la relación porque no existe un inventario centralizado de proveedores de servicios.
Acceso de Proveedor de Servicios Huérfano Después del Fin del Contrato
IntegridadUn exproveedor de servicios retiene acceso activo a sistemas empresariales meses después de que terminó el contrato porque ningún inventario rastrea las relaciones con proveedores ni los contactos designados responsables de la gestión del ciclo de vida.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Inventario Centralizado de Proveedores de Servicios
Sin un inventario mantenido de todos los proveedores de servicios, la organización no tiene visibilidad sobre qué terceros tienen acceso a datos, sistemas o redes empresariales.
Clasificaciones y Contactos de Proveedores de Servicios No Rastreados
La ausencia de clasificación de proveedores de servicios y contactos designados significa que la organización no puede determinar rápidamente la exposición al riesgo ni coordinar la respuesta cuando un proveedor experimenta un incidente de seguridad.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |