Monitorear Proveedores de Servicios
Descripción
Monitorear proveedores de servicios de manera consistente con la política de gestión de proveedores de servicios de la empresa. El monitoreo puede incluir la reevaluación periódica del cumplimiento del proveedor de servicios, monitoreo de notas de versión del proveedor de servicios y monitoreo de la dark web.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gestión de riesgos de terceros con evaluaciones automatizadas de proveedores, monitoreo continuo y puntuación de riesgo
ServiceNow · Suscripción empresarial
Plataforma de gestión de riesgos de terceros con automatización de evaluación de proveedores, monitoreo continuo y mapeo de cumplimiento
OneTrust · Suscripción empresarial
Plataforma de calificaciones de seguridad que proporciona monitoreo continuo de la postura de ciberseguridad de proveedores con puntuación de riesgo basada en datos
BitSight · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Brecha de Proveedor Detectada Meses Después de Ocurrir
ConfidencialidadUn proveedor de servicios monitoreado sufre una brecha que no se descubre durante meses porque la organización no tiene un programa de monitoreo continuo para rastrear cambios en la postura de seguridad del proveedor o exposición en la dark web.
Vulnerabilidad Crítica del Proveedor No Parcheada Sin Conocimiento Empresarial
IntegridadUn proveedor de servicios clave retrasa el parcheo de una vulnerabilidad crítica en su plataforma, y la organización no se entera porque no monitorea las notas de versión o avisos de seguridad del proveedor.
Credenciales Empresariales Encontradas en la Dark Web Vinculadas a Brecha del Proveedor
ConfidencialidadLas credenciales de usuarios empresariales aparecen en mercados de la dark web después de un compromiso del proveedor, pero la organización no tiene capacidad de monitoreo para detectar esta exposición y activar la rotación de credenciales.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Monitoreo Continuo de la Seguridad del Proveedor de Servicios
Sin monitoreo continuo, la organización no puede detectar cambios en la postura de seguridad de un proveedor, estado de cumplimiento o exposición a brechas entre evaluaciones periódicas.
Sin Monitoreo de Dark Web ni Inteligencia de Amenazas para Exposición del Proveedor
La ausencia de monitoreo de la dark web significa que la organización no puede detectar cuándo credenciales, datos o acceso relacionados con el proveedor están siendo comercializados o explotados por actores de amenazas.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |