Attack Readiness

Els teus proveïdors tenen accés
a les teves dades. Confies en la seva seguretat?

Avaluació objectiva de la postura de seguretat dels teus proveïdors. Des de la revisió de polítiques fins a les proves tècniques d'API. Risc de cadena de subministrament gestionat amb evidència.

Sol·licita una avaluació 24/7 Línia d'Incidents

Què és una avaluació de seguretat de proveïdors?

Saps que els teus proveïdors accedeixen a les teves dades, xarxa o processos. Tens obligacions de cadena de subministrament sota NIS2, ISO 27001 o requisits de clients. Reps una avaluació objectiva i basada en evidències de la postura de seguretat de cada proveïdor que pots usar en el teu programa de gestió de riscos de tercers. L'avaluació s'escala des de la revisió de documents fins a les proves tècniques completes, basant-se en el perfil de risc del proveïdor.

Sobre aquest servei

Avaluació de Seguretat de Proveïdors: el teu risc, la seva seguretat

Els teus proveïdors tenen accés a les teves dades, la teva xarxa o els teus processos. La seva seguretat és el teu risc. Una avaluació de seguretat de proveïdors avalua la postura de seguretat dels teus proveïdors, socis i terceres parts de manera objectiva i estructurada.

L'avaluació pot variar des d'una revisió de documents fins a una prova tècnica completa. Basant-se en el perfil de risc del proveïdor (com de crític és el seu paper, quines dades processen, quin accés tenen), es determina l'enfocament correcte. No tots els proveïdors requereixen la mateixa profunditat.

L'equip avalua polítiques, processos i mesures tècniques. Reps una avaluació objectiva útil en la teva gestió de proveïdors, informes de compliment i processos d'avaluació de riscos.

Per què és important

Tres riscos de cadena de subministrament que eviten els teus propis controls

Les bretxes de proveïdors es converteixen en les teves bretxes

Un proveïdor amb accés als teus sistemes o dades és una ruta d'atac indirecta a la teva organització. Els controls interns més sofisticats no poden protegir dades que es processen per un tercer insegur.
NIS2 i ISO 27001 requereixen seguretat en la cadena de subministrament

Els reguladors et fan responsable de la seguretat de la teva cadena de subministrament, no només del teu propi entorn. Demostrar la gestió del risc de proveïdors requereix evidència, no suposicions.
Els qüestionaris no són avaluacions

Els qüestionaris d'autoavaluació produeixen les respostes que els proveïdors volen donar. Una avaluació independent produeix evidència del que realment existeix, incloent bretxes que els qüestionaris mai no revelen.

Què s'avalua

Abast de l'avaluació de seguretat de proveïdors

Política de seguretat de la informació i certificacions

Procediments de gestió d'accés i controls tècnics

Processament de dades i privadesa (compliment RGPD)

Procediments de resposta a incidents

Continuïtat de negoci i recuperació davant desastres

Connexions tècniques (APIs, VPN, accés directe a xarxa)

Subcontractistes i riscos de quartes parts

Acords contractuals de seguretat

Metodologia

Com realitza DEFION una avaluació de seguretat de proveïdors

Classificació de risc

Determinació del perfil de risc del proveïdor basant-se en accés a dades, accés a xarxa i criticitat per al negoci.

Revisió de documents

Avaluació de polítiques de seguretat, certificacions, informes SOC 2 i altra documentació disponible.

Qüestionari i entrevista

Preguntes específiques sobre pràctiques de seguretat amb entrevistes de seguiment per a aclariments.

Revisió tècnica (opcional)

Avaluació de connexions tècniques, seguretat d'API i accés a xarxa basant-se en el perfil de risc.

Anàlisi de bretxes

Comparació de les pràctiques del proveïdor amb estàndards rellevants (ISO 27001, NIS2, SOC 2).

Informe

Avaluació de risc del proveïdor amb puntuació de risc, troballes per domini i recomanacions per a mitigació de riscos.

Què reps

Lliurables

Avaluació de risc del proveïdor amb puntuació de risc
Troballes per domini d'avaluació
Anàlisi de bretxes respecte a estàndards rellevants
Recomanacions per a mitigació de riscos
Aportació per al programa de gestió de proveïdors

Públic objectiu

Per a qui és una avaluació de seguretat de proveïdors?

Qualsevol organització que depèn de tercers per processar dades o proporcionar serveis necessita entendre els riscos de seguretat que introdueixen aquests proveïdors.

Organitzacions amb un programa de gestió de proveïdors o TPRM (Gestió de Riscos de Tercers)
Empreses que necessiten complir els requisits de seguretat de la cadena de subministrament de NIS2
Organitzacions depenents de proveïdors IT crítics
Empreses que demostren compliment ISO 27001 o SOC 2

Preguntes freqüents

FAQ

Com es determina quins proveïdors s'han d'avaluar?

Basant-se en la classificació de risc: quins proveïdors processen dades sensibles, tenen accés a la xarxa o són crítics per a la continuïtat del negoci? L'equip ajuda a construir un model de classificació si no n'existeix cap.

Pot configurar-se això com un programa continu?

Sí. El risc del proveïdor no és una instantània. L'equip pot configurar un programa d'avaluació continu amb reavaluacions periòdiques i monitoratge continu dels proveïdors crítics.

Què passa si un proveïdor no coopera?

Això és en si mateix una troballa. L'informe documenta quina informació no estava disponible i quins riscos crea. Contractualment, es pot exigir als proveïdors que cooperin amb les avaluacions de seguretat.

Com es relaciona això amb els informes SOC 2?

Un informe SOC 2 és una entrada valuosa però no un substitut d'una avaluació de proveïdors. SOC 2 no cobreix tots els riscos i l'abast el defineix el propi proveïdor. Una avaluació de seguretat de proveïdors proporciona la perspectiva de la teva organització.

També s'avaluen els sub-proveïdors?

Els riscos de quartes parts s'inclouen en l'avaluació. L'equip avalua si el proveïdor té controls adequats per gestionar els seus propis proveïdors.

Pentest Extern

Més informació →

Avaluació de Seguretat al Núvol

Més informació →

Revisió de Seguretat del Codi

Més informació →