Procedimientos 5 minutos de lectura

GESTIÓN DE PROVEEDORES Y TERCEROS: TU CADENA MÁS DÉBIL TAMBIÉN ES TU RESPONSABILIDAD

Introducción

SaaS, hosting, soporte remoto, integradores, logística… La organización ya no es una isla.
Cada tercero con acceso a datos o sistemas es una extensión de tu superficie de ataque.
Y cuando fallan, el titular no lleva su logo: lleva el tuyo.

Por qué importa

  • Las brechas de terceros son tan dañinas como las propias.
  • Los contratos sin cláusulas de seguridad son puertas abiertas.
  • El cumplimiento (ISO, ENS, RGPD, NIS2) exige control de la cadena.

Controles ISO/IEC 27002 relacionados

  • A.5.19 – Seguridad en la cadena de suministro: evaluar, acordar y monitorizar controles.
  • A.5.20 – Aceptación de servicios en la nube: requisitos de seguridad y responsabilidad compartida.
  • A.5.21 – Supervisión y revisión de proveedores: seguimiento continuo, métricas y evidencias.

Errores frecuentes

  • Onboarding sin evaluación de riesgos ni due diligence.
  • Contratos sin cláusulas de seguridad, auditoría y notificación de incidentes.
  • Accesos permanentes para tareas puntuales.
  • Ninguna revisión periódica de cumplimiento y desempeño.

Buenas prácticas esenciales

  • Clasifica proveedores por impacto y acceso (alto/medio/bajo).
  • Due diligence previa: certificaciones, informes SOC2/ISO, evidencias técnicas.
  • Contratos con seguridad: SLA, controles, auditoría, notificación 72h, sub-procesadores.
  • Accesos mínimos y temporales con MFA y registro.
  • Monitorización continua y revisión anual con evidencias.

Checklist rápida

  1. ¿Existe clasificación por riesgo de proveedores?
  2. ¿Tienes due diligence documentada antes del alta?
  3. ¿El contrato incluye cláusulas de seguridad y auditoría?
  4. ¿Accesos con MFA y vigencia limitada?
  5. ¿Revisión periódica con evidencias y KPIs?

Herramientas y evidencias

  • GRC/Vendor Risk: OneTrust, Archer, JupiterOne, Drata.
  • Evidencias: ISO 27001, SOC 2, CSA Star, Pentest reports, DPIA/DTIA.

Relación con otras áreas

  • Accesos/IAM: terceros = identidades que hay que gobernar.
  • Incidentes: cláusulas de notificación y cooperación forense.
  • Continuidad: planes alternativos si un proveedor crítico cae.

Reflexión final

Subcontratar no es externalizar el riesgo: es compartirlo.
Y compartir sin gobernar es firmar a ciegas.

Conclusión

Es importante diseñar e implementar programas de gestión de riesgos de terceros alineados con ISO/IEC 27002, ENSy RGPD, con contratos, evidencias y métricas.