Tu organización puede hacer muchas cosas bien… y aun así caer por un tercero. Un proveedor con acceso a sistemas, datos o procesos puede convertirse en el eslabón más frágil. La pregunta que duele: si mañana tu proveedor sufre un incidente, ¿qué pasa contigo?
¿Por qué el riesgo de terceros crece?
Porque dependemos de:
- SaaS para procesos críticos.
- Outsourcing y soporte remoto.
- Proveedores con integraciones (APIs).
- Cadena de suministro digital (libraries, servicios, plataformas).
Y no todos los proveedores tienen el mismo nivel de madurez.
Tipos de riesgo con proveedores
- Riesgo de datos: fuga o uso indebido.
- Riesgo de acceso: cuentas privilegiadas y túneles de soporte.
- Riesgo operativo: caídas del proveedor que detienen tu operación.
- Riesgo legal y compliance: tratamiento de datos, ubicación, retención.
- Riesgo reputacional: “tu marca” paga el costo público.
Mejores prácticas de gestión de terceros (sin burocracia)
1) Segmentación por criticidad
No todos los proveedores requieren el mismo rigor. Clasifica:
- Crítico (acceso a datos sensibles o sistemas core)
- Importante (impacto operativo medio)
- Bajo (sin acceso sensible)
2) Due diligence con evidencia
Pide evidencia real, no solo promesas:
- Certificaciones (ISO 27001, SOC 2) cuando aplique.
- Políticas de respuesta a incidentes.
- Controles de acceso y MFA.
- Esquemas de respaldo y continuidad.
3) Contratos con cláusulas de seguridad
Incluye:
- SLA de disponibilidad y soporte.
- Tiempos de notificación ante incidentes.
- Requisitos de cifrado.
- Derecho a auditoría (según criticidad).
- Obligaciones de subcontratación (cuarta parte).
4) Acceso mínimo y monitoreado
- Accesos temporales (just-in-time).
- Registro de actividades (logging).
- Segmentación y salto controlado.
- Revocación automática al terminar contrato.
5) Monitoreo continuo
El riesgo cambia. Un proveedor “seguro” hoy puede no serlo mañana.
- Revisiones periódicas.
- Monitoreo de postura externa (cuando aplica).
- Simulacros de continuidad.
Señales de alerta
- “El proveedor no sabe dónde están tus datos.”
- “No tiene MFA en accesos de soporte.”
- “No puede darte RTO/RPO.”
- “Subcontrata sin avisar.”
- “No tiene plan de incidentes.”
Para construir una gestión de terceros práctica (y no solo documental), Pulse (marca de Grupo Scanda) puede ayudarte a evaluar proveedores, definir controles contractuales y operar un modelo continuo de riesgo y cumplimiento.
FAQ
1) ¿Qué es riesgo de terceros (TPRM)? Gestión de riesgos derivados de proveedores que acceden a datos, sistemas o procesos.
2) ¿SOC 2 o ISO 27001 garantizan seguridad? No garantizan, pero elevan la confianza y exigen controles verificables.
3) ¿Cómo controlar accesos de proveedores? MFA, accesos temporales, segmentación, registro de sesiones y revocación automática.
4) ¿Qué debe incluir un contrato con proveedor SaaS? Notificación de incidentes, SLA, cifrado, retención, respaldo, auditoría y subcontratación.
5) ¿Cada cuánto revisar proveedores críticos? Al menos anual, y ante cambios de servicio, incidentes o expansión de alcance.
