Trabajo con terceros y proveedores
Su seguridad es tan fuerte como su proveedor más débil. ¿Esa herramienta de automatización de marketing? Tiene su lista de clientes. ¿El SDK de análisis? Se ejecuta en el dispositivo de cada usuario. ¿El laptop del contratista? Tiene acceso a su código base.
La gestión del riesgo de terceros no es paranoia — es reconocer que su superficie de ataque se extiende más allá de lo que controla directamente.
Por qué importa la seguridad de los proveedores
La realidad de la cadena de suministro
Las empresas modernas dependen en gran medida de terceros:
| Categoría | Número típico | Acceso a datos |
|---|---|---|
| Herramientas SaaS | 50–200 aplicaciones | Datos de clientes, datos de empleados, código fuente |
| Proveedores en la nube | 1–3 | Todo |
| Procesadores de pago | 1–2 | Transacciones financieras |
| Análisis/marketing | 5–15 | Comportamiento de usuarios, información de contacto |
| Contratistas | 5–20 | Varía ampliamente |
| Código abierto | Cientos–miles de paquetes | Se ejecuta en su entorno |
Cada uno es un punto de entrada potencial para los atacantes.
Brechas reales de proveedores
Okta (2022): Un atacante comprometió a un contratista tercero (Sitel) que daba soporte al servicio de atención al cliente de Okta. A través de ese acceso, obtuvieron acceso a los sistemas internos de Okta, afectando a cientos de clientes de Okta incluyendo Cloudflare, 1Password y otros.
SolarWinds (2020): Los atacantes insertaron código malicioso en el proceso de construcción de SolarWinds. La actualización comprometida se distribuyó a 18.000 organizaciones incluyendo agencias gubernamentales y empresas de Fortune 500.
Codecov (2021): Los atacantes modificaron el script bash uploader de Codecov. Cualquier empresa que lo usara en CI/CD tuvo variables de entorno y secretos expuestos. Las empresas afectadas incluyeron Twilio, Monday.com y muchas startups.
Kaseya (2021): Un grupo de ransomware explotó vulnerabilidades en el software VSA de Kaseya, afectando a más de 1.500 empresas a través de proveedores de servicios gestionados.
El patrón: los atacantes apuntan a los proveedores porque son un multiplicador de fuerza — compromete uno, accede a muchos.
Marco de evaluación del riesgo de proveedores
Paso 1: Inventario de proveedores
No puede proteger lo que no conoce. Construya un inventario completo de proveedores.
Plantilla de inventario de proveedores:
| Proveedor | Categoría | Acceso a datos | Criticidad de negocio | Propietario del contrato | Última evaluación |
|---|---|---|---|---|---|
| Salesforce | CRM | PII de clientes, tratos | Crítico | Ventas | 2024-06 |
| GitHub | Control de código fuente | Código fuente, secretos | Crítico | Ingeniería | 2024-09 |
| Slack | Comunicación | Todas las comms internas | Alto | TI | 2024-03 |
| Mailchimp | Marketing | Listas de correo | Medio | Marketing | 2024-01 |
| Gusto | RRHH/Nóminas | PII de empleados, SSNs | Crítico | RRHH | 2024-06 |
Métodos de descubrimiento:
- Revisar extractos de tarjetas de crédito/gastos
- Verificar aplicaciones conectadas al proveedor de SSO
- Preguntar a los jefes de departamento qué herramientas usan
- Escanear el tráfico de red para conexiones SaaS
- Usar herramientas de gestión de SaaS (Zylo, Productiv, Torii)
Paso 2: Clasificación de proveedores
No todos los proveedores merecen el mismo escrutinio. Clasifique según el riesgo.
| Nivel | Criterios | Profundidad de evaluación | Frecuencia de revisión |
|---|---|---|---|
| Nivel 1: Crítico | Acceso a datos sensibles, crítico para el negocio, difícil de reemplazar | Evaluación completa, SOC 2 requerido | Anual |
| Nivel 2: Alto | Acceso a algunos datos sensibles u operaciones importantes | Evaluación estándar, SOC 2 preferido | Cada 18 meses |
| Nivel 3: Medio | Acceso limitado a datos, fácilmente reemplazable | Evaluación básica | Cada 2 años |
| Nivel 4: Bajo | Sin datos sensibles, servicio de commodities | Autoatestación | Al renovar el contrato |
Preguntas de clasificación:
- ¿A qué datos acceden? (PII de clientes = Nivel 1–2)
- ¿Podría su compromiso afectar a nuestros clientes? (Sí = Nivel 1)
- ¿Están en nuestro camino crítico? (Sí = Nivel 1–2)
- ¿Qué tan difíciles son de reemplazar? (Difícil = aumenta el nivel)
- ¿Tienen acceso privilegiado? (Acceso de administrador = Nivel 1)
Paso 3: Métodos de evaluación
Los diferentes niveles reciben diferentes enfoques de evaluación.
Lista de verificación de evaluación de Nivel 1:
| Área | Preguntas | Evidencia requerida |
|---|---|---|
| Certificaciones | ¿SOC 2 Tipo II? ¿ISO 27001? | Informe de auditoría |
| Control de acceso | ¿Cómo protegen el acceso a nuestros datos? | Política de MFA, controles de acceso |
| Cifrado | ¿Datos cifrados en reposo y en tránsito? | Documentación técnica |
| Respuesta a incidentes | ¿Cómo nos notificarán de las brechas? | Plan de IR, SLA de notificación |
| Manejo de datos | ¿Dónde se almacenan los datos? ¿Pueden exportar/eliminar a petición? | Términos de procesamiento de datos |
| Subprocesadores | ¿Con quién más comparten datos? | Lista de subprocesadores |
| Continuidad del negocio | ¿Cuál es su SLA de tiempo de actividad? ¿Plan de DR? | SLA, documentación de DR |
| Seguridad de empleados | ¿Verificación de antecedentes? ¿Formación? | Atestación de política |
Evaluación de Nivel 2–3:
- Solicitar informe SOC 2 o equivalente
- Completar un cuestionario estandarizado
- Revisar su página de seguridad/centro de confianza
- Verificar el historial público de brechas
Evaluación de Nivel 4:
- Autoatestación (el proveedor confirma la seguridad básica)
- Revisar los términos del servicio
- No se necesita evaluación detallada
Cuestionarios de seguridad estándar
No cree su propio cuestionario desde cero. Use estándares del sector.
SIG (Standardized Information Gathering)
Mantenido por Shared Assessments, SIG es el estándar de oro para las evaluaciones de proveedores.
SIG Lite vs. SIG Core:
- SIG Lite: ~100 preguntas, adecuado para la mayoría de evaluaciones
- SIG Core: 800+ preguntas, para proveedores de alto riesgo/Nivel 1
Dominios cubiertos:
- Política de seguridad y organización
- Gestión de activos
- Control de acceso
- Criptografía
- Seguridad de operaciones
- Gestión de incidentes
- Continuidad del negocio
- Cumplimiento
Costo: Se requiere membresía ($2.500+/año), pero es ampliamente utilizado.
Alternativa: Cree un cuestionario simplificado basado en los temas SIG.
CAIQ (Consensus Assessments Initiative Questionnaire)
De la Cloud Security Alliance, centrado en servicios en la nube.
Estructura:
- 300+ preguntas en 17 dominios
- Formato Sí/No con explicaciones opcionales
- Enfoque específico en la nube
Mejor para: Servicios en la nube, evaluación de SaaS
Costo: Gratis desde CSA
VSAQ (Vendor Security Assessment Questionnaire)
Marco de cuestionario de código abierto de Google.
Características:
- Herramienta de evaluación basada en web
- Conjuntos de preguntas personalizables
- Puntuación de riesgo
Mejor para: Organizaciones orientadas al desarrollo
Enlace: github.com/google/vsaq
Cuestionario simplificado para pequeñas empresas
Si los cuestionarios estándar son demasiado pesados, use esta versión de 20 preguntas:
## Cuestionario de seguridad simplificado para proveedores
### Gobernanza
1. ¿Tiene una política de seguridad de la información documentada?
2. ¿Hay un oficial o equipo de seguridad designado?
3. ¿Realizan formación en concienciación sobre seguridad para los empleados?
4. ¿Realizan verificaciones de antecedentes para los empleados con acceso a los datos?
### Control de acceso
5. ¿Impone MFA para todos los sistemas que acceden a nuestros datos?
6. ¿Cómo gestionan el acceso de usuarios y el desaprovisionamiento?
7. ¿Registran y monitorizan el acceso a los datos de los clientes?
### Protección de datos
8. ¿Están los datos de los clientes cifrados en reposo?
9. ¿Están los datos de los clientes cifrados en tránsito (TLS 1.2+)?
10. ¿Dónde se almacenan los datos de los clientes geográficamente?
11. ¿Pueden eliminar nuestros datos al finalizar el contrato?
### Respuesta a incidentes
12. ¿Tienen un plan de respuesta a incidentes?
13. ¿Cuál es su plazo de notificación de brechas?
14. ¿Han experimentado algún incidente de seguridad en los últimos 3 años?
### Cumplimiento
15. ¿Tienen certificación SOC 2 Tipo II?
16. ¿Son conformes con el GDPR?
17. ¿Usan subprocesadores? En caso afirmativo, ¿cómo son evaluados?
### Seguridad técnica
18. ¿Realizan escaneo de vulnerabilidades regularmente?
19. ¿Cuándo fue su última prueba de penetración?
20. ¿Tienen un programa de divulgación de vulnerabilidades/bug bounty?
Requisitos de seguridad en contratos
La evaluación es inútil si no puede responsabilizar a los proveedores. Incluya requisitos de seguridad en los contratos.
Plantilla de Addendum de seguridad
# Addendum de seguridad al [Nombre del acuerdo]
Este Addendum de seguridad se incorpora al Acuerdo entre
[Cliente] y [Proveedor], efectivo [Fecha].
## 1. Controles de seguridad
El Proveedor mantendrá los siguientes controles de seguridad:
1.1 **Control de acceso**
- Autenticación multifactor para todos los sistemas que acceden a los datos del Cliente
- Control de acceso basado en roles con mínimo privilegio
- Revisiones de acceso trimestrales
- Desaprovisionamiento en 24 horas tras la terminación del empleado
1.2 **Cifrado**
- Datos del Cliente cifrados en reposo usando AES-256 o equivalente
- Datos del Cliente cifrados en tránsito usando TLS 1.2 o superior
- Claves de cifrado gestionadas de forma segura con rotación regular
1.3 **Monitorización y registro**
- Registro de eventos de seguridad para todos los sistemas que procesan los datos del Cliente
- Retención de registros de al menos 12 meses
- Monitorización de intentos de acceso no autorizado
## 2. Evaluaciones de seguridad
2.1 El Proveedor mantendrá la certificación SOC 2 Tipo II (o equivalente)
y proporcionará el informe actual a petición.
2.2 El Proveedor realizará pruebas de penetración anuales por un
tercero cualificado y remediará los hallazgos críticos en 30 días.
2.3 El Cliente puede realizar evaluaciones de seguridad con 30 días de
aviso por escrito, no más de una vez al año.
## 3. Respuesta a incidentes
3.1 El Proveedor notificará al Cliente de cualquier Incidente de seguridad
que afecte a los datos del Cliente en 24 horas de su descubrimiento.
3.2 La notificación incluirá:
- Naturaleza y alcance del incidente
- Tipos de datos afectados
- Pasos de remediación tomados y planificados
- Información de contacto para actualizaciones
3.3 El Proveedor cooperará con la investigación de incidentes del Cliente
y proporcionará la información solicitada en 48 horas.
## 4. Protección de datos
4.1 El Proveedor no accederá a los datos del Cliente excepto según sea
necesario para prestar los servicios.
4.2 El Proveedor no usará los datos del Cliente para ningún propósito
distinto a la prestación de los servicios.
4.3 Al finalizar, el Proveedor eliminará o devolverá todos los datos
del Cliente en 30 días y certificará la eliminación por escrito.
4.4 El Proveedor mantendrá una lista de subprocesadores y notificará
al Cliente de cualquier adición con 30 días de antelación.
## 5. Derechos de auditoría
5.1 El Cliente puede auditar el cumplimiento del Proveedor con este
Addendum con 30 días de aviso por escrito.
5.2 El Proveedor mantendrá documentación suficiente para demostrar
el cumplimiento de estos requisitos.
## 6. Remediación
6.1 Si el Proveedor no cumple con algún requisito, el Cliente puede
solicitar un plan de remediación en 14 días.
6.2 El incumplimiento persistente constituye incumplimiento material,
permitiendo al Cliente rescindir el Acuerdo.
---
Acordado y aceptado:
Cliente: _______________ Fecha: _______
Proveedor: _______________ Fecha: _______
Términos contractuales clave a negociar
| Término | Qué solicitar | Alternativa |
|---|---|---|
| Notificación de brechas | 24–48 horas | Máximo 72 horas |
| Derechos de auditoría | Derecho anual a auditar | Aceptar SOC 2 en lugar de auditoría |
| Eliminación de datos | 30 días tras terminación | 90 días aceptable |
| Aprobación de subprocesadores | Aviso previo y derecho de aprobación | Solo aviso |
| Límite de responsabilidad | Sin límite para brechas de seguridad | 12–24 meses de honorarios |
| Seguro | $5M+ de responsabilidad cibernética | Igualar su cobertura |
| SLA para seguridad | 99,9% de tiempo de actividad, respuesta en 4 horas | Negociable |
Cuando los proveedores se resisten
| Objeción | Su respuesta |
|---|---|
| «No firmamos addenda de seguridad personalizados» | «¿Podemos revisar sus términos de DPA/seguridad? Podemos aceptarlos si son suficientes.» |
| «SOC 2 lo cubre todo» | «SOC 2 es excelente. Aún necesitamos términos de notificación de brechas y eliminación de datos en el contrato.» |
| «Nuestros abogados no aprobarán los términos de responsabilidad» | «¿Qué límite de responsabilidad aceptará? Somos flexibles en la cantidad.» |
| «No damos derechos de auditoría» | «Aceptaremos SOC 2 Tipo II en lugar de auditoría directa.» |
| «No podemos cambiar la notificación de subprocesadores» | «¿Puede comprometerse a no añadir nuevos subprocesadores sin aviso?» |
Monitorización continua de proveedores
La evaluación no es una única vez. El riesgo del proveedor cambia.
Monitorización continua
| Señal | Fuente | Acción |
|---|---|---|
| Incidentes de seguridad | Noticias, notificaciones del proveedor | Revisar impacto, solicitar detalles |
| Actualizaciones del informe SOC 2 | Anual del proveedor | Revisar nuevos hallazgos |
| Cambios de subprocesadores | Notificaciones del proveedor | Evaluar nuevos subprocesadores |
| Cambios de liderazgo | Noticias, LinkedIn | Observar impacto potencial |
| Problemas financieros | Noticias, calificaciones crediticias | Evaluar riesgo de continuidad del negocio |
| Adquisición | Noticias | Revisar la postura de seguridad del nuevo propietario |
Herramientas de monitorización
| Herramienta | Qué hace | Costo |
|---|---|---|
| SecurityScorecard | Calificación de seguridad externa | De pago |
| BitSight | Calificación de seguridad externa | De pago |
| UpGuard | Monitorización del riesgo de proveedores | De pago |
| Google Alerts | Monitorización de noticias | Gratis |
| Have I Been Pwned | Monitorización de brechas | Gratis (búsqueda de dominio) |
Revisión trimestral de proveedores
## Revisión trimestral de seguridad de proveedores — Q4 2024
### Proveedores de Nivel 1
| Proveedor | ¿SOC 2 vigente? | ¿Incidentes? | Vence el contrato | Acción necesaria |
|-----------|-----------------|-------------|-------------------|-----------------|
| Salesforce | Sí (exp. 03/25) | Ninguno | 06/2025 | Solicitar informe actualizado |
| GitHub | Sí | Ninguno | 12/2025 | Ninguna |
| AWS | Sí | Ninguno | Continuo | Ninguna |
| Gusto | Sí | Ninguno | 01/2025 | Revisión de renovación |
### Proveedores de Nivel 2
| Proveedor | Última evaluación | Problemas | Acción necesaria |
|-----------|-------------------|-----------|-----------------|
| Mailchimp | 2024-01 | Ninguno | Reevaluar 2025-07 |
| Intercom | 2024-03 | Ninguno | Ninguna |
| Datadog | 2024-06 | Ninguno | Ninguna |
### Nuevos proveedores añadidos este trimestre
| Proveedor | Nivel | Estado de evaluación | Responsable |
|-----------|-------|---------------------|-------------|
| Notion | 2 | Completado | TI |
| Figma | 3 | En progreso | Diseño |
### Elementos de acción
1. Solicitar SOC 2 actualizado de Salesforce (vence 03/25)
2. Completar la evaluación de Figma
3. Negociar addendum de seguridad para la renovación de Gusto
Casos especiales
Dependencias de código abierto
El código abierto es un proveedor con el que no tiene contrato.
Factores de riesgo:
- Agotamiento del mantenedor (único mantenedor, repositorio inactivo)
- Actualizaciones maliciosas de paquetes (typosquatting, toma de cuenta)
- Vulnerabilidades conocidas (sin parches)
Mitigaciones:
- Usar escaneo de dependencias (Dependabot, Snyk, Trivy)
- Fijar versiones, no usar latest a ciegas
- Revisar actualizaciones de versiones principales
- Monitorizar avisos de seguridad
- Considerar alternativas para paquetes abandonados
Recursos:
- OpenSSF Scorecard — Métricas automatizadas de salud de seguridad para código abierto
- deps.dev — Información sobre paquetes de código abierto
- Snyk Advisor — Puntuaciones de salud de paquetes
Contratistas y consultores
Los contratistas son de alto riesgo: a menudo temporales, usan dispositivos personales, menos verificados que los empleados.
Requisitos de seguridad para contratistas:
- Verificación de antecedentes antes del acceso
- NDA firmado antes de cualquier acceso a datos
- Usar dispositivos gestionados por la empresa (o requerir MDM en los personales)
- Alcance de acceso limitado — solo lo que se necesita
- Acceso revisado y revocado al final del proyecto
- Formación en seguridad igual que para los empleados
Plantilla de solicitud de acceso para contratistas:
## Solicitud de acceso para contratista
Nombre del contratista: [Nombre]
Empresa: [Empresa]
Proyecto: [Descripción]
Duración: [Inicio] hasta [Fin]
Patrocinador: [Empleado interno]
### Acceso solicitado
| Sistema | Nivel de acceso | Justificación | Aprobado por |
|---------|-----------------|---------------|-------------|
| GitHub | Solo lectura (repo X) | Revisión de código | [Líder] |
| Jira | Ver/Comentar | Seguimiento del proyecto | [PM] |
| Entorno de staging | Desplegar | Pruebas | [DevOps] |
### Prerequisitos
- [ ] NDA firmado
- [ ] Verificación de antecedentes completada
- [ ] Formación en seguridad completada
- [ ] MFA configurado en el IdP de la empresa
- [ ] Política de uso aceptable reconocida
### Proceso de finalización del acceso
- [ ] Fecha de revocación del acceso: [Fecha]
- [ ] Responsable de la revocación: [Persona]
- [ ] Producto de trabajo transferido: [Sí/No]
Adquisiciones y fusiones
Cuando su empresa adquiere o es adquirida, el riesgo del proveedor cambia.
Adquirir una empresa:
- Heredar sus relaciones con proveedores (y el riesgo)
- Auditar su inventario de proveedores
- Aplicar sus estándares de proveedores a los nuevos
- Planificar el cronograma de integración
Ser adquirido:
- El adquirente auditará su postura de proveedores
- Un inventario limpio de proveedores demuestra madurez
- Las evaluaciones documentadas aceleran la diligencia debida
Errores comunes
-
SaaS en la sombra — Los departamentos adoptan herramientas sin conocimiento de TI/seguridad. Implemente un proceso de compras.
-
Evaluación única — Evaluar solo al incorporar. El riesgo del proveedor evoluciona; reevalúe periódicamente.
-
Confiar en las certificaciones ciegamente — SOC 2 no significa seguro. Lea el informe, busque las excepciones.
-
Sin términos contractuales — Aceptar los términos del proveedor sin negociación. Como mínimo, negocie la notificación de brechas.
-
Ignorar los subprocesadores — Su proveedor usa proveedores. Una brecha en su subprocesador le afecta a usted.
-
Sobre-evaluar proveedores de bajo riesgo — Una encuesta de 100 preguntas para una herramienta de $50/mes desperdicia el tiempo de todos.
-
Sin proceso de baja — Los contratos de proveedor terminan, pero su acceso puede no hacerlo. Revoque y audite.
-
Asumir que nube = seguro — AWS/GCP/Azure son seguros; cómo los configura no es su responsabilidad.
Consejos de experto
La «verificación rápida de 10 minutos»
Para la clasificación rápida de cualquier proveedor:
- Revise su página de seguridad — ¿Tienen una? ¿Es detallada?
- Busque SOC 2/ISO 27001 — ¿Aparece públicamente?
- Busque «[nombre del proveedor] brecha» — ¿Algún incidente?
- Consulte SecurityScorecard/BitSight — ¿Cuál es su puntuación externa?
- Revise su Centro de Confianza — ¿Publican los subprocesadores?
Esto le da un 80% de confianza en 10 minutos.
Use el informe SOC 2 del proveedor eficazmente
Los informes SOC 2 son densos. Enfóquese en:
- Sección IV: Descripción del Sistema — ¿Qué está en el alcance? ¿Es completo?
- Sección V: Compromisos principales del servicio y requisitos del sistema — ¿A qué se comprometieron?
- Pruebas de controles — Busque «excepciones» o «desviaciones». Estas son fallas.
- Controles de entidad de usuario complementarios (CUECs) — ¿Cuál es SU responsabilidad?
Señales de alerta:
- Muchas excepciones sin remediación
- Alcance estrecho (por ejemplo, solo un producto, no la infraestructura)
- Solo Tipo I (puntual, no sostenido)
Construir una cultura de seguridad de proveedores
Haga que la seguridad de los proveedores sea responsabilidad de todos:
- Compras: Incluir la revisión de seguridad en el proceso de compras
- Jefes de departamento: Son responsables del riesgo de sus herramientas
- Security Champion: Establecer estándares, asistir en evaluaciones
- Legal: Incluir términos de seguridad en todos los contratos
Puntuación del riesgo de proveedores
Cuantifique el riesgo del proveedor con un modelo simple:
Puntuación de riesgo del proveedor = (Sensibilidad de datos + Nivel de acceso + Criticidad) × Postura de seguridad
Escala 1-5 para cada factor:
Sensibilidad de datos:
1 = Sin datos sensibles
3 = Datos internos/de empleados
5 = PII de clientes, financieros, de salud
Nivel de acceso:
1 = Solo vista, alcance limitado
3 = Lectura/escritura, alcance moderado
5 = Acceso de administrador, operaciones privilegiadas
Criticidad:
1 = Agradable de tener, fácilmente reemplazable
3 = Importante, algo de esfuerzo para reemplazar
5 = Crítico, el negocio se detiene sin él
Postura de seguridad (puntuación inversa):
1 = Fuerte (SOC 2 Tipo II, sin problemas)
3 = Moderada (SOC 2 Tipo I, algunas brechas)
5 = Débil (Sin certificaciones, malas prácticas)
Ejemplos de cálculo:
| Proveedor | Datos | Acceso | Crítico | Postura | Puntuación | Nivel |
|---|---|---|---|---|---|---|
| Salesforce | 5 | 4 | 5 | 1 | 14 | 1 |
| GitHub | 4 | 5 | 5 | 1 | 14 | 1 |
| SaaS aleatorio | 3 | 2 | 2 | 4 | 28 | 2 |
| Herramienta de diseño | 1 | 1 | 1 | 2 | 6 | 4 |
Mayor puntuación = mayor riesgo. Puntuación > 30 = considere alternativas.
Lista de verificación de baja del proveedor
Cuando termina una relación con un proveedor:
## Lista de verificación de baja del proveedor
Proveedor: [Nombre]
Fecha de finalización: [Fecha]
Razón: [Fin del contrato / Reemplazado / Brecha]
Responsable: [Nombre]
### Revocación de acceso
- [ ] Eliminar cuentas del proveedor de todos los sistemas
- [ ] Revocar claves API/tokens emitidos al proveedor
- [ ] Eliminar del SSO/IdP si aplica
- [ ] Deshabilitar integraciones entre sistemas
- [ ] Eliminar de los canales de Slack/Teams
- [ ] Revocar cualquier certificado emitido
### Manejo de datos
- [ ] Solicitar confirmación de eliminación de datos por escrito
- [ ] Exportar cualquier dato que necesitemos retener
- [ ] Verificar el cronograma de eliminación según el contrato
- [ ] Actualizar los registros de procesamiento de datos
### Credenciales
- [ ] Rotar las credenciales a las que el proveedor tenía acceso
- [ ] Revisar y rotar claves API para servicios conectados
- [ ] Invalidar cualquier sesión
### Documentación
- [ ] Actualizar el inventario de proveedores (marcar como inactivo)
- [ ] Archivar la documentación de evaluación
- [ ] Archivar los documentos del contrato
- [ ] Registrar la razón de la terminación
### Verificación
- [ ] Confirmar que no queda acceso del proveedor (probar)
- [ ] Recibir certificado de eliminación si es requerido
- [ ] Cerrar cualquier ticket/problema abierto
Completado por: _______________ Fecha: _______
Revisado por: _______________ Fecha: _______
Victorias rápidas para la seguridad de proveedores
- Habilitar SAML/SSO en todas partes — La baja se vuelve automática
- Exigir SOC 2 para el Nivel 1 — No negociable para proveedores críticos
- Bloquear SaaS no autorizado — Usar CASB o controles de red si es necesario
- Revisión anual de contratos — Oportunidad para añadir términos de seguridad
Taller: programa de seguridad de proveedores
Parte 1: Inventario de proveedores (2 horas)
-
Compile la lista completa de proveedores
- Revisar datos financieros/de gastos
- Verificar aplicaciones conectadas al SSO
- Encuestar a los jefes de departamento
-
Rellene la plantilla de inventario con:
- Nombre y categoría del proveedor
- Tipo de acceso a datos
- Criticidad de negocio
- Propietario del contrato
- Fecha de vencimiento del contrato
Entregable: Hoja de cálculo completa del inventario de proveedores
Parte 2: Clasificación y planificación de evaluaciones (1 hora)
- Asignar nivel a cada proveedor (1–4)
- Identificar brechas de evaluación:
- ¿Qué proveedores de Nivel 1 carecen de SOC 2?
- ¿Cuáles necesitan cuestionario?
- Crear calendario de evaluaciones
Entregable: Lista de proveedores clasificada con plan de evaluación
Parte 3: Addendum de seguridad (1 hora)
- Personalice la plantilla de Addendum de seguridad para su empresa
- Identifique contratos que se renuevan en los próximos 6 meses
- Planifique la negociación de términos de seguridad
Entregable: Addendum de seguridad listo para contratos
Parte 4: Proceso de seguridad para contratistas (30 minutos)
- Documentar el proceso de solicitud de acceso para contratistas
- Definir prerequisitos (NDA, verificación de antecedentes, formación)
- Establecer lista de verificación de baja
Entregable: Documento de proceso de seguridad para contratistas
Cómo explicar esto al liderazgo
El discurso:
«Confiamos en más de 75 proveedores con nuestros datos y sistemas. Ahora mismo, no tenemos visibilidad de sus prácticas de seguridad. Un proveedor comprometido podría dar a los atacantes acceso a los datos de nuestros clientes. Quiero construir un proceso simple para evaluar, monitorizar y responsabilizar a los proveedores.»
El riesgo:
«El ataque promedio a la cadena de suministro afecta a cientos de empresas. SolarWinds comprometió 18.000 organizaciones. No podemos controlar a nuestros proveedores, pero podemos elegirlos cuidadosamente y establecer expectativas en los contratos.»
La solicitud:
«Necesito 40 horas para construir el inventario inicial de proveedores y el proceso de evaluación. En adelante, 2–3 horas por nuevo proveedor y 4 horas trimestralmente para las revisiones.»
El valor:
- Reducción del riesgo de compromiso de proveedores
- Incorporación más rápida (proceso establecido)
- Apalancamiento contractual cuando surjan problemas
- Demuestra madurez a clientes y auditores
Conclusión
El riesgo de proveedores es el problema de seguridad que no controla. No puede corregir su código, formar a sus empleados o monitorizar su infraestructura. Lo que puede hacer es elegir proveedores cuidadosamente, establecer expectativas contractuales y saber qué hacer cuando uno de ellos se vea comprometido.
El cuestionario de proveedor que omite hoy es el informe de incidente que escribe el próximo año.
Qué sigue
Siguiente: inteligencia de amenazas y monitorización — cómo mantenerse informado sobre los ataques dirigidos a empresas como la suya.