Skip to content

Explícame cómo evalúas y gestionas el riesgo de terceros (proveedores).

Respuesta breve

Trata el riesgo de proveedores como un ciclo de vida, no como un cuestionario puntual. Inventaría a tus terceros y clasifícalos por criticidad y sensibilidad de los datos. Ejecuta una due diligence proporcional al nivel — revisa informes SOC 2 / ISO 27001, cuestionarios de seguridad, resúmenes de pen-test, y los datos y accesos implicados. Incorpora controles al contrato (requisitos de seguridad, derecho de auditoría, notificación de brechas, tratamiento de datos, subprocesadores). Luego monitoriza de forma continua, no solo en el onboarding, y ten un proceso de offboarding limpio para revocar accesos y recuperar o destruir datos. El riesgo de cuarta parte (subprocesadores) también importa.

La mayoría de las brechas tienen hoy una vertiente de cadena de suministro, así que la gestión del riesgo de proveedores es una competencia central de GRC. Los entrevistadores preguntan esto para ver si lo tratas como un programa vivo o como un trámite de papeleo una vez al año.

Clasificar por criticidad

No puedes evaluar a todos los proveedores con la misma profundidad. Empieza con un inventario y luego clasifica a los proveedores según lo que tocan: la sensibilidad de los datos, el acceso que poseen y lo críticos que son para las operaciones. Un procesador de nóminas que maneja PII no representa el mismo riesgo que una suscripción de banco de imágenes.

Due diligence proporcional

Ajusta el rigor al nivel. Para los proveedores de nivel alto, revisa garantías independientes — certificados SOC 2 Type II o ISO 27001, resúmenes de pruebas de penetración, cuestionarios de seguridad (SIG/CAIQ) y su historial de brechas. Examina el flujo real de datos y la integración, no solo el folleto.

Contratar por seguridad

El contrato es donde se hace cumplir el riesgo. Exige requisitos de seguridad, plazos de notificación de brechas, tratamiento y residencia de datos, un derecho de auditoría y visibilidad sobre los subprocesadores (cuartas partes).

Monitorizar de forma continua

El riesgo no se congela en el onboarding. Usa monitorización continua —ratings de seguridad, alertas de brechas, vencimiento de certificados, reevaluación periódica— para detectar el deterioro entre las revisiones anuales.

Offboarding limpio

Cuando la relación termina, revoca los accesos, recupera o confirma la destrucción de los datos y cierra las integraciones. El acceso de proveedor que queda colgando es una clásica vía de ataque olvidada.

Por qué importa

Una respuesta sólida enmarca el riesgo de proveedores como un ciclo de vida completo y menciona el riesgo de cuarta parte. Eso indica que entiendes que firmar un PDF de SOC 2 una vez no es un programa.

Posibles preguntas de seguimiento

  • ¿Cómo gestionas el riesgo de cuarta parte (subprocesadores) en la cadena de suministro de un proveedor?
  • ¿Qué cláusulas contractuales exiges a un proveedor que procesa datos sensibles?
  • ¿Cómo mantienes una monitorización significativa entre reevaluaciones anuales?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.