El riesgo de terceros en la cadena de suministro
La seguridad de una organización es tan fuerte como el eslabón más débil de su cadena de suministro. Esto implica que la seguridad corporativa depende también de los proveedores. Un único tercero con debilidades puede convertirse en una vía de acceso al entorno corporativo.
Normativas como NIS2 y DORA imponen obligaciones específicas sobre la gestión del riesgo de terceros, haciendo que la auditoría de la cadena de suministro sea no solo una buena práctica, sino un requisito legal en muchos sectores.
Nuestras medidas de gestión del riesgo de terceros
- Evaluación de la postura de seguridad de proveedores críticos
- Identificación de vulnerabilidades derivadas de accesos compartidos y conexiones externas
- Verificación del cumplimiento normativo en todo el ecosistema de proveedores
- Clasificación de proveedores por nivel de criticidad y riesgo
- Priorización de riesgos y recomendaciones prácticas para su mitigación
- Diseño de contratos y cláusulas de seguridad con terceros
- Establecimiento de un proceso continuo de gestión del riesgo de terceros
¿Qué normativas regulan el riesgo de terceros?
- NIS2: Exige a las entidades esenciales e importantes gestionar los riesgos de su cadena de suministro
- DORA: Requisitos específicos de gestión del riesgo TIC de terceros para el sector financiero
- ISO 27001: Control A.5.19 - Seguridad de la información en las relaciones con proveedores
- ENS: Requisitos de seguridad en la contratación con terceros para la Administración Pública
Proceso de auditoría de proveedores
- Inventario y clasificación del ecosistema de proveedores
- Cuestionarios de seguridad adaptados al nivel de criticidad
- Revisión documental de políticas y procedimientos de los proveedores
- Evaluación de controles de acceso y conexiones externas
- Informe de riesgos identificados y plan de mitigación
- Seguimiento periódico del riesgo del ecosistema