El control número quince de los CIS aborda un riesgo que crece cada año y que casi nadie gestiona: los proveedores de servicio. Tu empresa no opera sola; depende de terceros que tocan tus datos y tus sistemas —el proveedor de nube, el software como servicio, el que administra tu TI, el que procesa tus pagos—. Y aquí está la verdad incómoda: una brecha en cualquiera de ellos puede ser una brecha en ti. Tu seguridad es, en parte, tan fuerte como la del eslabón más débil de tu cadena de proveedores.
Por qué el riesgo de terceros es tan real
Cuando le das a un proveedor acceso a tus sistemas o le confías tus datos, le estás extendiendo tu perímetro de seguridad. Si ese proveedor es comprometido, el atacante puede llegar a ti a través de él, saltándose tus propias defensas. Los ataques a la cadena de suministro —comprometer a un proveedor para llegar a sus clientes— se han vuelto una táctica preferida justamente porque es eficiente: comprometes uno, alcanzas a muchos. El proveedor con acceso a tu red y malas prácticas de seguridad es una puerta trasera que tú no controlas directamente pero por la que pueden entrar a tu casa.
Qué pide en la práctica
- Un inventario de proveedores que manejan tus datos o acceden a tus sistemas: saber quiénes son y a qué tienen acceso.
- Evaluar su seguridad según la criticidad: no es lo mismo el que hospeda tu base de datos de clientes que el que te vende papelería. A los que tocan lo sensible, se les exige y verifica más.
- Requisitos contractuales de seguridad: dejar por escrito qué deben cumplir y cómo deben notificarte ante un incidente.
- Gestionar el ciclo completo, incluida la salida: revocar accesos y recuperar o eliminar datos cuando la relación termina —algo que se descuida tanto como cambiar de proveedor sin dejar cabos sueltos.
El aterrizaje honesto
No puedes auditar a fondo a cada proveedor, y no hace falta: el trabajo es proporcional al riesgo. Concentra el rigor en los pocos que tocan lo crítico, y aplica lo básico al resto. Esto se cruza con evaluar bien a quién contratas —lo mismo que pedimos al evaluar proveedores por calidad y no solo por precio—: parte de esa evaluación es su seguridad. En un mundo donde todo se terceriza, ignorar el riesgo de proveedores es dejar abierta una puerta que ni siquiera está en tu edificio, pero que da a tu casa.