- Altos ejecutivos deben involucrarse activamente en la evaluación y monitoreo de terceros para proteger los activos críticos de sus organizaciones.
La transformación digital ha ampliado el ecosistema empresarial, haciendo que cada organización dependa de una red de proveedores que, sin quererlo, puede convertirse en una gran vulnerabilidad. Desde servicios en la nube hasta software especializado, infraestructura y consultoría, estas relaciones externas son fundamentales para operar; sin embargo, también pueden abrir puertas inesperadas a las amenazas cibernéticas.
“Los proveedores pueden transformarse en vectores de riesgo que comprometen la seguridad de la organización. Las amenazas pueden manifestarse a través de accesos no autorizados a sistemas críticos, especialmente cuando los proveedores cuentan con accesos remotos para tareas de soporte técnico. También se presentan al manejar información confidencial —como datos personales, financieros o estratégicos— o al establecer integraciones de red que permiten la comunicación directa entre los sistemas del proveedor y los de la empresa”, dice David Pereira, gerente general Latam de Inside Security, consultora de ciberseguridad con más de 18 años de experencia.
El ejecutivo agrega que, cuando los proveedores recurren a subcontratistas sin los controles adecuados, se amplía aún más la superficie de ataque, multiplicando las posibilidades de exposición. Por todo esto, la gestión de proveedores debe ser abordada con el mismo nivel de rigurosidad que cualquier otro activo crítico del negocio.
Los riesgos invisibles de trabajar con terceros
Evaluar a los proveedores desde una perspectiva de ciberseguridad es hoy una práctica esencial, pues los riesgos asociados no son homogéneos, y varían según el tipo de proveedor, el nivel de acceso que tienen a los sistemas internos y la sensibilidad de la información que manejan.
Entre los principales riesgos se encuentra el acceso no autorizado a información crítica, especialmente cuando operan con credenciales privilegiadas o utilizan herramientas inseguras para compartir datos. También son comunes las vulnerabilidades técnicas, como el uso de software desactualizado, configuraciones incorrectas o protocolos obsoletos que pueden dejar expuesta la infraestructura tecnológica.
El incumplimiento normativo es otro punto de alerta, sobre todo en el contexto actual, donde normativas como la Ley Fintech y la Ley de Protección de Datos Personales, próxima a entrar en vigencia, imponen obligaciones adicionales sobre los terceros que procesan o almacenan información sensible. A esto se suma el riesgo creciente en la cadena de suministro digital, en la que los proveedores pueden integrar subcontratistas sin conocimiento ni supervisión directa por parte de la organización, lo que amplía considerablemente la superficie de exposición. Finalmente, no deben subestimarse las amenazas internas, derivadas de errores o acciones maliciosas por parte del personal de los proveedores, así como los riesgos de continuidad operativa en aquellos casos en que los proveedores carecen de planes de respaldo adecuados o enfrentan problemas financieros que puedan afectar su capacidad de servicio. Todos estos factores refuerzan la necesidad de adoptar un enfoque estratégico, preventivo y sostenido en el tiempo para la gestión de terceros.
Un enfoque estratégico y de alta dirección
Es clave tener un enfoque integral para la gestión de proveedores basado en cuatro etapas interrelacionadas. La primera consiste en identificar y clasificar a los proveedores según su nivel de acceso a los sistemas de la organización, el tipo de información que manejan y su impacto potencial sobre la operación. Esta etapa permite establecer prioridades y enfocar los esfuerzos de seguridad donde más se requieren.
La segunda etapa corresponde a la evaluación de seguridad, en la que se revisan aspectos como las políticas internas del proveedor, la gestión de accesos y privilegios, el cifrado de datos sensibles, el cumplimiento normativo vigente, la capacitación de sus equipos y su capacidad de respuesta ante incidentes de ciberseguridad. La tercera etapa implica implementar un monitoreo continuo. “Más allá de la evaluación inicial, se trata de establecer mecanismos de control periódico y automatizado que permitan detectar cambios en el perfil de riesgo de los proveedores y responder a tiempo ante posibles vulnerabilidades”, dice David Pereira. Finalmente, la cuarta etapa se orienta a la gestión de incidentes y la mejora continua. Aquí se definen protocolos claros para actuar en caso de que un proveedor sea comprometido, incluyendo la exigencia de notificación oportuna, el análisis de causas y consecuencias, y la incorporación de aprendizajes que fortalezcan el modelo general de evaluación.
David recalca que en este aspecto el rol de la alta dirección es clave. “La gestión de proveedores ya no puede entenderse solo como una función operativa. Se trata de un componente estratégico de la ciberseguridad organizacional que requiere la atención y liderazgo de los altos ejecutivos. Su involucramiento directo no solo fortalece la cultura interna de seguridad, sino que también eleva los estándares que se exigen a terceros. Los líderes deben asumir un rol activo en este ámbito, incorporando la evaluación de proveedores como un tema recurrente en las agendas de gobierno corporativo y recibiendo reportes periódicos sobre el estado de seguridad de los proveedores más críticos”.
Equipo Prensa
Portal Innova
