Evaluación de seguridad de proveedores
¿Qué es Evaluación de seguridad de proveedores?
Evaluación de seguridad de proveedoresEvaluación estructurada de los controles, políticas y prácticas de seguridad de un proveedor externo, antes y durante la relación comercial, para medir el riesgo que introduce.
La evaluación de seguridad de proveedores es el proceso de examinar la postura de seguridad de la información de un proveedor para decidir si es aceptable contratarlo y fijar las condiciones de supervisión. Suele comenzar con una clasificación del riesgo inherente (sensibilidad de los datos, acceso a sistemas, criticidad para el negocio) que determina la profundidad de la evaluación, y luego reúne evidencias mediante cuestionarios de seguridad (SIG, CAIQ), informes de auditoría (SOC 2 Type II, certificados ISO/IEC 27001), resúmenes de pruebas de penetración, calificaciones de seguridad y, en ocasiones, validación técnica o presencial. Los hallazgos se puntúan, las brechas se siguen hasta su remediación y los resultados alimentan cláusulas contractuales, aceptación del riesgo o rechazo. Las evaluaciones se repiten periódicamente y tras cambios importantes, constituyendo el motor de recopilación de evidencias de los programas de gestión de riesgos de proveedores y terceros.
● Ejemplos
- 01
Un banco envía un cuestionario SIG y exige un informe SOC 2 Type II vigente antes de incorporar a un nuevo procesador de pagos.
- 02
Un comprador de SaaS solicita un resumen de prueba de penetración y revisa anualmente la calificación de seguridad del proveedor como parte de la renovación del contrato.
● Preguntas frecuentes
¿Qué es Evaluación de seguridad de proveedores?
Evaluación estructurada de los controles, políticas y prácticas de seguridad de un proveedor externo, antes y durante la relación comercial, para medir el riesgo que introduce. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Evaluación de seguridad de proveedores?
Evaluación estructurada de los controles, políticas y prácticas de seguridad de un proveedor externo, antes y durante la relación comercial, para medir el riesgo que introduce.
¿Cómo defenderse de Evaluación de seguridad de proveedores?
Las defensas contra Evaluación de seguridad de proveedores combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Evaluación de seguridad de proveedores?
Nombres alternativos comunes: Evaluación de seguridad de terceros, Revisión de seguridad de proveedores.