Gestión de riesgos de proveedores para pymes: una clasificación práctica

Cada suscripción SaaS implica un riesgo que delegas en un tercero. ¿Cómo decides cuáles de tus 30 proveedores merecen atención especial?

El riesgo de proveedor (o riesgo de terceros) es el riesgo de que un proveedor te cause problemas: una brecha de datos, una interrupción del servicio o un incumplimiento normativo. En una pyme no puedes tratar a los 30 proveedores de la misma manera.

Clasificación por niveles

\n
• Nivel 1 — crítico: procesa datos personales o es esencial para el negocio. M365, contabilidad, CRM, hosting.
\n
• Nivel 2 — importante: da soporte a procesos clave y tiene acceso a datos corporativos. Slack, herramientas de diseño, nóminas.
\n
• Nivel 3 — bajo riesgo: herramientas independientes sin datos de clientes ni función crítica. LinkedIn Premium, software de edición de vídeo.
\n

Requisitos por nivel

\n
• Nivel 1: informe ISO 27001 o SOC 2 (revisión anual), DPA, SLA de disponibilidad, acuerdo de notificación de incidentes.
\n
• Nivel 2: DPA y certificación básica de seguridad.
\n
• Nivel 3: solo verificación de la política de privacidad.
\n

Revisión anual de proveedores

\n
1. Actualiza la lista de proveedores desde tu inventario SaaS.
\n
2. Revisa los proveedores de nivel 1: ¿mantienen la certificación vigente? ¿Hay nuevos subencargados? ¿Historial de incidentes?
\n
3. Comprobación puntual del nivel 2: ¿sigue vigente el DPA?
\n
4. Informe a la dirección.
\n

Al incorporar un nuevo proveedor

\n
• Determina el nivel antes de firmar el contrato.
\n
• Proveedores de nivel 1: diligencia debida previa (página de confianza, cuestionario de seguridad, referencias).
\n
• Niveles 2 y 3: DPA estándar y verificación de privacidad.
\n

Véase también: Inventario SaaS, DPA's.