Checklist de evaluación de riesgo de proveedores

ENISA Threat Landscape 2025 confirmó: los ataques a la cadena de suministro representaron el 28% de todas las brechas UE confirmadas — subiendo desde el 12% en 2022. El Artículo 21(2)(d) NIS2 mandata explícitamente la gestión de riesgo de proveedores. SOC 2 Type 2, ISO 27001 (A.5.19-A.5.22) y la mayoría de contratos B2B ahora requieren evaluaciones documentadas de riesgo de proveedores. Esta checklist es la herramienta operativa para hacerlo sin duplicar su plantilla.

• 28% de las brechas UE en 2025 se originaron en un proveedor (ENISA)
• Dwell time medio en ataques de cadena de suministro: 9 meses
• Impacto financiero medio: 2,4× una brecha directa
• Número medio de dependencias de cuarto nivel en un stack PYME: 47

No todos los proveedores requieren el mismo escrutinio. Una clasificación de 4 niveles — basada en acceso a datos, acceso a sistemas y criticidad operativa — enfoca su esfuerzo donde importa.

• Nivel 1 (Crítico) — proveedores con acceso admin a sus sistemas O procesando datos regulados en su nombre. Evaluación completa + reevaluación anual.
• Nivel 2 (Alto) — proveedores con acceso regular a datos no regulados o acceso no-admin a sistemas. Evaluación completa + reevaluación bienal.
• Nivel 3 (Medio) — proveedores con acceso limitado a datos (ej. facturación, marketing). Evaluación ligera.
• Nivel 4 (Bajo) — proveedores sin acceso a datos o sistemas (ej. material de oficina). Autoatestación del proveedor.

Nuestra checklist agrupa 30 preguntas en 6 dominios. Cada proveedor Nivel 1 y 2 debe responder; los auditores buscan evidencia de cumplimentación y su decisión de aceptación de riesgo.

• Gobierno y certificación (5 preguntas): SOC 2 Type 2, estado ISO 27001, alcance NIS2
• Identidad y acceso (5 preguntas): MFA, joiner-mover-leaver, mínimo privilegio
• Protección de datos (6 preguntas): cifrado at rest/in transit, ubicación de datos, subencargados
• Respuesta a incidentes (4 preguntas): SLA de notificación, último incidente, capacidad de respuesta
• Resiliencia (5 preguntas): compromisos RPO/RTO, última prueba DR, redundancia geográfica
• Cumplimiento (5 preguntas): DPA RGPD firmado, mecanismo de transferencia (CCEs/IDTA), derechos de auditoría

Algunas respuestas deben eliminar automáticamente a un proveedor independientemente del precio. Documente cada descalificación — le protege cuando compras pregunte por qué dijo no.

• Se niega a firmar el DPA del Artículo 28 RGPD → descalificado
• Sin SOC 2 / ISO 27001 / equivalente para servicios Nivel 1 → descalificado o plan de remediación
• Subencargados no divulgados o cambian sin aviso → descalificado
• No puede cumplir notificación de brecha en 24h → descalificado para PYME en alcance NIS2
• Aloja en jurisdicciones sin decisión de adecuación y rechaza CCEs → descalificado para datos personales

Una checklist completada una vez y archivada es teatro. El riesgo de proveedores operativo requiere tres cosas: un registro, una cadencia de revisión y una manera de actuar sobre los hallazgos.

• Mantenga un único registro de proveedores con nivel, fecha de última evaluación, puntuación de riesgo residual y fecha de renovación
• Auto-dispare reevaluación 60 días antes de la renovación del contrato
• Reporte trimestral al consejo: top 5 riesgos de proveedor, estado de mitigación, nuevos proveedores onboardados
• Test de penetración anual de integraciones con proveedores Nivel 1
• Plan de salida documentado para cada proveedor Nivel 1 (extracción de datos, transición, eliminación)