¿Tu proveedor es seguro? Averígualo ahora.
Vamos al grano:
¿Tu proveedor cuenta con un Plan de Continuidad del Negocio (PCN) y realiza test de vulnerabilidades de forma periódica?
Si la respuesta es “no”, tienes un problema más grave de lo que imaginas.
En la Unión Europea, la Directiva NIS2 obliga a los proveedores digitales a demostrar que implementan medidas de seguridad adecuadas. En España, el Real Decreto-ley 12/2018 refuerza estas exigencias. Y a nivel de estándares internacionales, la ISO 27001 requiere evaluaciones de riesgos y planes de continuidad del negocio.
Ahora bien, cuidado con esto:
Tener la certificación ISO 27001 no garantiza que un proveedor realice tests de vulnerabilidades ni que su PCN esté bien definido o actualizado.
Y si no lo hacen, ¿cómo puedes estar seguro de que su infraestructura no es un coladero?
¿Qué puedes hacer?
✅ Solicita la Declaración de Aplicabilidad de su ISO 27001 (para saber qué controles implementan).
✅ Pide detalles específicos sobre su Plan de Continuidad del Negocio.
✅ Pregunta si realizan pruebas de penetración y análisis de riesgos internos.
Si no pueden darte respuestas claras, es momento de replantearte si estás en buenas manos.
¿A qué proveedores deberías exigir estas garantías?
Para proteger de verdad tu empresa, empieza por estos grupos clave, en este orden:
-
Infraestructura tecnológica y software crítico (Cloud, servidores, SaaS).
-
Proveedores de software o SaaS críticos.
-
Proveedores financieros y de pago.
-
Proveedores con acceso a tu red o datos.
-
Comunicaciones y redes.
-
Logística y cadena de suministro.
🔒 En ciberseguridad, la confianza no se asume… se demuestra.
Si un proveedor no puede acreditar medidas de seguridad sólidas, es una señal de alerta.
