Riesgos de terceros: el eslabón débil en la ciberseguridad de tus clientes

¿La próxima brecha de seguridad que afecte a tus clientes? Probablemente no vendrá de dentro de sus sistemas, sino a través de un proveedor de confianza, una herramienta SaaS (software como servicio) que su equipo de finanzas contrató o un subcontratista desconocido para el departamento de IT. Este es el nuevo frente de ataque, y la mayoría de las organizaciones no están preparadas.

El perímetro moderno se ha expandido

Durante años, la ciberseguridad se centró en proteger un perímetro definido con firewalls, controles de dispositivos e identidades. Pero ese perímetro ya no existe. Los datos de los clientes residen en aplicaciones SaaS de terceros, fluyen a través de APIs de proveedores y son procesados por subcontratistas que, a veces, ni siquiera son conocidos por los equipos internos de IT.

Según el informe de Verizon de 2025 sobre investigaciones de brechas de datos, los terceros están involucrados en el 30% de las brechas. El informe de IBM de 2025 sobre el coste de las brechas de datos estima que el coste medio de solucionar una brecha causada por un tercero es de 4,91 millones de dólares. La exposición a riesgos de terceros se ha convertido en una característica central de las operaciones empresariales modernas.

De trámite a función de riesgo central

El enfoque tradicional para gestionar el riesgo de proveedores se basaba en cuestionarios anuales, hojas de cálculo y algún que otro correo electrónico de seguimiento. Esto nunca fue suficiente, y ahora es aún más costoso. Normativas como CMMC, NIS2 y DORA han elevado el listón significativamente. Ahora, el cumplimiento requiere una supervisión continua y demostrable de los controles de terceros.

Se prevé que el gasto global en TPRM (Third-Party Risk Management o Gestión de Riesgos de Terceros) crezca de 8.300 millones de dólares en 2024 a 18.700 millones de dólares en 2030. Las organizaciones están tratando la supervisión de proveedores como una función de gobierno, al mismo nivel que la respuesta a incidentes o la gestión de identidades, porque el coste de ignorarlo se ha vuelto demasiado alto.

Convertir TPRM en una fuente de ingresos

Cada nuevo proveedor que un cliente incorpora crea un posible riesgo. Las actualizaciones regulatorias son razones naturales para revisar los programas de gestión de riesgos de terceros, y cada brecha de seguridad que se remonta a un tercero refuerza los riesgos. Una buena gestión de riesgos de terceros mantiene a los proveedores de servicios integrados en la estrategia del cliente, en lugar de relegarlos a un soporte reactivo.

Los proveedores que desarrollan capacidades de TPRM estructuradas descubren que se abren las puertas a:

• Trabajos de asesoramiento de seguridad más amplios
• Mayores valores de retención
• Relaciones con los clientes más sólidas basadas en un impacto empresarial real
• Diferenciación en un mercado de servicios gestionados saturado
• Una gestión de riesgos de terceros creíble, que señala madurez a los clientes potenciales

Qué significa esto para ti

Los ecosistemas de proveedores de los que dependen tus clientes seguirán creciendo y volviéndose más complejos, con más plataformas SaaS, herramientas impulsadas por IA, subcontratistas y escrutinio regulatorio. Las organizaciones que gestionen bien esta exposición tendrán una ventaja significativa en resiliencia y cumplimiento. Construir una práctica de TPRM estructurada y escalable crea mucho más valor que añadir personal o crear programas a medida para cada cliente.