⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Adquisición de software con seguridad exigida en la compra en 2026

Igor Petreski

Es martes por la mañana a principios de 2026 y María, CISO de una empresa europea de pagos en rápida expansión, presenta ante el Consejo de Administración. El último punto del orden del día debería ser rutinario: aprobar una nueva plataforma de detección de fraude basada en IA. El proveedor cuenta con una demostración convincente, un descuento por tiempo limitado, un resumen de seguridad de una página y un contrato estándar.

Entonces empiezan las preguntas.

El Director General pregunta: “¿Cómo sabemos que esta plataforma es segura? Nuestros clientes de servicios financieros nos piden evidencias de cumplimiento de DORA, y este proveedor pasa a formar parte de nuestra infraestructura crítica”.

El área jurídica pregunta si el Contrato de encargo del tratamiento está listo, dónde se tratarán los datos de clientes de la UE y si se han declarado los subencargados. El responsable de resiliencia operativa pregunta por la planificación de salida, las exportaciones de copias de seguridad y la continuidad de las funciones críticas. El ingeniero de seguridad de producto solicita divulgación de vulnerabilidades, evidencias de aplicación de parches y un SBOM o una declaración equivalente de transparencia de componentes. Compras formula la pregunta que encarece el riesgo de proveedores: “¿Podemos aprobar ahora y recopilar los documentos después de la firma?”

Ese es el momento en el que la adquisición moderna de software se convierte en un control o en un futuro informe de incidente.

En 2026, la adquisición segura de software no puede depender de la buena voluntad posterior a la firma del contrato. La seguridad de la cadena de suministro de NIS2, el riesgo de terceros de TIC de DORA, la responsabilidad proactiva del encargado del tratamiento en GDPR y las expectativas de seguridad de producto del Cyber Resilience Act han trasladado el aseguramiento de proveedores al punto de decisión de compra. Los compradores necesitan una adquisición de software con seguridad exigida en la compra, donde el cliente define las evidencias de seguridad, las cláusulas contractuales, las puertas de incorporación y las responsabilidades operativas antes de comprar.

Para los clientes de Clarysec, la respuesta no es otra hoja de cálculo destinada a perderse en el correo electrónico. Es un sistema de control de adquisiciones alineado con ISO/IEC 27001:2022, mapeado mediante las políticas de Clarysec, el Zenith Blueprint: An Auditor’s 30-Step Roadmap y Zenith Controls, de modo que cada compra de software o SaaS cuente con una trazabilidad defendible desde la necesidad de negocio hasta la decisión de riesgo del proveedor.

La seguridad exigida en la compra es el nuevo control de adquisición de software

La seguridad desde el diseño suele abordarse desde la perspectiva del proveedor. La seguridad exigida en la compra es la disciplina del comprador: la organización se niega a adquirir software salvo que el proveedor pueda demostrar que la seguridad, la privacidad, la resiliencia, la gestión de vulnerabilidades y la auditabilidad están integradas en la oferta.

Esto cambia la conversación de compra. En lugar de preguntar “¿Tienen seguridad?”, Compras plantea preguntas más precisas:

  • ¿Qué datos van a tratar, dónde y bajo qué rol jurídico?
  • ¿Qué función de la organización dependerá de ustedes y cuál es su criticidad?
  • ¿Qué evidencias demuestran que sus controles operan, y no solo que están documentados?
  • ¿A qué plazos de notificación de incidentes se comprometen?
  • ¿Qué evidencias de divulgación de vulnerabilidades, aplicación de parches, SBOM o VEX pueden aportar?
  • ¿Qué subcontratistas o subencargados accederán a nuestros datos o al servicio?
  • ¿Podemos auditar, inspeccionar o solicitar evidencias durante la vigencia del contrato?
  • ¿Qué ocurre en caso de terminación, migración, brecha de seguridad, insolvencia o requerimiento regulatorio?

ISO/IEC 27001:2022 aporta la estructura de sistema de gestión para este cambio. La cláusula 4 exige que la organización comprenda el contexto, las partes interesadas y el alcance del SGSI, incluidos los requisitos regulatorios externos y de proveedores. La cláusula 5 convierte el riesgo de proveedores en una responsabilidad de liderazgo y gobernanza. La cláusula 6 exige evaluación de riesgos, tratamiento de riesgos, selección de controles, Declaración de Aplicabilidad y decisiones sobre riesgo residual. La cláusula 8 exige la operación controlada de los procesos, incluidos los procesos proporcionados externamente. La cláusula 9 exige seguimiento, auditoría interna y revisión por la dirección.

Esto significa que la adquisición de software no es solo un flujo comercial. Pasa a ser un proceso del SGSI operado y auditable. Reguladores y auditores preguntan cada vez más por qué una organización aceptó un proveedor antes de comprender el riesgo. La adquisición con seguridad exigida en la compra ofrece una respuesta clara: el riesgo fue evaluado, tratado, regulado contractualmente y asignado antes de crear la dependencia.

Por qué NIS2, DORA, GDPR y CRA convergen en la selección de proveedores

El Consejo de Administración de María plantea las preguntas correctas porque un único proveedor de software puede activar varias obligaciones a la vez.

NIS2 se aplica por sector, tamaño y criticidad, y sus Annex I y Annex II incorporan al alcance a muchas organizaciones digitales, financieras, de infraestructura, de servicios gestionados y dependientes de la nube. Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas, incluidas la seguridad de la cadena de suministro, la adquisición segura, el desarrollo y mantenimiento seguros, la gestión de vulnerabilidades, el control de acceso, la gestión de activos, la continuidad, la gestión de incidentes y la evaluación de la eficacia de los controles. Article 21(3) exige específicamente atender a las vulnerabilidades de proveedores directos y a las prácticas de ciberseguridad de los proveedores. Article 23 establece expectativas de notificación escalonada de incidentes significativos, incluida una alerta temprana en un plazo de 24 horas y una notificación en un plazo de 72 horas.

DORA se aplica desde el 17 de enero de 2025 a las entidades financieras incluidas en su ámbito de aplicación. Establece requisitos uniformes de gestión del riesgo de las TIC, notificación de incidentes relacionados con las TIC, pruebas de resiliencia operativa digital y gestión del riesgo de terceros de TIC. DORA es especialmente prescriptivo en materia de adquisición. Las entidades financieras necesitan estrategias de riesgo de terceros de TIC, registros de acuerdos de servicios TIC, diligencia debida, análisis de riesgo de concentración, contratos escritos con disposiciones de seguridad y resiliencia, derechos de auditoría y acceso, deberes de cooperación, derechos de terminación y planes de salida. Articles 28 and 30 son centrales para el riesgo de terceros de TIC y los controles contractuales, mientras que Articles 17 to 23 configuran la gestión y notificación de incidentes.

GDPR añade la puerta de responsabilidad proactiva del encargado del tratamiento. Articles 5, 28, 32, 33 and 34 exigen responsabilidad proactiva, contratos con encargados del tratamiento, seguridad adecuada, cooperación en la notificación de brechas de seguridad y gestión del impacto sobre los interesados. Un proveedor SaaS que trata datos personales no es solo un proveedor. Pasa a formar parte de la postura de cumplimiento del responsable del tratamiento. El DPA, las medidas técnicas y organizativas, la lista de subencargados, las garantías aplicables a la transferencia, las reglas de conservación y las obligaciones de supresión deben comprenderse antes de que comience el tratamiento.

Las expectativas de CRA añaden aseguramiento de producto. Incluso cuando el comprador no es el fabricante, los equipos de compras deben exigir evidencias de desarrollo seguro, gestión de vulnerabilidades, soporte del producto, actualizaciones de seguridad, divulgación coordinada de vulnerabilidades y transparencia de componentes, como un SBOM o una declaración equivalente. Estos requisitos deben estar en las RFP, los anexos de seguridad y las puertas de aceptación.

El denominador común es simple: la organización compradora debe saber qué está comprando, qué riesgo incorpora y qué evidencias puede aportar cuando reguladores, clientes o auditores las soliciten.

La columna vertebral de controles ISO 27001 para el aseguramiento de proveedores

El modelo de adquisición con seguridad exigida en la compra más eficaz no se construye regulación por regulación. Empieza por los controles. Clarysec utiliza ISO/IEC 27001:2022 como columna vertebral del SGSI, con apoyo de la guía de controles ISO/IEC 27002:2022 y el mapeo de cumplimiento transversal en Zenith Controls.

En Zenith Controls, el aseguramiento de proveedores se ancla en los controles ISO/IEC 27002:2022 5.19, 5.20 y 5.21. No son elementos aislados de una lista de verificación. Forman un ciclo de vida de adquisición.

Control ISO/IEC 27002:2022Pregunta de adquisiciónEvidencia de seguridad exigida en la compraRiesgo principal reducido
5.19 Seguridad de la información en las relaciones con proveedores¿Debemos contratar a este proveedor?Clasificación del proveedor, diligencia debida, calificación del riesgo, titularidad, cadencia de reevaluaciónExposición desconocida al proveedor
5.20 Tratamiento de la seguridad de la información en los acuerdos con proveedores¿Son exigibles nuestros requisitos?Anexo de seguridad, DPA, SLA, derechos de auditoría, notificación de incidentes, cláusulas de subcontratistas, cláusulas de salidaDebilidad contractual
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC¿Pueden comprometernos las dependencias TIC aguas abajo?Lista de subcontratistas, controles de subencargados, arquitectura en la nube, evidencias de componentes, gestión de vulnerabilidades, análisis de concentraciónRiesgo oculto de cadena de suministro y tecnología

Zenith Controls mapea estos controles ISO con expectativas regulatorias y de auditoría. No crea controles propietarios separados denominados Zenith Controls. Ayuda a los equipos a comprender cómo los controles ISO/IEC 27002:2022 respaldan NIS2, DORA, GDPR, NIST CSF 2.0 y el aseguramiento orientado a COBIT.

La red de controles de apoyo también importa. El aseguramiento de proveedores se conecta con la gestión de activos, el control de acceso, la seguridad en la nube, la gestión de vulnerabilidades, el registro de eventos, la gestión de incidentes, la preparación TIC para la continuidad del negocio, el desarrollo seguro, la seguridad de aplicaciones, la gestión de configuraciones, las copias de seguridad, la redundancia, el cumplimiento legal, la privacidad, la gestión de cambios y la revisión independiente. Compras coordina el proceso, pero la propiedad del riesgo debe incluir al responsable de negocio, seguridad de la información, asesoría jurídica, privacidad, TI, finanzas y el propietario del servicio.

Puertas de política de Clarysec antes de la firma

El modelo de políticas de Clarysec desplaza deliberadamente el aseguramiento de proveedores hacia fases tempranas. El lenguaje más firme aparece donde corresponde: antes de firmar acuerdos, antes de activar suscripciones en la nube y antes de compartir datos.

La versión para pymes de la Política de Seguridad de Terceros y Proveedores de Clarysec establece:

Evaluar y documentar los riesgos de proveedores antes de firmar acuerdos o conceder acceso.

Esto procede de la sección “Objetivos”, cláusula de política 3.3. La cláusula es breve porque la intención de control no es negociable: sin evaluación de riesgos, no hay contrato ni acceso.

Para entornos empresariales, la Política de Seguridad de Terceros y Proveedores de Clarysec refuerza la puerta precontractual:

Todos los nuevos proveedores deben someterse a una evaluación de seguridad documentada antes de la ejecución del contrato.

Esto procede de la sección “Requisitos de implementación de la política”, cláusula de política 6.1.1. La misma política también identifica “Derechos de auditoría, inspección y solicitud de evidencias de seguridad” en la sección “Requisitos de gobernanza”, cláusula de política 5.3.4.

Para la compra de servicios en la nube y SaaS, la Política de Uso de la Nube para pymes añade una puerta práctica de aprobación:

Todo uso de servicios en la nube debe ser revisado y aprobado por el Director General (DG) antes de su implementación o suscripción.

Esto procede de la sección “Requisitos de gobernanza”, cláusula de política 5.1. En una organización pequeña, esa aprobación puede equivaler a un comité de gobernanza de la nube. En una empresa, se convierte en un flujo de trabajo entre compras, seguridad, privacidad y arquitectura. La Política de Uso de la Nube empresarial también respalda los requisitos contractuales de nube, incluidas disposiciones exigibles en contratos con CSP.

Para la adquisición de software, la Política de requisitos de seguridad de las aplicaciones empresarial es explícita:

Los acuerdos de adquisición de software o externalización deben incluir requisitos de seguridad en las RFP, contratos y SLA, incluidas disposiciones sobre plazos de remediación de vulnerabilidades y derechos de auditoría de terceros.

Esto procede de la sección “Requisitos de gobernanza”, cláusula de política 5.4. Observe el orden: RFP, contratos y SLA. La seguridad aparece en la fase de interacción con el mercado, no como un anexo posterior a la adjudicación.

Para adquisiciones impulsadas por GDPR, la Política de Cumplimiento Legal y Normativo para pymes de Clarysec exige:

Las cláusulas del contrato de encargo del tratamiento (DPA) o términos contractuales equivalentes deben acordarse antes de compartir cualquier dato personal o sensible.

Esto procede de la sección “Requisitos de implementación de la política”, cláusula de política 6.3.2. Así se evita uno de los fallos más comunes en la incorporación de SaaS: cargar datos personales en una herramienta antes de acordar los términos del encargado del tratamiento, las obligaciones relativas a brechas de seguridad y las condiciones de subencargados.

Para la seguridad de aplicaciones de proveedor, la Política de requisitos de seguridad de las aplicaciones para pymes exige que compras:

especifique obligaciones de divulgación de vulnerabilidades, tiempos de respuesta y aplicación de parches.

Esto procede de la sección “Requisitos de gobernanza”, cláusula de política 5.3.2. También establece:

El DG debe solicitar documentación o certificaciones (por ejemplo, SOC 2, ISO 27001, informes de pruebas de seguridad) como evidencia del cumplimiento del proveedor, cuando corresponda.

Esto procede de la sección “Requisitos de implementación de la política”, cláusula de política 6.3.2. La palabra clave es evidencia. La adquisición con seguridad exigida en la compra no se basa en declaraciones de confianza. Se basa en artefactos revisables.

La puerta de adquisición de Zenith Blueprint

Zenith Blueprint trata la seguridad de proveedores como un control operado, no como un eslogan de compras. En la fase Controls in Action, el Step 23 cubre los controles organizativos 5.19 a 5.37, incluida la seguridad de la información en las relaciones con proveedores.

El Blueprint explica:

Empieza con la clasificación del proveedor. No todos los proveedores conllevan el mismo riesgo. Un servicio de limpieza puede tener acceso físico a las oficinas, pero no a las redes. Una empresa de pruebas de penetración o un proveedor de alojamiento en la nube, en cambio, puede tener acceso técnico profundo al núcleo de su infraestructura. La clasificación debe considerar si el proveedor maneja o trata directamente su información, si proporciona infraestructura o plataformas sobre las que usted opera, si gestiona o mantiene sistemas en su nombre y si su compromiso podría afectar a sus objetivos de confidencialidad, integridad o disponibilidad.

Para el control 5.20, el Blueprint es directo:

Las áreas clave que normalmente se abordan en los acuerdos con proveedores incluyen obligaciones de confidencialidad; responsabilidades de control de acceso; medidas técnicas y organizativas para protección de datos, cifrado, transmisión segura, copia de seguridad y compromisos de disponibilidad; plazos y protocolos de notificación de incidentes; derecho de auditoría, incluida frecuencia, alcance y acceso a evidencias relevantes; controles de subcontratistas; y disposiciones de fin de contrato como devolución o destrucción de datos, recuperación de activos y desactivación de cuentas.

Concluye que el control 5.20 es “su última línea de palanca” y “pertenece a la puerta de adquisición”. Una vez firmado el contrato, el poder de negociación disminuye. Antes de la firma, las evidencias y obligaciones pueden convertirse en condiciones de compra.

Para el desarrollo externalizado, la fase Controls in Action, Step 21, control 8.30, añade otro requisito de adquisición. El Blueprint establece:

En el núcleo de este control está el principio de que la seguridad debe ser un requisito contractual, no una expectativa verbal.

Los equipos externalizados deben cumplir los mismos estándares de desarrollo seguro que los equipos internos, incluidos análisis estático, revisión por pares, cifrado, MFA para repositorios y visibilidad sobre código, decisiones de arquitectura, vulnerabilidades, solicitudes de cambio, registros de CI/CD y resultados de escaneos.

Construya una puerta RFP con seguridad exigida en la compra en una tarde

Suponga que su organización quiere una plataforma de analítica de clientes. Ingerirá identificadores de clientes, eventos de comportamiento, metadatos de soporte y referencias de transacciones. El responsable de negocio quiere una aprobación rápida. El equipo de seguridad dispone de una semana.

Empiece con un registro de puerta de adquisición utilizando la Política de Seguridad de Terceros y Proveedores, la Política de requisitos de seguridad de las aplicaciones, la Política de Uso de la Nube, la Política de Cumplimiento Legal y Normativo y el Step 23 de Zenith Blueprint como documentos fuente.

Campo de la puertaEntrada de ejemplo
Nombre del proveedorProveedor SaaS de analítica de clientes
Tipo de servicioSaaS en la nube que trata datos de clientes y de uso
Responsable de negocioResponsable de Operaciones de Cliente
Datos implicadosIdentificadores de clientes, eventos de uso, metadatos de soporte, referencias de transacciones
Rol GDPRProbable encargado del tratamiento por parte del proveedor, organización como responsable del tratamiento
CriticidadAlta si se utiliza para decisiones de atención al cliente, media si solo es analítica
Relevancia NIS2El proveedor soporta operaciones de servicios digitales y puede afectar al impacto de incidentes
Relevancia DORARelevante si la analítica respalda operaciones de servicios financieros o informes de funciones críticas
Relevancia de aseguramiento CRASeguridad de producto, gestión de vulnerabilidades, soporte de actualizaciones, transparencia de componentes
Calificación inicial del riesgoAlta, pendiente de evidencias de DPA, incidentes, subcontratistas y exportación
Condición de aprobaciónSin contrato antes de la evaluación de seguridad y la revisión del DPA y del anexo de seguridad

Adjunte a la RFP un cuestionario de seguridad exigida en la compra. Evite preguntas genéricas como “¿Cifran los datos?”. Plantee preguntas basadas en evidencias:

  1. Proporcione su informe vigente de aseguramiento de seguridad independiente, certificado o evidencias de control equivalentes.
  2. Identifique ubicaciones de alojamiento, opciones de residencia de datos, ubicaciones de copias de seguridad y ubicaciones de acceso de soporte.
  3. Proporcione el DPA, la lista de subencargados y el proceso de notificación de cambios de subencargados.
  4. Confirme los plazos de notificación de incidentes, incluido soporte de alerta temprana de 24 horas cuando puedan activarse flujos de trabajo NIS2 y soporte de notificación por fases para clientes regulados por DORA.
  5. Proporcione la política de divulgación de vulnerabilidades, SLA de parcheo por severidad y evidencias de gobernanza reciente de remediación de vulnerabilidades.
  6. Proporcione evidencias de seguridad de producto, como descripción del ciclo de vida de desarrollo seguro, resumen de pruebas de penetración, SBOM o declaración de transparencia de componentes, y periodo de soporte de actualizaciones de seguridad.
  7. Confirme MFA, mínimo privilegio, registro de eventos, supervisión de acceso administrativo y derechos de auditoría del cliente o de solicitud de evidencias.
  8. Describa exportación, supresión, devolución, soporte de terminación y asistencia de transición.
  9. Enumere subcontratistas sustanciales y dependencias TIC que soportan el servicio.
  10. Confirme si los datos de clientes se utilizan para formación, analítica, mejora del producto o desarrollo de modelos de IA, e identifique la base jurídica o el modelo de instrucción del encargado del tratamiento.

A continuación, puntúe al proveedor antes de negociar.

Dominio de requisitosCondición de aceptaciónCondición de rechazo o escalado
Evidencias de seguridadInforme de aseguramiento vigente, resumen de pruebas de seguridad o documentación equivalenteSolo declaraciones de marketing, sin evidencias disponibles
Preparación del encargado del tratamiento GDPRDPA aceptado antes de compartir datos, subencargados declaradosDPA pospuesto hasta después de la incorporación o términos vagos sobre subencargados
Compromisos de incidentesPlazo contractual de notificación, contactos de escalado, soporte de impacto al clienteEl proveedor rechaza obligaciones específicas de notificación o cooperación
Gestión de vulnerabilidadesCanal de divulgación, SLA de remediación basado en severidad, evidencias del proceso de parcheoSin proceso de divulgación o sin compromisos de remediación
Cadena de suministro TICAlojamiento, subcontratistas y dependencias críticas declaradasEl proveedor no identifica proveedores críticos aguas abajo
Salida y resilienciaExportación, supresión, copia de seguridad y asistencia de terminación documentadasSin evidencias de exportación o supresión probadas
AuditabilidadDerecho a solicitar evidencias, inspeccionar o auditar proporcionalmenteEl proveedor no permite un aseguramiento significativo tras la firma

Por último, actualice el Registro de Riesgos y la Declaración de Aplicabilidad. El registro de tratamiento de riesgos debe mostrar por qué se aplican los controles ISO/IEC 27002:2022 5.19, 5.20 y 5.21, qué requisitos contractuales y técnicos se seleccionaron, quién es propietario del riesgo residual y qué cadencia de supervisión se aplica. Si el negocio quiere continuar pese a las brechas, utilice un registro formal de aceptación del riesgo con fecha de caducidad, controles compensatorios y aprobación ejecutiva.

Cláusulas contractuales que convierten la regulación en obligaciones exigibles

Las expectativas de seguridad deben convertirse en compromisos contractuales. Un certificado puede ser útil, pero rara vez responde a todas las preguntas sobre el servicio exacto, la ubicación de los datos, los subcontratistas, el modelo de soporte, los compromisos ante incidentes o los derechos de salida.

Exigencia regulatoriaGuía de políticas de ClarysecEjemplo de cláusula contractual
DORA Article 30 derechos de auditoría y estrategia de salidaLa Política de Seguridad de Terceros y Proveedores, cláusula 5.3.4, exige “Derechos de auditoría, inspección y solicitud de evidencias de seguridad”El proveedor acepta proporcionar acceso a la documentación de seguridad relevante previa notificación razonable y apoyar la devolución ordenada de datos, su supresión y la transición del servicio tras la terminación.
NIS2 Article 21 seguridad de la cadena de suministro y gestión de vulnerabilidadesLa Política de requisitos de seguridad de las aplicaciones, cláusula 5.4, exige plazos de remediación de vulnerabilidades y derechos de auditoría de tercerosEl proveedor deberá mantener un proceso de divulgación de vulnerabilidades, notificar al Cliente las vulnerabilidades críticas que afecten al servicio y proporcionar plazos de remediación basados en severidad.
GDPR Article 28 obligaciones del encargado del tratamientoLa Política de Cumplimiento Legal y Normativo, cláusula 6.3.2, exige términos de DPA antes de compartir datosEl Acuerdo incorpora un Contrato de encargo del tratamiento que regula los datos personales, subencargados, medidas de seguridad, cooperación ante brechas de seguridad, conservación y supresión.
Gobernanza del servicio en la nubeLa Política de Uso de la Nube, cláusula 5.1, exige revisión y aprobación antes de la implementación o suscripciónEl proveedor deberá declarar regiones de alojamiento, ubicaciones de copias de seguridad, controles de cifrado, controles de acceso administrativo y registros de acceso a datos del cliente.
Expectativas de seguridad de producto de CRALa Política de requisitos de seguridad de las aplicaciones - pyme, cláusula 5.3.2, exige divulgación de vulnerabilidades, tiempos de respuesta y aplicación de parchesEl proveedor deberá proporcionar evidencias de seguridad de producto, transparencia de componentes cuando sea aplicable, divulgación coordinada de vulnerabilidades y compromisos de actualizaciones de seguridad.

Esta tabla es el puente práctico entre las obligaciones legales y el trabajo de compras. También ayuda a asesoría jurídica, seguridad y compras a negociar desde la misma configuración de referencia de controles.

Mapeo de cumplimiento transversal: un expediente de proveedor, muchas obligaciones

La ventaja de utilizar ISO/IEC 27001:2022 como columna vertebral es que un único expediente de aseguramiento de proveedores puede respaldar múltiples conversaciones regulatorias.

MarcoQué debe demostrar comprasFoco de control de Clarysec
NIS2Supervisión de la dirección, seguridad de la cadena de suministro, adquisición segura, gestión de vulnerabilidades, gestión de incidentes, continuidad y prácticas de ciberseguridad del proveedorClasificación del proveedor, cláusulas de seguridad, compromisos de vulnerabilidades e incidentes, supervisión del proveedor
DORAEstrategia de terceros de TIC, registro de acuerdos, diligencia debida, análisis de concentración, cláusulas contractuales, derechos de auditoría, cooperación en incidentes y planes de salidaRegistro de proveedores TIC, calificación de criticidad, controles contractuales, evidencias de pruebas de resiliencia, soporte de terminación
GDPRRoles de responsable y encargado del tratamiento, DPA antes del tratamiento, seguridad del tratamiento, cooperación ante brechas de seguridad, gobernanza de subencargados, evidencias de responsabilidad proactivaPuerta DPA, mapeo de datos, lista de subencargados, medidas técnicas y organizativas, compromisos de conservación y supresión
Expectativas CRASeguridad de producto, desarrollo seguro, divulgación de vulnerabilidades, soporte de actualizaciones, transparencia de componentes y evidencias de seguridadAnexo de seguridad de producto de la RFP, SBOM o evidencia equivalente, SLA de parcheo, obligaciones de divulgación de vulnerabilidades
NIST CSF 2.0Gestión de riesgos de la cadena de suministro, roles de proveedores, contratos, diligencia debida, supervisión, planificación de incidentes y planificación posterior a la terminaciónAcciones de brecha entre perfil actual y objetivo, registro de riesgos de proveedores, cadencia de supervisión
COBIT 2019 y práctica de auditoría ISACAGobernanza del aprovisionamiento, propiedad del riesgo, objetivos de control, evidencias de proceso y alineación beneficio-riesgo-recursosRegistros de decisión, RACI, aceptación del riesgo, métricas, pista de auditoría interna

NIST CSF 2.0 es útil como capa de comunicación. Su función GOVERN enfatiza la conciencia legal, regulatoria, contractual, de privacidad y de dependencias. Sus resultados GV.SC de cadena de suministro exigen procesos de gestión de riesgos de la cadena de suministro, roles de proveedores, priorización de proveedores por criticidad, requisitos contractuales, diligencia debida, supervisión, planificación de incidentes y planificación de terminación.

Esto mapea limpiamente con el Step 23 de Zenith Blueprint y los controles ISO/IEC 27002:2022 5.19 a 5.21 tal como se mapean en Zenith Controls. También proporciona a los Consejos de Administración un lenguaje que comprenden: estado actual, estado objetivo, brecha, riesgo, acción, propietario y fecha.

Qué preguntarán los auditores

Un proceso sólido de adquisición con seguridad exigida en la compra debe resistir diferentes enfoques de auditoría.

Un auditor ISO/IEC 27001:2022 comenzará por el contexto y alcance del SGSI. Preguntará si las interfaces y dependencias de proveedores están incluidas, si los requisitos de partes interesadas incluyen NIS2, DORA, GDPR y contratos de clientes, y si los riesgos de proveedores se evalúan de forma coherente con la metodología de riesgos. Seguirá la trazabilidad hacia el tratamiento de riesgos, la Declaración de Aplicabilidad, los controles de proveedores, las evidencias operativas, la auditoría interna y la revisión por la dirección.

Un revisor DORA se centrará en funciones de negocio soportadas por TIC, funciones críticas o importantes, registros de dependencias de terceros, cláusulas contractuales, derechos de auditoría y acceso, cooperación ante incidentes, pruebas de resiliencia, estrategias de salida y riesgo de concentración. Si un SaaS soporta una función crítica o importante, un cuestionario ligero de proveedor no será suficiente.

Una autoridad NIS2 preguntará cómo evaluó la organización las prácticas de ciberseguridad de los proveedores, las vulnerabilidades de proveedores directos, el soporte de notificación de incidentes, las dependencias de continuidad y las decisiones de adquisición segura. Comprobará si el aseguramiento de proveedores respalda las obligaciones propias de la organización bajo Article 21 y Article 23.

Un revisor GDPR preguntará si los roles de responsable y encargado del tratamiento se comprendieron antes de iniciar el tratamiento, si se acordó un DPA o términos equivalentes antes de compartir datos, si se declararon subencargados, si las medidas de seguridad eran adecuadas, si la cooperación ante brechas de seguridad es contractual y si la devolución o supresión de datos es exigible.

Un auditor de estilo COBIT 2019 o ISACA se centrará en la gobernanza y la responsabilidad proactiva: quién aprobó el proveedor, qué riesgo se aceptó, si se siguieron los requisitos de la política, si se registran las excepciones y si se equilibraron beneficios, riesgos y recursos.

Su paquete de evidencias debe incluir clasificación del proveedor, aprobación del responsable de negocio, evaluación de riesgos, requisitos de seguridad de la RFP, respuestas del proveedor, DPA, anexo de seguridad, SLA, derechos de auditoría, registro de subencargados, compromisos de vulnerabilidades, cláusulas de incidentes, evidencias de ubicación en la nube, evidencias de registro de eventos y cifrado, términos de salida, registros de reevaluación, excepciones y mapeo de la Declaración de Aplicabilidad.

Patrones comunes de fallo en la compra de software

El primer fallo es tratar la adquisición como un flujo comercial y la seguridad como un flujo técnico. Cuando seguridad recibe el contrato, el negocio ya se ha comprometido psicológicamente, la fecha de implementación se ha anunciado y la capacidad de negociación es débil.

El segundo fallo es sustituir evidencias. Un proveedor entrega un certificado y el comprador asume que responde a todas las preguntas. La certificación puede ayudar, pero puede no cubrir el producto exacto, la región de alojamiento, el modelo de soporte, la cadena de subcontratistas, las obligaciones ante incidentes, el uso de datos para IA o los requisitos de salida.

El tercer fallo es omitir el riesgo aguas abajo. Un proveedor SaaS puede depender de alojamiento en la nube, herramientas de analítica, plataformas de soporte, equipos de desarrollo offshore, proveedores de modelos de IA y procesadores de pago. El control ISO/IEC 27002:2022 5.21 exige atención a la cadena de suministro TIC situada detrás del proveedor directo. Bajo DORA, esto se conecta con la subcontratación y el riesgo de concentración. Bajo GDPR, se conecta con los subencargados. Bajo NIS2, se conecta con las vulnerabilidades de proveedores directos y las prácticas de ciberseguridad de los proveedores.

El cuarto fallo es un lenguaje débil sobre incidentes. Un contrato que dice “el proveedor notificará al cliente sin demora” puede no respaldar la alerta temprana de NIS2, la notificación por fases de DORA, las comunicaciones con clientes o el escalado interno. Las cláusulas de incidentes necesitan plazos, desencadenantes, contactos, deberes de cooperación y obligaciones de evidencias.

El quinto fallo son derechos de salida poco claros. Si un proveedor pasa a ser inseguro, no conforme, adquirido, insolvente o estratégicamente inadecuado, el comprador necesita exportación, supresión, soporte de transición, desactivación de cuentas y evidencias de destrucción. La salida no es una consideración jurídica posterior. Es un control de resiliencia.

De la puerta de adquisición al aseguramiento vivo de proveedores

La adquisición con seguridad exigida en la compra no termina con la firma. Un ciclo de vida de proveedores maduro al estilo Clarysec tiene cinco etapas.

Etapa del ciclo de vidaActividad de controlRegistro de evidencias
DemandaNecesidad de negocio, datos y criticidad identificados antes de la interacción con el mercadoFormulario de recepción, clasificación de datos, calificación de criticidad
SelecciónLa RFP incluye requisitos de seguridad, privacidad, resiliencia y aseguramiento de productoAnexo de RFP, respuestas del proveedor, hoja de puntuación
ContratoLas obligaciones son exigibles antes de la firmaDPA, anexo de seguridad, SLA, derechos de auditoría, cláusulas de incidentes y salida
IncorporaciónSe validan acceso, configuración, registro de eventos, cifrado y flujos de datosLista de verificación de incorporación, aprobaciones de acceso, evidencias de configuración
OperaciónEl riesgo del proveedor se supervisa y reevalúaCadencia de revisión, evidencias actualizadas, incidentes, cambios, aceptación del riesgo

Para proveedores de alto riesgo, la supervisión debe incluir actualización de evidencias, reuniones de revisión de seguridad, participación en ejercicios de mesa de incidentes, revisión de acceso, informes de vulnerabilidades y parches, revisión de cambios del servicio y actualizaciones de subencargados. Para proveedores de menor riesgo, una revisión anual puede ser suficiente. La escalabilidad de ISO 27001, la proporcionalidad de NIS2 y la proporcionalidad de DORA respaldan la adaptación, pero la adaptación debe justificarse y documentarse.

El siguiente paso con Clarysec

La próxima compra SaaS de riesgo no esperará a un rediseño perfecto de la gobernanza. Empiece con la próxima solicitud de adquisición.

Utilice Zenith Blueprint: An Auditor’s 30-Step Roadmap para implementar los controles de relaciones con proveedores del Step 23 y los controles de desarrollo externalizado del Step 21. Utilice Zenith Controls para mapear los controles ISO/IEC 27002:2022 5.19, 5.20 y 5.21 con NIS2, DORA, GDPR, NIST CSF 2.0 y las expectativas de auditoría orientadas a COBIT. Utilice la biblioteca de políticas de Clarysec, incluidas la Política de Seguridad de Terceros y Proveedores, la Política de requisitos de seguridad de las aplicaciones, la Política de Uso de la Nube y la Política de Cumplimiento Legal y Normativo, para hacer que la puerta sea exigible.

Antes de firmar el próximo contrato, exija clasificación del proveedor, evidencias de seguridad, preparación del DPA, compromisos ante incidentes, gestión de vulnerabilidades, transparencia de subcontratistas, derechos de auditoría y términos de salida.

Eso es adquisición con seguridad exigida en la compra. Así convierten los CISO la presión regulatoria en poder de compra. Así transforman los responsables de cumplimiento obligaciones solapadas en un único expediente de evidencias. Así ven los auditores que el riesgo del proveedor se consideró antes de crear la dependencia. Y así compran software los responsables de negocio con mayor rapidez sin heredar riesgos no gestionados.

¿Listo para convertir su próxima compra de software en un control preparado para auditorías? Explore la suite integrada de políticas de Clarysec, descargue Zenith Blueprint, revise Zenith Controls o programe una demostración para crear un programa de adquisición con seguridad exigida en la compra que resista NIS2, DORA, GDPR, las expectativas de CRA y el escrutinio real de los auditores.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article