{"id":8549,"date":"2023-05-30T10:44:26","date_gmt":"2023-05-30T10:44:26","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-3239\/"},"modified":"2026-05-10T19:14:58","modified_gmt":"2026-05-10T19:14:58","slug":"gestion-de-riesgos-de-terceros-el-riesgo-acecha-en-todas-partes-2","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2023\/05\/30\/gestion-de-riesgos-de-terceros-el-riesgo-acecha-en-todas-partes-2\/","title":{"rendered":"Gesti\u00f3n de riesgos de terceros: El riesgo acecha en todas partes"},"content":{"rendered":"<div id=\"attachment_3243\" style=\"width: 177px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-3243\" class=\"wp-image-3243\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2023\/05\/Thomas-Neuwert-37-250x333.jpg\" alt=\"\" width=\"167\" height=\"222\" srcset=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2023\/05\/Thomas-Neuwert-37-250x333.jpg 250w, https:\/\/www.securitytoday.de\/wp-content\/uploads\/2023\/05\/Thomas-Neuwert-37-768x1024.jpg 768w, https:\/\/www.securitytoday.de\/wp-content\/uploads\/2023\/05\/Thomas-Neuwert-37-700x933.jpg 700w, https:\/\/www.securitytoday.de\/wp-content\/uploads\/2023\/05\/Thomas-Neuwert-37-120x160.jpg 120w, https:\/\/www.securitytoday.de\/wp-content\/uploads\/2023\/05\/Thomas-Neuwert-37.jpg 1772w\" sizes=\"auto, (max-width: 167px) 100vw, 167px\" \/><\/p>\n<p id=\"caption-attachment-3243\" class=\"wp-caption-text\">Thomas Neuwert, neto consulting<\/p>\n<\/div>\n<p style=\"font-weight: 400;\"><em>La concienciaci\u00f3n sobre seguridad de la informaci\u00f3n, ciberseguridad y protecci\u00f3n de datos est\u00e1 creciendo ante el aumento de los ciberataques. Esa es una buena noticia. Sin embargo, el autor invitado y experto en seguridad Thomas Neuwert, de neto consulting, considera preocupante que las medidas de seguridad suelan detenerse justo en la puerta de la propia empresa. Los mayores riesgos, en cambio, se encuentran precisamente en los proveedores externos.<\/em><\/p>\n<p style=\"font-weight: 400;\">Hace aproximadamente dos a\u00f1os, un accidente ocurrido en el Canal de Suez puso de manifiesto lo vulnerables que pueden ser las cadenas de suministro  &#8211;  y, con ellas, toda la econom\u00eda mundial  &#8211; . En aquel momento, el buque portacontenedores \u00abEver Given\u00bb, de 400 metros de largo, casi 60 metros de ancho y m\u00e1s de 32 metros de altura, qued\u00f3 atravesado en esta estrat\u00e9gica v\u00eda mar\u00edtima, provocando un colapso global de las cadenas de suministro durante d\u00edas, semanas e incluso meses. Nada funcionaba ya en esta conocida \u00abautopista mar\u00edtima\u00bb. Los buques portacontenedores se acumularon y tuvieron que realizar desv\u00edos enormes. El caso del \u00abEver Given\u00bb ilustr\u00f3 de forma ejemplar un principio fundamental: las cadenas suelen romperse all\u00ed donde se encuentra su eslab\u00f3n m\u00e1s d\u00e9bil  &#8211;  en este caso, el canal estrecho  &#8211; , y siempre lo hacen en el momento menos esperado. Las consecuencias, en una econom\u00eda cada vez m\u00e1s interconectada y compleja, son inmensas.<\/p>\n<p><strong>Qu\u00e9 une al naufragio del buque con los riesgos inform\u00e1ticos<\/strong><\/p>\n<p style=\"font-weight: 400;\">Aunque el caso del \u00abEver Given\u00bb fue un suceso aislado, resulta perfectamente extrapolable a otros \u00e1mbitos, especialmente al manejo seguro de los datos y a la infraestructura TI. Ni la mejor estrategia de protecci\u00f3n ni el mejor plan para los procesos log\u00edsticos o la ciberseguridad sirven de nada si los socios comerciales no aplican tambi\u00e9n el debido rigor. En el caso del \u00abEver Given\u00bb, muchos pymes alemanas fueron las principales afectadas, pues sus suministros se vieron interrumpidos. En los casos de infracciones inform\u00e1ticas cometidas por terceros, tambi\u00e9n son las empresas principales las que acaban arrastradas al remolino negativo.<\/p>\n<p style=\"font-weight: 400;\"><strong>Amplio margen de mejora en la gesti\u00f3n de riesgos de terceros<\/strong><\/p>\n<p style=\"font-weight: 400;\">Para expresarlo con claridad: en materia de gesti\u00f3n de riesgos de terceros <a href=\"https:\/\/www.infopoint-security.de\/governance-risk-und-compliance-aus-einem-guss\/a33904\/\">Third Party Risk Management<\/a>, la situaci\u00f3n en la econom\u00eda alemana deja mucho que desear. Las m\u00e1ximas normas internas de seguridad carecen de valor si, por ejemplo, los socios de servicios en la nube gestionan de forma descuidada los riesgos relacionados con los datos. Hoy en d\u00eda ninguna empresa puede permitirse aislarse del mundo exterior como tal vez a\u00fan lo hace el r\u00e9gimen norcoreano. Debe abrir v\u00edas de intercambio de datos tanto hacia el interior como hacia el exterior de la organizaci\u00f3n: para clientes, empleados, as\u00ed como para los numerosos proveedores y socios comerciales. Adem\u00e1s, por razones de eficiencia y de costes, debe ser posible compartir datos y servicios con terceros o almacenarlos principalmente en la nube.<\/p>\n<p style=\"font-weight: 400;\">Sin embargo, esto incrementa simult\u00e1neamente los puntos de ataque. Cuando intervienen proveedores externos, las empresas no pueden confiar \u00fanicamente en las autoevaluaciones de dichos proveedores. Cualquier infracci\u00f3n cometida por un tercero puede derivar en cuantiosas p\u00e9rdidas financieras y graves da\u00f1os a la reputaci\u00f3n.<\/p>\n<p style=\"font-weight: 400;\"><strong>Gesti\u00f3n y supervisi\u00f3n de las asociaciones con proveedores externos<\/strong><\/p>\n<p style=\"font-weight: 400;\">Las relaciones con proveedores externos deben gestionarse de forma continua. Est\u00e1n vinculadas a riesgos empresariales graves y trasladan aspectos de control m\u00e1s all\u00e1 de los l\u00edmites de la propia empresa.<\/p>\n<p style=\"font-weight: 400;\">Seg\u00fan el <a href=\"https:\/\/www3.weforum.org\/docs\/WEF_Global_Cybersecurity_Outlook_2022.pdf\">Global Cybersecurity Outlook 2022<\/a>\u00a0(PDF) del Foro Econ\u00f3mico Mundial de Davos, los ciberataques indirectos  &#8211;  es decir, intrusiones exitosas en redes empresariales mediante proveedores externos  &#8211;  han aumentado, en los \u00faltimos a\u00f1os, del 44 al 61 por ciento. Con mayor frecuencia, las empresas ya no son atacadas directamente, sino a trav\u00e9s de terceros cuyos servicios inform\u00e1ticos, software o hardware han sido comprometidos. En Alemania ya se han visto afectadas grandes compa\u00f1\u00edas como Audi, Volkswagen o Mercedes-Benz  &#8211;  y el n\u00famero de pymes afectadas sigue creciendo. Adem\u00e1s de los socios inform\u00e1ticos en la nube, las empresas deber\u00edan ocuparse, en inter\u00e9s propio, de forma muy rigurosa de la seguridad de los datos de sus proveedores y socios. Y, en caso de incidente, debe garantizarse que un tercero informe de inmediato al resto de actores de la red sobre el ataque y, en su caso, sobre las medidas adoptadas. Esto deber\u00eda estar previamente regulado contractualmente. No obstante, cada empresa debe asegurarse de vigilar y examinar personalmente estas interfaces cr\u00edticas de TI.<\/p>\n<h2>En resumen<\/h2>\n<ul>\n<li>Los ciberataques indirectos a trav\u00e9s de proveedores externos han aumentado del 44 al 61 por ciento: el cortafuegos interno ya no basta<\/li>\n<li>Empresas como Audi, VW y Mercedes-Benz ya han sido comprometidas a trav\u00e9s de terceros<\/li>\n<li>La gesti\u00f3n de riesgos de terceros exige supervisi\u00f3n continua, salvaguardas contractuales y controles propios<\/li>\n<\/ul>\n<h2>Key Facts<\/h2>\n<p><strong>Aumento de los ataques indirectos:<\/strong> Del 44 al 61 por ciento, seg\u00fan el Global Cybersecurity Outlook 2022 del Foro Econ\u00f3mico Mundial<\/p>\n<p><strong>Empresas afectadas:<\/strong> Audi, Volkswagen, Mercedes-Benz  &#8211;  y, cada vez m\u00e1s, pymes<\/p>\n<p><strong>Problema central:<\/strong> Los propios est\u00e1ndares de seguridad no sirven de nada si los proveedores externos y los socios en la nube presentan vulnerabilidades<\/p>\n<p><strong>Soluci\u00f3n:<\/strong> Obligaci\u00f3n contractual de informar sobre incidentes de seguridad y auditor\u00edas peri\u00f3dicas propias de los socios<\/p>\n<p><strong>Dato:<\/strong> Seg\u00fan AV-TEST, el n\u00famero de nuevas variantes de malware descubiertas diariamente supera las 450.000.<\/p>\n<p><strong>Dato:<\/strong> Seg\u00fan AV-TEST, el n\u00famero de nuevas variantes de malware descubiertas diariamente supera las 450.000.<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<h3>\u00bfQu\u00e9 es la gesti\u00f3n de riesgos de terceros?<\/h3>\n<p>La gesti\u00f3n de riesgos de terceros comprende todas las medidas destinadas a identificar, evaluar y controlar los riesgos derivados de las relaciones comerciales con proveedores externos. Entre ellos se incluyen los proveedores de servicios en la nube, los socios inform\u00e1ticos, los proveedores y todas las organizaciones externas que tengan acceso a los datos empresariales.<\/p>\n<h3>\u00bfPor qu\u00e9 constituyen los proveedores externos un riesgo tan elevado para la seguridad?<\/h3>\n<p>Ninguna empresa puede aislarse completamente. Debe establecer v\u00edas de intercambio de datos con clientes, empleados, proveedores y servicios en la nube. Cada una de estas interfaces representa una posible puerta de entrada para los atacantes, que seleccionan deliberadamente el eslab\u00f3n m\u00e1s d\u00e9bil de la cadena.<\/p>\n<h3>\u00bfQu\u00e9 relaci\u00f3n tiene el accidente del Canal de Suez con la ciberseguridad?<\/h3>\n<p>El bloqueo causado por el \u00abEver Given\u00bb mostr\u00f3 de forma ejemplar lo vulnerables que son los sistemas interconectados: las cadenas se rompen en su eslab\u00f3n m\u00e1s d\u00e9bil, y las consecuencias afectan a todos los implicados. Este principio es igualmente v\u00e1lido para las cadenas de suministro inform\u00e1ticas y los flujos de datos.<\/p>\n<h3>\u00bfC\u00f3mo pueden reducir las empresas los riesgos derivados de los proveedores externos?<\/h3>\n<p>Las empresas deben incorporar requisitos de seguridad en los contratos, llevar a cabo auditor\u00edas peri\u00f3dicas de sus socios y supervisar personalmente las interfaces cr\u00edticas de TI. Asimismo, debe acordarse previamente la obligaci\u00f3n de informar de forma inmediata sobre cualquier incidente.<\/p>\n<h3>\u00bfAfecta la gesti\u00f3n de riesgos de terceros \u00fanicamente a grandes corporaciones?<\/h3>\n<p>No. Precisamente las pymes est\u00e1n muy expuestas, ya que suelen depender en gran medida de proveedores externos de servicios inform\u00e1ticos y de soluciones en la nube, sin disponer de medios para verificar por s\u00ed mismas el nivel de seguridad de dichos proveedores.<\/p>\n<h2>Lecturas complementarias en la red<\/h2>\n<p><a href=\"https:\/\/www.cloudmagazin.com\">Seguridad en la nube y gesti\u00f3n de proveedores en cloudmagazin.com<\/a><\/p>\n<p><a href=\"https:\/\/www.mybusinessfuture.com\">Riesgos en la cadena de suministro y digitalizaci\u00f3n en mybusinessfuture.com<\/a><\/p>\n<p><a href=\"https:\/\/www.digital-chiefs.de\">Gesti\u00f3n de riesgos a nivel directivo en digital-chiefs.de<\/a><\/p>\n<p>Imagen del t\u00edtulo: <a href=\"https:\/\/www.freepik.com\/free-photo\/still-life-supply-chain-representation_33412461.htm\">Freepik<\/a><\/p>\n<p style=\"font-weight: 400;\">&#8212;<\/p>\n<p><strong>Sobre el autor<br \/>\n<\/strong><span style=\"font-weight: 400;\">Thomas Neuwert es director general de la consultora <\/span><span style=\"font-weight: 400;\"><a href=\"https:\/\/neto.consulting\/\">neto consulting<\/a><\/span><span style=\"font-weight: 400;\"> con sede en Rosenheim. La empresa ofrece asesoramiento integral en materia de gobernanza, gesti\u00f3n de riesgos y cumplimiento normativo (Governance, Risk and Compliance). Como producto central para soluciones automatizadas, neto consulting apuesta por la soluci\u00f3n \u00abembedded GRC\u00bb de GORISCON: permite a las empresas implementar de forma eficiente y optimizada los procesos en distintos \u00e1mbitos  &#8211;  desde la seguridad de la informaci\u00f3n y la protecci\u00f3n de datos hasta la gesti\u00f3n de riesgos  &#8211;  mediante flujos de trabajo soportados por TI.<\/span><\/p>\n<p style=\"text-align: right;\">\n<h2>Art\u00edculos relacionados<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2024\/06\/12\/nis2-y-la-seguridad-de-la-cadena-de-suministro-como-las-cadenas-de-suministro-se-convierten-en-un-riesgo-de-cumplimiento\/\">NIS2 y seguridad de la cadena de suministro: c\u00f3mo las cadenas de suministro se convierten en un riesgo de cumplimiento normativo<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2023\/08\/02\/peligros-para-las-empresas-como-los-ciberdelincuentes-explotan-chatgpt\/\">Amenazas para las empresas: c\u00f3mo los ciberdelincuentes explotan ChatGPT<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/03\/05\/post_id-3821\/\">secIT by Heise 2026: la roadshow de seguridad para administradores y responsables TI<\/a><\/li>\n<\/ul>\n<p><em>Fuente de imagen:<\/em> Pexels<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"Thomas Neuwert, neto consulting La concienciaci\u00f3n sobre seguridad de la informaci\u00f3n, ciberseguridad y protecci\u00f3n de datos est\u00e1 creciendo ante el aumento de los ciberataques. Esa es una buena noticia. Sin embargo, el autor invitado y experto en seguridad Thomas Neuwert, de neto consulting, considera preocupante que las medidas de seguridad suelan detenerse justo en la [&hellip;]","protected":false},"author":55,"featured_media":3240,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"riesgos de terceros","_yoast_wpseo_title":"Gesti\u00f3n de riesgos de terceros: El riesgo acecha en todas partes","_yoast_wpseo_metadesc":"Riesgos de terceros: Protege tu empresa de amenazas externas con estrategias efectivas. Descubre c\u00f3mo mitigarlos hoy.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-3239","third-party-risk-management-riesgo","gestion-de-riesgos-de-terceros-el-riesgo-acecha-en-todas-partes"],"footnotes":""},"categories":[253],"tags":[],"class_list":["post-8549","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"evm_reading_time_minutes":8,"wpml_language":"es","wpml_translation_of":8550,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8549","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=8549"}],"version-history":[{"count":6,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8549\/revisions"}],"predecessor-version":[{"id":13626,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8549\/revisions\/13626"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/3240"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=8549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=8549"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=8549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}