En licitaciones, renovaciones y due diligence en España, la conversación suele terminar en lo mismo: no basta con decir “tenemos seguridad”. Lo que se evalúa es si la organización puede demostrar con evidencias que gestiona riesgos y que sus controles operan de forma consistente, incluso cuando la operación depende de terceros.
En paralelo, el marco europeo se está endureciendo. NIS2 eleva el estándar esperado en gestión de riesgos y capacidad de respuesta ante incidentes, y esa exigencia se está trasladando cada vez más a la cadena de suministro. En la práctica, esto significa que la seguridad ya no se valida solo dentro de la empresa: también se valida en los servicios y proveedores de los que depende el negocio, incluidos aquellos fuera de la UE cuando son parte del servicio o del tratamiento de información.
En este contexto, ISO/IEC 27001:2022 aporta una ventaja muy concreta: convierte la ciberseguridad en un sistema verificable. No se trata de acumular políticas, sino de sostener una trazabilidad que un auditor —y un cliente— pueda seguir sin saltos.
Lo que decide una auditoría: evidencia operativa, no declaraciones
Una auditoría de certificación no se centra en “documentos por sí mismos”. Un auditor busca coherencia: que lo definido se ejecute, que lo ejecutado se controle y que lo controlado se mejore. Y cuando hay terceros críticos, el foco se vuelve especialmente exigente:
¿la organización identifica qué terceros son críticos, define requisitos proporcionales al riesgo y puede demostrar que esos requisitos se cumplen en el tiempo?
Esa capacidad se demuestra con evidencia concreta. Y bien trabajada, no solo ayuda en auditoría: también reduce fricción contractual y acelera respuestas en procesos de compra.
El paquete de evidencias que más pesa cuando dependes de terceros
Sin repetir el recorrido completo de “cómo preparar una auditoría” (SoA, checklist general, etc.), hay un bloque de evidencias que suele ser decisivo cuando la cadena de suministro entra en juego.
1) Criticidad de terceros y dependencias del servicio
Lo primero es evitar puntos ciegos. El auditor necesita ver que la organización no trata a todos los proveedores por igual. Aquí pesa una clasificación simple y defendible (impacto, dependencia, tipo de acceso) y un mapa claro de dependencias: cloud, plataformas, soporte, subprocesadores, integraciones.
2) Requisitos exigidos (y control de excepciones)
El segundo paso es contractual —o equivalente—: obligaciones claras, no intenciones. En auditoría se revisa que existan cláusulas/anexos que cubran incidentes y cooperación, continuidad, subcontratación/subprocesadores, controles de acceso y protección de datos. Igual de importante: si hay excepciones, debe verse quién las aprobó, por qué y cómo se mitigaron.
3) Due diligence que continúa después del onboarding
Un error recurrente es evaluar al proveedor solo al inicio. Para terceros críticos, el auditor busca evidencia de seguimiento: reevaluaciones, revisiones de reportes o certificaciones cuando aplique, indicadores básicos y señales de control (incidentes reportados, cumplimiento de SLA de seguridad, revisiones de acceso, etc.). No es burocracia: es demostrar gestión real del riesgo a lo largo del tiempo.
4) Accesos de terceros: control, reversibilidad y trazabilidad
Cuando terceros acceden a sistemas o datos, el auditor pide muestras. Lo esperado es gobernanza: altas y bajas aprobadas, mínimo privilegio, expiración cuando corresponda y revisiones periódicas. En soporte remoto, este punto es especialmente sensible porque mezcla riesgo operativo y contractual.
5) Incidentes con terceros: coordinación real
NIS2 empuja a operar con capacidad efectiva de reacción. Por eso, pesa mucho que existan registros de incidentes, criterios de severidad, evidencia de coordinación con terceros (tickets, reportes, comunicaciones) y, sobre todo, lecciones aprendidas aplicadas. Un procedimiento describe; un registro con acciones demuestra.
6) Continuidad cuando el tercero falla
Este punto es de negocio: no es “cumplimiento”, es continuidad. El auditor revisa que existan requisitos definidos para terceros críticos, claridad sobre objetivos cuando aplique y verificaciones razonables. Si un tercero cae, ¿qué ocurre con el servicio? ¿cómo se escala? ¿cómo se recupera?
Una revisión breve que evita sorpresas (60–90 minutos)
Antes de iniciar un proceso de certificación, suele ser muy útil una sesión corta donde el responsable del SGSI pueda mostrar evidencias consistentes de:
- matriz de criticidad de terceros + mapa de dependencias
- requisitos contractuales/anexos + registro de excepciones y mitigaciones
- evidencia de due diligence y reevaluación de terceros críticos
- evidencia de accesos de terceros (altas/bajas, revisión, expiración)
- evidencia de incidentes con terceros (coordinación + mejoras)
- evidencia de continuidad asociada a terceros críticos
Si esa revisión se sostiene con evidencias claras, normalmente la organización está en una base sólida para afrontar una auditoría de certificación sin fricción y responder mejor ante las exigencias del mercado.
Si tu organización está evaluando la certificación ISO/IEC 27001:2022, pídenos información sobre requisitos, etapas del proceso y cómo se estructura una auditoría de certificación (incluida la revisión de evidencias en cadena de suministro).
Contacto: informacion@certhia.es
