El 54% de las brechas de seguridad en LATAM se origina en la cadena de suministro. Realizamos auditorías de segunda parte a proveedores críticos evaluando controles de seguridad, anticorrupción, continuidad y cumplimiento normativo.
La organización depende de proveedores que procesan datos sensibles, operan infraestructura crítica o actúan como intermediarios en mercados regulados, pero no cuenta con un proceso formal de evaluación de riesgos de terceros. Los contratos incluyen cláusulas genéricas de confidencialidad que nunca se verifican. No existe visibilidad sobre los controles de seguridad, continuidad o anticorrupción que implementan los proveedores.
Un incidente en un proveedor crítico impacta directamente en la organización: exfiltración de datos de clientes, interrupción de servicios, exposición a sanciones por actos de corrupción de terceros (Ley 27.401 en Argentina). Los reguladores responsabilizan a la organización por los actos de sus proveedores cuando no existe due diligence documentado. La pérdida de un proveedor sin plan alternativo puede paralizar operaciones durante semanas.
Diseñamos y ejecutamos el programa de due diligence de proveedores en tres niveles: (1) cuestionario de autoevaluación ISO para proveedores de bajo riesgo, (2) auditoría documental remota para proveedores de riesgo medio, y (3) auditoría de segunda parte presencial para proveedores críticos. Evaluamos contra los controles de ISO 27001 (seguridad), ISO 37001 (anticorrupción) e ISO 22301 (continuidad) según el perfil de riesgo de cada proveedor. El entregable incluye el scoring de cada proveedor, los hallazgos críticos y las recomendaciones contractuales.
Los proveedores que procesan datos personales o confidenciales de la organización, los que operan infraestructura tecnológica crítica (hosting, ERP, procesamiento de pagos), los que actúan como intermediarios en mercados regulados y aquellos cuya interrupción paralizaría operaciones del negocio. Aplicamos una matriz de criticidad basada en impacto (operativo, regulatorio, reputacional) y nivel de acceso a activos de la organización.
Evaluamos los controles anti-soborno del proveedor conforme a ISO 37001: política antisoborno, due diligence de sus propios terceros, registro de regalos y hospitalidad, canal de denuncias, y formación del personal. En jurisdicciones de alto riesgo según el Índice de Percepción de Corrupción de Transparencia Internacional, aplicamos procedimientos reforzados que incluyen verificación de beneficiarios finales y antecedentes de personas políticamente expuestas.
No. La auditoría de segunda parte evalúa al proveedor desde la perspectiva de los riesgos específicos que genera para su organización, no certifica al proveedor. Un proveedor puede tener certificación ISO 27001 y aun así presentar riesgos relevantes para su cliente si los controles certificados no cubren el alcance del servicio contratado. Nuestra auditoría verifica la aplicabilidad real de los controles al contexto de la relación comercial.
Diagnostico en 72 horas operativas. Metodologia ISO. Sin vinculacion con certificadores.
Solicitar diagnostico