Plantillas de evaluacion de seguridad para terceros
Preguntas multi-opcion con valores de puntos ponderados por dominio. Utiliza scoring basado en NIST CSF, calcula niveles de madurez automaticamente y genera planes de remediacion sugeridos. Ideal para evaluaciones profundas que requieren granularidad y analisis comparativo.
Preguntas Si/No orientadas a cumplimiento. Scoring simplificado con enfoque binario. Permite identificar rapidamente brechas de control. Ideal para evaluaciones iniciales, proveedores de bajo riesgo o verificaciones anuales de mantenimiento.
Seleccione una plantilla del catalogo y asignela a una evaluacion. Las preguntas, dominios y ponderaciones se cargan automaticamente. Puede personalizar antes de enviar.
Las plantillas soportan importacion/exportacion JSON para compartir entre instancias. Tambien se permite importacion CSV masiva para cargar respuestas de multiples proveedores simultaneamente.
Plantillas base aplicables a todos los proveedores
Proposito: Clasificacion rapida inicial para determinar el nivel de riesgo inherente de un proveedor. El resultado define que evaluaciones adicionales son necesarias.
Cuando usar: Pre-engagement, descubrimiento de nuevo proveedor, triaje inicial de terceros existentes sin evaluacion previa.
Output: Puntaje de riesgo que determina automaticamente las evaluaciones adicionales requeridas segun el perfil del proveedor.
Proposito: Evaluacion comprensiva de linea base para proveedores tipicos. Cubre los dominios esenciales de seguridad con profundidad moderada.
Cuando usar: Evaluacion estandar, proveedores de riesgo medio, ciclo regular de re-evaluacion anual.
Evaluacion exhaustiva para proveedores de alto impacto
Proposito: Evaluacion exhaustiva y profunda para proveedores clasificados como Tier-1 o criticos. Incluye requisitos de evidencia obligatoria y gates (requisitos minimos de aprobacion) que deben cumplirse para poder continuar la relacion comercial.
Cuando usar: Proveedores con acceso a datos sensibles, infraestructura critica, alta dependencia operacional o que procesan datos regulados.
El proveedor debe cumplir todos estos requisitos para ser aprobado:
Certificado ISO 27001 · Informe SOC 2 Type II · Resumen de pentest reciente · Poliza de seguro ciber
Evaluaciones por dominio tecnico y tipo de servicio
Foco: Multi-tenancy, residencia de datos, seguridad de APIs, modelo de responsabilidad compartida, cifrado en reposo y transito, gestion de identidades federadas, configuracion de seguridad del tenant.
Cuando usar: Proveedores de infraestructura cloud (IaaS/PaaS), aplicaciones SaaS, servicios de almacenamiento, plataformas de colaboracion.
Foco: Alineado con IEC 62443 y NIST 800-82. Seguridad de SCADA/ICS, segmentacion IT/OT, gestion de parches en entornos legacy, acceso remoto seguro a infraestructura industrial, monitoreo de protocolos industriales.
Cuando usar: Proveedores con acceso a redes OT, sistemas SCADA, PLCs, RTUs, o que dan soporte a infraestructura critica industrial.
Foco: SDLC seguro, analisis estatico y dinamico (SAST/DAST), gestion de SBOM (Software Bill of Materials), manejo de secretos, seguridad de pipelines CI/CD, revision de codigo, gestion de dependencias.
Cuando usar: Proveedores de desarrollo de software, fabricas de software, integradores que entregan codigo personalizado.
Foco: PAM obligatorio, grabacion de sesiones, SOC 24x7, segregacion entre clientes, gestion de accesos privilegiados con trazabilidad completa, procedimientos de onboarding/offboarding de personal.
Cuando usar: Managed Service Providers, Managed Security Service Providers, proveedores de outsourcing de operaciones IT o SOC tercerizado.
Evaluaciones regulatorias y de frameworks
Foco: Cumplimiento GDPR, LGPD y normativas locales. Evaluacion de Impacto en Proteccion de Datos (DPIA), transferencias internacionales, derechos ARCO (Acceso, Rectificacion, Cancelacion, Oposicion), consentimiento, retencion y eliminacion de datos.
Foco: Mapeo directo al Anexo A de ISO 27001:2022. Evalua los cuatro dominios principales: A.5 Organizacionales, A.6 Personas, A.7 Fisicos, A.8 Tecnologicos. Ideal para validar alineacion con el estandar sin requerir certificacion formal.
Foco: Las 6 funciones del NIST CSF 2.0: Govern, Identify, Protect, Detect, Respond, Recover. Evalua niveles de madurez por funcion y genera un grafico radar (spider chart) como output visual para comparacion rapida.
Foco: Alineado con DORA (Digital Operational Resilience Act), directrices EBA, derechos de auditoria, TLPT (Threat-Led Penetration Testing), estrategia de salida, reporte regulatorio y gestion de concentracion de terceros.
Evaluaciones de resiliencia, IA y cumplimiento europeo
Foco: Backups inmutables, deteccion y respuesta avanzada (EDR/XDR), hardening de Active Directory, playbooks de respuesta especificos para ransomware, pruebas de recuperacion periodicas, segmentacion de red.
Foco: Alineado con EU AI Act. Seguridad del modelo, datos de entrenamiento, proteccion contra prompt injection, gobernanza de sesgo algoritmico, transparencia, explicabilidad, monitoreo de drift y tratamiento de datos sensibles en LLMs.
Foco: Analisis de Impacto de Negocio (BIA), definicion de RTO/RPO, escenarios extremos (pandemias, desastres naturales, ataques a cadena de suministro), comunicacion de crisis, planes de evacuacion, pruebas de DR.
Foco: Verificacion simplificada de cumplimiento con la Directiva NIS2 de la UE. Cubre gobernanza de ciberseguridad, gestion de riesgos de la cadena de suministro, notificacion de incidentes, medidas de seguridad basicas, formacion y capacitacion.
Evaluaciones de salida y renovacion
Foco: Evaluacion de riesgo de lock-in, portabilidad de datos, formatos de exportacion, tiempo estimado de transicion, alternativas de mercado, clausulas contractuales de salida, recuperacion de datos post-contrato.
Foco: Renovacion ligera para proveedores ya evaluados. Detecta cambios significativos desde la ultima evaluacion, nuevos incidentes, cambios organizacionales, renovacion de certificaciones. Incluye triggers automaticos para activar una evaluacion mas profunda si se detectan riesgos.
| Tipo de Proveedor | Bajo | Medio | Alto | Critico |
|---|---|---|---|---|
| Cloud / SaaS | 01 | 02 04 | 03 04 | 03 04 16 |
| Software / Dev | 01 | 02 06 | 03 06 | 03 06 13 |
| MSP / MSSP | 01 | 02 07 | 03 07 | 03 07 12 |
| Industrial / OT | 01 | 02 05 | 03 05 | 03 05 14 |
| General | 01 | 02 | 03 | 03 16 |
| UE (Regulado) | 01 15 | 02 15 08 | 03 08 15 | 03 08 15 11 |
| Financiero | 01 | 02 11 | 03 11 | 03 11 12 16 |
Las 17 plantillas en una sola vista
| # | Plantilla | Preg. | Uso Principal | Caracteristica Clave |
|---|---|---|---|---|
| 01 | Inherent Risk Screening | 14 | Triaje inicial de riesgo | Determina evaluaciones adicionales |
| 02 | Standard TPRM Assessment | 39 | Evaluacion base estandar | 12 dominios, escala 5/2/0/-1 |
| 03 | Critical Vendor Assessment | 39+4 | Proveedores criticos | 4 gates + evidencia obligatoria |
| 04 | Cloud/SaaS Security | 32 | Proveedores cloud | Multi-tenant, responsab. compartida |
| 05 | OT/Industrial Security | 33 | Entornos industriales | IEC 62443, NIST 800-82 |
| 06 | DevSecOps/Software | 34 | Desarrollo de software | SAST/DAST, SBOM, CI/CD |
| 07 | MSP/MSSP | 31 | Servicios gestionados | PAM mandatorio, SOC 24x7 |
| 08 | Data Privacy | 34 | Privacidad de datos | GDPR, LGPD, DPIA, ARCO |
| 09 | ISO 27001 Alignment | 31 | Alineacion ISO | Mapeo al Anexo A (4 dominios) |
| 10 | NIST CSF 2.0 | 18 | Madurez NIST | 6 funciones, radar chart |
| 11 | Financial Services Regulatory | 24 | Sector financiero | DORA, EBA, TLPT |
| 12 | Ransomware Readiness | 21 | Anti-ransomware | Backups inmutables, EDR/XDR |
| 13 | AI Risk | 22 | Riesgo de IA | EU AI Act, bias, prompt injection |
| 14 | Business Continuity Deep Dive | 27 | Continuidad de negocio | BIA, RTO/RPO, escenarios extremos |
| 15 | EU NIS2 Baseline | 25 | Cumplimiento NIS2 | Baseline simplificado UE |
| 16 | Vendor Exit & Dependency | 17 | Riesgo de salida | Lock-in, portabilidad, transicion |
| 17 | Annual Security Update | 15 | Renovacion anual | Lightweight, triggers de escalado |
Siempre aplique el Screening (01) antes de seleccionar plantillas adicionales. El resultado del screening guia la seleccion de las evaluaciones siguientes.
Las plantillas Tier 3 son complementarias al Tier 2. Un proveedor critico de cloud deberia recibir la 03 + 04. Use la matriz de decision como guia.
Para proveedores ya evaluados sin cambios significativos, la plantilla 17 (Annual Update) es suficiente. Si detecta cambios, active evaluaciones mas profundas.
Utilice JSON para compartir plantillas personalizadas entre instancias. Use CSV para carga masiva cuando evalua multiples proveedores con la misma plantilla.