La mayoría de las compromisos recientes documentados por la ENISA en 2024 ya no están dirigidos directamente a la empresa objetivo, sino a sus proveedores de TI: gestores de infraestructuras, integradores, proveedores de servicios gestionados. Este vector de ataque a través de la cadena de subcontratación redefine los criterios de selección de un socio de seguridad informática. Aquí abordamos los puntos técnicos que distinguen un acompañamiento realmente estructurante de una simple delegación operativa.
Seguridad de la cadena de suministro de TI: el riesgo que su proveedor le hace correr
Un socio de ciberseguridad mal auditado se convierte en una superficie de ataque. El informe ENISA Threat Landscape 2024 señala un aumento marcado de las compromisos a través de proveedores de TI en lugar de a través de la empresa cliente. El NIST, en su revisión SP 800-161 Rev.1 de mayo de 2024, formaliza este enfoque al imponer una evaluación sistemática del riesgo del proveedor como componente central de toda estrategia de protección.
Lectura recomendada : Cómo optimizar el espacio y la comodidad de su hogar en A para un ambiente acogedor
Concretamente, recomendamos exigir a todo socio candidato un expediente de conformidad que documente sus propias prácticas: gestión de accesos privilegiados a sus sistemas, aislamiento de red entre sus diferentes clientes, política de rotación de secretos. Un proveedor que no puede proporcionar estos elementos representa un riesgo estructural, no una ganancia de seguridad.
La ANSSI ha reforzado este marco desde 2024 al integrar requisitos de ciber-resiliencia contractual para los proveedores de servicios digitales críticos: planes de continuidad, PRA, pruebas regulares. Los proveedores de servicios en la nube y gestores de infraestructuras que no cumplen con estos requisitos corren el riesgo de perder calificaciones como SecNumCloud. Si su socio actual no menciona estas obligaciones en sus compromisos contractuales, es una señal de alerta.
Leer también : Guía de compra: ¿cómo elegir bien su cortasetos?
Las empresas que desean estructurar su enfoque con un proveedor calificado pueden saber más sobre Cydlab, cuyo acompañamiento se centra precisamente en la evaluación y la seguridad de esta cadena de confianza.
Criterios técnicos para elegir un MSSP adecuado para su empresa
No todos los Proveedores de Servicios de Seguridad Gestionados son iguales. La elección se basa en criterios verificables, no en promesas comerciales. Identificamos tres ejes de diferenciación concretos.
Capacidad de detección y tiempo de respuesta
El Microsoft Digital Defense Report 2025 documenta que las pymes que se apoyan en un socio certificado para gestionar sus herramientas de seguridad en la nube reduzcan significativamente la duración de la compromisión no detectada. Esta reducción proviene de una vigilancia 24/7 que un equipo interno de tres o cuatro personas simplemente no puede asegurar. Verifique si su proveedor ofrece un SOC operativo con analistas dedicados, o si se limita a transmitir alertas automatizadas sin filtrado humano.
Integración con su entorno existente
Un buen MSSP no impone su pila técnica sobre su infraestructura. Se adapta a sus sistemas existentes: SIEM actual, EDR ya desplegado, gestión de identidades. Haga la pregunta sobre la interoperabilidad antes que la del precio. Un socio que exige el reemplazo completo de sus soluciones para funcionar añade complejidad, por lo tanto, riesgo.
Compromisos contractuales medibles
Los indicadores a negociar en el contrato no son SLA genéricos de disponibilidad. Lo que cuenta:
- El tiempo medio de calificación de un incidente (MTTQ), distinto del simple tiempo de detección, ya que mide la capacidad de análisis real
- La frecuencia y el alcance de las pruebas de intrusión incluidas en el contrato, con restitución técnica aprovechable por su equipo
- Las cláusulas de reversibilidad: condiciones para la recuperación de sus datos, registros de eventos y configuraciones en caso de finalización del contrato
Orquestación SOAR y automatización de respuestas a amenazas
La automatización de la respuesta a incidentes mediante plataformas SOAR (Orquestación de Seguridad, Automatización y Respuesta) constituye un apalancamiento técnico que los artículos de divulgación subestiman. Un socio que despliega SOAR no se limita a detectar: correlaciona las alertas provenientes de múltiples fuentes (firewall, EDR, proxy, correo electrónico) y activa playbooks de remediación automatizados en cuestión de segundos.
Swimlane, por ejemplo, documenta casos de uso donde la orquestación reduce el volumen de alertas tratadas manualmente por los analistas, permitiéndoles concentrarse en los incidentes de alta criticidad. Para una pyme, esto significa que un socio equipado con SOAR ofrece un nivel de reactividad comparable al de un SOC interno de una gran empresa, sin soportar el costo salarial.
Observamos que el valor de un MSSP se mide por su capacidad para combinar detección, enriquecimiento contextual y respuesta automatizada. Un proveedor que ofrece únicamente vigilancia pasiva, sin capacidad de orquestación, deja un tiempo de reacción incompatible con las amenazas actuales (ransomware de rápida propagación, exfiltración de datos en pocas horas).
Gobernanza en la nube y calificación SecNumCloud: lo que su contrato debe prever
El paso a la nube multiplica los puntos de contacto entre su organización y su proveedor. La calificación SecNumCloud v3.2 otorgada por la ANSSI impone a los proveedores un conjunto de requisitos técnicos verificables: cifrado de datos en reposo y en tránsito, localización de datos en el territorio, registro exhaustivo de accesos de administradores.
Para una empresa que externaliza su seguridad, la pregunta a plantear no es “¿está certificado?”, sino “¿qué requisitos SecNumCloud aplica incluso sin certificación formal?”. Muchos proveedores intermedios se apoyan en proveedores calificados sin repercutir estos requisitos en su propia gestión de datos de clientes.
Los puntos a verificar en su contrato en la nube:
- ¿El proveedor final está nombrado y calificado, o el proveedor se reserva el derecho de migrar sus datos sin notificación?
- ¿Los registros de acceso de administradores están a su disposición en tiempo real, o solo a solicitud después de un incidente?
- ¿El plan de recuperación de actividad (PRA) ha sido probado en los últimos doce meses, con un informe de resultados compartido?
Un socio que prueba su PRA y comparte los resultados protege mejor que un socio que se limita a documentarlo. La diferencia entre un contrato de ciberseguridad útil y un contrato decorativo radica en estos detalles operativos, raramente negociados de antemano y siempre lamentados después de un incidente.