{"id":451,"date":"2026-04-03T14:08:50","date_gmt":"2026-04-03T14:08:50","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/por-que-el-riesgo-de-terceros-es-la-mayor-brecha-en-la-postura-de-seguridad-de-sus-clientes-cyberdefensa-mx\/"},"modified":"2026-04-03T14:08:50","modified_gmt":"2026-04-03T14:08:50","slug":"por-que-el-riesgo-de-terceros-es-la-mayor-brecha-en-la-postura-de-seguridad-de-sus-clientes-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/por-que-el-riesgo-de-terceros-es-la-mayor-brecha-en-la-postura-de-seguridad-de-sus-clientes-cyberdefensa-mx\/","title":{"rendered":"Por qu\u00e9 el riesgo de terceros es la mayor brecha en la postura de seguridad de sus clientes \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

La pr\u00f3xima brecha importante que afecte a sus clientes probablemente no provendr\u00e1 del interior de sus muros. Vendr\u00e1 a trav\u00e9s de un proveedor en el que conf\u00edan, una herramienta SaaS a la que se inscribi\u00f3 su equipo financiero o un subcontratista que nadie en TI conoce. \u00c9sa es la nueva superficie de ataque y la mayor\u00eda de las organizaciones no est\u00e1n preparadas para ello.<\/p>\n

La nueva gu\u00eda de Cynomi, Asegurar el per\u00edmetro moderno: el auge de la gesti\u00f3n de riesgos de terceros<\/a>argumenta que el TPRM ya no es una formalidad de cumplimiento. Es un desaf\u00edo de seguridad de primera l\u00ednea y una oportunidad de crecimiento definitoria para los MSP y MSSP que se adelantan a \u00e9l.<\/p>\n

El per\u00edmetro moderno se ha ampliado<\/strong><\/h2>\n

Durante d\u00e9cadas, la estrategia de ciberseguridad gir\u00f3 en torno a un per\u00edmetro definido. Se implementaron firewalls, controles de terminales y sistemas de gesti\u00f3n de identidades para proteger los activos dentro de un l\u00edmite conocido.<\/p>\n

Esa frontera se ha disuelto.<\/p>\n

Hoy en d\u00eda, los datos de los clientes residen en aplicaciones SaaS de terceros, fluyen a trav\u00e9s de las API de los proveedores y son procesados \u200b\u200bpor subcontratistas que los equipos internos de TI tal vez ni siquiera conocen. La seguridad ya no se limita a la infraestructura propia. Se extiende a trav\u00e9s de un ecosistema interconectado de proveedores externos, y la responsabilidad que conlleva tambi\u00e9n se extiende all\u00ed.<\/p>\n

El Informe de investigaciones de violaciones de datos de Verizon de 2025 encontr\u00f3 que terceros est\u00e1n involucrados en el 30% de las violaciones. El informe de IBM sobre el costo de una filtraci\u00f3n de datos para 2025 sit\u00faa el costo promedio de remediaci\u00f3n de una filtraci\u00f3n de terceros en 4,91 millones de d\u00f3lares. La exposici\u00f3n a terceros se ha convertido en una caracter\u00edstica central de las operaciones comerciales modernas, no en un caso l\u00edmite.<\/p>\n

Para los proveedores de servicios proactivos, este cambio crea una oportunidad sustancial. Las organizaciones que enfrentan crecientes amenazas de terceros buscan socios estrat\u00e9gicos que puedan poseer, optimizar y administrar continuamente todo el ciclo de vida de los riesgos de terceros. Los proveedores de servicios que asuman ese rol pueden introducir nuevas ofertas de servicios, brindar consultor\u00eda de mayor valor y establecerse como centrales para los programas de seguridad y cumplimiento de sus clientes.<\/p>\n

De la casilla de verificaci\u00f3n a la funci\u00f3n de riesgo central<\/strong><\/h2>\n

El enfoque tradicional del riesgo de los proveedores se basaba en cuestionarios anuales, hojas de c\u00e1lculo y, ocasionalmente, correos electr\u00f3nicos de seguimiento. Nunca fue suficiente y ahora es especialmente costoso.<\/p>\n

Marcos regulatorios como CMMC, NIS2 y DORA han elevado el list\u00f3n significativamente. El cumplimiento ahora requiere una supervisi\u00f3n demostrable y continua de los controles de terceros, no una instant\u00e1nea de un momento dado de hace doce meses. Las juntas directivas est\u00e1n haciendo preguntas m\u00e1s dif\u00edciles sobre la exposici\u00f3n de los proveedores. Las aseguradoras cibern\u00e9ticas est\u00e1n examinando la higiene de la cadena de suministro antes de redactar sus p\u00f3lizas. Y los clientes que han visto a los competidores absorber las consecuencias del incumplimiento de un proveedor entienden que \u00abno era nuestro sistema\u00bb no limita su responsabilidad.<\/p>\n

El mercado est\u00e1 respondiendo en consecuencia. Se proyecta que el gasto global de TPRM crecer\u00e1 de $8.3 mil millones en 2024 a $18.7 mil millones para 2030. Las organizaciones est\u00e1n tratando la supervisi\u00f3n de proveedores como una funci\u00f3n de gobernanza, a la par de la respuesta a incidentes o la gesti\u00f3n de identidades, porque el costo de ignorarla se ha vuelto demasiado alto.<\/p>\n

Para los proveedores de servicios, esa asignaci\u00f3n presupuestaria es una se\u00f1al clara. Los clientes buscan activamente socios que puedan poseer y gestionar la supervisi\u00f3n de proveedores como un servicio definido y continuo.<\/p>\n

La ampliaci\u00f3n del TPRM es donde la mayor\u00eda de los proveedores se quedan estancados<\/strong><\/h2>\n

La mayor\u00eda de los MSP y MSSP reconocen la oportunidad. La vacilaci\u00f3n se reduce a la entrega y, espec\u00edficamente, a si el TPRM puede ejecutarse de manera rentable a escala.<\/p>\n

La revisi\u00f3n de proveedores tradicional se basa en flujos de trabajo fragmentados y an\u00e1lisis manuales. Las evaluaciones personalizadas deben enviarse, rastrearse e interpretarse, y el riesgo debe estratificarse seg\u00fan las obligaciones espec\u00edficas de cada cliente. Este trabajo suele recaer en consultores senior, lo que lo hace costoso y dif\u00edcil de delegar.<\/p>\n

Multiplicar este esfuerzo en una cartera de clientes con diferentes ecosistemas de proveedores, necesidades de cumplimiento y tolerancias al riesgo puede resultar insostenible. Es por eso que muchos proveedores ofrecen TPRM como un proyecto \u00fanico en lugar de un servicio administrado recurrente.<\/p>\n

Pero ah\u00ed tambi\u00e9n reside la oportunidad. cynomi Gu\u00eda para asegurar el per\u00edmetro moderno<\/a> describe c\u00f3mo TPRM estructurado y basado en tecnolog\u00eda puede pasar de un compromiso de consultor\u00eda personalizado a una l\u00ednea de servicios repetible y de alto margen que fortalece la retenci\u00f3n de clientes, impulsa las ventas adicionales y posiciona a los proveedores de servicios como socios integrales en los programas de seguridad de sus clientes.<\/p>\n

Convertir TPRM en un motor de ingresos<\/strong><\/h2>\n

El riesgo de terceros es un tema de conversaci\u00f3n que nunca se queda sin material.<\/p>\n

Cada nuevo proveedor que incorpora un cliente crea una discusi\u00f3n sobre riesgos potenciales. Las actualizaciones regulatorias son razones naturales para revisar los programas de los proveedores, y cada filtraci\u00f3n en las noticias que se remonta a un tercero refuerza lo que est\u00e1 en juego. La TPRM, bien hecha, mantiene a los proveedores de servicios integrados en la estrategia del cliente en lugar de relegarlos a un apoyo reactivo, y ese posicionamiento cambia por completo la naturaleza de la relaci\u00f3n. <\/p>\n

Los proveedores que desarrollan capacidades estructuradas de TPRM descubren que les abre las puertas a: <\/p>\n