Gestión de Terceros - CISM

Gestión de Terceros: ¿Qué se transfiere realmente?

Diferenciando entre la Delegación de Tareas y la Rendición de Cuentas Inalienable.

Modelo de Responsabilidad Compartida

Tu Organización

Retiene siempre:

Accountability
Reputación
Tercero / Proveedor

Recibe por delegación:

Tareas Técnicas
Controles de Seguridad

El material de estudio destaca que la gestión de terceros requiere que los contratistas se sometan por contrato a las políticas de seguridad de la empresa.

Carga Operativa

TRANSFERIBLE

La ejecución de tareas técnicas, el monitoreo 24/7 y el mantenimiento de sistemas pueden delegarse a un proveedor (MSSP).

Se gestiona mediante SLA.

Impacto Financiero

PARCIAL

A través de ciberseguros, se puede transferir parte del impacto económico derivado de una brecha.

Se gestiona mediante pólizas.

Responsabilidad Legal

INTRANSFERIBLE

La organización dueña de los datos sigue siendo la responsable primaria ante reguladores y la ley.

El cumplimiento es inalienable.

Reputación y Marca

INTRANSFERIBLE

Si el tercero falla, es tu nombre el que aparece en titulares. La confianza no se asegura.

Daño crítico residual.

Controles sobre terceros

Vínculo Contractual

Garantizar que se sometan por contrato a las políticas de seguridad internas.

Nivel de Acceso

Aplicar el Mínimo Privilegio: acceso restringido solo a lo necesario.

Cumplimiento Estándar

Exigir demostración de cumplimiento con marcos como PCI DSS o ISO 27001.

Recordatorio para el examen: Incluso si delegas la administración a un proveedor, si ocurre una brecha, la multa legal y el daño a la marca recaen sobre tu empresa. La gestión de terceros mitiga el riesgo residual.