En resumen
Tu empresa tiene políticas de seguridad sólidas. Tu proveedor no. Y tu proveedor tiene acceso a tu almacén todos los martes a las 7 de la mañana. El perímetro de tu operación termina donde empieza el de ellos.
Por qué importa
El eslabón más débil de tu cadena de seguridad no siempre está en tu nómina. A veces está en la nómina de quien te entrega el producto.
La mayoría de los programas de seguridad corporativa están diseñados desde adentro hacia afuera: controlan al empleado, al visitante, al contratista interno. Pero hay una categoría de acceso que vive en un espacio gris: el proveedor habitual.
El transportista que llega tres veces por semana. La empresa de mantenimiento que tiene llave del cuarto de servidores. El proveedor de limpieza que opera de madrugada. Todos tienen acceso real a activos críticos. Pocos están sujetos a los mismos controles que un empleado.
El riesgo que firmaste sin leerlo
Cuando una empresa contrata a un proveedor de servicios, firma un contrato comercial. Rara vez firma un acuerdo de seguridad con el mismo nivel de detalle. Las cláusulas de confidencialidad existen. Los protocolos de acceso físico, los antecedentes del personal del proveedor, los procedimientos ante incidentes: con frecuencia, no.
El resultado es que el proveedor opera dentro de tu perímetro con los estándares de seguridad de su propia empresa, que pueden ser significativamente más bajos que los tuyos.
Los vectores de riesgo más comunes
- ▸Personal del proveedor sin verificación de antecedentes equivalente a la tuya — acceso físico sin filtro.
- ▸Rotación alta en proveedores de servicios (limpieza, seguridad privada, mantenimiento) — personas distintas con el mismo acceso cada semana.
- ▸Acceso a sistemas digitales de proveedores tecnológicos sin segmentación de red adecuada.
- ▸Conocimiento acumulado del layout, rutinas y puntos ciegos de tu operación por parte de personal externo habitual.
- ▸Colusión entre empleado interno y personal del proveedor — el vector más difícil de detectar.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
El estándar mínimo que debes exigir
La gestión del riesgo de terceros no requiere tratar a cada proveedor como sospechoso. Requiere establecer un estándar claro, comunicarlo desde la negociación y verificarlo periódicamente.
- ▸Clasificación de proveedores por nivel de acceso: bajo (entrega en recepción), medio (acceso a áreas operativas), alto (acceso a sistemas o áreas críticas).
- ▸Requisitos de verificación de antecedentes para personal del proveedor con acceso medio o alto.
- ▸Registro y control de qué personas específicas del proveedor tienen acceso — no solo la empresa, sino los individuos.
- ▸Cláusulas contractuales de seguridad con consecuencias reales ante incumplimiento.
- ▸Auditorías periódicas del cumplimiento del proveedor, no solo al inicio de la relación.
No puedes controlar lo que no mides. Y no puedes medir lo que no incluiste en el contrato.
La mentalidad del perímetro extendido
La seguridad corporativa moderna no puede limitarse al perímetro físico de la empresa. Cada proveedor con acceso a tus activos es una extensión de tu perímetro de riesgo. Gestionarlo no es opcional — es parte del trabajo.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.