Qué es un cuestionario de seguridad de proveedor

Un cuestionario de seguridad de proveedor es un formulario que los clientes grandes envían a sus proveedores para evaluar su nivel de ciberseguridad antes de compartir datos, sistemas o accesos. Es una práctica cada vez más extendida en el mercado B2B español, impulsada en parte por los requisitos de la Directiva NIS2.

Esto ocurre en tres situaciones concretas:

Due diligence comercial

Antes de firmar un contrato de cierta envergadura. El cuestionario llega junto a la negociación y su respuesta es condición de avance. Sin él completado y aprobado, no hay contrato.

Auditorías de proveedor

Revisiones periódicas del estado de seguridad de los proveedores críticos. Cada vez más frecuentes en sectores tecnológicos, logísticos y de servicios profesionales. No son opcionales una vez que estás en la cadena de suministro del cliente.

Licitaciones públicas

Donde el cumplimiento en seguridad es requisito eliminatorio, no valorativo. No basta con puntuarlo bien; hay que superarlo. Una respuesta incompleta o sin evidencias descarta la oferta con independencia de su calidad técnica o económica.

En todos los casos, el cuestionario llega con un plazo. Normalmente entre 24 y 72 horas. A veces menos. Y sin posibilidad de negociar.

Qué preguntan realmente: las 6 preguntas más habituales

Aunque el formato varía según el cliente y el sector, hay un conjunto de preguntas que se repiten en prácticamente todos los cuestionarios de seguridad de proveedores. Estas son las seis más habituales y lo que el cliente espera ver como respuesta:

1. ¿Tenéis un plan de respuesta a incidentes documentado? No basta con decir que sí. El cliente quiere un documento fechado, firmado por dirección, que incluya roles, protocolos de notificación y plazos. Si solo existe en la cabeza del técnico, no existe para el auditor.
2. ¿Podéis evidenciar pruebas de restauración de backups? La pregunta no es si hacéis copias de seguridad. Es si podéis demostrar que esas copias funcionan. Un registro con fecha, resultado y responsable de la prueba. Sin eso, la respuesta es «no» para quien evalúa.
3. ¿Existe un registro formal de control de accesos? Quién tiene acceso a qué sistemas, desde cuándo y por qué. Altas y bajas documentadas. MFA activado en cuentas críticas. Si hay exempleados o proveedores con acceso activo sin revisión, ese es el primer problema que detectará cualquier auditor.
4. ¿Cómo gestionáis los datos personales de clientes? RGPD: registro de actividades de tratamiento, base jurídica documentada, procedimiento de respuesta ante brechas de datos. Un cliente que maneja información sensible no puede trabajar con un proveedor que no puede demostrar su cumplimiento normativo.
5. ¿Tenéis un responsable de seguridad designado formalmente? Con nombre y apellido. No «lo lleva IT». Alguien que pueda ser interlocutor ante el cliente y responder por las decisiones de seguridad de la empresa cuando se lo pidan.
6. ¿Vuestros empleados reciben formación en ciberseguridad? Al menos una sesión anual documentada con registro de asistencia. El phishing y la ingeniería social son la principal vía de entrada en PYMEs, y los clientes lo saben mejor que muchos de sus propios proveedores.

Por qué muchas PYMEs no superan el cuestionario

No porque no hagan las cosas bien. Sino porque no pueden demostrarlo. Hay tres patrones que se repiten sin excepción en empresas que pierden contratos o licitaciones por esta razón:

El resultado es siempre el mismo: respuestas vagas, plazos incumplidos y una percepción de riesgo que el cliente no puede asumir. El contrato se pausa o se pierde.

Cómo prepararse para responder en 48 horas

La solución no es técnica. Es de organización. Estas son las tres acciones de mayor impacto para estar listo cuando llegue el próximo cuestionario de seguridad:

1. Centraliza la documentación en un único repositorio. Una carpeta compartida, una intranet, un gestor documental. Lo que sea, pero que todo el equipo sepa dónde está y que esté actualizado. Cuando llega el cuestionario, no hay tiempo para buscar. El repositorio tiene que estar listo antes de que lo pidan.
2. Establece un calendario de revisión trimestral. Los documentos caducan. Un plan de respuesta a incidentes sin fecha de revisión es papel mojado para un auditor. Una revisión trimestral en el calendario es la diferencia entre estar preparado y no estarlo cuando llegue la siguiente oportunidad comercial.
3. Designa un responsable único de cada documento. Cada documento crítico necesita un dueño. Alguien que lo actualice, que sepa dónde está y que pueda responder preguntas sobre él. Sin responsable, no hay mantenimiento. Sin mantenimiento, la documentación caduca.

Los 6 documentos mínimos que debes tener listos

• Plan de respuesta a incidentes — firmado por dirección, con fecha de última revisión y roles definidos
• Registro de pruebas de restauración de backup — con fecha, resultado y responsable de cada prueba
• Registro de control de accesos — altas, bajas, MFA activado, sin accesos obsoletos de exempleados o exproveedores
• Registro de actividades de tratamiento (RGPD) — actualizado y con base jurídica documentada para cada tratamiento
• Acta de designación del responsable de seguridad — nombre, apellido y fecha de nombramiento
• Registro de formación en ciberseguridad — asistentes, fecha y contenido de cada sesión anual

Caso real: cuatro meses de trabajo eliminados por tres documentos

El año pasado, una empresa de servicios tecnológicos llevaba cuatro meses preparando una oferta para un contrato público. Habían pasado la valoración técnica y la económica. Estaban en el top 3.

Cómo puede ayudarte Mencar

Nuestro servicio de Compliance y GRC mantiene toda la documentación de seguridad siempre lista, actualizada y accesible. No como un proyecto puntual, sino como un servicio continuo que garantiza que nunca te pille sin respuesta un cuestionario de seguridad de proveedor, una auditoría de cliente o una licitación pública.

Qué incluye el servicio desde 225€/mes

• Plan de protección del negocio — diseñado y mantenido por nuestro equipo
• Plan de continuidad de negocio — documentado y actualizado trimestralmente
• Protocolo de respuesta a incidentes — firmado por dirección, con roles y plazos NIS2-compatibles
• Plan de cumplimiento RGPD — registro de actividades, base jurídica y procedimientos
• Documentación de continuidad siempre lista — sin búsquedas de última hora cuando llega el cuestionario
• Revisión trimestral — todo al día, sin caducidades, sin sorpresas
• Informe de estado para dirección — en lenguaje de negocio, sin tecnicismos

Preguntas frecuentes sobre cuestionarios de seguridad de proveedores

• ¿Qué es exactamente un cuestionario de seguridad de proveedor?

  Es un formulario que los clientes grandes envían a sus proveedores para evaluar su nivel de ciberseguridad antes de firmar un contrato, durante auditorías periódicas o en procesos de licitación. Incluye preguntas sobre documentación de seguridad, control de accesos, gestión de backups, cumplimiento RGPD y protocolos de respuesta a incidentes. Su objetivo es que el cliente pueda demostrar que controla los riesgos de su cadena de suministro.

• ¿Cuánto tiempo tengo para responder un cuestionario de seguridad?

  El plazo habitual es entre 24 y 72 horas, aunque en algunos procesos de licitación puede ser inferior. Por eso es fundamental tener la documentación de seguridad centralizada, actualizada y accesible antes de que llegue el cuestionario. Intentar organizar la documentación cuando ya tienes el plazo encima es la principal causa de respuestas incompletas o fuera de plazo.

• ¿Qué diferencia hay entre un cuestionario de seguridad y una auditoría de seguridad?

  Un cuestionario de seguridad es un formulario que completa el propio proveedor con información sobre sus medidas, basándose en documentación existente. Es el primer filtro. Una auditoría de seguridad implica que un tercero (el cliente o una empresa auditora independiente) verifica de forma independiente que esas medidas existen y funcionan. La auditoría llega después del cuestionario, en contratos de mayor envergadura o cuando el cliente detecta dudas en las respuestas.

• ¿Los cuestionarios de seguridad están relacionados con NIS2?

  Sí, directamente. La Directiva NIS2 (Artículo 21.2.d) obliga a las entidades reguladas a controlar la ciberseguridad de toda su cadena de suministro. Esto hace que empresas reguladas por NIS2 estén enviando cuestionarios de seguridad a sus proveedores como parte de su propio cumplimiento normativo. Aunque tu PYME no esté directamente en el alcance de NIS2, puede recibir estas exigencias de sus clientes regulados.

• ¿Qué ocurre si no supero el cuestionario de seguridad de un cliente?

  Las consecuencias habituales son: descalificación directa en licitaciones públicas, paralización del proceso comercial hasta demostrar el cumplimiento, pérdida del contrato en favor de un competidor mejor documentado, o deterioro de la relación con el cliente existente en el caso de auditorías periódicas. En B2B, una respuesta incompleta no genera una segunda oportunidad inmediata.

• ¿Cuánto cuesta tener la documentación de seguridad lista y actualizada?

  El servicio de Compliance y GRC de Mencar mantiene toda la documentación de seguridad siempre lista y actualizada desde 225€/mes. Incluye plan de respuesta a incidentes, plan de continuidad, cumplimiento RGPD, control de accesos documentado y revisión trimestral. Menos de lo que cuesta un consultor cuando llega la auditoría sin avisar, y mucho menos que el coste de perder un contrato por falta de documentación.

• ¿Mi empresa necesita certificación ISO 27001 para superar un cuestionario de seguridad?

  No necesariamente. La mayoría de cuestionarios de seguridad de proveedores no exigen certificación ISO 27001, sino evidencias de que los controles básicos existen y están documentados. La certificación aporta credibilidad adicional y puede ser exigida en contratos de alto valor o con grandes corporaciones, pero con una base documental bien organizada se superan la gran mayoría de cuestionarios del mercado B2B español.