Éxito en la primera edición de #RiskbladeConnect: el nuevo punto de encuentro para la gestión de terceros en ciberseguridad

• Expertos internacionales analizaron los desafíos actuales en la conexión con terceros desde una perspectiva de ciberseguridad, cumplimiento y negocio
• Riskblade presentó su innovadora plataforma de gestión de terceros ante un público especializado en el marco de #RiskbladeConnect
• El evento consolida una comunidad en torno a la gobernanza digital de proveedores y conexiones externas

Madrid acogió con gran éxito la primera edición de #RiskbladeConnect I The third-party connection summit, un evento pionero impulsado por A2SECURE, que reunió a figuras clave de la ciberseguridad para debatir sobre uno de los grandes retos actuales: la gestión de riesgos asociados a terceros. La jornada combinó una mesa redonda de alto nivel con las soluciones que ofrece RISKBLADE la solución desarrollada por A2SECURE, la plataforma que revoluciona la visibilidad y control sobre los ecosistemas de conexión externa en las organizaciones.

Madrid, 13 de junio de 2025. 

Tras unas palabras de bienvenida a cargo de Carlos Morell, CTO de A2SECURE y Partner de RISKBLADE, Serafí Vicent, KAM & Product Owner de A2SECURE inició la mesa redonda de la primera edición de #RiskbladeConnect I The third-party connection summit.

Durante el debate se abordaron temas clave como la evaluación continua de terceros, la transparencia contractual, la dependencia tecnológica y la innovación como palancas de crecimiento, el papel de la automatización y la inteligencia artificial en la detección de amenazas. 

El punto de coincidencia de los ponentes se encontró en una máxima: “la estrategia de ciberseguridad debe expandir su perímetro más allá de la propia empresa y la confianza en terceros debe estar respaldada por datos y por una monitorización profesionalizada y continua, ya no puede fundamentarse en percepción.”

Participaron como panelistas de la mesa redonda:

• José Luis Nevado, CEO & Founder de Sipay, quien aportó su visión sobre la gestión de proveedores en el sector financiero y arrojó luz sobre el reto de mantener estándares de seguridad sin frenar la innovación.

Nevado afirmó: “Desde el punto de vista regulatorio distinguiría entre la normativa y determinadas recomendaciones, que son convenientes. No queda otro remedio más que cumplir con lo que la normativa va aportando. Hay una asimetría dentro del propio espacio económico europeo y a veces no puedes operar si no haces una adaptación de la normativa, todo ello en una situación de constante evolución”.

“Lo más importante para prevenir la gestión del riesgo es estar lo más informado de todo lo que ocurre a tu alrededor, para poder actuar. El exceso de tecnología o de regulación, hace que no puedas controlarlo todo. Ahí lo más importante es estar al día”.

• Ángel Modino, CEO de Lead Auditor Register Center, que ofreció la mirada regulatoria a la mesa redonda y también operativa, al mostrar cómo las auditorías de terceros deben evolucionar ante marcos como DORA y NIS2. 

Modino, destacó:“El riesgo en la gestión de terceros está en todo. Para mí una parte importante de la 27 es que te ayuda a estructurarte. El riesgo surge porque tengo activos materiales y personales. El ENS tiene un porcentaje muy alto de 27000 y que luego además del nivel de riesgo que tengas… te marca unos requisitos. Estamos totalmente encajonados”.

“La gestión del riesgo la tenemos que identificar dependiendo de las partes interesadas. No es lo mismo con un proveedor, con un socio, con un stakeholder. Las partes de las que estás rodeado.”

• Isabel María Gómez. Global CISO y asesora independiente, que compartió su experiencia en compañías diversas gestionando proveedores críticos. Su papel, determinante en el nacimiento de normas clave para el sector fue fundamental para ofrecer una mesa redonda completa. 

Gómez destacó: “La clave de la gestión de terceros no solo es el dato, son las personas que forman parte de tu cadena de suministro” “El impacto real depende del tipo de normativa y depende del sector. Todo lo que sea estructurar por supuesto que ayuda. La ISO 270001 tiene un apartado específico para la gestión de terceros. La regulación ayuda a estructurarte pero no necesariamente pueden decirte el nivel real de tu ciberseguridad”.

Sobre la gestión del riesgo, Gómez apuntó: “Yo creo que es un salto de fe. Es como en las películas, te dicen ‘tú cruza que ahí hay un puente’ pero el puente en tu día a día no lo ves. Pero sí que es verdad que el puente está ahí. Así que hay que aprender a caminar con esa incertidumbre”.

• Víctor Oziel Martínez, CISO de Banregio México, aportó la visión internacional y del mercado latinoamericano. 

Martínez afirmó:“Dependiendo del activo que queramos proteger la regulación mexicana para nosotros como bancos, se eleva a nivel contractual. Tenemos cláusulas donde la Comisión Nacional Bancario o el Gobierno puede inclusive auditar o revisar a ese tercero”.

“La gestión de riesgos tiene que ser integral. Tiene que participar toda la cadena de suministro. No es algo nuevo, pero hoy nos estamos ocupando de una forma diferenciada. Ahora es parte de nuestro servicio y tenemos que ver que cualquier proveedor esté dentro de esa gestión de riesgos. Y esto es complicado y es el reto que estamos abordando”.

“Para nuestro banco, después de las personas lo más importante es la información. Ese es el alineamiento número 1 y nuestra política. Nuestro enfoque está en los terceros y más allá de ellos, porque están sobre activos que son clave para nosotros”.

La solución Riskblade

La jornada de #RiskbladeConnect continuó nuevamente de la mano de Carlos Morell, , cogiendo el testigo de la mesa redonda, ofreció soluciones y la visión de Riskblade para afrontar los retos de la gestión de terceros.

Carlos comenzó la presentación con una máxima clara del contexto de la ciberseguridad actual: “Nuestro mundo de ciberseguridad se va expandiendo y ahora un ataque puede afectarnos sin haber sido dirigido directamente a nosotros”.

Riskblade ayuda a gestionar de forma eficiente, ágil y correctamente la cadena de suministro, basada en datos y de forma continua. Añade una capa de threat intelligence. Cuenta con un módulo de evaluación de terceros y, además, tiene en cuenta que un tercero puede ser también un apartado interno; realiza análisis perimetrales, genera políticas según los controles que queramos aplicar y marco normativo. La herramienta Riskblade ofrece la posibilidad de capacitar al cliente para mejorar y reducir riesgos.

Carlos hizo hincapié en la importancia no solo del proveedor en sí, sino también la forma en la que lo gestionamos: “Amazon, como proveedor quizá sea muy seguro. Pero la forma en que yo lo gestiono quizá no lo sea” “Estamos puntuando a todos los terceros de la misma manera y debemos individualizarlos para categorizar el riesgo de forma coherente y eficiente”.

¿Cómo integrar Riskblade?

La integración ed Riskblade es sencilla y permite la automatización de la gestión de terceros que, hasta ahora se ha venido ejecutando de forma manual, mediante hojas de cálculo sin correlación.

En primer lugar: definición de marco y necesidades. Con un nivel alto de adaptación para la parte externa (dominios, IPs e incluso un módulo de autodescubrimiento para facilitar la tarea) y para las integraciones (AWS, Azure, Google, GitHub, M365, Intune).

El segundo paso: definir el marco normativo. La herramienta está capacitada para marcos nostmativos globales como ISO 270001, PCI DSS, SOC2, ENISA, DORA, GDPR, HIPAA, SWIFT o NIS2.

El tercer paso: añadir los proveedores. Desde ahí ya se puede monitorizar con datos, indicadores, KPIs, qué tipo de riesgo y la mejor forma para poder atajarlo. 

#RiskbladeConnect ha sentado un precedente como un espacio de alto nivel para la reflexión y el networking en torno al reto compartido de la gestión de terceros.