SIG 2022: Novedades y ventajas

Las actualizaciones del Cuestionario estándar de recogida de información (SIG) incluyen preguntas simplificadas, asignaciones de control adicionales y nuevas categorías.

Personal de Mitratech
Personal de Mitratech 1 de diciembre de 2021 5 minutos de lectura

Nota del editor: Aquí tiene un enlace a nuestro artículo sobre la actualización de SIG 2023.

El cuestionario de recopilación de información estándar (SIG) es una evaluación de riesgos de terceros elaborada por Shared Assessments. Disponible en versiones Core y Lite, el SIG permite a las organizaciones aprovechar una biblioteca estándar del sector de preguntas examinadas que miden el riesgo en 18 dominios. Al asignar cada pregunta a múltiples controles y requisitos normativos, permite a las organizaciones simplificar y estandarizar sus iniciativas de cumplimiento y gestión de riesgos de terceros.

Shared Assessments lleva a cabo revisiones anuales del cuestionario SIG para determinar si se necesitan cambios para abordar las lagunas y mejorar los controles existentes. En este artículo se examina la actualización del SIG de 2022 y se analiza cómo puede poner en práctica en su organización esta evaluación líder del sector.

Actualizaciones SIG 2022

Las actualizaciones del cuestionario SIG 2022 se organizan en tres categorías:

  1. Actualización, reordenación y reducción de los conjuntos de preguntas de SIG básico y SIG básico
  2. Normas y correspondencias normativas nuevas y actualizadas, incluidas cuatro correspondencias nuevas y 13 actualizadas.
  3. Más de 30 nuevas categorías y actualizaciones de dominios

SIG Lite frente a SIG Core: ¿Cuál es la diferencia? ¿Qué hay de nuevo?

En primer lugar, veamos cómo han cambiado las preguntas. Shared Assessments ofrece dos versiones de su evaluación SIG: SIG Lite y SIG Core.

El cuestionario SIG Lite está diseñado para proporcionar una comprensión amplia y de alto nivel sobre los controles internos de seguridad de la información de un tercero, ofreciendo un nivel básico de diligencia debida de evaluación. Con 150 preguntas, el cuestionario SIG Lite puede utilizarse como evaluación preliminar antes de realizar una evaluación más detallada.

Las actualizaciones para la SIG Lite 2022 incluyen:

  • Preguntas agrupadas por temas, lo que facilita a los usuarios la comprensión de los controles.
  • Reducción del número de preguntas en un 50% e introducción de preguntas más específicas.
  • Mejora de la clasificación por niveles poniendo a disposición de los profesionales cuestionarios listos para usar.

El cuestionario SIG Core es más detallado y está diseñado para evaluar a terceros o proveedores que almacenan o gestionan datos sensibles y regulados, proporcionando un profundo nivel de comprensión sobre cómo un tercero protege la información. SIG Core incluye 825 preguntas dirigidas a 18 dominios de riesgo. El SIG Core incluye una biblioteca de preguntas que los equipos de seguridad pueden escoger con sus proveedores e incorpora un lenguaje extenso sobre las normativas de privacidad y cumplimiento.

Las actualizaciones del SIG Básico 2022 incluyen:

  • Preguntas agrupadas por temas, lo que facilita a los usuarios la comprensión de los controles.
  • Reducción del número de preguntas en un 25% e introducción de preguntas más centradas en el control.
  • Mejora de la clasificación por niveles poniendo a disposición de los profesionales cuestionarios listos para usar.

Mapas de control reglamentario nuevos y actualizados

Una segunda categoría importante de actualizaciones de SIG se refiere a las correspondencias de los controles reglamentarios. Shared Assessments se mantiene al día de los reglamentos, directrices y normas de una amplia gama de sectores y ha integrado 1.600 puntos de control de:

  • NIST 800-53 (Rev.5) Controles de seguridad y privacidad para sistemas de información y organizaciones
  • Orientaciones del DOJ de junio de 2020 sobre la evaluación de los programas de cumplimiento corporativo de las empresas públicas de EE.UU.
  • Cuestionario de la Iniciativa de Evaluaciones Consensuadas (CAIQ) v3.1 y Matriz de Controles en la Nube (CCM) versión 4
  • Orientación sobre automatización y sistemas de control industrial EC-62443
  • Orientaciones del RGPD sobre las cláusulas contractuales tipo (CCC)
  • Leyes estatales sobre privacidad (California, Colorado, Virginia)

Específicamente para NIST 800-53, los nuevos cuestionarios SIG incluyen preguntas sobre la gestión de riesgos de la cadena de suministro en áreas que incluyen la gestión de activos, el desarrollo de sistemas (subcontratación), la resistencia y la continuidad, y la gestión de amenazas y vulnerabilidades.

Actualización de dominios y categorías

El SIG 2022 también cambia el nombre de algunos ámbitos de riesgo para ampliar su alcance y destacar que el riesgo no está vinculado a funciones o roles específicos. Por ejemplo, la Gestión de Riesgos ha pasado a denominarse Gestión de Riesgos Empresariales, de modo que engloba los riesgos de toda la organización. Del mismo modo, Resiliencia Empresarial es ahora Resiliencia Operativa, y Seguridad Física es ahora Seguridad Física y Medioambiental.

Quizá la actualización más interesante del SIG sea la adición de categorías nuevas y ajustadas que mejorarán la garantía sobre temas relevantes y oportunos como las mejores prácticas medioambientales, sociales y de gobernanza (ESG) y de gestión de incidentes en toda la cadena de suministro.

  • Las actualizaciones en materia de ASG incluyen el abastecimiento ético y los códigos de conducta, la esclavitud moderna y la gestión del riesgo medioambiental.
  • La gestión de incidentes cuenta con detección y documentación ampliadas.
  • La gestión de terceros amplía los requisitos de gestión de terceros para incluir la cadena de suministro en sentido amplio. Entre las áreas se incluyen los requisitos contractuales, las evaluaciones de riesgos, la resistencia operativa y la gestión de datos personales.

Cómo ayuda Prevalent

¿Listo para poner en práctica el SIG 2022? Prevalent puede ayudarle. Disponemos de licencias para los cuestionarios SIG Core y SIG Lite en nuestra Plataforma de Gestión de Riesgos de Terceros, lo que le ayudará a..:

  • Automatice la recopilación y el análisis de las respuestas al cuestionario SIG y las pruebas justificativas con una única plataforma
  • Simplifique la elaboración de informes sobre marcos normativos y de seguridad con asignaciones de control adicionales incorporadas.
  • Mejore la visibilidad de los riesgos de los proveedores con análisis e informes de aprendizaje automático.
  • Mitigue los riesgos de forma proactiva con acceso a orientación centralizada sobre medidas correctoras.
  • Proporcione a su equipo un acceso fiable a la última versión del cuestionario SIG
  • Complementar y validar las respuestas al cuestionario SIG con un seguimiento continuo de los riesgos cibernéticos, empresariales, de reputación y financieros.

Además, Prevalent aprovecha el SIG como contenido normalizado para la red de intercambio Prevalent Exchange Network y la red de proveedores jurídicos Prevalent Legal Vendor Network.

Solicite una demostración hoy mismo para empezar a trabajar en TPRM. O bien, para una revisión completa del SIG y sus 2022 mejoras, visite Evaluaciones compartidas.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.