El Cuestionario estándar de recopilación de información es utilizado por los equipos de gestión de riesgos de terceros para realizar evaluaciones estandarizadas de riesgos de vendedores y proveedores. Los cuestionarios SIG pueden utilizarse tal cual o como parte de un programa más amplio de gestión de riesgos de terceros (TPRM). Este artículo examina las actualizaciones clave del SIG 2023 y cómo pueden utilizarse en sus evaluaciones de riesgos de vendedores y proveedores.
¿Qué es el SIG?
El cuestionario de recopilación de información estándar (SIG)
es una evaluación de riesgos de terceros elaborada por Shared Assessments. SIG está disponible en varios formatos, incluyendo SIG Core, SIG Lite y versiones personalizadas. Las organizaciones utilizan los cuestionarios SIG para medir el riesgo de terceros en 19 ámbitos, y cada pregunta está relacionada con varios requisitos de cumplimiento y normativos. SIG cubre una amplia gama de áreas, desde la seguridad de la información y la ciberseguridad, hasta la privacidad y ESG.
Shared Assessments revisa y actualiza anualmente los cuestionarios SIG. Estas actualizaciones suelen incluir adiciones y cambios en las preguntas, dominios y categorías temáticas en función de las normas operativas actuales, los cambios sociales y la evolución de industrias y sectores específicos.
¿Qué ámbitos cubre el SIG?
La versión actual del SIG evalúa el riesgo en las siguientes 19 áreas de control, también conocidas como "dominios":
- Control de acceso
- Seguridad de las aplicaciones
- Gestión de activos e información
- Servicios de alojamiento en nube
- Gestión del cumplimiento
- Gestión de incidentes de ciberseguridad
- Seguridad de puntos finales
- Gestión del riesgo empresarial
- Medio ambiente, asuntos sociales y gobernanza (ESG)
- Recursos humanos Seguridad
- Garantía de la información
- Gestión de operaciones de TI
- Seguridad de las redes
- Gestión de terceros
- Resistencia operativa
- Seguridad física y medioambiental
- Gestión de la privacidad
- Seguridad del servidor
- Gestión de amenazas
Las principales adiciones en SIG 2023 incluyen el nuevo dominio ESG y el nuevo dominio Nth-Party Management. Además, se ha eliminado el dominio de Política de Seguridad, y su contenido se ha reubicado en los dominios de Gestión de Nth-Party y Garantía de la Información. A continuación entraremos en detalles.
Principales cambios en los SIG para 2023
Nuevo dominio ESG añadido en SIG 2023
El cambio más significativo en SIG 2023 es la incorporación del ámbito medioambiental, social y de gobernanza (ESG). El cumplimiento de la normativa ESG ha cobrado importancia con la aparición de varias normativas nuevas, como el proyecto de Directiva de Diligencia Debida sobre Sostenibilidad Corporativa de la UE y la Ley alemana de Diligencia Debida en la Cadena de Suministro. La actualización del SIG Core 2023 incorpora 131 preguntas relacionadas con las prácticas medioambientales, sociales y de gobernanza.
En comparación con el SIG 2022, el SIG 2023 profundiza en temas específicos de ESG. Por ejemplo, el SIG 2022 incluía preguntas de alto nivel como "¿Dispone de un programa ESG?". El SIG 2023, por su parte, aborda varios temas específicos de ESG en las siguientes categorías:
Medio ambiente
- Política medioambiental
- Gestión medioambiental
- Contaminación atmosférica
- Gestión de residuos
- Cumplimiento de la normativa
- Cambio climático
- Gestión de recursos naturales
Social
- Derechos Humanos: Esclavitud moderna, salario mínimo
- Seguridad y salud de los trabajadores: Política OHSA
- Participación comunitaria
- Seguridad de los consumidores: Cumplimiento de la normativa (FDA)
Gobernanza
- Estructura del Consejo: Control del rendimiento
- Ética y código de conducta: Diversidad e inclusión, abastecimiento ético
- Gestión de la cadena de suministro: Evaluaciones de riesgos ESG, Códigos de conducta
- Prácticas de gestión ESG: Registro de riesgos ASG, SLA y objetivos
- Privacidad y seguridad de los datos
El nuevo dominio de gestión de Nth-Party aborda el riesgo de4th-Party
La Gestión de Nth-Party es otro nuevo ámbito de SIG 2023. Anteriormente, este tema formaba parte del ámbito de la gestión del riesgo empresarial.
Numerosos factores relacionan el aumento de los riesgos de los datos con las cuartas partes. Por ejemplo, se sabe que las amenazas se dirigen a los proveedores de tecnología como medio para realizar posteriormente ataques de ransomware contra los socios comerciales de los proveedores y sus clientes. Un buen ejemplo es la brecha de Kaseya del año pasado, que afectó a una popular plataforma utilizada por los proveedores de servicios gestionados para prestar servicios a sus clientes.
Además, a medida que las empresas están cada vez más conectadas, la IPI, la PHI, la propiedad intelectual y otros datos sensibles pueden llegar a manos de terceros desconocidos para el propietario o administrador original de los datos. En este contexto, distinguir el riesgo de la cuarta y la enésima parte del ámbito de la gestión del riesgo empresarial tiene mucho sentido. Entre las categorías del ámbito de la Gestión de la Enésima Parte se incluyen:
- Políticas, normas y procedimientos
- Patrocinio ejecutivo
- Contratos y acuerdos
- Inventario y activos
- Supervisión del Consejo y de los comités
- Gestión de incidentes y violaciones
- Diligencia debida
- Evaluación de riesgos
- Antecedentes y selección
- Notificaciones y gestión de incidencias
Nuevas categorías en SIG 2023
Otro cambio importante para el SIG 2023 es la adición de varias categorías nuevas. El SIG divide cada ámbito en varias categorías para añadir profundidad y enfoque a grupos de controles dispares. Con las nuevas categorías, el SIG 2023 profundiza en temas específicos y facilita que las empresas se centren en los tipos de riesgo que más les preocupan. Por ejemplo, en lugar de reutilizar la categoría "Gestión de incidentes" de SIG 2022, las categorías se han refinado a "Gestión de incidentes" y "Lecciones aprendidas de la gestión de incidentes".
Mayor énfasis en la gestión y la gobernanza
Las actualizaciones de SIG 2023 reflejan un mayor énfasis en la gestión y el gobierno de la seguridad de la información frente a categorías específicas de control de la privacidad, la seguridad y el cumplimiento. A nivel superficial, considérense algunos de los cambios y actualizaciones de los nombres de dominio:
- La Política de Seguridad* fue sustituida por la Gestión de Nth-Party
- La Seguridad Organizativa se sustituyó por la Garantía de la Información
- Cumplimiento y Riesgo Operativo se sustituyó por Gestión del Cumplimiento.
- La privacidad se sustituye por la gestión de la privacidad
*La mayoría de las preguntas sobre Política de Seguridad se han trasladado a Gestión de Nth-Party o Garantía de la Información.
Otro ejemplo obvio de este cambio es la creación del nuevo dominio ESG, que refleja la creciente correlación entre las políticas empresariales más amplias de una organización y su exposición al riesgo. También es importante señalar que la actualización de SIG 2023 incluye nuevas preguntas relacionadas con las políticas de gobierno de gestión en cada uno de los 19 dominios. Estas actualizaciones pretenden ir más allá de la mera determinación de si un proveedor dispone de controles específicos, incluyendo líneas de preguntas más amplias, como la forma en que los proveedores realizan el seguimiento y la gestión de la nueva legislación.
Próximos pasos para realizar evaluaciones SIG
Desde la evolución de los riesgos de ciberseguridad y la agitación geopolítica, hasta las interrupciones de la cadena de suministro y el aumento del escrutinio ESG, sus terceros operan en un entorno de riesgo en constante cambio que puede tener implicaciones reales para su negocio. Por eso, el Cuestionario estándar de recopilación de información es una herramienta fundamental para muchos programas de gestión de riesgos de terceros.
Prevalent ofrece los cuestionarios SIG Core y SIG Lite como parte de nuestra plataforma de gestión de riesgos de terceros, junto con más de 750 plantillas de evaluación basadas en estándares. Nuestros clientes automatizan y aceleran sus evaluaciones de terceros, combinan los resultados de las evaluaciones y la inteligencia de supervisión continua, y obtienen orientación prescriptiva para remediar eficazmente los riesgos. Solicite una demostración para descubrir cómo Prevalent puede potenciar su programa TPRM.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
