SIG 2025: Principales actualizaciones y consideraciones

Descubra los cambios clave en el Cuestionario estándar de recopilación de información (SIG) para 2025 y aprenda lo que estas actualizaciones significan para su programa de gestión de riesgos de terceros.

Personal de Mitratech
Personal de Mitratech 16 de diciembre de 2024 6 min leer
Decorative image

El cuestionario de recopilación de información estándar (SIG) de Shared Assessments es un estándar unificado para evaluar el riesgo de los proveedores en multitud de ámbitos temáticos. Existen dos versiones de la encuesta, SIG Core y SIG Lite, con un número sustancialmente diferente de preguntas entre estas dos encuestas y distintos niveles de detalle.

SIG Core es una evaluación exhaustiva con 627 preguntas que abarcan 21 categorías de riesgo. SIG Lite incluye 128 preguntas y normalmente sirve para proveedores que requieren menos diligencia debida o no son tan críticos. (Existe incluso un SIG completo, SIG Detail, con 1.936 preguntas).

Mitratech es licenciatario de estos cuestionarios SIG e incluye ambos en la solución Prevalent Third-Party Risk Management.

Actualizaciones de los SIG para 2025

Aunque no se han añadido nuevos ámbitos de riesgo, la versión 2025 ha añadido nuevas preguntas para la gestión de incidentes y la resistencia operativa, ha aumentado el número de correspondencias de normas y ha incluido nuevas cuestiones reglamentarias.

Nuevo contenido de las preguntas de SIG 2025

El SIG 2025 amplió los ámbitos de riesgo existentes, en particular dentro de:

  • Garantía de la información: 3 nuevas preguntas.
  • Gestión de incidentes de ciberseguridad: 5 nuevas preguntas que cubren los requisitos de respuesta a incidentes y la externalización de la notificación de incidentes.
  • Resistencia operativa: 4 nuevas preguntas para calibrar los requisitos mejorados de planificación de contingencias, gobernanza de datos y planificación de resiliencia.

Cambios en las correspondencias de contenidos para SIG 2025

Además de añadir preguntas en áreas de control clave, la actualización más importante del cuestionario SIG 2025 fue la incorporación de nuevos contenidos relacionados con distintas normas de cumplimiento. Esto refleja la evolución más amplia del riesgo de terceros. La adición de estas correspondencias de contenido reconoce el panorama cada vez más complejo en el que operan las empresas y sobre el que necesitan preguntar a sus proveedores.

Los tres mapeos de nuevas normas disponibles en el SIG 2025 son:

  • E.U. Digital Operational Resilience Act (DORA), una normativa para mejorar la resistencia del sector financiero europeo frente a las amenazas cibernéticas y de las TIC.
  • La Directiva 2 de la UE sobre seguridad de las redes y de la información (NIS2 ) es una normativa que establece medidas para mejorar la ciberseguridad, también para terceros.
  • El Marco de Ciberseguridad (CSF) 2.0 del Instituto Nacional de Normas y Tecnología (NIST ) es un conjunto de buenas prácticas y directrices bien aceptado y adoptado en los sectores público y privado de Estados Unidos.

Resiliencia operativa: DORA

La Ley de Resiliencia Operativa Digital (DORA), que entrará plenamente en vigor en enero de 2025, tiene por objeto garantizar que el sector financiero europeo pueda mantener la resiliencia durante perturbaciones operativas graves. DORA crea un marco normativo para la resistencia operativa digital en el sector financiero, en virtud del cual todas las empresas deben confirmar que pueden resistir, responder y recuperarse de una amplia gama de perturbaciones de las TIC y ciberamenazas.

La Ley establece requisitos uniformes para la seguridad de las redes y los sistemas de información. En el capítulo V establece requisitos para terceros críticos que prestan servicios de tecnologías de la información y la comunicación (TIC), como plataformas en la nube o servicios de análisis de datos, al sector de los servicios financieros.

En virtud de la DORA, las organizaciones deben clasificar los incidentes, permitir la notificación transparente de incidentes y desarrollar un marco estructurado de gestión de riesgos, que incluya herramientas, sistemas y procesos de prueba. En el cuestionario SIG 2025, el control J.11 pregunta si la organización ha externalizado sus responsabilidades de notificación de incidentes a un proveedor de servicios externo para abordar el artículo 18 de la DORA, que exige a las entidades financieras notificar los incidentes importantes relacionados con las TIC a la autoridad competente pertinente.

Seguridad de la cadena de suministro: NIST CSF 2.0

Desde su publicación en 2024, la última versión de NIST CS F se ha convertido en un punto de referencia para las organizaciones que buscan orientación y mejores prácticas para mejorar la seguridad de su cadena de suministro y sus operaciones de ciberseguridad. NIST CSF se alinea estrechamente con NIST 800-53, que ya está arraigado en el SIG.

El NIST CSF 2.0 ha añadido una nueva función de gobernanza, ha ampliado las funciones de los equipos jurídicos y de cumplimiento y ha proporcionado orientaciones mejoradas sobre los riesgos de la cadena de suministro. Especialmente relevante para la gestión de riesgos de terceros, la introducción de la función de gobernanza ilustra lo fundamental que es la gobernanza de la ciberseguridad para gestionar y reducir los riesgos de ciberseguridad en las cadenas de suministro. Una función de gobernanza específica ayuda a alinear e integrar las actividades y procesos de ciberseguridad de terceros en la gestión de riesgos de terceros, la gestión de riesgos empresariales y los equipos jurídicos, lo que motivó su inclusión en los últimos cuestionarios SIG 2025.

Ciberseguridad en industrias críticas: NIS2

Reconociendo que las vulnerabilidades dentro de las cadenas de suministro pueden comprometer la seguridad de los servicios esenciales, la Unión Europea adoptó la Directiva sobre Seguridad de las Redes y de la Información 2 (NIS2 ) en diciembre de 2022. La NIS2 obliga a las organizaciones a aplicar medidas sólidas para gestionar y mitigar los riesgos asociados a sus relaciones con terceros. La Directiva NIS2 entró en vigor en octubre de 2024. En el SIG 2025 se añadieron asignaciones a NIS2 para dar cabida a los requisitos de NIS2:

  • Establecer políticas de seguridad de la cadena de suministro.
  • Realizar análisis y evaluaciones de riesgos.
  • Garantizar la solidez de los procedimientos de gestión e información de incidentes de terceros.
  • Supervisar y evaluar continuamente a terceros.
  • Hacer cumplir las obligaciones contractuales de terceros.

Por ejemplo, los controles C.11 y C.12 del SIG 2025 se añadieron para abordar el artículo 29 de la Directiva NIS, que exige el intercambio de información sobre ciberseguridad relacionada con ciberamenazas, cuasi accidentes, vulnerabilidades, técnicas y procedimientos.

¿Qué significan las actualizaciones de SIG 2025 para la GPRT?

La adición de mapeos de resiliencia operativa y seguridad de la cadena de suministro al cuestionario SIG 2025 refleja el énfasis en los riesgos de ciberseguridad y de la cadena de suministro que están impregnando el panorama empresarial moderno. Las organizaciones están siendo testigos de un mayor número de violaciones de datos de terceros, lo que requiere una comprensión completa de la cadena de suministro de la ciberseguridad.

El cuestionario SIG 2025 trata de responder a algunas de estas preocupaciones, al tiempo que proporciona la tranquilidad de comprender los controles incorporados en las defensas de sus proveedores. A medida que el entorno normativo cambie en todo el mundo, es probable que SIG añada más asignaciones de contenido el año que viene.

Cómo puede ayudar Mitratech

Mitratech ofrece los cuestionarios SIG Core y SIG Lite, junto con más de otras 800 plantillas de evaluación basadas en estándares, como parte de la solución Prevalent Third-Party Risk Management. Esta biblioteca de plantillas permite a los clientes de Mitratech aprovechar los datos compartidos y agilizar el proceso del cuestionario de riesgos.

Junto con estas evaluaciones, la solución de Prevalent añade automatizaciones de procesos, informes, mapeo de cumplimiento y orientación de corrección integrada para agilizar la gestión de riesgos de terceros. Parte del problema de la gestión de riesgos de terceros es saber cómo resolver los problemas que surgen. Con la guía de corrección de la solución Prevalent, resolver el problema ya no es tan difícil.

Por último, la solución Prevalent también incluye inteligencia de supervisión continua para ayudarle a supervisar los riesgos en curso en su ecosistema de terceros. Es casi imposible para cualquier gestor de programas de TPRM estar al tanto de todos los riesgos posibles por sí mismo, por eso la solución Prevalent lo hace por usted.

Descargue la Guía Definitiva SIG 2025 para comprender mejor cómo aplicar el cuestionario SIG en su programa TPRM, o solicite una demostración hoy mismo para descubrir cómo la solución Prevalent puede potenciar su programa TPRM.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.