El cuestionario SIG (Shared Assessments Standard Information Gathering) es un estándar unificado para evaluar el riesgo de los proveedores en múltiples ámbitos. Mitratech es licenciatario de estos cuestionarios SIG y los incluye en la solución Mitratech Third-Party Risk Management.
El cuestionario SIG de Shared Assessments para 2026 ha evolucionado para abordar los dos grandes retos en materia de riesgos: el rápido despliegue de la IA de terceros y los desafíos que plantea la resiliencia de las complejas cadenas de suministro.
A continuación, analizaremos las principales actualizaciones del SIG para 2026, el nuevo desglose de preguntas y lo que significan para su programa.
¿Qué hay de nuevo en SIG 2026?
La actualización SIG 2026 amplía su alcance para adaptarse a la realidad de una cadena de suministro interconectada digitalmente. Aunque no se han añadido nuevos ámbitos de riesgo, la versión 2026 codifica explícitamente la gobernanza de la IA y la resiliencia operativa como requisitos estándar, añade correspondencias críticas con las normas industriales pertinentes e introduce nuevas preguntas que se centran en ámbitos específicos y de alto riesgo.
Nuevo cuestionario SIG: contenido y correspondencias entre estándares
La actualización SIG de 2026 responde directamente a la necesidad del mercado de controles estandarizados sobre la IA y la resiliencia.
Mapeo ISO 42001: Estandarización de la gobernanza de la IA
La novedad más significativa es la correspondencia exhaustiva con la norma ISO 42001, la norma internacional para los sistemas de gestión de la IA.
Las evaluaciones anteriores solían basarse en preguntas ad hoc sobre el uso de la IA. El estándar SIG 2026 estandariza este proceso, lo que le permite evaluar a los proveedores en todo el ciclo de vida de la IA, desde la recopilación de datos y el entrenamiento de modelos hasta la implementación y la supervisión de sesgos.
Esto convierte efectivamente el riesgo de la «IA en la sombra» en una métrica visible y evaluable. Ahora puede consultar sistemáticamente a los proveedores sobre sus controles internos de gobernanza de la IA utilizando estándares reconocidos del sector.
Alineación del Marco de Resiliencia Operativa (ORF)
Aprovechando el impulso de la introducción de DORA y NIS2 en 2025, el SIG 2026 integra el Marco de Resiliencia Operativa del Consejo de Resiliencia Empresarial (BRC).
Las preguntas pasan de verificar la existencia de un plan de recuperación ante desastres a validar la capacidad de un proveedor para mantener las operaciones críticas durante las interrupciones.
Las nuevas preguntas indagan sobre el mapeo de interdependencias, lo que exige a los proveedores demostrar que son conscientes de sus propias dependencias críticas en la cadena de suministro. Esto es esencial para cumplir con las nuevas regulaciones de la UE que exigen visibilidad en toda la cadena de suministro, no solo en los proveedores directos.
Mapeo mejorado según la norma NIST SP 800-171
Con el aumento del escrutinio sobre la Base Industrial de Defensa (DIB) y la Información Controlada No Clasificada (CUI), se ha profundizado significativamente la correspondencia con la norma NIST 800-171.
Esta actualización proporciona una visibilidad más detallada de los controles de privacidad de datos y los plazos específicos de presentación de informes exigidos por las nuevas normativas, como la CIRCIA.
Alcance, usabilidad y SIG EV
Además, la versión de 2026 introduce «Hover Helpers», una guía integrada para los controles que reduce las aclaraciones con los proveedores. También formaliza los ajustes preestablecidos de alcance (Lite, Core, Detail) para ayudar a los equipos a adaptar rápidamente la profundidad del cuestionario al perfil de riesgo del proveedor sin necesidad de editarlo manualmente.
A principios de 2026, Shared Assessments también tiene previsto lanzar SIG EV (Evolution), una plataforma SaaS basada en la nube diseñada para sustituir el tradicional flujo de trabajo basado en Excel. Aunque el formato «Libro de trabajo» de Excel seguirá estando disponible, el paso a una interfaz basada en navegador promete eliminar los dolores de cabeza del pasado, relacionados con el uso intensivo de macros, y ofrecer colaboración en tiempo real, paneles de control y una validación más sencilla.
¿Qué implican las actualizaciones del SIG 2026 para el TPRM?
Para los profesionales del riesgo, la actualización de SIG de 2026 indica que el riesgo de la IA y la resiliencia operativa ya no son temas emergentes, sino que forman parte de la diligencia debida estándar.
- La diligencia debida en materia de IA es ahora obligatoria: con las preguntas de la norma ISO 42001 disponibles, no evaluar a los proveedores en materia de gobernanza de la IA puede considerarse una deficiencia en la supervisión.
- La resiliencia requiere pruebas: el cumplimiento de la DORA y otras normativas similares exige ir más allá de la planificación de la continuidad «marcar casillas» y pasar a pruebas de resiliencia basadas en pruebas.
- Eficiencia a través de la integración: la profundidad del nuevo contenido enfatiza la necesidad de plataformas automatizadas que puedan incorporar, mapear y puntuar estos conjuntos de datos complejos, liberando a su equipo para que se centre en la corrección en lugar de en la recopilación de datos.
Integración perfecta con SIG: la ventaja de Mitratech
Mientras Shared Assessments lanza su propia plataforma basada en la nube (SIG EV) para dejar de usar Excel, los clientes de Mitratech ya están listos para aprovechar estas actualizaciones de inmediato.
Nuestra plataforma TPRM está diseñada para absorber esta complejidad. La solución TPRM de Mitratech integra el contenido actualizado de SIG 2026 directamente en su flujo de trabajo existente. Esto significa que puede implementar la nueva norma ISO 42001 y las preguntas centradas en la resiliencia sin necesidad de navegar por un portal independiente ni gestionar hojas de cálculo manuales.
Con Mitratech TPRM, obtienes:
- Asignación automática: Las respuestas de los proveedores a las nuevas preguntas de 2026 se asignan automáticamente a sus marcos de riesgo internos (incluidos ISO y NIST).
- Ámbito dinámico: aprovechando los ajustes preestablecidos de ámbito «Lite», «Core» y «Detail» de SIG, nuestra plataforma le ayuda a dimensionar correctamente las evaluaciones al instante, lo que garantiza que los proveedores de bajo riesgo no se vean sobrecargados con cuestionarios de IA de alto riesgo.
- Vista unificada: los datos de estos nuevos dominios SIG fluyen directamente a su registro de riesgos, lo que le ofrece una visión inmediata y defendible de su postura en materia de IA y resiliencia en toda la empresa ampliada.
Descargue la última Guía definitiva de SIG para aprender a aplicar el cuestionario SIG en su programa TPRM, o solicite una demostración hoy mismo para descubrir cómo la solución TPRM de Mitratech puede potenciar su programa de gestión de riesgos de proveedores.
