Explicación del Cuestionario Normalizado de Recopilación de Información (SIG)

Obtenga información sobre las evaluaciones SIG Core y SIG Lite y cómo puede utilizarlas para optimizar su programa de gestión de riesgos de terceros.

Thomas Humphreys Febrero 26, 2026 5 minutos de lectura
Soluciones GRC de Mitratech

¿Qué es el cuestionario de recopilación de información estándar (SIG)?

El cuestionario Standard Information Gathering (SIG) es un cuestionario sobre riesgos de terceros creado por la organización Shared Assessments. SIG está disponible en las versiones Core, Lite y Detail, que proporcionan a las organizaciones bibliotecas de preguntas seleccionadas según los estándares del sector para medir el riesgo de terceros en 21 ámbitos diferentes. Cada pregunta se asigna a controles de seguridad en docenas de marcos y requisitos de cumplimiento, lo que permite la estandarización del riesgo de terceros y la mejora del cumplimiento de los requisitos básicos de TPRM.

SIG Core vs SIG Lite, ¿cuál es la diferencia?

Comencemos con una explicación básica de la diferencia entre SIG Core y SIG Lite. Las organizaciones empresariales utilizan ampliamente ambos repositorios de preguntas en función de sus necesidades, la madurez de sus programas de gestión de riesgos de terceros y los tipos de requisitos de cumplimiento de terceros que se espera que cumplan.

¿Qué es SIG Lite?

SIG Lite es un cuestionario de riesgo de terceros que ofrece una visión general de los sistemas internos de control de la información de una empresa, incluida una evaluación básica de diligencia debida. Con 133 preguntas, SIG Lite puede servir como evaluación preliminar antes de realizar una evaluación más exhaustiva. Las preguntas de SIG Lite también pueden utilizarse cuando un proveedor o distribuidor externo tiene un bajo nivel de riesgo perfilado y requiere menos diligencia debida que los proveedores de mayor riesgo.

¿Qué es SIG Core?

El cuestionario SIG Core (SIG) es un cuestionario exhaustivo sobre riesgos de terceros diseñado para evaluar a los terceros que almacenan o mantienen información confidencial y regulada. Proporciona una visión más profunda de cómo un tercero protege la información, ya que incluye cuatro temas y 810 preguntas que abarcan 21 temas de riesgo. SIG Core también permite a las organizaciones seleccionar y personalizar las preguntas que desean que responda cada proveedor. Además, incluye una amplia cobertura de los requisitos legales y las mejores prácticas para proteger la información personal.

¿Cuáles son los 21 dominios de SIG?

SIG es un cuestionario exhaustivo de evaluación de riesgos que incluye conjuntos de preguntas definidas en las siguientes áreas temáticas:

  1. Control de acceso
  2. Gestión de aplicaciones
  3. Inteligencia artificial
  4. Gestión de activos e información
  5. Servicios en la nube
  6. Gestión del cumplimiento
  7. Gestión de incidentes de ciberseguridad
  8. Seguridad de puntos finales
  9. Gestión del riesgo empresarial
  10. Medio ambiente, asuntos sociales y gobernanza (ESG)
  11. Recursos humanos Seguridad
  12. Garantía de la información
  13. Gestión de operaciones de TI
  14. Seguridad de las redes
  15. Gestión de terceros
  16. Resistencia operativa
  17. Seguridad física y medioambiental
  18. Gestión de la privacidad
  19. Seguridad del servidor
  20. Gestión de riesgos en la cadena de suministro
  21. Gestión de amenazas

Casos de uso del cuestionario SIG

El cuestionario estándar de recopilación de información ofrece a las organizaciones un servicio integral para elaborar sus evaluaciones de riesgos de terceros y asignarlas a los marcos de seguridad y requisitos de cumplimiento aplicables.

Mejorar las evaluaciones de riesgos de terceros

Las evaluaciones de riesgos de terceros son fundamentales para un programa eficaz de gestión de riesgos de terceros. Los cuestionarios SIG Lite o SIG Core se actualizan periódicamente, lo que permite a las empresas evaluar a los proveedores, distribuidores y otros terceros en función de las mejores prácticas actuales en materia de seguridad de la información y gestión de riesgos de terceros.

Asignar los controles de seguridad de los proveedores de mapas a los requisitos de cumplimiento normativo.

La mayoría de las organizaciones empresariales deben cumplir numerosos requisitos de cumplimiento y seguridad publicados por organismos gubernamentales y exigidos por los clientes. A continuación se presentan algunos ejemplos de regulaciones gubernamentales que se corresponden con preguntas SIG:

  • NIST CSF 2.0 (Novedad para 2025)
  • NIST SP 800-53
  • NIST SP 800-161r1
  • NIST IA 100-1
  • HIPAA
  • DORA (Novedad para 2025)
  • NIS2 (Novedad para 2025)
  • GDPR
  • Guía interinstitucional sobre relaciones con terceros: gestión de riesgos
  • CMMC
  • CCPA
  • FEDRAMP
  • Directrices de la ABE sobre externalización
  • La Ley alemana de la cadena de suministro
  • Directrices climáticas del Departamento de Servicios Financieros de Nueva York (DFS)

Las regulaciones aplicables al sector privado incluyen:

  • PCI DSS
  • Controles críticos de seguridad de CIS
  • ISO 27001
  • ISO 27002
  • SOC 2

El uso de SIG Core permite a su organización estandarizar una única evaluación de riesgos aplicable a múltiples sectores y asignar automáticamente las respuestas a varias normativas y marcos para cumplir con las obligaciones normativas y con los clientes de su organización.

Automatizar la recopilación de datos sobre riesgos de terceros

Muchas organizaciones utilizan SIG Core y SIG Lite junto con una solución de gestión de riesgos de terceros dedicada, que automatiza y agiliza la distribución, recopilación, análisis y presentación de informes de las evaluaciones. El uso de una solución TPRM ofrece numerosas ventajas, entre las que se incluyen:

  • Enriquecer las respuestas al cuestionario SIG con los resultados del seguimiento continuo de la ciberseguridad, el negocio, la reputación y las finanzas.
  • Correspondencia entre las respuestas a los cuestionarios SIG Core y SIG Lite y los requisitos, normas y marcos de cumplimiento adicionales.
  • Automatización de la recopilación de cuestionarios y recordatorios a los proveedores para agilizar el proceso de cuestionarios de riesgo de los proveedores.
  • Simplificación de las correcciones con orientación integrada, flujo de trabajo y comunicaciones con los proveedores.
  • Personalización de los informes en función de las partes interesadas o del marco normativo.
  • Ofrecer un repositorio central de documentos para almacenar y analizar pruebas justificativas.
  • Integración en plataformas más amplias de gestión de riesgos empresariales u otras aplicaciones comerciales.

Crear cuestionarios de riesgo de proveedores por niveles

Muchas organizaciones comienzan su programa de gestión de riesgos de terceros elaborando un único cuestionario de riesgos para proveedores que recoge su comprensión actual de los requisitos de seguridad de la información y cumplimiento normativo de terceros. Sin embargo, a medida que las organizaciones maduran, muchas descubren que elaborar cuestionarios por niveles para proveedores basados en el riesgo inherente tiene mucho más sentido para gestionar eficazmente el riesgo y maximizar al mismo tiempo la eficiencia temporal y las tasas de respuesta de los proveedores.

Tanto SIG Core como SIG Lite contienen preguntas que pueden utilizarse para crear múltiples cuestionarios de riesgos de terceros para proveedores y distribuidores. El uso de cuestionarios más exhaustivos para los proveedores de alto riesgo y la realización de evaluaciones menos exhaustivas para los proveedores con un riesgo bajo puede agilizar considerablemente el proceso y permitirle centrarse en abordar los riesgos de terceros más importantes.

Cómo ayuda Mitratech

¿Listo para poner en práctica el SIG? Mitratech puede ayudarle. Ofrecemos licencias para los cuestionarios SIG Core y SIG Lite en nuestra solución de gestión de riesgos de terceros, lo que le ayudará a:

  • Automatice la recopilación y el análisis de las respuestas al cuestionario SIG y las pruebas justificativas con una única solución.
  • Simplifique la presentación de informes sobre el marco normativo y de seguridad con asignaciones de control integradas adicionales.
  • Obtenga una mayor visibilidad de los riesgos de los proveedores con análisis e informes basados en el aprendizaje automático.
  • Mitigue los riesgos de forma proactiva con acceso a directrices de corrección centralizadas.
  • Proporcione a su equipo un acceso fiable a la última versión del cuestionario SIG.
  • Complementar y validar las respuestas al cuestionario SIG con un seguimiento continuo de los riesgos cibernéticos, empresariales, reputacionales, ESG y financieros.

Solicite una demostración para obtener más información sobre nuestras soluciones para automatizar sus evaluaciones SIG.

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.