SIG 2022: Novedades y cómo beneficiarse de ellas

Las actualizaciones del Cuestionario estándar de recopilación de información (SIG) incluyen preguntas simplificadas, asignaciones de control adicionales y nuevas categorías.

Personal de Mitratech
Personal de Mitratech 1 de diciembre de 2021 5 minutos de lectura

Nota del editor: Aquí hay un enlace a nuestro artículo sobre la actualización SIG 2023.

El cuestionario Standard Information Gathering (SIG) es una evaluación de riesgos de terceros elaborada por Shared Assessments. Disponible en versiones Core y Lite, el SIG permite a las organizaciones aprovechar una biblioteca estándar del sector con preguntas verificadas que miden el riesgo en 18 ámbitos. Al asignar cada pregunta a múltiples controles y requisitos normativos, permite a las organizaciones simplificar y estandarizar sus iniciativas de gestión de riesgos y cumplimiento normativo de terceros.

Shared Assessments lleva a cabo revisiones anuales del cuestionario SIG para determinar si es necesario realizar cambios para subsanar deficiencias y mejorar los controles existentes. En esta publicación se analiza la actualización del SIG para 2022 y se explora cómo puede aplicar esta evaluación líder en el sector en su organización.

Actualizaciones SIG 2022

Las actualizaciones del cuestionario SIG 2022 se organizan en tres categorías:

  1. Conjuntos de preguntas SIG Core y SIG Lite actualizados, reordenados y reducidos.
  2. Normas y mapeos normativos nuevos y actualizados, incluidos cuatro mapeos nuevos y 13 actualizados.
  3. Más de 30 nuevas categorías y actualizaciones de dominios.

SIG Lite frente a SIG Core: ¿cuál es la diferencia? ¿Qué hay de nuevo?

En primer lugar, veamos cómo han cambiado los conjuntos de preguntas. Shared Assessments ofrece dos versiones de su evaluación SIG: SIG Lite y SIG Core.

El cuestionario SIG Lite está diseñado para proporcionar una comprensión amplia y de alto nivel sobre los controles internos de seguridad de la información de un tercero, ofreciendo un nivel básico de diligencia debida en la evaluación. Con 150 preguntas, el SIG Lite puede utilizarse como evaluación preliminar antes de realizar una más detallada.

Las actualizaciones para SIG Lite 2022 incluyen:

  • Preguntas agrupadas por tema, lo que facilita a los usuarios la comprensión de los controles.
  • Reducción del número de preguntas en un 50 % e introducción de preguntas más específicas.
  • Mejora de la clasificación mediante la puesta a disposición de cuestionarios listos para usar para los profesionales.

El cuestionario SIG Core es más detallado y está diseñado para evaluar a terceros o proveedores que almacenan o gestionan datos confidenciales y regulados, lo que proporciona un profundo nivel de comprensión sobre cómo un tercero protege la información. SIG Core incluye 825 preguntas dirigidas a 18 ámbitos de riesgo. SIG Core incluye una biblioteca de preguntas que los equipos de seguridad pueden seleccionar y elegir con sus proveedores e incorpora un amplio lenguaje sobre las normativas de privacidad y cumplimiento.

Las actualizaciones para SIG Core 2022 incluyen:

  • Preguntas agrupadas por tema, lo que facilita a los usuarios la comprensión de los controles.
  • Reducción del número de preguntas en un 25 % e introducción de preguntas más centradas en el control.
  • Mejora de la clasificación mediante la puesta a disposición de cuestionarios listos para usar para los profesionales.

Asignaciones de control normativo nuevas y actualizadas

Una segunda categoría importante de actualizaciones de SIG se refiere a las asignaciones de control normativo. Shared Assessments se mantiene al día de las normativas, directrices y estándares de una amplia gama de sectores y ha integrado 1600 puntos de control de:

  • NIST 800-53 (Rev.5) Controles de seguridad y privacidad para sistemas de información y organizaciones
  • Directrices del Departamento de Justicia de junio de 2020 sobre la evaluación de los programas de cumplimiento normativo corporativo para empresas estadounidenses que cotizan en bolsa.
  • Cuestionario de la Iniciativa de Evaluaciones Consensuadas (CAIQ) v3.1 y Matriz de Controles en la Nube (CCM) Versión 4
  • Guía sobre sistemas de automatización y control industrial EC-62443
  • Orientaciones del RGPD sobre las cláusulas contractuales tipo (CCT)
  • Leyes estatales de privacidad (California, Colorado, Virginia)

Específicamente para NIST 800-53, los nuevos cuestionarios SIG incluyen preguntas sobre gestión de riesgos en la cadena de suministro en áreas que incluyen gestión de activos, desarrollo de sistemas (externalización), resiliencia y continuidad, y gestión de amenazas y vulnerabilidades.

Actualizaciones de dominio y categoría

El SIG 2022 también renombra algunos ámbitos de riesgo para ampliar su alcance y hacer hincapié en que el riesgo no está vinculado a funciones o roles específicos. Por ejemplo, la gestión de riesgos se ha renombrado como gestión de riesgos empresariales, de modo que engloba el riesgo en toda la organización. Del mismo modo, la resiliencia empresarial se denomina ahora resiliencia operativa, y la seguridad física se denomina ahora seguridad física y medioambiental.

Quizás la novedad más interesante de la SIG sea la incorporación de categorías nuevas y ajustadas que mejorarán la garantía en temas relevantes y oportunos, como el medio ambiente, los aspectos sociales y de gobernanza (ESG) y las mejores prácticas de gestión de incidentes en toda la cadena de suministro.

  • Las actualizaciones de ESG incluyen el abastecimiento ético y los códigos de conducta, la esclavitud moderna y la gestión de riesgos medioambientales.
  • La gestión de incidentes incluye funciones ampliadas de detección y documentación.
  • La gestión de cuartos y enésimos terceros amplía los requisitos para gestionar a terceros con el fin de incluir la cadena de suministro más amplia. Las áreas incluyen requisitos contractuales, evaluaciones de riesgos, resiliencia operativa y gestión de datos personales.

Cómo ayuda Prevalent

¿Listo para poner en práctica el SIG 2022? Prevalent puede ayudarle. Ofrecemos licencias para los cuestionarios SIG Core y SIG Lite en nuestra plataforma de gestión de riesgos de terceros, lo que le ayudará a:

  • Automatice la recopilación y el análisis de las respuestas al cuestionario SIG y las pruebas justificativas con una única plataforma.
  • Simplifique la presentación de informes sobre el marco normativo y de seguridad con asignaciones de control adicionales integradas.
  • Obtenga una mayor visibilidad de los riesgos de los proveedores con análisis e informes basados en el aprendizaje automático.
  • Mitigue los riesgos de forma proactiva con acceso a directrices de corrección centralizadas.
  • Proporcione a su equipo un acceso fiable a la última versión del cuestionario SIG.
  • Complementar y validar las respuestas al cuestionario SIG con un seguimiento continuo de los riesgos cibernéticos, empresariales, reputacionales y financieros.

Además, Prevalent aprovecha el SIG como contenido estandarizado para la red Prevalent Exchange Network y la red Prevalent Legal Vendor Network.

Solicite una demostración hoy mismo para comenzar su viaje hacia la gestión del riesgo de terceros (TPRM). O, para obtener una revisión completa del SIG y sus mejoras para 2022, visite Shared Assessments.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.