SIG 2023: Novedades de la última actualización

Descubra los cambios clave en el cuestionario SIG (Standard Information Gathering) y aprenda cómo puede aprovecharlos en sus evaluaciones de riesgos de terceros.

Personal de Mitratech
Personal de Mitratech 30 de noviembre de 2022 6 min leer
Decorative image

El cuestionario estándar de recopilación de información (SIG) es utilizado por equipos de gestión de riesgos de terceros para llevar a cabo evaluaciones estandarizadas de riesgos de proveedores y distribuidores. Los cuestionarios SIG pueden utilizarse tal cual o como parte de un programa más amplio de gestión de riesgos de terceros (TPRM). En esta publicación se examinan las principales actualizaciones del SIG 2023 y cómo pueden utilizarse en las evaluaciones de riesgos de proveedores y distribuidores.

¿Qué es SIG?

El cuestionario Standard Information Gathering (SIG)
es una evaluación de riesgos de terceros elaborada por Shared Assessments. SIG está disponible en varios formatos, incluidos SIG Core, SIG Lite y versiones personalizadas. Las organizaciones utilizan los cuestionarios SIG para medir el riesgo de terceros en 19 ámbitos, y cada pregunta se corresponde con varios requisitos normativos y de cumplimiento. SIG abarca una amplia gama de áreas, desde la seguridad de la información y la ciberseguridad hasta la privacidad y los criterios ESG.

Shared Assessments revisa y actualiza los cuestionarios SIG anualmente. Estas actualizaciones suelen incluir adiciones y cambios en las preguntas, los ámbitos y las categorías temáticas, basándose en las normas operativas vigentes, los cambios sociales y la evolución de industrias y sectores específicos.

¿Qué áreas cubre el SIG?

La versión actual del SIG evalúa el riesgo en las siguientes 19 áreas de control, también conocidas como «dominios»:

  1. Control de acceso
  2. Seguridad de las aplicaciones
  3. Gestión de activos e información
  4. Servicios de alojamiento en la nube
  5. Gestión del cumplimiento
  6. Gestión de incidentes de ciberseguridad
  7. Seguridad de terminales
  8. Gestión del riesgo empresarial
  9. Medioambiental, social y de gobernanza (ESG)
  10. Seguridad de los recursos humanos
  11. Garantía de la información
  12. Gestión de operaciones de TI
  13. Seguridad de redes
  14. Gestión de terceros
  15. Resistencia operativa
  16. Seguridad física y ambiental
  17. Gestión de la privacidad
  18. Seguridad del servidor
  19. Gestión de amenazas

Las principales novedades de SIG 2023 incluyen el nuevo dominio ESG y el nuevo dominio Nth-Party Management. Además, se ha eliminado el dominio Security Policy y su contenido se ha trasladado a los dominios Nth-Party Management e Information Assurance. A continuación, entraremos en más detalles.

Cambios clave en SIG para 2023

Nuevo dominio ESG añadido en SIG 2023

El cambio más significativo en SIG 2023 es la incorporación del ámbito medioambiental, social y de gobernanza (ESG). El cumplimiento de los criterios ESG ha cobrado mayor importancia con la aparición de varias normativas nuevas, como el proyecto de Directiva de la UE sobre la diligencia debida en materia de sostenibilidad empresarial y la Ley alemana sobre la diligencia debida en la cadena de suministro. La actualización SIG Core 2023 incorpora 131 preguntas relacionadas con las prácticas medioambientales, sociales y de gobernanza.

En comparación con SIG 2022, SIG 2023 profundiza más en temas específicos dentro de ESG. Por ejemplo, SIG 2022 incluía preguntas de alto nivel como «¿Tiene un programa ESG en marcha?». SIG 2023, por su parte, aborda varios temas específicos de ESG en las siguientes categorías:

Medioambiental

  • Política medioambiental
  • Gestión medioambiental
  • Contaminación atmosférica
  • Gestión de residuos
  • Cumplimiento de la normativa
  • Cambio climático
  • Gestión de recursos naturales

Social

  • Derechos humanos: esclavitud moderna, salario mínimo
  • Seguridad y salud de los trabajadores: Política de la OHSA
  • Participación comunitaria
  • Seguridad del consumidor: Cumplimiento normativo (FDA)

Gobernanza

  • Estructura del consejo: supervisión del rendimiento
  • Ética y código de conducta: diversidad e inclusión, abastecimiento ético
  • Gestión de la cadena de suministro: evaluaciones de riesgos ESG, códigos de conducta
  • Prácticas de gestión ESG: Registro de riesgos ESG, acuerdos de nivel de servicio (SLA) y objetivos
  • Privacidad y seguridad de los datos

El nuevo dominio de gestión de terceros aborda el riesgode cuartos

La gestión de terceros es otro nuevo ámbito del SIG 2023. Este tema se trataba anteriormente como parte del ámbito de la gestión de riesgos empresariales.

Son muchos los factores que relacionan el aumento de los riesgos relacionados con los datos con las cuartas partes. Por ejemplo, se sabe que los autores de amenazas se dirigen a los proveedores de tecnología como medio para lanzar posteriormente ataques de ransomware contra los socios comerciales de los proveedores y sus clientes. Un buen ejemplo es la violación de Kaseya del año pasado, que se dirigió a una popular plataforma utilizada por los proveedores de servicios gestionados para prestar servicios a sus clientes.

Además, a medida que las empresas están cada vez más conectadas, la información de identificación personal, la información médica protegida, la propiedad intelectual y otros datos confidenciales pueden llegar a manos de cuartos y enésimos terceros desconocidos para el propietario o administrador original de los datos. En este contexto, tiene mucho sentido distinguir el riesgo de cuartos y enésimos terceros del ámbito de la gestión de riesgos empresariales. Las categorías del ámbito de la gestión de enésimos terceros incluyen:

  • Políticas, normas y procedimientos
  • Patrocinio ejecutivo
  • Contratos y acuerdos
  • Inventario y activos
  • Supervisión de la junta directiva y los comités
  • Gestión de incidentes y violaciones de seguridad
  • Diligencia debida
  • Evaluación de riesgos
  • Antecedentes y selección
  • Notificaciones y gestión de incidencias

Nuevas categorías en SIG 2023

Otro cambio importante para SIG 2023 es la incorporación de varias categorías nuevas. SIG divide cada dominio en múltiples categorías para añadir profundidad y enfoque a grupos de controles dispares. Con las nuevas categorías, SIG 2023 profundiza en temas específicos y facilita a las empresas centrarse en los tipos de riesgo que más les preocupan. Por ejemplo, en lugar de reutilizar la categoría «Gestión de incidentes» de SIG 2022, las categorías se han refinado a «Gestión de incidentes» y «Lecciones aprendidas de la gestión de incidentes».

Mayor énfasis en la gestión y la gobernanza

Las actualizaciones del SIG 2023 reflejan un mayor énfasis en la gestión y el control de la seguridad de la información frente a categorías específicas de control de la privacidad, la seguridad y el cumplimiento normativo. A nivel superficial, consideremos algunos de los cambios y actualizaciones de los nombres de dominio:

  • La política de seguridad* fue sustituida por la gestión de terceros.
  • La seguridad organizativa fue sustituida por la garantía de la información.
  • El departamento de Cumplimiento normativo y Riesgo operativo fue sustituido por el departamento de Gestión del cumplimiento normativo.
  • La privacidad fue sustituida por la gestión de la privacidad.

*La mayoría de las preguntas del ámbito de la política de seguridad se trasladaron a la gestión de terceros o a la garantía de la información.

Otro ejemplo evidente de este cambio es la creación del nuevo dominio ESG, que refleja la creciente correlación entre las políticas empresariales generales de una organización y su exposición al riesgo. También es importante señalar que la actualización SIG 2023 incluye nuevas preguntas relacionadas con las políticas de gobernanza de la gestión en cada uno de los 19 dominios. Estas actualizaciones intentan ir más allá de la simple determinación de si un proveedor cuenta con controles específicos, incluyendo líneas de interrogatorio más amplias, como por ejemplo, cómo los proveedores realizan el seguimiento y gestionan la nueva legislación.

Próximos pasos para realizar evaluaciones SIG

Desde los riesgos cambiantes de ciberseguridad y la inestabilidad geopolítica hasta las interrupciones en la cadena de suministro y el mayor escrutinio de los criterios ESG, sus terceros operan en un entorno de riesgo en constante cambio que puede tener implicaciones reales para su negocio. Por eso, el cuestionario estándar de recopilación de información es una herramienta fundamental para muchos programas de gestión de riesgos de terceros.

Prevalent ofrece los cuestionarios SIG Core y SIG Lite como parte de nuestra plataforma de gestión de riesgos de terceros, junto con más de 750 plantillas de evaluación basadas en estándares. Nuestros clientes automatizan y agilizan sus evaluaciones de terceros, combinan los resultados de las evaluaciones y la inteligencia de supervisión continua, y obtienen orientación prescriptiva para remediar los riesgos de manera eficiente. Solicite una demostración para descubrir cómo Prevalent puede potenciar su programa TPRM.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.