Shared Assessments publicó la semana pasada las actualizaciones de su cuestionario Standard Information Gathering (SIG) para 2024. El cuestionario SIG es un estándar unificado para evaluar el riesgo de los proveedores en una multitud de ámbitos temáticos. Hay dos versiones de la encuesta: SIG Core y SIG Lite, con un número de preguntas sustancialmente diferente entre ambas y distintos niveles de detalle.
SIG Core es una evaluación amplia con más de 600 preguntas que abarcan 21 categorías de riesgo. SIG Lite tiene un alcance más reducido y se utiliza normalmente para proveedores que requieren menos diligencia debida o que no son tan críticos. Prevalent es licenciatario de estos cuestionarios SIG e incluye ambos en la plataforma de gestión de riesgos de terceros de Prevalent.
Esta publicación examina los nuevos ámbitos de riesgo disponibles en el SIG 2024 y revisa las actualizaciones de los mandatos de cumplimiento incluidos en la nueva encuesta.
Dominios de riesgo SIG nuevos y actualizados para 2024
SIG 2023 cubrió 19 ámbitos de riesgo en su cuestionario. Con la nueva revisión, Shared Assessments añadió dos ámbitos de riesgo adicionales y revisó los nombres de otros dos. Las dos revisiones cambiaron «Seguridad de las aplicaciones» por «Gestión de aplicaciones» y «Servicios de alojamiento en la nube» por «Servicios en la nube».
La actualización de «Gestión de aplicaciones» deja claro el amplio alcance del riesgo de las aplicaciones. Proteger las aplicaciones puede significar muchas cosas diferentes, pero la gestión de aplicaciones se extiende a todo el ciclo de vida del desarrollo de software. Esto incluye la codificación segura, las mejores prácticas en materia de riesgos y la comunicación de las normas al resto de la organización.
Del mismo modo, la evolución de los «servicios de alojamiento en la nube» a los «servicios en la nube» reconoce un cambio más amplio en el mercado. El alojamiento en la nube puede significar la seguridad subyacente de la infraestructura en la nube, como AWS y Azure, pero no necesariamente se conecta con las mejores prácticas en torno a la reducción de riesgos de las bases de datos basadas en la nube y otras actividades que se realizan en la nube.
Los dos nuevos ámbitos de riesgo son «Gestión de riesgos en la cadena de suministro» e «Inteligencia artificial», que Shared Assessments define como:
- La gestión de riesgos de la cadena de suministro (SCRM) consiste en gestionar los riesgos de la cadena de suministro mediante una evaluación continua de los mismos. Estas herramientas y recursos se utilizan para minimizar las vulnerabilidades y garantizar la continuidad en colaboración con los socios de la cadena de suministro.
- La inteligencia artificial es la práctica de comprender los impactos, las limitaciones y las mejoras de la IA en cuanto a su rendimiento, fiabilidad, credibilidad y eficacia.
La incorporación de estos dos nuevos ámbitos de riesgo refleja la realidad cambiante en la que se mueven los gestores de riesgos de terceros. La gestión de riesgos en la cadena de suministro está cobrando importancia en el ámbito de la gestión de riesgos de terceros, ya que los equipos de compras se involucran cada vez más en la gestión del ciclo de vida de los riesgos de terceros. Esto refleja la creciente necesidad de gestionar los riesgos de ciberseguridad en la cadena de suministro.
Tal y como describe Shared Assessments en su guía sobre dominios de riesgo, «las organizaciones deben establecer normas para los programas de gestión de riesgos de ciberseguridad en la cadena de suministro (C-SCRM) que abarquen todo el ciclo de vida, desde el desarrollo hasta el mantenimiento. Estas normas se pueden alcanzar mediante la investigación, la provisión de recursos y la colaboración de las partes interesadas, y ayudarán a las organizaciones a gestionar de forma eficaz los riesgos de ciberseguridad en sus cadenas de suministro».
En términos de inteligencia artificial, el objetivo del nuevo ámbito de riesgo incluido en el cuestionario SIG es determinar y reducir el riesgo que las herramientas de IA
suponen para las personas, las organizaciones, la sociedad y el medio ambiente. Las principales preocupaciones en este sentido son la privacidad, la fiabilidad, la precisión, la resiliencia, la seguridad y la equidad sin sesgos perjudiciales, entre otras. Shared Assessments quiere que las organizaciones ayuden a los desarrolladores y a otras partes interesadas a elaborar normas en torno a la IA para reducir los riesgos asociados.
Asignaciones de contenido nuevas y actualizadas para SIG 2024
Además de añadir dos nuevos ámbitos de riesgo, la última actualización del cuestionario SIG incorporó nuevos contenidos relacionados con distintas normas de cumplimiento.
Inteligencia artificial: NIST AI RMF
Con la incorporación del nuevo ámbito de riesgo de la inteligencia artificial, Shared Assessments también ha añadido el Marco de Gestión de Riesgos de la Inteligencia Artificial (NIST AI 100-1) del Instituto Nacional de Estándares y Tecnología (NIST) a sus normas de cumplimiento.
El NIST introdujo el AI RMF en enero de 2023 en reconocimiento del creciente uso empresarial de las herramientas de IA y la falta de orientación sobre cómo gestionar los riesgos. Echa un vistazo a nuestra publicación, en la que analizamos en profundidad el AI RMF para comprender sus implicaciones en la gestión de riesgos de terceros. El hecho de que Shared Assessments haya añadido el marco al cuestionario SIG supone una sólida aceptación del valor de la orientación en general.
Gestión de riesgos de la cadena de suministro en materia de ciberseguridad: NIST 800-161 r1
La incorporación de la gestión de riesgos de la cadena de suministro a su lista de ámbitos de riesgo también llevó a añadir la norma NIST SP 800-161r1, una guía actualizada para la gestión de riesgos de ciberseguridad relacionados con la cadena de suministro. La guía del NIST se publicó en mayo de 2022 y describe las mejores prácticas para la gestión de riesgos de ciberseguridad en la cadena de suministro (C-SCRM). El componente de la cadena de suministro del cuestionario SIG hace hincapié en la ciberseguridad, por lo que la incorporación de la norma NIST 800-161 r1 es indicativa de este enfoque.
Medioambiental, social y de gobernanza
En cuanto a los mandatos de cumplimiento ambiental, social y de gobernanza (ESG), Shared Assessments añadió dos nuevas normativas:
- La Ley alemana sobre la cadena de suministro, o Ley sobre la obligación de actuar con la debida diligencia en la cadena de suministro, que entró en vigor el 1 de enero de 2023, se incluyó en esta versión del cuestionario SIG.
- La Guía Climática (ESG) del Departamento de Servicios Financieros de Nueva York, que orienta sobre la gestión de los riesgos financieros derivados del cambio climático, también se incluyó en el cuestionario de 2024.
Directrices interinstitucionales sobre las relaciones con terceros
Shared Assessments también añadió a su cuestionario la Guía interinstitucional sobre relaciones con terceros: gestión de riesgos, publicada por la Junta de Gobernadores del Sistema de la Reserva Federal (la Junta), la Corporación Federal de Seguros de Depósitos (FDIC) y la Oficina del Contralor de la Moneda (OCC).
El objetivo de la Guía interinstitucional es aportar uniformidad y coherencia a la forma en que las entidades bancarias desarrollan y aplican los principios de gestión de riesgos en lo que respecta a las relaciones con terceros. Según el documento, «la guía definitiva ofrece la opinión de las agencias sobre los principios de gestión de riesgos sólidos para las entidades bancarias a la hora de desarrollar e implementar prácticas de gestión de riesgos para todas las etapas del ciclo de vida de las relaciones con terceros».
Otras actualizaciones
Por último, Shared Assessments ha añadido la versión 8 de los controles de seguridad críticos del CIS y añadirá preguntas sobre la norma de ciberseguridad 206(4)-9 de la SEC a la biblioteca de contenidos. Estas incorporaciones contribuirán a determinar con mayor precisión los riesgos de ciberseguridad de sus proveedores.
Estas actualizaciones incluyen:
- La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago PCI DSS v4.0
- ISO 27001 v2022
- ISO 27002 v2022
- CMMC 2.0, que requiere pasar de la transición a la integración.
Las empresas operan en un entorno normativo muy complejo. Estos cambios son indicativos de ello.
¿Qué significa esto para TPRM?
Las actualizaciones del cuestionario SIG para 2024 reflejan un entorno más matizado y arriesgado para los gestores de riesgos de terceros. ChatGPT se lanzó al público hace solo 12 meses, lo que desencadenó una «carrera armamentística» de IA generativa en la industria tecnológica. La incorporación de la IA al cuestionario SIG refleja la necesidad de que las empresas comprendan el riesgo que suponen para ellas las herramientas de IA y establezcan medidas de protección en torno al uso de esta tecnología.
Además, la incorporación de la gestión de riesgos de la cadena de suministro al cuestionario refleja el énfasis en los riesgos de ciberseguridad de la cadena de suministro que están impregnando el panorama empresarial moderno. Las organizaciones están viendo más violaciones de datos de terceros, lo que requiere una comprensión completa de la cadena de suministro de ciberseguridad. El cuestionario SIG se esfuerza por responder a algunas de estas preocupaciones, al tiempo que proporciona cierta tranquilidad al comprender los controles incorporados en las defensas de sus proveedores.
Cómo puede ayudar Prevalent
Prevalent ofrece los cuestionarios SIG Core y SIG Lite como parte de nuestra plataforma de gestión de riesgos de terceros, junto con más de 600 plantillas de evaluación basadas en estándares. Esta biblioteca de plantillas permite a los clientes de Prevalent aprovechar los datos compartidos y optimizar el proceso de cuestionarios de riesgo.
Junto con estas evaluaciones, añadimos automatizaciones de procesos, informes, mapeo de cumplimiento y orientación de remediación integrada para optimizar la gestión de riesgos de terceros. Parte del problema con TPRM es comprender cómo resolver los problemas que surgen. Con la orientación de remediación de Prevalent, llegar a la resolución de problemas ya no es un reto tan grande.
También incorporamos inteligencia de supervisión continua para facilitar el seguimiento de los riesgos actuales en su ecosistema de terceros. Es prácticamente imposible que cualquier gestor de programas TPRM pueda estar al tanto de todos los riesgos posibles por sí mismo, por lo que la plataforma Prevalent lo hace por usted. Solicite una demostración hoy mismo para descubrir cómo Prevalent puede potenciar su programa TPRM.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
