SIG 2025: Actualizaciones y consideraciones clave

Descubra los cambios clave en el cuestionario SIG (Standard Information Gathering) para 2025 y conozca lo que estas actualizaciones significan para su programa de gestión de riesgos de terceros.

Personal de Mitratech
Personal de Mitratech 16 de diciembre de 2024 6 min leer
Decorative image

El cuestionario SIG (Shared Assessments Standard Information Gathering) es un estándar unificado para evaluar el riesgo de los proveedores en una gran variedad de ámbitos temáticos. Existen dos versiones de la encuesta, SIG Core y SIG Lite, con un número de preguntas muy diferente entre ambas y distintos niveles de detalle.

SIG Core es una evaluación exhaustiva con 627 preguntas que abarcan 21 categorías de riesgo. SIG Lite incluye 128 preguntas y suele servir a proveedores que requieren menos diligencia debida o que no son tan críticos. (Incluso hay un SIG completo, SIG Detail, con 1936 preguntas muy exhaustivas).

Mitratech es licenciatario de estos cuestionarios SIG y los incluye en la solución Prevalent Third-Party Risk Management.

Actualizaciones SIG para 2025

Aunque no se añadieron nuevos ámbitos de riesgo, la versión de 2025 incorporó nuevas preguntas sobre la gestión de incidentes y la resiliencia operativa, aumentó el número de correspondencias con las normas e incluyó nuevas cuestiones normativas.

Nuevo contenido de la pregunta en SIG 2025

El SIG 2025 amplió los ámbitos de riesgo existentes, en particular en lo que respecta a:

  • Garantía de la información: 3 nuevas preguntas.
  • Gestión de incidentes de ciberseguridad: 5 nuevas preguntas sobre los requisitos de respuesta ante incidentes y la externalización de la notificación de incidentes.
  • Resiliencia operativa: cuatro nuevas preguntas para evaluar los requisitos mejorados de planificación de contingencias, gobernanza de datos y planificación de la resiliencia.

Cambios en las asignaciones de contenido para SIG 2025

Además de añadir preguntas en áreas clave de control, la actualización más importante del cuestionario SIG 2025 fue la incorporación de nuevos contenidos relacionados con normas de cumplimiento específicas. Esto refleja la evolución generalizada en materia de riesgos de terceros. La incorporación de estos contenidos reconoce el panorama cada vez más complejo en el que operan las empresas y sobre el que deben preguntar a sus proveedores.

Las tres nuevas asignaciones de estándares disponibles en el SIG 2025 son:

  • Ley de Resiliencia Operativa Digital (DORA) de la UE, una normativa destinada a mejorar la resiliencia del sector financiero europeo frente a las amenazas cibernéticas y de las TIC.
  • La Directiva 2 sobre seguridad de las redes y la información (NIS2) de la UE es una normativa que establece medidas para mejorar la ciberseguridad, incluso para terceros.
  • El Marco de Ciberseguridad (CSF) 2.0 del Instituto Nacional de Estándares y Tecnología (NIST) es un conjunto de mejores prácticas y directrices ampliamente aceptado y adoptado en los sectores público y privado de los Estados Unidos.

Resiliencia operativa: DORA

La Ley de Resiliencia Operativa Digital (DORA), que entrará plenamente en vigor en enero de 2025, tiene por objeto garantizar que el sector financiero europeo pueda mantener su resiliencia durante perturbaciones operativas graves. La DORA crea un marco regulador para la resiliencia operativa digital en el sector financiero, en virtud del cual todas las empresas deben confirmar que pueden soportar, responder y recuperarse de una amplia gama de perturbaciones de las TIC y amenazas cibernéticas.

La ley establece requisitos uniformes para la seguridad de los sistemas de redes y de información. En el capítulo V se detallan los requisitos para terceros críticos que prestan servicios de tecnologías de la información y la comunicación (TIC), como plataformas en la nube o servicios de análisis de datos, al sector de los servicios financieros.

En virtud de la DORA, las organizaciones deben clasificar los incidentes, permitir la notificación transparente de los mismos y desarrollar un marco estructurado de gestión de riesgos, que incluya herramientas, sistemas y procesos de prueba. En el cuestionario SIG 2025, el control J.11 pregunta si la organización ha externalizado sus responsabilidades de notificación de incidentes a un proveedor de servicios externo para cumplir con el artículo 18 de la DORA, que exige a las entidades financieras notificar los incidentes importantes relacionados con las TIC a la autoridad competente pertinente.

Seguridad de la cadena de suministro: NIST CSF 2.0

Desde su lanzamiento en 2024, la última versión del NIST CSF se ha convertido en un punto de referencia para las organizaciones que buscan orientación y mejores prácticas para mejorar la seguridad de su cadena de suministro y sus operaciones de ciberseguridad. El NIST CSF se ajusta estrechamente al NIST 800-53, que ya está arraigado en el SIG.

El NIST CSF 2.0 añadió una nueva función de gobernanza, aumentó las funciones de los equipos jurídicos y de cumplimiento normativo, y proporcionó una orientación mejorada sobre los riesgos de la cadena de suministro. Especialmente relevante para la gestión de riesgos de terceros, la introducción de la función de gobernanza ilustra lo importante que es la gobernanza de la ciberseguridad para gestionar y reducir los riesgos de ciberseguridad en las cadenas de suministro. Una función de gobernanza dedicada ayuda a alinear e integrar las actividades y los procesos de ciberseguridad de terceros en la gestión de riesgos de terceros, la gestión de riesgos empresariales y los equipos jurídicos, lo que motivó su inclusión en los últimos cuestionarios SIG 2025.

Ciberseguridad en sectores críticos: NIS2

Reconociendo que las vulnerabilidades dentro de las cadenas de suministro pueden comprometer la seguridad de los servicios esenciales, la Unión Europea adoptó la Directiva sobre seguridad de las redes y la información 2 (NIS2) en diciembre de 2022. La NIS2 exige que las organizaciones implementen medidas sólidas para gestionar y mitigar los riesgos asociados a sus relaciones con terceros. La Directiva NIS2 entró en vigor en octubre de 2024. Se añadieron correspondencias con la NIS2 a la SIG 2025 para adaptarse a los requisitos de la NIS2 de:

  • Establecer políticas de seguridad para la cadena de suministro.
  • Realizar análisis y evaluaciones de riesgos.
  • Garantizar procedimientos sólidos para la gestión de incidentes y la presentación de informes por parte de terceros.
  • Supervisar y evaluar continuamente a terceros.
  • Hacer cumplir las obligaciones contractuales de terceros.

Por ejemplo, se añadieron los controles SIG 2025 C.11 y C.12 para abordar el artículo 29 de la Directiva NIS, que exige el intercambio de información sobre ciberseguridad relacionada con amenazas cibernéticas, cuasi accidentes, vulnerabilidades, técnicas y procedimientos.

¿Qué significan las actualizaciones del SIG 2025 para el TPRM?

La incorporación de la resiliencia operativa y los mapas de seguridad de la cadena de suministro al cuestionario SIG 2025 refleja el énfasis en los riesgos de ciberseguridad y cadena de suministro que impregnan el panorama empresarial moderno. Las organizaciones están viendo más violaciones de datos de terceros, lo que requiere una comprensión completa de la cadena de suministro de ciberseguridad.

El cuestionario SIG 2025 pretende responder a algunas de estas inquietudes, al tiempo que proporciona tranquilidad al comprender los controles integrados en las defensas de sus proveedores. A medida que el entorno normativo cambia a nivel mundial, es probable que SIG añada más asignaciones de contenido durante el próximo año.

Cómo puede ayudar Mitratech

Mitratech ofrece los cuestionarios SIG Core y SIG Lite, junto con más de 800 plantillas de evaluación basadas en estándares, como parte de la solución Prevalent Third-Party Risk Management. Esta biblioteca de plantillas permite a los clientes de Mitratech aprovechar los datos compartidos y agilizar el proceso de cuestionarios de riesgo.

Además de estas evaluaciones, la solución Prevalent añade automatizaciones de procesos, informes, mapeo de cumplimiento y orientación integrada para la corrección, con el fin de optimizar la gestión de riesgos de terceros. Parte del problema con la TPRM es comprender cómo resolver los problemas que surgen. Con la orientación para la corrección de la solución Prevalent, resolver el problema ya no es tan difícil.

Por último, la solución Prevalent también incluye inteligencia de supervisión continua para ayudarle a supervisar los riesgos continuos en su ecosistema de terceros. Es casi imposible que cualquier gestor de programas TPRM pueda estar al tanto de todos los riesgos posibles por sí mismo, por lo que la solución Prevalent lo hace por usted.

Descargue la Guía definitiva SIG 2025 para comprender mejor cómo aplicar el cuestionario SIG en su programa TPRM, o solicite una demostración hoy mismo para descubrir cómo la solución Prevalent puede potenciar su programa TPRM.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.