Desde 2021, el 82% de las organizaciones han experimentado una o más brechas de datos de terceros, con un costo promedio de $7,5 millones para remediarlas. Dado este riesgo, el 80% de las organizaciones creen que evaluar adecuadamente a los proveedores externos es fundamental. Sin embargo, el 60% de las organizaciones creen que solo son algo efectivas o no son efectivas en la evaluación de terceros.

A medida que las organizaciones dependen cada vez más de proveedores de servicios externos para procesos y operaciones clave, asegurarse de que estos socios cumplan con estrictos estándares de seguridad y cumplimiento es vital. Aquí es donde entran en juego los cuestionarios de Recolección de Información Estandarizada (SIG).

En este artículo, aprenderás todo lo que necesitas saber para comenzar con el cuestionario de Recolección de Información Estandarizada (SIG), incluidos sus tipos, pros y contras, cómo usarlos para gestionar el riesgo de terceros y consejos para automatizar estos largos cuestionarios.

¿Qué es el cuestionario de Recolección de Información Estandarizada (SIG) de Shared Assessments?

El cuestionario SIG es la abreviatura de cuestionario de recolección de información estandarizada.

El SIG fue desarrollado por Shared Assessments, una organización de membresía dedicada a estandarizar y simplificar el proceso de evaluación de riesgos de proveedores en todas las industrias. Su objetivo es proporcionar herramientas que las organizaciones puedan utilizar para gestionar más eficazmente los riesgos asociados con la subcontratación.

El cuestionario SIG está disponible para suscriptores de pago y miembros actuales de Shared Assessments. Se actualiza anualmente para tener en cuenta los nuevos estándares de la industria y los cambios en el panorama de la ciberseguridad.

Los cuestionarios SIG se utilizan comúnmente para:

1. Evaluación de proveedores: Los cuestionarios SIG se utilizan para evaluar los controles de riesgo de los proveedores de servicios externos. Utilizar un cuestionario estandarizado como el SIG ayuda a las organizaciones a cubrir todas las áreas de riesgo relevantes.
2. Autoevaluaciones: Las organizaciones pueden usar el SIG para evaluar sus propios controles internos de ciberseguridad y gestión de riesgos.
3. Línea base para cuestionarios personalizados: Algunas organizaciones pueden usar el SIG como punto de partida y luego personalizarlo para adaptarlo a sus necesidades específicas y riesgos de seguridad.

Cuestionario SIG Core vs SIG Lite

Existen dos versiones del cuestionario SIG según el nivel de evaluación necesario: el SIG Core y el SIG Lite. Las principales diferencias son su longitud y la profundidad de la información que cubren.

SIG Core:

• Profundidad y Detalle: El SIG Core es un cuestionario integral que normalmente cubre una biblioteca de 19 dominios de riesgo. Está diseñado para evaluaciones en profundidad sobre temas relacionados con la seguridad de la información, ciberseguridad, privacidad, continuidad del negocio y otras áreas de riesgo operativo.
• Casos de Uso: Ideal para evaluaciones detalladas, especialmente para proveedores de alto riesgo o aquellos que manejan datos sensibles u operaciones críticas.
• Longitud: Debido a que es más completo, el SIG Core es mucho más largo que el SIG Lite (más de 850 preguntas). Profundiza en los detalles de los procesos internos y controles de seguridad del proveedor.

SIG Lite:

• Simplicidad y Eficiencia: El SIG Lite es una versión más corta y simplificada del cuestionario de diligencia debida. Se centra en áreas clave de riesgo y está diseñado para evaluaciones más rápidas y de alto nivel.
• Casos de Uso: Adecuado para evaluaciones de proveedores de menor riesgo o para evaluaciones preliminares. También se usa cuando una evaluación completa con SIG Core no es necesaria o práctica debido a limitaciones de tiempo o recursos.
• Longitud: Con alrededor de 125 preguntas, el SIG Lite es más corto y consume menos tiempo para completarse, tanto para la organización que realiza la evaluación como para el proveedor que responde a ella.

La elección entre el SIG Core y el SIG Lite generalmente depende del perfil de riesgo específico del proveedor que se evalúa y de la profundidad de la información requerida por la organización evaluadora. El SIG Core es mejor para relaciones críticas o de alto riesgo con proveedores, mientras que el SIG Lite es más apropiado para cribados iniciales o escenarios de menor riesgo.

5 beneficios de los cuestionarios SIG para evaluaciones de riesgo de proveedores

Hay una gran variedad de cuestionarios de seguridad estandarizados disponibles para evaluaciones de riesgo de terceros.

Tipos de cuestionarios de seguridad

Entonces, ¿por qué una organización elegiría el cuestionario SIG sobre otras alternativas?

Vamos a analizar los pros y los contras del SIG.

1. Los cuestionarios SIG se alinean con los requisitos de cumplimiento

La organización Shared Assessments actualiza el cuestionario SIG anualmente para reflejar los requisitos de cumplimiento actualizados para una amplia variedad de normas regulatorias, de seguridad y de la industria. Estos incluyen:

• ISO 27001 y ISO 27002
• ISO/IEC 27701
• NIST 800-53
• Marco de Ciberseguridad NIST
• Marco de Privacidad NIST
• GDPR de la UE
• Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP)
• CSA CAIQ
• CSA Cloud Controls Matrix
• ISA 62443-4-1 y 4-2
• Protección de Infraestructura Crítica (CIP) de NERC
• PCI DSS

(Puedes encontrar una lista completa de marcos mapeados en el sitio web de Shared Assessments.)

Al alinearse con marcos de cumplimiento, el cuestionario SIG permite a las organizaciones evaluar el cumplimiento con múltiples normas y regulaciones utilizando una única herramienta. Esto elimina la necesidad de múltiples evaluaciones independientes, lo que ahorra tiempo y recursos tanto para la organización evaluadora como para los proveedores o terceros que son evaluados. De manera similar, los proveedores de terceros que completan el cuestionario SIG pueden demostrar su cumplimiento con múltiples marcos a través de una única evaluación de seguridad.

A medida que las regulaciones y las normas de la industria evolucionan, una herramienta como la evaluación SIG, que se actualiza regularmente y se alinea con múltiples marcos, puede asegurar que el programa de gestión de riesgos de proveedores de una organización se mantenga relevante con las mejores prácticas actuales de cumplimiento y seguridad.

2. Los cuestionarios SIG ofrecen una evaluación integral del riesgo del proveedor

La naturaleza detallada del SIG permite a las organizaciones realizar una evaluación en profundidad de las prácticas de seguridad, privacidad y cumplimiento de sus proveedores. Esto ayuda a identificar posibles vulnerabilidades y brechas que podrían no ser evidentes con una herramienta de evaluación menos completa.

El cuestionario SIG Core cubre 19 dominios de riesgo:

1. Control de Acceso
2. Seguridad de Aplicaciones
3. Gestión de Activos e Información
4. Servicios de Alojamiento en la Nube
5. Gestión del Cumplimiento
6. Gestión de Incidentes de Ciberseguridad
7. Seguridad de Endpoint
8. Gestión de Riesgos Empresariales
9. Ambiental, Social y Gobernanza (ESG)
10. Seguridad de Recursos Humanos
11. Aseguramiento de la Información
12. Gestión de Operaciones de TI
13. Seguridad de la Red
14. Gestión de la Parte N
15. Resiliencia Operacional
16. Seguridad Física y Ambiental
17. Gestión de Privacidad
18. Seguridad del Servidor
19. Gestión de Amenazas

Las percepciones detalladas obtenidas de un cuestionario integral como el SIG permiten a las organizaciones gestionar mejor sus relaciones con los proveedores. Al comprender en profundidad las prácticas del proveedor, las organizaciones pueden tener discusiones más informadas y liderar esfuerzos colaborativos de gestión de riesgos. Y dado que las organizaciones son cada vez más responsables de las prácticas de sus proveedores de terceros, especialmente en lo que respecta a la seguridad de los datos y la privacidad, una evaluación exhaustiva del SIG puede demostrar la debida diligencia, lo que potencialmente reduce la responsabilidad en caso de una violación de seguridad del proveedor o un problema de cumplimiento.

3. Los cuestionarios SIG están estandarizados

La estandarización significa que todos los proveedores son evaluados usando los mismos criterios, lo que lleva a evaluaciones más justas y consistentes. Ahorra tiempo tanto para las organizaciones evaluadoras como para los proveedores, ya que las organizaciones no necesitan desarrollar cuestionarios únicos para cada proveedor o industria. De manera similar, los proveedores se familiarizan con el formato del cuestionario, lo que significa que pueden usar las mismas respuestas para múltiples clientes y agilizar su proceso de respuesta.

La adopción de un cuestionario estandarizado también promueve la implementación de mejores prácticas en diferentes industrias, alentando a los proveedores a elevar sus estándares para cumplir con un referente ampliamente reconocido. Y para los proveedores más pequeños o aquellos nuevos en ciertos mercados, el SIG puede ayudarles a comprender e implementar una variedad de mejores prácticas de seguridad y cumplimiento.

4. Los cuestionarios SIG se actualizan con frecuencia

Las amenazas cibernéticas y los paisajes tecnológicos evolucionan constantemente, y con ellos las regulaciones y los estándares de seguridad que las organizaciones deben cumplir. Las actualizaciones anuales aseguran que el cuestionario se mantenga relevante y eficaz en la evaluación de riesgos actuales y emergentes.

Además, las actualizaciones regulares permiten que se incorpore retroalimentación al cuestionario (tanto de las organizaciones que usan el SIG como de los proveedores que lo completan), haciéndolo más efectivo y fácil de usar.

A medida que evolucionan las mejores prácticas en la gestión de riesgos, ciberseguridad y protección de datos, el SIG puede actualizarse para reflejar estas mejores prácticas de la industria, asegurando que las organizaciones siempre evalúen a sus proveedores frente a los estándares más altos.

5. Los cuestionarios SIG son personalizables

El cuestionario SIG está estructurado en un formato modular, lo que permite a las organizaciones seleccionar secciones relevantes o dominios de riesgo en función de los servicios prestados por el proveedor. Esto facilita que las organizaciones adapten la evaluación basándose en el perfil de riesgo del proveedor y la industria, haciendo el proceso de evaluación más enfocado y eficiente.

La personalización también permite que las organizaciones alineen el cuestionario con sus propias prioridades y políticas de seguridad, asegurando que la evaluación aborde directamente las áreas de riesgo críticas de la organización.

Desafíos de los cuestionarios SIG

Si bien el SIG permite a las organizaciones realizar evaluaciones específicas, relevantes y eficientes, puede que no sea la opción adecuada para todas las empresas. Aquí hay algunos posibles inconvenientes a considerar:

1. Gasto: El acceso a los cuestionarios SIG requiere una suscripción anual paga, que actualmente es de $6,000/año para una licencia corporativa. Esto incluye acceso al cuestionario, un Gestor de SIG, una Guía de Procedimientos de Usuario de SIG, un Libro de Trabajo de Implementación de SIG, una Lista de Solicitudes de Documentación de SIG y una Capacitación en Fundamentos de SIG.
2. Tiempos de respuesta más lentos: La naturaleza integral del SIG, especialmente el SIG Core, significa que puede ser bastante largo y complejo. Esto puede ser agobiante para los proveedores, particularmente los más pequeños con recursos limitados, lo que lleva a retrasos en la respuesta o información incompleta.
3. Intensivo en recursos: El proceso del cuestionario SIG puede ser intensivo en recursos tanto para la organización que emite el cuestionario como para los proveedores que responden. Los proveedores a menudo requieren tiempo y esfuerzo significativos para recopilar y proporcionar información detallada, lo que desvía el enfoque del equipo de otras prioridades. Para las organizaciones evaluadoras, evaluar, comparar y hacer seguimiento a múltiples cuestionarios completados puede ser igualmente laborioso.
4. Potencial para ‘seguridad de casillas’: Algunas organizaciones podrían usar el SIG principalmente como una lista de verificación de cumplimiento en lugar de una herramienta para facilitar la gestión estratégica de riesgos y prácticas de seguridad de la información. Esto puede llevar a un enfoque de marcar casillas, donde el enfoque está más en cumplir con los requisitos del cuestionario que en mejorar las posturas de seguridad.

Cómo usar un cuestionario SIG para la gestión de riesgos de terceros

¿Curioso sobre cómo comenzar con el cuestionario SIG? Aquí tienes un proceso paso a paso para utilizar el SIG y mejorar la gestión de riesgos de terceros (TPRM) de tu organización.

Paso 1: Determinar el alcance. Decide qué partes del SIG son relevantes para el proveedor que está siendo evaluado en función de los servicios que brindan y los posibles riesgos que implican.

Paso 2: Personalizar el cuestionario. Esto puede implicar la selección de módulos o secciones relevantes del cuestionario, y posiblemente agregar preguntas específicas de la industria o de la empresa.

Paso 3: Distribuir a los proveedores. Los cuestionarios a menudo se acompañan de una carta de presentación que explica el propósito de la evaluación y proporciona instrucciones y plazos para su finalización.

Paso 4: El proveedor completa el cuestionario. El proveedor llena el cuestionario, proporcionando respuestas detalladas a las consultas sobre sus controles de seguridad y cumplimiento, políticas y procedimientos.

Paso 5: Revisar. Una vez recibido el cuestionario completado, revisa y analiza las respuestas para evaluar la adecuación de los controles y prácticas del proveedor. Este paso a menudo implica un equipo de expertos en ciberseguridad, cumplimiento y gestión de riesgos para identificar áreas de preocupación o riesgos potenciales.

Paso 6: Hacer un seguimiento, si es necesario. Si hay respuestas poco claras o incompletas, o si se necesita información adicional, haz un seguimiento con el proveedor. Esto puede implicar pedir documentación adicional o ejemplos específicos.

Paso 7: Tomar la decisión. Decide si el proveedor cumple con la tolerancia al riesgo y los requisitos de cumplimiento de la organización. Determina si se necesitan estrategias de mitigación de riesgos, como controles adicionales, términos contractuales o monitoreo continuo. Crea un informe sobre los hallazgos de la evaluación para registros de auditoría y referencia futura.

Basado en la evaluación, procede con la relación con el proveedor, requiere ciertas medidas de mitigación de riesgos, realiza más evaluaciones o decide no comprometerte con el proveedor.

Paso 8: Monitorear. Monitorea continuamente el cumplimiento y la postura de riesgo del proveedor. Puedes volver a emitir el cuestionario SIG periódicamente o si hay cambios significativos en los servicios del proveedor o en el entorno regulatorio.

Consejos para responder a un cuestionario SIG

Responder a un cuestionario SIG es una oportunidad para demostrar el compromiso de tu organización con la seguridad y el cumplimiento. Una respuesta reflexiva y bien preparada puede fortalecer tu relación con el cliente y mejorar tu reputación en el mercado.

Sigue este proceso para responder a cualquier cuestionario SIG que recibas:

Paso 1: Revisa todo el cuestionario primero. Esto te ayudará a comprender el alcance del cuestionario y cómo se relaciona con tu producto y servicios, además de obtener una visión general de la información requerida. Si alguna pregunta no es clara, contacta con la organización emisora para obtener aclaraciones.

Paso 2: Armar tu equipo. Con una mejor comprensión de los requisitos, puedes involucrar al personal clave de diferentes departamentos como TI, seguridad, cumplimiento, legal y operaciones. Su experiencia es crucial para proporcionar respuestas precisas y completas.

Paso 3: Responder preguntas. Asegúrese de que las respuestas sean precisas y reflejen sus prácticas y políticas actuales. Si hay áreas donde su postura de seguridad no esté a la altura o esté desactualizada, reconózcalo y detalle cualquier plan de mejora o actualización. Sea claro y conciso, y evite la jerga técnica excesiva.

Si bien las respuestas deben ser completas, también es importante tener en cuenta la confidencialidad de la información que comparte. Asegúrese de que las respuestas no violen ninguna política interna o regulación de protección de datos.

Paso 4: Incluir documentos de apoyo. Siempre que sea posible, respalde sus respuestas con documentos relevantes como políticas, certificaciones, informes de auditoría o declaraciones de cumplimiento para agregar credibilidad a sus respuestas.

Paso 5: Revisar y validar respuestas. Los interesados internos deben revisar el cuestionario completado para asegurar la precisión y mantener un mensaje coherente sobre sus prácticas de seguridad y cumplimiento.

Paso 6: Enviar el cuestionario completado. Asegúrese de mantener una copia de su cuestionario completado y de cualquier documento de apoyo. Esto puede ser útil para futuras referencias y para mantener la consistencia en las respuestas a múltiples cuestionarios.

Automatizar SIG y cuestionarios de seguridad

Los cuestionarios SIG son una herramienta poderosa tanto para evaluar el riesgo de terceros como para ganar la confianza del cliente. Pero pueden ser increíblemente engorrosos y consumir muchos recursos tanto para responder como para revisar.

La <hipervínculo id=0>Automatización de Cuestionarios</hipervínculo> de Secureframe puede agilizar el tedioso y prolongado proceso de responder a extensos cuestionarios de seguridad y RFPs, con funcionalidades de IA incorporadas que extraen respuestas de una Base de Conocimiento con cientos a miles de respuestas y más del 90% de precisión. Simplemente cargue un cuestionario SIG completado, verifique y almacene las respuestas en su Base de Conocimiento, y Secureframe extraerá las respuestas para completar automáticamente futuros cuestionarios SIG.

Combine los cuestionarios SIG con el Centro de Confianza de Secureframe para demostrar la solidez de su postura de seguridad, resaltar sus métricas y certificaciones clave de seguridad, y ganar la confianza del cliente. <hipervínculo id=0>Aprenda más sobre Secureframe Trust</hipervínculo> y nuestras capacidades de automatización de cuestionarios, o programe una demo con un experto en productos para verlo en acción.