28 octubre 2022

Cuestionario SIG: Lo que debes saber

El placer más noble es el júbilo de comprender. Hay tres clases de hombres: aquellos que ven, aquellos que ven cuando se les muestra y aquellos que no ven.
Leonardo Da Vinci
A medida que la transformación digital continúa cambiando la forma en que el mundo se conecta y hace negocios, las organizaciones deben estar atentas cuando se trata de la gestión de riesgos y el cumplimiento de los proveedores. Con la cantidad de factores a considerar, es una tarea abrumadora de emprender. Sin embargo, una opción popular para administrar el proceso es el cuestionario SIG (Standard Information Gathering).

¿Qué es el cuestionario SIG?
SIG significa recopilación de información estandarizada. Apropiadamente, un cuestionario SIG es un documento único que permite a las empresas recopilar información de terceros y proveedores. Generalmente, las preguntas cubren una amplia gama de información, desde la seguridad y privacidad de los datos hasta la gestión de riesgos y el cumplimiento normativo. El cuestionario SIG es una opción popular cuando una empresa necesita emitir un cuestionario de seguridad.

Dentro de la evaluación SIG, hay 18 áreas diferentes cubiertas. Por ejemplo, las preguntas exploran la tecnología de la información, la resiliencia, la seguridad cibernética, la seguridad de los datos y la privacidad. Toda la información recopilada pinta una imagen de si una empresa es confiable en lo que respecta a la seguridad y los datos. A menudo, establecer esta confianza es parte del proceso de diligencia debida.

Las herramientas de cuestionario de recopilación de información estandarizada (SIG) permiten a las organizaciones crear, personalizar, analizar y almacenar cuestionarios de proveedores. Basado en las mejores prácticas de nuestra comunidad de miembros, el SIG proporciona estandarización y eficiencia en la realización de evaluaciones de riesgos de terceros (Third-Party Risk Management / TPRM). Es una herramienta integral para evaluaciones de gestión de riesgos de ciberseguridad, TI, privacidad, seguridad de datos y resiliencia empresarial.

Los 18 dominios incluidos en el cuestionario SIG son:
  • Gestión de riesgos
  • Politica de seguridad
  • Seguridad organizacional
  • Gestión de activos e información
  • Seguridad de los recursos humanos
  • Seguridad física y ambiental
  • Jefe de operaciones
  • Control de acceso
  • Seguridad de la aplicación
  • Gestión de comunicaciones y eventos de incidentes
  • Resistencia empresarial
  • Cumplimiento
  • Seguridad del dispositivo del usuario final
  • Seguridad de la red
  • Intimidad
  • Gestión de amenazas
  • Seguridad del servidor
  • Alojamiento en la nube
¿Quién lo creó?
El cuestionario SIG fue creado por Shared Assessments (Evaluaciones Compartidas). Las evaluaciones compartidas proporcionan las mejores prácticas, soluciones y herramientas para que los equipos de gestión de riesgos de terceros creen un entorno de garantía para los subcontratistas y sus proveedores.

La base de Shared Assessments está en los servicios financieros regulatorios e impulsados ​​por el cumplimiento, pero ha crecido para incluir el creciente número de industrias que tratan la buena gestión de riesgos de proveedores como una práctica operativa estándar.

Dentro del kit de herramientas del cuestionario SIG hay una hoja de cálculo sofisticada de múltiples pestañas donde se construyen los cuestionarios de seguridad SIG. Ofrece varias opciones para personalizar el cuestionario según las necesidades de la empresa. Afortunadamente, Shared Assessments actualiza la herramienta cada año. Los cambios reflejan los comentarios de los clientes, las regulaciones actualizadas, las nuevas mejores prácticas y las medidas de seguridad mejoradas.

¿Por qué se creó?
El cuestionario SIG fue creado para administrar los riesgos de seguridad cibernética, en particular el riesgo de terceros y el riesgo entre terceros.

Se comprende cada vez más que los riesgos de seguridad de TI de terceros pueden causar millones de dólares en pérdidas y daños, y a menudo daños inconmensurables a la reputación de una organización.

Al hacer negocios con terceros, no es seguro asumir que solo estás haciendo negocios con la parte contratada.
Así como tu organización puede subcontratar a un proveedor de servicios o proveedor externo, es probable que tus proveedores también lo hagan. Entonces, lo sepas o no, estás confiando en que tus proveedores utilizan controles de seguridad sólidos.
Esto significa que debes aplicar el mismo proceso de recopilación de información estándar para probar todas las partes.
El cuestionario SIG tiene como objetivo proporcionar recursos estandarizados para administrar el ciclo de vida completo de la relación con terceros.

La estandarización es fundamental para promover controles de terceros y evaluaciones de riesgos de gestión de riesgos efectivos y seguros. El Programa de Evaluaciones Compartidas creó un conjunto de herramientas de gestión de riesgos de terceros que tienen como objetivo crear eficiencias y reducir costes mientras se mantiene el cumplimiento de las regulaciones, los estándares de la industria y las pautas en todos los entornos de tecnología de la información.

Hay tres tipos de cuestionarios SIG:
Cuestionario SIG: la evaluación SIG evalúa a los proveedores en función de 18 controles de riesgo individuales, que en conjunto determinan cómo se gestionan los riesgos de seguridad en el entorno del proveedor.
SIG LITE: El cuestionario SIG es extenso y se enfoca en múltiples áreas de riesgo en múltiples disciplinas. Para los proveedores que tienen menos riesgos inherentes, que no requieren la evaluación SIG completa, SIG LITE puede ser valioso. Toma los conceptos y las preguntas de alto nivel de las evaluaciones SIG más grandes, y los resume en unas pocas preguntas.
SIG CORE: es una biblioteca de preguntas que los equipos de seguridad pueden elegir, incluidas preguntas extensas sobre el RGPD y otras regulaciones de cumplimiento específicas.

¿Cómo se puede utilizar el cuestionario SIG?
El cuestionario SIG se puede utilizar de varias formas, según las necesidades de tu organización y el tipo de proveedor que estás evaluando, que incluyen:

  • Evaluar los controles de seguridad de la información de un proveedor de servicios.
  • Completado por proveedores externos y utilizado de forma proactiva como parte de la diligencia debida o una respuesta a la solicitud de propuesta (RFP).
  • Completado por un proveedor de servicios y enviado a sus clientes en lugar de completar una o varias evaluaciones de riesgos de terceros. Utilizado por una organización como parte del proceso de autoevaluación.
  • Su uso es común en industrias que están altamente reguladas o manejan información confidencial. Por ejemplo, la banca, la industria farmacéutica, los seguros y la tecnología suelen utilizar el cuestionario de recopilación de información estandarizado. Las empresas requieren que los proveedores actualicen el cuestionario anualmente para garantizar el cumplimiento continuo.
Usos adicionales del cuestionario SIG:
Evaluación de la seguridad de los servicios subcontratados
Autoevaluación del negocio

¿Con qué frecuencia se actualiza?
El cuestionario SIG se actualiza anualmente para cumplir con los nuevos estándares de la industria y para tener en cuenta los cambios en el panorama de la ciberseguridad.
El kit de herramientas de gestión de riesgos de terceros de evaluaciones compartidas de 2020 se lanzó el 20 de noviembre de 2019 para permitir que las organizaciones de todo el mundo cumplan con las demandas de cumplimiento normativo nuevas y en evolución, y aborden el riesgo físico y cibernético en evolución.

Las novedades para 2020 son las herramientas de privacidad de terceros ampliadas para el RGPD y la Ley de Privacidad del Consumidor de California (CCPA), nuevo contenido de riesgo operativo sobre escenarios de riesgo de terceros emergentes y en expansión, como lavado de dinero, tráfico, antimonopolio, antisoborno, cumplimiento internacional, seguridad del centro de llamadas, cumplimiento de pagos, abastecimiento ético y riesgo de trata de personas en la cadena de suministro.
Las nuevas funciones de usabilidad y el contenido operativo ampliado incluyen:

Riesgo operativo / empresarial ampliado: el contenido de la biblioteca de preguntas completa pero personalizable aborda las funciones de gobierno corporativo de antimonopolio, antisoborno, cumplimiento internacional, seguridad del centro de llamadas, cumplimiento de pagos, abastecimiento ético y riesgo de tráfico de personas en la cadena de suministro. Las preguntas sobre la gobernanza de riesgos empresariales, los riesgos de seguridad de la información y la protección de datos de privacidad se han ampliado en función de las nuevas regulaciones, incluidas CCPA y RGPD. 
Contenido de cumplimiento normativo y de riesgo: el nuevo contenido en todas las herramientas ayuda a los profesionales del riesgo a cerrar las brechas de cumplimiento normativo en relaciones con terceros.
Gobernanza de datos: las regulaciones de privacidad como PIPEDA, CCPA, FIPA, la ley SHIELD y RGPD exigen que las organizaciones rastreen diligentemente los datos recopilados por terceros o divulgados a terceros, cómo se utilizan esos datos y dónde se accede a ellos. Las mejoras ayudan con la identificación, el seguimiento y el mantenimiento de la información personal que se utiliza en relaciones específicas con terceros, incluida la administración de terceros.
Configuración del proveedor de servicios y gestión de respuestas: la nueva agilidad en la herramienta de gestión de recopilación de información estandarizada (SIG) permite a los proveedores de servicios facilitar la creación, configuración y mantenimiento de varios cuestionarios completados, lo que reduce el esfuerzo y la complejidad involucrados en responder a las solicitudes de diligencia debida. Automatización de contenido externo: los miembros de Shared Assessment, los subcontratistas y las licencias pueden extraer e integrar contenido SIG en sus plataformas a través de JSON.

Diferencia entre el cuestionario SIG de los cuestionarios de evaluación de riesgos de otros proveedores
La herramienta de gestión SIG es un libro de trabajo de Microsoft Excel que permite a los evaluadores extraer del banco de preguntas de la biblioteca de contenido SIG para crear plantillas de cuestionario personalizadas según sus necesidades.
Esto es diferente a otros cuestionarios de seguridad, como HEVCAT y el Cuestionario de Alianza de Seguridad de Proveedores, el cuestionario SIG evalúa a los proveedores externos y proveedores de servicios en función de sus propias 18 áreas de control de riesgos individuales.

Otros cuestionarios de seguridad reconocidos y respetados incluyen:
  • El Instituto Nacional de Estándares y Tecnología (NIST) SP 800-171
  • ISO 27001
  • Controles de seguridad críticos de CIS
  • El cuestionario de la iniciativa de evaluaciones de consenso de Cloud Security Alliance (CSA) (CAIQ)
  • El cuestionario de Vendor Security Alliance (VSAQ)
Kit de herramientas del cuestionario SIG
Los componentes del kit de herramientas del cuestionario de recopilación de información estandarizada (SIG) 2020 son:

Herramientas de privacidad de terceros
Este conjunto de herramientas se creó a partir de la demanda impulsada por las herramientas de privacidad del RGPD de 2019, con un alcance ampliado para cumplir con los requisitos de varias regulaciones de privacidad y actualizaciones del marco.
Estas herramientas proporcionan plantillas para el alcance de la evaluación previa o las evaluaciones de preparación que permiten evaluaciones centradas en la privacidad, incorporando controles y obligaciones de privacidad basados ​​en jurisdicciones específicas.

Herramientas de referencia del modelo de madurez de gestión de riesgo de proveedor (VRMMM)
El VRMMM de SIG es uno de los modelos de madurez de riesgo de terceros de más larga duración. La funcionalidad y el seguimiento de madurez mejorados de 2020 VRMMM Benchmark Tools permiten a los gerentes establecer calificaciones de nivel de madurez más granulares y brindar una mayor claridad en los informes. Las herramientas de referencia de VRMMM son de uso gratuito.

Herramientas de cuestionario de recopilación de información estandarizada (SIG)
El SIG emplea un conjunto holístico de preguntas basadas en las mejores prácticas de la industria para recopilar y evaluar 18 dominios de riesgo crítico y los controles correspondientes, que incluyen tecnología de la información, ciberseguridad, privacidad, resiliencia y riesgo de seguridad de datos.

Herramientas de procedimiento de evaluación de control estandarizado (SCA)
La SCA ayuda a los profesionales de riesgos a realizar evaluaciones virtuales o in situ de los proveedores, proporcionando el componente de verificación o atestación de programas de riesgos de terceros.

Un par de enfoques proactivos para completar cuestionarios SIG
Ciertamente, la necesidad de evaluaciones de riesgos y seguridad es clara. Sin embargo, para los equipos que responden a los cuestionarios SIG, pueden resultar abrumadores. A menudo existe la presión de completarlos rápidamente para poder finalizar un contrato o una venta. No solo eso, sino que debido al panorama de seguridad en constante evolución, muchos clientes requieren un cuestionario SIG actualizado antes de renovar un contrato.

En este ciclo continuo de cuestionarios, la precisión es vital para proteger tu negocio. Al mismo tiempo, es importante ser lo más eficiente posible al responder cuestionarios de seguridad como el cuestionario SIG. Entonces, esto es lo que puedes hacer.

Proporciona un cuestionario SIG completo antes de que alguien lo solicite
Un número creciente de proveedores externos optan por completar el cuestionario SIG antes de que sus clientes lo soliciten. Por lo tanto, en lugar de esperar a que el cliente cree una evaluación de seguridad, proporciona al cuestionario SIG toda la información que se considera estándar en general.
Este enfoque puede ahorrar tiempo cuando intentes completar un trato si el cliente acepta aceptar el cuestionario de seguridad SIG en lugar de que tu equipo complete un cuestionario de seguridad nuevo y potencialmente altamente personalizado. Más allá de simplemente ahorrarte tiempo, este enfoque inicial puede ayudarte a continuar generando confianza entre tu empresa y el cliente.

Construir una biblioteca de conocimientos de preguntas y respuestas de seguridad SIG
Si bien parte de la información en el cuestionario SIG cambia, la mayoría de las preguntas permanecerán igual de año en año. Normalmente, las diversas empresas que utilizan el cuestionario SIG core o SIG lite harán muchas de las mismas preguntas. Por lo tanto, tiene sentido crear una biblioteca de contenido de evaluación de seguridad para centralizar todos sus datos e información de seguridad.
Esta biblioteca de conocimientos centralizada permite al equipo de seguridad actualizar la información de forma proactiva. Además, permite que el equipo de ventas complete la mayoría de los cuestionarios sin ayuda. Armado con esta información actualizada, gran parte del cuestionario ya está completado para cuando llega al equipo de TI.

Por qué deberías considerar el uso de calificaciones de seguridad junto con el cuestionario SIG
Las calificaciones de seguridad brindan a los equipos de administración de riesgos y seguridad la capacidad de monitorizar continuamente la postura de seguridad de sus proveedores.

El beneficio de las calificaciones de seguridad junto con los cuestionarios de seguridad es que se generan automáticamente, se actualizan con frecuencia y proporcionan un lenguaje común para las partes interesadas técnicas y no técnicas.
La clave para entender es que las calificaciones de seguridad llenan el gran vacío dejado por las técnicas tradicionales de evaluación de riesgos como el cuestionario SIG. Enviar cuestionarios a cada tercero requiere mucho compromiso, tiempo y, francamente, no siempre es preciso.

Las calificaciones de seguridad pueden complementar y proporcionar garantía de los resultados informados en los cuestionarios de seguridad porque son verificables externamente, siempre están actualizados y los proporciona una organización independiente.
Las calificaciones de ciberseguridad serán tan importantes como las calificaciones crediticias al evaluar el riesgo de las relaciones comerciales nuevas y existentes. Estos servicios se convertirán en una condición previa para las relaciones comerciales y en parte del estándar de la debida atención para los proveedores y compradores de servicios.

Basado en:
https://www.upguard.com/blog/sig-questionnaire
https://cloud.google.com/security/compliance/sig
https://ciberseguridad.com/servicios/cuestionario-sig/
https://www.thirdpartytrust.com/blog/security-questionnaire-update-sig-2022-caiq-v401-cis-controls-v8/

Que te diviertas!

No hay comentarios:

Publicar un comentario