0
0
80% das organizações sofreram uma violação de segurança cibernética que se originou de vulnerabilidades em seu ecossistema de fornecedores nos últimos 12 meses, e a organização média foi violada dessa forma 2,7 vezes, de acordo com uma pesquisa da BlueVoyant.
A pesquisa também descobriu que as organizações estão experimentando vários pontos de dor em seu programa de gerenciamento de riscos cibernéticos, pois visam mitigar o risco em uma rede que normalmente abrange 1409 fornecedores.
O estudo foi conduzido pela Opinion Matters e registrou as opiniões e experiências de 1505 CIOs, CISOs e Chief Procurement Officers em organizações com mais de 1000 funcionários em uma gama de setores verticais, incluindo serviços empresariais e profissionais, serviços financeiros, saúde e farmacêutico, manufatura, utilidades e energia. Cobriu cinco países: EUA, Reino Unido, México, Suíça e Cingapura.
Orçamentos de risco cibernético de terceiros e outras descobertas-chave
- 29% dizem que não têm como saber se o risco cibernético surge em um fornecedor terceirizado
- 22,5% monitoram toda a sua cadeia de suprimentos
- 32% apenas reavaliam e relatam a posição de risco cibernético de seu fornecedor, seja semese ou menos com frequência
- A contagem média de funcionários em equipes internas e externas de gerenciamento de riscos cibernéticos é de 12
- 81% dizem que os orçamentos para gestão de risco cibernético de terceiros estão aumentando, em uma média de 40%
Comentando as descobertas da pesquisa, Jim Penrose, COO BlueVoyant,disse: “Que quatro em cada cinco organizações sofreram recentes violações de segurança cibernética originárias de seu ecossistema de fornecedores é de grande preocupação.
“A pesquisa indicou claramente as razões por trás dessa alta frequência de violação: apenas 23% estão monitorando todos os fornecedores, o que significa que 77% têm visibilidade limitada e quase um terço apenas reavaliam a posição de risco cibernético de seus fornecedores semestral ou anualmente. Isso significa que, no período de intervenção, eles estão efetivamente voando cegos para riscos que podem surgir a qualquer momento no ambiente de ameaça cibernética predominante.”
Vários pontos de dor existem em programas de risco cibernético de terceiros à medida que os orçamentos aumentam
Uma visão mais aprofundada das dificuldades que estão levando a violações foi revelada quando os entrevistados foram convidados a identificar os três principais pontos de dor relacionados aos seus programas de risco cibernético de terceiros, nos últimos 12 meses.
Os problemas mais comuns foram:
- Gerenciamento do volume de alertas gerados pelo programa
- Trabalhando com fornecedores para melhorar o desempenho da segurança e
- Priorizando quais riscos são urgentes e quais não são.
No entanto, as respostas globais foram quase igualmente espalhadas por treze áreas de preocupação diferentes. Em resposta a essas questões, os orçamentos para programas de risco cibernético de terceiros devem aumentar no próximo ano. 81% dos entrevistados da pesquisa disseram que esperam ver os orçamentos aumentarem, em média, 40%.
Jim Penrose continua: “O fato de que os profissionais de gerenciamento de riscos cibernéticos estão relatando dificuldades em todo o quadro mostra a complexidade que enfrentam na tentativa de melhorar o desempenho.
“É encorajador que o orçamento esteja comprometido em resolver o problema, mas com tantas questões para resolver muitas organizações vai ter dificuldade em saber por onde começar. Certamente, a abordagem atual não está funcionando, então simplesmente tentar fazer mais do mesmo não mudará o mostrador sobre o risco cibernético de terceiros.”
Variação entre setores da indústria
A análise das respostas de diferentes setores comerciais revelou variações consideráveis em suas experiências de risco cibernético de terceiros. O setor de serviços empresariais está sofrendo a maior taxa de violações, com 89% dizendo que foram violados por uma fraqueza em terceiros nos últimos 12 meses.
A média de ocorrências nos últimos 12 meses também foi maior neste setor, com 3,6. Isso se deve, sem dúvida, em parte ao fato de que as empresas do setor relataram trabalhar com 2.572 fornecedores, em média.
Em contrapartida, apenas 57% dos entrevistados do setor manufatureiro disseram ter sofrido violações cibernéticas de terceiros nos últimos 12 meses. O setor trabalha com 1.325 vendedores em média, mas teve uma frequência de quebra muito menor, em 1,7.
“Treze por cento dos entrevistados do setor manufatureiro também relataram não ter pontos de dor em seus programas de gerenciamento de risco cibernético de terceiros, um percentual mais do que o dobro de qualquer outro setor.
Comentando sobre as diferenças acentuadas observadas entre os setores, Jim Penrose disse: “Isso sublinha que não há uma solução de tamanho único para gerenciar o risco cibernético de terceiros.
“Diferentes indústrias têm necessidades diferentes e estão em diferentes estágios de maturidade em seus programas de gestão de riscos cibernéticos. Isso deve ser levado em conta nas tentativas de melhorar o desempenho para que o investimento seja direcionado para onde ele tem o maior impacto.”
Mistura de ferramentas e táticas em jogo
A pesquisa investigou as ferramentas que as organizações têm em vigor para implementar o gerenciamento de riscos cibernéticos de terceiros e encontrou uma mistura de abordagens sem uma única abordagem dominante.
Muitas organizações estão evoluindo para uma estratégia baseada em dados, com dados de risco de fornecedores e análises em uso em 40%. No entanto, táticas estáticas e pontuais, como auditorias no local e questionários de fornecedores, permanecem comuns.
Jim Penrose conclui: “No geral, as descobertas da pesquisa indicam uma situação em que a grande escala dos ecossistemas de fornecedores e o ambiente de ameaças em rápida mudança estão derrotando as tentativas de gerenciar efetivamente o risco cibernético de terceiros de forma significativa.
“A visibilidade de um grupo tão grande e heterogênios de fornecedores é obscurecida devido à falta de recursos e à contínua dependência de processos manuais, point-in-time, o que significa que o risco cibernético emergente em tempo real é invisível durante a maior parte do tempo.
“Para que as organizações façam progressos significativos na gestão do risco cibernético de terceiros e reduzam a taxa atual de violações, elas precisam estar buscando maior visibilidade em seu ecossistema de fornecedores e alcançando um melhor contexto em torno dos alertas para que possam ser priorizadas, triadas e rapidamente remediadas com fornecedores.”
FONTE: HELPNET SECURITY