0
0
A BlueVoyant divulgou as conclusões de sua segunda pesquisa global anual sobre gerenciamento de riscos cibernéticos de terceiros. O estudo revela que 97% das empresas pesquisadas foram impactadas negativamente por uma violação de segurança cibernética que ocorreu em sua cadeia de suprimentos.
93% admitiram que sofreram uma violação direta de segurança cibernética por causa de fraquezas em sua cadeia de suprimentos e o número médio de violações experimentadas nos últimos 12 meses cresceu de 2,7 em 2020 para 3,7 em 2021 – um aumento de 37% ano após ano.
O estudo foi conduzido pela Opinion Matters e registrou as opiniões e experiências de 1200 CIOs, CISOs e Diretores de Compras em organizações com mais de 1000 funcionários em uma variedade de setores, incluindo: serviços empresariais, serviços financeiros, saúde e farmacêuticos, manufatura, serviços públicos e energia e defesa. Cobriu seis países: EUA, Canadá, Alemanha, Holanda, Reino Unido e Cingapura.
As empresas ainda não priorizam suas cadeias de suprimentos vulneráveis
- Apenas 13% das empresas disseram que o risco cibernético de terceiros NÃO era uma prioridade, uma queda em comparação com o ano passado, quando 22% das empresas disseram que a cadeia de suprimentos e o risco cibernético de terceiros não estavam em seu radar.
- A frequência com que as empresas avaliam seus fornecedores caiu ano a ano: 47% auditaram ou relataram sobre a segurança do fornecedor não mais do que duas vezes por ano, em comparação com 32% em 2020.
- 38% dos entrevistados disseram que não tinham como saber quando ou se surge um problema com a segurança cibernética de um fornecedor terceirizado, em comparação com 29% no ano passado.
- 91% dizem que o orçamento para o gerenciamento de riscos cibernéticos de terceiros está aumentando em 2021, em comparação com 81% que disseram isso em 2020.
Comentando os resultados da pesquisa, Adam Bixler, Chefe Global de Gerenciamento de Riscos Cibernéticos de Terceiros, BlueVoyant, disse: “Mesmo que estejamos vendo uma conscientização crescente sobre o assunto, as violações e o impacto negativo resultante ainda são incrivelmente altos, enquanto a prevalência de monitoramento contínuo permanece preocupantemente baixa. O risco cibernético de terceiros só pode se tornar uma prioridade estratégica por meio de briefings claros e frequentes para a equipe executiva sênior e o Conselho.
“Enquanto permanecer um item de linha discutido apenas uma ou duas vezes por ano – ou com menos frequência -, o gerenciamento de riscos cibernéticos continuará a definhar de uma perspectiva estratégica até que um evento cibernético inevitável vaze dados, interrompa as operações ou envergonhe a empresa.”
Enquanto os orçamentos aumentam, as empresas ainda estão enfrentando vários pontos problemáticos
Relatórios da escala de aumentos orçamentários quase exatamente coincidiram com os números do ano passado. 29% das empresas relataram aumentos orçamentários de 26-50%; 42% relataram aumentos de 51-100% e 17% relataram aumentos de 100% ou mais. No geral, 91% estão planejando aumentos orçamentários.
No entanto, o grau em que esses investimentos crescentes são coordenados não está claro. As empresas pesquisadas relatam uma distribuição quase igual de pontos problemáticos: gerenciar falsos positivos, gerenciar o volume de dados, priorizar o risco, conhecer sua própria posição de risco, entre outros. O fato de as empresas estarem relatando tantos problemas sugere que orçamentos maiores ainda não estão resultando em redução de risco suficiente.
Adam Bixler continua: “Os aumentos orçamentários demonstram que as empresas estão reconhecendo a necessidade de investir em segurança cibernética e gerenciamento de riscos de fornecedores. No entanto, a ampla, mas consistente, gama de pontos problemáticos sugere que esse investimento não é tão eficaz quanto poderia ser. Isso, ligado à falta de visibilidade, monitoramento e relatórios de nível sênior, ressalta a falta de estratégia ao abordar o risco cibernético de terceiros, o que infelizmente só levará a mais violações.”
Variações entre setores da indústria
A análise das respostas de diferentes setores comerciais revelou variações consideráveis em suas experiências de risco cibernético de terceiros:
- O setor de serviços empresariais tinha o maior número de funcionários em suas equipes de segurança cibernética ou risco e, correspondentemente, era mais provável que estivesse monitorando o risco de terceiros diariamente.
- O setor de saúde apresentou a maior taxa de conscientização sobre riscos cibernéticos de terceiros e 55% disseram que identificar riscos era uma prioridade fundamental, em comparação com uma média de 42%. No entanto, este setor também relatou altos números de violações, com 29% relatando 6-10 violações nos últimos 12 meses, em comparação com uma média de 19%.
- Os entrevistados de manufatura eram menos propensos a identificar o risco de segurança cibernética da cadeia de suprimentos/terceiros como uma prioridade fundamental e eram mais propensos a relatar apenas anualmente.
Adam Bixler comenta: “Nossa pesquisa mostra que há grandes concentrações de risco cibernético desconhecido de terceiros em setores verticais, cadeias de suprimentos e fornecedores em todo o mundo e as organizações estão passando por violações frequentes originadas por fornecedores. Enquanto os orçamentos estão aumentando, a questão crítica é para onde os fundos devem ser direcionados para causar um impacto tangível para reduzir o risco cibernético de terceiros. A falta de visibilidade, estratégia e monitoramento significa que é improvável que a situação melhore até obter a atenção apropriada.”
Jim Rosenthal, CEO da BlueVoyant, conclui: “Audir ou avaliar sua cadeia de suprimentos a cada poucas semanas ou meses não é suficiente para ficar à frente de atacantes ágeis e persistentes. O monitoramento contínuo e a ação rápida contra vulnerabilidades críticas recém-descobertas precisam se tornar a condição essencial para um gerenciamento eficaz de riscos de terceiros.”
FONTE: HELPNET SECURITY