0
0
À medida que as ameaças cibernéticas continuam a atormentar as empresas e os parceiros e fornecedores terceirizados com os quais trabalham, as organizações que priorizaram o desenvolvimento de um programa robusto de gerenciamento de riscos cibernéticos (TPCRM) de terceiros estão tendo sucesso.
Uma estratégia abrangente de TPCRM permite que as organizações tenham a visibilidade necessária de todo o ecossistema de fornecedores para que, quando ocorrer um ataque cibernético, possam mitigar os riscos de forma rápida e eficaz.
Herdando vulnerabilidades de terceiros
A maioria das operações comerciais de uma organização depende de serviços em nuvem, o que significa que terceiros – de fornecedores upstream a varejistas downstream e suporte de TI a provedores de serviços de manutenção – têm algum nível de acesso aos seus sistemas e dados confidenciais. E é provável que as posturas de segurança de muitos desses fornecedores sejam desconhecidas.
Quando você concede acesso à rede a um parceiro terceirizado, sua organização herda automaticamente suas vulnerabilidades. Os atacantes procurarão o caminho de menor resistência, e muitas vezes encontram isso em terceiros, que estão envolvidos em 63% das violações de dados.
É por isso que é mais importante do que nunca que as empresas integrem o gerenciamento de riscos de segurança cibernética (TPCRM) de terceiros em suas estratégias de segurança.
Trazendo fornecedores para a estratégia de segurança
Embora algumas empresas já tenham começado a considerar as implicações de segurança fora de suas próprias arquiteturas corporativas, não são suficientes.
Uma pesquisa recente de Business Intelligence da CyberRisk Alliance descobriu que 47% das organizações estão trabalhando com partes externas para aumentar a coordenação da resposta a incidentes – mas 48% disseram que estão deixando as coisas como estão. Para quase metade das organizações pesquisadas, as vulnerabilidades permanecerão as mesmas. A probabilidade de essas organizações serem vítimas de um incidente de segurança de terceiros é bastante alta, em comparação com aquelas que implementaram práticas de gerenciamento de risco de terceiros.
Um programa TPCRM centralizado pode mitigar o risco de terceiros enquanto oferece outros benefícios, incluindo:
- Dimensionamento com a empresa à medida que ela cresce.
- Fornecendo visibilidade dos controles de segurança cibernética dos fornecedores, para entender como os fornecedores prevenirão, detectarão ou responderão a ataques.
- Permitindo que a organização crie estratégias claras de gerenciamento de riscos baseadas na visibilidade de todo o seu ecossistema de nuvem (incluindo terceiros).
- Liberando a equipe interna de TI para trabalhar no gerenciamento de riscos, em vez de gastar seu tempo na coleta de dados de rotina.
Terceiros também se beneficiarão, já que um programa TPCRM reduzirá a redundância em seus próprios esforços de resposta, ao mesmo tempo em que adiciona escalabilidade e tira tarefas de rotina de sua equipe.
TPCRM em ação
Quais recursos uma organização deve procurar ao planejar implementar o TPCRM?
Um inventário completo. Uma organização precisa estar ciente de todos os seus terceiros, não apenas dos principais fornecedores, mas também dos fornecedores que podem ter sido contratados por meio de TI sombra. Deve levar em conta todas as pessoas e recursos que têm acesso.
Colete e analise os dados certos. Identifique e avalie os dados mais pertinentes à sua empresa e ao seu ecossistema para obter visibilidade completa das posturas de segurança de seus fornecedores.
Avalie os riscos reais. Faça uso de ferramentas de análise e recursos de pontuação para entender os riscos colocados por terceiros, concentrando-se não tanto no tamanho do contrato de um fornecedor, mas em seu acesso e impacto em dados, redes, aplicativos e dispositivos.
Priorize riscos. Identifique os riscos críticos, altos, médios e de baixa prioridade colocados pelos fornecedores e aja, abordando os riscos para terceiros de maior prioridade e agendando avaliações regulares para os outros.
Trabalhem juntos. Trocas de risco de terceiros e outros modelos de entrega dinâmicos podem reunir não apenas sua organização e um fornecedor, mas outras organizações com as quais o fornecedor trabalha, permitindo uma colaboração que pode melhorar a segurança de todos.
Torne-o contínuo. Avaliações consistentes fazendo uso de ferramentas de análise são necessárias para otimizar sua postura de segurança com resultados que podem ser relatados regularmente à liderança executiva.
Conclusão
Os riscos de terceiros para sua rede e empresa são reais – como demonstram ataques cibernéticos recentes de alto perfil – e terceiros geralmente são o elo mais fraco na defesa de suas organizações. No entanto, como testemunhamos com a AmeriGas, um programa eficaz de gerenciamento de riscos cibernéticos de terceiros fornecerá a visibilidade necessária para que as empresas identifiquem vulnerabilidades dentro de parceiros e fornecedores, para que quaisquer riscos possam ser mitigados de forma eficaz e rápida.
Escorar a segurança de terceiros não pode ser feito aos poucos; existem muitas contas, dispositivos e aplicativos para acompanhar individualmente. Uma abordagem abrangente que aproveita a automação, análise e visibilidade dos riscos do fornecedor é a maneira mais eficaz de proteger relacionamentos de terceiros em um ambiente de nuvem que só vai se expandir.
FONTE: HELPNET SECURITY