0
0
As avaliações de risco de terceiros são frequentemente descritas como demoradas, repetitivas, esmagadoras e desatualizadas. Pense nisso: as organizações, em média, têm mais de 5.000 terceiros, o que significa que podem sentir a necessidade de realizar mais de 5.000 avaliações de risco. No método da velha escola, são 5.000 questionários redundantes. 5.000 folhas de Excel prolixo. Não é à toa que eles se sentem assim.
A razão pela qual as avaliações de risco se tornaram tão temidas é que sempre foi um processo de inspeção e avaliação individual. Por perspectiva, são aproximadamente 14 avaliações de risco concluídas por dia no período de um ano. Como podemos esperar que os profissionais de segurança, risco e compras realizem qualquer outro trabalho com esse tipo de tarefa? Com o cenário de ameaças atual, você não preferiria que sua equipe de segurança se concentrasse na análise e mitigação reais, em vez de apenas avaliar? E, sem mencionar o fato de que um tedioso processo de avaliação de risco contribuirá para o esgotamento que pode levar à retenção de funcionários em sua equipe de segurança. Com a aparência do mercado de trabalho de segurança cibernética agora, essa não é uma posição em que nenhuma organização deseja estar.
Então, agora que você sabe como as pessoas realmente com suas ‘mãos no pote’ se sentem sobre as avaliações de risco, vamos dar uma olhada em por que essa abordagem é falha e o que as organizações podem fazer para construir um melhor processo de avaliação de risco.
O interminável passeio de carrossel de avaliação de risco
A chave para derrotar os cibercriminosos é ser vigilante e proativo. Não há muito o que fazer quando você está reagindo a um incidente de segurança, pois o dano já está feito. Infelizmente, a abordagem atual de gerenciamento de risco é reativa e cheia de lacunas que não fornecem uma visão precisa dos níveis gerais de risco. Como assim? Os processos atuais medem apenas um momento específico e não levam em conta o período em que a avaliação está sendo concluída – ou quaisquer violações que ocorreram após a avaliação ter sido enviada. Em outras palavras, as avaliações precisarão ser reabastecidas rotineiramente, um passeio de carrossel sem fim, o que não é viável.
Não deve ser surpresa que as avaliações não sejam atualizadas tanto quanto deveriam, e isso não é culpa de ninguém. Ninguém tem tempo para preencher continuamente planilhas longas e redundantes do Excel. E, sem falar que, a menos que os dados coletados sejam padronizados, muito pouco pode ser feito com eles do ponto de vista de análise. Como resultado, as avaliações são basicamente jogadas em uma gaveta e nunca veem a luz do dia.
Toda vez que ocorre uma violação de terceiros, há uma onda de preocupação e os executivos da empresa e membros do conselho imediatamente recorrem à sua equipe de segurança para solicitar avaliações de risco, enviando-os em uma caça ao ganso selvagem. O que eles não percebem é que solicitar avaliações após a ocorrência de uma violação de terceiros já é tarde demais. E as organizações escolhidas para uma avaliação mais profunda provavelmente não são aquelas com maior risco. Como um passeio de carrossel sem fim, a busca por avaliações de risco nunca parará, a menos que você saia do passeio agora.
Mostre-me os dados!
O ingrediente secreto para desenvolver um melhor processo de coleta de gerenciamento de risco são os dados padronizados. Você não pode fazer pão sem farinha e não pode ter um programa robusto de gerenciamento de risco sem dados padronizados. Dados padronizados são o processo de coleta de dados em um formato comum, tornando mais fácil realizar uma análise e determinar as próximas etapas necessárias. Pense desta forma, se você estivesse olhando para um gráfico comparando as notas dos testes dos alunos e todos eles estivessem listados em vários formatos (0,75, 68%, 3/16, etc.), você teria dificuldade em comparar esses pontos de dados. No entanto, se todos os dados estiverem listados em porcentagens (80%, 67%, 92% etc.), você poderá identificar facilmente quem está falhando e precisa de mais apoio na sala de aula. É assim que funciona o uso de dados padronizados no processo de avaliação de riscos.
Os CISOs que ainda estão focados em avaliações pontuais não estão acertando. As organizações precisam entender que a coleta de avaliação de risco por si só não equivale de fato a um risco reduzido. Embora as avaliações de risco sejam importantes, o que você faz com a avaliação de risco depois de concluída é o que realmente importa. Use-o como um catalisador para criar um perfil de risco maior e mais contextual. Integrar inteligência de ameaças, classificações de segurança, aprendizado de máquina e outras fontes de dados e você terá todos os dados e insights necessários e muito mais para reduzir o risco de forma proativa. Você estará munido das informações necessárias para mitigar o risco e implementar controles antes que a violação ocorra, não a colcha de retalhos apressada depois. Uma abordagem baseada em dados para avaliação de risco de terceiros fornecerá uma imagem mais robusta do risco e acabará com a busca de avaliações de uma vez por todas.
FONTE: HELPNET SECURITY