5 dicas para CISOs sobre o futuro do TPCRM

5 dicas para CISOs sobre o futuro do TPCRM. Há uma década, todos os olhos estavam voltados para ameaças internas mas isso está mudando. Hoje, o desafio número um para os CISOs é gerenciar vulnerabilidades de terceiros . 

Para citar Bob Dylan, “os tempos estão mudando”. 

Uma pesquisa da Ponemon mostra que 63% das violações são originárias de terceiros. Mas, apesar de nossos tempos de mudança e do aumento de ataques cibernéticos de terceiros, nossa abordagem para gerenciar o risco cibernético de terceiros permaneceu praticamente a mesma.

Durante a BlackHat USA 2022, reunimos os líderes de pensamento do setor Kelly White, cofundador e ex-CEO da RiskRecon , uma empresa Mastercard; Levi Gundert, vice-presidente sênior de inteligência global e sucesso do cliente, Recorded Future ; e Fred Kneip, CEO da CyberGRX , para discutir o estado atual do gerenciamento de risco cibernético de terceiros (TPCRM) , bem como compartilhar palavras de sabedoria para os profissionais de segurança.

1. Construa uma Rede e Ecossistema de Confiança

As organizações dependem cada vez mais de ferramentas e aplicativos de terceiros para administrar seus negócios com mais eficiência e eficácia. E com a confiança vem o risco. Quando um terceiro é comprometido, os efeitos a jusante podem ser devastadores. Portanto, a primeira recomendação é que os CISOs construam uma rede de confiança que lhes dê informações sobre seu ecossistema.

Eu realmente acredito no conceito de uma rede de confiança . Houve resistência em projetar ativamente um perfil de confiança, mas isso é um grande problema para ambos os lados. As organizações têm a responsabilidade de ser confiáveis ​​e provar essa confiabilidade“, disse Kelly. 

Não há tempo como o presente – agora é a hora do setor de segurança cibernética adotar uma rede de confiança. As superfícies de ataque só crescerão à medida que a adoção de terceiros aumentar, exigindo mais visibilidade em um portfólio de fornecedores.

Haverá uma continuação da expansão de terceiros à medida que a superfície de ataque crescer“, comentou Fred. “O TPCRM tem sido historicamente único, mas ter uma visão do ecossistema será uma inclusão no futuro”.

Levi concordou e acrescentou: “Há uma adoção interconectada da nuvem e da transformação digital que é fundamental para o sucesso de uma organização. Os eventos que ganharam as manchetes nos últimos anos se devem a essa interconexão“.

Todos os nossos membros do painel concordaram que é importante entender a interconectividade dos dados e o impacto e os efeitos a jusante dos riscos de terceiros. No entanto, essa é uma mudança em relação às abordagens tradicionais, principalmente quando se trata de dados de avaliação. 

2. Abandone as avaliações personalizadas

Avaliações personalizadas criam enormes ineficiências – milhares de pontos de dados que precisam ser processados ​​e analisados. Quem tem tempo para isso? Com a escassez de talentos em segurança cibernética e um volume crescente de avaliações, as avaliações sob medida são um desastre em andamento.

Precisamos de uma coleção de dados padrão para podermos escalar. Os CISOs que ainda estão focados em avaliações pontuais não estão acertando. Aqueles que pensam em terceiros em todo o portfólio com base em como usam os dados estão começando a ser mais prevalente“, observou Fred.

Vemos a capacidade de operação de muitas empresas pausada devido ao ransomware. Mas nossos dados também mostram uma correlação entre a higiene da segurança cibernética e os eventos destrutivos de ransomware; as organizações que fazem as coisas certas estão obtendo melhores resultados”, disse Kelly. 

Então, o que está gerando resultados positivos? “Os dados estão permitindo insights, e é emocionante ver os esforços valerem a pena“, disse ele.

E Kelly acrescentou: “Também não há muito valor em programas legados que são orientados à conformidade. Alguns CISOs estão lutando para inovar fora disso. Vejo inovação nas empresas que começaram a criar programas TPCRM porque estão começando a partir de uma abordagem moderna.” 

Em outras palavras, abandone as avaliações sob medida; não é um modelo escalável e vai atrapalhar você e sua equipe.

3. Aproveite o aprendizado de máquina para tornar os dados significativos

 A segurança cibernética vem de origens humildes e de uma mentalidade de que as avaliações são essenciais para o seu sucesso. E para ser justo, eles têm um lugar e um propósito, ainda hoje. No entanto, muitas organizações se concentram em perseguir a avaliação e coletar as informações, apenas para não fazer nada com os dados recebidos. Como humanos, é impossível processar e entender tantos pontos de dados. E é aqui que o aprendizado de máquina pode ser o melhor amigo do CISO.

A segurança começa com dados brutos“, disse Kelly. “Mas precisamos de aprendizado de máquina e análise para torná-lo significativo“, continuou ele. “Os pontos de dados apresentados são indicadores dos pontos fortes e fracos do fornecedor. Essa é a vantagem de trabalhar com uma plataforma de gerenciamento de risco como a CyberGRX – você pode olhar através de sua lente de risco e ver onde precisa focar suas prioridades.

Fred acrescentou: “Você precisa voltar ao básico. As empresas estão criando programas e precisam priorizar o tempo e os recursos limitados para saber onde estão os problemas. Então você pode ver o quadro geral e começar no lugar certo para começar a resolver“.

Levi encerrou a discussão sobre esse tópico observando que os CISOs lutam para diferenciar os terceiros e identificar aqueles que apresentam maior risco. “Toda análise tem valor, mas é mais importante saber quais são mais significativas para você“, disse ele. 

Conclusão: deixe o aprendizado de máquina fazer o trabalho pesado para que os humanos possam concentrar sua atenção na análise dos resultados e no desenvolvimento de estratégias apropriadas de mediação de risco.

4. Eduque sua diretoria

 A evolução do seu programa TPCRM requer adesão e suporte de sua diretoria. Seu conselho quer saber o que você está fazendo para identificar seus riscos e as etapas que você está tomando para mitigar essas vulnerabilidades. A educação do conselho foi um grande tópico de discussão entre nossos painelistas.

Acho que os conselhos estão cada vez mais tentando entender a segurança cibernética e onde estão os riscos. Costumava ser tudo sobre o número de avaliações. O que precisamos ajudá-los a fazer é entender que esse é o número de terceiros, e é assim que nós classificamos cada um quanto ao nível de risco. Como as violações acontecem com mais frequência, nossas diretorias devem entender esse conceito“, afirmou Fred.

Saber como lidar com o risco começa com o conselho. Uma abordagem de risco é entender o risco em tempo real. Alguns conselhos dizem que não querem isso porque não podem processar e agir os dados, então eles seguem a abordagem de conformidade. Realmente, o conselho deveria estar perguntando se estamos gerenciando o risco da maneira certa, em vez de reforçar a maneira antiga“, disse Levi.

Kelly acrescentou: “O compartilhamento de informações está acontecendo entre os membros do conselho. Você deve esperar que os membros do conselho ajam da mesma forma; os CISOs devem prestar atenção aos temas e tópicos abordados pelos conselhos – especialmente riscos de terceiros e da cadeia de suprimentos“. 

No geral, a implementação de um programa TPCRM inclui comunicar os riscos e necessidades, além de educar os membros do conselho sobre suas estratégias para mitigar a exposição.

5. Agora é a hora de investir

 Todos os nossos painelistas concordaram que este é o momento da gestão de risco de terceiros. A resistência acabou, e a hora é agora. As manchetes estão cheias de notícias de empresas afetadas por uma violação. Os custos e perdas estão crescendo; agora é a hora de avaliar as práticas legadas, ficar mais inteligente e investir em seu programa TPCRM. Para aqueles que estão começando, Fred aconselhou: “Não deixe a perfeição ser inimiga do bem. TPCRM é um grande problema, e é hora de lidar com isso. Priorize o que você pode lidar hoje em vez de tentar criar um programa perfeito. Veja em sua eficiência de recursos e construir um programa melhor.” 

Porque, como apontaram nossos palestrantes, o problema do TPCRM só vai crescer.

Fonte: Cybergrx 

Veja também:

Sobre mindsecblog 2383 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!