A natureza evolutiva do papel de um CISO no gerenciamento de riscos de terceiros

A natureza evolutiva do papel de um CISO no gerenciamento de riscos de terceiros. Sob o ponto de vitsa da função, certas mudanças estão sendo forçadas a nível do conselho.

Recentemente, a RiskRecon, uma empresa Mastercard, fundadora Kelly White, sentou-se com Sam Olyaei, diretor da Gartner Research, e Errol Weiss, diretor de segurança da Health-ISAC, para discutir as experiências de seus clientes em relação às tendências recentes no gerenciamento de riscos de terceiros . Um dos tópicos que esses especialistas abordaram foi a evolução do envolvimento de um CISO/CSO no gerenciamento de riscos de terceiros.

Com a pandemia de COVID, o aumento de eventos de ransomware e a situação geopolítica na Europa a natureza do trabalho do CISO está mudando e também do chefe de gerenciamento de riscos cibernéticos de terceiros. 

Segundo Weiss, “historicamente, quando olhamos para alguns dos principais ataques, a maioria dos quais ocorreu nos últimos dois anos, você tem esses ataques de provedores de serviços de terceiros em que os bandidos entram nessa rede ou naquele provedor de serviços para potencialmente obter acesso ou uma via potencial para acessar seus clientes. A ideia deles é atacar uma vez, e aí ter acesso a muitos.” e nesse cenário o  provedores de serviços terceirizados e parceiros confiáveis ​​certamente são uma grande preocupação.

É difícil entender onde estão todas as suas conexões de terceiros, ou quem são todos os seus parceiros de terceiros, você pode tentar fazer um inventário, talvez você consiga algumas informações no departamento de compras ou contas a pagar para entender, mas isso pode não abrange todos, porque ests áreas não possuem a visão dos serviços prestados e conseguem seprarar entre provedores de insumos que não interferem na cadeia produtiva de tecnologia, e quem sabe isso está espalhado em várias áreas de negócio.

Para piorar a situação, quando você olha para o ataque SolarWinds do final de 2020, software que tem acesso confiável dentro de sua própria rede, como você identifica coisas assim no ambiente, onde você pode ser comprometido por um agente de ameaças, que potencialmente tem acesso a toda a sua rede devido aos privilégios que o utilitário ou o software de gerenciamento possui.”, completa Weiss

Segundo Olyaei do Gartner, devido ao envolvimento de terceiros, computação cidadã e expectativas de líderes de negócios, estamos começando a ver o líder de segurança cibernética, ou o CISO, perder o controle de tomada de decisão sobre a segurança cibernética na organização. “Porque há muitos outros tomadores de decisão na organização que fazem ligações sobre cibernética sem envolver o líder de segurança cibernética”.

Isso está causando uma reação onde há várias outras funções de segurança cibernética que estão surgindo em toda a organização. Você começa a ver coisas como oficiais de segurança de produtos, oficiais de segurança de plataforma, oficiais de risco cibernético e coisas dessa natureza. Eles estão aumentando a complexidade do papel na organização., complementa Olyaei.

Outra coisa que segundo Olyaei que está mudnadop nos últimos anos é que o CISO está sendo precisonado nos resultados de negócio “Você me ajudou a conseguir mais clientes? Você ajudou a melhorar meus lucros? Você ajudou a melhorar nossa imagem legal e reputacional?” Essa é a conversa que está acontecendo no nível do conselho e do ponto de vista da função estão forçando certas mudanças.

Para saber mais sobre esse assunto e os principais insights da conversa veja o artigo “Tendências no gerenciamento de riscos de terceiros. ”.

Fonte RiskRecon

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!

HTML Snippets Powered By : XYZScripts.com