Nova abordagem para Gerenciamento de Risco de Terceiros

Nova abordagem para Gerenciamento de Risco de Terceiros. Obtenha informações completas sobre as posturas de segurança cibernética de seus fornecedores terceirizados.

As organizações dependem de seus fornecedores terceirizados para fornecer serviços importantes como folha de pagamento, desenvolvimento de software ou processamento de dados. No entanto, sem ter fortes controles de segurança implementados, fornecedores, prestadores de serviços ou parceiros de negócios podem colocar as organizações em risco de violação de dados de terceiros. Uma violação de dados de terceiros é um incidente em que dados confidenciais de uma organização não são roubados diretamente dela, mas por meio dos sistemas do fornecedor que são usados ​​indevidamente para roubar informações confidenciais, proprietárias ou confidenciais.

O Instituto Ponemon  define o ecossistema de terceiros como os muitos relacionamentos diretos e indiretos que as empresas têm com terceiros e enésimas partes. Esses relacionamentos são importantes para cumprir funções ou operações de negócios. No entanto, pesquisa realizada pela Ponemon ressalta a dificuldade das empresas em detectar, mitigar e minimizar os riscos associados a terceiros e enésimas partes que têm acesso às suas informações sensíveis ou confidenciais.

Para endereçar essse problema a abordagem tradicional segue uma avaliação declarativa, no máximo evidenciada, com base em questinários fundamentados na ISO 27001 ou frameworks como o NIST. O problema desta abordagem é que ela é declarativa, ou seja, acreditamos no que o fornecedor declara ter implementado, e em alguns casos nas evidências que eles nos manda.

Não que o fornecedor vá mentir, mas as informações podem ser tendenciosas ou selecionadas para mostrar o que el quer nos mostrar e não o que queremos ver.

A pesquisa do Ponemon indica tambémn que poucas empresas mantêm um inventário abrangente de todos os terceiros com quem compartilham informações. A pesquisa indicou que 32% dos entrevistados dizem que suas organizações têm um inventário abrangente e estima-se que uma média de 2.103 terceiros estejam nesse inventário. Dentro do inventário de terceiros, estima-se que uma média de 48% de todos os terceiros estejam compartilhando informações sensíveis e confidenciais com enésimas partes.

Para ter um inventário abrangente, o controle centralizado sobre terceiros é fundamental, mas a responsabilidade por programas de gerenciamento de risco de terceiros é dispersa por todas as organizações. Essa falta de controle centralizado sobre os relacionamentos com terceiros (63% dos entrevistados) é a principal barreira para determinar quantos terceiros têm acesso às suas informações confidenciais e confidenciais.

Considerando esses fatos a pesquisa indica também que apenas 39% dos entrevistados classificam a eficácia de suas empresas em mitigar o risco de terceiros como altamente eficaz. 

Neste cenário, vemos que a abordagem tradicional está se tornando ultrapassada e pouco confiável muito rapidademente. Precisamos de uma abordagem nova !

RiskRecon

Neste contexto a MindSec trás ao Brasil a solução RiskRecon da Mastercard.  Sim, vcê não leu errado, da Mastercard !   Como dissemos precisamos de uma nova abordagem para o problema de gerenciamento de terceiros, e nada melhor que uma abordagem de quem tem durante anos enfrentados riscos cibernéticos com impactos financeiros diretos.


O RiskRecon oferece monitoramento abrangente de segurança do fornecedor, ajustado de forma personalizada para corresponder à sua política de risco. Isso torna mais fácil para você entender seus riscos. O fluxo de trabalho do RiskRecon permite que você se envolva de forma eficiente com seus fornecedores para agir sobre os riscos e alcançar bons resultados de risco. O Customer Success da RiskRecon está lá para apoiá-lo em todas as etapas do caminho.

Faça seleções de fornecedores com melhores informações para tomada de decisão

O risco é seu, portanto, você deve selecionar fornecedores que protegerão bem seus interesses de risco. A RiskRecon aprimora seu processo de seleção de novos fornecedores, fornecendo avaliações objetivas prontamente disponíveis para cada uma das partes que você está avaliando. Compare as classificações gerais do fornecedor ou mergulhe nos detalhes. De qualquer forma, você está tomando melhores decisões. E você está fazendo isso mais rápido – na velocidade dos negócios.

Priorize seu portfólio de fornecedores

Tantos fornecedores para avaliar, mas tão poucos recursos para fazer o trabalho. O RiskRecon fornece insights orientados por dados que permitem que você priorize de forma mais inteligente as avaliações de risco de seus fornecedores. Com as classificações de desempenho do RiskRecon , você tem um forte indicador de desempenho do fornecedor, permitindo priorizar os recursos de avaliação para os fornecedores de desempenho inferior e longe dos fornecedores de alto desempenho. Gerencie melhor suas prioridades de avaliação de risco de terceiros com o RiskRecon.

Faça avaliações com mais eficiência

Quando seu analista se envolve com um terceiro, ele precisa fazer o trabalho bem e rapidamente, porque há muitos outros para avaliar. O RiskRecon permite que seus analistas se envolvam com os fornecedores de forma mais eficiente, fornecendo detalhes do ambiente de TI e avaliação objetiva de segurança cibernética antes mesmo de se envolverem. Se as respostas do questionário parecerem boas e a avaliação RiskRecon parecer limpa, você terá uma base sólida para concluir a avaliação rapidamente. E onde o RiskRecon aponta problemas, seus analistas sabem as áreas nas quais se concentrar. Melhor e mais rápido. Isso soa bem.

 

Obtenha melhores resultados de risco

Realizar avaliações de terceiros sem dados objetivos coloca você em grande desvantagem, deixando apenas a capacidade de revisar respostas de questionários não fundamentadas. Eles realmente corrigem vulnerabilidades de software? Eles só executam serviços de rede seguros? O RiskRecon verifica objetivamente o desempenho do risco de segurança cibernética do fornecedor, permitindo que seus analistas vejam quão bem seus fornecedores realmente implementam e operam seu programa de gerenciamento de risco. Uma transparência mais profunda gera maior responsabilidade que produz melhores resultados de risco.

 

Gerenciar vulnerabilidades críticas

Vulnerabilidades críticas como as que vimos no RDP, OpenSSL e Apache Struts têm o potencial de expor seus sistemas e os sistemas de seus fornecedores ao comprometimento. RiskRecon fornece os dados para saber quais de seus fornecedores estão expostos a vulnerabilidades críticas. Esses dados permitem que você priorize seus esforços de resposta a vulnerabilidades críticas em relação a terceiros que você sabe que estão expostos ao problema.

Diferenciais principais

DataAccuracy_v2

Precisão de dados

A atribuição de ativos da RiskRecon é certificada de forma independente com 99,1% de precisão. E não escondemos nenhum detalhe da avaliação. É tudo visível para você e seus fornecedores sem taxa adicional. A ação requer precisão e transparência. RiskRecon fornece a você ambos.
 
CustomerGraphic_v2

Ajustado sob medida para suas necessidades

Cada avaliação do RiskRecon é personalizada para corresponder ao seu apetite de risco, permitindo que você se concentre nos problemas que são importantes para você. Isso se baseia em nossa capacidade de determinar automaticamente o valor em risco para cada sistema com base nos tipos de dados que o sistema coleta e na funcionalidade do sistema.
 

Fluxo de trabalho_v2

Fluxos de trabalho automatizados

O RiskRecon possui recursos avançados de fluxo de trabalho que permitem que você entenda facilmente os riscos. O RiskRecon produz automaticamente planos de ação de risco do fornecedor que contêm apenas os problemas com os quais você se importa. Nosso fluxo de trabalho de colaboração facilita o compartilhamento de planos de ação com seus fornecedores. O RiskRecon ainda rastreia e relata automaticamente o progresso de cada fornecedor na abordagem de seus problemas de plano de ação.

 
Fale com a MindSec e saiba mais sobre como gerenciar o risco de terceiros de forma automatizada com resultados mais efeitivos e reais e veja como o RiskRecon pode te ajudar a ser mais efetivo na sua análise de risco de terceiros!

Veja também
A natureza evolutiva do papel de um CISO no gerenciamento de riscos de terceiros
 
Sobre mindsecblog 2383 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!