É preciso cuidado ao adotar gerenciamento de segurança de terceiros, diz Gartner

Apesar do aumento dos investimentos em gerenciamento de risco de cibersegurança de terceiros (TPCRM) nos últimos dois anos, 45% das organizações experimentaram interrupções de negócios, de acordo com uma nova pesquisa do Gartner. “O gerenciamento de riscos de segurança cibernética de terceiros geralmente exige muitos recursos, é excessivamente orientado a processos e tem pouco a mostrar em termos de resultados”, disse Zachary Smith, pesquisador sênior do Gartner. “As equipes de segurança cibernética lutam para construir resiliência contra interrupções relacionadas a terceiros e para influenciar decisões de negócios relacionadas a terceiros”, completou.

A pesquisa foi realizada em julho e agosto de 2023 com 376 executivos sêniores envolvidos na gestão de riscos de segurança cibernética de terceiros em organizações de diferentes setores, regiões geográficas e tamanhos.

SEgundo o Gartner, o gerenciamento bem-sucedido do risco de segurança cibernética de terceiros depende da capacidade da organização de segurança de produzir três resultados – eficiência de recursos, gestão de riscos e resiliência e influência na tomada de decisões de negócios. No entanto, as empresas lutam para ser eficazes em dois desses três itens, e apenas 6% das organizações são eficazes em todos os três.

Com base nos resultados da pesquisa, o Gartner identificou quatro ações que os líderes de segurança e gerenciamento de riscos devem realizar para aumentar o gerenciamento de riscos de segurança cibernética de terceiros. A pesquisa descobriu que as organizações que implementaram qualquer uma dessas ações observaram um aumento de 40-50% na eficácia do TPCRM.

Essas recomendações incluem:

Analise regularmente a eficácia com que os riscos de terceiros são comunicados ao proprietário da empresa do relacionamento com terceiros: os diretores de segurança da informação (CISOs) precisam avaliar regularmente a qualidade do negócio entende suas mensagens sobre riscos de terceiros para garantir que eles forneçam insights práticos sobre esses riscos.

Rastrear decisões contratuais de terceiros para ajudar a gerenciar a aceitação de riscos pelos proprietários de empresas: os proprietários de empresas geralmente optam por interagir com terceiros, mesmo que estejam bem informados sobre a segurança cibernética associada. riscos. O rastreamento de decisões ajuda as equipes de segurança a alinhar os controles de compensação para aceitação de riscos e alerta as equipes de segurança sobre proprietários de empresas particularmente arriscadas que podem exigir maior supervisão da segurança cibernética.

Conduza o planejamento de resposta a incidentes de terceiros (por exemplo, manuais, exercícios práticos): um TPCRM eficaz vai além de identificar e relatar riscos de segurança cibernética. Os CISOs devem garantir que a organização tenha planos de contingência sólidos para se preparar para cenários inesperados e ser capaz de se recuperar bem após um incidente.

Trabalhar com terceiros essenciais para amadurecer suas práticas de gerenciamento de riscos de segurança conforme necessário: em um ambiente hiperconectado, o risco de um terceiro crítico também é um risco de uma organização. A parceria com terceiros críticos para melhorar as suas práticas de gestão de riscos de segurança ajuda a promover a transparência e a colaboração.

Serviço
www.gartner.com