Proteção de dados, gerenciamento de acesso, segurança na nuvem, detecção e tratamento de incidentes e continuidade de negócios: o estudo da CyberVadis revela possíveis lacunas que levam ao aumento do risco de terceiros.
A CyberVadis, uma empresa terceirizada líder em avaliação de riscos de segurança cibernética, lançou um novo estudo para analisar as medidas de segurança cibernética declaradas pelas empresas em relação às avaliações baseadas em evidências da CyberVadis. O relatório se concentra em cinco áreas principais de segurança cibernética - proteção de dados, gerenciamento de acesso, segurança na nuvem, detecção e resposta a incidentes e continuidade de negócios - para descobrir possíveis lacunas que podem levar ao aumento do risco de terceiros em avaliações não certificadas.
Avaliação de risco de segurança cibernética de terceiros
A CyberVadis combina a velocidade da automação com a precisão de uma equipe de especialistas e envolve diretamente os fornecedores nas avaliações de segurança cibernética. A CyberVadis valida os resultados com uma equipe de analistas de segurança e cria avaliações de segurança cibernética que podem ser compartilhadas com outras empresas, juntamente com um plano de melhoria detalhado para fortalecer sua segurança de TI.
À medida que mais e mais empresas usam serviços de terceiros, o risco de dados confidenciais aumenta. No entanto, muitos não entendem ou monitoram adequadamente a postura de segurança de suas cadeias de suprimentos. Recursos reduzidos ou falta de tempo são decisivos para essa deficiência. Para este relatório, a CyberVadis coletou controles autodeclarados de segurança cibernética de mais de 1.200 organizações e comparou os resultados com suas próprias avaliações, com base em uma demonstração completa e certificada desses controles.
As principais conclusões do relatório incluem
A due diligence de proteção de dados nem sempre se estende à aquisição
Embora a maioria das organizações esteja ciente dos requisitos do GDPR, muitas se concentram nas políticas internas de processamento de dados e ignoram a ameaça representada por terceiros. Os analistas da CyberVadis descobriram que menos de uma em cada três empresas (29%) avaliou os riscos associados a uma possível não conformidade com os regulamentos de proteção de dados. Enquanto 49% das organizações treinam seus funcionários em práticas de privacidade apropriadas, apenas 22% garantem que seu processo de aquisição inclua controles dedicados para conformidade e privacidade.
As organizações permitem o acesso remoto, mas nem sempre de forma segura
Como a pandemia do COVID-19 acelerou a mudança para operações remotas, dois terços (62%) das organizações disseram permitir o acesso remoto a seus sistemas. A CyberVadis descobriu que apenas 44% deles implantou uma solução segura de acesso remoto. Um pouco mais preocupante é que apenas 37% implementaram métodos avançados de autenticação para contas de alto privilégio e apenas 25% das organizações avaliadas definiram o gerenciamento de acesso de terceiros.
Há espaço para melhorias na aquisição e gestão de provedores de nuvem
Como outra demonstração de migração rápida para a nuvem, 81% das organizações disseram que estão usando modelos de nuvem. No entanto, há um sério risco de violações de segurança maliciosas de nuvens mal configuradas, e o relatório descobriu que esta é a área onde a maioria das melhorias são necessárias. As avaliações da CyberVadis mostraram que apenas 26% das organizações gerenciam os riscos associados a seus provedores de nuvem, 30% garantem que seus provedores de nuvem tenham uma estratégia de resposta a incidentes e 34% garantem que seus provedores de nuvem tenham um plano de continuidade de negócios.
Os processos de gerenciamento de incidentes não incluem SIEMs ou evitam a recorrência
Para as organizações de hoje, as violações de dados são uma questão de “quando?” e não “se?”, então elas precisam se preparar adequadamente. O ponto central para isso são os fortes recursos de detecção e resposta a incidentes que permitem que os ataques cibernéticos sejam contidos antecipadamente, antes que ocorram danos permanentes. De forma encorajadora, 75% das organizações avaliadas definiram um processo de gerenciamento de incidentes, no entanto, apenas 32% implementaram uma solução de gerenciamento de eventos e informações de segurança (SIEM) e apenas 32% têm um processo de “lições aprendidas” para identificar a causa raiz dos incidentes para identificar e reduzir a probabilidade de recorrência.
O gerenciamento de crises está ausente em todos os setores, mas as organizações o defendem
2020 mostrou a importância de antecipar eventos não planejados e tomar as medidas necessárias para lidar com uma situação crítica. No entanto, o relatório revela várias deficiências na gestão de crises nas organizações avaliadas. Em sua primeira autoavaliação, 95% dos gestores da empresa mencionam isso como potencial de melhoria. As análises da CyberVadis confirmam isso, pois apenas 44% das empresas avaliadas definiram um plano de continuidade de negócios e 22% testam regularmente seu plano. Os analistas da CyberVadis também descobriram que apenas 24% das empresas avaliadas definiram o gerenciamento de crises e apenas 4% realizam exercícios regulares de crise. Isso é preocupante, pois um bom plano de gerenciamento de crise exige que a equipe dedicada esteja bem treinada e preparada para responder prontamente em caso de um grande evento.
Metodologia do relatório
A CyberVadis coletou dados sobre os controles de segurança cibernética declarados por 1.289 organizações nos EUA, EMEA e APAC e os avaliou usando auditorias padronizadas e validadas por analistas por meio da plataforma CyberVadis. O relatório completo pode ser lido online e também baixado.
Mais em CyberVadis.com
Sobre a CyberVadis
A CyberVadis oferece às empresas uma solução econômica e escalável para avaliações de risco de segurança cibernética de terceiros. Por uma taxa anual fixa, realizamos um número ilimitado de avaliações baseadas em evidências por meio da plataforma CyberVadis. Nossa plataforma intuitiva e fácil de usar é baseada em uma metodologia que está em conformidade com todos os principais padrões internacionais de conformidade, incluindo NIST, ISO 27001, GDPR e muitas outras leis de privacidade e segurança. A solução CyberVadis combina a velocidade da automação com a precisão e eficácia de nossa equipe de especialistas.