Захист даних, керування доступом, хмарна безпека, виявлення і обробка інцидентів і безперервність бізнесу: дослідження CyberVadis виявляє потенційні прогалини, які призводять до збільшення ризику для третіх сторін.
CyberVadis, провідна стороння компанія з оцінки ризиків кібербезпеки, опублікувала нове дослідження для аналізу заявлених компаніями заходів кібербезпеки порівняно з оцінками CyberVadis, заснованими на фактичних даних. Звіт зосереджений на п’яти ключових сферах кібербезпеки – захисту даних, управлінні доступом, хмарній безпеці, виявленні інцидентів і реагуванні на них, а також безперервності бізнесу – щоб виявити потенційні прогалини, які можуть призвести до збільшення ризику третьої сторони через несертифіковані оцінки.
Оцінка сторонніх ризиків кібербезпеки
CyberVadis поєднує швидкість автоматизації з точністю команди експертів і безпосередньо залучає постачальників до оцінки кібербезпеки. CyberVadis перевіряє результати разом із командою аналітиків безпеки та створює оцінки кібербезпеки, якими можна поділитися з іншими компаніями, разом із детальним планом удосконалення для зміцнення вашої ІТ-безпеки.
Оскільки все більше і більше компаній використовують сторонні сервіси, ризик для конфіденційних даних зростає. Однак багато хто не розуміє належним чином або не контролює стан безпеки своїх ланцюгів поставок. Зменшені ресурси або брак часу є вирішальними для цього недоліку. Для цього звіту компанія CyberVadis зібрала самодекларовані засоби контролю кібербезпеки від понад 1.200 організацій і порівняла результати з власними оцінками на основі ретельної, сертифікованої демонстрації цих засобів контролю.
Ключові висновки звіту включають
Належна перевірка захисту даних не завжди поширюється на закупівлі
Хоча більшість організацій знають про вимоги GDPR, занадто багато зосереджені на внутрішній політиці обробки даних і не помічають загрози з боку третіх сторін. Аналітики CyberVadis виявили, що менше ніж кожна третя компанія (29%) оцінила ризики, пов’язані з можливим недотриманням правил захисту даних. У той час як 49% організацій навчають своїх співробітників відповідній практиці конфіденційності, лише 22% гарантують, що їхній процес закупівель включає спеціальний контроль для відповідності та конфіденційності.
Організації дозволяють віддалений доступ, але не завжди безпечний
Оскільки пандемія COVID-19 прискорила перехід до віддалених операцій, дві третини (62%) організацій сказали, що вони дозволяють віддалений доступ до своїх систем. CyberVadis виявив, що лише 44% із них розгорнули безпечне рішення віддаленого доступу. Трохи більше занепокоєння викликає те, що лише 37% реалізували розширені методи автентифікації для облікових записів із високим рівнем привілеїв, і лише 25% оцінених організацій визначили керування доступом сторонніх розробників.
Є можливості для вдосконалення закупівель та управління хмарними провайдерами
Ще однією демонстрацією швидкого переходу до хмари є те, що 81% організацій заявили, що зараз використовують хмарні моделі. Однак існує серйозний ризик зловмисних порушень безпеки через неправильно налаштовані хмари, і звіт показує, що це та сфера, де найбільше потрібно вдосконалити. Оцінки CyberVadis показали, що лише 26% організацій керують ризиками, пов’язаними зі своїми хмарними провайдерами, 30% гарантують, що їхні хмарні провайдери мають стратегію реагування на інциденти, а 34% гарантують, що їхні хмарні провайдери мають план безперервності бізнесу.
Процеси управління інцидентами не включають SIEM і не запобігають повторенню
Для сучасних організацій витоки даних — це питання «коли?», а не «якщо?», тому їм потрібно належним чином підготуватися. Центральними для цього є потужні можливості виявлення інцидентів і реагування, які дозволяють стримувати кібератаки на ранній стадії, до того, як буде завдано остаточної шкоди. Надихає той факт, що 75% оцінених організацій визначили процес управління інцидентами, однак лише 32% запровадили рішення для управління інформацією про безпеку та подіями (SIEM), і лише 32% мають процес «засвоєних уроків», щоб визначити першопричину інцидентів. виявити та знизити ймовірність рецидиву.
Управління кризовими ситуаціями не існує повсюдно, але організації підтримують його
2020 рік показав важливість передбачити незаплановані події та вжити необхідних заходів для вирішення критичної ситуації. Тим не менш, звіт розкриває різні недоліки в управлінні кризою в оцінюваних організаціях. У своїй першій самооцінці 95% керівників компаній згадують це як потенціал для покращення. Огляди CyberVadis підтверджують це, оскільки лише 44% оцінюваних компаній визначили план безперервності бізнесу, а 22% регулярно тестують свій план. Аналітики CyberVadis також виявили, що лише 24% оцінюваних компаній визначили кризове управління, і лише 4% проводять регулярні антикризові навчання. Це викликає занепокоєння, тому що хороший план управління кризою вимагає, щоб спеціальна команда була добре навчена та готова оперативно реагувати у випадку великої події.
Методологія звіту
CyberVadis зібрав дані про засоби контролю кібербезпеки, заявлені 1.289 організаціями в США, регіоні EMEA та Азіатсько-Тихоокеанському регіоні, і оцінив їх за допомогою стандартизованих, перевірених аналітиками аудитів через платформу CyberVadis. Повний звіт можна прочитати онлайн, а також завантажити.
Більше на CyberVadis.com
Про CyberVadis
CyberVadis пропонує компаніям економічно ефективне та масштабоване рішення для сторонніх оцінок ризиків кібербезпеки. За фіксовану щорічну плату ми проводимо необмежену кількість оцінок на основі доказів через платформу CyberVadis. Наша інтуїтивно зрозуміла та зручна платформа заснована на методології, яка відповідає всім основним міжнародним стандартам відповідності, включаючи NIST, ISO 27001, GDPR та багато інших законів про конфіденційність і безпеку. Рішення CyberVadis поєднує швидкість автоматизації з точністю та ефективністю нашої команди експертів.