Apesar dos investimentos crescentes na gestão de riscos de cibersegurança de terceiros (TPCRM – Third-party cybersecurity risk management), 45% das organizações experimentaram interrupções nos negócios relacionadas a terceiros nos últimos dois anos, segundo pesquisa do Gartner.
“A gestão de riscos de cibersegurança de terceiros é frequentemente intensiva em recursos, excessivamente orientada para processos e tem pouco a mostrar em termos de resultados”, disse Zachary Smith, Pesquisador do Gartner. “As equipes de cibersegurança lutam para construir resiliência contra interrupções relacionadas a terceiros e para influenciar decisões de negócios relacionadas a terceirizados.”
A pesquisa foi realizada em julho e agosto de 2023, envolvendo 376 executivos seniores que atuam na gestão de riscos de cibersegurança de empresas de diferentes setores, geografias e tamanhos.
Segundo o Gartner, a gestão bem-sucedida de riscos de cibersegurança de terceiros depende da capacidade da organização de segurança de entregar três resultados: eficiência de recursos, gestão de riscos e resiliência, e influência na tomada de decisões de negócios. No entanto, as empresas têm dificuldade em serem eficazes em dois desses três resultados, e apenas 6% das organizações são eficazes em todos os três.
Quatro Ações para Líderes de Segurança Gerenciarem Riscos de Cibersegurança de Terceiros – Com base nos resultados da pesquisa, o Gartner identificou quatro ações que os líderes de segurança e gestão de riscos devem tomar para aumentar sua eficácia na gestão de riscos de cibersegurança de terceiros. A pesquisa constatou que organizações que implementaram qualquer uma dessas ações registraram um aumento de 40 a 50% na eficácia do TPCRM. Essas ações incluem:
1) Revisar regularmente como os riscos de terceiros são comunicados aos responsáveis pela relação de terceiros: Os Chief Information Security Officers (CISOs) precisam revisar regularmente o quanto o negócio entende suas mensagens sobre os riscos de terceiros para garantir que estejam fornecendo insights acionáveis sobre esses riscos;
2) Rastrear as decisões de contrato de terceiros para ajudar a gerenciar a aceitação de riscos pelos proprietários de negócios: Os proprietários de negócios frequentemente escolhem se envolver com terceiros, mesmo que estejam bem-informados sobre os riscos de cibersegurança associados. Rastrear as decisões ajuda as equipes de segurança a alinharem controles compensatórios para aceitações de riscos e alertar os times de segurança sobre negócios particularmente arriscados que possam exigir uma maior supervisão de cibersegurança;
3) Realizar planejamento de resposta a incidentes de terceiros (por exemplo, manuais de procedimentos, exercícios de simulação): A eficácia do TPCRM vai além da identificação e relato de riscos de cibersegurança. Os CISOs devem garantir que suas empresas tenham planos de contingência robustos para se prepararem para cenários inesperados e para se recuperarem bem diante de eventuais incidentes;
4) Trabalhar com terceiros críticos para aprimorar suas práticas de gestão de riscos de segurança: Em um ambiente hiperconectado, o risco de um terceiro crítico também é risco para uma organização. Parcerias com terceiros críticos para melhorar suas práticas de gestão de riscos de segurança promovem transparência e colaboração.
