Em dois anos, 45% das empresas tiveram negócios interrompidos por riscos de terceiros

Gartner elenca quatro ações que companhias deveriam tomar para aumentar efetividade na gestão de riscos de cibersegurança de terceiros (TPCRM)

Author Photo
4:30 pm - 29 de fevereiro de 2024
CISOs, cibersegurança, incidentes de segurança, empresas Imagem: Shutterstock

Apesar o crescimento dos investimentos em gestão de riscos de terceiros em cibersegurança (TPCRM), 45% das empresas tiveram interrupções de negócios relacionadas a esses riscos nos últimos dois anos. A pesquisa do Gartner sobre o tema revelou que as empresas têm dificuldade em serem eficazes nessas tarefas, e apenas 6% abordam a questão por todos os três ângulos com eficiência.

Segundo o Gartner, a gestão bem-sucedida de riscos de cibersegurança de terceiros depende da capacidade da organização de entregar três resultados: eficiência de recursos, gestão de riscos e resiliência, e influência na tomada de decisões de negócios.

“A gestão de riscos de cibersegurança de terceiros é frequentemente intensiva em recursos, excessivamente orientada para processos e tem pouco a mostrar em termos de resultados”, diz em comunicado Zachary Smith, pesquisador do Gartner. “As equipes de cibersegurança lutam para construir resiliência contra interrupções relacionadas a terceiros e para influenciar decisões de negócios relacionadas a terceirizados.”

Leia também: Ciberataques na nuvem cresceram 75% em 2023, diz CrowdStrike

A pesquisa foi realizada entre julho e agosto de 2023, e ouviu 376 executivos seniores que atuam na gestão de riscos de cibersegurança de empresas de diferentes setores, geografias e tamanhos.

Quatro ações

Com base nos resultados da pesquisa, o Gartner identificou quatro ações que os líderes de segurança e gestão de riscos devem tomar para aumentar a eficácia na gestão de riscos de cibersegurança de terceiros. A pesquisa constatou que organizações que implementaram qualquer uma dessas ações registraram um aumento de 40 a 50% na eficácia do TPCRM.

Essas ações incluem:

  1. Revisar regularmente como os riscos de terceiros são comunicados aos responsáveis pela relação de terceiros

Os Chief Information Security Officers (CISOs) precisam revisar regularmente o quanto o negócio entende suas mensagens sobre os riscos de terceiros para garantir que estejam fornecendo insights acionáveis sobre esses riscos.

  1. Rastrear decisões de contrato de terceiros para ajudar a gerenciar a aceitação de riscos pelos proprietários de negócios

Os proprietários de negócios frequentemente escolhem se envolver com terceiros, mesmo que estejam bem-informados sobre os riscos de cibersegurança associados. Rastrear as decisões ajuda as equipes de segurança a alinharem controles compensatórios para aceitações de riscos e alertar os times de segurança sobre negócios particularmente arriscados que possam exigir uma maior supervisão de cibersegurança.

  1. Realizar planejamento de resposta a incidentes de terceiros

A eficácia do TPCRM, diz o Gartner, vai além da identificação e relato de riscos de cibersegurança. Os CISOs devem garantir que as empresas tenham planos de contingência robustos para se prepararem para cenários inesperados e para se recuperarem bem diante de eventuais incidentes.

  1. Trabalhar com terceiros críticos para aprimorar práticas de gestão de riscos de segurança

Em um ambiente hiperconectado, o risco de um terceiro crítico também é risco para uma organização. Parcerias com terceiros críticos para melhorar suas práticas de gestão de riscos de segurança promovem transparência e colaboração.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Author Photo
Redação

A redação contempla textos de caráter informativo produzidos pela equipe de jornalistas do IT Forum.

Author Photo

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.