Em dois anos, 45% das empresas tiveram negócios interrompidos por riscos de terceiros

Apesar o crescimento dos investimentos em gestão de riscos de terceiros em cibersegurança (TPCRM), 45% das empresas tiveram interrupções de negócios relacionadas a esses riscos nos últimos dois anos. A pesquisa do Gartner sobre o tema revelou que as empresas têm dificuldade em serem eficazes nessas tarefas, e apenas 6% abordam a questão por todos os três ângulos com eficiência.

Segundo o Gartner, a gestão bem-sucedida de riscos de cibersegurança de terceiros depende da capacidade da organização de entregar três resultados: eficiência de recursos, gestão de riscos e resiliência, e influência na tomada de decisões de negócios.

“A gestão de riscos de cibersegurança de terceiros é frequentemente intensiva em recursos, excessivamente orientada para processos e tem pouco a mostrar em termos de resultados”, diz em comunicado Zachary Smith, pesquisador do Gartner. “As equipes de cibersegurança lutam para construir resiliência contra interrupções relacionadas a terceiros e para influenciar decisões de negócios relacionadas a terceirizados.”

Leia também: Ciberataques na nuvem cresceram 75% em 2023, diz CrowdStrike

A pesquisa foi realizada entre julho e agosto de 2023, e ouviu 376 executivos seniores que atuam na gestão de riscos de cibersegurança de empresas de diferentes setores, geografias e tamanhos.

Quatro ações

Com base nos resultados da pesquisa, o Gartner identificou quatro ações que os líderes de segurança e gestão de riscos devem tomar para aumentar a eficácia na gestão de riscos de cibersegurança de terceiros. A pesquisa constatou que organizações que implementaram qualquer uma dessas ações registraram um aumento de 40 a 50% na eficácia do TPCRM.

Essas ações incluem:

1. Revisar regularmente como os riscos de terceiros são comunicados aos responsáveis pela relação de terceiros

Os Chief Information Security Officers (CISOs) precisam revisar regularmente o quanto o negócio entende suas mensagens sobre os riscos de terceiros para garantir que estejam fornecendo insights acionáveis sobre esses riscos.

2. Rastrear decisões de contrato de terceiros para ajudar a gerenciar a aceitação de riscos pelos proprietários de negócios

Os proprietários de negócios frequentemente escolhem se envolver com terceiros, mesmo que estejam bem-informados sobre os riscos de cibersegurança associados. Rastrear as decisões ajuda as equipes de segurança a alinharem controles compensatórios para aceitações de riscos e alertar os times de segurança sobre negócios particularmente arriscados que possam exigir uma maior supervisão de cibersegurança.

3. Realizar planejamento de resposta a incidentes de terceiros

A eficácia do TPCRM, diz o Gartner, vai além da identificação e relato de riscos de cibersegurança. Os CISOs devem garantir que as empresas tenham planos de contingência robustos para se prepararem para cenários inesperados e para se recuperarem bem diante de eventuais incidentes.

4. Trabalhar com terceiros críticos para aprimorar práticas de gestão de riscos de segurança

Em um ambiente hiperconectado, o risco de um terceiro crítico também é risco para uma organização. Parcerias com terceiros críticos para melhorar suas práticas de gestão de riscos de segurança promovem transparência e colaboração.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!