Relatório da Forrester analisa mercados de ratings de cibersegurança

Cibersegurança e InfoSec Notícias

O mercado de ratings de cibersegurança “assemelha-se ao mercado de rating de crédito no qual é inspirado”. O estabelecimento de confiança na precisão do modelo (e não apenas na precisão da atribuição) e na metodologia aberta e transparente “são elementos fundamentais sobre os quais assenta tudo o resto”, indica um recente relatório da Forrester.

Utilizando dados observáveis da presença externa de uma empresa na Internet, estas empresas dão uma classificação única e agregada da postura de cibersegurança de uma empresa através de vários factores de risco de segurança.

Os casos de utilização mais comuns apoiados por estas soluções incluem a verificação da cibersegurança e a monitorização contínua no âmbito da gestão de risco de terceiros (TPRM), gestão e aferição do risco de segurança das empresas, due diligence de M&A, comunicação a nível executivo ou de conselho, e subscrição de apólices de ciberseguros.

O mercado percorreu um longo caminho desde o último Forrester New Wave publicado em 2018, com muitas melhorias na precisão de classificação, atribuição de activos, e melhorias no fluxo de trabalho feitas por muitas das plataformas de RSE. No entanto, “o mercado ainda é imaturo, com várias melhorias necessárias antes de estar pronto para ser considerado como uma classe madura de soluções de segurança prontas para a empresa”, aponta.

Segundo o estudo, os clientes estão a utilizar soluções de RSE principalmente para a segurança da cadeia de abastecimento e para o auto-monitorização.

Os clientes estão a privilegiar dois aspectos: (1) a monitorização da sua própria presença externa de cibersegurança, e (2) a verificação das relações com terceiros. Os benefícios da auto-monitorização incluem a visibilidade da forma como os clientes e fornecedores das empresas os vêem e a possibilidade de defenderem internamente a segurança com a gestão superior. As vantagens de monitorizar a sua cadeia de abastecimento apoia um controlo mais profundo, uma diligência cibernética mais rápida, e a capacidade de monitorizar continuamente as mudanças na postura de risco cibernético dos fornecedores. Estas capacidades são uma adição útil ao seu arsenal para a gestão de riscos de terceiros, mas não substituem a avaliação multidimensional de riscos, indica.

A maioria dos clientes não está a utilizar as soluções para monitorizar toda a cadeia de parceiros. Embora muitos clientes monitorizem “os seus terceiros”, há um número significativo dos clientes que não utiliza a sua solução de classificação para monitorizar os subgrupos. “Apesar de muitas (mas não todas) as soluções neste mercado terem a capacidade de monitorizar as «terceiras partes», os clientes consideraram o preço e a usabilidade da plataforma como dois grandes obstáculos a uma maior adopção”. Os preços “podem chegar a 3.000 dólares por fornecedor continuamente monitorizado na gama de preços superior – daí que as empresas estejam a concentrar a sua monitorização contínua nos fornecedores mais críticos”.

São ainda necessárias “melhorias significativas na transparência e nos processos de resolução de litígios”.

“As empresas neste mercado deveriam criar um órgão de independente para lidar com disputas de uma forma justa e transparente, publicando os resultados das disputas e dando seguimento a quaisquer acções correctivas por parte das empresas”, indica.

De forma semelhante e para criar mais confiança nos resultados produzidos por estes modelos, “as empresas beneficiariam de ter validação externa dos seus modelos não só pela forma como atribuem activos às empresas, como alguns já fizeram, mas também para validar que os riscos identificados são um reflexo genuíno do risco cibernético para uma dada empresa (dentro das limitações do que se pode dizer sobre uma empresa com base unicamente na sua postura externa)”.

As classificações de risco de cibersegurança “exigem uma melhor integração com os processos empresariais de segurança”, indica o relatório. Finalmente, o relatório sugere que “as integrações e a usabilidade dos dados de classificação no âmbito de uma gestão mais ampla dos riscos de segurança e dos processos de due diligece do fornecedor fossem melhoradas substancialmente”.

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.

pub