O risco cibernético teve um aumento expressivo, com os adversários que procuram explorar a fragilidade da segurança cibernética de terceiros como um convite aberto a ataques direcionados. Como as organizações continuam tendo funcionários em regime de trabalho remoto, há um aumento do número de pontos fracos que podem ser úteis para iniciar ataques cibernéticos. Em parceria com a Orpheus, estamos fornecendo uma pontuação de risco cibernético dos fornecedores para prestar informações cibernéticas avançadas às organizações de compras que usam a Achilles.
O que é a pontuação de risco cibernético?
As classificações de risco cibernético indicam o nível de risco cibernético associado a uma organização. Quanto maior a pontuação, maior o risco de a empresa ser vítima de um ataque bem-sucedido.
Por que é importante a gestão de risco cibernético nas cadeias de fornecimento?
Muitos ataques começam com uma empresa da cadeia de fornecimento, em vez de visar diretamente a vítima final. As grandes organizações têm, com frequência, fortes medidas de segurança cibernéticas já implementadas, mas concedem acesso aos seus sistemas a fornecedores legítimos. Assim que os fornecedores conseguem acesso, passam a fazer parte de sua rede e, como consequência, o ataque vem à tona. Além disso, é muito provável que sua empresa seja comprometida, se algum dos seus importantes fornecedores sofrer um ataque, tendo ou não acesso aos seus sistemas. Também é provável que muitos dos seus fornecedores tenham os seus dados e os dados do seu cliente. É provável que você seja responsabilizado se os dados do seu cliente forem violados pelo seu fornecedor, sobretudo se você não tiver seguido a prática recomendada de gestão de risco cibernético da sua cadeia de fornecimento. Se não avaliar as medidas de segurança cibernéticas dos seus fornecedores, você não terá ideia se eles representam um risco grande ou pequeno. Quem ataca sabe disso e procura se aproveitar dos fornecedores com medidas de segurança mais frágeis.
Além disso, os órgãos reguladores internacionais estão começando a impor diretrizes sobre a segurança das cadeias de fornecimento. Órgãos reguladores e administrativos não diminuirão as multas pelo fato de os criminosos virtuais terem tido acesso por meio de terceiros, pois eles consideram que a responsabilidade de reduzir esse risco é sua.
A partir de quais informações a pontuação de risco cibernético é calculada?
A pontuação de risco cibernético usa um grande número de pontos de dados, combinado com aprendizado de máquina para calcular a pontuação. As informações incluem:
- Dados sobre ameaças em setores e países nos quais você opera
- Vulnerabilidades não eliminadas
- Provas de processos frágeis de segurança de e-mail
- Falhas de higiene cibernética
Quais elementos influenciam a pontuação cibernética?
A classificação de risco é uma combinação da pontuação de ameaça e da pontuação de vulnerabilidade. O relatório mostrará a pontuação de cada um desses dois elementos, junto com as informações usadas para formular a pontuação. A pontuação fornece orientação sobre como atenuar qualquer problema identificado.
Como eu sei que a pontuação é precisa?
As ferramentas e a abordagem que usamos seguem os processos usados pelas . Com base na nossa grande experiência em ameaça cibernética, sabemos o que os criminosos virtuais estão procurando e o que eles vão tentar explorar. Nosso recurso de aprendizado de máquina já foi analisado por pares, sendo pelo menos 94% preciso em prever ameaças.
Por meio da nossa parceria com a Orpheus, usamos um processo minucioso de análise manual para identificar falsos positivos que possam gerar uma pontuação artificialmente alta para uma organização. Temos também um processo para organizações removerem qualquer resultado que possamos validar como incorreto, mas isso é extremamente raro. Algumas empresas de pontuação de riscos permitem que as organizações atualizem suas pontuações se atenuarem os seus problemas. Nós só fazemos isso com validação que garanta a precisão dos nossos resultados.
Se a pontuação cibernética for baixa, há alguma outra coisa com a qual eu preciso me preocupar?
Baixo risco não significa nenhum risco. Ameaças internas e campanhas de e-mails falsos são exemplos de dois riscos fundamentais que existem em quase todas as organizações. A classificação de risco cibernético da Orpheus é um forte indicador e oferece medidas que as organizações podem tomar para reduzir o seu risco. Oferecemos uma perspectiva do hacker e aconselhamos que você obtenha mais esclarecimentos, informações disponíveis apenas aos que já estão na organização.
O que eu faço se eu discordar da pontuação?
Qualquer organização que discordar da sua pontuação cibernética pode entrar em contato conosco diretamente para discutir a remediação. Trabalhamos arduamente para remover falsos positivos de nossas pontuações e raramente ocorre um erro. A classificação de risco cibernético geral é feita a partir de muitos pontos de dados; portanto, é improvável que um falso positivo em uma área venha a ter um grande impacto na pontuação geral. Caso isso aconteça, temos um processo de remediação para corrigir a situação. Esse processo permite-nos validar o erro que uma empresa identificou.
Onde posso ver a minha pontuação cibernética?
Como comprador, você pode ver as pontuações cibernéticas dos fornecedores por meio do Achilles Insights. Além disso, você terá a opção de receber um relatório personalizado de avaliação de risco cibernético em cadeias de fornecimento sobre a sua cadeia de fornecimento escolhida com informações mais detalhadas sobre riscos e ameaças específicas aos quais você pode estar exposto.
Como fornecedor, você pode ver sua própria pontuação cibernética no painel MyAchilles. Assinando os relatórios mensais de pontuação de risco cibernético da Orpheus, você também receberá uma análise detalhada do seu risco e um plano de ação fácil de ser seguido para remediar as áreas preocupantes e, consequentemente, melhorar a sua pontuação. Com a sua assinatura da Achilles, você receberá preços especiais.
Para compradores
Em que nível devo excluir um fornecedor do processo?
O nível aceitável é você quem decide com base na sua tolerância ao risco. Sugerimos trabalhar com os fornecedores para reduzir a pontuação deles, em vez de simplesmente desconsiderá-los. O relatório que produzimos mostra a eles o que fazer. Sugerimos considerar excluir os fornecedores que não estão dispostos ou que não conseguirem reduzir riscos de segurança graves.
Com que frequência preciso verificar as pontuações cibernéticas de um fornecedor?
As nossas pontuações são constantemente atualizadas e, com a descoberta de novas vulnerabilidades diariamente, essas pontuações podem mudar. Você pode definir a frequência para reavaliá-las, mas sugerimos que pelo menos uma vez por mês você reavalie as mudanças que possam introduzir riscos na sua empresa.
Posso verificar a pontuação cibernética da minha própria empresa?
Sim, você também pode reavaliar a sua própria pontuação. Recomendamos que reavalie a sua própria pontuação para reduzir qualquer problema de segurança na sua organização e para diminuir as maneiras pelas quais um invasor pode ter você como alvo.