Security Ratings: a Classificação de Segurança é uma métrica confiável?

Kaique Bonato

Security Ratings são uma forma de avaliar e quantificar a postura de cibersegurança de uma organização ou sistema. Em português, o termo pode ser traduzido para Avaliação ou Classificação de Segurança.

O que é a Classificação de Segurança (Security Ratings)?

Geralmente usada por empresas de cibersegurança, essa métrica é utilizada por organizações e stakeholders para medir o nível de segurança e os riscos ligados a diversos tipos de transações com terceiros.

Elas analisam diversas perspectivas, como políticas, práticas e estrutura de segurança, e outros fatores, além de coletar dados públicos e comparar com parâmetros do segmento, para determinar a nota da Classificação de segurança de cada organização.

Os principais fatores analisados incluem:

Patch Management
Endpoint Security
Third-Party Risk (riscos ligados a fornecedores)
Identificação e resposta a incidentes
Proteção de dados
Conscientização de cibersegurança (Cibersecurity Awareness)
Segurança da rede (Network Security)

Vamos pensar em um exemplo em que a Classificação de Segurança (Security Ratings) poderia ser utilizada.

Uma grande empresa do ramo da saúde deseja fazer uma parceria com uma startup de tecnologia para o desenvolvimento de uma plataforma online.

Para isso, ela deseja analisar o nível de segurança dessa startup, e determinando os riscos da parceria.

Ela pode usar a Classificação de Segurança (Security Ratings) como parte do processo de diligência prévia, por meio da contratação de uma empresa de cibersegurança que fará a análise e, com base nela, designará uma nota para a startup.

Por que a Classificação de Segurança (Security Ratings) é importante?

Para a CISO Norah Beers¹, a nota atribuída por meio do Security Ratings, ou Classificação de Segurança, é importante porque ajuda as organizações a terem um parâmetro dos riscos ligados ao fornecedor, mesmo que eles ainda não tenham tido nenhum contato.

Isso contribui para entender melhor aquele contexto e tornar as negociações mais assertivas.

Entretanto, a confiabilidade dessa métrica muitas vezes é questionada. Até que ponto essa verificação externa é confiável na tomada de decisões?

A Classificação de Segurança (Security Ratings) é confiável?

A grande questão é que, por ser uma análise externa, as informações fornecidas podem nem sempre ser realmente relevantes para o contexto – causando falsos alarmes ou um falso senso de segurança.

Isso porque, para determinar a nota de segurança da organização, são considerados dados públicos, referências do setor e vulnerabilidades conhecidas – ou seja, como não são usadas informações internas, não há garantia de veracidade.

Abaixo, você confere dois gráficos que apontam o senso de segurança passado pela Classificação de Segurança em profissionais do meio. Os dados são da Cyber GRX.¹

A Classificação de Segurança pode ser usada como uma referência, análise inicial para a organização ter um parâmetro. Mas, dependendo da natureza da transação que será realizada entra ela e o fornecedor, somente esse dado pode não ser suficiente para a tomada de decisão.

Portanto, para um próximo passo, é importante utilizar outro tipo de análise para determinar o verdadeiro risco envolvendo aquele cenário.

Teste de intrusão: Pentest

Para resultados mais precisos acerca da segurança de uma organização, o Pentest (teste de intrusão) é uma das principais opções.

Nesse tipo de teste, a empresa de cibersegurança contratada irá simular uma invasão ao sistema, verificando as vulnerabilidades realmente existentes ali e analisando sua postura de segurança. Ou seja, a aplicação é testada de forma ativa, obtendo-se dados reais.

O Pentest é muito recomendado para Merge&Acquisitions (Fusão & Aquisição), auditorias, diligência prévia e outros contextos que envolvem a avaliação de segurança de fornecedores.

E, para além dos modelos tradicionais, existe também o Pentest as a Service (PTaaS). O PTaaS é um formato em que o teste de intrusão é executado sob demanda.

Aqui na Vantico, contamos uma comunidade de profissionais independentes para a realização dos testes, o que garante que podemos direcionar especialistas de acordo com cada projeto.

Além disso, através de uma plataforma própria, fornecemos resultados em tempo real, que podem ser consultados a qualquer momento.

Fale com nossos consultores e conheça todos os benefícios do Pentest as a Service!

¹ Do Security Ratings Give a False Sense of Security?

7 estágios do ciclo de vida do gerenciamento de vulnerabilidades

7 fatores para analisar ao escolher um fornecedor de Pentest

A importância do Pentest para APIs e como funciona o teste

5 métricas de cibersegurança que você precisa analisar

3 desafios da cibersegurança e como o PTaaS pode ajudar

A importância do pentest para as healthtechs

A evolução do pentest e 3 motivos para investir em segurança cibernética

Pentest Mobile para Android e iOS

Pentest para Fornecedores SaaS

Pentest para APIs e aplicações Web

Pentest para Auditoria de Smart Contracts

Pentest Ágil para Pequenas Aplicações

Simulação de Phishing

Revisão Segura de Código

Scan de Vulnerabilidades

Gerenciamento de Superfície de Ataque

Programa de Divulgação de Vulnerabilidades

Emulação de Adversários

Modelagem de Ameaças

Threat Intelligence

newsletter

Inside Pentesting 2024 - Tendências e Insights

Security Ratings: a Classificação de Segurança é uma métrica confiável?

Kaique Bonato

O que é a Classificação de Segurança (Security Ratings)?

Por que a Classificação de Segurança (Security Ratings) é importante?

A Classificação de Segurança (Security Ratings) é confiável?

Teste de intrusão: Pentest

veja também

Outros conteúdos sobre Segurança Cibernética

Vamos começar algo incrível?

Empresa

Links úteis

Navegue

Conteúdos

WhatsApp

E-mail