Security Ratings: a Classificação de Segurança é uma métrica confiável?

Picture of vantico

vantico

Thumb - Security Ratings - Vantico

Security Ratings são uma forma de avaliar e quantificar a postura de cibersegurança de uma organização ou sistema. Em português, o termo pode ser traduzido para Avaliação ou Classificação de Segurança.

O que é a Classificação de Segurança (Security Ratings)?

Geralmente usada por empresas de cibersegurança, essa métrica é utilizada por organizações e stakeholders para medir o nível de segurança e os riscos ligados a diversos tipos de transações com terceiros.

Elas analisam diversas perspectivas, como políticas, práticas e estrutura de segurança, e outros fatores, além de coletar dados públicos e comparar com parâmetros do segmento, para determinar a nota da Classificação de segurança de cada organização.

Os principais fatores analisados incluem:

  • Patch Management
  • Endpoint Security
  • Third-Party Risk (riscos ligados a fornecedores)
  • Identificação e resposta a incidentes
  • Proteção de dados
  • Conscientização de cibersegurança (Cibersecurity Awareness)
  • Segurança da rede (Network Security)

Vamos pensar em um exemplo em que a Classificação de Segurança (Security Ratings) poderia ser utilizada.

Uma grande empresa do ramo da saúde deseja fazer uma parceria com uma startup de tecnologia para o desenvolvimento de uma plataforma online.

Para isso, ela deseja analisar o nível de segurança dessa startup, e determinando os riscos da parceria.

Ela pode usar a Classificação de Segurança (Security Ratings) como parte do processo de diligência prévia, por meio da contratação de uma empresa de cibersegurança que fará a análise e, com base nela, designará uma nota para a startup.

Por que a Classificação de Segurança (Security Ratings) é importante?

Para a CISO Norah Beers¹, a nota atribuída por meio do Security Ratings, ou Classificação de Segurança, é importante porque ajuda as organizações a terem um parâmetro dos riscos ligados ao fornecedor, mesmo que eles ainda não tenham tido nenhum contato.

Isso contribui para entender melhor aquele contexto e tornar as negociações mais assertivas.

Entretanto, a confiabilidade dessa métrica muitas vezes é questionada. Até que ponto essa verificação externa é confiável na tomada de decisões?

A Classificação de Segurança (Security Ratings) é confiável?

A grande questão é que, por ser uma análise externa, as informações fornecidas podem nem sempre ser realmente relevantes para o contexto – causando falsos alarmes ou um falso senso de segurança.

Isso porque, para determinar a nota de segurança da organização, são considerados dados públicos, referências do setor e vulnerabilidades conhecidas – ou seja, como não são usadas informações internas, não há garantia de veracidade.

Abaixo, você confere dois gráficos que apontam o senso de segurança passado pela Classificação de Segurança em profissionais do meio. Os dados são da Cyber GRX.¹

Classificação de segurança - gráfico 1

A Classificação de Segurança pode ser usada como uma referência, análise inicial para a organização ter um parâmetro. Mas, dependendo da natureza da transação que será realizada entra ela e o fornecedor, somente esse dado pode não ser suficiente para a tomada de decisão.

Portanto, para um próximo passo, é importante utilizar outro tipo de análise para determinar o verdadeiro risco envolvendo aquele cenário.

Teste de intrusão: Pentest

Para resultados mais precisos acerca da segurança de uma organização, o Pentest (teste de intrusão) é uma das principais opções.

Nesse tipo de teste, a empresa de cibersegurança contratada irá simular uma invasão ao sistema, verificando as vulnerabilidades realmente existentes ali e analisando sua postura de segurança. Ou seja, a aplicação é testada de forma ativa, obtendo-se dados reais.

O Pentest é muito recomendado para Merge&Acquisitions (Fusão & Aquisição), auditorias, diligência prévia e outros contextos que envolvem a avaliação de segurança de fornecedores.

E, para além dos modelos tradicionais, existe também o Pentest as a Service (PTaaS). O PTaaS é um formato em que o teste de intrusão é executado sob demanda.

Aqui na Vantico, contamos uma comunidade de profissionais independentes para a realização dos testes, o que garante que podemos direcionar especialistas de acordo com cada projeto.

Além disso, através de uma plataforma própria, fornecemos resultados em tempo real, que podem ser consultados a qualquer momento.

Fale com nossos consultores e conheça todos os benefícios do Pentest as a Service!

 

¹ Do Security Ratings Give a False Sense of Security?

veja também

Outros conteúdos sobre Segurança Cibernética