Security Ratings são uma forma de avaliar e quantificar a postura de cibersegurança de uma organização ou sistema. Em português, o termo pode ser traduzido para Avaliação ou Classificação de Segurança.
O que é a Classificação de Segurança (Security Ratings)?
Geralmente usada por empresas de cibersegurança, essa métrica é utilizada por organizações e stakeholders para medir o nível de segurança e os riscos ligados a diversos tipos de transações com terceiros.
Elas analisam diversas perspectivas, como políticas, práticas e estrutura de segurança, e outros fatores, além de coletar dados públicos e comparar com parâmetros do segmento, para determinar a nota da Classificação de segurança de cada organização.
Os principais fatores analisados incluem:
- Patch Management
- Endpoint Security
- Third-Party Risk (riscos ligados a fornecedores)
- Identificação e resposta a incidentes
- Proteção de dados
- Conscientização de cibersegurança (Cibersecurity Awareness)
- Segurança da rede (Network Security)
Vamos pensar em um exemplo em que a Classificação de Segurança (Security Ratings) poderia ser utilizada.
Uma grande empresa do ramo da saúde deseja fazer uma parceria com uma startup de tecnologia para o desenvolvimento de uma plataforma online.
Para isso, ela deseja analisar o nível de segurança dessa startup, e determinando os riscos da parceria.
Ela pode usar a Classificação de Segurança (Security Ratings) como parte do processo de diligência prévia, por meio da contratação de uma empresa de cibersegurança que fará a análise e, com base nela, designará uma nota para a startup.
Por que a Classificação de Segurança (Security Ratings) é importante?
Para a CISO Norah Beers¹, a nota atribuída por meio do Security Ratings, ou Classificação de Segurança, é importante porque ajuda as organizações a terem um parâmetro dos riscos ligados ao fornecedor, mesmo que eles ainda não tenham tido nenhum contato.
Isso contribui para entender melhor aquele contexto e tornar as negociações mais assertivas.
Entretanto, a confiabilidade dessa métrica muitas vezes é questionada. Até que ponto essa verificação externa é confiável na tomada de decisões?
A Classificação de Segurança (Security Ratings) é confiável?
A grande questão é que, por ser uma análise externa, as informações fornecidas podem nem sempre ser realmente relevantes para o contexto – causando falsos alarmes ou um falso senso de segurança.
Isso porque, para determinar a nota de segurança da organização, são considerados dados públicos, referências do setor e vulnerabilidades conhecidas – ou seja, como não são usadas informações internas, não há garantia de veracidade.
Abaixo, você confere dois gráficos que apontam o senso de segurança passado pela Classificação de Segurança em profissionais do meio. Os dados são da Cyber GRX.¹
A Classificação de Segurança pode ser usada como uma referência, análise inicial para a organização ter um parâmetro. Mas, dependendo da natureza da transação que será realizada entra ela e o fornecedor, somente esse dado pode não ser suficiente para a tomada de decisão.
Portanto, para um próximo passo, é importante utilizar outro tipo de análise para determinar o verdadeiro risco envolvendo aquele cenário.
Teste de intrusão: Pentest
Para resultados mais precisos acerca da segurança de uma organização, o Pentest (teste de intrusão) é uma das principais opções.
Nesse tipo de teste, a empresa de cibersegurança contratada irá simular uma invasão ao sistema, verificando as vulnerabilidades realmente existentes ali e analisando sua postura de segurança. Ou seja, a aplicação é testada de forma ativa, obtendo-se dados reais.
O Pentest é muito recomendado para Merge&Acquisitions (Fusão & Aquisição), auditorias, diligência prévia e outros contextos que envolvem a avaliação de segurança de fornecedores.
E, para além dos modelos tradicionais, existe também o Pentest as a Service (PTaaS). O PTaaS é um formato em que o teste de intrusão é executado sob demanda.
Aqui na Vantico, contamos uma comunidade de profissionais independentes para a realização dos testes, o que garante que podemos direcionar especialistas de acordo com cada projeto.
Além disso, através de uma plataforma própria, fornecemos resultados em tempo real, que podem ser consultados a qualquer momento.
Fale com nossos consultores e conheça todos os benefícios do Pentest as a Service!