Você pode ajustar as classificações de segurança do fornecedor?

As classificações de segurança do fornecedor não podem ser ajustadas sem modificar os critérios para avaliar a postura de segurança de um fornecedor.

Como a capacidade de fazer ajustes absolutos viola a objetividade das medidas de postura de segurança, essa funcionalidade geralmente não é possível em soluções de classificação de segurança. No entanto, uma solução alternativa é evitar que certos riscos descobertos influenciem o cálculo das classificações de segurança de um fornecedor.

Embora essa funcionalidade não esteja disponível em todas as soluções de classificação de segurança, é um dos muitos recursos oferecidos na plataforma UpGuard.

O UpGuard permite que as equipes de gerenciamento de risco renunciem aos riscos de segurança de terceiros de duas maneiras principais.

1. Isenção de riscos do perfil de risco de um fornecedor

Na plataforma UpGuard, um perfil de risco resume todos os riscos de segurança associados a um determinado fornecedor. Qualquer risco pode ser desconsiderado simplesmente clicando no botão "Renunciar a este risco".

Saiba como o UpGuard calcula as classificações de segurança >

Isso não afetará a objetividade das medições de postura de segurança?

Para dar suporte a cálculos objetivos e justos de postura de segurança para cada fornecedor, cada solicitação de isenção de risco precisa ser aprovada antes de ser acionada. Se o usuário não tiver autoridade para aprovar uma renúncia, a solicitação será encaminhada para aqueles que o fizerem.

Os usuários que enviam uma solicitação também precisam fornecer um motivo para a renúncia.

2. Dispensando riscos de questionários de segurança

O UpGuard lista automaticamente os riscos de segurança de um fornecedor com base em suas respostas ao questionário. Expandir os detalhes de um risco específico revelará uma opção para renunciar a ele, impedindo que ele influencie a classificação de segurança desse fornecedor.

Depois que uma solicitação de isenção for enviada, o usuário será solicitado a fornecer um motivo para garantir que todos os membros da equipe de gerenciamento de riscos e as partes interessadas estejam cientes do ajuste.

A renúncia aos riscos cibernéticos oferece suporte a correções de falsos riscos?

Não, quando usado em uma plataforma com uma abordagem objetiva e imparcial para a correção de riscos, como o UpGuard, a renúncia ao risco não oferece suporte a correções de risco de fales.

Além do benefício de produzir perfis de risco de fornecedores de alta definição, o aumento da sensibilidade de detecção de risco cibernético significa que as equipes de segurança podem enfrentar ameaças fora de seu perfil de risco. É aqui que um recurso como a renúncia ao risco se torna inestimável. As isenções de risco permitem que as equipes de segurança desconsiderem instantaneamente as ameaças detectadas que não são realmente riscos de segurança - como quando os controles de compensação estão em vigor. Esse recurso foi desenvolvido especificamente para agilizar o fluxo de trabalho de avaliação de risco, não falsificar correções - uma função que nem é possível com o recurso de isenção de risco do UpGuard.

Veja o recurso UpGuard Risk Waiver em ação >

Ajustando classificações de segurança do fornecedor com evidências de risco adicionais

As classificações de segurança do fornecedor também podem ser ajustadas fornecendo evidências de risco adicionais para soluções de classificação de segurança. Essa prática é incentivada, pois aumenta a dimensão de análise do gerenciamento da superfície de ataque, o que aumenta a precisão desse esforço.

Na plataforma UpGuard, evidências adicionais podem ser facilmente adicionadas aos riscos que influenciam a classificação de segurança de um fornecedor clicando na guia "Evidências adicionais" em seu perfil.

Na categoria de evidências adicionais, os links para as informações de segurança disponíveis publicamente de cada fornecedor também podem ser armazenados para simplesmente fornecer esforços de avaliação de risco do fornecedor e fornecer maior contexto para todos os fatores que influenciam as classificações de segurança de um fornecedor.

Se você é novo na disciplina de segurança cibernética do gerenciamento de superfície de ataque, o vídeo a seguir o atualizará.

Por que você deseja dispensar os riscos de segurança do fornecedor?

Há muitas razões pelas quais essa funcionalidade pode ser útil em seu programa de Gerenciamento de Risco do Fornecedor. Isso pode incluir:

Descobertas de risco duplicado - Riscos de segurança duplicados ou relacionados podem ter um impacto excessivamente negativo na postura de segurança de um fornecedor. Isso pode resultar em um fornecedor recebendo maior atenção de correção, desviando o foco daqueles que representam riscos reais de violação de dados.
Descobertas de risco supérfluas - Às vezes, os riscos de segurança relacionados ao fornecedor descobertos estão fora do seu apetite de risco definido e, portanto, podem ser aceitos com segurança.

Observação: todas as decisões de dispensar os riscos de segurança do fornecedor devem ser conduzidas por meio de uma estrutura de gerenciamento de riscos do fornecedor confiável por profissionais de segurança da informação e que apoie a conformidade regulatória. Isso removerá todo o viés das decisões de isenção de risco, garantindo que as classificações de risco do fornecedor sejam sempre ajustadas para maior precisão.