Organizações com Parceiros aumentam hipóteses de receber indemnizações

Segundo a investigação da Gartner, 71% das organizações têm mais entidades terceiras na sua rede do que há três anos e espera-se que este número cresça nos próximos três anos. Para que os trabalhadores subcontratados consigam cumprir as suas funções, as empresas acabam geralmente por dar permissão para que acedam aos seus dados confidenciais e ativos de IT.

O relatório de IT Security Economics da Kaspersky revelou que 79% das empresas possuem políticas especiais, explicando aos Parceiros e fornecedores como trabalhar com dados e recursos partilhados, bem como as multas que possam incorrer. As preocupações com estas questões fazem sentido, uma vez que, segundo a investigação, estima-se que os danos causados por incidentes custem em média 2,32 milhões de euros, sendo as violações de dados um dos três problemas mais caros enfrentados pelas empresas. Os investigadores da Kaspersky descobriram vários ataques sofisticados à cadeia de valor, incluindo o ShadowPad.

Um dos principais benefícios da implementação de políticas de terceiros é que resolvem questões relacionadas com responsabilização, definindo as áreas de responsabilidade de ambas as organizações envolvidas. Consequentemente, estas aumentam as hipóteses de uma empresa receber uma indemnização de um fornecedor, que se torna um ponto de entrada para um ataque.

71% das empresas com uma política de Parceiros referiram receber uma indemnização após um incidente, em comparação com apenas 22% de outras de empresas do mesmo setor, que não possuíam regulamentos em vigor.

As políticas aumentam também a probabilidade de indemnizações entre pequenas e médias empresas. Por exemplo, 68% das pequenas e médias empresas com políticas já receberam dinheiro, em comparação com apenas 28% daquelas que não implementaram regras para os seus trabalhadores subcontratados.

A investigação da Kaspersky não averiguou se as políticas de violação de dados tornam ou não os ataques à cadeia de abastecimento menos frequentes. Quase um quarto (24%) das empresas que implementaram políticas especiais de IT para terceiros sofreu uma violação de dados, devido a um incidente de cibersegurança que afetou fornecedores, enquanto apenas 9% das empresas sem essas normas confirmaram que tinham sido vítimas de um ataque.

“Os resultados da nossa investigação podem parecer bastante paradoxais, com empresas com medidas especiais a afirmar que sofreram ataques à cadeia de abastecimento com maior frequência. No entanto, podemos sugerir que uma empresa com uma rede mais ampla de organizações de terceiros preste mais atenção a essa área, o que resulta na implementação de diretrizes específicas. Mas uma vasta rede de trabalhadores subcontratados pode aumentar a probabilidade de violações desses dados. Além disso, organizações com políticas de terceiros podem determinar com mais precisão as causas de uma violação específica”, comenta Sergey Martsynkyan, Diretor de Marketing de produtos B2B da Kaspersky.