Avaliação externa contínua
A plataforma examina a superfície de ataque externa de cada fornecedor avaliado e acompanha a evolução dessa exposição ao longo do tempo, sem depender de informação auto-declarada.
GESTÃO DE RISCO DE TERCEIROS
O risco de terceiros é, hoje, uma extensão direta do risco da própria organização. A CSURFACE avalia continuamente a exposição cibernética externa dos seus fornecedores e produz evidência técnica que complementa os questionários de avaliação, acompanhando a postura de cada terceiro ao longo do tempo.
O DESAFIO
A avaliação de risco de terceiros costuma se apoiar em questionários de segurança respondidos pelo próprio fornecedor. Esses questionários são úteis para estabelecer uma linha de base e para registrar compromissos, mas descrevem uma intenção declarada em um momento específico. Eles não confirmam se os controles realmente estão em operação, nem capturam o que muda no intervalo entre uma avaliação e a seguinte.
A postura de segurança de um fornecedor, no entanto, é dinâmica. Um serviço pode ser exposto de forma inadequada, uma vulnerabilidade pode surgir, a propriedade de um domínio pode mudar. Quando a avaliação é pontual e auto-declarada, esses sinais passam despercebidos. A gestão de risco de terceiros exige uma verificação contínua e independente da exposição externa de cada fornecedor relevante.
CAPACIDADES
Uma avaliação contínua e verificável da exposição externa dos seus fornecedores.
A plataforma examina a superfície de ataque externa de cada fornecedor avaliado e acompanha a evolução dessa exposição ao longo do tempo, sem depender de informação auto-declarada.
Além dos fornecedores diretos, a CSURFACE identifica a cadeia digital de terceiros embutida nos ativos, ampliando a visibilidade sobre dependências que muitas vezes passam despercebidas.
A evidência técnica produzida pela plataforma permite confrontar o que o fornecedor declarou com a postura efetivamente observada na sua exposição externa.
As exposições identificadas são ordenadas por exploitabilidade real e pela criticidade do fornecedor, direcionando a atenção para os terceiros que representam o maior risco.
Alterações relevantes na exposição de um fornecedor — uma nova exposição, uma mudança de propriedade de domínio — geram notificações, encurtando a janela entre a mudança e a sua percepção.
A plataforma mantém uma trilha auditável das avaliações realizadas, fornecendo evidência verificável para programas de conformidade e para o comitê de risco.
Fornecedores monitorados
29
4 em risco alto
Nota do portfólio
A
postura externa média
Fornecedores com breach
3
35 achados críticos
Concentração
76
dependências de 4ª parte
Acesso × postura do fornecedor
Quem pode te ferir mais: o acesso ao seu ambiente cruzado com a postura externa do fornecedor.
Maiores riscos de entrada
COMO FUNCIONA
A avaliação de risco de terceiros passa a ser um processo permanente, integrado ao programa de segurança.
A organização define os fornecedores relevantes a avaliar, e a plataforma constrói a visão da exposição externa de cada um a partir do seu domínio.
As exposições de cada fornecedor são identificadas, classificadas por risco real e organizadas em uma visão comparável entre todos os terceiros do escopo.
A postura dos fornecedores passa a ser monitorada de forma contínua, e cada mudança relevante chega à equipe com contexto para a decisão.
PERGUNTAS FREQUENTES
A CSURFACE complementa os questionários. Eles continuam úteis para estabelecer uma linha de base e capturar aspectos que não são observáveis externamente. A plataforma acrescenta a verificação técnica contínua da exposição externa e permite confrontar o que foi declarado com a postura efetivamente observada.
Não. A avaliação é feita a partir da superfície de ataque externa do fornecedor, observável pela internet. Não há necessidade de acesso à infraestrutura do terceiro nem de instalação de qualquer componente.
O escopo é definido pela organização conforme os fornecedores que considera relevantes. A avaliação contínua acompanha todos os terceiros incluídos no escopo, sem que isso dependa da colaboração de cada um.
Sim. Além dos fornecedores diretos, a plataforma identifica a cadeia digital de terceiros embutida nos ativos avaliados, ampliando a visibilidade sobre dependências que normalmente não constam de um inventário formal de fornecedores.
Informe o domínio da sua organização e receba uma análise preliminar da exposição externa. Sem cartão, sem reunião.
Receber análise preliminar