El director ejecutivo de Safe Security, Saket Modi, dijo a CRN que el nuevo módulo cuantifica los riesgos de ransomware y filtración de datos de terceros proveedores y combina esa señal con riesgos propios y SaaS.
Safe Security está adoptando un nuevo enfoque para cuantificar el riesgo cibernético de terceros y anuncia una nueva herramienta que representa una “enorme” oportunidad para los socios de canal, según el director ejecutivo de la empresa.
Saket Modi, cofundador y director ejecutivo de Safe Security, le dijo en exclusiva a CRN que el nuevo módulo Safe TPRM (Gestión de riesgos de terceros) de la compañía está diseñado para ayudar a proteger contra amenazas específicas como ransomware y violaciones de datos. Se destaca por cuantificar el riesgo de amenazas. de una manera que sea “procesable” para terceros proveedores. Por ejemplo, Safe TPRM mide el riesgo real de ransomware proveniente de un tercero específico en dólares, dijo Modi.
“En realidad, estamos cuantificando el riesgo de una manera que las empresas puedan entender”, dijo.
Según Modi, además de ofrecer una gestión de riesgos de terceros mejorada en comparación con los proveedores existentes en el espacio, Safe Security integrará señales de terceros con los servicios propios que la empresa ya ofrece y los datos de riesgo de SaaS.
Como resultado, “un panel le permite administrar aplicaciones propias, de terceros y SaaS”. [risk] “Todo salió bien”, dijo.
En particular, Safe Security está introduciendo un enfoque de ventas de “canal primero”, con el 95% de las transacciones a través de socios, dijo Modi, y agregó que esta nueva oferta presenta una gran oportunidad para el canal. Proporcionar este tipo de enfoque de cuantificación de riesgos es “el sueño de todo canal”, dijo, “para gestionar los riesgos propios y de terceros juntos en una sola plataforma”.
La empresa se fundó originalmente en 2012 (como Lucideus) para brindar servicios relacionados con pruebas de penetración y evaluación de vulnerabilidades, y se convirtió en proveedor con el lanzamiento de su primer producto en 2020. Entre los inversores se encuentra el ex director ejecutivo de Cisco Systems, John Chambers, quien proporcionó financiación inicial a Safe Security y sigue participando activamente en el asesoramiento de la empresa, dijo Modi. Safe Security ha recaudado un total de aproximadamente 100 millones de dólares.
A mediados de 2023, Safe Security adquirió el proveedor de cuantificación de riesgos cibernéticos RiskLens. El estándar FAIR (Análisis de factores de riesgo de información) de RiskLens ahora se aprovecha en la plataforma Safe One.
La siguiente es una versión editada y condensada de la entrevista de CRN con el Primer Ministro Modi.
¿Cuáles son los grandes problemas que Safe Security está solucionando con la ciberdefensa?
Las empresas actuales cuentan con muchos productos de ciberseguridad. Pero si piensa en finanzas, existen ERP como Oracle NetSuite y SAP que todo director financiero utiliza para tomar decisiones. Todos sus feeds se reúnen allí para una vista centralizada. Es exactamente lo mismo para los líderes de ventas, tienen Salesforce y pueden reunir todos sus datos y observar los pronósticos de ventas.Pero ¿qué productos [does that] ¿Existe uno para la ciberseguridad? no existe. El más cercano es SIEM o SOC. Pero es reactivo. Basta con mirar los registros y convertirlos en incidentes. Realmente no te dice cuál es el riesgo cibernético. SIEM y SOC son como conducir un automóvil mirando por el espejo retrovisor. [about] Las cosas suceden después de suceder, no antes de que sucedan.
¿Cómo le damos sentido a todo esto, a las señales, en conjunto? Nuestros clientes incluyen todas las empresas importantes que pueda imaginar, incluidas Facebook, Netflix, Dropbox, ADP, Chevron, Victoria’s Secret, GSK, Novartis y más. Eso es exactamente lo que hacemos por ellos. Visite ADP o Chevron para integrar su telemetría cibernética existente, permitir una toma de decisiones basada en datos más rápida y confiable y brindar visibilidad del riesgo en su contexto empresarial. El contexto empresarial significa, en el caso de ransomware o exfiltración de datos, ¿qué probabilidad hay y cuál es la magnitud de la pérdida? En caso de ransomware, la pérdida sería de 200 millones de dólares. [for instance]De hecho, cuantificamos el riesgo de una manera que las empresas puedan entender.
¿Cuál es el máximo potencial de Safe Security como plataforma?
Seremos tu ERP de ciberseguridad. Será un CRM para la ciberseguridad. Porque ya no existe. Palo Alto Networks, Zscaler, todo el mundo habla de convertirse en una plataforma. ¿Qué plataforma? Todavía estamos haciendo la detección. Palo Alto Networks, Zscaler, CrowdStrike, Fortinet [are] No es necesario que un proveedor haga el descubrimiento. No hay ningún agente instalado. Extraiga la telemetría de su plataforma de seguridad existente para garantizar el cumplimiento. [systems]Puede cargar SOC 2, NIST y DORA. Podemos juntar todo esto. Y proporciona un panorama de riesgos cambiante en tiempo real. La razón por la que cambia en tiempo real es porque cuando algo cambia interna o externamente, el potencial del ransomware cambia.
¿Cómo planea desarrollar este producto en el futuro?
Este año, RSA lleva este concepto al riesgo de terceros. A esto lo llamamos la “Singularidad del riesgo cibernético”. Decimos la singularidad del riesgo cibernético porque los CISO y CIO quieren conocer el riesgo de una violación de datos. No importa si se produce una violación de datos en su propia nube, su propio centro de datos, un proveedor externo o un proveedor de SaaS. La clave es comunicar el riesgo de pérdida de datos. Actualmente, no existe una visión única del riesgo de filtración de datos, riesgo de ransomware, riesgo de DDoS, riesgo de criptominería y riesgo de limpieza. Entonces podemos hablar de estos escenarios de riesgo. Además, no hay forma de integrar aplicaciones propias, de terceros y SaaS en un solo panel. Los riesgos son los mismos. Los mismos datos fluyen por todas partes. Ese es realmente tu propio problema. Nuestra misión es permitir que todas las empresas del mundo se den cuenta de la Singularidad del Riesgo Cibernético.
¿Qué gran oportunidad ve aquí para Safe Security?
Este es un evento muy grande. Cuando hablé con John Chambers, cuando propusimos esta idea por primera vez hace un año, hablamos sobre nuestro enfoque hacia el riesgo de terceros. Lo comparó con pasar de un enrutador a un conmutador. Este es el momento en que CrowdStrike se enfrenta a Symantec y McAfee, el software antivirus local. [tools] — CrowdStrike cambia el juego con una arquitectura y un resultado radicalmente nuevos. El resto es historia. Eso es exactamente lo que hacemos con la gestión de riesgos de terceros. No es un 10 por ciento mejor, es 10 veces mejor.
Cuéntenos más sobre cómo ha estado involucrado John Chambers desde que se convirtió en inversionista.
Más importante que el dinero es que pasa casi una hora conmigo cada semana. [and has done that] Durante los últimos seis años, ha estado profundamente involucrado en el negocio. Cisco fue una de las primeras empresas del planeta en adoptar el modelo de canal correcto y de forma beneficiosa para todos. Los canales fueron la razón por la que Cisco creció, y John fue claramente un firme partidario de eso.
¿Qué oportunidades existen para nuevos servicios para los socios de canal?
Hay una gran reproducción de canales. [with Safe TPRM]Este es un hito para el canal. Porque este era el sueño de todo canal. [partners can] Administre los riesgos propios y de terceros juntos en una plataforma con servicios administrados. Mi desarrollo de mercado aquí no son las ventas directas. Sabemos que los canales deben ser lo primero aquí.
¿Cuáles son las ventajas del nuevo enfoque sobre los enfoques existentes?
En términos generales, existen dos tipos de proveedores externos de gestión de riesgos. Hay proveedores externos más continuos, como BitSight, Security Scorecard, Upguard y Risk Recon. Hay muchas empresas de este tipo, pero son de afuera hacia adentro. Luego están las evaluaciones basadas en encuestas como OneTrust, Prevalent y ProcessUnity. [that offer] Automatización del flujo de trabajo de encuestas. ¿Cuáles son los resultados de ambos? Security Scorecard y BitSight muestran puntuaciones. El cuadro de mando de seguridad muestra las puntuaciones A, B, C, D y F. BitSight muestra una puntuación entre 300 y 700. ¿Qué significa esto? ¿Qué significa una puntuación de 600? ¿Es para Rusia? ¿Es para exfiltración de datos? ¿O no pueden ser todos estos? Por el contrario, lo que hacemos es comunicar la probabilidad de una infracción en escenarios de alto riesgo, como ransomware y exfiltración de datos.
Estaba hablando con el CTO de uno de los tres principales minoristas de EE. UU. (nuestro cliente). Dijo: “Si vas a entregar todos tus datos a un proveedor externo que tiene un 90 por ciento de posibilidades de verse comprometido, dejaré de hacer negocios con ese proveedor hoy”. Los cuadros de mando de seguridad muestran C o B, pero eso no significa nada. No hay solución. ¿Qué significa C o B? No lo entiendo en absoluto.
Las evaluaciones basadas en encuestas, por otro lado, nos informan sobre el cumplimiento. Le dirá: “Sí, este proveedor externo cumple con SOC 2 o ISO”. Estos están completamente desarticulados. Completamente desconectado. Una empresa con la que trabajamos es una de las tres principales empresas farmacéuticas del mundo con 60.000 terceros. Imaginemos poder enumerar 60.000 terceros y determinar cuáles son los 10 con mayor riesgo de exfiltración de datos. Por cierto, esto está separado de la lista de 10. [riskiest] Un tercero no está disponible debido a un corte de energía. Esta es una lista completamente diferente.La diferencia es [quantifying] posibles escenarios.
El segundo elemento que lleva el juego a un nivel completamente nuevo. [is that] También hablaré de la magnitud de la pérdida. Actualmente, la clasificación de terceros se basa en el tamaño del contrato. Pero hoy en día, los pequeños proveedores y las nuevas empresas capturan todos los datos de sus clientes. [stolen], estás en verdaderos problemas. De hecho, cuantificamos la cantidad. En otras palabras, si un tercero fuera atacado, ¿cuánto daño sufriría usted?
Esto es lo que todos quieren. Entonces este CTO minorista dice: “Si nos da esta opinión, estableceremos un umbral de riesgo de filtración de datos para cada proveedor que exponga datos, y si excede el 40%, no hablaremos con ese proveedor. No quiero estar en ningún negocio”. Esto es algo que antes no era posible.
¿Puede brindarnos un breve resumen de lo que hace Safe Security y qué objetivos pretendemos lograr en colaboración con nuestros socios de canal?
En resumen, este es un enfoque fundamentalmente diferente. Y lo que buscamos es la estrategia de canal. Ya tenemos varios representantes de canales y estamos haciendo crecer nuestro equipo. Aquí es donde entra de nuevo John Chambers y toda la estrategia de canal que puso sobre la mesa. Los canales son enormes para nosotros. Ya somos una empresa que da prioridad al canal. Más del 95% de las transacciones se completan a través de canales. Trabajamos con muchas grandes empresas. [partners] Muchas empresas ya han entrado en el mercado, incluidas Cyderes y GuidePoint. Pero lo que digo es, ¿cómo se pasa al siguiente nivel? [partners to work with]Esta es la nueva tecnología habilitada para IA más novedosa que debería entusiasmar a la gente.
Fuente: https://www.crn.com/news/security/2024/safe-security-ceo-on-shaking-up-third-party-risk-quantification-with-new-tool