A mitigação do risco de terceiros requer uma abordagem colaborativa e completa

COMENTÁRIO

Mitigar o risco de terceiros pode parecer assustador quando se considera a enorme quantidade de regulamentações recebidas, juntamente com as táticas cada vez mais avançadas dos cibercriminosos. No entanto, a maioria das organizações tem mais agência e flexibilidade do que imaginam. A gestão de riscos de terceiros pode ser construída com base nas práticas existentes de governança de riscos e controles de segurança que estão atualmente implementados na empresa. O que é tranquilizador neste modelo é que ele significa que as organizações não precisam descartar totalmente a proteção existente para mitigar com sucesso o risco de terceiros — e isso incentiva uma cultura de melhoria gradual e contínua. 

O risco de terceiros apresenta um desafio único para as organizações. Superficialmente, um terceiro pode parecer confiável. Mas sem total transparência no funcionamento interno desse fornecedor terceirizado, como uma organização pode garantir que os dados que lhe são confiados estão seguros?

Muitas vezes, as organizações minimizam esta questão premente, devido aos relacionamentos de longa data que mantêm com os seus fornecedores terceiros. Como trabalham com um fornecedor terceirizado há 15 anos, eles não verão razão para comprometer seu relacionamento pedindo para “olhar nos bastidores”. No entanto, esta linha de pensamento é perigosa – um incidente cibernético pode ocorrer quando ou onde menos se espera.

Uma paisagem em mudança

Quando ocorre uma violação de dados, não só a organização pode ser multada como entidade, mas também podem ser emitidas consequências pessoais. Ano passado, o FDIC reforçou suas diretrizes sobre risco de terceiros, preparando o terreno para que outras indústrias sigam o exemplo. Com o surgimento de novas tecnologias, como a inteligência artificial, os resultados da má gestão de dados por terceiros podem ser terríveis. As novas regulamentações reflectirão estas graves consequências, aplicando sanções severas àqueles que não desenvolveram controlos rigorosos.

Além de novas regulamentações, o surgimento de fornecedores quartos e até mesmo de terceiros deverá incentivar as organizações a protegerem os seus dados externos. O software não é a prática interna simples que era há 10 anos – hoje, os dados passam por muitas mãos e, com cada elo adicionado à cadeia de dados, as ameaças à segurança aumentam enquanto a supervisão se torna mais difícil. Por exemplo, fazer a devida diligência em um fornecedor terceirizado traz poucos benefícios se o terceiro avaliado terceirizar dados de clientes privados para uma quarta parte negligente e a organização não tiver conhecimento disso.

Cinco etapas simples e prontas para uso

Com o roteiro certo, as organizações pode mitigar com sucesso o risco de terceiros. Melhor ainda, nem sempre são necessários investimentos dispendiosos e disruptivos em tecnologia. Para começar, o que as organizações precisam ao realizar a devida diligência é um plano sensato, pessoal capaz e disposto a aderir e comunicação intensificada entre as equipes de TI, segurança e negócios.

A primeira etapa é entender completamente o cenário do fornecedor. Embora isto possa parecer óbvio, muitas organizações, especialmente grandes empresas com orçamentos para subcontratar, negligenciam este passo crucial. Embora o estabelecimento precipitado de um relacionamento com um fornecedor terceirizado possa economizar dinheiro no curto prazo, todas essas economias serão apagadas se ocorrer uma violação de dados e a organização enfrentar multas pesadas.

Depois de pesquisar o cenário do fornecedor, as organizações devem determinar quais funções de terceiros são “críticas” – essas funções podem ser operacionalmente críticas ou processar dados confidenciais. Com base na criticidade, os fornecedores devem ser agrupados por níveis, o que permite flexibilidade na forma como a organização avalia, analisa e gere o fornecedor.

Classificar os fornecedores por sua criticidade pode esclarecer a confiança excessiva que as organizações podem ter em seus fornecedores terceirizados. Estas organizações devem perguntar-se: se esta relação cessar repentinamente, teremos um plano de backup? Como substituiríamos essa função e continuaríamos perfeitamente as operações diárias?

O terceiro passo é desenvolver um plano de governação. Deve haver sinergia entre os três principais braços de uma organização para realizar com eficácia a devida diligência e gerenciar riscos – a equipe de segurança ilumina as falhas no programa de segurança do fornecedor, a equipe jurídica determina o risco legal e a equipe de negócios prevê a cascata negativa. efeito nas operações se dados ou operações forem comprometidos. A chave para criar uma governação sólida é adaptar o plano às necessidades específicas de uma organização. Isto é especialmente aplicável a organizações em setores menos regulamentados.

A etapa de governança incorpora a elaboração de obrigações contratuais. Por exemplo, muitas vezes na computação em nuvem, os líderes empresariais precipitam-se erroneamente na assinatura de um contrato sem compreenderem que certas medidas de segurança podem ou não ser incluídas no pacote de base. As obrigações contratuais dependem frequentemente da indústria, mas também deve ser desenvolvida uma cláusula de segurança normalizada. Por exemplo, se estivermos avaliando uma empresa de entrega, pode haver menos foco no processo do ciclo de vida de desenvolvimento de software (SDLC) de um fornecedor e mais nas suas medidas de resiliência. No entanto, se estivermos avaliando uma empresa de software, desejaremos nos concentrar nos processos do SDLC do fornecedor, como a forma como o código é revisado e como são as proteções para enviar para a produção. 

Finalmente, as organizações precisam desenvolver uma estratégia de saída. Como uma organização se separa de forma clara de terceiros e, ao mesmo tempo, garante que os dados de seus clientes sejam limpos? Houve casos em que uma empresa rompeu relações com um fornecedor apenas para receber uma chamada, anos mais tarde, informando-os de que o seu antigo parceiro sofreu um comprometimento de dados e que os dados dos seus clientes foram expostos – apesar de se presumir que esses dados foram apagados. Moral da história: Não presuma. Além de uma violação acidental de dados, há também a possibilidade de fornecedores terceirizados usarem os dados de um ex-parceiro para desenvolvimento interno, como usar esses dados para construir modelos de aprendizado de máquina. As organizações devem evitar isso, declarando em termos claros, específicos e juridicamente vinculativos como os fornecedores apagarão os dados no caso de a parceria terminar e quais serão as consequências se não o fizerem.

Crie uma cultura de responsabilidade compartilhada e melhoria contínua 

Adotar uma abordagem de equipe para realizar a devida diligência significa que o diretor de segurança da informação (CISO) não precisa assumir totalmente a responsabilidade de reduzir o risco de um fornecedor terceirizado. O Acusações da SEC contra SolarWinds estabeleça um precedente preocupante – um CISO pode assumir a responsabilidade, mesmo que o problema resulte de uma disfunção em toda a organização. Se as equipes de TI e de negócios apoiarem o CISO na avaliação de fornecedores terceirizados, isso preparará o terreno para futuras colaborações entre equipes, aumentará a adesão da organização e produzirá melhores resultados quando se trata de segurança.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach