Violações sofisticadas como SUNBURST (também conhecida como o hack SolarWinds que ganhou as manchetes no final de 2020) deixam bem claro o risco associado às plataformas de terceiros. As organizações modernas dependem cada vez mais de uma variedade de terceiros para SaaS – tudo, desde finanças até a cadeia de suprimentos e gerenciamento de serviços de TI (ITSM).
Do ponto de vista operacional, isso é ótimo. As organizações concentram-se menos em “manter as luzes acesas” e mais nas suas propostas de valor essenciais. No entanto, há também uma desconfortável compensação de segurança. Se você não controla a plataforma, não controla completamente os seus dados — ou os dos seus clientes —, o que tem implicações de segurança e conformidade. Da mesma forma, a disponibilidade de funções comerciais críticas depende frequentemente de múltiplas plataformas externas, muitas das quais podem ser um ponto único de falha.
Para muitas organizações, simplesmente navegar pelas dependências complexas e definir claramente os apetites e mitigações de risco são desafios reais. A governança e gestão de riscos de terceiros (TPGRM) visa resolver este problema analisando e realizando a devida diligência sobre os riscos decorrentes de relacionamentos com terceiros.
Embora existam muitas ferramentas TPGRM/TPRM, o gerenciamento eficaz de riscos exige mais do que apenas tecnologia. O processo de três etapas da Deloitte para TPGRM fornece uma análise realista da transformação necessária para alavancar uma estrutura TPGRM. Para resumir as etapas:
- Alterar o posicionamento de risco e governança: Esta etapa trata da reformulação do risco em uma organização. Tradicionalmente, o risco tem sido algo que eliminado. Precisa se tornar algo que nós gerencia.
- Entenda o apetite ao risco e as linhas de defesa: A próxima etapa consiste em quantificar o apetite ao risco de uma organização em diferentes contextos e identificar linhas de defesa contra esses riscos.
- Estabeleça uma estrutura TPGRM: É aqui que a borracha atinge a estrada. As organizações devem implementar estratégias que aproveitem pessoas, processos e tecnologia para ajudar a gerenciar riscos e agregar valor.
É evidente que uma grande parte do TPGRM exigirá contributos qualitativos de seres humanos, tais como o desenvolvimento de estratégias ou a realização de auditorias detalhadas. Dito isto, podemos esperar uma mudança em direção a mais automação graças a motivadores como seguro cibernético que estão desenvolvendo ativamente padrões e formas mensuráveis de quantificar riscos com plataformas analíticas como o CyberCube.
Quantificando Métricas TPGRM
Com isso em mente, espero ver o uso de portais e painéis de segurança que quantificam o aumento das métricas TPGRM nos próximos anos. Esses portais farão para o gerenciamento de riscos o que plataformas de monitoramento de tempo de atividade como Uptime Robot e Pingdom fazem para monitoramento de sites: acumular as métricas mais importantes de uma forma facilmente digerível. Assim como no mundo do monitoramento de sites, veremos um nível variável de sofisticação e profundidade nas soluções, mas surgirá uma linha de base padrão de métricas de “jogos de mesa”.
Já estamos vendo plataformas como SafeBase fazerem progressos substanciais aqui, automatizando questionários de segurança e permitindo que os fornecedores compartilhem posturas de segurança em diversas categorias. A empresa de gerenciamento de risco Prevalent está resolvendo problemas semelhantes com foco no fornecimento de soluções e serviços de TI.
Além disso, soluções com um foco mais restrito já estão aproveitando a automação para resolver problemas de TPGRM em setores específicos. Por exemplo, a SignalX está abordando o problema da análise financeira e jurídica na Índia para permitir que as organizações realizem uma melhor due diligence antes de firmar contratos ou parcerias com fornecedores.
Fundamentalmente, estas soluções demonstram a tendência mais ampla de padronização e automação no espaço TPGRM. As ferramentas por si só não resolverão o gerenciamento de riscos de terceiros, mas há uma necessidade emergente de visibilidade automatizada dos riscos de terceiros, e é aí que a tecnologia TPGRM pode causar um impacto real.
Nos próximos anos, espero que os vencedores neste espaço sejam as ferramentas que fornecem visibilidade às métricas TPGRM “manchetes” necessárias para seguro cibernético e conformidade para organizações com implementações de estrutura TPGRM relativamente imaturas, bem como aquelas que podem “ir deep” e fornece análises detalhadas usando IA/ML para empresas.
Leia a parte 1, que pergunta: O que substituirá o EDR.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
