0
0
Muitas organizações fazem transações com centenas de parceiros terceirizados, de acordo com a Pesquisa Global de Gerenciamento de Riscos de Terceiros da EY 2019-2020, uma tendência que a PwC encontra não mostra sinais de desaceleração, mesmo com o aumento dos riscos. Uma pesquisa recente do fornecedor de segurança Anchore descobriu que nos últimos 12 meses, 64% das empresas foram afetadas por um ataque na cadeia de suprimentos, e este ano espera-se que os ataques de fornecedores quadrupliquem, de acordo com a Agência da União Europeia para Cibersegurança.
Para cibercriminosos sofisticados, o ecossistema de fornecedores é um vetor atraente para explorar, já que um ataque a um se torna um ataque a muitos. Existem várias maneiras pelas quais os cibercriminosos podem alavancar a cadeia de suprimentos, incluindo comprometer atualizações de software de terceiros (por exemplo, SolarWinds), roubar credenciais de login de terceiros (por exemplo, Target) ou injetar código malicioso em aplicativos ou softwares vulneráveis (por exemplo, Magecart).
Violações de terceiros podem resultar em perdas financeiras graves, tempo de inatividade, perda de informações confidenciais, perda de reputação, violação de conformidade, multas e outras responsabilidades legais. O gerenciamento de riscos cibernéticos de terceiros (TPCRM) é uma abordagem organizada de análise, controle, monitoramento e mitigação de riscos cibernéticos associados a fornecedores, fornecedores e provedores de serviços terceirizados. Um programa TPCRM bem orquestrado pode não apenas mitigar riscos cibernéticos de terceiros, mas também aumentar a capacidade de integrar, gerenciar e manter fornecedores terceirizados.
Aqui estão as seis etapas principais envolvidas na criação de uma estrutura abrangente de TPCRM:
Identifique fornecedores
Se você ainda não tem um inventário ou um repositório central de todos os seus fornecedores terceirizados, é essencial que você crie um. Comece com aqueles que fornecem suprimentos essenciais/críticos e, em seguida, passe para fornecedores menores que fornecem serviços de suporte. É importante que cada fornecedor usado por cada departamento seja contabilizado porque apenas um, independentemente do seu tamanho, pode colocar toda a organização em risco.
Determine o potencial de risco
Classifique os fornecedores com base no risco inerente que eles representam para a organização (ou seja, risco que não leva em conta as mitigações existentes). Para fazer isso, crie um questionário de escopo que possa ser preenchido pelo funcionário proprietário do relacionamento com o fornecedor para capturar informações vitais sobre o serviço que está sendo oferecido, a localização e o nível dos dados que estão sendo acessados, armazenados ou processados e outros fatores que indicam que tipo de avaliação de segurança pode ser necessária.
Peça aos fornecedores que preencham questionários de risco
Cada fornecedor apresenta um nível diferente de risco. Por exemplo, os fornecedores que fornecem serviços críticos geralmente têm acesso a informações confidenciais e, portanto, representam uma ameaça maior para a organização. É aqui que entra um questionário de risco do fornecedor. Você pode desenvolver o seu próprio ou usar um dos modelos disponíveis online. Em certos casos, sua organização pode ser obrigada a cumprir padrões como SOC2 Tipo 2, ISO 27001, NIST SP 800-53, NIST CSF, PCI-DSS, CSA CCM, etc. Também é importante que seu questionário cubra questões relacionadas a tais estruturas e requisitos de conformidade.
Desenvolva um scorecard de segurança
Crie um scorecard de segurança ou atribua uma classificação de risco aos fornecedores com base em seu nível de ameaça à organização. Você pode usar as diretrizes abaixo para desenvolver uma classificação de risco:
- Alto Risco: Implante ações corretivas imediatamente
- Risco Médio: Implante ações corretivas dentro de um período de tempo estipulado
- Baixo Risco: Aceite o risco ou crie um plano de mitigação a longo prazo
Lembre-se de que fornecedores de alto e médio risco são aqueles que lidam com operações críticas ou trabalham com dados confidenciais; fornecedores de baixo risco não.
Aborde os riscos em ordem de prioridade
Após a conclusão da avaliação, a gerência pode decidir como deseja responder a cada fornecedor de forma independente. Implementar controles como criptografia, autenticação multifatorial, detecção e resposta de endpoints, treinamento de conscientização de segurança, etc., pode ajudar a aumentar a proteção e mitigar os riscos cibernéticos. Também é importante abordar esses riscos mencionando controles e requisitos em seus contratos com o fornecedor para que eles entendam suas expectativas com clareza e ajam de acordo.
Monitore, otimize, fortaleça e simplifique
O risco de terceiros está sempre evoluindo devido a mudanças nos serviços ou escopo ou devido a fatores como saúde financeira do fornecedor, condições de mercado ou capacidade de entrega. O monitoramento contínuo em intervalos regulares é necessário para manter os riscos sob controle, proteger as informações do cliente, atender aos requisitos regulatórios e manter a saúde geral da organização. Finalmente, o risco deve ser monitorado durante todo o ciclo de vida do fornecedor – desde a integração até a integração.
Lembre-se, o TPCRM não é simplesmente uma tática de segurança, nem é simplesmente um requisito de conformidade, é uma pedra angular fundamental de uma base sólida de segurança.
FONTE: CSO ONLINE