0
0
Mais do que nunca, as organizações estão confiando em terceiros para agilizar as operações, escalar seus negócios, expandir e alavancar a experiência e reduzir custos.
No mundo complexo e em rápida evolução da segurança cibernética e atende aos regulamentos, trabalhar com terceiros requer uma supervisão diligente do gerenciamento de riscos de terceiros para monitorar o gerenciamento e os processos de dados. Melhorar o gerenciamento de riscos da InfoSec pode fornecer insights sobre como os dados são tratados, as proteções de segurança em vigor para proteger esses dados, possíveis fraquezas de segurança e melhor adesão à infinidade de regulamentos de dados, segurança e privacidade.
Ter visibilidade do risco de seus terceiros é fundamental e as apostas são altas – 84% das equipes de gerenciamento de risco ignoraram um problema de terceiros, de acordo com o Gartner. Não deixe que isso aconteça com você.
Ajuste sua abordagem de gerenciamento de riscos de terceiros
A Teleperformance é a empresa mais gerida por terceiros do mundo, o fornecedor de soluções omnichannel de confiança para 850 das empresas da Fortune 1000. Supervisionando mais de 400 auditorias internas no ano passado, temos experiência em primeira mão sobre como as organizações podem lidar melhor com o gerenciamento de riscos de terceiros, a devida diligência da InfoSec e o alinhamento com a estratégia de segurança:
Ter requisitos contratuais claros em torno de regulamentos… e atualizá-los
Todos estão na mesma página de conformidade? A sua entidade terceira compreende as expectativas da sua empresa? Com a miríade de regulamentos, padrões, leis específicas do estado e leis globais em torno de dados – ISO / IEC 27001, PCI DSS, SOC 1, SOC 2, GDPR, California Consumer Privacy Act, HIPAA, HITRUST (para citar alguns) – certifique-se de que seus contratos sejam atualizados regularmente para refletir os regulamentos mais recentes.
Considere o seguinte: talvez não seja necessário especificar os requisitos cobertos pelas certificações no idioma contratual, como ISO 27001 ou PCI DSS. Essa etapa extra não será necessária se você exigir que seus terceiros forneçam documentação de certificação anualmente à medida que as auditorias externas forem concluídas.
Concentre-se nos riscos mais importantes
Ao terceirizar serviços, quais são as principais prioridades de risco da sua organização? Segurança cibernética? Segurança da informação? Conformidade? Segurança física? Segurança dos recursos humanos? Sejam eles quais forem, torne-os uma prioridade para seus terceiros se alinharem e verificarem essas prioridades regularmente.
Por exemplo, se você estiver terceirizando o processamento de cartão de crédito ou serviços de saúde, precisará que seus terceiros adiram aos controles e requisitos PCI DSS, HIPAA e HITRUST no mínimo.
Inicie uma avaliação de risco do cliente
Uma avaliação de risco examinará todas as áreas de segurança da informação, políticas e padrões para identificar possíveis riscos, ameaças e perigos. Uma vez que estes tenham sido identificados, você pode avaliar se e como você pode mitigar os riscos com controles, processos ou pessoas. Identifique o que não é perfeito e depois melhore a partir daí.
Fazer auditorias no local
Nem todos os seus terceiros representam os mesmos riscos. Para aqueles que têm acesso ao seu ambiente de TI ou armazenam os dados da sua empresa, as auditorias no local são a única maneira de realmente entender os riscos que você está aceitando e garantir que o terceiro atenda aos seus requisitos contratuais. Os contratos de terceiros devem incluir uma cláusula de direito de auditoria que lhe permitirá avaliar se o terceiro está agindo em conformidade com o contrato.
Peça para ver a documentação e a prova
Para garantir que os requisitos de conformidade e auditoria sejam atendidos, peça para ver as certificações e a documentação da trilha de auditoria. A proteção de dados é mais do que uma caixa de seleção. É importante revisar as políticas de segurança cibernética de terceiros regularmente. Tenha certeza de que seu terceiro está mantendo níveis apropriados de controles de segurança e monitorando e aderindo continuamente aos regulamentos.
Avalie o valor que você obtém de um gerente de risco de terceiros
Por mais irônico que possa parecer, muitos clientes usam terceiros para fazer sua devida diligência da InfoSec em seu nome. Se você já exige que seus terceiros tenham certificações reconhecidas em todo o setor, a contratação de um gerente de risco terceirizado separado pode ser desnecessária.
Embora este seja um nicho de mercado crescente, muitos desses serviços são redundantes para os rigorosos processos de certificação ISO, PCI e HIPAA que envolvem auditores externos credenciados e auditorias no local.
Faça perguntas
Mantenha seus fornecedores atentos. Pergunte se os funcionários terceirizados são treinados em práticas de segurança cibernética. Aqueles que lidam ou processam seus dados confidenciais são ciberexperientes? Eles passam por treinamento regular sobre phishing e hacking, por exemplo?
O gerenciamento de riscos de terceiros é mais do que uma lista de verificação, especialmente ao navegar por riscos de segurança cibernética, regulatórios, de reputação e operacionais. Proteger efetivamente informações confidenciais, construir reputação de marca, dimensionar globalmente e aderir à conformidade são apenas algumas das razões pelas quais as organizações precisam melhorar seu jogo de gerenciamento de riscos de terceiros.
FONTE: HELPNET SECURITY