Gerenciando os Riscos Cibernéticos associados a Terceiros
Nas organizações estamos constantemente enfrentando desafios em um mundo de rápida transformação e incertezas. Muitos riscos já se encontram estruturados e enraizados há tempos dentro de algumas empresas e de fato o uso da tecnologia apenas catalisa a velocidade dos acontecimentos trazendo à tona os impactos. Processos mal definidos, falta de clareza no fluxo e duplicidade de informação são alguns dos aspectos encontrados em levantamentos.
Dentro da gestão de riscos a terceirização da estrutura corporativa ganhou ainda mais atenção à medida que a tecnologia impulsionou uma interconexão cada vez mais ampla e profunda na forma com a qual nos organizamos e desenvolvemos a entrega de produtos e serviços aos nossos clientes.
O sucesso dos negócios muitas vezes inclui estrategicamente uma variedade de serviços de terceiros, que desempenham papéis críticos. De serviços de consultoria que fornecem expertise especializada em projetos até terceiros que gerenciam nossa infraestrutura de TI ou cuidam das operações administrativas e financeiras do backoffice, nossa dependência por terceiros tornou-se de fato funcional.
Com o uso das tecnologias emergentes, como: a Internet das Coisas (IoT), a inteligência artificial e a automação, é nítido perceber, que nossos sistemas e processos tornam-se cada vez mais integrados com os de nossos fornecedores e parceiros. E apesar dos benefícios, à medida que procuramos eficiência e excelência em nossa operação, essa relação nos torna vulneráveis às ameaças cibernéticas trazendo consigo significativos riscos de segurança, que necessitam ser identificados e mitigados , mesmo sendo originados em qualquer ponto dessa cadeia de suprimentos.
Para deixar este cenário mais complexo, a transição do trabalho para um ambiente híbrido no pós-pandemia (COVID-19), impulsionando a flexibilidade e a adoção de soluções baseadas em nuvem apresenta ainda novos desafios nesta interdependência com terceiros.
Riscos com Terceiros
Em 2019, uma pesquisa do Gartner realizada com mais de 250 líderes jurídicos e de conformidade revelava que a abordagem padrão pontual para o gerenciamento de riscos de terceiros não era mais eficaz no cenário de relações comerciais em ritmo acelerado de mudanças, sendo observado que entre as organizações que contrataram serviços empresariais terceirizados, 83% identificaram riscos de terceiros após se realizar a Due Diligence e antes da recertificação.
Os riscos associados a terceiros nos Negócios são uma preocupação crescente em todo o mundo. E existem várias razões para isso, veja algumas delas nas citações compiladas de responsáveis pela Segurança da Informação (CISOs - Chief Information Security Officers) nas empresas:
Fornecedores Vulneráveis: “Nossos fornecedores e parceiros também são alvos de ataques cibernéticos. Se um deles for comprometido, nossos dados e sistemas podem ser afetados indiretamente”.
Diversidade de Terceiros: “Terceirizamos cada vez mais funções críticas, como armazenamento de dados, processamento de pagamentos e gerenciamento de recursos humanos. À medida que nossa rede de terceiros cresce e diversifica, estamos expostos a uma variedade de padrões de segurança, o que pode criar pontos fracos potenciais”.
Acesso a Dados Sensíveis: “Muitos de nossos parceiros têm acesso a dados altamente sensíveis, incluindo informações financeiras e de clientes. Isso os torna alvos valiosos para ataques cibernéticos”.
Ataques de Cadeia de Suprimentos: “Os cibercriminosos estão cada vez mais visando a cadeia de suprimentos para distribuir malware e executar ataques sofisticados. A exploração de atualizações de software ou hardware é um exemplo disso. Vulnerabilidades de dia zero e backdoors intencionais são ameaças reais”.
Compartilhamento de Responsabilidade: “Embora terceiros desempenhem funções críticas, a responsabilidade final pela segurança de nossos dados e sistemas permanece conosco”.
Gerenciando Riscos Cibernéticos com Terceiros
Em suma, à medida que nossa rede de terceiros se expande e diversifica, o gerenciamento de riscos cibernéticos associados a esses parceiros também deve ser intensificado. A boa notícia é que o risco de terceiros não é um tema novo, uma vez que as mesmas estruturas utilizadas para avaliar o seu risco interno podem ser aplicadas aos fornecedores. Na verdade, empresas com muitos fornecedores muitas vezes criam níveis baseados em riscos para seus processos de terceiros. Além disso, novas soluções e funcionalidades de cibersegurança podem reduzir o nível de esforço necessário.
Assim, com alguns ajustes e validações, podemos criar um programa de risco de terceiros que se alinhe às necessidades do negócio, em relação: à conformidade com leis, regulamentos e padrões; à mitigação de interrupções operacionais; aos planos de contingência e de continuidade dos negócios; à proteção de dados, sistemas e processos de segurança física e de TI; e à proteção da reputação da marca.
Desta forma, os CISOs trabalham para garantir que suas organizações naveguem com segurança nesse ambiente interconectado e diversificado de negócios. Aqui estão algumas medidas que se veem sendo adotadas:
Realização de avaliações detalhadas e rigorosas de risco cibernético para cada terceiro da rede corporativa.
Inclusão de requisitos de segurança cibernética específicos nos contratos com terceiros.
Condução de auditorias regulares e periódicas para verificar a conformidade com os padrões de segurança estabelecidos.
Identificação de Shadow IT (utilização não autorizada de soluções de TI) e ações de colaboração para a redução de riscos Ocultos de Terceiros para garantir a segurança de suas soluções.
Execução de um monitoramento constante da atividade de rede para detectar anomalias rapidamente.
Realização de treinamentos de conscientização em segurança cibernética para todos (colaboradores e terceiros).
Implementação de controles rígidos sobre o acesso de terceiros aos sistemas e dados da rede corporativa.
Para finalizar lembre-se de dois pontos fundamentais: 1) Garantir que as operações continuem a prosperar, enquanto dados e sistemas são protegidos contra ameaças cibernéticas é crucial para a imagem e sucesso do Negócio. 2) Independentemente das mudanças no cenário de riscos, a responsabilidade pela segurança, em última instância estará com as pessoas "de dentro" da organização.
