Reading:
Avaliação de riscos de segurança de terceiros no supply-chain
Image

Avaliação de riscos de segurança de terceiros no supply-chain

16/11/2020

Controles de segurança ineficientes abrem espaço para vazamentos de dados e ataques de cibersegurança. Aquelas empresas que possuem seus dados compartilhados com terceiros, sem uma preocupação aos riscos de segurança, apresentam maiores chances de incidentes, sendo que poucas se preocupam em avaliar os riscos de terceiros na cadeia de supply chain.

Frequentemente, nos deparamos com notícias sobre incidentes de segurança e vazamento de dados no qual houve algum tipo de responsabilidade do parceiro, fornecedor, enfim, os terceiros.

Isso acontece porque os terceiros têm exercido papel fundamental nas empresas, seja com equipes alocadas, seja por meio de sistemas principais que sustentam os processos de negócio ou secundários que automatizam e integram os diferentes sistemas. No âmbito da inovação, as startups são utilizadas como acelerador das inovações e transformação digital nas empresas, para trazer eficiência e agilidade aos processos de negócio

Com isso, é muito comum aos terceiros, na forma de pessoas ou sistemas, terem acessos à sistemas e bases de dados da empresa ou APIs, incluindo o acesso à dados sensíveis.No entanto, fora do perímetro da empresa, é muito difícil garantir que o mesmo nível de controle e políticas de segurança existente na empresa seja respeitado pelos terceiros.

Uma pesquisa do Ponemon Institute revelou que 7,9 bilhões de registros foram expostos em 2019 e as violações de dados aumentaram 33,3% em relação a 2018 por conta de incidentes de segurança com terceiros.

Portanto, a avaliação de risco de segurança em terceiros passou a ser  um processo fundamental para conhecer e mitigar os riscos de segurança e privacidade para as empresas.

Outra preocupação relacionada com a avaliação de risco de segurança em terceiros é a conformidade com regulamentações 4.658 / 3.909 do BACEN, PCI-DSS e leis como LGPD que exigem que o fornecedor esteja adequado à determinados padrões de segurança e privacidade.

Nesse artigo, vamos explorar a importância da avaliação de riscos de segurança em terceiros para o seu negócio, os diferentes métodos e como otimizar esse processo de forma ágil e segura com o GAT.

O que é a avaliação de risco de segurança em terceiros

Uma avaliação de risco de segurança é o processo de identificação e avaliação de controles desses e de outros riscos apresentados ao longo do ciclo de vida de seus relacionamentos com terceiros.

Os riscos de segurança relacionados à terceiros podem incluir riscos de reputação e privacidade devido ao acesso de um terceiro à propriedade intelectual, dados confidenciais, informações de identificação pessoal e outras informações protegidas.

A seguir, apresentamos os principais fatores para implementação de uma avaliação de risco de segurança em terceiros para o seu negócio.

Homologação de novos fornecedores

Esse processo detecta possíveis fornecedores prejudiciais à reputação da sua empresa e consiste, basicamente, em avaliar as informações disponibilizadas e buscar por possíveis incidentes de segurança, vazamentos de dados ou recorrência de serviços indisponíveis.

Além disso, deve ser avaliado o funcionamento de mecanismos e processos de segurança buscando garantir a confidencialidade, integridade e disponibilidade de suas informações e operações.

Legado

Para os fornecedores já contratados, deve-se identificar quais fornecedores apresentam maior criticidade ao seu negócio e em seguida, conduzir uma auditoria para a identificação de possíveis riscos de segurança e desenvolvimento de um plano de ação colaborativo para mitigação desses riscos.

Avaliações periódicas devem ser estabelecidas para determinar se fornecedores estão engajados com as correções e são cuidadosos o suficiente para continuarem na prestação de serviços.

Porque você deve investir em uma avaliação de risco de segurança em terceiros

O maior ganho investindo em avaliação de segurança de terceiros é a redução do custo com segurança. Embora o desenvolvimento de processos para o gerenciamento de riscos de terceiros a partir do zero exija um investimento inicial, os efeitos a longo prazo são inestimáveis. O custo de trabalhar com terceiros pode ser reduzido com um processo centralizado e padronizado para avaliação de risco de segurança durante a homologação do fornecedor, eliminando a necessidade de retrabalho e horas extras de auditorias. Faça certo da primeira vez e seus custos a longo prazo serão apenas os custos de monitoramento contínuo dos fornecedores, considerando os custos associados à perda de dados, trabalho de correção e multas por conformidade.

Compliance regulatório. A maioria das novas estruturas do mercado e regulamentos de privacidade de dados reconheceu a realidade de que o ecossistema de fornecedores de uma empresa serve como uma extensão da empresa e deve ser tratado como tal. O surgimento de novos regulamentos sobre privacidade de dados exige cada vez mais atenção aos fornecedores. Um gerenciamento de riscos de terceiros simplifica suas iniciativas de conformidade e protege suas empresa de multas e penalidades.

Redução de risco. Uma avaliação de riscos de fornecedores desenvolvida adequadamente e bem executada reduzirá, antes de tudo, os riscos. Terceiros, especialmente aqueles que lidam com dados confidenciais, têm o potencial de expor sua empresa ao risco de violação, não conformidade, sanções financeiras e danos à reputação.

Principais desafios da avaliação de risco de segurança em terceiros

Ao avaliar o risco de segurança em terceiros, tradicionalmente muitas empresas recorrem às avaliações por questionários, auditorias ou testes de invasão como ferramentas principais desse processo. Além desses métodos tradicionais, existem novos métodos em ascensão como é o caso dos Security Ratings.

Esse serviço busca por informações disponíveis pela internet sobre o fornecedor e apresenta uma classificação de segurança para determinar se o fornecedor atende a uma pontuação mínima aceitável (por meio de uma nota de A à F ou 0 à 1000). Além disso, os Security Ratings permitem o monitoramento contínuo do fornecedor, diferentemente das avaliações de questionários que apresentam apenas uma visão momentânea.

Em seguida, geralmente as empresas compilam os diferentes resultados desses métodos em uma planilha unificada. Esse processo de avaliação e classificação é denominado de rating e resulta em um score ou uma nota para o fornecedor.

Para composição dessa nota, pode-se utilizar apenas um dos métodos de avaliação de riscos ou uma combinação entre mais de um método. Atualmente, não existe um padrão para compor essa nota de forma unificada, porém recomendamos o uso de soluções automatizadas para isso.

Segundo uma pesquisa desenvolvida no ano de 2019 pela KPMG, muitos profissionais de compliance entendem que alguns métodos de avaliação de terceiros, como o uso de planilhas e auditorias, não são baratos ou efetivos se aplicados isoladamente sem suporte de uma tecnologia adequada, resultando em uma visão pouco clara sobre os riscos de segurança em terceiros.

Saiba a seguir como a nossa plataforma de gestão de segurança pode acelerar o seu processo de avaliação em fornecedores, através do uso de Security Rating e outros métodos de avaliação por questionário e gestão de pentests de forma centralizada.

Como avaliar o risco de segurança em terceiros com GAT Security Score

GAT Security Score possui a tecnologia necessária para analisar e mapear a superfície de vulnerabilidade a riscos e ataques cibernéticos de uma empresa, sendo possível otimizar em 55% o processo de avaliação de risco de segurança em terceiros. Além disso, contém um questionário de avaliação baseado nos principais frameworks de segurança da informação, onde é possível realizar uma avaliação do nível de maturidade do programa de informação de fornecedores.

O que ele oferece?

A ferramenta dá direito a:

  • Retrato da situação atual (snapshot) ou atualização semanal (monitoramento)
  • Questionário de segurança
  • Análise de riscos de imagem da marca
  • Busca por informações em vazamento de dados conhecidos
  • Verificação de problemas em websites
  • Verificação de problemas em aplicações web
  • Detecção de problemas em IPs
  • Detecção de problemas em contas de E-Mail
  • Detecção de problemas de rede

Quer saber mais? Cadastre-se gratuitamente e comece a usar agora mesmo, realizando uma análise da situação atual da superfície de vulnerabilidade a ataques cibernéticos de sua empresa e de seu supply-chain.

Como visto anteriormente, o recurso de security rating é poderoso para acelerar o processo de homologação de terceiros. Utilize nossa solução para uma avaliação de riscos de segurança em terceiros, reduza custos e ganhe em eficiência operacional. Acompanhe a evolução e as ações de remediação dos fornecedores através de dashboards e indicadores disponibilizados pelo GAT Security Score e faça o gerenciamento de riscos de segurança em terceiros em tempo real.


Arrow-up