Caminhos para a gestão de risco de fornecedores + 5 aspectos importantes que devem compor uma estratégia de proteção envolvendo terceiros
Enquanto empresas gerenciam em média 7.700 terceiros em sua cadeia de valor (somando fornecedores diretos e indiretos, segundo pesquisa IBM-Microsoft), 35% das violações de dados originam-se em fornecedores, conforme relatório global da SecurityScoreCard que analisou as 1.000 maiores violações recentes.
Já o relatório How Top CISOs Are Transforming Third-Party Risk Management, elaborado pela RSA Conference, traz que 87% dos CISOs que participaram da pesquisa foram afetados por um incidente cibernético significativo originado em terceiros nos 12 meses anteriores à pesquisa. E que algumas empresas entrevistadas viram a porcentagem de incidentes envolvendo terceiros crescer 550% nos últimos 3 anos.
Os números mostram uma nova geografia de riscos das violações. Enquanto as equipes de ciber trabalham para proteger suas próprias redes, os criminosos estão encontrando maneiras de entrar por aquela porta que ninguém está olhando, que é a dos fornecedores.
Maturidade x efetividade
As empresas, por anos, contaram com frameworks estruturados, certificações ISO e questionários padronizados para gerenciar riscos de terceiros. Mas, os ataques cibernéticos trouxeram outra realidade: a de que fornecedores com processos exemplares – documentação completa, ferramentas adequadas, governança estruturada – às vezes são atacados porque não aplicam patches críticos há meses. A diferença entre maturidade documentada e efetividade real expõe uma grande lacuna da segurança corporativa moderna.
Ou seja, pode ser que o fornecedor tenha gabaritado no questionário. Só que o modelo de enviar questionários e aprovar as respostas não captura a realidade operacional dos controles implementados nem identificada vulnerabilidades e riscos críticos que surgem todos os dias em empresas que atuam no mundo digital.
O custo da interdependência
Para gerir riscos de fornecedores, cibersegurança precisa estar conectada ao negócio, e não somente à tecnologia. Isso porque o critério de elencar como mais críticos somente os parceiros que acessam a rede corporativa, ou que trabalham com dados da empresa, pode gerar pontos cegos. Há fornecedores que são cruciais para o faturamento e que não estão conectados digitalmente à organização. E por isso, precisam ser olhados. Hoje, sabemos que 41% dos ataques de ransomware começam com credenciais comprometidas de terceiros, segundo a SecurityScorecard. Para empresas com milhares de pontos de venda ou operações distribuídas, cada fornecedor comprometido representa perda literal de receita – não apenas questão de compliance, mas impacto direto no resultado financeiro.
Investimento direto na segurança de fornecedores
Empresas maduras descobriram que, em muitos casos, é mais econômico investir na melhoria da segurança de fornecedores críticos do que os substituir. A lógica é simples: se um fornecedor é essencial para operações, mas carece de recursos para atender requisitos de segurança, o investimento compartilhado protege ambas as partes.
Grandes corporações desenvolveram matrizes de risco que cruzam impacto de negócio com maturidade do fornecedor. Aqueles em posição crítica (tier 1) com baixa maturidade recebem investimento direto em desenvolvimento – desde consultoria especializada até recursos para implementação de controles específicos.
Os CISOs, Ticiano Benetti (Natura) e Denis Nesi (Claro), falaram disso no episódio “Riscos de Supply Chain” do RedCast. Você pode assistir aqui:
5 aspectos importantes que devem compor uma estratégia de proteção envolvendo terceiros
1. Avaliação de risco
Verifique a postura de segurança dos fornecedores. Nesse sentido, três equipes podem ser envolvidas: a de cibersegurança, para detectar as falhas no programa de segurança do fornecedor, a equipe jurídica, que vai determinar o risco legal, e a de negócios, que irá prever o impacto negativo nas operações se os dados ou operações forem comprometidos.
2. Monitoramento contínuo
Faça a implementação de processos para monitorar continuamente as atividades dos terceiros. SOC e Threat Intel podem ser soluções capazes de apoiar essa iniciativa.
3. Treinamento e conscientização em cibersegurança
A capacitação pode fazer parte da agenda regular dos treinamentos com os colaboradores de terceiros. É importante criar uma cultura de responsabilidade compartilhada e melhoria contínua.
4. Gestão de acessos e privilégios
Gerir os acessos de terceiros é fundamental, sempre seguindo a abordagem de privilégio mínimo.
5. Auditorias
As auditorias são úteis para validar o que o terceiro tem aplicado em termos de segurança. Nesse caso, é importante que o contrato preveja que a sua empresa possa solicitar auditorias.
A Redbelt Security pode auxiliar no desenvolvimento de um plano de cibersegurança de acordo com as necessidades da sua empresa. Fale com um de nossos consultores para saber mais.
