A Gestão de Risco em Fornecedores é um tema delicado e de muita importância para alguns líderes de segurança como um CSO, dada a mudança das empresas em massa para a cloud. Tenho discutido tal tema com alguns líderes em mesas de cafés e eventos de segurança e o que tenho ouvido é que a preocupação com a proteção de dados na nuvem é o principal vilão. Há alguns meses, escutei de uma CISO que ela não está tão preocupada com os dados dentro da empresa, mas com os dados que estão armazenados em parceiros e especialmente em provedores de cloud.
A “third party” é uma das grandes preocupações, considerando a dificuldade de gerir de forma adequada o compartilhamento de dados da sua empresa com serviços terceirizados, seja em cloud ou conexões externas. O famoso NetPetya, em 2017, impactou em 90% das operações da gigante Merck por meio de um parceiro, resultando em uma perda estimada de US$ 300 milhões, no qual quase todo parque de workstations e notebooks tiveram que ser substituídos. Isso ocorreu por falta de um processo básico de segurança, que era manter o sistema operacional atualizado, um fator crucial que ainda acontece nas organizações.
Logo concluí que o tema é tão importante que precisa estar alinhado com o processo de gestão de risco corporativo e os executivos do alto escalão necessitam estar cientes para oferecer total suporte. Se formos analisar, o mercado já oferece mecanismos de suporte para gestão de risco em fornecedores. Por hora, é um processo ainda em formato embrionário para algumas grandes corporações e principalmente para aquelas startups que precisam de decisão rápida e ignoram a necessidade de monitorar um parceiro ou provedor de serviços, no que tange a compliance com as melhores práticas de segurança.
Ao longo da minha jornada, tenho visto empresas maduras e preocupadas com o tema, mas ao mesmo tempo empresas que negligenciam tal assunto, justificando que precisam de velocidade e, por este motivo, não praticam alguns processos internos, como gerir o risco em um fornecedor. Isto é muito crítico, pois alguns acham que simplesmente pelo dado estar em uma nuvem de um provedor de cloud conhecido já está seguro. Isto é um engano. Não realizam due diligence e nem possuem tal processo alinhado com o departamento de compras da organização. Neste espaço vazio, alguns serviços são comprados sem passar por uma avaliação adequada, não seguindo práticas de segurança como a ISO 27001, entre outras.
Para temos uma ideia do timeline, procurei elucidar da seguinte maneira:
Era primata, em meados de 2000 -> Nesta época, organizações como bancos já possuíam um ambiente que era frequentemente auditado, com processo de governança de TI e de Segurança contínuos, mas não havia uma visão águia para fazer gestão de risco em fornecedores. Alguns anos depois ainda era factível encontrar bancos sem este processo implantado. Sorte que as aquisições de grandes corporações, principalmente as americanas, absorveu o processo de gestão de fornecedores, devido a falta de maturidade aliada à dificuldade de encontrar provedores de serviços alinhados com as melhores práticas de infosec.
Era aeroespacial -> Grandes corporações, bancos, seguradoras e algumas empresas no ramo de indústrias já executavam um processo de gestão de fornecedores. Política e normas sobre o tema implantadas e maduras. Com a chegada do PCI-DSS, processadoras de cartão e credenciadoras já exerciam um processo de monitoramento em parceiros e prestadores de serviços, seja para um provedor de PoS, PDV, uma desenvolvedora de aplicativos para PDV, até um datacenter que processava a captura de transações de cartão de crédito e emboçadoras, que emitiam o cartão físico passavam por auditorias, a fim de atender os requerimentos das principais bandeiras de cartão.
Era ecossistema (cloud, block chain, IoT, big data, etc) -> Considere a cloud umas das tecnologias do futuro, isso porque uma boa porcentagem das empresas já estão 100% na cloud, como as famosas Fintechs. Já as empresas tradicionais ainda com receio, mas já sustentadas parcialmente em nuvem próprias ou privadas em grandes players de cloud. Se ainda não estão, é fato que pelo menos 60% do ambiente já se encontra em cloud e em road map para migrar de on-premises para 100% em cloud. Este aumento representa que, até 2020, aproximadamente 90% das empresas tradicionais estarão em cloud e 100% das startups já nasceram ou irão nascer em cloud. O que isso representa para o mercado? Um breve crescimento do desenvolvimento da tecnologia cloud e ascensão das empresas mais tradicionais migrando para este novo espaço sideral. E com o quê devemos nos preocupar? Monitorar os riscos no ambiente de terceiro. E por quê?
O Google, em um evento próprio, citou que o grande destaque desta Era é o “dado”, sendo um ativo de valor para a organização. Imediatamente entendemos que devemos ter atenção nos aspectos de Privacidade, Proteção de Dados e Conformidade com requerimentos regulatórios. E até onde estes pontos estão em atenção pelos gestores de TI e Segurança?
Em algumas avaliações em provedores de serviços, pelo menos 89% de novos serviços contratados são para rodar em cloud. Em partes, existem grandes empresas tradicionais e muitas startups com soluções específicas que atendem diversos negócios. Assim tenho notado a ausência de uma área de segurança cibernética interna ou um líder de segurança a frente. Geralmente o CTO, CIO ou o Gerente de TI exerce a função de CSO, e quando contesto como realizam uma avaliação em seus fornecedores e qual critério de standards que utilizam para avaliar, são poucos que executam.
São automáticos, apenas considerando que o provedor é conhecido e possui tais padrões implantados, como se fossem suficientes para confiar e prosseguir com a contratação, mas não avaliam aspectos de controles específicos, como gestão de acesso na cloud, gestão de patch e criptografia de dados, caso seja requerido diante de uma norma, etc.
Neste universo existe uma confusão também com os conceitos de criptografia assimétrica, simétrica e hash e respectivos objetivos esperados destes mecanismos. O certificado digital TLS serve para garantir a segurança na comunicação entre a origem e a aplicação (ex: Internet Banking), já o hash para proteção do armazenamento de uma senha e a criptografia simétrica como o AES e 3DES fazem o papel de encriptação de dados em um data lake ou database. Vejo que estas sopas de conceitos e letras confundem alguns profissionais, se realmente estão sendo usados de forma correta para uma determinada proteção de acordo com a classificação de dados, pois sabemos que é crucial determinar o nível de proteção da informação ali processada, transmitida e/ou armazenada.
É importante ressaltar que uma cloud é composta pelos modelos de serviços (IaaS, PaaS e SaaS) e outra pergunta que também costumo sempre fazer nas vistorias é: qual o tipo de serviço contratado? Por exemplo, em um SaaS, o contratante é responsável por garantir a proteção no ambiente de aplicação, assim como realizar a gestão de patch, hardening, configurações e análise de vulnerabilidades e scan no ambiente.
Entretanto, é visível que se sua empresa está contratando um serviço na cloud com o modelo SaaS é considerável que saiba que uma parte de controles de segurança ficará por parte do contratante e a outra parte do provedor de cloud. Geralmente a gestão de firewall, virtual machine, infraestrutura física e segurança física é de responsabilidade da empresa de cloud dependendo do modelo adquirido. Eis aqui um ponto de atenção! Não basta ter um parceiro oferecendo uma solução de processamento de folha de pagamento em cloud se você não monitorar e aplicar um due diligence em algum momento. Um processo pode ser negligenciado e um vazamento de dados pode ocorrer e seu barco afundar.
Literalmente não vai adiantar nada ter reduzido custo e aumentado a disponibilidade e agilidade dos serviços se não houver uma diligência eficaz capaz de visualizar os riscos em seus provedores de serviços. Sempre digo que quando uma embreagem está prestes a quebrar os avisos sempre aparecem primeiro e basta apenas ficar atento. Desta maneira, sugiro que fique ligado e vigie os sinais e não perca a embreagem do seu negócio, pois pode ser fatal. Como citado por Albert Einstein: “Deus não escolhe os capacitados, capacita os escolhidos. Fazer ou não fazer algo só depende de nossa vontade e perseverança”. Por favor CSO, não ignore a gestão de risco em seus fornecedores!
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP