A companhia IRB(re), como organização de referência no setor de resseguros no Brasil, conta com uma demanda crescente na gestão de parceiros terceirizados em sua estrutura. Porém, sem um controle automatizado e detalhado de cada detalhe do parceiro, a empresa se expunha a altos riscos vindos de eventuais vulnerabilidades não monitoradas dentro da estrutura terceirizada.
Conforme explica o Especialista de SI da empresa, Fernando Nunes, o grande desafio do IRB(re) estava no controle manual das planilhas e relatórios dos terceirizados. Devido à extensão dos dados fornecidos nesses documentos durante o onboarding, havia grandes chances de a estrutura da parceira não estar condizente com o padrão da companhia, que estaria exposta sem que soubesse disso.
“Segundo os dados da pesquisa ‘Enabling safe use of data and AI’, da Securiti, 61% das organizações sofreram incidentes com terceiros no último ano. Esse contexto é bastante crítico para nós, e por isso precisávamos repensar nosso método de avaliação de Segurança dos terceiros, que à época era essencialmente manual”, explicou o executivo.
Para responder a essa demanda, a companhia contou com o apoio da Novared e da Securiti para implementar uma nova estratégia de gestão de riscos, baseada na automatização e avaliação de fornecedores. Segundo Nunes, a nova implementação permitiu que o IRB(re) estruturasse um processo de “tierização”, para categorizar o nível de criticidade do tratamento de dados dos parceiros na organização.
A classificação, baseada em critérios pré-definidos e no nível de coordenação com o IRB(re), viabilizou o uso de métodos automatizados de avaliação da maturidade de data protection do parceiro e, por consequência, da possibilidade de manutenção desse parceiro. O novo processo ainda considera eventuais certificações de Segurança que o terceiro tenha para acelerar ainda mais essa avaliação.
Para preservar os padrões de maturidade estabelecidos pelo IRB(re), a resseguradora ainda conta com processos de reavaliação dos terceirizados já presentes na estrutura, que seguem avaliando detalhadamente seu nível de proteção de ambiente e dados internos. Isso permite um controle constante mesmo em situações de mudanças no parceiro ou no próprio IRB(re).
“Enquanto o fornecedor responde nossos questionários e evidencia sua maturidade, da nossa parte, mantemos um monitoramento dos domínios expostos do fornecedor, verificando se está dentro dos nossos padrões contínuos de Segurança. Caso esse padrão caia, recebemos um alerta para iniciar contatos imediatos com o fornecedor”, aponta o Especialista de SI.
