À medida que cadeias de fornecimento se tornam mais complexas e a exposição operacional cresce, o risco de terceiros emergiu como um dos pontos de vulnerabilidade e impacto para o negócio. Nesse contexto, líderes de Cibersegurança discutiram o desafio da mensuração e controle do risco na cadeira de terceiros, além da sua comunicação para a gestão do negócio.
Para Filipe Loner, CISO da LM Mobilidade, há uma necessidade de investigação da cadeira de terceiros, dentro dos parâmetros do apetite de risco da empresa. “Um dos pontos que a gente procura executar é validar se o padrão de Segurança do terceiro avaliado está de acordo com que a sua própria empresa aceita como um risco, mesmo que se tenha um protocolo bem estabelecido”, explicou ele, durante o Painel de Debates sobre o tema no Security Leaders Nacional, em São Paulo.
Já Fabio Araujo, CISO da Valia Previdência, também acrescenta que conhecer os processos e o core business da organização é essencial para as decisões relacionada a risco de terceiros. Segundo ele, antes de avaliar a suspensão de um serviço ou a rejeição de um fornecedor por falta de requisitos mínimos, é preciso entender claramente qual será o impacto real dessa interrupção na operação.
“Não dá para paralisar um serviço sem medir as consequências. É fundamental saber onde a falha afeta o negócio e qual será o reflexo disso no dia a dia da empresa”, explicou. Para o executivo, a Segurança só cumpre seu papel quando consegue equilibrar proteção e continuidade, sempre a partir de uma compreensão precisa do que é crítico para o negócio.
A discussão entre os executivos de Segurança apontou estratégias para melhorar a gestão dos riscos de terceiros com consistência, priorizando a criticidade de cada um deles. Isso permite estabelecer métodos únicos e direcionados para fazer aquele parceiro ser mais seguro tanto para si quanto para toda a cadeia a qual ele faz parte.
Isso foi reforçado pelo Superintendente de Cibersegurança do Bradesco, Luciano Santos. O executivo aponta que é essencial centralizar o controle o monitoramento de risco das grandes corporações a partir da aproximação do fornecedor crítico aos padrões de maturidade da usuária, garantindo maior liberdade dentro do ecossistema a partir de Segurança adequada.
“É isso que nos dá base para chegar ao negócio e dizer quando um risco está fora do apetite da organização, e, a partir disso, definir ações que o mitiguem. O ponto-chave é manter tudo documentado e deixar claro para o board quais riscos foram assumidos, quais estão dentro ou fora do apetite, sempre considerando o padrão de governança desenvolvido pela própria organização”, disse ele.
Eduardo Lopes, Account Executive da Qualys, destacou que o ponto de partida de qualquer estrutura de Segurança é compreender que a principal função de uma política desse setor é mitigar risco. Segundo ele, muitas organizações ainda não alcançaram maturidade suficiente nesse processo e, por isso, não possuem ferramentas para análises quantitativas e qualitativas de impacto no negócio.
Lopes também chamou atenção para a fragmentação das ferramentas atuais, impedindo uma visualização adequada do cenário de riscos. “Entretanto, qualificar as métricas de impacto tendem a ser ainda mais importantes para a visão do board sobre esse cenário, pois são elas que podem impactar a geração de valor dela. A mensuração do risco é fundamental para qualquer negócio”, concluiu.
Acompanhe a íntegra do Painel de Debates “Risco de Terceiros: qual o apetite e como desenvolver hábitos saudáveis” Pelo canal da TVSecurity no YouTube ou pelo vídeo abaixo:
