Segurança de terceiros: Quais abordagens para gerenciar risco cibernético?

Se uma empresa está com terceirizado por 10 anos, talvez não veja necessidade de comprometer o relacionamento pedindo mais detalhes sobre como anda a segurança desse fornecedor. Porém, sem total transparência sobre o funcionamento interno de um fornecedor, como uma organização pode ter certeza de que os dados confiados a eles estão seguros?

Compartilhar:

Por Leonel Conti*

O software não é mais aquela prática interna simples que víamos 10 anos atrás. Hoje, a superfície de ataque de uma organização vai além da tecnologia que ela possui ou controla. Porque os dados passam por muitas mãos. E a cada “mão” adicionada a essa cadeia, as ameaças aumentam enquanto a supervisão se torna mais difícil. Ou seja, quanto mais terceiras e quartas partes uma empresa tiver, mais a segurança sofre.

É uma superfície de ataque que cresce por conta da dependência das empresas de provedores de serviços terceirizados e da proliferação de repositórios de software de código aberto baseados em nuvem. E muitas vezes, as organizações minimizam essa questão, devido à relação de longa data que mantêm com fornecedores terceirizados.

Se uma empresa está com terceirizado por 10 anos, talvez não veja necessidade de comprometer o relacionamento pedindo mais detalhes sobre como anda a segurança desse fornecedor. Porém, sem total transparência sobre o funcionamento interno de um fornecedor, como uma organização pode ter certeza de que os dados confiados a eles estão seguros? O que significa que um incidente cibernético pode ocorrer a qualquer momento.

 

O cenário

Um estudo de 2023 da SecurityScorecard, que analisou dados de mais de 235.000 organizações em todo o mundo e mais de 73.000 fornecedores e produtos usados por elas diretamente ou usados pelos fornecedores dos fornecedores (ou seja, pelas quartas partes), traz um cenário de como a interdependência das cadeias de suprimentos digitais modernas impacta a exposição ao risco cibernético organizacional:

– Para cada fornecedor terceirizado em sua cadeia de suprimentos, as organizações acabam tendo de 60 a 90 relacionamentos indiretos de quarta parte;
– O estudo descobriu também que 98% das organizações têm relacionamento com pelo menos um terceiro que sofreu uma violação nos últimos dois anos;
– Além disso, 50% das organizações têm relacionamentos indiretos com pelo menos 200 fornecedores de quarta parte violados nos últimos dois anos.

Outro relatório sobre o tema foi o elaborado pela RSA Conference, que entrevistou 100 CISOs da Fortune 1000 (que são as mil maiores empresas americanas, classificadas por receita) e descobriu que 87% dos CISOs que participaram da pesquisa foram afetados por um incidente cibernético significativo originado em terceiros nos 12 meses anteriores à pesquisa. O mesmo estudo mostrou que algumas empresas entrevistadas viram a porcentagem de incidentes envolvendo terceiros crescer 550% nos últimos 3 anos.

7 soluções que precisam compor a estratégia de proteção envolvendo terceiros

1) Avaliação de risco: avalie a postura de segurança dos fornecedores. A equipe de segurança detecta as falhas no programa de segurança do fornecedor, a equipe jurídica determina o risco legal e a de negócios prevê o impacto negativo nas operações se os dados ou operações forem comprometidos;

2) Due Diligence de Segurança: verifique se os fornecedores seguem práticas de segurança alinhadas com os padrões da sua empresa. Ou seja, políticas e procedimentos de segurança, controles aplicados e monitoramento contínuo;

3) Contratos e Acordos de Nível de Serviço (SLAs): defina claramente as responsabilidades e expectativas de segurança nos SLAs;

4) Monitoramento contínuo: implemente processos para monitorar continuamente as atividades dos terceiros. SOC e Threat Intel podem ser soluções capazes de apoiar essa iniciativa;

5) Treinamento e conscientização: faça treinamento para terceiros. A capacitação pode fazer parte da agenda regular dos treinamentos com os colaboradores;

6) Gestão de acessos e privilégios: gerir os acessos de terceiros é fundamental, sempre seguindo a abordagem de privilégio mínimo;

7) Auditoria: aplique, já com descrição em contrato, que a sua empresa pode solicitar auditorias para validar o que o terceiro tem aplicado.

Por fim, crie uma cultura de responsabilidade compartilhada e melhoria contínua, envolvendo outras áreas.

Adotar uma abordagem de equipe significa que o CISO não precisa arcar sozinho com a responsabilidade de reduzir o risco de um fornecedor terceirizado. Se as equipes de TI e de negócios apoiarem o líder de segurança na verificação de fornecedores terceirizados, isso prepara o terreno para futuras colaborações entre equipes. E mais: aumenta a adesão da organização e produz melhores resultados quando se trata de segurança.

*Leonel Conti é Diretor de tecnologia da Redbelt Security.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...
Security Report | Overview

Caso Defesa Civil reforça necessidade de proteção em sistemas críticos, alerta pesquisa

O caso está sendo investigado pelas autoridades, que apuram a possibilidade de acesso não autorizado à plataforma utilizada para o...
Security Report | Overview

Análise de ameaças emite alerta para campanhas de phishing por código

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...