Segurança de terceiros: abordagens para começar a gerenciar o risco agora
Por Leonel Conti é Diretor de tecnologia da Redbelt Security
O software não é mais aquela prática interna simples que víamos 10 anos atrás. Hoje, a superfície de ataque de uma organização vai além da tecnologia que ela possui ou controla. Porque os dados passam por muitas mãos. E a cada “mão” adicionada à essa cadeia, as ameaças aumentam enquanto a supervisão se torna mais difícil. Ou seja, quanto mais terceiras e quartas partes uma empresa tiver, mais a segurança sofre.
É uma superfície de ataque que cresce por conta da dependência das empresas de provedores de serviços terceirizados e da proliferação de repositórios de software de código aberto baseados em nuvem. E muitas vezes, as organizações minimizam essa questão, devido à relação de longa data que mantêm com fornecedores terceirizados.
Se uma empresa está com terceirizado por 10 anos, talvez não veja necessidade de comprometer o relacionamento pedindo mais detalhes sobre como anda a segurança desse fornecedor. Porém, sem total transparência sobre o funcionamento interno de um fornecedor, como uma organização pode ter certeza de que os dados confiados a eles estão seguros? O que quer dizer que um incidente cibernético pode ocorrer a qualquer momento.
O cenário
Um estudo de 2023 da SecurityScorecard, que analisou dados de mais de 235.000 organizações em todo o mundo e mais de 73.000 fornecedores e produtos usados por elas diretamente ou usados pelos fornecedores dos fornecedores (ou seja, pelas quartas partes), traz um cenário de como a interdependência das cadeias de suprimentos digitais modernas impacta a exposição ao risco cibernético organizacional:
– Para cada fornecedor terceirizado em sua cadeia de suprimentos, as organizações acabam tendo de 60 a 90 relacionamentos indiretos de quarta parte;
– O estudo descobriu também que 98% das organizações têm relacionamento com pelo menos um terceiro que sofreu uma violação nos últimos dois anos;
– Além disso, 50% das organizações têm relacionamentos indiretos com pelo menos 200 fornecedores de quarta parte violados nos últimos dois anos.
Outro relatório sobre o tema foi o elaborado pela RSA Conference, que entrevistou 100 CISOs da Fortune 1000 (que são as mil maiores empresas americanas, classificadas por receita) e descobriu que 87% dos CISOs que participaram da pesquisa foram afetados por um incidente cibernético significativo originado em terceiros nos 12 meses anteriores à pesquisa. O mesmo estudo mostrou que algumas empresas entrevistadas viram a porcentagem de incidentes envolvendo terceiros crescer 550% nos últimos 3 anos.
7 soluções que precisam compor a estratégia de proteção envolvendo terceiros
1) Avaliação de risco: avalie a postura de segurança dos fornecedores. A equipe de segurança detecta as falhas no programa de segurança do fornecedor, a equipe jurídica determina o risco legal e a de negócios prevê o impacto negativo nas operações se os dados ou operações forem comprometidos;
2) Due Diligence de Segurança: verifique se os fornecedores seguem práticas de segurança alinhadas com os padrões da sua empresa. Ou seja, políticas e procedimentos de segurança, controles aplicados e monitoramento contínuo;
3) Contratos e Acordos de Nível de Serviço (SLAs): defina claramente as responsabilidades e expectativas de segurança nos SLAs;
4) Monitoramento contínuo: implemente processos para monitorar continuamente as atividades dos terceiros. SOC e Threat Intel podem ser soluções capazes de apoiar essa iniciativa;
5) Treinamento e conscientização: faça treinamento para terceiros. A capacitação pode fazer parte da agenda regular dos treinamentos com os colaboradores;
6) Gestão de acessos e privilégios: gerir os acessos de terceiros é fundamental, sempre seguindo a abordagem de privilégio mínimo;
7) Auditoria: aplique, já com descrição em contrato, que a sua empresa pode solicitar auditorias para validar o que o terceiro tem aplicado.
Por fim, crie uma cultura de responsabilidade compartilhada e melhoria contínua, envolvendo outras áreas
Adotar uma abordagem de equipe significa que o CISO não precisa arcar sozinho com a responsabilidade de reduzir o risco de um fornecedor terceirizado. Se as equipes de TI e de negócios apoiarem o líder de segurança na verificação de fornecedores terceirizados, isso prepara o terreno para futuras colaborações entre equipes. E mais: aumenta a adesão da organização e produz melhores resultados quando se trata de segurança.
Notícias Relacionadas
Papaiz ASSA ABLOY celebra dois anos no mercado de Segurança Eletrônica com lançamento de nova linha de soluções integradas
A Papaiz ASSA ABLOY Linha Segurança Eletrônica celebra dois anos de atuação no Brasil, consolidando seu portfólio com uma linha…
Intelbras reforça sua atuação no mercado de redes enterprise na Futurecom 2024 e apresenta novidades para projetos personalizados de grandes empresas e governos
Companhia destaca portfólio com soluções que agregam o mais alto nível de tecnologia para atender demandas de integradores, grandes empresas…
Inteligência Artificial tem se revelado um bom parceiro da segurança eletrônica
Soluções, cada vez mais evoluídas, aumentam a eficiência do setor que movimentou, só em 2023, R$ 12 Bilhões no Brasil,…