Às vezes, focamos tanto em proteger nossos próprios sistemas e ambientes que nos esquecemos de garantir que todas as peças do quebra-cabeça corporativo — ou seja, parceiros e fornecedores — também estejam no mesmo nível que nós.
Felizmente, a segurança da informação está cada vez mais sendo entendida como uma preocupação central estratégica para empresas de todos os portes e segmentos. Além de garantir a continuidade dos negócios, proteger dados sensíveis é algo que está diretamente relacionado à reputação da marca perante ao público e à conformidade com as legislações vigentes que resguardam a privacidade do consumidor final.
No entanto, à medida que as organizações se concentram em fortalecer suas próprias defesas cibernéticas, muitas vezes negligenciam uma parte crítica da equação de segurança: o gerenciamento de riscos de terceiros.
Empresas modernas frequentemente dependem de uma rede complexa de fornecedores, parceiros de negócios e prestadores de serviços para uma operação efetiva. Essa interconexão cria o que é conhecido como um ecossistema de terceiros (third-parties). No entanto, a segurança desse ecossistema nem sempre recebe a mesma atenção que a segurança interna da sua própria corporação.
Isso significa que todas as suas medidas de segurança interna — como firewalls, sistemas de detecção de intrusão e programas de conscientização — podem ser em vão caso os parceiros e fornecedores com os quais você compartilha informações críticas não mantiverem os mesmos padrões de segurança. E é daí que surge o conceito de third-party risk management, ou gerenciamento de risco de terceiros.
Dicas para proteger seu ecossistema
A negligência no gerenciamento de riscos de terceiros pode ter uma série de impactos nas empresas, incluindo vazamento de dados sensíveis, interrupção das operações, infrações à conformidade regulatória e danos à reputação da marca. Levando tudo isso em consideração, fica claro que é fundamental adotar boas práticas para mitigar essas ameaças. Isso inclui, mas não se limita a:
- Avaliar os riscos: antes de fechar negócio, vale a pena realizar uma avaliação detalhada sobre os reais riscos que um parceiro ou fornecedor apresenta ao seu negócio, analisando suas práticas, estratégias e processos de segurança da informação, além da conformidade com normas e frameworks vigentes;
- Realizar uma due diligence: a diligência prévia é justamente uma investigação formal e altamente organizada a respeito do parceiro ou fornecedor antes do fechamento de um negócio. É uma prática comum sobretudo nos processos de aquisição e de fusão entre empresas, mas também é útil para avaliar terceiros;
- Colocar tudo em contrato: estabelecer as responsabilidades é um ponto importante. No contrato, adicione cláusulas de segurança que prevejam a adoção dos melhores padrões de segurança por parte do terceiro, tal como as consequências no caso de um eventual incidente causado por negligência do parceiro/fornecedor.
- Monitore de forma contínua: claro, não devemos simplesmente assinar um contrato e esperar que todas as partes cumpram as cláusulas na boa vontade. O monitoramento de seu ecossistema da cadeia de suprimentos deve ser contínua. Para isso, realize auditorias e, se necessário, aponte falhas aparentes.
Indo além do básico
Como dissemos, essas dicas são apenas algumas etapas básicas para gerenciar o risco de terceiros — há muito mais que as empresas podem (e devem!) fazer para mitigar ameaças oriundas de terceiros. Uma atitude básica é elaborar suas políticas de segurança da informação e de privacidade que se estendem também aos parceiros e fornecedores, obrigando-os a adotar seus processos e resguardando a proteção de seus dados.
Também é válido prover treinamentos de conscientização aos parceiros de negócio para fortalecer seu corpo de colaboradores, tal como adicionar em seu plano de resposta a incidentes um guia que inclua a colaboração de third-parties. Dessa forma, garantimos que todos estarão no mesmo patamar de responsabilidade a respeito da sua segurança de dados e informações sensíveis.
Vale a pena observar que o third-party risk management é uma área que, por ser cada vez mais preocupante, já gerou plataformas no modelo software-como-serviço (SaaS) que prometem oferecer maior visibilidade do seu ecossistema de supply chain. Embora a adoção de uma ferramenta dessas não seja mandatória, ela pode ser de grande ajuda para identificar gaps antes que eles virem um perigo.
Segurança é responsabilidade de todos!
O gerenciamento de riscos de terceiros é uma parte crítica da estratégia de segurança cibernética de uma empresa; negligenciar tal tópico pode levar a sérias consequências. Portanto, as empresas devem priorizar a avaliação, monitoramento e colaboração com seus parceiros e fornecedores para garantir que seu ecossistema seja tão seguro quanto elas. Afinal, a segurança é uma responsabilidade compartilhada.