by Matheus Menezes
Bookmark

O que é gerenciamento de risco de terceiros e por que isso é importante?

Com o crescente avanço das ameaças que evoluem a cada dia, se tornando mais criativas e sofisticadas, a segurança cibernética continua sendo uma preocupação primordial das organizações em todos os lugares. 

Mas, atualmente, não basta apenas implementar mecanismos para proteger os dados em seus sistemas pois, cada vez mais, os malfeitores estão mirando provedores terceirizados como uma porta dos fundos para suas maiores cadeias de suprimentos, fazendo com que o gerenciamento de risco de terceiros (TPRM) seja mais importante do que nunca.

Conforme a criticidade do TPRM aumenta é latente a necessidade global quanto a criação de serviços específicos para ajudar nossos clientes a reforçar o gerenciamento deles. Este artigo visa definir o gerenciamento de risco de terceiros, sua importância e alguns recursos que você poderá aproveitar para melhorar o seu TPRM, bem como esclarecer por que é necessário olhar além de suas práticas de segurança interna para realmente proteger sua organização.

A importância da gestão de riscos de terceiros

De acordo com a Shared Assessments, TPRM — ou gestão de risco do fornecedor — é definido como “a prática de avaliar e mitigar os riscos introduzidos pelos fornecedores (fornecedores, terceiros ou parceiros de negócios) antes de estabelecer um relacionamento comercial e durante a parceria comercial”.

Simplificando, TPRM é o tratamento de terceiros da sua organização antes, durante e depois de você contratá-los para bens ou serviços. Os fornecedores ganharam mais importância, embora muitas organizações gostariam de fazer tudo sozinhas, a verdade é que isso não é possível. Ao mesmo tempo que as empresas as colocam em uma situação complicada ao confiar em um fornecedor.

Por exemplo, vamos considerar que você tenha um sistema de segurança em sua casa que vem completo com alarmes e sensores de todos os tipos, junto com uma assinatura de monitoramento — tudo para ajudar a manter seus objetos de valor e entes queridos seguros. Você provavelmente o comprou porque não pode estar em casa 24 horas por dia, 7 dias por semana para defendê-los. Então, você confia no alarme para permanecer operacional e eficaz, e em uma equipe dedicada de profissionais que pode alertar os serviços de emergência em caso de arrombamento ou detecção de incêndio. Esses fornecedores são essenciais para a segurança da sua casa, mas o que acontece se eles não forem quem dizem ser ou não atenderem às expectativas quando se trata de desempenho? Sua casa, objetos de valor e família agora estão em risco.

É por essas mesmas razões e muitas outras que é importante que as organizações selecionem, avaliem e monitorem cuidadosamente os terceiros com os quais você escolhe trabalhar. Iniciar o trabalho com o terceiro errado ou deixar de rastrear o acesso de terceiros ao longo do tempo pode levar a consequências devastadoras para sua organização e seus clientes.

5 elementos-chave do gerenciamento de risco de terceiros

Para evitar consequências trágicas, você precisa de um TPRM eficaz — mas o que isso implica exatamente? Aqui estão cinco componentes críticos para o desenvolvimento de um bom programa TPRM.

1. Estabelecimento de parâmetros internos

Antes mesmo de começar a considerar os próprios fornecedores, você precisa entender as necessidades e os limites da sua organização em relação a terceiros — você pode fazer isso respondendo às seguintes perguntas:

  • – Quais são os ativos, sistemas ou dados importantes para o seu negócio e/ou clientes que devem permanecer protegidos?
  • – Se você fosse usar um terceiro para dar suporte a esses ativos, sistemas ou dados, onde você se tornaria vulnerável e como preencheria essas lacunas?
  • – Com base no tipo de serviço ou bens de que você precisa, quanto de risco você está disposto a aceitar e como isso afeta o que você está disposto a pagar ou como você lida com cada relacionamento com terceiros?
  • – Quem será responsável por gerenciar e monitorar cada relacionamento com o fornecedor?

Responder a essas perguntas não apenas ajudará a moldar a estrutura, as políticas e os procedimentos usados ​​para estabelecer seu programa TPRM, mas também o apontará na direção inicial para fornecedores adequados.

2. Due Diligence (e avaliação de risco)

Sua empresa precisa de um processo de verificação abrangente, a maior parte do qual pode vir na forma de uma avaliação de risco. Depois de identificar um fornecedor potencial e classificá-lo com base na criticidade de seus serviços para sua organização, avalie o risco que ele representa considerando:

  • – Estabilidade financeira;
  • – Confiabilidade operacional;
  • – Reputação no setor;
  • – Histórico de conformidade;
  • – Medidas de Segurança da Informação.

Todos esses itens podem envolver — entre outros elementos — a realização de visitas no local, verificação de referências e revisão de demonstrações financeiras do fornecedor, políticas de segurança/planos de continuidade de negócios e relatórios de conformidade. Depois de considerar tudo isso, cada fornecedor deve ser classificado com base em suas descobertas — por exemplo, baixo, médio, alto — pois isso influenciará seu programa TPRM de forma mais ampla.

3. Gerenciamento de contratos e integração

Com a decisão tomada de seguir em frente com um terceiro, o seu acordo de nível de serviço (SLA) deve ser definido, bem como indicadores-chave de desempenho (KPIs) específicos que permitirão que você avalie o desempenho contínuo do fornecedor de forma a garantir que ele atenda aos padrões acordados.

Os termos contratuais também devem incluir clareza sobre:

  • – Padrões de desempenho;
  • – Requisitos de conformidade;
  • – Confidencialidade;
  • – Proteção de dados;
  • – Condições de rescisão.

Todos esses termos e condições devem ser influenciados pelos resultados de sua avaliação de risco anterior.

4. Monitoramento e supervisão contínuos

Uma armadilha comum no TPRM é a ideia de que uma vez que você concedeu acesso a terceiros e eles começaram seu trabalho para sua organização, sua due diligence está completa. Mas, para se proteger, você deve continuar monitorando seus fornecedores ao longo do tempo e rastrear a evolução do desempenho, conformidade e perfil de risco de cada um.

As pontuações de risco que você atribui durante a avaliação de risco inicial conduzida como parte do processo de verificação podem ajudá-lo a determinar quanta supervisão cada terceiro precisa, mas você deve continuar a realizar avaliações de risco regulares em seus fornecedores, pois o cenário de ameaças e seu relacionamento comercial provavelmente evoluirão.

Para ajudar a facilitar o monitoramento de KPIs e quaisquer outros mecanismos de auditoria que você decidir implantar para o TPRM, designe um comitê de supervisão que possa garantir que suas práticas de TPRM permaneçam sólidas e alinhadas com as metas organizacionais (e quaisquer requisitos regulatórios aplicáveis).

5. Gerenciamento e resposta a incidentes

Todos esses requisitos devem ajudar sua organização a permanecer isolada das consequências de violações originadas em terceiros escolhidos, mas você ainda deve estar preparado caso algo aconteça. Isso significa que você deve ter processos em vigor e comunicá-los aos seus fornecedores sobre como eles devem relatar incidentes a você, incluindo:

  • – Prazos;
  • – Plano de resposta interna;
  • – Estratégias de comunicação;
  • – Ações corretivas.

Tomando medidas em direção a uma cadeia de suprimentos mais segura

Como você pode ver, embora haja muita coisa que deve ser incluída em um programa TPRM eficaz, é um aspecto extremamente importante da sua segurança cibernética. Lembre-se: você não confiaria a qualquer um a proteção da sua casa sem alguma diligência, então por que não faria o mesmo para o seu negócio e clientes?Para saber mais, clique aqui.

Descubra mais sobre SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading