Pesquisar

Segurança de terceiros e o Gerenciamento de Risco

A superfície de ataque de uma organização vai além da tecnologia que ela possui ou controla e isso impacta o Gerenciamento de riscos.

O software não é mais aquela prática interna simples que víamos 10 anos atrás e isso impacta diretamente o Gerenciamento de riscos. Hoje, a superfície de ataque de uma organização vai além da tecnologia que ela possui ou controla. Porque os dados passam por muitas mãos. E a cada “mão” adicionada à essa cadeia, as ameaças aumentam enquanto a supervisão se torna mais difícil. Ou seja, quanto mais terceiras e quartas partes uma empresa tiver, mais a segurança sofre.

* Leonel Conti 

É uma superfície de ataque que cresce por conta da dependência das empresas de provedores de serviços terceirizados e da proliferação de repositórios de software de código aberto baseados em nuvem. E muitas vezes, as organizações minimizam essa questão, devido à relação de longa data que mantêm com fornecedores terceirizados.

Se uma empresa está com terceirizado por 10 anos, talvez não veja necessidade de comprometer o relacionamento pedindo mais detalhes sobre como anda a segurança desse fornecedor. Porém, sem total transparência sobre o funcionamento interno de um fornecedor, como uma organização pode ter certeza de que os dados confiados a eles estão seguros? O que quer dizer que um incidente cibernético pode ocorrer a qualquer momento.

O cenário

Um estudo de 2023 da SecurityScorecard, que analisou dados de mais de 235.000 organizações em todo o mundo e mais de 73.000 fornecedores e produtos usados por elas diretamente ou usados pelos fornecedores dos fornecedores (ou seja, pelas quartas partes), traz um cenário de como a interdependência das cadeias de suprimentos digitais modernas impacta a exposição ao risco cibernético organizacional:

  • Para cada fornecedor terceirizado em sua cadeia de suprimentos, as organizações acabam tendo de 60 a 90 relacionamentos indiretos de quarta parte;
  • O estudo descobriu também que 98% das organizações têm relacionamento com pelo menos um terceiro que sofreu uma violação nos últimos dois anos;
  •  Além disso, 50% das organizações têm relacionamentos indiretos com pelo menos 200 fornecedores de quarta parte violados nos últimos dois anos.

Outro relatório sobre o tema Gerenciamento de Riscos foi o elaborado pela RSA Conference, que entrevistou 100 CISOs da Fortune 1000 (que são as mil maiores empresas americanas, classificadas por receita) e descobriu que 87% dos CISOs que participaram da pesquisa foram afetados por um incidente cibernético significativo originado em terceiros nos 12 meses anteriores à pesquisa. O mesmo estudo mostrou que algumas empresas entrevistadas viram a porcentagem de incidentes envolvendo terceiros crescer 550% nos últimos 3 anos.

Sete soluções que precisam compor a estratégia de proteção envolvendo terceiros

  • Avaliação de risco: avalie a postura de segurança dos fornecedores. A equipe de segurança detecta as falhas no programa de segurança do fornecedor, a equipe jurídica determina o risco legal e a de negócios prevê o impacto negativo nas operações se os dados ou operações forem comprometidos;
  • Due Diligence de Segurança: verifique se os fornecedores seguem práticas de segurança alinhadas com os padrões da sua empresa. Ou seja, políticas e procedimentos de segurança, controles aplicados e monitoramento contínuo;
  • Contratos e Acordos de Nível de Serviço (SLAs): defina claramente as responsabilidades e expectativas de segurança nos SLAs;
  • Monitoramento contínuo: implemente processos para monitorar continuamente as atividades dos terceiros. SOC e Threat Intel podem ser soluções capazes de apoiar essa iniciativa;
  • Treinamento e conscientização: faça treinamento para terceiros. A capacitação pode fazer parte da agenda regular dos treinamentos com os colaboradores;
  • Gestão de acessos e privilégios: gerir os acessos de terceiros é fundamental, sempre seguindo a abordagem de privilégio mínimo;
  • Auditoria: aplique, já com descrição em contrato, que a sua empresa pode solicitar auditorias para validar o que o terceiro tem aplicado.
  • Cultura de responsabilidade compartilhada e melhoria contínua, envolvendo outras áreas

    Adotar uma abordagem de equipe significa que o CISO não precisa arcar sozinho com a responsabilidade de reduzir o risco de um fornecedor terceirizado. Se as equipes de TI e de negócios apoiarem o líder de segurança na verificação de fornecedores terceirizados, isso prepara o terreno para futuras colaborações entre equipes. E mais: aumenta a adesão da organização e produz melhores resultados quando se trata de segurança.

    *Leonel Conti é Diretor de tecnologia da Redbelt Security.

Picture of Eduardo Boni

Eduardo Boni

Jornalista e Diretor de Conteúdo do Portal Security Business

Fale com a Security Business

Ative o JavaScript no seu navegador para preencher este formulário.
  • United States+1
  • United Kingdom+44
  • Afghanistan+93
  • Albania+355
  • Algeria+213
  • American Samoa+1
  • Andorra+376
  • Angola+244
  • Anguilla+1
  • Antigua & Barbuda+1
  • Argentina+54
  • Armenia+374
  • Aruba+297
  • Ascension Island+247
  • Australia+61
  • Austria+43
  • Azerbaijan+994
  • Bahamas+1
  • Bahrain+973
  • Bangladesh+880
  • Barbados+1
  • Belarus+375
  • Belgium+32
  • Belize+501
  • Benin+229
  • Bermuda+1
  • Bhutan+975
  • Bolivia+591
  • Bosnia & Herzegovina+387
  • Botswana+267
  • Brazil+55
  • British Indian Ocean Territory+246
  • British Virgin Islands+1
  • Brunei+673
  • Bulgaria+359
  • Burkina Faso+226
  • Burundi+257
  • Cambodia+855
  • Cameroon+237
  • Canada+1
  • Cape Verde+238
  • Caribbean Netherlands+599
  • Cayman Islands+1
  • Central African Republic+236
  • Chad+235
  • Chile+56
  • China+86
  • Christmas Island+61
  • Cocos (Keeling) Islands+61
  • Colombia+57
  • Comoros+269
  • Congo - Brazzaville+242
  • Congo - Kinshasa+243
  • Cook Islands+682
  • Costa Rica+506
  • Croatia+385
  • Cuba+53
  • Curaçao+599
  • Cyprus+357
  • Czechia+420
  • Côte d’Ivoire+225
  • Denmark+45
  • Djibouti+253
  • Dominica+1
  • Dominican Republic+1
  • Ecuador+593
  • Egypt+20
  • El Salvador+503
  • Equatorial Guinea+240
  • Eritrea+291
  • Estonia+372
  • Eswatini+268
  • Ethiopia+251
  • Falkland Islands+500
  • Faroe Islands+298
  • Fiji+679
  • Finland+358
  • France+33
  • French Guiana+594
  • French Polynesia+689
  • Gabon+241
  • Gambia+220
  • Georgia+995
  • Germany+49
  • Ghana+233
  • Gibraltar+350
  • Greece+30
  • Greenland+299
  • Grenada+1
  • Guadeloupe+590
  • Guam+1
  • Guatemala+502
  • Guernsey+44
  • Guinea+224
  • Guinea-Bissau+245
  • Guyana+592
  • Haiti+509
  • Honduras+504
  • Hong Kong SAR China+852
  • Hungary+36
  • Iceland+354
  • India+91
  • Indonesia+62
  • Iran+98
  • Iraq+964
  • Ireland+353
  • Isle of Man+44
  • Israel+972
  • Italy+39
  • Jamaica+1
  • Japan+81
  • Jersey+44
  • Jordan+962
  • Kazakhstan+7
  • Kenya+254
  • Kiribati+686
  • Kosovo+383
  • Kuwait+965
  • Kyrgyzstan+996
  • Laos+856
  • Latvia+371
  • Lebanon+961
  • Lesotho+266
  • Liberia+231
  • Libya+218
  • Liechtenstein+423
  • Lithuania+370
  • Luxembourg+352
  • Macao SAR China+853
  • Madagascar+261
  • Malawi+265
  • Malaysia+60
  • Maldives+960
  • Mali+223
  • Malta+356
  • Marshall Islands+692
  • Martinique+596
  • Mauritania+222
  • Mauritius+230
  • Mayotte+262
  • Mexico+52
  • Micronesia+691
  • Moldova+373
  • Monaco+377
  • Mongolia+976
  • Montenegro+382
  • Montserrat+1
  • Morocco+212
  • Mozambique+258
  • Myanmar (Burma)+95
  • Namibia+264
  • Nauru+674
  • Nepal+977
  • Netherlands+31
  • New Caledonia+687
  • New Zealand+64
  • Nicaragua+505
  • Niger+227
  • Nigeria+234
  • Niue+683
  • Norfolk Island+672
  • North Korea+850
  • North Macedonia+389
  • Northern Mariana Islands+1
  • Norway+47
  • Oman+968
  • Pakistan+92
  • Palau+680
  • Palestinian Territories+970
  • Panama+507
  • Papua New Guinea+675
  • Paraguay+595
  • Peru+51
  • Philippines+63
  • Poland+48
  • Portugal+351
  • Puerto Rico+1
  • Qatar+974
  • Romania+40
  • Russia+7
  • Rwanda+250
  • Réunion+262
  • Samoa+685
  • San Marino+378
  • Saudi Arabia+966
  • Senegal+221
  • Serbia+381
  • Seychelles+248
  • Sierra Leone+232
  • Singapore+65
  • Sint Maarten+1
  • Slovakia+421
  • Slovenia+386
  • Solomon Islands+677
  • Somalia+252
  • South Africa+27
  • South Korea+82
  • South Sudan+211
  • Spain+34
  • Sri Lanka+94
  • St. Barthélemy+590
  • St. Helena+290
  • St. Kitts & Nevis+1
  • St. Lucia+1
  • St. Martin+590
  • St. Pierre & Miquelon+508
  • St. Vincent & Grenadines+1
  • Sudan+249
  • Suriname+597
  • Svalbard & Jan Mayen+47
  • Sweden+46
  • Switzerland+41
  • Syria+963
  • São Tomé & Príncipe+239
  • Taiwan+886
  • Tajikistan+992
  • Tanzania+255
  • Thailand+66
  • Timor-Leste+670
  • Togo+228
  • Tokelau+690
  • Tonga+676
  • Trinidad & Tobago+1
  • Tunisia+216
  • Turkey+90
  • Turkmenistan+993
  • Turks & Caicos Islands+1
  • Tuvalu+688
  • U.S. Virgin Islands+1
  • Uganda+256
  • Ukraine+380
  • United Arab Emirates+971
  • United Kingdom+44
  • United States+1
  • Uruguay+598
  • Uzbekistan+998
  • Vanuatu+678
  • Vatican City+39
  • Venezuela+58
  • Vietnam+84
  • Wallis & Futuna+681
  • Western Sahara+212
  • Yemen+967
  • Zambia+260
  • Zimbabwe+263
  • Åland Islands+358

Compartilhe este artigo

Veja também

NEWSLETTER

Ative o JavaScript no seu navegador para preencher este formulário.

NEWSLETTER

Ative o JavaScript no seu navegador para preencher este formulário.