Carlos Rodrigues (*)
No cenário de negócios interconectado de hoje, empresas de todos os tamanhos terceirizam muitas de suas operações. Isso também significa dar a fornecedores terceirizados acesso a alguns ou a todos os seus dados, incluindo chaves de interface de programação de aplicativos (API), informações confidenciais de clientes e outros dados confidenciais. Fornecedores e parceiros terceirizados tornaram-se uma parte indispensável da maioria das organizações.
O problema? Os cibercriminosos estão bem cientes disso e consideram esses contratados como um alvo estratégico. Um estudo do Ponemon Institute e SecureLink descobriu que 51% das organizações sofreram uma ou mais violações de dados causadas por terceiros. Remediar os danos de tais ataques custa às organizações uma média de US$ 7,5 milhões.
De acordo com a CDNetworks, pequenas empresas, instituições de saúde, agências governamentais, empresas de energia e instalações de ensino superior são os cinco setores que correm maior risco de ameaças cibernéticas, especialmente ataques de ransomware. Os proprietários de empresas devem adotar uma abordagem mais ativa para minimizar as violações de dados, especialmente se operarem em qualquer um desses setores de alto risco.
Como protegemos as informações confidenciais? – Informações confidenciais são dados sigilosos que devem ser armazenados de forma segura e mantidos fora do alcance de todos os externos, a menos que tenham permissão para acessá-los e utilizá-los. Isso inclui registros educacionais, informações de clientes, propriedade intelectual corporativa e dados pessoais, como dados de saúde e informações confidenciais.
Veja como proteger os dados confidenciais da sua organização manipulados e armazenados por fornecedores terceirizados:
. Escolha seus fornecedores com cuidado – Integrar fornecedores terceirizados e dar a eles acesso à sua rede e dados confidenciais sem avaliar o nível de risco de segurança cibernética que eles apresentam é arriscado. Apesar disso, muitas empresas ainda não realizam a devida diligência durante o processo de seleção de fornecedores. A visualização das classificações de segurança de um fornecedor em potencial pode ser um ótimo ponto de partida.
As classificações de segurança permitem determinar a postura de segurança externa, bem como possíveis ameaças. Isso reduz a carga operacional das equipes de gerenciamento de risco de terceiros (TPRM) durante a seleção de fornecedores, diligência prévia, integração, implementação e monitoramento. Além disso, você obtém acesso a relatórios que podem ser compartilhados para correção.
. Incorpore a gestão de riscos ao seu contrato – Embora isso não impeça uma violação de dados de terceiros, responsabilizará os fornecedores caso a postura de segurança se enfraqueça. A incorporação de acordos de nível de serviço (SLAs) no contrato permite que você tenha maior controle sobre o comportamento de gerenciamento de riscos de segurança cibernética.
. Mantenha um inventário de seus fornecedores internos – Não é possível medir o nível de risco que um fornecedor apresenta ao seu ambiente se você não sabe que ele existe e que está operando em sua empresa. Portanto, toda organização deve manter um inventário de fornecedores terceirizados.
Manter um inventário pode parecer simples, mas conhecer todos os fornecedores não é fácil, especialmente se você trabalha em uma grande organização. Como tal, você deve considerar o uso de ferramentas sofisticadas que facilitem o gerenciamento de fornecedores.
. Monitore continuamente os fornecedores quanto a riscos de segurança – A postura de segurança de seus fornecedores pode (e vai) mudar ao longo do contrato. É por isso que você precisa monitorar continuamente os controles de segurança. Muitas organizações contam com avaliações pontuais, como questionários de segurança e auditorias, em vez de monitorar continuamente.
Avaliações pontuais ajudam, mas são apenas instantâneos da postura de uma organização naquele momento. Por outro lado, uma solução de monitoramento de segurança contínuo fornecerá uma avaliação em tempo real das informações e controles de segurança de dados.
. Use o princípio do privilégio mínimo – Os proprietários de empresas muitas vezes cometem o erro de conceder mais acesso a um terceiro do que realmente seria necessário para a realização do trabalho. Setenta e quatro por cento das violações de dados foram causadas por um excessivo fornecimento de acesso privilegiado a terceiros.
Para evitar isso, você precisa de políticas de segurança que incluam um sistema robusto de controle de acesso, baseado em função que siga o princípio de privilégio mínimo (POLP). Esse princípio limita os direitos de acesso de usuários, contas e processos de computação apenas aos necessários para realizar o trabalho em questão.
. Quais são alguns dos desafios da proteção de informações confidenciais tratadas por fornecedores terceirizados? – As empresas geram informações confidenciais — registros de funcionários, detalhes de clientes, esquemas de fidelidade e muito mais — que devem ser protegidos para evitar que os dados sejam usados indevidamente por terceiros para fraudes, como roubo de identidade e golpes de phishing.
A proteção de dados envolve avaliar os riscos de qualquer fonte e corrigir os pontos fracos em toda a sua empresa e sua rede. Os fornecedores terceirizados precisam de seus próprios protocolos de segurança para maior visibilidade de possíveis problemas e para tornar o gerenciamento de riscos de fornecedores terceirizados mais eficaz.
Ter certos protocolos de segurança, como due diligence, avaliações de risco de terceiros e auditorias, ajudará a economizar uma quantidade significativa de tempo e recursos. Proteger informações confidenciais tratadas por fornecedores terceirizados não é fácil. Aqui estão os principais desafios e como superá-los:
. Conhecendo seus dados e obrigações – As leis de privacidade de dados diferem nos tipos de dados que realmente protegem. Enquanto alguns protegem tipos específicos de informações (dados financeiros, dados de saúde), outros são mais flexíveis em sua abordagem.
Muitas leis de privacidade de dados também tratam dados criptografados ou protegidos de forma diferente. Portanto, esteja ciente dos dados que você coleta e das obrigações de conformidade regulatória que você tem para esses dados.
. Verificando diferentes fornecedores – As organizações devem garantir que seus fornecedores que acessam informações confidenciais possam protegê-las adequadamente. Eles podem fazer isso realizando perguntas, para eliminar fornecedores em potencial que não podem ou não cumprirão seus requisitos específicos. Vários elementos entram em jogo ao escolher os fornecedores certos.
Você precisa considerar os relatórios do Service Organization Control (SOC), ter as proteções administrativas, técnicas e físicas apropriadas em vigor e saber mais sobre as políticas de retenção e backup de dados dos fornecedores. Você também deve saber se o fornecedor deseja subcontratar algum trabalho seu e, se o fizer, sepode monitorar efetivamente os riscos do subcontratado.
. Monitoramento regular – A devida diligência e as salvaguardas contratuais não significarão nada se você não puder monitorar o comportamento contínuo de seu fornecedor. Práticas de conformidade e segurança podem mudar repentinamente, ou suas necessidades podem mudar e o fornecedor deixar de atender aos seus requisitos.
Portanto, é fundamental criar procedimentos eficazes para monitorar o comportamento de terceiros.
(*) – É vice-presidente da Varonis (https://www.varonis.com/pt-br/).