A superfície de ataque de uma organização, hoje, vai além da tecnologia que ela controla. Por conta da dependência das empresas de provedores de serviços terceirizados e da proliferação de repositórios de software de código aberto baseados em nuvem, os riscos de incidentes cibernéticos cresce exponencialmente – e se torna mais difícil, para as empresas contratantes, terem visibilidade sobre a segurança de suas informações.
Os relatório “How Top CISOs Are Transforming Third-Party Risk Management”, elaborado pela RSA Conference, demonstra em dados esse cenário desafiador: 87% dos CISOs que participaram da pesquisa foram afetados por um incidente cibernético significativo originado em terceiros nos 12 meses anteriores à pesquisa.
O mesmo estudo mostrou que algumas empresas entrevistadas viram a porcentagem de incidentes envolvendo terceiros crescer 550% nos últimos 3 anos. A pesquisa, de 2023, entrevistou 100 CISOs da Fortune 1000 (que são as mil maiores empresas americanas, classificadas por receita).
Como, então, uma organização pode ter certeza de que os dados confiados aos seus terceirizados estão seguros?
Destacamos 7 aspectos importantes que devem compor uma estratégia de proteção envolvendo terceiros:
1) Avaliação de risco: para verificar a postura de segurança dos fornecedores. Nesse sentido, três equipes podem ser envolvidas: a de cibersegurança, para detectar as falhas no programa de segurança do fornecedor, a equipe jurídica, que vai determinar o risco legal, e a de negócios, que irá prever o impacto negativo nas operações se os dados ou operações forem comprometidos;
2) Due Diligence de Segurança: para conferir se os fornecedores seguem práticas de segurança alinhadas com os padrões da sua empresa. Ou seja, políticas e procedimentos de segurança, controles aplicados e monitoramento contínuo;
3) Contratos e Acordos de Nível de Serviço (SLAs): para definir claramente as responsabilidades e expectativas de segurança nos SLAs;
4) Monitoramento contínuo: engloba a implementação de processospara monitorar continuamente as atividades dos terceiros. SOC e Threat Intel podem ser soluções capazes de apoiar essa iniciativa;
5) Treinamento e conscientização em cibersegurança: a capacitação pode fazer parte da agenda regular dos treinamentos com os colaboradores de terceiros;
6) Gestão de acessos e privilégios: gerir os acessos de terceiros é fundamental, sempre seguindo a abordagem de privilégio mínimo;
7) Auditorias: as auditorias são úteis para validar o que o terceiro tem aplicado em termos de segurança. Nesse caso, é importante que o contrato preveja que a sua empresa possa solicitar auditorias.
Por fim, é importante criar uma cultura de responsabilidade compartilhada e melhoria contínua.
A Redbelt Security está pronta para apoiar o seu negócio
A Redbelt Security pode auxiliar no desenvolvimento de um plano de cibersegurança de acordo com as necessidades da sua empresa. Fale com um de nossos consultores para saber mais.
