Queria abordar um tema ainda pouco valorizado, mas que eu acredito que vai cada dia que passa ganhar relevância, que é a gestão de riscos de terceiros, e hoje mais especificamente com a visão de segurança cibernética, dado que muitos dos ataques bem sucedidos entram na sua empresa por terceiros, assim como se um dos seus fornecedores sair do ar pode lhe causar sérios impactos, então ainda que seja um problema primário dele, pode acabar sobrando para você também.
As empresas confiam a proteção de seus ativos mais valiosos como dados de clientes, reputação, finanças e disponibilidade de negócios, a terceiros. Então apenas um incidente de segurança envolvendo um destes terceiros é por extensão um incidente que afeta diretamente a empresa contratante, o que aumenta questões críticas sobre a confiabilidade desses terceiros: eles são dignos de confiança? Por que sim ou por que não? E o que deve ser feito a respeito?
Essas são perguntas que as empresas devem responder e agir de acordo, evidenciando a necessidade de um gerenciamento de riscos robusto e proativo para proteger seus interesses.
Essa gestão precisa ser alcançada lidando com dezenas, ou até centenas de empresas, isto sabendo de que está não está lá dentro do dia a dia, ou definindo suas estratégias e investimentos, e para piorar o desafio, ainda deve ser realizado com recursos e pessoal limitados.
O gerenciamento de riscos de terceiros não é apenas sobre mitigar riscos para uma única empresa; é sobre melhorar a segurança na Internet como um todo. Ao aprimorar as capacidades de gerenciamento de riscos dos terceiros, melhora-se a segurança de toda a rede, diminuindo assim a probabilidade de violações de dados, reduzindo o risco de ataques de negação de serviço distribuído (DDoS), ou servidores de malware e aumentando a probabilidade de os sistemas cumprirem de forma confiável seus propósitos pretendidos, ou seja, o trabalho de gerenciamento de riscos de terceiros vai além do interesse próprio; é um esforço em prol do bem maior.
Então vamos falar mais abaixo sobre algumas das práticas e capacidades de gerenciamento de riscos de segurança de terceiros, que vieram de dicas de experiência de alguns executivos de risco de 30 empresas, da qual podemos resumir em 14 capacidades, que abrangem 72 práticas comuns.
Podemos dividir isto em três categorias principais: Gestão de Programa, Avaliação de Risco e Monitoramento & Resposta.
1) Gestão de Programa:
Esta seção enfoca a fundação necessária para um programa eficaz de gerenciamento de risco de terceiros. Inclui:
- Governança: Definição de políticas e procedimentos.
- Treinamento e Conscientização: Educando partes internas e terceiros sobre requisitos de segurança.
- Identificação de Terceiros e Rastreamento de Riscos: Processos para identificar e rastrear terceiros e seus riscos associados.
- Jurídico e Aquisições: Assegurar que os terceiros cumpram os requisitos de segurança contratualmente.
2) Avaliação de Risco:
Detalha o processo de avaliar e gerenciar os riscos inerentes e residuais associados a terceiros, incluindo:
- Avaliação de Risco Inerente: Identificação e classificação dos riscos antes de quaisquer controles.
- Gestão de Recursos de Risco e Engajamento de Avaliação de Terceiros: Alocação de recursos baseada no risco residual e engajamento para avaliações.
- Tratamento de Risco: Processos para tratar e mitigar riscos identificados.
3) Monitoramento & Resposta:
Foca em práticas para monitorar continuamente e responder a condições perigosas, incluindo:
- Caça a Condições Perigosas e Triagem de Vulnerabilidades Críticas: Práticas emergentes para detectar e agir rapidamente sobre eventos de segurança e vulnerabilidades.
- Consciência de Terceiros e Quarteiros e Consciência Geográfica: Monitoramento de terceiros significativos e suas localizações geográficas para gerenciamento de risco.
Queria voltar e detalhar melhor cada uma destas etapas e tarefas, destacando práticas comuns, emergentes e pioneiras em três áreas principais: Gestão de Programa, Avaliação de Risco, e Monitoramento e Resposta.
1) Gestão de Programa:
1.A) Práticas Comuns:
- Governança: Estabelecimento de políticas que definem os resultados desejados em termos de risco de terceiros. Padrões e procedimentos operacionais fornecem a estrutura para atingir esses objetivos.
- Treinamento: Treinamento de partes interessadas internas sobre suas responsabilidades no gerenciamento de risco de terceiros.
- Descoberta: Integração do gerenciamento de risco de terceiros aos processos de aquisição e contratação, com revisões periódicas da base de dados de fornecedores.
- Rastreamento: Uso de um banco de dados central para monitorar terceiros.
- Jurídico e Aquisições: Compromisso contratual dos terceiros em cumprir os requisitos de segurança e conceder direitos de auditoria, com aprovação executiva para exceções.
1.B) Práticas Novas:
- Governança: Medição e reporte dos resultados do programa de gerenciamento de risco de segurança de terceiros.
- Descoberta: Descoberta de terceiros não gerenciados por meio da análise de registros de atividades web.
- Rastreamento: Uso de um registro formal de riscos para monitorar questões de risco.
- Jurídico e Aquisições: Exigência de que fornecedores existentes resolvam questões materiais antes da renovação ou expansão de contratos.
1.C) Práticas Pioneiras:
- Treinamento: Fornecimento de treinamento sobre requisitos de segurança para terceiros e organização de eventos de conscientização de segurança.
- Descoberta: Desenvolvimento de relações com proprietários de negócios para apoiar novas e existentes relações com fornecedores.
2) Avaliação de Risco:
2.A) Práticas Comuns:
- Avaliação de Risco Inerente: Implementação de um framework para avaliar o risco inerente de terceiros, atribuindo a cada fornecedor uma classificação de risco inerente.
- Gestão de Recursos de Risco: Definição da frequência e escopo da avaliação de terceiros baseada na classificação de risco inerente.
- Engajamento de Avaliação de Terceiros: Realização de avaliações de terceiros conforme padrões estabelecidos e discussão sobre questões abertas de avaliações anteriores.
- Tratamento de Risco: Compartilhamento dos resultados da avaliação com o fornecedor e partes interessadas internas, responsabilização dos fornecedores pela resolução de questões e registro dos resultados em um registro de riscos.
2.B) Práticas Novas:
- Avaliação Contínua da Superfície: Manutenção de um entendimento atualizado da exposição de terceiros por meio da avaliação contínua das condições de risco de superfície.
- Gestão de Recursos de Risco: Determinação da frequência de avaliação com base no risco residual, considerando a classificação de risco inerente e os resultados de avaliações anteriores ou contínuas.
- Engajamento de Avaliação de Terceiros: Ajuste do plano de avaliação com base nos resultados da avaliação contínua da superfície.
- Tratamento de Risco: Utilização da capacidade de avaliação contínua da segurança da superfície para monitorar áreas de preocupação para melhoria e fornecimento de acesso contínuo aos resultados de avaliação da superfície para os próprios terceiros.
3) Monitoramento e Resposta:
3.A) Práticas novas:
- Caça a Condições Perigosas: Monitoramento sistemático de terceiros para eventos de segurança, como violações de dados e comprometimentos de segurança, com definição de procedimentos de resposta para eventos de violação por terceiros.
- Triagem de Vulnerabilidades Críticas: Fornecimento de avisos de risco sobre vulnerabilidades críticas para terceiros e manutenção da consciência sobre o software operando nos sistemas de superfície de terceiros por meio da avaliação contínua da segurança da superfície.
3.B) Práticas Pioneiras:
- Caça a Condições Perigosas: Manutenção de uma lista de condições perigosas que não são permitidas nos ambientes de terceiros, engajamento tático com terceiros para abordar condições de segurança perigosas.
- Triagem de Vulnerabilidades Críticas: Escalonamento da prioridade de terceiros conhecidos por estarem expostos à vulnerabilidade crítica com base em dados de avaliação contínua da segurança da superfície.
- Consciência de Quarteirização: Conhecimento sobre provedores de serviços do portfólio de terceiros, monitoramento de quarteirizações significativas para violações de segurança e interrupções operacionais, desenvolvimento e aplicação de padrões de avaliação de controle para uso significativo de quarteirizações por terceiros.
- Consciência Geolocalização: Conhecimento sobre as geolocalizações dos sistemas de terceiros, monitoramento de geografias ilegais ou arriscadas que podem mudar devido a regulamentações, tensões geopolíticas ou desastres naturais.
Vamos agora detalhar ainda mais cada uma delas:
1) Gestão do Programa:
1.A) Governança:
Estabelecimento de Políticas e Padrões
A criação de políticas que definem claramente os resultados desejados em termos de riscos de terceiros é um passo inicial crítico. Estas políticas comprometem formalmente a organização com os objetivos de risco declarados. Para apoiar essas políticas, padrões e procedimentos operacionais são implementados, fornecendo o framework necessário para alcançar os objetivos de política. Esses padrões definem os critérios contra os quais o risco de segurança de terceiros é avaliado, enquanto os procedimentos detalham como os riscos inerentes e de desempenho dos terceiros são medidos e avaliados.
Por Que a Governança é Importante
As políticas estabelecidas formalmente asseguram que a organização esteja alinhada em seus objetivos de gerenciamento de risco, enquanto os padrões e procedimentos asseguram que estes objetivos sejam atingíveis. Essa estrutura leva a investimentos em pessoas, processos e tecnologia que são essenciais para o gerenciamento eficaz do risco.
Como Implementar a Governança Eficaz
A implementação de políticas e padrões eficazes de gerenciamento de riscos de terceiros requer colaboração entre as principais partes interessadas e a administração executiva. Isso muitas vezes envolve educar os tomadores de decisão sobre o valor do gerenciamento de riscos de terceiros, discutindo opções de políticas de forma transparente em relação aos benefícios, limitações e custos.
Adoção de Práticas de Governança
A adoção das práticas de governança entre as empresas reflete um reconhecimento generalizado de sua importância:
- Estabelecimento de Políticas: grande maioria das empresas já têm políticas estabelecidas que declaram os resultados desejados do risco de terceiros.
- Definição de Padrões: a maioria também já define padrões que avaliam o risco de segurança de terceiros.
- Implementação de Procedimentos: Grande parte já implementa procedimentos tanto para medir o risco inerente dos terceiros quanto para avaliar o desempenho de risco de terceiros.
- Diferenciação de Risco Inerente: Um grupo grande conta com procedimentos de avaliação que levam em conta as diferenças no risco inerente de terceiros.
- Integração com Parceiros Essenciais: muitos já têm um programa de risco de terceiros com parceiros essenciais da empresa, como compras, jurídico e conformidade.
- Medição e Relatório de Atividades: Boa parte já mede e relata as atividades deste programa, mas poucos são os que medem e relatam os resultados de risco do programa, indicando uma área de prática emergente onde há espaço para crescimento e desenvolvimento.
1.B) Treinamento e Conscientização:
- Promoção do Programa de Risco de Terceiros
É fundamental promover o programa de risco de terceiros, informando as partes interessadas sobre as políticas, padrões e procedimentos relevantes. Manter os terceiros informados sobre os requisitos de desempenho é essencial para assegurar que eles possam ativamente endereçar e fechar lacunas potenciais em sua segurança.
- Por Que Treinamento e Conscientização são Importantes
Para Partes Interessadas Internas:
Educar as partes interessadas internas sobre o risco de terceiros e suas responsabilidades garante que o programa seja integrado com sucesso em suas operações. Isso habilita uma abordagem mais colaborativa e consciente no gerenciamento desses riscos.
Para Terceiros:
Informar os terceiros sobre as expectativas de gerenciamento de risco permite que eles se antecipem e tratem proativamente as deficiências de segurança.
Como Implementar Efetivamente
Programa de Treinamento:
Desenvolver um programa de treinamento de gerenciamento de risco de terceiros que esclareça aos stakeholders suas responsabilidades específicas e motive sua participação é fundamental. Isso inclui fornecer atualizações periódicas sobre as expectativas de desempenho de segurança e realizar reuniões periódicas com terceiros críticos para colaboração direta em riscos.
Conscientização de Segurança:
A organização de eventos de conscientização de segurança gerais para a comunidade de terceiros ajuda a manter todos os fornecedores alinhados com as práticas e políticas de segurança da organização.
Adoção das Práticas de Treinamento e Conscientização
As práticas de treinamento e conscientização variam em adoção, refletindo diferentes estágios de implementação entre as empresas:
Treinamento de Partes Interessadas Internas:
a maior parte das empresas já fornece treinamento sobre a conscientização e o processo de gerenciamento de risco de segurança de terceiros para suas partes interessadas internas, marcando isso como uma prática comum.
Treinamento de Terceiros:
Mas muito poucas são as que já treinam os terceiros sobre os requisitos de segurança do fornecedor, categorizando isso como uma prática pioneira, o que sugere uma área de oportunidade para muitas empresas melhorarem a segurança em toda a sua cadeia de suprimentos.
Requisitos de Treinamento para Pessoal de Terceiros: Apenas poucas são as que exigem que o pessoal de terceiros com acesso sensível aos ativos da empresa tome treinamento individualizado em conscientização de segurança e políticas, também classificado como pioneiro.
Reuniões Periódicas com Fornecedores Críticos: Muito poucas são as empresas que já realizam reuniões periódicas com seus fornecedores mais críticos para discutir preocupações de segurança atuais e emergentes, uma prática ainda emergente na sua adoção.
Eventos de Conscientização de Segurança: a realização periódica de eventos de conscientização de segurança para a comunidade de terceiros é adotada por muito poucos, destacando uma abordagem inovadora para manter uma cultura de segurança robusta entre os terceiros.
1.C) Identificação de Terceiros:
Estabelecimento de Processos:
A implementação de processos para identificar novos terceiros e as alterações nos já existentes é fundamental. Isso é crítico porque uma empresa não pode gerenciar o que não conhece. Ao identificar ativamente novos terceiros e mudanças, a organização pode garantir que seus processos de gerenciamento de riscos sejam engajados de forma eficaz.
Por Que a Identificação é Importante:
A identificação adequada e tempestiva de terceiros permite que a empresa aplique seus processos de gerenciamento de riscos de forma proativa, assegurando que todos os riscos potenciais sejam gerenciados desde o início e ao longo do tempo.
Como Implementar a Identificação Efetiva:
Análise do Banco de Dados de Fornecimento: Para programas novos, uma análise inicial do banco de dados de fornecimento é sugerida para estabelecer uma população inicial de terceiros. Esta análise deve ser periodicamente repetida para identificar qualquer fornecedor que possa ter sido inicialmente omitido.
Integração com Processos de Aquisição e Gerenciamento de Projetos: Engajar novos fornecedores através de portões explícitos no processo de aquisição e vincular-se ao programa de gerenciamento de projetos e proprietários de negócios para identificar precocemente novos terceiros e aqueles anteriormente não reconhecidos.
Práticas e Adoção para Identificação de Terceiros:
As práticas para a identificação de terceiros variam desde abordagens comuns até iniciativas pioneiras, refletindo diferentes níveis de maturidade entre as empresas:
Utilização de Registros Ativos de Fornecedores: Um bom número de empresas já semeiam seu programa com registros ativos de fornecedores no banco de dados de aquisição, marcando isso como uma prática comum.
Padrões de Processo de Aquisição: Muitas já implementam padrões explícitos no processo de aquisição para contratar novos terceiros, e para envolver-se em mudanças materiais nas relações com fornecedores existentes, também uma prática comum.
Padrões de Processo de TI: Poucas empresas já implementam padrões explícitos nos processos de TI para envolvimento em projetos que requerem novos terceiros ou mudanças nos existentes, categorizado como emergente.
Construção de Relacionamentos com Proprietários de Negócios: Poucas são as que já trabalham ativamente para construir relacionamentos com proprietários de negócios para identificar necessidades relacionadas a novos e existentes relacionamentos com terceiros, uma prática pioneira.
Análise Periódica do Banco de Dados de Fornecedores: Maioria já realizam análises periódicas do banco de dados de fornecedores para identificar terceiros não gerenciados anteriormente, considerada uma prática comum.
Análise de Logs de Tráfego de Rede/Atividade Web: Poucas analisam logs de tráfego de rede e atividade web para identificar terceiros não gerenciados, uma prática emergente.
1.D) Rastreamento de Risco de Terceiros:
Documentação Centralizada e Rastreamento:
A implementação de um sistema centralizado para documentar e rastrear terceiros, seus atributos de risco, contexto de negócios e questões é essencial. Isso não só facilita a gestão proativa dos riscos inerentes e residuais associados a cada terceiro mas também permite uma análise e relatórios eficientes sobre o perfil de risco da empresa em relação aos seus terceiros.
Por Que o Rastreamento é Importante:
Gerenciamento de Risco: O rastreamento eficaz dos riscos de terceiros é pré-requisito para um gerenciamento de risco adequado. Isso permite uma compreensão detalhada do risco inerente de cada terceiro e do contexto de negócios associado, essencial para a tomada de decisões informadas.
Resolução de Questões: O rastreamento de questões permite as empresas compreender e mitigar os riscos residuais associados aos terceiros, facilitando a resolução de problemas de segurança e conformidade.
Como Implementar o Rastreamento Efetivo:
Sistema Centralizado: Utilize um sistema centralizado que possa documentar e rastrear terceiros, seus atributos de risco, contexto de negócios e questões. Este sistema deve ser capaz de suportar análises detalhadas e a geração de relatórios que informem a gestão de risco de terceiros.
Práticas e Adoção para Rastreamento de Risco de Terceiros:
As práticas de rastreamento de risco de terceiros e suas adoções refletem a importância e a complexidade deste processo:
Registros de Aquisição: Uma boa parte das empresas já tem registros de aquisição que podem ser prontamente analisados, marcando isso como uma prática comum.
Banco de Dados Central: Um bom grupo rastreiam o risco de terceiros em um banco de dados central, também considerado uma prática comum.
Registro de Risco: Não tantas empresas têm um registro de risco para rastrear as questões associadas aos terceiros, indicando uma prática comum.
Risco Residual de Terceiros: Embora não haja dados específicos sobre a adoção, a prática de rastrear o risco residual de terceiros, fatorando a classificação de risco inerente com o desempenho de avaliação, é reconhecida como uma prática crítica, mas a adoção específica não foi documentada.
1.E) Jurídico e Aquisições no Gerenciamento de Risco de Terceiros:
Implementação de Requisitos Contratuais:
Os requisitos de desempenho de segurança e o direito de realizar auditorias são estabelecidos contratualmente, assegurando que os terceiros estejam cientes de suas obrigações e das expectativas da organização. A inclusão de cláusulas que exigem a notificação de qualquer violação de segurança significativa é fundamental para uma resposta rápida e eficaz a incidentes.
Por Que os Requisitos Contratuais são Importantes:
Motivação para os Terceiros: As obrigações contratuais incentivam os terceiros a implementar um programa básico de gerenciamento de riscos, promovendo uma base de transparência e responsabilidade.
Alavancagem de Eventos de Compra: A emissão de novos contratos de compra pode servir como um ponto de alavancagem significativo para motivar os terceiros a resolver questões pendentes, reforçando a importância de manter altos padrões de segurança.
Como Implementar Requisitos Contratuais Eficazes:
Desenvolvimento de Linguagem Contratual: Crie uma linguagem contratual modelo que estabeleça os requisitos de desempenho de risco e inclua esses termos nos contratos, especialmente onde o risco inerente assim o exigir. As exceções só devem ser permitidas após consideração séria e aceitação formal do risco pela gestão executiva.
Uso de Eventos de Compra como Alavancagem: Utilize eventos de compra para incentivar os terceiros a resolverem questões abertas, garantindo assim a aderência aos requisitos de segurança estipulados.
Práticas e Adoção para Aspectos Legais e de Aquisições:
A adoção de práticas contratuais para o reforço de requisitos de segurança mostra uma clara tendência para a formalização de expectativas de segurança:
Compromisso Contratual de Terceiros: a maior parte das empresas já exigem contratualmente que terceiros atendam aos requisitos de desempenho de risco de segurança, ou seja, uma prática comum.
Obrigação Contratual para Auditorias: quase todas já obrigam contratualmente os terceiros a permitir auditorias de desempenho de risco de segurança, indicando uma alta adoção dessa prática.
Notificação de Violações de Segurança: quase todas também exigem que os terceiros notifiquem prontamente sobre qualquer violação de dados ou eventos de segurança significativos, refletindo a importância dessa transparência.
Aprovação Executiva para Exceções: uma boa parte requerem a aprovação executiva para exceções aos termos de gerenciamento de risco contratual, promovendo uma gestão de risco rigorosa.
Resolução de Questões para Novos Fornecedores: mas nem todas já exigem que novos fornecedores resolvam questões materiais antes da concessão de pedidos de compra, enquanto poucas fazem exigências semelhantes para fornecedores existentes antes da expansão de contratos, mostrando uma abordagem emergente para garantir a conformidade contínua.
2) Gestão de Riscos:
2.A) Avaliação do Risco Inerente de Terceiros:
Conhecimento dos Riscos Inerentes:
O conhecimento dos riscos inerentes ao fazer negócios com cada terceiro é fundamental. Isso inclui uma compreensão dos ativos em risco e dos possíveis resultados negativos de uma falha de segurança, fornecendo uma base sólida para decisões informadas sobre gerenciamento de riscos.
Por Que a Avaliação do Risco Inerente é Importante:
Fundamentação para o Gerenciamento de Riscos: Compreender os riscos inerentes associados a cada terceiro permite identificar o que está em jogo e informa sobre quais riscos precisam ser gerenciados e em que grau.
Base para Ação: Este conhecimento ajuda a determinar as ações necessárias para mitigar riscos de forma eficaz, garantindo que esforços e recursos sejam adequadamente alocados.
Como Realizar a Avaliação do Risco Inerente Efetivamente:
Implementação de um Framework: Adote um framework consistente para atribuir a cada terceiro uma classificação de risco inerente, utilizando diversos níveis de risco para segmentar significativamente o portfólio.
Diferenciação Baseada em Atributos: Classifique os níveis de risco inerente com base em atributos específicos, como os ativos e serviços expostos, conectividade e outros fatores relevantes.
Práticas e Adoção da Avaliação do Risco Inerente:
A adoção de práticas para avaliar o risco inerente entre as empresas destaca a importância atribuída a este aspecto do gerenciamento de riscos:
Framework para Avaliação do Risco Inerente: a maioria das empresas já implementaram um framework para avaliar o risco inerente de terceiros, refletindo uma prática comum.
Critérios Simples no Processo de Aquisição: muitas delas já implementam critérios simples no processo de aquisição para ajudar os agentes de compra a identificar fornecedores que requerem avaliação de risco profissional, também uma prática comum.
Classificação de Risco Inerente para Cada Terceiro: boa parte das empresas já atribuem uma classificação de risco inerente a cada terceiro, demonstrando uma abordagem padronizada para a avaliação de riscos.
Documentação de Atributos de Risco Inerente: boa parte já documentam atributos de risco inerente, como serviços, tipos de dados, tipos de transação e conectividade, indicando um entendimento detalhado dos riscos.
Revisão Periódica de Relacionamentos: poucas são as empresas que hoje revisam periodicamente os relacionamentos com terceiros para mudanças materiais no risco inerente, mostrando um compromisso com a manutenção da relevância e precisão na avaliação de riscos.
2.B) Avaliação Contínua do Risco de Superfície:
Manutenção do Conhecimento Atualizado:
A manutenção de um entendimento atual sobre a exposição de terceiros, avaliando continuamente as condições de risco de superfície de terceiros, é crucial para uma abordagem proativa de gerenciamento de riscos. Isso permite uma visão objetiva do desempenho do programa de gestão de riscos de um terceiro, além de possibilitar a identificação e triagem rápida de condições perigosas.
Por Que a Avaliação Contínua é Importante:
Visão Objetiva do Desempenho: Diferente das avaliações baseadas em declarações que indicam os investimentos feitos em gestão de riscos, os dados de avaliação contínua de segurança de superfície fornecem uma medida objetiva de como os programas são implementados e operados.
Identificação e Triagem de Condições Perigosas: Facilita o engajamento inteligente, permitindo que as empresas se concentrem em áreas de fraqueza conhecidas e minimizem o foco em áreas de força conhecida.
Como Implementar Avaliação Contínua Eficazmente:
Descoberta Contínua de Ativos Expostos na Internet: Implemente capacidades para descobrir continuamente ativos voltados para a internet dos fornecedores e coletar medidas de segurança do sistema relevantes e inteligência relacionada, como eventos de perda de dados, reputação de IP e atividade de inteligência de ameaças.
Análise de Dados para Medir o Desempenho: Desenvolva a capacidade de analisar esses dados para medir o desempenho de segurança de terceiros e identificar condições e eventos perigosos. Implemente alertas de risco baseados em eventos para identificar eficientemente condições de terceiros que requerem atenção.
Práticas e Adoção da Avaliação Contínua do Risco de Superfície:
A adoção dessas práticas de avaliação contínua do risco de superfície está começando, com poucas empresas já engajadas em:
Manutenção do Perfil de TI da Internet de Terceiros: Isso inclui domínios, redes, sistemas, provedores de hospedagem de sistemas e geolocalizações de sistemas.
Conhecimento Atualizado de Software e Configurações de Segurança: Mantendo-se informado sobre o software de superfície da Internet dos terceiros e as configurações de segurança do sistema.
Monitoramento Sistemático de Feeds de Inteligência de Ameaças: E canais de alerta de violação de dados, correlacionando esses dados com o perfil de TI de superfície de terceiros.
Manutenção de um Perfil de Desempenho de Risco Contínuo: Para cada terceiro, analisando continuamente os dados do perfil de TI da Internet, configurações de segurança de superfície e feeds de inteligência de ameaças.
2.C) Gerenciamento de Recursos de Risco:
Alocação de Recursos Baseada em Exposição Residual
Alocar recursos de avaliação de risco de maneira proporcional à exposição ao risco residual de terceiros, levando em conta o risco inerente, os resultados de avaliações anteriores e dados de avaliações contínuas do risco de superfície, é crucial para otimizar o gerenciamento de riscos.
Por Que a Alocação Baseada em Exposição Residual é Importante
Melhoria de Desempenho: Focar a atenção dos analistas em terceiros de baixo desempenho, com o objetivo de melhorar seu desempenho de segurança, maximiza a eficácia dos esforços de gerenciamento de riscos.
Eficiência Escalável: Evita o desperdício de tempo avaliando excessivamente terceiros que já são considerados de alto desempenho, permitindo uma abordagem mais escalável ao gerenciamento de riscos.
Como Implementar um Gerenciamento de Recursos Efetivo
Alocação Baseada em Risco Residual: Recursos devem ser alocados com base no risco residual, em vez do risco inerente. O risco residual é calculado considerando o risco inerente juntamente com os resultados de avaliações anteriores e dados de avaliações contínuas de risco de superfície.
Ajuste de Frequência e Profundidade de Avaliações: A frequência e a profundidade das avaliações devem ser ajustadas com base no desempenho do terceiro, aumentando para terceiros de baixo desempenho e diminuindo para aqueles de alto desempenho. Por exemplo: Crítico: Avaliação a cada 12 meses para desempenho fraco, e a cada 18 meses para forte desempenho. Alto: Avaliação a cada 12 meses para desempenho fraco, e a cada 24 meses para forte desempenho. Médio: Avaliação a cada 24 meses para desempenho fraco, e a cada 36 meses para forte desempenho.
2,D) Engajamento de Avaliação de Terceiros:
Execução Periódica de Avaliações
A execução periódica de avaliações de acesso privilegiado permite uma compreensão abrangente do programa de gerenciamento de riscos de segurança dos terceiros. Ajustar o plano de avaliação com base no risco inerente do terceiro e em forças e fraquezas conhecidas possibilita um foco mais direcionado e eficaz nas áreas que mais necessitam de atenção.
Por Que o Engajamento de Avaliação é Importante
Visão Abrangente: Avaliações com acesso privilegiado fornecem uma visão detalhada do programa de gerenciamento de riscos do terceiro, o que é essencial para medir a exposição ao risco de forma precisa.
Melhoria Direcionada: Com base nessa visão abrangente, é possível prescrever recomendações para melhorias direcionadas, tanto em nível tático quanto sistêmico.
Como Implementar Avaliações Efetivas
Preparação para a Avaliação: Revisar avaliações anteriores e dados de avaliação contínua de risco de superfície para entender o perfil de TI do terceiro, incluindo provedores de hospedagem, localizações geográficas e pilha tecnológica.
Ajuste do Plano de Avaliação: Modificar o plano de avaliação para se aprofundar em áreas de fraqueza de controle e reduzir o foco em áreas de força, utilizando dados objetivos de avaliação de risco de superfície para informar sobre a eficácia do programa de gerenciamento de riscos do terceiro e validar suas reivindicações.
Práticas e Adoção de Engajamento de Avaliação de Terceiros
As práticas de engajamento na avaliação de terceiros variam em adoção, refletindo uma combinação de abordagens comuns e pioneiras:
Avaliações de Empresa de Terceiros: a grande maioria já realizam avaliações empresariais de terceiros de acordo com padrões e metodologias estabelecidos, uma prática comum.
Discussão sobre Questões Abertas: boa parte já discutem o status de questões abertas de avaliações anteriores com o terceiro, também uma prática comum.
Ajuste do Plano de Avaliação Baseado em Avaliações Anteriores: mas poucas já ajustam o plano de avaliação com base nos resultados de engajamentos de avaliação anteriores, uma prática que se torna mais comum.
Ajuste do Plano de Avaliação Baseado em Avaliações de Risco de Superfície: muito poucas ajustam o plano de avaliação com base nos resultados de avaliações contínuas de risco de superfície, uma prática ainda pioneira.
2.E) Tratamento de Riscos com Terceiros:
Engajamento para Endereçar Lacunas de Desempenho
Engajar-se com terceiros para tratar lacunas de desempenho de segurança é essencial para minimizar a exposição ao risco e melhorar a postura geral de segurança. Feedback de risco aos fornecedores, que seja oportuno, relevante e acionável, motiva terceiros a adotarem medidas corretivas.
Por Que o Tratamento de Risco é Importante
Redução de Exposição ao Risco: Mantendo terceiros responsáveis pelos padrões de desempenho de gerenciamento de risco, a exposição ao risco é reduzida significativamente.
Motivação para Melhoria: O feedback construtivo e baseado em riscos é um motivador poderoso para os terceiros melhorarem suas práticas de segurança.
- Como Implementar o Tratamento de Riscos Eficaz
Planos de Ação Priorizados por Risco: Forneça aos terceiros planos de ação que priorizem riscos, orientando-os a abordar riscos táticos e sistêmicos. Estabeleça expectativas claras para o tempo de remediação de questões e acompanhe todos os compromissos.
Engajamento Proativo: Para um engajamento mais proativo, dê acesso aos terceiros aos resultados de avaliações contínuas de risco de superfície. Com esse acesso, terceiros podem tratar proativamente questões que, de outra forma, precisariam ser comunicadas por você.
Práticas e Adoção do Tratamento de Riscos
A adoção de práticas de tratamento de riscos varia, refletindo um mix de abordagens comuns e pioneiras:
Compartilhamento dos Resultados de Avaliação com Terceiros: a maioria das empresas compartilham os resultados das avaliações com terceiros, uma prática comum.
Compartilhamento dos Resultados com Partes Interessadas Internas: boa parte já compartilham os resultados das avaliações com stakeholders internos, também uma prática comum.
Registro dos Resultados de Avaliação em um Registro de Riscos: muitas registram os resultados das avaliações em um registro de riscos, indicando uma prática comum.
Responsabilização dos Terceiros pelas Questões Identificadas: boa parte das empresas já responsabilizam os terceiros por abordar as questões identificadas, uma prática comum.
Acesso Contínuo a Resultados de Avaliação de Risco de Superfície: poucas são as que já fornecem aos terceiros acesso contínuo aos resultados de avaliações de risco de superfície, uma prática ainda pioneira.
Capacidade de Avaliação de Segurança de Superfície Contínua para Monitoramento: poucas também já usam essa capacidade para monitorar áreas de preocupação para melhoria, também considerada uma prática ainda pioneira.
3) Monitoramento e Resposta:
3.A) Caça e Resposta a Condições Perigosas:
Detecção e Ação Rápidas
Detectar rapidamente e agir em eventos de segurança significativos e condições de controle perigosas nos ambientes de terceiros minimiza os danos potenciais e previne que condições de controle perigosas evoluam para incidentes de segurança.
Por Que É Importante:
Minimização de Danos: A capacidade de responder rapidamente a eventos de segurança de terceiros e condições de controle perigosas é crucial para minimizar os danos causados por esses incidentes.
Prevenção de Incidentes: Identificar e corrigir proativamente condições perigosas antes que elas resultem em incidentes de segurança reduz a exposição geral ao risco da empresa.
Como Implementar Efetivamente:
Avaliação Contínua de Risco de Superfície: Utilize a capacidade de avaliação contínua de risco de superfície para monitorar os ambientes de terceiros em busca de condições perigosas. Isso inclui monitorar fontes públicas e canais profundos para obter informações antecipadas sobre eventos impactantes.
Engajamento Tático com Terceiros: Após a identificação de condições perigosas, engaje taticamente com os terceiros para facilitar uma remediação rápida, fornecendo contexto necessário e priorizando as ações de correção.
Práticas e Adoção de Caça e Resposta a Condições Perigosas:
As práticas relacionadas à caça e resposta a condições perigosas variam em adoção, refletindo diferentes estágios de implementação e maturidade entre as empresas:
Definição de Procedimentos de Resposta: poucas empresas já definem procedimentos de resposta para lidar com eventos de violação de segurança de terceiros, uma prática ainda emergente.
Monitoramento Sistemático de Eventos de Segurança: poucas também já monitoram sistematicamente terceiros em busca de eventos de segurança, como violações de dados e comprometimentos de segurança, também ainda emergente.
Manutenção de Lista de Condições 'Perigosas': muito poucas mantêm formalmente uma lista de condições consideradas perigosas que não são permitidas em ambientes de terceiros, como sistemas operacionais desatualizados, uma prática ainda pioneira.
Monitoramento Frequente de Avaliações de Risco de Superfície: poucas monitoram frequentemente os resultados das avaliações de risco de superfície para descobrir condições de segurança perigosas, indicando uma abordagem ainda pioneira.
Engajamento Tático para Triagem de Condições Perigosas: muito poucas engajam taticamente com terceiros para triar condições de segurança perigosas e preocupações de desempenho urgentes, também ainda pioneiro.
3.B) Triagem de Vulnerabilidades Críticas:
Identificação e Triagem Rápidas:
A capacidade de identificar e triar rapidamente a exposição a vulnerabilidades críticas em sistemas de terceiros é essencial para minimizar o risco de incidentes de segurança. Utilizar a capacidade de avaliação contínua de risco de superfície é fundamental para manter o conhecimento atualizado sobre o software em operação nos sistemas de terceiros e priorizar esforços de triagem.
Por Que a Triagem é Importante:
Redução de Riscos: A triagem rápida de exposições a vulnerabilidades críticas diminui a probabilidade de danos, garantindo que ameaças potenciais sejam identificadas e mitigadas de forma eficiente.
Como Implementar a Triagem Efetivamente:
Avaliação Contínua de Risco de Superfície: Implemente a capacidade de avaliação contínua de risco de superfície para manter o conhecimento atualizado sobre os sistemas operacionais em ambientes de terceiros. Quando vulnerabilidades críticas são identificadas, consulte o inventário de software de terceiros para sistemas que operam o software vulnerável e priorize esforços de triagem para aqueles conhecidos por estarem expostos à vulnerabilidade.
Práticas e Adoção da Triagem de Vulnerabilidades Críticas:
As práticas relacionadas à triagem de vulnerabilidades críticas e suas taxas de adoção refletem diferentes níveis de maturidade nas organizações:
Advisories de Risco para Terceiros: poucas as empresas que já fornecem avisos de risco sobre vulnerabilidades críticas aos terceiros, uma prática ainda emergente.
Pesquisa de Exposição a Vulnerabilidades: poucas são as que pesquisam fornecedores para entender sua exposição a vulnerabilidades críticas e seus planos de ação de mitigação, também ainda emergente.
Consciência de Software em Sistemas de Terceiros: poucas mantêm conhecimento atualizado sobre o software operando nos sistemas de superfície de terceiros por meio da capacidade de avaliação contínua de risco de superfície, ainda emergente.
Priorização de Esforços de Triagem: poucas priorizam esforços de triagem para terceiros conhecidos por estarem expostos a vulnerabilidades críticas, uma prática ainda pioneira.
Compartilhamento de Dados de Vulnerabilidade: muito poucas compartilham dados de vulnerabilidade de sistema com terceiros para auxiliar na remediação, algo pioneiro.
Monitoramento da Remediação de Vulnerabilidades: poucas monitoram a remediação de vulnerabilidades críticas nos terceiros por meio da avaliação contínua de risco de superfície, também ainda pioneiro.
3.C) Consciência Sobre Quarteirizações:
Mapeamento de Fornecedores de Serviços:
Conhecer os provedores de serviços dos terceiros permite as empresas entender onde o risco de concentração de fornecedores pode existir dentro de seu portfólio de terceiros. Isso é crucial para identificar potenciais pontos únicos de falha, como o impacto de uma interrupção em serviços críticos fornecidos por provedores.
Por Que a Consciência Sobre Quarteirizações é Importante:
Gestão de Riscos de Concentração: Compreender as dependências dos fornecedores de serviços ajuda a identificar e gerenciar riscos de concentração, permitindo a implementação de estratégias de mitigação apropriadas.
Desenvolvimento de Padrões de Avaliação: Identificar partes significativas permite o desenvolvimento e a aplicação de padrões de avaliação de controle específicos para a utilização de tais fornecedores por terceiros.
Como Implementar a Consciência Sobre Quarteirizações Efetivamente:
Avaliação Contínua de Risco de Superfície: Utilize a capacidade de avaliação contínua de risco de superfície para identificar provedores de hospedagem dos sistemas de terceiros, usando informações de registro de rede associadas a cada endereço IP de sistema de terceiros.
Monitoramento de Quarteirizações Significativas: Monitore quarteirizações significativas para violações de segurança e interrupções de serviço que possam impactar seus terceiros.
Desenvolvimento de Padrões de Avaliação de Controle: Desenvolva e aplique padrões de avaliação para o uso de fornecedores significativos por terceiros, garantindo a aplicação de medidas de segurança adequadas.
Práticas e Adoção de Consciência Sobre Quarteirizações:
As práticas relacionadas à consciência sobre quarteirizações e suas taxas de adoção refletem um estágio inicial de implementação em muitas organizações:
Conhecimento dos Provedores de Serviços: poucas empresas conhecem os provedores de serviços usados por seus terceiros, uma prática pioneira.
Monitoramento de Quarteirizações Significativas: muito poucas monitoram quarteirizações significativas para violações de segurança ou interrupções operacionais, também ainda pioneiro.
Avaliações Expansivas de Quarteirizações Significativas: muito poucas realizam avaliações abrangentes de quarteirizações materiais nos casos em que a quarta parte também é um terceiro direto, prática ainda pioneira.
Manutenção de Lista de Provedores Não Permitidos: quase nenhuma mantém uma lista de provedores de serviços que não são permitidos para uso, indicando uma abordagem muito cautelosa e rigorosa na seleção de fornecedores, também ainda pioneira.
3.D) Conscientização sobre Geolocalização:
Conhecimento das Geolocalizações dos Sistemas de Terceiros
Ter conhecimento das geolocalizações dos sistemas de terceiros permite às organizações garantir que não estejam operando em países sujeitos a sanções da OFAC, embargos da UE ou da ONU, e gerenciar proativamente os riscos associados a essas operações.
Por Que a Conscientização sobre Geolocalização é Importante
Conformidade Regulatória: Entender onde os sistemas de terceiros estão localizados é essencial para cumprir com as regulamentações internacionais e evitar violações de sanções.
Preparação para Recuperação de Desastres e Continuidade dos Negócios: A consciência sobre a geolocalização dos sistemas também equipa as equipes de recuperação de desastres e continuidade dos negócios com informações valiosas para gerenciar a exposição a riscos geopolíticos e desastres naturais.
Como Implementar Conscientização sobre Geolocalização Efetivamente
Avaliação Contínua de Risco de Superfície: Implemente a capacidade de avaliação contínua de risco de superfície para identificar a geolocalização dos sistemas de terceiros através do mapeamento de dados de localização de endereços IP. Monitore as localizações dos sistemas para conformidade regulatória e informe as equipes de continuidade dos negócios e recuperação de desastres para auxiliar na gestão da exposição a riscos geopolíticos e desastres naturais.
Práticas e Adoção da Conscientização sobre Geolocalização
A adoção de práticas de conscientização sobre geolocalização mostra uma abordagem inicial e pioneira em muitas organizações:
Conhecimento da Geolocalização de Sistemas de Terceiros: poucas empresas conhecem as geolocalizações dos sistemas de terceiros, uma prática ainda pioneira.
Monitoramento de Geografias Significativas: quase nenhuma monitora geografias significativas para eventos que possam impactar suas operações, também ainda pioneiro.
Manutenção de Lista de Geografias Proibidas: poucas mantêm uma lista de geografias onde a hospedagem de sistemas não é permitida, indicando uma prática mais adotada, mas ainda pioneira, focada em evitar riscos de segurança e conformidade associados a locais específicos.
Espero que estas dicas acima sirvam como uma referência para empresas que buscam comparar, aprimorar e desenvolver suas capacidades de gerenciamento de riscos de segurança de terceiros, promovendo uma abordagem proativa para enfrentar todos estes desafios complexos relacionados a segurança cibernética.