Cinco perguntas a fazer sobre fornecedores terceirizados e segurança cibernética

De consultores de marketing e parceiros da cadeia de suprimentos a contadores e provedores de serviços de TI, as organizações hoje dependem de todos os tipos de terceiros para praticamente todas as funções de negócios concebíveis.

De acordo com uma pesquisa recente do Ponemon Institute, a consequência não intencional das dependências de terceiros é que 61% das organizações nos EUA sofreram uma violação de dados causada por terceiros ou fornecedor. Cinquenta e sete por cento das empresas não podem determinar se as políticas de segurança e defesas de seus fornecedores podem prevenir adequadamente uma violação, e menos da metade avalia as práticas de segurança e privacidade dos fornecedores antes de iniciar um acordo comercial que exija o compartilhamento de informações sensíveis ou confidenciais .

Não é surpreendente, portanto, que de acordo com a mesma pesquisa, apenas 16 por cento dos entrevistados classificaram suas empresas como "altamente eficazes" na mitigação de riscos de terceiros. Na verdade, aqueles que priorizam o gerenciamento de seus riscos de terceirização são minoria.

O melhor momento para começar a reduzir o risco de terceiros é no início do relacionamento - antes de entrar em um acordo. É quando você precisa fazer perguntas críticas para identificar a possível exposição que está assumindo e a melhor forma de evitar um compromisso. Fornecedores com fortes práticas de segurança geralmente estão dispostos a falar sobre eles, enquanto aqueles que evitam tais discussões podem ter algo que estão escondendo. Com isso em mente, aqui estão cinco perguntas - uma interna e quatro para candidatos sérios - que você deve fazer ao considerar um terceiro:

Quais dados e sistemas o terceiro possuirá ou acessará? Muitos terceiros não terão acesso a dados ou sistemas confidenciais, portanto, se houver uma violação, a ameaça para você será mínima. Um fornecedor de paisagismo, por exemplo, tem pouco acesso a dados ou sistemas e provavelmente nenhum ao interior de qualquer instalação. Talvez a única rede computadorizada que ele possa acessar seja um sistema de irrigação, que mais do que provavelmente estaria isolado dos sistemas corporativos internos. Portanto, qualquer violação potencial desse fornecedor de cenário hipotético teria pouco ou nenhum impacto.

Um provedor de RH, sistema financeiro ou fornecedor, por outro lado, seria muito diferente. Por exemplo, se você contratou um consultor para desenvolver análises de clientes em apoio ao marketing ou estratégia de negócios, essa entidade pode ter acesso aos dados da empresa abrangendo números de cartão de crédito e endereços residenciais do cliente ou finanças corporativas. Esse tipo de consultor deve ser examinado cuidadosamente.

Que tipo de registro e monitoramento o terceiro faz? O registro e o monitoramento são as principais maneiras de uma organização registrar e responder às atividades em seu ambiente. Mas os registros de atividade do sistema e da rede são detalhados. E nos ambientes de computação modernos de hoje, que são compostos por vários sistemas diversos e redes de alta largura de banda, o volume de eventos de log rapidamente se torna opressor para um ser humano gerenciar. Para monitorar eventos de segurança de maneira adequada, ferramentas devem ser implementadas para armazenar e fazer a triagem desses eventos. Ao conhecer o pessoal do fornecedor e as opções de ferramentas, você entenderá como a segurança é levada a sério. Afinal, pessoas + ferramentas =dinheiro =recursos =prioridades. Procure parceiros que priorizem e invistam em segurança.

Como o terceiro gerencia os controles de acesso físico e técnico? Os controles de acesso são uma forma de reduzir a vulnerabilidade e, portanto, o risco. Eles assumem duas formas principais:físicas e técnicas. Em nosso mundo hiperconectado, é fácil esquecer a importância dos controles físicos. Você precisa identificar os locais físicos onde o terceiro armazena, processa e transmite dados, bem como o nível de segurança física nesses locais. Se seus dados devem ser armazenados em dispositivos móveis, é importante entender os controles de segurança associados a esses dispositivos, uma vez que eles nem sempre podem estar em um local físico estático.

Os controles técnicos de acesso também são importantes para a avaliação de sistemas e redes. Pergunte quantas pessoas terão acesso aos seus dados e para que propósito. Entenda como o terceiro usa autenticação multifator, com que frequência os usuários do grupo de administradores são revisados, com que frequência as permissões do sistema são revisadas e como o acesso dos funcionários que saem é removido. Além disso, aprenda como as práticas e ferramentas de segmentação de rede são usadas. Por exemplo, quais controles existem para isolar os sistemas de produção de outros ambientes como a Internet? Como o terceiro segmenta sua rede interna?

Muitas vezes, bons controles de acesso físico podem compensar os fracos controles técnicos e vice-versa. Mas a melhor prática é limitar o acesso físico e técnico aos dados e sistemas aos indivíduos necessários para fornecer o serviço. Os controles de acesso frouxos abrem a superfície de ataque e aumentam o risco.

Que abordagens o terceiro adota para corrigir os sistemas? Embora vulnerabilidades desconhecidas ou não reveladas sejam dramáticas e recebam muita atenção, elas são raras. As organizações correm mais risco de vulnerabilidades conhecidas do que desconhecidas. Como resultado, terceiros devem ter programas robustos no local para corrigir vulnerabilidades conhecidas, aplicando rapidamente patches de segurança que atualizam as falhas e removem o software vulnerável subjacente.

Os principais fornecedores de software lançam atualizações em um ritmo regular. Em sua análise de terceiros, você precisa estar convencido de que os sistemas que processam, armazenam e transmitem seus dados receberão atualizações regulares e oportunas e que existem processos acelerados para vulnerabilidades imediatas e críticas.

O terceiro passa por auditorias ou testes independentes? Quais certificações de segurança ele conquistou? As auditorias mantêm as organizações responsáveis. Terceiros devem se auto-auditar, preenchendo e mantendo questionários de segurança padronizados atualizados, como o SIG Lite ou CSA CAIQ. Além das autoavaliações, as auditorias independentes dão a você tranquilidade de saber que o terceiro está seguindo suas políticas e procedimentos. As auditorias independentes podem incluir testes de penetração ou SOC 2. Alguns setores têm suas próprias certificações, como HITRUST em saúde, PCI para processadores de pagamento e FedRAMP no governo federal dos EUA. Em todos os casos, as auditorias independentes são importantes e mostram o compromisso de manter um programa de segurança da informação formal e validado.

Tomadas coletivamente, as discussões em torno dessas áreas-chave darão a você uma noção da postura de segurança do fornecedor. Se as respostas do fornecedor forem transparentes e indicarem prioridade estratégica e diligência proativa, você poderá seguir em frente com mais confiança. Se a postura de segurança do fornecedor for imatura, você deve aceitar o risco ou considerar outras medidas para controlá-lo.

Não deixe que a segurança dos dados seja uma questão secundária. Faça disso uma parte integrante das discussões sobre produtos e serviços. No ambiente atual de ataques volumosos e intrincados, a segurança cibernética é um assunto de negócios. Você deve fazer a devida diligência para compreender o seu risco.

Jeremy Haas é o diretor de segurança, e Ryan Bergquist é analista de segurança cibernética, com LookingGlass Cyber ​​Solutions .