Por Brad Hibbert  - Fonre: Risk Management Magazine - RIMS 

O que Dollar Tree, Bank of America, Comcast e Colonial Pipeline têm em comum? Infelizmente, todas as quatro sofreram uma violação de dados de terceiros de alto perfil, juntando-se a uma lista grande e crescente de empresas afetadas de forma semelhante.

As violações de dados de terceiros acontecem quando agentes mal-intencionados comprometem um vendedor, fornecedor, contratado ou outra organização para obter acesso a informações ou sistemas confidenciais dos clientes, clientes ou parceiros da vítima. Eles podem gerar custos significativos para as empresas, tanto em custos diretos quanto em danos à reputação após o comprometimento de informações confidenciais.

De acordo com o Gartner, 45% das organizações sofreram interrupções nos negócios relacionadas a terceiros nos últimos dois anos, apesar do aumento dos investimentos no gerenciamento de riscos de segurança cibernética de terceiros (TPCRM). Um estudo realizado pela empresa terceirizada de software de gerenciamento de risco Prevalent descobriu que 41% das empresas de vários setores sofreram tais violações, com 71% considerando-as uma grande preocupação.

Com base nas tendências de incidentes cibernéticos de terceiros durante o ano passado, podemos esperar ver mais dos seguintes tipos de riscos em 2024 e além:

Falhas de software e serviços e violações da cadeia de suprimentos

Ataques privilegiados e baseados em contas

Infecções/propagação de malware

Uso/acesso não autorizado

Ataques de negação de serviço

Violações e incidentes em parceiros e fornecedores de terceiro e quarto níveis

Mas as empresas não estão indefesas contra estas violações, mesmo aquelas que visam organizações parceiras e fornecedoras. Para melhor gerir os riscos cibernéticos de terceiros, é essencial compreender a sua natureza única e as medidas holísticas que as empresas podem e devem tomar para fortalecer as suas defesas.

Compreendendo os desafios

Do ponto de vista do risco de terceiros, as empresas enfrentam vários desafios primários. Primeiro, muitas empresas não possuem um inventário completo de todos os terceiros com quem compartilham dados ou acesso ao sistema. É relativamente fácil criar um serviço ou começar a pagar por uma assinatura de IA, por exemplo, sem considerar primeiro as implicações de segurança ou obter primeiro a adesão da segurança de TI. Nesse sentido, a IA poderia ser considerada a nova “TI sombra”. Sua organização precisa saber quais ferramentas estão sendo usadas em qualquer lugar da empresa e ter bons processos de governança de TI em vigor para garantir o uso seguro dessas ferramentas.

Outro desafio é a falta de participação ativa de vendedores, fornecedores e outros terceiros nos processos de avaliação de risco de muitas organizações. O fornecedor pode ter concluído uma certificação SOC2 ou ISO e pode acreditar que esses relatórios de auditoria fornecem tudo o que os clientes precisam para avaliar seus riscos. No entanto, o processo normalmente envolve mais análises, mapeamento de controles e uma visão mais ampla do impacto desses riscos no negócio, o que só vem com uma inspeção mais profunda dos controles internos.

Muitas empresas simplesmente ignoram essas etapas críticas ou realizam apenas exames superficiais. Os produtos que automatizam a avaliação e análise de riscos podem ajudar a tornar mais fácil e rápido para todas as partes a avaliação precisa dos riscos antes que os negócios sejam assinados e os acordos comerciais sejam gravados em pedra.

Como gerenciar riscos cibernéticos de terceiros

Muitos fornecedores terceirizados dos quais as empresas dependem podem não ter tomado medidas completas para satisfazer as regulamentações de conformidade ou manter uma postura de segurança aceitável. A realização de due diligence detalhada e o estabelecimento de processos de resposta a incidentes são considerações críticas sobre riscos cibernéticos em parcerias com terceiros. As cinco medidas a seguir podem ajudar qualquer empresa a minimizar o risco de violação de dados de terceiros:

1. Revise os processos da equipe de compras para melhorar a governança de terceiros. Além das verificações de conformidade padrão, a compreensão dos riscos cibernéticos inerentes ao contratar, selecionar e integrar novos fornecedores proporcionará mais visibilidade sobre possíveis vulnerabilidades e ajudará a prescrever o caminho correto de devida diligência.

2. Priorize as revisões de risco. As análises de risco de terceiros devem começar definindo os controles com os quais o terceiro precisa demonstrar conformidade. Em seguida, determine a frequência das revisões de segurança e defina um processo de remediação e arbitragem para lidar com riscos de terceiros.

3. Teste os procedimentos de resposta a incidentes de terceiros. Defina um processo de gerenciamento de incidentes para lidar com incidentes cibernéticos de terceiros e teste continuamente as respostas e as comunicações usando exercícios práticos. Este processo melhorará as comunicações de violação e, em última análise, reduzirá os tempos de recuperação no caso de um incidente.

4. Isole o acesso e os sistemas caso ocorra uma violação. Aproveite as restrições de host local, os controles de acesso à rede, as restrições de privilégios e a remoção/bloqueio de contas para impedir que invasores se movimentem livremente pela sua rede.

5. Monitore continuamente violações e vulnerabilidades de terceiros. Monitore comportamentos internos de software e plataformas afetados, acesso de/para fornecedores e outras partes e serviços de reputação e inteligência de ameaças para determinar o impacto em sua organização. Monitore o cenário de ameaças externas em busca de violações e vulnerabilidades significativas de terceiros. Quando ocorrerem violações ou forem identificadas vulnerabilidades de fornecimento, entre em contato proativamente para avaliar sua cadeia de fornecimento em busca de riscos e medidas de resposta ativa.

Além disso, as empresas podem trabalhar para reforçar as suas defesas, incorporando nos processos existentes mitigações de riscos especificamente relacionadas com o risco cibernético de terceiros. A gestão eficaz do risco cibernético requer avaliações minuciosas dos fornecedores, definindo critérios de risco claros, utilizando classificações de risco para priorizar os fornecedores e estabelecendo canais de comunicação eficazes para notificações de violação e coordenação de resposta a incidentes.

Outra etapa crítica é realizar revisões abrangentes dos processos da equipe de compras para garantir que eles estejam examinando o quadro completo dos riscos que um possível terceiro apresenta ao negócio. Isto inclui vulnerabilidades cibernéticas, riscos operacionais, preocupações de reputação, obrigações de conformidade e situação financeira. Do ponto de vista cibernético, uma empresa também deve avaliar os controles de segurança do fornecedor.

Finalmente, uma organização segura deve ter um processo estruturado de remediação de riscos para determinar o que constitui um risco aceitável para o negócio. Ao mitigar os riscos associados às relações com terceiros, as organizações podem melhorar a sua postura geral de segurança cibernética e proteger ativos sensíveis contra ameaças potenciais. Estas revisões também facilitam um melhor alinhamento com os requisitos regulamentares e as normas do setor, promovendo uma cultura de conformidade e sensibilização para os riscos em toda a organização.

Desenvolvimento de planos pré e pós-incidente

O planejamento eficaz antes de um incidente faz toda a diferença quando se trata de gerenciar riscos futuros. É essencial ter mecanismos para identificar rapidamente o impacto de uma violação em toda a organização, como documentação, visibilidade atualizada das conexões e fluxos de dados entre o negócio, terceiros e quartas partes. Isto permite o isolamento dos ativos e serviços impactados para a triagem necessária. Ao identificar rapidamente o impacto, as organizações também podem controlar melhor a narrativa através de comunicações externas factuais com as partes afetadas e conduzir quaisquer caminhos de resolução imediata. É claro que, se uma organização não tiver recursos ou conhecimentos internos, empresas de segurança respeitáveis ​​deverão ser capazes de ajudar.

Depois que a violação tiver sido tratada adequadamente, é sempre prudente realizar uma análise post-mortem, destacando o impacto e as medidas resultantes tomadas para garantir que seja improvável que ela ocorra novamente. Isto alimenta um processo de melhoria contínua, preparando a organização para o sucesso contra futuros riscos cibernéticos.

Brad Hibbert é COO e CSO da  Prevalent .

https://www.rmmagazine.com/articles/article/2024/02/29/fortifying-defenses-against-third-party-cyberrisks

------------------------------------------------------

RISKWORLD SAN DIEGO 2024 - Associados Mantenedores interessados em fazer parte da Delegação ABGR  enviar e-mail para: abgr@abgr.com.br.

Esse ano, o tradicional Congresso Brasileiro de Direito de Seguro e Previdência será realizado nos dias 14 e 15 de março no Rio de Janeiro.

Serão dois dias de produtiva e alegre convivência no hotel Prodigy Santos Dumont, com muito estudo, aprimoramento, atualização e troca de experiências. O hotel está estrategicamente conectado a um dos aeroportos de maior movimentação do país, o Aeroporto Santos Dumont.

Garanta sua reserva: Associados ABGR terão desconto, conforme política e categoria de participação da AIDA.

Interessados no Congresso: Enviar o nome, empresa, e-mail, profissão à abgr@abgr.com.br para posterior contato de representante da AIDA, visando a inscrição.

Vagas limitadas!!