8 passos para gerenciar riscos de terceiros
Todos os dias nos deparamos com notícias sobre crimes cibernéticos, mas agora observamos cada vez mais os relatos de hacks e violações por meio de software de terceiros – ou o que chamamos de cadeia de suprimentos digital. De acordo com o relatório de violação de dados do Identity Theft Resource Center de 2023, os incidentes direcionados por meio de superfícies da cadeia de suprimento atingiram um máximo histórico no ano passado, afetando mais de 2.700 empresas.
Por que os terceiros estão na mira? Do ponto de vista dos cibercriminosos, é fácil entender o que os motiva a atacar indiretamente por meio de fornecedores e provedores de nuvem. Eles sabem que grandes alvos, como os principais serviços financeiros e organizações de saúde, terão defesas robustas em torno dos seus próprios ativos. Mas também sabem que essas empresas têm conexões com dezenas ou até centenas de aplicações Software como Serviço (SaaS) e outros fornecedores de TI. Ao mirar os serviços de terceiros, os invasores têm maior chance de acessar uma infinidade de superfícies de ameaças com potencial de gerar resultados significativos com apenas uma exploração. Com esta abertura, eles podem lançar seus próprios ataques de ransomware ou simplesmente vender o acesso.
E será que todas estas partes possuem defesas equivalentes? Talvez sim, talvez não. E uma reflexão muito importante: os clientes das aplicações – os alvos – são capazes de monitorar e policiar todos os seus fornecedores para garantir que estejam tomando todas as medidas de segurança?
Fato é que as empresas possuem níveis variados de defesas cibernéticas, e isso cria um ambiente atraente para os cibercriminosos. Confira abaixo 8 passos essenciais compartilhados por Paulo de Godoy, country manager da Pure Storage, para ajudar o CISO proteger a empresa destes riscos.
1. Seja o embaixador da sua defesa: os CISOs e suas equipes já são sobrecarregados, mas é fundamental acrescentar mais uma missão à lista: estabelecer novas políticas e procedimentos em torno de aquisição, auditoria e monitoramento de fornecedores terceiros. Se você espera que os fornecedores se preocupem em proteger a sua empresa, sinto lhe informar, mas você não está no melhor caminho.
2. Controle o volume de SaaS: cada aplicação adicional é uma potencial superfície de ataque. Muitas empresas têm múltiplas integrações com provedores de SaaS. Uma avaliação completa pode encontrar maneiras de eliminar algumas aplicações desnecessárias. Até porque algumas sequer possuem benefícios que justifiquem os riscos aos quais a sua empresa estará exposta; outras podem se tornar dispensáveis com a criação de aplicações internamente. Afinal, o problema de engenheiros e funcionários estabelecerem suas próprias melhorias de produtividade com fornecedores terceirizados — conhecidos como “Shadow IT” — é que isso contribui para a expansão de SaaS.
3. Coloque os provedores sob um microscópio: desenvolva processos para avaliar a postura de segurança de terceiros conectados às suas redes. Questionários elaborados e até mesmo auditorias independentes podem ser apropriados, mas o processo deve ser minucioso. Para ajudar neste processo, há uma nova classe de ferramentas, as plataformas terceirizadas de gestão de riscos de cibersegurança (TPCRM), que ajudam a gerenciar tanto a avaliação como o monitoramento contínuo.
4. Crie o seu padrão de compliance: as auditorias podem determinar a postura de segurança e a avaliação de riscos, mas muitas vezes essas informações simplesmente estarão em conformidade com padrões estabelecidos como SOC 2 e ISO 27001. Mas essas são diretrizes básicas, do tipo “one-size-fits-all”. Se o perfil de risco da sua empresa for mais complexo, desenvolva o seu próprio regime de compliance, com especificações derivadas de processos comerciais reais para selecionar fornecedores potenciais e monitorar de forma contínua.
5. Fortaleça a sinergia: as decisões de compra de soluções de terceiros geralmente envolvem vários departamentos, como TI, compras e InfoSec. Com tantas partes interessadas, é essencial ter processos para reunir inputs de todos os envolvidos e traçar um roteiro para um conjunto codificado de contratos, limitando os obstáculos de segurança que podem surgir.
6. Reduza os privilégios: muitos fluxos de trabalho na nuvem não possuem controles de acesso, dando aos usuários mais acesso do que o necessário para que executem suas tarefas. Isso pode ser uma vantagem para os hackers, que podem usar um conjunto de credenciais para uma movimentação lateral pelos dados, aumentando a presença com ameaças. Um modelo de acesso com menos privilégios, que restrinja o que os usuários podem acessar em seu ambiente, podem reforçar a proteção neste cenário.
7. Abrace a causa das regulamentações: isto pode parecer um conselho estranho (quem quer mais regras?), mas, na verdade, os padrões, os benchmarks e a regulamentação podem ajudar a melhorar o compliance e, mais importante, a transparência nas relações com fornecedores terceiros. Por aqui contamos com a LGPD, mas podemos esperar muitas novidades na regulamentação local. Enquanto isso, precisamos refletir e apoiar o que já vemos como sucesso lá fora.
Um modelo que pode servir como exemplo no caso da terceirização de software é a Lei de Resiliência Operacional Digital (DORA) da UE, que padroniza a segurança e a conformidade de TI para entidades financeiras, como bancos, companhias de seguros e empresas de investimento.
8. Incentive as equipes de desenvolvimento a “mudar para a esquerda, proteger a direita: ”No espírito de responsabilidade e propriedade, concentre-se na implementação de testes de segurança “shift left” no início do ciclo de vida de desenvolvimento. Nesta abordagem, os testes de segurança são integrados mais cedo nos estágios iniciais de desenvolvimento do software – diferente do “shift right”, que se concentra em testes no ambiente de produção com monitoramento. O shift left incentiva as equipes a encontrarem vulnerabilidades e antecipar a correção de falhas.
Fonte: Contábeis