Diariamente, organizações de diferentes portes e segmentos têm sido cobradas por evidenciarem boas práticas de segurança cibernética, governança de dados e compliance, ações que só são possíveis quando consideram também a gestão de risco de terceiros (TPRM – Third Party Risk Management ou VRM – Vendor Risk Management). Esse entendimento é importante porque, na esteira de monitoramento, sem um processo estruturado, não há como garantir a segurança no ambiente digital de stakeholders do negócio, que são um potencial vetor de vazamento de informações.
É importante destacar que o vazamento de dados no ambiente de terceiros nem sempre acontece de maneira intencional. Muitas vezes, é resultado de uma soma de fatores, que inclui falta de conhecimento sobre como aderir às melhores práticas e ferramentas de defesa. E é nesse cenário que cresce a importância de fazer a Vendor Risk Management de uma maneira automatizada e estruturada.
Quer entender do que estamos falando? Então, não deixe de ler esse post.
O que é gestão de risco de terceiros?
De maneira geral, gestão de risco de terceiros é a ação de monitorar as boas práticas de uma pessoa ou empresa que estabeleça negócios com a sua organização, a fim de minimizar ou mitigar os perigos em torno dessa parceria. Em se tratando de gestão de segurança da informação, a iniciativa está associada à intenção de garantir que um terceiro realmente zela pelas informações que você compartilha e colher evidências dessa conclusão.
Por que toda empresa deve aderir ao gerenciamento de risco de terceiros?
Optar pelo gerenciamento de risco de terceiros é uma ação estratégica para prevenir prejuízos financeiros e reputacionais para o negócio. Dizemos isso porque, hoje, para operar com eficiência e agilidade, todas as organizações compartilham com empresas parceiras dados de terceiros que estão em seu poder, seja simplesmente para disponibilizar um benefício corporativo aos colaboradores ou concluir um acordo com clientes, fornecedores ou parceiros de negócio. A grande questão é que, nesse processo, de acordo com regras da Lei Geral de Proteção de Dados, a responsabilidade pelo mau uso das informações é sempre da companhia que coletou e compartilhou as informações.
Score de cibersegurança: um caminho eficiente para entender os riscos cibernéticos de um negócio
O score de cibersegurança é uma pontuação que define o nível de proteção de uma empresa no ambiente digital. Esse índice, que pode ser mapeado na sua empresa ou na de terceiros, é identificado por uma organização independente, com base em um conjunto de boas práticas, de acordo com a exposição da companhia em questão na Internet. Aqui na NovaRed oferecemos esse mapeamento por meio da plataforma Security Scorecard, em um processo totalmente automatizado e nada invasivo com relação à empresa investigada.
Como funciona a plataforma de Vendor Risk Management utilizadas pela NovaRed
Como dissemos, as organizações interessadas podem solicitar a avaliação do score de cybersecurity tanto com relação à própria marca quanto a de um terceiro ou concorrente de mercado. Em qualquer um desses casos, utiliza-se dados públicos, o que evita que a ação seja caracterizada como invasiva ou ilegal.
Com a missão de atribuir notas de 0 a 100 às boas práticas da organização no quesito cibersegurança, uma ferramenta totalmente automatizada, por meio de assessments e evidências, mapeia:
- os domínios da empresa monitorada (contratante, parceiros e/ou concorrentes, de acordo com o contrato firmado);
- a existência de campanhas de malware associadas ao domínio;
- o atendimento a requisitos específicos de compliance;
- a adoção e validade dos certificados digitais;
- os pontos de vulnerabilidade da rede;
- a atualização dos servidores entre outros.
A Third Party Risk Management ou Vendor Risk Management é uma iniciativa poderosa para contribuir para o aculturamento de todo o ecossistema sobre os benefícios e a importância de se alinhar às boas práticas em privacidade e proteção de dados. Isso porque os resultados gerados nesse mapeamento não precisam ser usados necessariamente para excluir empresas da lista de parceiros de negócios. Pode ser uma via para a cooperação entre companhias em prol de um ambiente digital mais seguro.
Adoraríamos contar mais detalhes do que pensamos e sabemos sobre gestão de segurança da informação e gerenciamento de risco de terceiros. Também estamos à disposição para auxiliar o seu negócio a repensar a cibersegurança da infraestrutura de TI. Vamos agendar uma reunião?
