O que é Vendor Tiering? Otimize o gerenciamento de riscos do seu fornecedor
O que é Vendor Tiering?
A hierarquização de fornecedores é um método de classificação de fornecedores com base no nível de risco de segurança que eles introduzem em uma organização. O nível de criticidade de segurança diminui a cada nível subsequente.
O número de níveis de camadas depende da preferência pessoal. A estrutura básica de camadas do fornecedor é composta por três níveis - Nível 1, Nível 2, Nível 3, onde o Nível 1 representa fornecedores de alto risco.
Cada fornecedor pode ser atribuído a uma camada manualmente ou o processo pode ser baseado em um sistema de pontuação de questionário de segurança. Ambas as metodologias são discutidas neste post.
O benefício de separar os fornecedores em diferentes camadas é que cria um fluxo de trabalho de avaliação de fornecedores mais eficiente que considera os limites de risco específicos de todos os fornecedores. Aplicar o mesmo nível de avaliação de risco a cada fornecedor é difícil de manter e, na maioria dos casos, desnecessário.
Os fornecedores que armazenam informações acessíveis ao público, como informações em um site, representam menos risco potencial do que os fornecedores com acesso a recursos comerciais confidenciais, como soluções de comunicação interna como o Slack. Faria sentido, portanto, realizar avaliações menos aprofundadas e menos frequentes para os fornecedores da primeira categoria.
Esse é o objetivo da hierarquização do fornecedor - simplificar o processo de gerenciamento de riscos do fornecedor para que as equipes de segurança possam gerenciar os riscos de terceiros de forma mais inteligente.
Conheça as principais opções de soluções VRM do mercado >
Por que a classificação do fornecedor é importante?
A classificação de fornecedores é importante porque as organizações lutam para gerenciar um Programa de Gerenciamento de Riscos de Terceiros em uma rede de fornecedores em expansão.
Recursos internos limitados impedem que novos fornecedores recebam a atenção de segurança necessária de que precisam. Como resultado, os contatos de compras permanecem fracos e não conseguem filtrar os riscos inerentes evitáveis durante a transformação digital.
Essa expansão da superfície de ataque não monitorada sobrecarrega ainda mais as equipes de segurança, tornando ainda mais difícil gerenciar as avaliações de risco durante a integração.
Eventualmente, a necessidade de dimensionar os processos de negócios se sobrepõe aos recursos de segurança cibernética gastos, resultando em avaliações de risco sendo completamente negligenciadas durante a integração.
Com o aumento dos ataques à cadeia de suprimentos e as violações de terceiros respondendo por 60% das violações de dados confidenciais, as equipes de gerenciamento não podem continuar a abandonar a devida diligência do fornecedor.
A classificação de fornecedores ajuda as equipes de segurança a distribuir seus esforços com mais eficiência, ajudando-as a concentrar a maioria de seus esforços em fornecedores críticos que representam um risco maior para as posturas de segurança, como fornecedores com alto risco de ataque de ransomware. Como isso alivia o fardo de responder a todos os problemas de segurança com o mesmo vigor, mais largura de banda está disponível para a integração segura de todos os novos fornecedores terceirizados.
Os provedores de serviços com maior risco de serem comprometidos em um ataque cibernético são agrupados em uma camada crítica para que possam ser otimizados nos esforços de correção.
Os benefícios do processo de hierarquização de fornecedores também se estendem à rede de fornecedores existente. Como os esforços de correção são proporcionais à exposição ao risco, mais atenção pode ser dedicada às vulnerabilidades que têm maior impacto na postura de segurança, reduzindo significativamente as chances de uma organização sofrer uma violação de dados.
Isso destaca outro grande benefício da hierarquização de fornecedores. Ao agrupar fornecedores em diferentes categorias de risco, a hierarquização de fornecedores oferece suporte a uma sequência de correção mais eficiente e lógica.
Para obter mais informações sobre como otimizar um fluxo de trabalho de correção, consulte este white paper sobre Planejamento de correção de risco.
Como a classificação em camadas do fornecedor melhora o gerenciamento de riscos de terceiros (TPRM)?
A classificação de fornecedores ajuda as equipes de segurança a ajustar o nível de avaliações de risco realizadas em cada nível de fornecedor, em vez de aplicar o mesmo esforço em todos os fornecedores.
Alguns fornecedores com requisitos regulatórios rígidos, como empresas vinculadas ao GDPR e empresas do setor de saúde, exigem avaliações de risco mais rígidas do que outros. Portanto, faz sentido ajustar um programa de gerenciamento de risco do fornecedor em favor de fornecedores com fatores de risco mais altos.
Com a classificação de fornecedores, as equipes de segurança podem obter um fluxo de trabalho de avaliação de risco mais gerenciável, em que cada camada recebe um conjunto específico de avaliações.
Por exemplo, um questionário ISO 27001 pode ser enviado apenas para fornecedores de nível 1. Este é um modelo superior ao método convencional de rastrear manualmente os requisitos de avaliação de cada fornecedor - um esforço que rapidamente se torna um pesadelo logístico à medida que a rede de fornecedores se expande.
A dependência da transformação digital só aumentará à medida que as empresas atenderem às crescentes expectativas de consumidores inovadores, o que só aumentará a carga do Gerenciamento de Riscos do Fornecedor (VRM).
Para se preparar para esse futuro inevitável, as empresas precisam fazer a transição para uma estrutura de avaliação de classificação de fornecedores mais eficiente. Essa estratégia também aproxima os programas de segurança cibernética dos processos automatizados. Esta é a próxima fase inevitável do ciclo de vida de desenvolvimento do TPRM, dada a significativa economia de custos de violação de dados resultante da automação.
Saiba a importância de incluir seus esforços de VRM em relatórios executivos.
Como classificar fornecedores
>Existem duas estratégias principais para categorizar fornecedores - hierarquização manual e hierarquização baseada em questionário.
Hierarquização manual
A hierarquização manual é o método mais popular porque a maioria das organizações prefere maior controle sobre o processo de classificação.
O perfil de risco de cada fornecedor difere em cada parceiro de negócios. As discrepâncias dependem de níveis únicos de acesso a recursos sensíveis e experiência pessoal.
A preferência pessoal é um fator muito importante, pois algumas empresas estão dispostas a aceitar uma maior tolerância ao risco para fornecedores populares. Por exemplo, algumas empresas ficam felizes em usar o serviço de mensagens WhatsApp, enquanto outras estão preocupadas com as práticas de entrega de dados do usuário.
A hierarquização manual permite que as empresas classifiquem os fornecedores com base em avaliações de reputação pessoal, sem forçá-las a aceitar um padrão de hierarquização objetivo.
A validação de decisões manuais de hierarquização pode ser obtida com confiança com classificações de segurança. As classificações de segurança avaliam a postura de segurança de cada fornecedor por meio de um único painel com base em vários vetores de ataque.
Isso ajuda as empresas a rastrear a segurança de seu ecossistema de terceiros. Essas classificações flutuam naturalmente ao longo do tempo e podem até cair abruptamente após uma transformação significativa dos negócios - como quando um fornecedor adquire outro negócio.
A funcionalidade avançada de pontuação de risco manterá as partes interessadas informadas sobre esses picos repentinos de exposição por meio de notificações instantâneas.
Uma classificação de risco ruim pode influenciar a decisão de rebaixar manualmente um fornecedor para um nível de risco mais baixo.
Para oferecer suporte à classificação manual inteligente, uma solução de segurança deve incluir um feed de notícias de segurança cibernética atualizado regularmente para manter os usuários informados sobre quaisquer eventos que possam afetar seus fornecedores.
Camadas baseadas em questionário
A hierarquização baseada em questionário é um processo mais complicado em que os fornecedores são categorizados automaticamente com base na eficácia de sua estratégia de controle de segurança, conforme indicado por meio de avaliações de risco do fornecedor.
Um algoritmo atribui cada fornecedor a uma camada com base em suas respostas a questionários de segurança e modelos de avaliação. O benefício desse processo é que ele é totalmente automatizado, o que resolve as dificuldades logísticas de gerenciar uma rede abrangente de fornecedores.
Para maximizar seu benefício para a continuidade dos negócios, esse processo de hierarquização ainda deve estar aberto a modificações manuais. As partes interessadas podem discordar de um processo de avaliação e contestar uma classificação de risco. Nesses casos, cada decisão de camada substituída deve ser apoiada com um motivo para a classificação manual.
A UpGuard é reconhecida pelo Gartner como uma das líderes em Gerenciamento de Risco de Fornecedores (VRM). Além da classificação manual de fornecedores, o UpGuard lançou um recurso de automação para classificação de fornecedores de acordo com regras e lógicas personalizadas que você definir. A lógica de automação aplica camadas, rótulos, portfólios e atributos personalizados aos seus fornecedores com base nas respostas do questionário de relacionamento com o fornecedor. Para obter mais informações sobre o fluxo de trabalho de automação, consulte nosso blog Dimensione seu programa de gerenciamento de riscos de fornecedores com automação.
Todo o arranjo de classificação de fornecedores pode ser manipulado manualmente, dando a cada empresa maior controle sobre o processo de categorização de fornecedores. As empresas podem criar quantas camadas forem necessárias e atribuir a cada uma delas um nome exclusivo.
A ponderação de risco de segurança de um fornecedor pode ser representada por meio de uma matriz de risco em um relatório de segurança cibernética gerado a partir da plataforma UpGuard, permitindo que as partes interessadas entendam instantaneamente o grau de risco associado a cada fornecedor.
Para otimizar ainda mais o gerenciamento de riscos de terceiros, a postura de segurança de cada nível pode ser avaliada com o Construtor de questionários personalizados da UpGuard.
As empresas com redes abrangentes de fornecedores têm a opção de terceirizar seu programa de gerenciamento de riscos de terceiros para especialistas em segurança cibernética. Ao combinar este serviço com o recurso Vendor Tiering do UpGuard, as empresas em expansão estabelecerão uma base confiável para a superfície de ataque de fornecedores altamente complicada do futuro.