Pesquisa de site

O que é Gerenciamento de Risco do Fornecedor (VRM)? Edição 2023

O gerenciamento de riscos do fornecedor (VRM) é o processo de gerenciamento e monitoramento de riscos de segurança resultantes de fornecedores terceirizados, fornecedores de TI e soluções em nuvem. Os programas VRM combinam monitoramento contínuo da superfície de ataque de terceiros, avaliações de risco e outras iniciativas de gerenciamento de risco de terceiros para mitigar interrupções nos negócios causadas por riscos de segurança de terceiros.

Os programas de gerenciamento de risco de fornecedores têm um plano abrangente para a identificação e mitigação de incertezas de negócios, responsabilidades legais e danos à reputação.

À medida que as empresas aumentam o uso da terceirização, o VRM e o gerenciamento de riscos de terceiros se tornam uma parte cada vez mais importante de qualquer estrutura de gerenciamento de riscos corporativos. As organizações estão confiando mais de seus processos de negócios a terceiros e parceiros de negócios, para que possam se concentrar no que fazem de melhor. Isso significa que eles devem garantir que terceiros estejam gerenciando bem a segurança da informação, a segurança dos dados e a segurança cibernética. O risco de ataques cibernéticos e violações de dados de fornecedores terceirizados deve ser identificado e mitigado.

Embora a terceirização tenha grandes benefícios, se os fornecedores não tiverem fortes controles de segurança, sua organização estará exposta a riscos operacionais, regulatórios, financeiros e de reputação. O gerenciamento de fornecedores está focado em identificar e mitigar esses riscos.

Neste artigo, abordamos as melhores maneiras de identificar os riscos do fornecedor e como prevenir e mitigar esses riscos.

Saiba como o UpGuard simplifica o gerenciamento de riscos do fornecedor >

O que é gerenciamento de relacionamento com fornecedores?

Ao avaliar um fornecedor, é importante entender como o fornecedor se encaixa no contexto geral dos projetos e metas da sua organização. Os relacionamentos com terceiros podem variar de um pequeno projeto único com um contratado independente a um relacionamento contínuo de fornecedor com uma grande multinacional. Os cenários comuns do fornecedor incluem:

  • Um fabricante de equipamento original (OEM) que vende algo que sua organização precisa, como uma placa de circuito impresso (PCB), para um fabricante de computador.
  • Um freelancer de marketing vende seus serviços para sua empresa de forma única ou contínua (levando a um relacionamento contínuo com o fornecedor).
  • Um provedor de software como serviço (SaaS) que vende software para sua organização por um período de tempo.

O gerenciamento de relacionamento com fornecedores está focado em supervisionar o relacionamento com os fornecedores, desde a due diligence e avaliação de risco de segurança cibernética até a entrega do bem ou serviço até o planejamento da continuidade dos negócios. A pessoa que supervisiona os relacionamentos com fornecedores geralmente é chamada de gerente de fornecedores. Os gerentes de fornecedores podem se sentar em qualquer parte de uma organização, desde recursos humanos até a cadeia de suprimentos.

O gerenciamento de riscos do fornecedor é uma parte importante do gerenciamento de riscos de informações de uma organização e do processo geral de gerenciamento de riscos. Os fornecedores apresentam muitos riscos, incluindo riscos financeiros, de reputação, de conformidade, legais e regulatórios.

É por isso que é do interesse da sua organização gerenciar os riscos do fornecedor antes, durante e depois do término de um relacionamento com o fornecedor.

Conheça as principais opções de soluções VRM do mercado >

O que é um Plano de Gerenciamento de Riscos do Fornecedor?

Um plano de gerenciamento de risco de fornecedor é uma iniciativa de toda a organização que descreve os comportamentos, o acesso e os níveis de serviços com os quais uma empresa e um fornecedor em potencial concordarão.

O documento deve descrever as principais informações do fornecedor e ser valioso para a organização e para o terceiro. Ele deve descrever como sua organização testa e obtém garantia do desempenho do fornecedor. E deve descrever como o fornecedor será capaz de garantir a conformidade regulatória de sua organização e não expor os dados do cliente em violações de segurança.

Dependendo do fornecedor e dos serviços prestados, o relacionamento pode ser explicado passo a passo com listas de verificação ou de maneira mais casual.

Para que um plano de gerenciamento de riscos do fornecedor seja útil, sua organização deve entender o processo de avaliação de riscos do fornecedor e estar disposta a trabalhar com suas equipes de conformidade, auditoria interna, RH e jurídica para garantir que o plano de gerenciamento de riscos do fornecedor seja seguido para cada fornecedor novo e existente.

Leia mais sobre por que o gerenciamento de riscos do fornecedor é importante >

Um plano eficaz de gerenciamento de risco do fornecedor é caracterizado por sua política de due diligence do fornecedor. A integração de fornecedores é uma das fases mais delicadas de um programa VRM porque tem um impacto significativo na postura de segurança de uma organização. Práticas inadequadas de integração ignorarão os diferentes tipos de riscos e vulnerabilidades de segurança de novos fornecedores, adicionando esses riscos ao seu perfil de risco.

A integração adequada do fornecedor requer uma avaliação completa das ameaças cibernéticas e outros riscos cibernéticos exclusivos de cada tipo de fornecedor, como seus requisitos de conformidade. Se disponíveis, as certificações também devem ser revisadas - isso torna o processo de integração muito mais rápido.

Além da integração, um plano VRM deve ter como objetivo simplificar o gerenciamento de riscos de segurança de terceiros para agilizar os processos de correção, reduzindo os impactos negativos nas posturas de segurança. Técnicas avançadas, como hierarquização de fornecedores, são muito eficazes para melhorar a eficiência da correção.

Saiba como escolher o software automatizado de correção de risco do fornecedor >

Veja uma demonstração rápida do fluxo de trabalho de avaliação de risco do UpGuard neste vídeo:

Faça um tour pelos recursos de avaliação de risco do UpGuard >

O que são fornecedores terceirizados?

Um fornecedor terceirizado é praticamente qualquer pessoa que forneça um produto ou serviço para sua organização que não trabalhe em sua organização. Terceiros comuns incluem:

  • Fabricantes e fornecedores (tudo, desde PCBs a mantimentos)
  • Prestadores de serviços, incluindo produtos de limpeza, trituração de papel, consultores e assessores
  • Empreiteiros de curto e longo prazo. É importante que você precise gerenciar contratados de curto e longo prazo com o mesmo padrão e avaliar as informações às quais eles têm acesso.
  • Qualquer equipe externa. É importante entender que a compreensão do risco cibernético pode ser muito diferente dependendo da equipe externa.
  • Contratos de qualquer duração podem representar um risco para sua organização, e o Internal Revenue Service (IRS) tem regulamentos sobre relacionamentos com fornecedores e terceiros que vão além de prazos específicos, portanto, até mesmo a duração de um contrato pode representar riscos. Aos olhos do IRS, um fornecedor que trabalha no local com um endereço de e-mail da empresa por mais do que um período específico de tempo deve ser classificado como funcionário e receber benefícios.

O que é o gerenciamento do ciclo de vida do fornecedor?

O ciclo de vida geral de um relacionamento com o fornecedor é o seguinte:

  1. Definir e determinar necessidades
  2. Criar avaliações de fornecedores para todos os fornecedores
  3. Pesquise fornecedores e envie lances
  4. Selecione o(s) fornecedor(es)
  5. Defina os termos e prazos do contrato
  6. Monitore o relacionamento e o desempenho
  7. Fim do contrato, relacionamento ou renovação

Para fornecedores de alto risco, as etapas podem ser ignoradas e podem até resultar na rescisão antecipada de um contrato.

>

Saiba como fazer com que os questionários do fornecedor sejam concluídos mais rapidamente >

Por que você precisa gerenciar os riscos do seu fornecedor

As empresas enfrentam uma série de riscos quando contratam terceiros. Fornecedores que lidam com informações confidenciais, sensíveis, proprietárias ou classificadas em seu nome são especialmente arriscados. Se seus fornecedores terceirizados tiverem práticas de segurança ruins, eles podem representar um grande risco, independentemente de quão bons sejam seus controles internos de segurança.

Um foco míope em fatores de risco operacional, como desempenho, padrões de qualidade, KPIs e SLAs, não é suficiente. Cada vez mais, os maiores riscos que vêm de fornecedores terceirizados são riscos financeiros e de reputação, como violações de dados.

Aqui está uma amostra do risco que os fornecedores podem representar:

  1. Violações legais ou de conformidade, especialmente se você trabalha no governo, serviços financeiros ou em um empreiteiro militar
  2. Violação da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) que exige que as informações de saúde protegidas (PHI) sejam protegidas corretamente
  3. Questões legais como ações judiciais, ações coletivas, perda de trabalho ou término de relacionamentos
  4. Segurança da informação e riscos de segurança de dados. Você precisa saber a quantidade de informações às quais um fornecedor deve ter acesso e às quais tem acesso.
  5. Perda de propriedade intelectual. Se um fornecedor tiver acesso a informações proprietárias, existe o risco de roubá-las para si mesmo ou expô-las por meio de uma violação de dados
  6. Restrições relaxadas com fornecedores de longo prazo podem ser um grande risco, é importante que os controles sejam tão rigorosos cinco anos quanto no primeiro dia

Uma maneira importante de reduzir o risco é dar aos fornecedores acesso apenas aos dados de que precisam para realizar seu trabalho e nada mais.

Dito isso, para realmente reduzir o risco, as organizações precisam ter uma estratégia geral de gerenciamento de riscos, o que significa que os fornecedores são constantemente medidos e avaliados. Não basta ter especialistas no assunto que possuem seus fornecedores. As violações de dados podem vir de qualquer parte da sua organização.

Sem práticas organizacionais amplas, os departamentos podem escolher suas próprias métricas para medir e requisitos ad hoc que podem resultar em gerenciamento de risco abaixo do padrão.

Saiba por que o VRM é particularmente crítico para empresas na Índia >

Quais são os benefícios do gerenciamento de riscos do fornecedor?

Um bom programa de gerenciamento de risco do fornecedor garantirá que:

  • Lidar com riscos futuros leva menos tempo e menos recursos
  • A responsabilidade tanto da empresa quanto do fornecedor é entendida
  • A qualidade dos seus serviços não é prejudicada
  • Os custos são reduzidos sempre que possível
  • A disponibilidade de seus serviços é melhorada
  • Você pode se concentrar em sua função principal de negócios
  • As eficiências operacionais e financeiras são garantidas
  • Os riscos de segurança de terceiros são reduzidos, desde que todos sigam o plano

Mesmo que sua organização tenha uma tolerância de alto risco, regulamentos como a Lei Sarbanes-Oxley (SOX), o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) e a Lei de Portabilidade e Responsabilidade de Informações de Saúde (HIPAA) determinam que as políticas de gerenciamento de risco se estendam a fornecedores, terceirizados, contratados e consultores terceirizados.

Como você cria uma estrutura eficaz de gerenciamento de risco de fornecedor ou de terceiros?

Para criar uma estrutura eficaz de gerenciamento de riscos de terceiros, você precisa aplicar os mesmos critérios a todos os fornecedores, adaptados ao tipo de produto ou serviço que eles fornecem.

Você deve:

  • Reconheça e descreva todos os desafios. Na era da computação em nuvem, um bucket do S3 mal configurado pode ser uma ameaça tão grande quanto um invasor sofisticado. Certifique-se de que seus fornecedores terceirizados estejam verificando suas permissões do S3 ou qualquer outra coisa o fará. Você pode ser responsabilizado por violações de dados de seus fornecedores. A introdução do GDPR significa que as empresas que operam na UE devem fornecer notificações de violação de dados, nomear um responsável pela proteção de dados, exigir o consentimento do usuário para o processamento de dados e anonimizar os dados para fins de privacidade.
  • Certifique-se de que toda a organização esteja a bordo, sem conformidade total com sua estrutura de gerenciamento de fornecedores, ela não será tão bem-sucedida quanto poderia ser.
  • Certifique-se de que seus contratos tenham o "direito de auditoria", bem como quais controles e requisitos de segurança o fornecedor possui.
  • Descreva como o monitoramento ocorrerá, quando ocorrerá, como as revisões e o feedback são conduzidos e como as exposições ao risco são identificadas e mitigadas.

Leia nosso guia sobre como selecionar uma estrutura de gerenciamento de risco de terceiros.

Uma estrutura ideal de gerenciamento de risco de fornecedor deve simplificar o ciclo de vida completo do gerenciamento de risco de fornecedores terceirizados, desde a aquisição e seleção de fornecedores até as negociações de contratos de fornecedores, o estabelecimento de relacionamentos comerciais e o monitoramento contínuo.

O gerenciamento simplificado de parcerias com fornecedores é alcançado quando as equipes de gerenciamento passam de um estilo de ciclo de vida linear de gerenciamento de riscos do fornecedor para um modelo contínuo de gerenciamento de riscos do fornecedor. A ilustração a seguir pode ser usada como um modelo de alto nível desse modelo superior de gerenciamento de risco.

Esse modelo de monitoramento contínuo é otimizado para manter as partes interessadas informadas sobre os esforços de gerenciamento de riscos de fornecedores de uma organização. E a ênfase no monitoramento contínuo ajuda os setores regulamentados, como os da área da saúde, a identificar e abordar rapidamente os riscos emergentes que afetam a conformidade regulatória.

Saiba como implementar o TPRM em uma estrutura de segurança existente.

O que é um Modelo de Maturidade de Gerenciamento de Risco de Fornecedor (VRMMM)?

Um modelo de maturidade de gerenciamento de risco de fornecedor (VRMMM) é uma ferramenta holística para avaliar a maturidade de programas de gerenciamento de risco de terceiros, incluindo segurança cibernética, tecnologia da informação, segurança de dados e controles de resiliência de negócios.

Um VRMMM permite que as organizações desenvolvam uma estratégia antes de criar um programa e identifiquem onde e como as metas serão definidas para tornar o programa robusto.

Qualquer VRMMM deve ter duas partes importantes:

  1. Uma forma de identificar e avaliar necessidades e riscos potenciais
  2. Uma maneira de medir o desenvolvimento relativo da maturidade em componentes da estrutura geral de gerenciamento de riscos, como determinar como cada departamento está gerenciando riscos, para onde os recursos precisam ser movidos e como melhorias podem ser feitas

Quais são os níveis de maturidade do gerenciamento de risco do fornecedor?

Existem seis níveis de um modelo de maturidade de gerenciamento de risco do fornecedor:

  1. Gerenciamento de risco de inicialização ou sem terceiros: novas organizações iniciando operações ou organizações sem atividades existentes de gerenciamento de risco de fornecedores.
  2. Visão inicial e atividade ad hoc: atividades de gerenciamento de risco de terceiros realizadas em uma base ad hoc e considerando a melhor forma de estruturar as atividades de risco de terceiros.
  3. Roteiro aprovado e atividade ad hoc: A administração aprovou um plano para estruturar a atividade como parte de um esforço para alcançar a implementação completa.
  4. Definido e estabelecido: Organizações com atividades de gerenciamento de risco totalmente definidas, aprovadas e estabelecidas, onde as atividades não são totalmente operacionalizadas com métricas e falta de fiscalização.
  5. Totalmente implementado e operacional: organizações onde as atividades de gerenciamento de risco do fornecedor são totalmente operacionalizadas com medidas de conformidade, incluindo relatórios e supervisão independente.
  6. Melhoria contínua: Organizações que buscam a excelência operacional com compreensão clara dos melhores níveis de desempenho da categoria e como implementar mudanças no programa para melhorar continuamente o processo.

Entender onde o nível de maturidade do gerenciamento de riscos do fornecedor da sua organização é uma parte fundamental para entender como gerenciar melhor o risco do fornecedor e onde você pode melhorar.

Como criar uma lista de verificação de gerenciamento de riscos de terceiros ou fornecedores

Quando sua organização está se preparando para contratar ou integrar um novo fornecedor, você precisa trabalhar em uma lista de verificação de due diligence para garantir que eles estejam aptos. Isso também é conhecido como avaliação de fornecedor.

As partes críticas para uma avaliação de fornecedor são as seguintes:

  1. Peça referências de outros clientes do fornecedor.
  2. Determine que o fornecedor é financeiramente solvente, pode ser necessário solicitar demonstrações financeiras.
  3. Verifique se eles têm seguro de responsabilidade civil.
  4. Se você opera em um setor com requisitos regulatórios, verifique se eles têm o licenciamento e o treinamento corretos, como treinamento HIPAA, autorização de segurança ou licença financeira para fornecer o serviço.
  5. Realize verificações de antecedentes e criminais.
  6. Avalie se o fornecedor será capaz de atender aos níveis de serviço exigidos.
  7. Determine se o fornecedor possui controles de segurança, tecnologia e experiência adequados para gerenciar adequadamente suas informações confidenciais.
  8. Revise o contrato, incluindo termos, renovações, níveis de serviço necessários e requisitos de rescisão.

Para se inspirar, consulte esta lista de verificação VRM para CISOs e esta lista de verificação VRM genérica.

Leia nosso guia completo sobre como usar uma lista de verificação de gerenciamento de risco do fornecedor aqui.

Melhores práticas de gerenciamento de risco de fornecedores em 2023

As melhores práticas para o gerenciamento de riscos do fornecedor incluem:

  1. Fazer o inventário de todos os fornecedores terceirizados com os quais sua organização tem um relacionamento
  2. Catalogação dos riscos de segurança cibernética aos quais as contrapartes podem expor sua organização
  3. Avaliar e segmentar fornecedores por riscos potenciais e mitigar riscos que estão acima do apetite de risco da sua organização
  4. Desenvolver um sistema baseado em regras para avaliar futuros fornecedores e definir um obstáculo mínimo aceitável para a qualidade de quaisquer futuros terceiros em tempo real, revisando a segurança dos dados e análises independentes
  5. Estabelecer um proprietário do gerenciamento de risco do fornecedor e de todas as outras práticas de gerenciamento de risco de terceiros
  6. Definição de três linhas de defesa, incluindo liderança, gerenciamento de fornecedores e auditoria interna, onde:
  7. A primeira linha de defesa inclui funções que possuem e gerenciam riscos.
  8. A segunda linha de defesa inclui funções que supervisionam ou se especializam em gerenciamento de riscos e conformidade.
  9. A terceira linha de defesa inclui funções que fornecem garantia independente, acima de tudo, auditoria interna.
  10. Estabeleça planos de contingência para quando um terceiro for considerado abaixo da qualidade ou ocorrer uma violação de dados.
  11. Garantir que um programa VRM seja suportado por processos escaláveis e não por tarefas manuais, ou seja, o uso de painéis, software GRC e gerenciadores de questionários, não planilhas e outros processos manuais.

Leia o estudo de caso >

As violações por fornecedores são quase sempre causadas pela falha em aplicar regras e protocolos já existentes. Você e seus fornecedores precisam ser transparentes sobre o que esperam um do outro e quais riscos são apresentados.

Leia mais sobre as melhores práticas de gerenciamento de risco do fornecedor >

Como lidar com uma violação de fornecedor

Não é mais simples o suficiente para garantir que os sistemas da sua organização e a presença na Web corporativa estejam seguros. Seu programa de gerenciamento de risco deve abordar o risco de terceiros e até de terceiros.

Seus fornecedores podem ser alvo de criminosos cibernéticos ou vazar acidentalmente informações confidenciais por má configuração. Atrasos nos cronogramas, não cumprimento de contratos, estourar o orçamento e cortar custos podem causar danos financeiros e de reputação, mesmo que sua organização não seja culpada.

Ao ter e seguir uma estrutura de gerenciamento de risco do fornecedor, sua organização poderá agir rapidamente e seguir um protocolo se ocorrer uma violação do fornecedor. Isso pode incluir qualquer coisa, desde que seu fornecedor pague os danos financeiros até a rescisão do contrato.

O UpGuard oferece um conjunto de recursos que suportam cada estágio do ciclo de vida do VRM, incluindo:

  • Due Diligence - Obtém instantaneamente uma noção dos esforços de segurança cibernética de um fornecedor em potencial com varreduras de superfície de ataque externas que quantificam as posturas de segurança. Em seguida, realize avaliações direcionadas com uma biblioteca de questionários de segurança líderes do setor mapeados para estruturas e regulamentos populares.
  • Monitoramento contínuo da superfície de ataque - Tenha consciência em tempo real do estado da superfície de ataque do seu fornecedor com monitoramento em tempo real complementando as avaliações pontuais.

  • Detecção de vazamento de dados de terceiros - Use o mecanismo de detecção de vazamento de dados proprietário do UpGuard para localizar vazamentos de dados confidenciais na superfície e na dark web. Com os esforços de segurança cibernética revisando cada vazamento detectado para remover falsos positivos, você pode ter confiança na confiabilidade de todos os vazamentos de dados detectados.

    E muito mais!

Saiba como escolher um software de automação de questionários de segurança >

Assista ao vídeo abaixo para saber como o UpGuard simplifica os processos de gerenciamento de risco do fornecedor:

Artigos relacionados