Pesquisa de site

Principais etapas para desenvolver um programa eficaz de gerenciamento de riscos de terceiros

Um Programa de Gerenciamento de Riscos de Terceiros (TPRM) é uma abordagem sistemática para mitigar riscos associados a terceiros, como vendedores, fornecedores e contratados. Ele inclui um processo de avaliação que identifica, avalia e corrige quaisquer riscos que afetem sua organização.

A implementação de medidas eficazes de gerenciamento de riscos de terceiros (TPRM) pode proteger as organizações contra possíveis ameaças e promover colaborações contínuas e confiantes com parceiros externos.

Confira como o Vendor Risk da UpGuard pode levar o processo de gerenciamento de riscos de terceiros da sua organização para o próximo nível. >

Entendendo os relacionamentos com terceiros

O foco principal de um TPRM está nos terceiros com os quais uma organização interage. Para desenvolver um TPRPM eficaz, uma organização deve primeiro se familiarizar com os relacionamentos com terceiros e os riscos que eles apresentam.

O que é um terceiro?

"Terceiros" refere-se a quaisquer entidades externas com as quais uma organização lida em um contexto de negócios. Isso abrange vendedores, fornecedores, prestadores de serviços, consultores, afiliados e parceiros que fornecem funções de negócios. Terceiros podem ser "upstream" ou "downstream". ”

Terceiros upstream fazem parte da cadeia de suprimentos que fornece aos fabricantes insumos ou matérias-primas. Por exemplo, uma empresa de fabricação de smartphones depende de diferentes fornecedores de componentes, como chips, baterias, etc. Um fornecedor que entrega os chips para esses smartphones seria considerado um terceiro upstream.

Os terceiros a jusante fazem parte da cadeia de distribuição que leva o produto final ao consumidor final ou ao mercado. Usando o mesmo exemplo, uma vez que os smartphones são fabricados, a empresa fabricante pode contar com uma rede de parceiros de varejo para vender o telefone. Esses parceiros de varejo são terceiros a jusante.

Que tipos de riscos os terceiros introduzem?

Embora terceiros possam oferecer serviços ou produtos vitais para uma organização, trabalhar com entidades externas sempre traz um risco potencial.

  • Risco de segurança cibernética: Um terceiro sem fortes medidas de segurança cibernética pode criar vulnerabilidades que podem levar a violações de dados ou ataques cibernéticos.
  • Risco operacional: Se um terceiro sofrer algum atraso ou interrupção em seus serviços, isso pode causar complicações para o produto ou cronograma da organização principal.
  • Risco de conformidade: Se um terceiro não cumprir os requisitos regulatórios, isso pode resultar em repercussões legais, sanções ou multas para a organização principal.
  • Risco de reputação: Se um terceiro tiver ações negativas ou falhas, como ser pego em um escândalo ou ter práticas antiéticas, isso pode afetar adversamente a reputação da organização principal.
  • Risco financeiro: Se um terceiro passar por instabilidade econômica ou até mesmo falência, isso pode resultar em custos ou perdas inesperadas para a organização principal que depende de seus serviços.
  • Risco estratégico: Se um terceiro não compartilha os mesmos valores e objetivos da organização principal, isso pode resultar em conflitos que podem impedir a organização principal de atingir seus objetivos de negócios.

Por que o gerenciamento de riscos de terceiros é importante?

Uma estrutura de gerenciamento de riscos de terceiros é fundamental se uma organização depende de terceiros para serviços ou produtos. Não importa o escopo do seu relacionamento com terceiros, os riscos de segurança sempre vêm com a terceirização e o trabalho com entidades terceirizadas que podem se entrelaçar com sua organização. Riscos de segurança cibernética, ataques à cadeia de suprimentos e violações de dados podem devastar uma organização.

Devido às crescentes regulamentações globais, programas inadequados de gerenciamento de risco de terceiros têm enfrentado maior escrutínio. As leis de proteção de dados e notificação de violação de dados, como GDPR, CCPA e SHIELD Act, aumentaram significativamente a importância e as consequências regulatórias de programas inadequados de gerenciamento de riscos de terceiros. Sua organização pode enfrentar penalidades e multas se um terceiro que acessa as informações do cliente sofrer uma violação de dados, mesmo que sua organização não seja diretamente responsável.

Um TPRM eficaz protege as organizações contra esses riscos, mantendo-se em conformidade com os regulamentos existentes, permitindo que elas aproveitem os benefícios dos relacionamentos com terceiros sem comprometer sua estabilidade ou integridade organizacional.

Conheça as principais soluções de gerenciamento de riscos de terceiros do mercado >

Principais componentes de um programa de gerenciamento de riscos de terceiros

Um programa de TPRM tem muitos componentes, mas as categorias principais se concentram em identificar, avaliar e remediar riscos em relacionamentos com terceiros. Um TPRM deve incluir os seguintes componentes:

Avaliação da postura de segurança

Antes de integrar um novo fornecedor, as organizações devem identificar os riscos que o terceiro representa e comparar esse nível de risco com outros fornecedores concorrentes. Várias ferramentas medem isso, incluindo questionários de segurança, níveis de risco, verificação de vulnerabilidades e muito mais.

As métricas podem ajudar a medir esse nível de risco, e uma das maneiras mais populares de avaliar um fornecedor é por meio de classificações de segurança. Essas classificações descrevem a postura de segurança externa de um fornecedor e se ela atende à pontuação mínima exigida pela sua organização.

As classificações de segurança são criadas a partir de informações viáveis externamente e calculadas por uma organização independente confiável. O UpGuard Vendor Risk oferece uma das plataformas de classificação de segurança mais usadas e confiáveis. Nossas classificações de risco são geradas usando algoritmos exclusivos que analisam conjuntos de dados comerciais e de código aberto para coletar informações que podem ser usadas para avaliar o risco de segurança cibernética quantitativamente sem invadir a privacidade.

Saiba como o UpGuard avalia as posturas de segurança com classificações de segurança instantâneas >

Avaliação do risco

Depois que a classificação mínima de segurança for atingida, as organizações devem se envolver com o fornecedor para saber mais sobre suas medidas de segurança internas, que normalmente não são acessíveis a pessoas de fora. Uma avaliação de risco do fornecedor pode incluir questionários de segurança, uma ótima maneira de aprender sobre os controles de segurança de um fornecedor. Esses questionários têm perguntas sobre um amplo espectro de tópicos de segurança, incluindo:

  • Segurança da Informação e Privacidade
  • Segurança física e de datacenter
  • Segurança de aplicativos da Web
  • Segurança de infraestrutura
  • Política de Segurança da Informação
  • Gestão de Continuidade de Negócios
  • Resiliência Operacional
  • Planejamento de resposta a incidentes
  • Governança, gerenciamento de riscos e conformidade
  • Gerenciamento de ameaças e vulnerabilidades
  • Gestão da Cadeia de Suprimentos
  • Controle de acesso
  • Privacidade de dados

O UpGuard Vendor Risk automatiza seu fluxo de trabalho de questionário de segurança com nossa biblioteca de questionários integrada. Selecione questionários de segurança padrão do setor e envie-os automaticamente aos fornecedores para serem concluídos, acompanhando a conclusão ao longo do tempo.

Saiba mais sobre o fluxo de trabalho de avaliações de risco de fornecedores da UpGuard aqui >

Remediação de riscos

A avaliação e o envolvimento podem revelar riscos inaceitáveis dentro de terceiros, e você pode não querer trabalhar com terceiros até que esses problemas de segurança sejam corrigidos. Este componente de um TPRM se concentra em comunicar o risco ao terceiro e oferecer uma oportunidade para que eles abordem ou corrijam esse risco. Se um fornecedor concordar com isso, o uso de uma ferramenta de correção pode ajudar a rastrear e revisar todas as atualizações de segurança concluídas por um fornecedor.

A plataforma UpGuard Vendor Risk categoriza automaticamente os riscos dentro de terceiros, priorizando os mais críticos que devem ser abordados imediatamente. Nossos fluxos de trabalho de correção permitem que sua organização resolva riscos e forneça um histórico de auditoria rapidamente.

Escolha

>

Depois de examinar o perfil de risco de um fornecedor e a capacidade de corrigir problemas de segurança (se a correção for necessária), sua organização pode aprovar ou rejeitar o fornecedor. Essa decisão de aquisição também deve considerar a tolerância ao risco da sua organização, os requisitos de conformidade e a importância do fornecedor para sua organização.

Monitoramento contínuo

O TPRM não termina quando os fornecedores são aprovados para trabalhar com sua organização. Um dos componentes mais cruciais de um TPRM é o monitoramento contínuo da segurança do fornecedor durante todo o seu ciclo de vida, especialmente se eles agora tiverem acesso aos sistemas internos e dados confidenciais de uma organização.

O monitoramento contínuo de segurança (CSM) é uma prática que automatiza o monitoramento de controles de segurança da informação, vulnerabilidades e outras ameaças cibernéticas. As organizações devem praticar o CSM para seus negócios e observar as posturas de segurança de seus fornecedores. A plataforma UpGuard Vendor Risk atualiza sua postura de segurança do fornecedor diariamente, incluindo quaisquer novos riscos que possam afetar sua organização.

O que torna um programa de gerenciamento de riscos de terceiros eficaz?

Embora todo TPRM deva ter os componentes essenciais descritos acima, um TPRM genuinamente eficaz se concentrará em práticas específicas dentro desses componentes que aprimoram cada etapa.

Due Diligence Abrangente

Durante a fase de avaliação, as organizações devem usar um processo abrangente de due diligence ao revisar a postura de segurança de um fornecedor. Juntamente com as práticas de segurança cibernética, a due diligence completa inclui uma avaliação exaustiva da estabilidade financeira do terceiro, histórico de conformidade, reputação e outros fatores relevantes para a parceria comercial.

Nem todos os terceiros representam o mesmo nível de risco, mas não negligencie relacionamentos pequenos ou indiretos com terceiros. Mesmo que pareça que um fornecedor tem apenas um pequeno nível de risco, ainda é um risco que pode afetar adversamente sua organização.

Avaliação de risco padronizada

As organizações devem utilizar uma metodologia consistente para avaliar e categorizar os riscos associados a cada terceiro. Avaliar os riscos do fornecedor de maneira uniforme facilita a priorização e o gerenciamento eficaz. Se estiver usando questionários de segurança, envie o mesmo questionário para todos os fornecedores. Considere a utilização de um questionário padrão do setor, incluindo as metodologias amplamente utilizadas abaixo:

  • Questionário da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA): determina se os fornecedores com acesso a informações de saúde protegidas (PHI) estão alinhados com o padrão HIPAA dos Estados Unidos.
  • ISO/IEC 27001 (ISO 27001): Norma internacional líder para regular a segurança de dados, abrangendo aspectos como sistemas de gerenciamento de segurança da informação, TI, técnicas de segurança da informação e requisitos de segurança da informação.
  • CIS Critical Security Controls (CIS First 5/CIS Top 20): Um conjunto de práticas recomendadas priorizadas para aprimorar a defesa cibernética, identificando e mitigando as vulnerabilidades de segurança cibernética mais prevalentes.
  • Questionário da Iniciativa de Avaliações de Consenso (CAIQ): educa e promove as melhores práticas de computação em nuvem segura e documenta controles de segurança em produtos IaaS, PaaS e SaaS.
  • NIST 800-171: Descreve as melhores práticas e padrões de segurança cibernética e privacidade nos EUA
  • Questionário Padronizado de Coleta de Informações (SIG/SIG-Lite): Avalia segurança cibernética, TI, privacidade, segurança de dados e resiliência da empresa. O SIG-Lite foi projetado explicitamente para fornecedores de baixo risco, utilizando perguntas selecionadas para fornecedores de alto risco no SIG.
  • Questionário VSA (VSAQ): Monitora as práticas de segurança de um fornecedor em seis áreas exclusivas, incluindo proteção de dados, política de segurança, medidas de segurança preventivas e reativas, gerenciamento da cadeia de suprimentos e conformidade.

Explore toda a biblioteca de questionários de segurança do UpGuard aqui >

Termos contratuais claros

Depois de selecionar um fornecedor, forneça um contrato claro descrevendo a parceria entre o fornecedor e a organização principal. Este contrato deve incluir funções e responsabilidades, requisitos de proteção de dados, expectativas de conformidade e penalidades por violações ou outras ações de não conformidade.

Um contrato claro protege a organização principal caso algo interrompa a parceria com o terceiro. As organizações podem consultar este contrato para obter as penalidades acordadas e as próximas etapas em uma violação de dados ou incidente de segurança cibernética. Não se esqueça de fornecer procedimentos claros para encerrar o relacionamento com terceiros e desligamento, também conhecidos como estratégias de saída.

Planejamento de resposta a incidentes

As organizações também devem incluir um plano de resposta a incidentes bem definido em seu TPRM. Este plano detalha como responder se um terceiro sofrer uma violação, interrupção ou outro incidente que afete a organização principal. Um TPRM eficaz prioriza estar preparado em uma emergência, e um Plano de Resposta a Incidentes sólido é um excelente ponto de partida.

De acordo com o Instituto Nacional de Segurança e Tecnologia, um processo de resposta a incidentes deve incluir:

  • Preparação
  • Detecção e análise
  • Contenção, erradicação e recuperação
  • Atividade pós-incidente

Considere também incluir protocolos de comunicação interna e uma estratégia para notificar as partes afetadas em seu Plano de Resposta a Incidentes.

Feedback e evolução

Os programas de TPRM não devem ser estáticos. Assim como as organizações monitoram continuamente seus fornecedores em busca de mudanças em sua postura de segurança, sua organização deve avaliar a eficácia de seu programa de TPRM e implementar mudanças para melhorar com o tempo. Priorize a coleta de feedback das equipes internas e avalie o ambiente de negócios atual para identificar qualquer outro espaço para melhorias.

Benefícios de um programa eficaz de gerenciamento de riscos de terceiros

Os programas de TPRM são proativos e não reativos. É uma ferramenta inestimável que protege a organização principal e aprimora a postura de segurança de todas as partes envolvidas. Um programa TPRM eficaz oferece muitos benefícios para organizações que utilizam parceiros externos.

Riscos operacionais e financeiros minimizados

Um programa robusto de TPRM identificará ameaças e vulnerabilidades antecipadamente, o que permite que as organizações tomem medidas antes que surjam problemas. As organizações podem evitar interrupções operacionais, perdas financeiras e implicações legais decorrentes de falhas ou violações de terceiros, reconhecendo e abordando os riscos associados a terceiros.

Reputação e confiabilidade aprimoradas

Qualquer empresa pode sofrer um grande golpe em sua reputação hoje devido a apenas uma violação de dados ou escândalo. Mesmo que essa violação de dados ocorra por meio de terceiros, a organização principal ainda pode sofrer repercussões.

Um exemplo é a violação de dados da Target em 2013, em que os cibercriminosos roubaram as informações pessoais de 70 milhões de clientes e até 40 milhões de contas de cartões de pagamento. Os hackers comprometeram um dos fornecedores terceirizados da Target, a Fazio Mechanical Services, que tinha acesso remoto à rede da Target para fins de contrato e cobrança. Embora a Target não tenha sido individualmente responsável, a violação manchou sua reputação.

Para evitar isso, as organizações devem gerenciar os riscos de trabalhar com parceiros terceirizados por meio de um programa de TPRM eficaz, garantindo que seus parceiros mantenham os mesmos altos padrões de conduta e segurança. Ao fazer isso, eles não apenas protegem sua reputação, mas também constroem uma confiança mais vital com seus stakeholders e clientes.

Conformidade regulatória aprimorada

Em todos os setores da indústria, existem regulamentações rígidas que se aplicam a relacionamentos com terceiros. Um programa de TPRM eficaz garante que terceiros cumpram os padrões regulatórios apropriados, o que minimiza o risco de penalidades por não conformidade. As empresas que monitoram continuamente as atividades de terceiros demonstram due diligence durante as auditorias regulatórias, ajudando-as a evitar possíveis consequências legais e multas.

Com o UpGuard Vendor Risk, sua organização pode reduzir o tempo gasto no gerenciamento de riscos do fornecedor e simplificar seu processo de TPRM. Conseguimos isso automatizando questionários de fornecedores e oferecendo modelos que se alinham com a Estrutura de Segurança Cibernética do NIST e outras práticas recomendadas. Nossa plataforma também permite o monitoramento contínuo da postura de segurança de seus fornecedores, permitindo benchmarking em relação aos padrões do setor.

Cada fornecedor passa por um processo de classificação com base em mais de 50 critérios, incluindo a presença de SSL e DNSSEC, que também inclui riscos de sequestro de domínio, ataques man-in-the-middle e falsificação de e-mail para phishing. Os fornecedores são monitorados diariamente usando o sistema de classificação de segurança cibernética da UpGuard, e quaisquer quedas significativas em suas pontuações são imediatamente sinalizadas e relatadas para que você possa responder em tempo real.

Pronto para vê-lo em ação? Confira nosso tour do produto abaixo.

Artigos relacionados