O que é Risco do Fornecedor? O grande impacto das violações de terceiros

Os pesquisadores da UpGuard descobrem e relatam regularmente violações de dados corporativos. Muitas vezes descobrimos que a violação não é causada diretamente pela empresa, mas por um de seus fornecedores terceirizados. Esta série de postagens é sobre um aspecto menos compreendido do risco do fornecedor, violações de dados por fornecedores terceirizados. Vamos orientá-lo sobre muitos tipos de violações de dados, como elas se relacionam com seus fornecedores terceirizados e, finalmente, o que você pode fazer para evitar que prejudiquem seus negócios. Fornecedores terceirizados são alvos comuns de espionagem industrial.

Então, talvez você trabalhe para uma grande multinacional que terceiriza funções comerciais inteiras? Ou uma pequena e média empresa que executa suas operações usando aplicativos SaaS (software como serviço), pagos com cartão de crédito? O uso de fornecedores terceirizados agora é a regra, e não a exceção.

Para agregar valor ao seu negócio, seus fornecedores normalmente precisam acessar pelo menos alguns de seus dados importantes. De segredos comerciais a chaves de API, você confia dados confidenciais a seus fornecedores terceirizados. Ao confiar dados confidenciais a seus fornecedores, você também assume o risco associado de uma violação de dados.

Existem muitos tipos diferentes de dados confidenciais que podem ser expostos, cada um com suas próprias explorações e consequências específicas.

Credenciais do sistema

Vamos começar com "credenciais do sistema", os dados que concedem acesso a outros recursos ou funcionalidades. O impacto de uma violação de credencial geralmente é alto, assim como o nível de risco associado, pois são um facilitador para os invasores comprometerem outras informações ainda mais confidenciais.

Ao entender melhor quais tipos de credenciais do sistema existem, por que elas são importantes e quais são as possíveis consequências de sua exposição, você pode tomar medidas com mais eficiência para controlar essas informações e evitar futuras violações de dados.

As credenciais expostas são uma forma bem conhecida de violação de dados, mas existem muitos tipos diferentes de credenciais, algumas mais óbvias do que outras, e as consequências de uma violação serão diferentes de acordo.

E, finalmente, as exposições de dados que mencionamos nesses artigos são encontradas na internet aberta, não na dark web. Nossa pesquisa corrobora a de outros especialistas em segurança, que a dark web é superestimada como fonte de informações sobre violação de dados - quando esses dados chegam à dark web, eles já foram explorados.

Por que isso importa? Porque capturar exposições de dados na internet aberta é uma estratégia proativa para proteger os dados antes que eles cheguem às mãos daqueles que tentariam lucrar com eles na dark web.

Que medidas posso tomar para reduzir os riscos do fornecedor?

Agora você sabe que seus fornecedores podem estar expondo sua empresa a riscos de várias maneiras:

• Vazando dados de seus sistemas
• Vazando dados de seus sistemas
• Por seus fornecedores vazando dados. Estes são seus quartos.

Este é um espectro bastante amplo de risco. É altamente recomendável que você considere o potencial de vazamentos de dados como um componente crítico de sua estratégia de gerenciamento de risco do fornecedor.

Uma abordagem de melhores práticas (somos tendenciosos, isso nos envolve) poderia ser assim:

• Comece a monitorar proativamente a postura de tecnologia e segurança cibernética da sua própria empresa. Use o UpGuard BreachSight para monitorar suas exposições externas.
• Use um processo formal para integrar seus fornecedores terceirizados e monitore continuamente seus níveis de risco para sua empresa por meio de uma combinação de classificações de segurança automatizadas e questionários de segurança do fornecedor, com um produto como o UpGuard Vendor Risk. Você pode saber mais sobre esse tópico em nosso breve histórico de pontuação de fornecedores.
• Por fim, investigue ainda mais profundamente para entender seus fornecedores terceirizados, seus riscos associados e sua exposição a eles. O UpGuard Vendor Risk também cuida disso.

Esta é apenas uma abordagem. Você deve fazer o que é certo para o seu negócio. Mas faça o que fizer, por favor, não ignore o problema! No mundo de hoje, você está a apenas um formulário de inscrição SaaS de uma violação de dados. Em 2018, uma estratégia proativa de gerenciamento de riscos de fornecedores tornou-se um requisito crítico para permanecer no negócio, não apenas um recurso opcional proposto pelos gerentes de Segurança da Informação.