Criando uma política de gerenciamento de fornecedores e por que você precisa de uma
O objetivo de uma política de gerenciamento de fornecedores é identificar quais fornecedores colocam sua organização em risco e, em seguida, definir controles para minimizar o risco de terceiros e de terceiros. Começa com a devida diligência e a avaliação se um fornecedor terceirizado deve ter acesso a dados confidenciais.
Esses controles internos podem incluir a reescrita de contratos de fornecedores para garantir que os fornecedores atendam a um determinado nível de segurança, a implementação de uma inspeção anual ou a substituição de fornecedores existentes por novos fornecedores que atendam aos SLAs (contratos de nível de serviço) de segurança e aos requisitos de segurança SOC 2. Certifique-se de avaliar fornecedores novos e existentes novamente, lançando RFPs no final de cada ciclo de vida do contrato.
Saiba como o UpGuard simplifica o gerenciamento de riscos do fornecedor >
Por que sua organização precisa de uma política de gerenciamento de fornecedores
Embora muitas organizações tenham políticas de segurança internas em vigor, muitas vezes elas não têm uma compreensão clara dos riscos decorrentes de fornecedores terceirizados. Combine isso com o crescente número de razões legais, regulatórias, financeiras e de reputação para ter uma política de gerenciamento de fornecedores e fortes práticas recomendadas de gerenciamento de fornecedores.
Os reguladores reconheceram que violações e vazamentos de dados de terceiros representam um risco significativo de segurança cibernética. Isso levou a um maior escrutínio regulatório sobre gerenciamento de risco de terceiros, gerenciamento de risco de informações e gerenciamento de risco de fornecedores, principalmente em torno de fornecedores que têm acesso a informações de identificação pessoal (PII).
Fora das questões regulatórias e legais, o custo de uma violação de dados nunca foi tão alto, de US$3,92 milhões. As violações de dados envolvendo terceiros aumentaram os custos médios em mais de US$370.000, para US$4,29 milhões. Esses custos excluem algumas das maiores violações de dados, como Equifax e Facebook.
Como os relacionamentos com terceiros introduzem mais riscos potenciais?
Toda organização deve se preocupar com terceiros que tenham acesso a dados confidenciais, propriedade intelectual ou rede corporativa. Quanto mais terceiros você estiver trabalhando, maior será o número de ataques cibernéticos que os invasores em potencial podem explorar.
A terceirização está se tornando mais comum, as organizações procuram seus fornecedores para economizar custos com frequência ou capitalizar a experiência de um fornecedor. Geralmente, essa é a decisão de negócios certa, mas é importante entender que quanto mais fornecedores você tiver, mais ameaças cibernéticas você criará.
As organizações precisam ter monitoramento contínuo de seus provedores de serviços terceirizados durante todo o ciclo de vida, uma avaliação inicial de risco de segurança cibernética não é suficiente.
A alta administração deve levar em consideração a segurança da informação, segurança de dados, segurança de rede, recuperação de desastres, políticas de segurança da informação e controle de acesso, bem como custo, tecnologia da informação e experiência do fornecedor como parte do processo de seleção do fornecedor.
Por que o monitoramento contínuo é essencial para qualquer programa de gerenciamento de fornecedores
Muitas organizações entram em relacionamentos com fornecedores sem entender completamente como o fornecedor está gerenciando e processando seus dados e os de seus clientes.
Em muitos casos, as organizações não estabeleceram requisitos sobre como seus fornecedores devem proteger os dados. E mesmo que o façam, muitas vezes lutam para operacionalizar o monitoramento.
Combine isso com o fato de que novas vulnerabilidades são adicionadas ao CVE diariamente e que seus fornecedores provavelmente têm fornecedores (risco de terceiros) que podem ter acesso aos seus dados e monitorar o risco do fornecedor manualmente se torna quase impossível.
É por isso que você deve investir em ferramentas que monitorem e avaliem automaticamente o desempenho de segurança de seus fornecedores e automatizem os questionários de segurança.
Não basta apenas monitorar sua organização em busca de exposições de dados e credenciais vazadas. Você precisa de uma visão holística do risco de primeira, terceira e quarta parte.
Quais são as consequências de não ter uma política de gerenciamento de fornecedores?
Uma rápida pesquisa no Google mostrará milhares de resultados para violações de dados resultantes de fornecedores terceirizados. Cada um deles é um exemplo concreto do que pode acontecer como resultado de uma má gestão de fornecedores. As organizações precisam evitar violações de dados primários e de terceiros.
Se sua organização não tiver uma política de gerenciamento de fornecedores, você está sendo negligente. Negligente com seus clientes, acionistas e funcionários.
Infelizmente, não ter uma política em vigor significa que há uma grande chance de que os dados confidenciais da sua organização e as informações de identificação pessoal (PII) de seus clientes estejam sendo tratados por alguém que não deveria ter acesso.
Se uma violação de dados é resultado de um fornecedor terceirizado, o ataque cibernético ou erro geralmente é irrelevante para seus clientes. As violações de dados têm um enorme impacto negativo na confiança dos clientes em sua organização. A violação média de dados leva a US$1,42 milhão em negócios perdidos e 3,9% dos clientes desistindo.
A falta de uma política de gerenciamento de risco do fornecedor também aumenta o risco de violações dispendiosas e multas por não conformidade regulatória com padrões rigorosos de controles de segurança, como:
- PCI DSS
- HIPAA
- RGPD
Para reduzir os riscos de não conformidade, seu programa de gerenciamento de riscos deve ser capaz de identificar a conformidade para fornecedores em potencial, durante a integração, e manter o monitoramento do desempenho do fornecedor durante todo o ciclo de vida do fornecedor. Essa estratégia de gerenciamento de riscos contém muitas partes móveis e, portanto, deve ser apoiada por uma solução que agilize e automatize o gerenciamento de riscos na cadeia de suprimentos.
A plataforma UpGuard automatiza os processos de avaliação de risco do fornecedor com modelos personalizáveis de avaliação de risco e mantém as equipes de gerenciamento e as partes interessadas informadas sobre esses esforços com relatórios detalhados de segurança cibernética gerados a partir de um único clique.
Assista a este vídeo para saber como o UpGuard simplifica os fluxos de trabalho de avaliação de risco.
Como criar uma política de gerenciamento de fornecedores
Antes de criar uma política de gerenciamento de fornecedores, reúna uma lista de seus fornecedores. Lembre-se de que a definição de fornecedor é ampla. Um fornecedor é todo terceiro, contratado ou associado com o qual sua organização faz negócios.
Não basta ter uma vaga ideia de quem são seus fornecedores, você precisa saber exatamente quem são seus fornecedores para monitorá-los com eficácia.
>Depois que a lista for compilada, determine quais fornecedores:
- ter acesso a dados confidenciais ou informações de identificação pessoal (PII)
- ter acesso à sua rede interna
- Sua organização depende para atividades comerciais importantes
Os fornecedores que atendem a esse critério devem ser categorizados como críticos e são onde você deve passar a maior parte do tempo aprendendo, monitorando e, quando necessário, solicitando correção.
Se um desses fornecedores for comprometido, isso pode levar a uma violação de dados prejudicial.
O que uma política de gerenciamento de fornecedores deve incluir?
Sua política de gerenciamento de fornecedores deve incluir:
- Acordos de nível de serviço (SLAs)
- Padrões de conformidade do fornecedor
- Controles aceitáveis do fornecedor
- Responsabilidade do fornecedor em caso de violação de dados
- Visualização do fornecedor (relatório SOC 2, visitas ao local e requisitos de auditoria)
- Rescisão do contrato quando os requisitos de segurança não são atendidos
- Supervisão do conselho ou da alta administração, quando necessário
- Recuperação de desastres e redundâncias estabelecidas para funções importantes de negócios
Durante esse processo, determine se o nível de acesso que cada fornecedor tem faz sentido. Nem todos os fornecedores exigem o mesmo nível de acesso a dados confidenciais, rede e sistemas de tecnologia da informação para fazer seu trabalho.
A comunicação eficiente do gerenciamento de riscos é uma expectativa importante a ser estipulada nas políticas de gerenciamento de fornecedores, pois ajudará suas equipes de segurança a avaliar o risco de violações de terceiros resultantes de práticas inadequadas de gerenciamento de riscos.
O recurso de relatórios do UpGuard simplifica a comunicação dos esforços de gerenciamento de risco do fornecedor com parceiros de negócios e partes interessadas, fortalecendo as relações comerciais por meio de maior confiança na segurança cibernética.
Aprenda a escrever o resumo executivo de um relatório cibernético >
No tumultuado cenário de ameaças de hoje, os parceiros de negócios têm pouca tolerância para práticas inadequadas de gerenciamento de riscos. Um dos melhores métodos para aumentar a confiança em seus esforços de segurança cibernética é ser completamente transparente. Mantenha as partes interessadas e parceiros de negócios atualizados regularmente sobre os esforços de gerenciamento de risco do fornecedor com relatórios e painéis de segurança cibernética.
Assista ao vídeo abaixo para saber como o UpGuard simplifica os relatórios.
Obtenha uma avaliação gratuita do UpGuard >
Como avaliar novos fornecedores com uma política de gerenciamento de fornecedores
Para novos fornecedores, uma política robusta de gerenciamento de fornecedores permitirá que você determine se deve fazer negócios com eles em primeiro lugar. O objetivo dessa política é garantir que todos os fornecedores estejam gerenciando informações confidenciais corretamente.
Considere investir em uma ferramenta que avalie a segurança do seu fornecedor em relação aos critérios e forneça uma classificação de segurança que possa ser monitorada ao longo do tempo e comparada com o setor.
Mais importante ainda, não pare o gerenciamento de fornecedores após a devida diligência.
As avaliações tradicionais de gerenciamento de risco do fornecedor são subjetivas, não verificáveis, não acionáveis e em um determinado momento. Você precisa de uma maneira de monitorar e verificar continuamente se a postura de segurança de terceiros não mudou e ser alertado se ocorrerem novos riscos e vulnerabilidades.
Muitos tipos de malware, como o ransomware WannaCry, exploram vulnerabilidades conhecidas e podem ser evitados com monitoramento contínuo. O gerenciamento contínuo de fornecedores faz parte de qualquer bom processo de gerenciamento de segurança cibernética com defesa aprofundada.
As políticas de gerenciamento de fornecedores podem ser difíceis de operacionalizar. Desde o envio de questionários de segurança até a coleta de dados, é um processo trabalhoso.
O UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta gerenciando relacionamentos com terceiros, automatizando questionários de fornecedores e monitorando continuamente a postura de segurança de seus fornecedores ao longo do tempo, comparando-os com seu setor.
Cada fornecedor é classificado de acordo com 50+ critérios, como presença de SSL e DNSSEC, bem como risco de sequestro de domínio, ataques man-in-the-middle e falsificação de e-mail para phishing.
Todos os dias, nossa plataforma classifica seus fornecedores com uma classificação de segurança cibernética de 950. Podemos até alertá-lo se a pontuação deles cair.
Para riscos primários, o UpGuard BreachSight pode verificar e descobrir continuamente exposições de dados e credenciais vazadas relacionadas a todas as partes do seu negócio.