9 maneiras de evitar violações de dados de terceiros em 2023
As violações de terceiros ocorrem quando dados confidenciais são roubados de um fornecedor terceirizado ou quando seus sistemas são usados para acessar e roubar informações confidenciais armazenadas em seus sistemas. No cenário digital atual, tornou-se prática padrão terceirizar processos de negócios para fornecedores especializados em cada função específica, seja por meio de um fornecedor de SaaS, provedor de serviços terceirizado ou contratado.
Esses terceiros normalmente não estão sob o controle da sua organização e é improvável que eles forneçam total transparência em seus controles de segurança da informação. Alguns fornecedores podem ter padrões de segurança robustos e boas práticas de gerenciamento de risco, enquanto outros não.
Uma pesquisa da eSentire de 2019 descobriu que 44% de todas as empresas pesquisadas sofreram uma violação significativa de dados causada por um fornecedor terceirizado. E o Relatório de Custo de uma Violação de Dados da IBM descobriu que o envolvimento de terceiros foi um dos cinco maiores amplificadores de custo, aumentando o custo médio em mais de US$370.000 para US$4,29 milhões.
É por isso que o gerenciamento de riscos de terceiros e o gerenciamento de riscos de fornecedores formam uma parte importante da estratégia de gerenciamento de riscos corporativos de qualquer organização.
Saiba como evitar violações de dados dispendiosas. Baixe o guia gratuito >
1. Avalie seus fornecedores antes da integração
A integração de fornecedores terceirizados que terão acesso à sua rede e dados confidenciais sem medir o risco de segurança cibernética que eles introduzem é arriscada. No entanto, muitas organizações não realizam a devida diligência adequada durante o processo de seleção de fornecedores.
Uma maneira fácil de avaliar um fornecedor em potencial sem introduzir sobrecarga operacional para sua equipe de gerenciamento de fornecedores é usar classificações de segurança. As classificações de segurança têm sido amplamente adotadas porque complementam e, às vezes, podem substituir técnicas demoradas de avaliação de risco do fornecedor, como questionários, visitas no local e testes de penetração.
As classificações de segurança permitem que você entenda instantaneamente a postura de segurança externa de um fornecedor em potencial e a quais ameaças cibernéticas ele pode ser suscetível. Isso reduz muito a carga operacional das equipes de TPRM durante a seleção de fornecedores, due diligence, integração e monitoramento. Além disso, os relatórios podem ser compartilhados com fornecedores e usados para corrigir problemas.
Com o UpGuard Vendor Risk, você pode avaliar rapidamente os riscos do site, segurança de e-mail, segurança de rede, risco de phishing e malware e proteção de marca.
Como o UpGuard mede controles verificáveis externamente, essa pré-avaliação pode ser feita sem exigir consentimento ou trabalho de um fornecedor. Você pode até comparar e comparar um fornecedor com seus pares e outros em seu setor para ajudá-lo a tomar uma decisão informada sobre qual fornecedor você deve selecionar.
O resultado é uma imagem mais precisa e em tempo real do risco que o fornecedor apresentará à sua cadeia de suprimentos, sem ter que gastar tempo concluindo avaliações de risco caras, testes de penetração ou verificações de vulnerabilidade.
Saiba mais sobre as avaliações de risco do fornecedor >
2. Incorpore o gerenciamento de riscos em seus contratos
Tenha a prática de incorporar o risco cibernético em seu programa de gerenciamento de risco de fornecedor e contratos de fornecedores. Embora isso não impeça uma violação de dados de terceiros, significa que seus fornecedores serão responsabilizados caso sua postura de segurança enfraqueça.
Muitos de nossos clientes incorporam classificações de segurança em seus contratos. Por exemplo, alguns estipulam que um fornecedor que processa informações pessoais ou cartões de crédito deve manter uma classificação de segurança acima de 900, ou corre o risco de ter seu contrato rescindido.
Também recomendamos incorporar SLAs em seus contratos para que você possa orientar o comportamento de gerenciamento de riscos de segurança cibernética de seus fornecedores e reduzir seu risco de segurança cibernética. Considere adicionar uma linguagem que exija que seus fornecedores se comuniquem ou até mesmo corrijam quaisquer problemas de segurança dentro de um determinado período de tempo, como 72 horas para problemas de alto risco. Além disso, considere adicionar o direito de solicitar um questionário de segurança preenchido uma vez por trimestre, pois eles podem destacar problemas que não são detectados pela verificação de segurança externa.
3. Mantenha um inventário de seus fornecedores em uso
Antes de determinar adequadamente o risco que seus fornecedores terceirizados apresentam, você precisa entender quem são todos os seus terceiros e quanto está sendo compartilhado com cada um deles.
Sem um inventário de seus relacionamentos com terceiros, é impossível medir o nível de risco que os fornecedores introduzem. Apesar disso, apenas 46% das organizações realizam avaliações de risco de segurança cibernética em fornecedores que lidam com dados confidenciais.
Por mais simples que pareça, nem sempre é fácil conhecer todos os fornecedores usados pela sua organização. Especialmente se você trabalha em uma grande organização.
É aqui que ferramentas como o UpGuard Vendor Risk podem ajudar. Podemos ajudá-lo a encontrar e monitorar seus fornecedores usando nossa pesquisa instantânea de fornecedores. Nossa plataforma verifica e pontua milhões de empresas todos os dias para fornecer acesso instantâneo às classificações de segurança do fornecedor. Se não monitorarmos a empresa no momento, você poderá adicioná-la facilmente à sua lista de fornecedores monitorados e começaremos a digitalizá-la a partir do momento em que você a adicionar.
4. Monitore continuamente os fornecedores quanto a riscos de segurança
A postura de segurança de um fornecedor pode e mudará ao longo do contrato. É por isso que é fundamental que você monitore continuamente seus controles de segurança ao longo do tempo.
O problema é que a maioria das organizações não monitora continuamente seus fornecedores. Em vez disso, eles contam com avaliações pontuais, como auditorias ou questionários de segurança, que normalmente são apenas um instantâneo da postura de segurança de uma organização.
Definitivamente, há um lugar para esses tipos de avaliações, pois elas destacam problemas que muitas vezes são perdidos por soluções de verificação externas, é por isso que o UpGuard Vendor Risk tem ferramentas para ajudá-lo a automatizar questionários de segurança.
No entanto, eles não estão bem posicionados como uma solução de monitoramento de segurança contínua que destaca vulnerabilidades que podem facilitar violações de dados.
Saiba como evitar violações de dados >
5. Colabore com seus fornecedores
Embora você nunca possa impedir totalmente o acesso não autorizado de terceiros, ataques cibernéticos e violações de segurança, é importante trabalhar de forma colaborativa, não combativa, com os fornecedores para reduzir o risco e corrigir problemas de segurança rapidamente.
>Existem vários recursos do UpGuard Vendor Risk que suportam esse processo.
Por exemplo, você pode usar nosso Perfil de Risco de Portfólio para priorizar os riscos mais críticos em todo o ecossistema de fornecedores e solicitar correção por meio de nossa plataforma para garantir que os riscos sejam resolvidos rapidamente e com uma trilha de auditoria. Isso facilita o alcance e permite que você e seu fornecedor entendam o que precisa ser corrigido e por que isso representa um risco para os usuários finais e dados pessoais.
6. Fale sobre o risco de terceiros
As organizações de melhor desempenho (aquelas que conseguiram evitar uma violação no ano passado e aquelas com programas maduros de gerenciamento de riscos) envolveram a liderança.
De acordo com o relatório Data Risk in the Third-Party Ecosystem do Ponemon Insitute, 53% dos entrevistados em organizações de alto desempenho disseram ter engajamento de nível executivo e de diretoria, em comparação com apenas 25% dos entrevistados entre as organizações que sofreram uma violação de dados de terceiros.
Esse engajamento significa que a liderança dos melhores desempenhos está ciente da importância de proteger informações confidenciais, bem como práticas de privacidade cada vez mais rigorosas impulsionadas pela introdução de regulamentação geral de proteção de dados em todo o mundo, como GDPR, LGPD, CCPA, FIPA, PIPEDA e SHIELD Act.
Geralmente, eles também entendem os riscos de falta de segurança operacional e compartilhamento excessivo nas mídias sociais, que os cibercriminosos costumam explorar e usar em ataques de spear phishing e whaling.
É por isso que o UpGuard Vendor Risk possui relatórios executivos integrados, que incluem:
- A pontuação média de nossos fornecedores ao longo do tempo
- A distribuição de suas pontuações de fornecedor
- Seus fornecedores com pontuação mais alta e mais baixa
- As tecnologias mais comumente usadas por seus fornecedores
7. Corte os laços com maus fornecedores
Se uma pequena empresa ou fornecedor terceirizado não conseguir atender aos seus padrões, ou se tiver sofrido um ataque de ransomware ou violação de dados, você está disposto a cortar os laços? E se você estiver disposto, você tem os processos em vigor para desligar o fornecedor com sucesso sem causar problemas de continuidade de negócios?
Muitas empresas são boas em integrar fornecedores, mas lutam para removê-los adequadamente. As organizações mais seguras se preocupam com os detalhes e entendem que o desligamento adequado é uma parte importante do gerenciamento de riscos de terceiros.
Se você não tiver certeza de quais fornecedores representam o maior risco para sua organização, considere se inscrever para uma avaliação gratuita de sete dias da plataforma UpGuard. Poderemos mostrar quais fornecedores têm a pior postura de segurança.
8. Meça o risco de quarta parte
Por mais importante que seja entender o risco de terceiros, também é importante saber em quem seus terceiros confiam. Essas organizações são conhecidas como seus fornecedores terceirizados e apresentam riscos de terceiros.
Assim como as organizações estão adotando rapidamente a autenticação multifator, vemos nossos melhores clientes exigindo contratualmente que os fornecedores os notifiquem quando compartilham dados com um quarto ou quinto partido. Isso permite que eles rastreiem o compartilhamento de informações confidenciais e entendam melhor quem tem acesso.
O módulo de Risco de Concentração do UpGuard Vendor Risk detecta automaticamente muitos de seus terceiros e mostra a qual fornecedor de terceiros você tem mais exposição. Isso também pode ajudá-lo a planejar a continuidade dos negócios. Por exemplo, se você sabe que 30 de seus fornecedores críticos dependem da AWS, pode optar por escolher outros fornecedores que usam o Google Cloud Platform para distribuir o risco de que uma interrupção em um desses provedores de nuvem resulte na impossibilidade de conduzir os negócios normalmente.
Saiba mais sobre os riscos de terceiros >
9. Siga o Princípio do Privilégio Mínimo (POLP)
Muitas violações de dados de terceiros ocorrem porque o terceiro recebe mais acesso do que o necessário para fazer seu trabalho.
Considere investir em um sistema robusto de controle de acesso baseado em função que siga o princípio do privilégio mínimo (POLP), a prática de limitar os direitos de acesso para usuários, contas e processos de computação apenas àqueles necessários para fazer o trabalho em questão.
Saiba mais sobre o POLP >
O UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta avaliando controles de segurança da informação relacionados e de terceiros, automatizando questionários de fornecedores e fornecendo modelos de questionários de fornecedores. Também podemos ajudá-lo a comparar instantaneamente seus fornecedores atuais e potenciais com o setor deles, para que você possa ver como eles se comparam.
Isso inclui portas abertas e outros serviços expostos à Internet pública. Nossa plataforma verifica explicitamente quase 200 serviços em execução em milhares de portas e relata todos os serviços que não conseguimos identificar, bem como quaisquer portas abertas sem serviços detectados.
A principal diferença entre o UpGuard e outros fornecedores de classificações de segurança é que há evidências muito públicas de nossa experiência na prevenção de violações e vazamentos de dados. Nossa experiência foi apresentada em jornais como The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters e TechCrunch.
Você pode ler mais sobre o que nossos clientes estão dizendo nas avaliações do Gartner.
Se você quiser ver a classificação de segurança da sua organização, clique aqui para solicitar sua classificação de segurança gratuita.