Por que a análise de risco de terceiras partes é cada vez mais crítica?
por Nuno Oliveira, Cybersecurity Engineering Services Director e partner da Integrity part of Devoteam
Vivemos em plena era digital, não há como negar, até pelo profundo impacto que esta realidade tem vindo a ter não só nas nossas vidas, mas também no funcionamento das organizações e nos seus colaboradores.
Nos últimos anos, temos assistido a grandes transformações nos mercados, nos modelos de negócio e processos, com o “desmoronar” da barreira geográfica e uma frenética adesão a tudo o que garanta maior mobilidade, mais partilha, eficiência e otimização.
Tudo certo, mas não nos deixemos inebriar pelos chavões positivos, pois a par deste acenar de benefícios, há também riscos e acrescidos aspetos a ter em conta.
Centremo-nos na relação com os fornecedores de serviços, tema que me parece de extrema importância já que não há organização que não tenha parceiros, o que significa que não estamos no mercado de forma isolada, mas antes em rede e, de uma ou outra forma, ligados e até dependentes uns dos outros. O que nos leva a questionar sobre o risco que estará associado a estas relações, remetendo-nos para o título deste artigo “Por que a análise de risco de terceiras partes é cada vez mais crítica?”.
Antes de mais, façamos o seguinte exercício: pensar nas organizações como correntes de processos internos e externos de atividades, de dependências entre equipas e olhar para o parceiro como um elo importante dessa corrente. Ou seja, este fornecedor deverá ter a mesma robustez e trabalhar da mesma forma da organização, pois caso contrário há um problema e passa de imediato a constituir um risco ao seu correto funcionamento.
Lembremo-nos que um risco desconhecido é sempre causa de uma má decisão de gestão, como tal há que ter em conta três grandes riscos que se apresentam às organizações quando temos terceiras partes: o mais importante tem a ver com o ambiente operacional (tecnológico) do próprio parceiro, podendo este expor informação (ex.: dados, informação de negócio, processos proprietários, etc.); depois temos a baixa maturidade dos processos de segurança, ou seja se a organização e a terceira parte não estiverem minimamente alinhadas na gestão da segurança e dos seus processos de segurança, isto pode potenciar efeitos mais nefastos do que qualquer incidente e, por último, a não conformidade legal ou regulatória (ex.: RGPD), isto é o facto de termos resolvido a operação, não nos inibe legalmente ou regulatoriamente da responsabilidade pela mesma execução.
Vejamos então como se desenrola este longo processo de TPCRM (Third Party Cyber Risk Management).
Primeiramente, tem de haver sempre uma estratégia de identificação e classificação dos parceiros, porque nenhuma organização tem capacidade de analisar ao nível máximo todos os seus parceiros e esse nível/seleção tem de ficar definido (o que é feito com base na respetiva importância e criticidade que têm para o negócio). A análise dos parceiros com base na estratégia definida para a classificação é um dos fatores de sucesso, sendo relevante haver capacidade de automação do processo e frequência de execução de acordo com a criticidade do negócio.
É importante também que cada organização tenha um standard interno de referência para a cibersegurança, ou seja, saber o que é mandatório, o que tem e não tem impacto na segurança. É, aliás, fator de sucesso conseguir identificar quais os controlos que são realmente fundamentais face ao negócio, e que o seu não cumprimento pode obrigar ao afastamento do parceiro.
Neste procedimento, é preciso que haja um mecanismo implementado de comunicação ágil e eficiente entre as partes, para ter capacidade de definir e acompanhar medidas de mitigação de risco. E, não menos significativo, ter noção que todo este processo tem de ser executado ciclicamente e que, para uma boa gestão de terceiras partes, tem mesmo de se definir ciclos adequados de monitorização contínua e acompanhamento de cada terceira parte.
Em suma, o valor deste processo é conhecer os riscos, tanto no onboarding como no offboarding de parceiros, uma vez que isto é fundamental para a tomada de boas decisões de Gestão. No caso particular dos parceiros conhecer os riscos associados à operação de cada parceiro integrado no nosso ambiente operacional mas, também identificar no caso de saída de um parceiro os riscos (obrigações que perduram muito depois dos contratos que ligam as entidades) associados a essa operação de modo a podermos encontrar medidas mitigatórias em ambas as situações.