Segurança da informação deve ser encarada como uma questão de cultura dentro da organização
É assustador o alto volume de informações que circulam dentro de uma empresa e o risco de exposição desses dados, como vazamentos e fraudes. Muitos deles são diariamente compartilhados com terceiros. Afinal, nenhuma organização opera sozinha. Se você parar para analisar a situação nos detalhes, considerando o fluxo de dados na companhia na qual você atua, verá que o que digo não é exagero.
Em geral, compartilha-se com terceiros dados financeiros, operacionais, estratégicos e regulatórios. Em um passado recente, a qualificação desse parceiro de negócio era feita com base na avaliação de informações financeiras básicas, como as de um balanço anual da companhia. Somente isso bastava. Hoje, se exige o preenchimento de extensos relatórios de auditoria. Em alguns casos, rastreia-se, inclusive, os dados de sócios considerados politicamente expostos. Ou pior, diante da dificuldade de realizar-se esta tarefa, algumas empresas apenas encaminham um formulário onde o terceiro se autodeclara estar em conformidade com a política da empresa. E ponto final: risco aceito.
No meu entender, porém, a gestão de riscos de terceiros precisa ser ainda mais profissional. Acredito nisso porque a prática do simples preenchimento de relatórios se mostra bem pouco eficiente. As questões podem ser respondidas de modo automático sem se obter uma evidência de que boas práticas estão sendo adotadas. Eu comparo o processo de qualificação de um terceiro a uma diligência legal, dada a complexidade da mesma, isto inviabilizaria o processo.
Quer mais um motivo para intensificar essa gestão? Diante da necessidade de distanciamento social, você saberia dizer quais parceiros de negócio da sua companhia migraram para o trabalho remoto de maneira adequada, com estrutura e garantia da segurança de sistemas, máquinas, aplicações e acessos? Lembre-se que, considerando o acordo de troca de informações entre vocês, os riscos dele impactam diretamente na segurança do seu negócio.
Caso você tenha interesse em implementar, revisar ou aperfeiçoar o processo de gestão de riscos de terceiros na sua empresa, minha sugestão é começar buscando o apoio de um especialista. A ideia é que esse profissional faça um mapeamento da sua estrutura de TI e das ferramentas que já estão em operação. Assim, evita-se investimentos desnecessários em novas soluções. Muitas vezes, uma configuração adequada de recursos de segurança existentes já resolve grande parte dos problemas da organização.
Com a estrutura interna protegida, é hora de rastrear proativamente a reputação do terceiro no ambiente digital e os riscos cibernéticos que a organização apresenta. Para essa etapa, já existe uma solução disponível no mercado. Na prática, por meio do domínio da empresa que se deseja mapear, existem formas de avaliar o score de risco com base em informações públicas relacionadas a dez fatores. Essa análise inclui networking security, DNS health, patching cadence, entre outros itens, sem que o terceiro tenha que oferecer qualquer informação. De forma automatizada é possível classificar (e ser classificado) no que tange a riscos cibernéticos da mesma forma que se é classificado em riscos de crédito. Por meio de uma escala de A a F, na qual A é uma empresa com baixo risco cibernético e, portanto, com baixa probabilidade de vazamento de dados e F é uma empresa em situação grave.
Imagine agora a mudança que este tipo de classificação pode oferecer ao seu negócio. ao invés de simplesmente aceitar o risco ou entrar em um processo de auditoria formal para cada terceiro com que sua empresa se relaciona, você teria a sua disposição um painel medindo em tempo real o risco cibernético público de cada um destes terceiros. Aqueles que apresentem um risco classificado como A ou B poderiam ser aceitos sem qualquer diligência formal, mas aqueles com um risco abaixo de C deveriam receber uma auditoria digital, com apresentação de evidências. Este é um cenário ganha-ganha, pois o terceiro avaliado saberá sua nota, receberá um relatório detalhado que justifique esta nota e as medidas necessárias a serem implementadas para mitigar estes riscos. Para a empresa também é uma revolução pois transforma um processo manual e muitas vezes ineficaz, em um processo automatizado e capaz de realmente mitigar um risco significativo que as empresas estão expostas.
Essa é uma maneira de avaliar o terceiro de uma maneira mais objetiva. Além disso, por saber a situação da segurança dos dados dele da porta para fora, fica mais fácil concluir como o assunto é tratado no ambiente interno. É um complemento às análises financeiras e respostas do questionário de auditoria.
Gerir o risco de terceiros é necessário porque a responsabilidade de uma companhia com relação aos dados que transitam nos seus processos é mais ampla do que muitos imaginam. Ela se expande por todo o ecossistema da sua operação, incluindo com quem divulgamos ou compartilhamos as informações, independentemente do propósito desta ação. Além disso, como sempre insisto, organizações que demonstrarem efetivo respeito a essa boa prática serão as mais valorizadas, em um curtíssimo espaço de tempo. Como se diz no mercado: sua segurança é tão boa quanto a segurança do seu elo mais fraco. Gerir o risco do ecossistema é uma obrigação.
Tenha atenção apenas para um ponto muito importante. Segurança da informação é mais do que tecnologia, ferramentas e processos. Ela deve ser encarada como uma questão de cultura dentro da organização.
*Simone Santinato é DPO da Etek NovaRed Brasil
