Notícias de dispositivos móveis, gadgets, aplicativos Android

Riscos de segurança da informação que você precisa ter cuidado com fornecedores / terceiros

Riscos de segurança da informação

Riscos de seguran√ßa da informa√ß√£o assistidos Os modelos de neg√≥cios para institui√ß√Ķes banc√°rias e de servi√ßos financeiros (BFS) evolu√≠ram de uma entidade banc√°ria monol√≠tica para uma entidade de servi√ßo de v√°rias camadas.

O que isso significa para as empresas BFS é que elas precisam ser mais atualizadas e relevantes no que diz respeito à tecnologia e à qualidade de todos os serviços prestados a seus clientes. Hoje, a metodologia mais escolhida para isso é a terceirização de serviços para fornecedores e terceiros.

Embora a terceiriza√ß√£o seja rent√°vel para as empresas, essa abordagem vem com seu pr√≥prio conjunto de desvantagens. √Č prudente dizer que toda empresa de terceiriza√ß√£o deve estar ciente dos riscos que os fornecedores trazem para a mesa.

Embora os fornecedores tragam muitos riscos operacionais de segurança da informação, dependendo do envolvimento dos negócios, uma metodologia para gerenciar apenas os riscos de segurança da informação de terceiros é discutida aqui.

Apenas para fornecer uma no√ß√£o do impacto que os Riscos de Seguran√ßa da Informa√ß√£o do fornecedor trazem para as organiza√ß√Ķes, abaixo est√£o alguns dos fatos de pesquisas realizadas pela Big 4 empresas de consultoria como PwC & Deloitte.

‚ÄúO n√ļmero de viola√ß√Ķes de dados atribu√≠das a fornecedores terceirizados aumentou 22% desde 2015‚ÄĚ – fonte PwC

De acordo com a Deloitte ‚Äú94.3% dos executivos confiam de baixa a moderada em suas ferramentas e tecnologia de gerenciamento de riscos de terceiros e 88.6% confiam de baixa a moderada na qualidade do processo subjacente de gerenciamento de riscos √† seguran√ßa da informa√ß√£o ‚ÄĚ.

Conhecemos o problema agora, como você começa a resolvê-lo?

Um lugar perfeito para começar é com o equipe de compras e / ou equipe de compras dependendo de como sua organização está configurada. Em um mundo ideal, espera-se que essas equipes tenham um inventário de todos os fornecedores, terceiros e parceiros da sua organização.

Uma vez que este invent√°rio esteja pronto, a equipe de gerenciamento de riscos do fornecedor de TI (IT-VRM) precisa separar os fornecedores de TI dos que n√£o s√£o de TI. Esta √© uma atividade √ļnica. Para necessidades futuras, √© recomend√°vel que a equipe de terceiriza√ß√£o separe os fornecedores com base em seu envolvimento nos neg√≥cios (TI versus N√£o TI).

Riscos de segurança da informação que você precisa ter cuidado com fornecedores / terceiros 1

Compreendendo seus fornecedores e os riscos de segurança da informação que eles carregam:

Uma das maneiras mais simples e eficientes de entender seus fornecedores é ter uma lista de verificação de escopo, que detalha os negócios dos fornecedores com sua organização, tipos de pontos de contato e trocas de dados, tipo de Riscos de Segurança da Informação que sua organização é exposta por esses negócios terceirizados.

Esta informação está geralmente disponível com o gerente de fornecedores representando sua organização nos relacionamentos com fornecedores.

Abaixo está a lista de indicadores de Riscos de segurança da informação (não limitados a) aos quais você pode querer perguntar ao seu gerente de fornecedores.

  • Risco regulat√≥rio – Esse relacionamento afeta sua postura regulat√≥ria? Qual √© a penalidade associada a essa n√£o conformidade regulamentar?
  • Risco de reputa√ß√£o– Esse servi√ßo afeta seus clientes e a reputa√ß√£o que voc√™ mant√©m com eles?
  • Risco financeiro– Algum risco financeiro √† seguran√ßa da informa√ß√£o associado ao envolvimento comercial?
  • Riscos de seguran√ßa da informa√ß√£o – quais dados s√£o compartilhados como parte do compromisso comercial com o fornecedor? Qu√£o seguro √© o fornecedor em rela√ß√£o √† prote√ß√£o dos dados da sua organiza√ß√£o?
  • Riscos de resili√™ncia – O fornecedor introduz algum ponto √ļnico de falha em suas pr√°ticas de neg√≥cios?
N√≥s recomendamos:  Breath permite que voc√™ execute o Ubuntu em Chromebooks Intel modernos

Para entender o nível de avaliação a ser realizado com o fornecedor, você precisará entender o modelo operacional de negócios do fornecedor.

Abaixo está uma lista indicativa de temas que você pode discutir com o gerente de fornecedores para entender o escopo da avaliação do fornecedor.

  • Atributos de dados compartilhados e recebidos com o fornecedor, volume de dados e frequ√™ncia
  • Modo de comunica√ß√£o / interfaces com um fornecedor – Correio, conex√£o remota √† rede do fornecedor, a conex√£o remota do fornecedor √† sua rede interna, somente upload de dados, somente download de dados, fornecedores s√£o trazidos no local e conectados a partir de seus escrit√≥rios para fornecer servi√ßos
  • Servi√ßos prestados – Servi√ßos de data center, provedor de aplicativos, provedor de servi√ßos em nuvem, servi√ßos de processamento de dados e muitos outros.
Riscos de segurança da informação que você precisa ter cuidado com fornecedores / terceiros 2

Classificação de riscos de segurança da informação, recorrência de avaliação e tipo de avaliação:

Em Riscos de seguran√ßa da informa√ß√£o, com base nos resultados da etapa anterior, uma matriz de risco consolidada pode ser desenvolvida com o impacto total e a probabilidade do fornecedor. √Č mostrada abaixo uma amostra de uma matriz de risco qualitativa.

Riscos de segurança da informação que você precisa ter cuidado com fornecedores / terceiros 3

A recorr√™ncia da avalia√ß√£o do fornecedor est√° na classifica√ß√£o de Riscos de Seguran√ßa da Informa√ß√£o, obtida anteriormente. A melhor pr√°tica do setor √© ter avalia√ß√Ķes mais freq√ľentes e rigorosas para fornecedores cr√≠ticos do que outros fornecedores.

Al√©m disso, o grau de avalia√ß√£o de cada fornecedor pode variar, dependendo dos riscos do fornecedor de informa√ß√Ķes. Por exemplo, um fornecedor cr√≠tico que fornece servi√ßos de infraestrutura pode ser classificado como fornecedor Alto / cr√≠tico e, portanto, precisaria de uma avalia√ß√£o de TI mais detalhada.

FIG-4: descreve os v√°rios tipos de verifica√ß√Ķes que devem ser executadas para v√°rios tipos de fornecedores, juntamente com o ciclo de avalia√ß√£o. Esta √© apenas uma lista indicativa e pode variar de acordo com a organiza√ß√£o.

A lista abaixo fornece uma descrição dos tipos de testes que podem ser realizados para qualquer Fornecedor

  1. Teste de design: Avaliar, revisar pol√≠ticas, procedimentos, padr√Ķes e contratos da organiza√ß√£o do fornecedor
  2. Teste de Eficácia: Avalie e revise as evidências que apóiam as evidências de projeto produzidas pelo fornecedor para vários controles.
  3. Site f√≠sico – visita: A equipe de TI-VRM poderia planejar visitar as instala√ß√Ķes do fornecedor para uma avalia√ß√£o muito mais ampla; esta √© a forma mais exaustiva de teste e pode ser restrita a ser executada apenas para fornecedores cr√≠ticos / altos.

Por exemplo, se sua lista de verifica√ß√£o espera que o fornecedor tenha uma pol√≠tica de seguran√ßa da informa√ß√£o atualizada / revisada pelo menos anualmente. Seu teste de design deve verificar se a pol√≠tica exige que a equipe de seguran√ßa da informa√ß√£o (ou) a equipe autorizada revise a pol√≠tica anualmente. Seu Teste de Efic√°cia deve verificar a pol√≠tica de seguran√ßa das informa√ß√Ķes reais do fornecedor em busca de atualiza√ß√Ķes recentes e verificar se ela foi revisada anualmente.

Riscos de segurança da informação que você precisa ter cuidado com fornecedores / terceiros 4

Checklist e metodologia de avaliação:

Agora que sabemos quem s√£o nossos fornecedores, o que fazem, quais riscos √† seguran√ßa da informa√ß√£o trazem para a organiza√ß√£o, que tipo de avalia√ß√£o deve ser executada e com que frequ√™ncia, a lista de verifica√ß√£o e a metodologia precisam ser finalizadas. Muitas organiza√ß√Ķes usam estruturas de controle diferentes para fazer isso, dependendo da vertical de neg√≥cios a que pertencem. Algumas das estruturas de controle comuns est√£o listadas abaixo,

  1. SIG (coleta padr√£o de informa√ß√Ķes)
  2. COBIT
  3. ISO27001: 2013
  4. NIST SP -800: 35
  5. Vers√£o mais recente do PCI DSS
  6. HIPAA
N√≥s recomendamos:  O OnePlus TV ser√° oficializado em setembro com o lan√ßamento da √ćndia, Am√©rica do Norte, China e Europa posteriormente

O SIG é a solução mais procurada da lista, pois compreende todas as principais estruturas de controle listadas aqui.

Por isso, é mais exaustivo por natureza. Independentemente de qual estrutura de controle é adotada, um questionário de controle precisa ser preparado com o respectivo serviço de negócios sendo entregue pelo fornecedor nem mais nem menos.

Um question√°rio de controle precisa ser din√Ęmico com rela√ß√£o a cada fornecedor e deve ser verificado quanto √† adequa√ß√£o e relev√Ęncia pela equipe de TI-VRM antes de emitir um para o fornecedor.

FIG :5 abaixo, mostra a lista de diferentes √°reas de controle que podem ser respons√°veis ‚Äč‚Äčpela cria√ß√£o de um question√°rio de controle. Depois que o question√°rio √© criado, ele precisa ser compartilhado com o pessoal do fornecedor correspondente para coletar suas respostas

Riscos de segurança da informação que você precisa ter cuidado com fornecedores / terceiros 5

Com base na lista de verificação usada para a avaliação do fornecedor, o pessoal do fornecedor precisa responder ao questionário com evidências relevantes correspondentes a cada controle. Isso está relacionado ao tipo de avaliação que está sendo executada (projeto (ou) execução (ou) visita física ao local). Geralmente, uma comunicação é compartilhada com o pessoal do fornecedor sobre as diretrizes sobre como responder ao questionário e os prazos para preenchê-lo.

Desafios e preocupa√ß√Ķes na fase de avalia√ß√£o do fornecedor:

O fornecedor pode ter alguns problemas ao responder ao seu question√°rio, listados abaixo s√£o alguns dos casos de amostra,

1. Problemas de confidencialidade no compartilhamento de documentos cr√≠ticos – Alguns fornecedores podem n√£o ter permiss√£o para compartilhar seus documentos internos, pois sua pol√≠tica pode impedi-los de faz√™-lo. Nesses casos, umNDA pode ser assinado entre sua organiza√ß√£o e fornecedor para compartilhar documentos cr√≠ticos. Como alternativa, um compartilhamento de tela sess√£o com o fornecedor pode ajudar a revisar os documentos remotamente. No pior cen√°rio, um visita f√≠sica para o escrit√≥rio do fornecedor pode ser a √ļnica solu√ß√£o.

2. Responder a um grande question√°rio pode levar tempo‚ÄďEm certos casos, em que o question√°rio pode acumular mais de 200 perguntas, √© √≥bvio que o fornecedor pode levar algum tempo para responder ao seu question√°rio.

Uma solução para esses casos é receber relatórios de atestado de terceiros sobre os controles de fornecedores realizados por grandes 4 consultores (ou) consultores externos.

Exemplo de tais relat√≥rios √© SOC1,2 relat√≥rios. Esses relat√≥rios justificam o controle configurado para uma √°rea de controle a partir de uma vis√£o independente. Esses relat√≥rios aceleram o processo de aquisi√ß√£o de informa√ß√Ķes sobre os controles dispon√≠veis com o fornecedor e podem ser usados ‚Äč‚Äčcomo alternativas √†s evid√™ncias reais.

Avaliação e relatórios finais do fornecedor:

Uma revis√£o das evid√™ncias fornecidas pelo fornecedor no question√°rio √© uma das principais etapas na avalia√ß√£o dos riscos √† seguran√ßa das informa√ß√Ķes do fornecedor. Cada pergunta / controle deve ser revisado pela equipe de IT-VRM da sua organiza√ß√£o para adequa√ß√£o e relev√Ęncia.

Os controles que não atendem à qualidade / quantidade esperada de respostas devem ser sinalizados. Esses controles sinalizados devem ser compilados e avaliados quanto ao impacto na sua organização. As lacunas devem ser classificadas com base no impacto e na probabilidade de uma ameaça para sua organização.

N√≥s recomendamos:  Aviso emitido para milh√Ķes de usu√°rios do iPhone ap√≥s atualizar para Appledo iOS 13

Um relat√≥rio baseado na revis√£o deve ser publicado ao fornecedor. Este relat√≥rio deve ter as se√ß√Ķes e detalhes abaixo no m√≠nimo.

  1. Descrição do fornecedor de serviços de negócios
  2. Resumo executivo da Riscos de segurança da informação e classificação de risco residual dos fornecedores
  3. Data da próxima avaliação agendada (dependendo do nível de risco residual e frequência)
  4. Informa√ß√Ķes detalhadas sobre riscos / lacunas que foram identificadas no question√°rio.
  5. Plano de ação acordado para Riscos de Segurança da Informação individuais com cronogramas para correção. Isso também deve ter uma parte responsável da organização do fornecedor, que precisa possuir o plano de ação.

Gerenciamento de lacunas de fornecedor:

Todo o processo de gerenciamento de riscos do fornecedor é concluído apenas quando todas as lacunas relatadas são corrigidas / tratadas pelo fornecedor. Isso é conseguido acompanhando o fornecedor com frequência.

Ao revisar / fechar as lacunas identificadas durante a avaliação inicial, deve-se tomar o devido cuidado para validar a integridade do controle implementado para corrigi-lo.

As entregas esperadas que se qualificam para uma aprovação adequada devem fazer parte do plano de ação. Esses resultados precisariam ser verificados ao fechar as lacunas. FIG-6 abaixo mostra o processo geral do processo de gerenciamento de riscos do fornecedor de TI discutido.

Riscos de segurança da informação que você precisa ter cuidado com fornecedores / terceiros 6

Conclus√£o:

O gerenciamento de riscos do fornecedor de TI é um serviço que deve ser gerenciado por uma equipe dedicada, como a equipe do ITVRM (ou), ou pode ser gerenciado pela equipe de auditoria interna. Nos dois casos, o ciclo de vida será muito semelhante ao que foi explicado.

A maioria das organiza√ß√Ķes considera a terceiriza√ß√£o como uma t√©cnica para evitar riscos e custos de seguran√ßa da informa√ß√£o, mas as organiza√ß√Ķes de terceiriza√ß√£o ainda s√£o os donos dos riscos.

A terceirização deve ser adotada somente após considerar todos os riscos e benefícios do relacionamento com o fornecedor, se os benefícios superarem os riscos, seria uma decisão sábia terceirizá-lo.

Além disso, um processo robusto de gerenciamento de riscos de fornecedores deve estar em vigor para avaliar os perfis de riscos dos fornecedores de maneira consistente. Esses riscos devem fazer parte do registro geral de riscos que sua organização mantém.

Cr√©ditos do autor: Este grande trabalho feito por Shriram Kumar NS. Todo o conte√ļdo deste artigo pertence ao autor original. “GBHackers On Security” n√£o receber√° nenhum cr√©dito por este artigo.