Empresas do setor financeiro exigem segurança de fornecedores e parceiros
As empresas do setor financeiro estão cada vez mais observando de perto seus parceiros de negócios, entre fornecedores e provedores de serviços de TI, a fim de garantir que eles estão cuidando tão bem da sua segurança tanto quanto elas próprias. Isso porque a combinação brecha no sistema e vazamento de dados pode representar um prejuízo de milhões de dólares – e muitas vezes o sistema comprometido não é o da empresa propriamente dito, mas sim o do fornecedor.
De acordo com uma pesquisa da Identity Theft Resource Center, em 2014 foram registradas 783 violações de dados – sendo uma das principais causas o comprometimento de sistemas de terceiros. E o cenário pode ser ainda pior se adicionados os serviços em nuvem.
A ex-CISO da Fair Isaac Corp. (também conhecida como FICO), Vickie Miller, disse, em entrevista ao Wall Street Journal, que, por conta da hiperconectividade, os reguladores começaram a inspecionar minuciosamente essa parte de segurança.
A empresa dela trabalha com muitas companhias do setor financeiro e, se há dados compartilhados entre a companhia e os bancos, é necessário total atenção, de acordo com a especialista.
Vickie explica que, como parte da rotina, os bancos podem solicitar uma lista dos servidores utilizados para atendê-los e dados sobre atualizações de segurança e de programas de gerenciamento de vulnerabilidades. Agora, eles também costumam solicitar, inclusive, screenshots para provar a última vez que os servidores receberam correções de brechas, testes periódicos do estado desses patches, e informações sobre o trabalho que Fair Isaac terceiriza para os outros. Há, ainda, aquelas instituições ainda mais minuciosas, que pedem por testes de drogas aplicados em funcionários que têm acesso aos servidores.
Ter acesso aos diversos parceiros e às suas estruturas de segurança pode ser um trabalho quase impossível, mas um bom começo é identificar e analisar os fornecedores de serviços críticos e seus terceiros, de acordo com o especialista de infraestrutura e segurança do instituto de engenharia de software da Universidade Carnegie Mellon, John Haller.
Ainda de acordo com o especialista, não se deve levar em consideração o tamanho do contrato – que nem sempre é grande. E, embora possa estar nos acordos os requerimentos de segurança que os parceiros devem atender, a construção de relacionamentos próximos é ainda mais importante.
