Gerenciamento de risco de terceiros: por que e como fazer

Nenhuma empresa opera totalmente isolada. Digo isso no seguinte sentido: em algum momento do seu dia a dia, será preciso compartilhar com terceiros dados sensíveis que estão em seu poder, sejam informações relacionadas a colaboradores, clientes, parceiros ou fornecedores. Isso, em geral, é feito para viabilizar diversas ações, das mais triviais, como a compra de vale-transporte, às mais complexas, como a consolidação de uma fusão.

A grande questão é que, principalmente considerando o estabelecimento da Lei Geral de Proteção de Dados (LGPD), o compartilhamento de informações internas com outras organizações obriga a companhia detentora dos dados a estabelecer uma diligência com a finalidade de se certificar sobre o que esse terceiro faz com os tais dados. Na prática, é uma iniciativa para gerir os riscos desses terceiros. Não mais de uma forma protocolar, manual ou informal, mas de maneira automatizada e estruturada.

Leia também: 5 passos para certificar a cibersegurança do seu negócio

Isso tanto para se defender de possíveis sanções da LGPD quanto para atender às eventuais solicitações dos titulares dos dados que demonstrem interesse em, por exemplo, saber mais detalhes sobre o uso de suas informações.

O que tenho visto, porém, é que o mundo corporativo ainda tem muito a evoluir no assunto gestão de risco de terceiros. Algumas empresas ainda investigam a maturidade da segurança digital de um terceiro se limitando a pedir que ele preencha um relatório simples com declarações sobre o que ele faz ou não da porta para dentro com relação às boas práticas em segurança cibernética.

Muitas vezes, por simples sobrecarga de trabalho ou desconhecimento da seriedade e necessidade da ação, o tal documento é simplesmente arquivado sem auditoria por parte de quem o recebeu, abrindo-se, então, uma porta para o risco.

Caso você tenha interesse em agregar maturidade ao seu processo de gestão de riscos de terceiros, sugiro o seguinte passo a passo:

1. Questione o terceiro sobre as boas práticas dele com relação à segurança cibernética do negócio;
2. Formalize a obtenção dessas informações;
3. Complemente o mapeamento monitorando de maneira proativa o score de segurança do terceiro por meio de iniciativas não-invasivas, ou seja, trabalhe apenas com base em dados públicos da organização em questão, como por exemplo networking security, DNS health, patching cadence, segurança de endpoint, reputação de IP e web application;
4. Deixe que o terceiro saiba sobre os gaps de segurança descobertos por você no ambiente digital dele;
5. Oriente-o a implementar ações corretivas para que o score de segurança da empresa apresente um melhor desempenho;
6. Monitore as atividades corretivas desse parceiro para saber o quanto o ambiente dele evoluiu em segurança cibernética;
7. Paralelamente, mantenha o monitoramento do score de segurança para entender os impactos positivos das ações.

Uma empresa pode fazer o gerenciamento de risco dos seus terceiros por conta própria, desde que conte com equipe, tecnologia e metodologia adequadas para esse fim. Mas, se esse não é o core do negócio, sugiro terceirizar essa ação com uma empresa especializada em segurança cibernética, o que vai tirar a sobrecarga da sua equipe interna e garantir foco total no projeto.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Independentemente do meio escolhido, eu sempre recomendo que, durante todo esse processo, as empresas direcionem aos seus terceiros um discurso de orientação e aconselhamento, não de punição. Essa abordagem tende a fortalecer relacionamentos, além de ser uma ótima via para que tenhamos cada vez mais segurança no ambiente digital. Todos ganham com isso.

*Simone Santinato é DPO da NovaRed Brasil