Várias violações de grande escala se originam nos riscos provocados por parceiros e fornecedores, algo que ainda tem pouca importância para os executivos de grandes organizações.

Segundo uma pesquisa do Ponemon Institute, os executivos não estão engajados nos processos de gerenciamento de riscos de terceiros e faltam programas formais para fazer a gestão desses riscos.

O estudo, conduzido com mais de 600 pessoas mostra ainda que 75% dos profissionais veem os riscos de parceiros e fornecedores como algo sério, porém, apenas 29% dos entrevistados disseram que suas empresas têm um programa de gerenciamento de riscos apropriado e apenas 21% acredita na efetividade das organizações na mitigação desses riscos.

Um erro de segurança de um parceiro ou fornecedor pode ter grande impacto no custo de uma violação de dados. Um estudo de 2014 do Ponemon Institute revelou que 65% das empresas que reportaram dividir dados de clientes com um parceiro também informaram uma violação subsequente por causa disso.

Boas práticas para gerenciamento de riscos de terceiros

O gerenciamento de riscos de parceiros e fornecedores é um desafio até nas maiores empresas devido ao aumento da complexidade dessas relações.

Especialistas em segurança concordam com algumas boas práticas. Conheça:

Tenha uma lista clara de todos os fornecedores e parceiros: As empresas apenas podem gerenciar os recursos que sabem que têm. Essa lista deve incluir todas as linhas de negócio e requer um processo de validação.

Riscos devem ser atribuídos a cada parceiro: Os riscos de cada fornecedor e parceiro devem ser registrados, revisados e classificados todos os anos. Os riscos podem ser colocados em categorias como “baixo”, “médio” e “alto” e podem ser redefinidos de tempos em tempos.

Processos de governança: Como terceiros são associados a diversas linhas do negócio, é preciso haver uma autoridade central para decidir como resolver problemas. Se as evidências de um problema apontam para um fornecedor, é preciso que haja uma autoridade para decidir como responder.

Cumprimento de compliance e políticas de segurança: Contratos devem conter um grande peso em disputas e defesas, portanto, políticas de segurança devem ser formalizadas por meio deles. Ao mesmo tempo, as empresas devem avaliar de tempos em tempos o cumprimento das normas estabelecidas.