Um programa de gestão de riscos de terceiros não protegerá a empresa para sempre. Novas ameaças à segurança cibernética surgem todos os dias, ao mesmo tempo em que os ecossistemas e relacionamentos com terceiros evoluem.

A Gartner estima que 45% das organizações em todo o mundo sofrerão ataques às suas cadeias digitais de fornecimento até o fim de 2025. Para se protegerem, as empresas precisam de medidas de segurança responsivas, que acompanhem as mudanças no cenário dos riscos. 

Quando se trata de programas de gestão de riscos de terceiros, sua manutenção é tão importante quanto o desenvolvimento em si. Ao manter seus processos de gestão de terceiros atualizados, as organizações podem antecipar problemas e minimizar os eventuais impactos negativos.  

Conversamos com seis líderes em segurança da informação e gestão de riscos da OneTrust e de empresas da lista Fortune Global 500 sobre como manter um programa de riscos de terceiros e como comunicar os resultados à diretoria. Esta é a última publicação da série sobre a criação de programas de gestão de riscos de terceiros. 

Faça o download do guia de segurança da informação na gestão de riscos de terceiros, que descreve todas as etapas da criação de um programa, do planejamento ao monitoramento e à comunicação dos resultados.

Como monitorar riscos de terceiros?

A maioria dos fornecedores e prestadores de serviços estão no estágio de monitoramento contínuo do ciclo de vida da gestão de riscos. Mesmo que um provedor tenha sido aprovado com êxito na avaliação inicial, isso representa somente uma imagem momenânea do seu estado. O monitoramento contínuo é necessário para reduzir os riscos ao longo de todo o relacionamento com essa empresa. 

Em geral, o monitoramento de terceiros é facilitado por ferramentas automatizadas de acompanhamento de riscos. É ideal incluir um plano passo a passo para responder a alertas de segurança e determinar as medidas necessárias para cada ocorrência. 

“Mesmo depois que um fornecedor é integrado, é preciso planejar um processo de monitoramento e um fluxo de trabalho para eventuais problemas. Por exemplo, se ocorrer algo relacionado a ESG: quem está cuidando disso? Não é um problema de segurança. Se definirmos funções e responsabilidades com antecedência, saberemos as próximas etapas”, diz Kevin Liu, diretor sênior de segurança da informação da OneTrust.  

“Quando recebo um alerta, me asseguro primeiramente de avaliá-lo e entendê-lo, porque nem todos os alertas são iguais. É importante seguir a lista do que estamos monitorando: postura de segurança, governança social, saúde financeira, em alguns casos, e assim por diante”. 

Se um alerta requer atenção, a equipe deve entrar em contato com o fornecedor ou prestador, a fim de investigar e limitar possíveis ameaças. Isso pode incluir desativar o acesso desse parceiro e exigir atualizações enquanto ele trabalha em um plano de correção. A empresa só deve devolver o acesso ao seu sistema interno quando o provedor puder provar que o problema foi solucionado.

Manutenção de um programa de gestão de riscos de terceiros

O segredo para manter um programa dedicado aos riscos de terceiros é responder rapidamente a mudanças nos relacionamentos e no cenário de riscos.

“Se você está fazendo o mesmo que no ano passado e nada mudou, talvez não seja preciso fazer uma manutenção ativa”, explica Tim Mullen, diretor de segurança da informação da OneTrust. “É claro que, se surgir algo novo no mercado, uma nova vulnerabilidade, algo que desperte o interesse, isso pode provocar uma mudança”.

As perguntas a seguir podem ajudar a estruturar um processo de manutenção de rotina: 

• Sua organização estabeleceu um novo contrato com terceiros? 
• Sua organização compartilha diferentes tipos de dados? 
• Sua organização identificou algum novo risco potencial?
• Sua organização iniciou uma nova linha de negócios? 
• Sua organização se envolveu em fusões/aquisições ou vendas de ativos?  

“Outra coisa comum é assinar com um fornecedor e, em seguida, o escopo mudar. Por exemplo, a empresa implementa uma nova funcionalidade e, de repente, um fornecedor de baixo risco passa a ter acesso a dados sensíveis”, diz Jose Costa, diretor sênior de pesquisa em GRC da OneTrust. “Mesmo pequenas mudanças nas relações com fornecedores devem passar por novos processos de avaliação”.

Na maioria dos casos, o programa de gestão de riscos de terceiros deve ser revisado uma vez por ano. A reavaliação dos processos não tem como objetivo somente manter a segurança, mas também dar maturidade ao programa. 

“Não temos que avaliar somente a gestão de riscos de terceiros, mas tudo o que a toca. Qual é a política de gestão de fornecedores? A empresa identificou algum problema com um determinado fornecedor ou outro da mesma categoria? É preciso trazer todas as informações relevantes e avaliar o programa holisticamente, para saber como avançar”, diz Liu.  

Comunicação do desempenho do programa à diretoria

Os relatórios sobre a execução dos programas de gestão de riscos de terceiros são diferentes em cada organização. 

De acordo com a maturidade do programa e as prioridades da administrção, qualquer uma das seguintes métricas pode ser incluída:  

• Número total de terceiros avaliados;
• Tempo de avaliação de terceiros;
• Distribuição de terceiros em categorias;
• Nível geral de exposição ao risco introduzido por terceiros;
• Número de problemas associados aos terceiros (ao longo do tempo);
• Tempo médio de remediação;
• Atividades de mitigação de riscos em atraso.

“Se a implementação do programa ainda está no início, a empresa pode comunicar quantos fornecedores passaram pelos processos, quantos estão em conformidade etc. Ou, ainda, os principais riscos avaliados, como eles foram mitigados e como deverão ser avaliados regularmente”, diz Costa. “Isso vai depender do que a administração quer ver, mas recomendo manter o nível alto e ao menos garantir que 100% dos fornecedores, independentemente do tamanho e da complexidade, passem pelo processo e que esse processo esteja funcionando”.

À medida em que o programa ganhar maturidade, a administração esperará ver os impactos reais dos esforços de gestão de riscos de terceiros. Para isso, será preciso encontrar formas de quantificar significativamente a mudança nos níveis de risco e destacar essa informação nos relatórios. 

“Na área da segurança da informação, raramente há estimativas precisas e reais para os riscos. Temos que procurar indicadores de risco, fatores associados ou indicadores mais tardios sobre o número real de incidentes”, diz Matthew Solomon, vice-presidente de tecnologia e gestão de riscos cibernéticos da Humana. “Para mostrar o impacto real do programa, a chave é chegar o mais próximo possível da quantificação dos níveis de risco e sua redução”. 

Redução dos riscos por meio da gestão 

Indepententemente da posição na jornada de gestão de terceiros, as empresas têm como meta reduzir os riscos em toda a cadeia. Isso pode ser feito com o monitoramento ativo de alertas de segurança, a abordagem de potenciais problemas e a revisão periódica dos programas, em busca de alterações ou atualizações significativas. Por fim, os resultados dos esforços da equipe devem ser demonstrados, por meio da quantificação dos níveis de risco. 

Reduza riscos, promova a confiança e melhore a resiliência da empresa unificando a gestão de terceiros nos âmbitos da privacidade, segurança, ética e ESG. Solicite uma demonstração hoje mesmo.