Portanto, é com surpresa então, que seria preciso voltar a olhar para este setor para definir as melhores práticas de gerenciamento de risco do fornecedor, que foi reconhecido no "2014 Protiviti and Shared Assessments Protiviti" como tendo uma prática de gestão de risco do fornecedor mais avançada em comparação às outras indústrias. Como foi possível verificar ao longo de 2013 e 2014, a terceira violação de dados tornou-se um perigo claro e presente a todos os setores, com violações de alto perfil que afetam saúde, varejo e outros setores com taxas crescentes. Neste cenário, pesquisadores da PWC advertiram que os parceiros de negócios, especialmente as organizações de menor dimensão, passaram a ser alvo, a fim de ganhar uma posição em relação às empresas maiores. Sendo assim, o crescimento do "outsourcing", tanto nacional como internacionalmente, simplesmente ressalta a necessidade de implementar estratégias mais abrangentes de gerenciamento de risco do fornecedor.
Cenário em Processo de Transformação
Desde que o guidance OCC foi atualizado em outubro de 2013, o risco de fornecedor também tem sido uma das principais preocupações para os bancos e para instituições afins. Assim, foi possível observar maior atenção e supervisão dirigidas às instituições financeiras, com as novas diretrizes de avaliação a serem emitidas a partir de Benjamin Lawsky no Departamento de Nova Iorque de Serviços Financeiros. A mudança de um modelo, principalmente focado em abordagens e avaliações, faz com que muitas instituições e reguladores estejam se afastando destes, fazendo opção por práticas mais subjetivas e à procura de soluções que permitem às organizações, monitorar e verificar os controles que estão no local para garantir que os requisitos de segurança e privacidade estão sendo atendidos. Portanto, a responsabilidade pelo processo de gerenciamento de fornecedores também mudou a partir do domínio de equipes de compras e abastecimento para o mundo de TI e gerentes de risco, a fim de melhor integrar a gestão de risco do fornecedor com as estratégias empresariais mais amplas neste sentido.
Além disso, membros da diretoria e também dos conselhos gerais estão sendo responsabilizados pelo desempenho cibernético das suas empresas, e, como resultado, maior ênfase está sendo colocada em comunicar esses riscos além do c-suite e em suas mãos. Essa mudança se deve em parte, às conclusões de um recente relatório "New York Department of Financial Services Report on Cyber Security in the Banking Sector", que constatou que "73% das instituições relataram que o Conselho de Administração recebeu atualizações de segurança da informação trimestral ou anual, em uma freqüência que é pouco adequada para garantir que o risco e a segurança estavam sendo devidamente tratados nos níveis mais altos da empresa.
Confiança e Verificação Precisam Andar Juntas
As instituições financeiras nos dias de hoje, estão buscando não apenas confiar, mas também verificar as práticas dos seus fornecedores críticos de segurança, através de uma combinação de metodologias baseadas em evidências tradicionais e com base em muitos outros métodos. Dessa forma, muitas organizações estão exigindo que os seus fornecedores venham aderir ao padrão "SOC 2". De acordo com o AICPA, SOC 2 é um relatório baseado no gerenciamento de "description of a service organization's system and the suitability of the design and operating effectiveness of controls". Na sequência, um terceiro auditor verificou os resultados e avaliou se os controles e políticas adotados estão em vigor para itens como gerenciamento de incidentes, gerenciamento de software e gerenciamento de patches, além de monitoramento do sistema, gerenciamento de logs, detecção de ameaças e muitas outras práticas similares.
Padrão Industrial, Processos de Auditoria e Expansão de Medidas mais Vantajosas
A vantagem deste estilo de avaliação, é que há resultados aceitáveis predefinidos com pouco espaço para a interpretação tendenciosa, dando aos fornecedores a vantagem de saber o que é exigido deles para que possam passar e criar mais de um padrão em toda a indústria, e um número cada vez maior de bancos e outras instituições que trabalhem com serviços financeiros, adotem essas medidas. De forma bastante clara, os processos de auditoria e inquéritos ainda oferecem o seu propósito em ajudar a estabelecer que as normas necessárias e controles estejam no seu devido lugar, mas eles também dependem de tempo e recursos, o que reflete em um momento único e, como tal, não fornecem visibilidade em curso sobre as práticas de segurança de terceiros. Exatamente por esta razão, as principais instituições financeiras estão expandindo seus processos de auditoria com soluções de avaliação automatizadas, que também oferecem vantagens na seleção e priorização de novos fornecedores, enquanto oferece a escalabilidade de métodos manuais que serão imprescindíveis em algumas situações.
Correção de Possíveis Problemas de Segurança
Geradas a partir de uma combinação de diferentes fontes de dados, incluindo informações de eventos de segurança, detalhes de configuração de rede e informações sobre o comportamento dos usuários, muitas instituições financeiras estão encontrando valor em contínuas avaliações de desempenho de segurança, valores estes que podem ser usados para monitorar a rede de um fornecedor e alertá-los para mudanças na postura e na eficácia dos métodos de segurança implementados. Portanto, quando problemas são detectados, os fornecedores podem ter acesso a detalhes forenses que os ajudarão a corrigir esses problemas de segurança em questão. Estas classificações são geradas automaticamente em uma base diária, e podem fornecer informações sobre as tendências de desempenho ao longo do tempo, bem como um contexto a respeito de como um fornecedor pode estar executando suas atividades em relação a outra empresa e dentro de sua própria indústria. Além de ajudar a comparar e selecionar novos fornecedores, as classificações de segurança permitem às empresas que haja uma melhor forma de delegar recursos de gerenciamento de risco para os fornecedores existentes, quando surgem preocupações extremas intraorganizacional.
Gerenciamento de Riscos Alinhado aos Objetivos Organizacionais
Vale deixar claro que as classificações de segurança também fornecem métricas de desempenho, e essas métricas podem ser compartilhadas com o conselho, com os executivos da organização e com outras equipes, a fim de comunicar os objetivos e princípios de gerenciamento de risco. Tudo isso feito em uma base mais freqüente. Assim, os líderes podem verificar se as práticas de gerenciamento de risco do fornecedor estão alinhadas com os objetivos da empresa e se adaptam às políticas de conformidade, quando assim se fizer necessário. Além disso, os ratings podem ser usados para medir o desempenho da própria empresa de um modo geral, e de uma forma que os líderes de segurança e de negócios possam encontrar maior acessibilidade - quando se trata de processos de auditorias internas, sejam elas trimestrais ou anuais.
Tal como acontece com o crescimento no número de membros e formações da indústria do ISAC, só é possível esperar que ao longo do tempo, bancos e prestadores de serviços venham manter um esforço mais concentrado para gerenciar o risco do fornecedor. Dessa forma, este cenário vai se tornar mais comum. Agora é na "arena dos titãs" e nos groundbreakers da indústria de serviços financeiros, mas com a devida diligência exigida pelos órgãos reguladores e legisladores, que outras instituições, em breve, estarão buscando formas de realizar avaliações de risco com relação ao fornecedor. Essas avaliações devem ser eficazes e replicáveis, facilitando se comunicar de forma mais produtiva com suas equipes. A adoção do padrão da indústria "SOC 2" e avaliações de desempenho de segurança irão ajudar no sentido de criar as bases de confiança que as instituições financeiras e seus parceiros de negócios estão buscando, através de um melhor processo de gerenciamento de riscos.
Saiba Mais:
[1] Help Net Security http://www.net-security.org/article.php?id=2236&p=1