3 etapas para minimizar as vulnerabilidades de segurança de terceiros - AppsFlyer (Portuguese)
5 Min. Read

3 etapas para minimizar as vulnerabilidades de segurança de terceiros

Guy Flechter Guy Flechter Jun 03, 2019

Nenhuma organização existe sozinha. Por mais que seja confortável pensar que as medidas internas de segurança que implementamos são suficientes para nos manter seguros, a realidade é que a segurança interna é apenas uma peça do quebra-cabeça de segurança. Toda organização depende de outras organizações – seja um provedor de e-mail, um servidor ou o café que serve seus almoços às sextas-feiras. Se as suas medidas de segurança não se estenderem a outras organizações e serviços em que você confia, você tem um grande problema.

Na última década, muitas organizações sofreram vulnerabilidades e violações que não esperavam em sua cadeia de suprimentos. Algumas das maiores empresas do mundo foram vítimas de vulnerabilidades de seus fornecedores.

A segurança do fornecedor deve ser tratada como qualquer outro elemento na segurança organizacional. Se você diminuir a segurança de terceiros, poderá ser como deixar as portas para o escritório abertas durante a noite e definir as senhas de todos para 1234567. Investir em segurança interna e ignorar a vulnerabilidade de segurança é como trancar a porta da frente, mas deixar uma janela aberta. Vulnerabilidade é isso: uma vulnerabilidade – e fornecedores terceirizados podem ser uma.

Como qualquer outra empresa, a AppsFlyer não existe de forma isolada. Os produtos da AppsFlyer têm integrações de terceiros, e implementamos fornecedores para serviços internos em vários departamentos. De muitas formas, o gerenciamento de segurança do fornecedor desempenha um papel fundamental no posicionamento geral de segurança da AppsFlyer e, portanto, requer a atenção apropriada da nossa equipe de segurança.

Nesta parte, abordarei as etapas e as medidas que você deve tomar antes de assinar um contrato com um novo fornecedor terceirizado.
Do ponto de vista da segurança, há 3 etapas necessárias

1. Avaliação de Riscos
2. Priorização, Automação e Visibilidade
3. Monitoramento contínuo

Vamos lá!

 

Prefácio: Todos os fornecedores terceirizados são iguais?

Não.

Fornecedores diferentes, riscos diferentes. O café que serve o almoço de sexta-feira não representa o mesmo tipo de risco de segurança que a empresa que mantém seu sistema de e-mails.

Com recursos de segurança limitados, é crucial saber onde investir seus esforços. Saber quais fornecedores exigem uma análise mais aprofundada que os outros é a primeira etapa fundamental ao considerar um novo serviço de terceiros. Avaliação de riscos é o o mais importante aqui. À medida que sua organização cresce e os recursos se tornam ainda mais limitados, a avaliação de riscos ajudará a determinar onde e como direcionar seus esforços de segurança sem esgotar seus recursos.

 

1. Avaliação de riscos

A avaliação de riscos é um elemento-chave em qualquer programa de segurança da informação. Parte do programa de avaliação de riscos em qualquer organização é identificar os riscos potenciais que podem surgir da dependência de terceiros.

Para realizar uma avaliação de riscos completa, é preciso abordar algumas questões principais:

  1. O fornecedor terá acesso a informações confidenciais?
  2. Qual problema o fornecedor deve resolver?
  3. A empresa já tem algo parecido?

Eu não posso dar um fluxograma se/então como resposta a essas perguntas ou uma escala móvel como referência. A infraestrutura e as necessidades específicas de cada empresa orientam a avaliação de riscos. Os processos de avaliação de riscos acabarão por poupar algum tempo e esforço ao longo do processo e as perguntas ficarão mais fáceis de responder.
Ao definir as respostas para essas quatro perguntas, você poderá explorar suas decisões e priorizá-las.

Os requisitos de segurança devem ser estipulados no contrato que você assina com o fornecedor. Isso ajudará a acelerar o processo de avaliação de segurança do fornecedor centralizando seus requisitos em um formato.

Ao longo da minha carreira, já vi muitos fornecedores tentarem blefar para obter boas respostas em um questionário de segurança de fornecedores. É preciso alinhar com a equipe de segurança presente para que as perguntas diretas que precisam ser feitas sejam abordadas e uma discussão aberta e profissional possa ser realizada.

Por fim, se os fornecedores se recusarem a concordar com certas provisões ou requisitos, esse é um sinal potencialmente útil quanto ao nível geral de comprometimento com a segurança e às áreas de risco que devem ser mais investigadas.

2. Priorizando decisões, automatizando o processo e fornecendo visibilidade

Reduzir os processos, fechar os portões e agir em silêncio sobre seus processos de segurança não é o caminho a seguir.

Priorizar decisões – A abordagem de segurança da AppsFlyer é ágil e provou ser útil à medida que crescemos. Em contato constante com os vários departamentos, abordamos as questões de segurança sem retardar os processos (ou, pelo menos, fazemos nosso melhor para evitar a paralisação). Os “portões” precisam permanecer abertos, com alguém de guarda o tempo todo.

É claro que isso não significa que abandonamos todos os processos, mas se determinarmos que o risco de um certo fornecedor é muito limitado, não vemos razão para verificações de segurança adicionais.  

Automatizar o processo – Tente automatizar o processo o máximo possível. Isso pode significar a compra de softwares que ajudam a gerenciar seus processos de avaliação de riscos e relacionamentos com fornecedores (lembre-se de verificar primeiro o fornecedor do software). Isso permitirá que sua equipe seja dimensionada, o que reduzirá atritos que diferentes equipes têm ao esperar por respostas da equipe de segurança.

Fornecer visibilidade – Os processos e o raciocínio por trás deles devem estar claros; não apenas internamente para a equipe de segurança, mas para o funcionário ou a equipe que pede para contratar o fornecedor, bem como o próprio fornecedor. Deixe todos os envolvidos atualizados sobre o status da solicitação e as lacunas ou problemas existentes (se houver).

 

3. Monitoramento contínuo

A segurança é fluida. Nunca é estática. O monitoramento contínuo e constante é crucial para a saúde da segurança de sua empresa. Organizações evoluem; muitas são adquiridas e seus dados são transferidos a outras empresas, mudam seus padrões ou sua sede. Se um fornecedor com o qual você está trabalhando for adquirido, por exemplo, o processo de verificação precisa começar do zero; você estará essencialmente avaliando um fornecedor totalmente novo. Águas paradas não cheiram bem. Certifique-se de reavaliar continuamente os fornecedores já contratados.

 

Tornando a segurança parte do DNA da sua organização

O risco de terceiros é somente um dos muitos elementos quando se trata dos esforços de segurança da sua organização. Colocar a segurança à frente de todos os estágios de inovação e crescimento significa que você sempre estará um passo adiante no que diz respeito à mitigação de riscos.

Gerencie os riscos de terceiros; não deixe que eles gerenciem você.

 

Veja como o nosso próprio CEO, Oren Kaniel, aborda os riscos de terceiros, um dos 4 pilares de uma plataforma de marketing de missão crítica.