Mudanças na maneira como usamos e dependemos de nossas infraestruturas de TI ao longo do último ano lançaram um holofote sobre a complexidade de nossos ecossistemas de fornecedores. Seja através de transições rápidas para serviços baseados em nuvem, ou nossa maior consciência dos riscos cibernéticos compartilhados entre grandes grupos de partes interessadas, a TPRM (Third Party Risk Management, gerenciamento de riscos de terceiros) está agora firmemente na agenda da maioria das equipes de segurança cibernética e proteção de dados.
De longe, a questão mais desafiadora ao começar a abordar a TPRM é saber quem é esse ecossistema de provedores. Seja examinando uma solução de software que unifique serviços de vários fornecedores, ou considerando a pilha de data centers, provedores de plataforma, provedores de software e plugins presentes em um ambiente de nuvem, um contrato pode ter muitas dependências.
“Quanto mais interconectados e dependentes esses serviços se tornam, menos graus de separação provavelmente haverá entre aqueles que sabem que foram afetados e todos os outros”
Além da complexidade em nossos próprios sistemas de fornecedores, a cada decisão que tomamos temos que estar cientes de que estamos adotando sistemas complexos, onde muitas de nossas decisões são tomadas olhando para caixas pretas, não conhecendo nem as partes interessadas nem as lacunas potenciais de responsabilidade que podem haver entre eles.
Isso tem implicações tanto para a proteção de dados quanto para a segurança. Toda vez que uma violação de dados em larga escala ou vulnerabilidade de alto impacto atinge a imprensa, os tomadores de decisão ficam se perguntando se é um problema que toca seu sistema … e quanto mais interconectados e dependentes esses serviços se tornarem menos graus de separação, provavelmente haverá entre aqueles que sabem que foram afetados e todos os outros.
À medida que essa área de segurança cibernética cresce, aumenta a importância de definir a propriedade, avaliar riscos em escopos mais amplos, compartilhar informações e manter canais de comunicação entre equipes técnicas.
A agilidade que as empresas têm que demonstrar nas circunstâncias econômicas atuais, em rápida mudança, significa que não só temos que entender melhor nossos riscos, mas precisamos obter esse entendimento mais rapidamente.
Ao gerenciar as consequências da rápida transição para a nuvem de muitas organizações implementadas no início da pandemia, bem como a necessidade de responder às mudanças contínuas nas práticas de trabalho, as equipes de proteção de dados também estão na linha de frente.
Os provedores de tecnologia estão potencialmente tomando decisões de maior risco do que o normal, desenvolvendo novas funções mais rapidamente e investindo mais em resiliência cibernética do que medidas preventivas, para garantir que eles permaneçam competitivos em um mercado de tecnologias disruptivas.
Essas decisões fluem para os clientes que eles fornecem, que já estavam enfrentando os desafios de responder a violações de dados de terceiros.
Uma coisa é certa : quando o conselho pede um resumo dos riscos cibernéticos e de proteção de dados que seus negócios enfrentam, a resposta não pode vir de dentro de perímetros claros como os diretores podem imaginar, mas de uma colagem de informações sobre dependências de terceiros. A questão é quão precisas são essas estimativas, quão rapidamente podemos responder quando algo dá errado e quão resilientes nossos negócios são para uma violação de terceiros.
By Emma Osborn, consultora de segurança cibernética
Fonte: www.privsecglobal.com
