17.3 C
São Paulo
segunda-feira, maio 27, 2024
InícioCibersegurançaSegurança cibernética em ambientes de empresas interconectadas

Segurança cibernética em ambientes de empresas interconectadas

Hoje em dia, é praticamente impossível imaginar que uma empresa seja 100% independente, que não tenha conexões tecnológicas ou compartilhe informações com outras empresas para que seus negócios sejam factíveis de serem operados. 

O nível de especialização, melhores condições financeiras, maior capacidade de execução, posicionamento geográfico e também o não desvio do foco principal da empresa são alguns dos fatores que fazem com que as empresas busquem parceiros de negócios ou prestadores de serviços para complementarem seus processos.

A terceirização, essa verdade quase universal, é algo que já está entre nós e que tenho certeza de que permanecerá “eternamente” como uma realidade para todas as empresas. Isso traz à tona uma questão que perturba o sono dos profissionais de gestão de risco e segurança cibernética desde sempre: qual o nível de segurança dos meus prestadores de serviço? 

Eles têm o nível mínimo de segurança necessário para se conectar à nossa rede (que lutamos tanto para conseguir proteger) ou para armazenar informações de nossos clientes de forma diligente e segura? O ambiente do prestador de serviço tem o nível de segurança necessário para se manter disponível e continuar prestando o serviço contratado e que, muitas vezes, é parte de um processo crítico de nossa empresa? Essas são algumas das questões que sempre nos assombraram e que cada vez mais temos que estar atentos e diligentes. 

Eventos recentes com grandes prestadores de serviço trouxeram indisponibilidades prolongadas em serviços críticos para diversas empresas, sem falar nos inúmeros casos de vazamento de informações noticiadas e que, quando investigados corretamente, apontam para a origem deste vazamento em um prestador de serviço contratado e não na estrutura direta da empresa “dona” do dado.

Sinto muito, mas aqueles que pensam que, terceirizando um determinado serviço, estão “livres” das responsabilidades no caso de um vazamento de informações, estão muito enganados. Há leis e regulamentações que deixam claro que a responsabilidade é do controlador da informação (como referido na LGPD). 

Quando há um problema de indisponibilidade na prestação de um serviço ou de vazamento de dados, nossos clientes e/ou usuários acionam os nossos canais de comunicação. Para eles, e eu concordo, não é um problema deles que a empresa decidiu terceirizar um serviço, pois a relação que existe é com a empresa que temos algum tipo de contrato ou relacionamento direto.

É nosso papel estabelecer um processo que seja capaz de mensurar o nível de risco cibernético de nossos parceiros e prestadores de serviço. Esse é um desafio que, desde quase o meu começo na área de segurança cibernética, encaro, e já experimentei diversos momentos de maturidade. 

segurança cibernética
Imagem gerada por Inteligência Artificial (IA)

Os processos mais comuns e aplicados atualmente contemplam basicamente duas abordagens que são complementares:

  1. Avaliação de maturidade de segurança através de checklists

Aquelas planilhas que, muitas vezes, têm uma infinidade de perguntas a serem respondidas pela contratada e que a equipe da empresa contratante tem a responsabilidade de validar as evidências (quando solicitadas). Em alguns casos, podem até ocorrer visitas presenciais para validar os controles/evidências in loco (o que é bastante trabalhoso e custoso também). Isso tudo para, ao final, emitir um parecer sobre o nível de risco e/ou maturidade em segurança da empresa contratada.

Essa abordagem traz um problema muito grande, na minha opinião, que é a visão de uma “foto” do ambiente do prestador de serviço (que sabemos que, hoje em dia, com a velocidade das mudanças tecnológicas, podem, no dia seguinte à análise, já estarem desatualizadas), e também não vou citar aqui que o fornecimento de evidências não é uma garantia da completude e aderência ao controle analisado. Porém, independente do ponto de preocupação citado acima, é algo que já traz uma visão inicial e pode ajudar na gestão do risco do prestador de serviço.

  1. Uso de soluções TPRM (Third Party Risck Management)

São soluções que basicamente fazem uma análise não intrusiva das informações e ativos de tecnologia disponíveis na internet das empresas com base em informações, como endereço de site e endereços IP, trazendo uma visão de pontos de não conformidade com as boas práticas e de fragilidades/vulnerabilidades identificadas (e que poderiam ser exploradas por qualquer pessoa com acesso à internet). 

Algumas ainda oferecem uma validação sobre os computadores que possam estar se comunicando com redes conhecidas de equipamentos comprometidos (chamadas de BotNets) ou, até mesmo, se os dados daquelas empresas estão envolvidos em vazamentos de informações que se tornaram públicos de alguma forma. 

Existem também algumas poucas soluções que fazem uma análise mais profunda das configurações de segurança dos prestadores de serviço, mas que, para serem executadas, precisam do fornecimento de acessos, o que faz sentido e traz resultados bem mais completos e reais.

Essas plataformas ajudam inclusive na resolução dos pontos, dando instruções de como corrigir cada item de falha identificado, o que normalmente é muito útil para que os prestadores de serviço sejam capazes de corrigir os itens apontados da forma correta.

segurança cibernética
Imagem gerada por Inteligência Artificial (IA)

Assim, resolve-se em parte a questão de não trabalhar com uma “foto” dos prestadores de serviço, pois as plataformas executam análises com bastante frequência e vão ser capazes de mostrar uma visão continua das fragilidades da empresa, e naturalmente, se não houver uma evolução nesses pontos, provavelmente a maturidade de segurança da empresa (validada na abordagem do checklist) não estará muito boa.

Utilizando essas abordagens (na minha visão, elas funcionam melhor em conjunto), conseguimos ser capazes de começar a medir o nível de segurança e consequentemente o nível de risco cibernético de nossos prestadores para, com isso, conversar com os responsáveis pelos contratos dentro de nossas empresas sobre o risco associado ao processo de negócio que é responsabilidade dele e que normalmente também foi responsável pela definição da terceirização.

Aí vem a pergunta mais complexa de todos: se o prestador de serviço tiver uma maturidade muito baixa e muitos problemas de segurança, devemos interromper o contrato e procurar outro parceiro? Complicada essa decisão… e ela traz diversas questões para a definição: qual o custo desta mudança? Temos outras empresas capazes de prestar esse serviço? Quem garante que as outras empresas têm um nível de segurança adequado?

Eu acredito que a gestão de riscos em prestadores de serviço tem que ser encarada como um processo evolutivo, onde o prestador de serviço envolvido deve ser convidado a apresentar um plano de evolução de segurança para chegar até o patamar aceitável pela empresa que o está contratando dentro de um prazo razoável. Muitas vezes, a empresa contratante pode (e deve) ajudar nesse processo, levando sua expertise e conhecimento de segurança para ajudar nessa jornada. 

Com isso, um plano de acompanhamento da evolução será estabelecido para que realmente haja uma evolução com o cumprimento dos combinados entre as partes. E, se ao final de um determinado período, o prestador não demonstrar a evolução necessária, a empresa contratante pode voltar à questão anterior de continuar ou não trabalhando com esse parceiro.

Enfim, como disse no começo, esse é um tema que nos assombra há muitos anos e com certeza continuará como parte de nossas preocupações por muito tempo. Por isso, tentei trazer aqui uma visão simplificada de como tratar inicialmente essa questão, pois ela precisa ser pauta das empresas!

Glauco Sampaio
Glauco Sampaio
Profissional da área de Segurança da Informação, Gestão de Riscos e Prevenção a Fraudes atuando desde 1999 em empresas de grande porte do mercado financeiro nacional (Bancos: Santander, Votorantim e Original, e Cielo) e também em empresa de mídia (iG e Editora Abril). Gestor desde 2005 sendo responsável pela estratégia, operação e gestão de áreas de segurança da informação.
Postagens recomendadas
Outras postagens