TPCRM
November 13, 2024

Colocando em prática a colaboração em cibersegurança para terceiros

É compreensível que o processo de onboarding de um fornecedor possa parecer um pouco antagônico às vezes, já que o cliente normalmente quer conferir muitas coisas e requisitar diversas informações. Contudo, não é ideal que a relação permaneça neste estado.

Depois que se começa a trabalhar com um fornecedor, qualquer fragilidade ou problema encontrado não será mais só um problema do fornecedor. A supervisão e o due diligence se mantêm tão importantes quanto foram na contratação, mas as descobertas que você fizer a essa altura também representam um risco ao seu negócio, pois você está avaliando uma relação que já existe. Não é mais um risco em potencial, como antes da contratação, mas sim um risco concreto.

É por isso que, na gestão de risco cibernético de terceiros (third-party cyber risk management — TPCRM), há muitos benefícios em olharmos para os terceiros como aliados. Se você pode confiar em seus fornecedores e sabe que eles desejam aprimorar seus controles de segurança, metade da batalha está ganha – é só questão de ajudá-los a alcançar esse patamar mais elevado que eles já almejam.

Canais para colaboração

Após a decisão de estabelecer parcerias com terceiros, sejam fornecedores ou aliados estratégicos, é fundamental explorar formas de aproximá-los cada vez mais da sua organização. 

Nesse contexto, encontros e eventos presenciais desempenham um papel crucial, proporcionando oportunidades para fortalecer laços, alinhar expectativas e criar um ambiente colaborativo mais integrado.

Aqui na Tenchi, temos organizado discussões presenciais desde 2022. Nossa Tenchi Conference 2024 - Shaping the Future of Cybersecurity Risk Reduction, a segunda edição da Conferência que é a maior do Brasil em termos de Cibersegurança para terceiros, ocorreu em São Paulo, em 6 de novembro, no Palácio Tangará.

Com essa iniciativa, ajudamos nossos clientes e parceiros como anfitriões de um encontro em que podemos compartilhar ideias e aprender com aqueles que já passaram pelos mais diversos desafios em seus programas de TPCRM.

A sua estratégia de colaboração deve ser ajustada de acordo com o seu setor e o perfil da sua cadeia de fornecedores, mas eventos têm algumas vantagens que devemos lembrar. Empresas que têm muitos fornecedores locais ou colaboradores terceirizados que nem sempre respondem bem a outras formas de comunicação provavelmente são as que mais se beneficiarão dos eventos presenciais, mas você pode adaptar as mesmas ideias para encontros online, se for necessário — o importante é marcar o momento.

Especialmente quando há um público qualificado, esses encontros podem ajudar a prender a atenção dos participantes. Além disso, eles criam uma oportunidade para que eles conversem entre si e repassem seus conhecimentos.

Em alguns setores, eventos presenciais podem ser um dos poucos métodos para dialogar com sucesso com seus parceiros. Embora a lógica talvez nos faça pensar que tudo ligado à cibersegurança deva ser "digital", nem todos os públicos são igualmente receptivos às comunicações online. 

É precisamente por esta razão que estamos destacando os eventos com uma ideia que deve estar em seu arsenal. Manter uma mente aberta e pensar fora da caixa podem ser as chaves para construir canais de colaboração eficazes que, juntos, terão um impacto de peso em toda a sua cadeia de fornecedores.

Quem mais está fazendo isso?

A Agência da União Europeia para Cibersegurança (ENISA) tem uma lista de vários encontros de cibersegurança direcionados a vários setores, mas há alguns exemplos do setor privado também, ainda que as empresas nem sempre percebam que esses eventos devam ser pensados como componente de uma estratégia maior. A TSMC, uma conhecida fabricante de semicondutores de Taiwan fundada em 1987, organizou sua primeira oficina de segurança de supply chain em julho.

Um dos destaques da TSMC é os efeitos em cascata dessa iniciativa, ou seja, a possibilidade de que seus fornecedores vão influenciar os fornecedores deles e assim aprimorar a ciber-resiliência de todo o setor. 

Outro exemplo a ser mencionado é o da Microsoft, que sediou o Windows Endpoint Security Ecosystem Summit, em setembro, como parte da resposta ao apagão cibernético causado pela CrowdStrike, em julho. A Microsoft reuniu parceiros e reguladores para traçar estratégias que possam prevenir um novo incidente semelhante, já que se trata de uma questão bem complexa.

Construir políticas de modo colaborativo assim pode ser uma excelente abordagem, minimizando o risco de elevar custos de compliance apenas por causa de diferenças mínimas de processos que poderiam ser padronizados. No caso da Microsoft, a questão vai muito além disso, mas é um assunto que já abordamos em nossa newsletter.

Se olharmos de forma mais abrangente, veremos que muitas empresas fazem algo parecido há muito mais tempo. Há muitos eventos para parceiros e outros stakeholders, como as conferências para desenvolvedores – o detalhe é que raramente há um foco nas contribuições de cibersegurança. Se a sua empresa já tem um evento para fornecedores na agenda para comunicar novas políticas e passar outras informações, vale muito a pena aproveitar essa oportunidade para tratar da postura de cibersegurança.

Pontos prioritários para a colaboração

Depois que você tem um canal (ou vários!) para colaborar em seus esforços de cibersegurança, é hora de pensar em algumas questões iniciais para trabalhar com seus parceiros. Eis algumas ideias:

  • Resposta a incidente: Situações de resposta a incidente podem exigir a cooperação mútua entre você e seus fornecedores ou mesmo entre eles. Certifique-se de que todos estão alinhados e vão falar a mesma língua neste cenário.
  • Tratamento de alertas e vulnerabilidades: Empresas terceirizadas devem dar um tratamento a problemas (incluindo os que forem encontrados pelo nosso Zanshin) em um prazo adequado. Ao priorizar os padrões de cibersegurança que você espera e como eles podem ser colocados em prática, seus fornecedores vão saber o que fazer quando um problema for encontrado.
  • Encontrar desafios em comum e dividir soluções: Muitas empresas enfrentam desafios similares em campos como a conscientização de segurança, migração para a nuvem ou mudanças no ambiente de software e hardware, então até grupos bem distintos conseguem achar pontos em comum para compartilhar o que aprenderam. Às vezes, empresas não conseguem cuidar de sua cibersegurança por ainda estarem amarradas a outras complicações da sua infraestrutura de TI. 
  • Abordar questões atuais: Todo ano, há alguma nova questão em foco na cibersegurança — ransomware, MFA, backup e conscientização são alguns temas recentes. Fale com seus fornecedores, descubra se eles estão no mesmo barco que você e organize oficinas ou exercícios que tragam as soluções e alertem sobre as armadilhas desses temas de alta relevância.

Apresentando algo de valor aos seus terceiros, há uma chance maior de você ser ouvido. Sempre que possível, temos que evitar relações antagônicas com a nossa cadeia de fornecedores. Do contrário, podemos acabar em uma situação em que o fornecedor só se preocupa em passar uma auditoria anual e voltar para a rotina (e os riscos) de sempre.

Trabalhando constantemente em prol da postura de cibersegurança de toda a cadeia, haverá muitas outras oportunidades para entender os riscos concretos e definir metas realistas. Isso não deve ser algo reservado a um momento específico do ano. Por outro lado, através de eventos, queremos  dar visibilidade ao tema, conscientizando e reforçando a importância da segurança do ecossistema nas estratégias de negócios das companhias. 

A quem estava presente na Tenchi Conference deste ano: foi ótimo te ver por lá! Esperamos que nosso evento tenha ajudado você em sua jornada para melhorar – constantemente – o seu programa de TPCRM.

Share
Latest Posts
Como a gestão de risco de terceiros enriquece sua abordagem em relação a riscos sistêmicos
Read more
Desafios e recomendações na gestão de risco de terceiros no setor bancário e financeiro
Read more
Por que a avaliação de terceiros feita por outra empresa não vai funcionar para a segurança do seu negócio
Read more