TPCRM
October 7, 2024

Como a gestão de risco de terceiros enriquece sua abordagem em relação a riscos sistêmicos

Falar de riscos sistêmicos pode ser um tanto desconfortável, já que envolve muitas incertezas. A noção de que uma falha em algum ponto da cadeia de fornecedores pode impactar o negócio, apesar de não termos nenhuma visibilidade sobre isso, pode nos levar a crer que não podemos fazer nada a respeito. Mas isso não é sempre verdade.

Um bom motivo para não manter os riscos sistêmicos no radar é que eles não são apenas teóricos. O caso recente envolvendo a CrowdStrike, que congelou milhões de computadores após uma atualização defeituosa para o sensor "Falcon", ilustra bem a tangibilidade desse risco.

A julgar pela cobertura do incidente na imprensa, linhas aéreas e seus passageiros parecem ter sido os mais prejudicados pelo bug da CrowdStrike. Os atrasos e cancelamentos em massa deixaram passageiros sem opções para chegarem ao seu destino conforme planejado, e a Delta Airlines declarou que esses cancelamentos custaram US$ 550 milhões para a companhia.

Para alguns, este incidente foi um alerta para um risco até então desconhecido. Para outros, era algo que estava fadado a acontecer no cenário atual. Mas por quê?

Um desafio recorrente

O apagão da CrowdStrike, que impactou inúmeras empresas no mundo todo, trouxe à tona uma possível fragilidade no setor aéreo. Contudo, muitas empresas não olham para companhias aéreas ou para hotéis como "fornecedores". Isso por si só é questionável, já que estas companhias podem ser alvo de agentes maliciosos e, consequentemente, representar um risco para funcionários e executivos das empresas que as contratam.

No mínimo, os dados referentes às viagens podem ser expostos e vazar informações sobre tratativas e negócios da empresa. No pior dos casos, executivos podem ser alvo de um ataque de evil maid

Há outros setores que são ignorados no contexto da cibersegurança. Serviços de utilidade pública, como água e energia, frequentemente estão fora do escopo dos programas de gestão de risco de fornecedores (TPRM). Mas empresas de alguns países já começaram a enxergar motivos para mitigar os riscos relacionados a esses serviços, mesmo fora do ambiente de datacenter, já que falhas no serviço podem prejudicar a continuidade do negócio.

Tivemos um exemplo disso no Brasil em novembro passado, quando a cidade de São Paulo enfrentou uma interrupção do fornecimento de energia que durou quase uma semana. Na África do Sul e na China, também foram registrados blecautes frequentes nos últimos anos. E, nos Estados Unidos, o estado do Texas, notoriamente desconectado da rede nacional, sofreu uma crise energética em 2021.

Embora esses problemas nem sempre estejam diretamente ligados à tecnologia da informação, já está claro que problemas de TI podem provocar interrupções. Em fevereiro, a agência de cibersegurança dos Estados Unidos (CISA) alertou os operadores de infraestrutura crítica do país sobre as ações do Volt Typhoon, um grupo de hackers vinculado à China. A agência afirmou que teme que esta presença teria o objetivo de paralisar o funcionamento dos serviços.

Além de ciberataques, erros operacionais podem ter impacto semelhante - como o caso da CrowdStrike deixou claro.

Riscos climáticos, a instabilidade geopolítica e a capacidade de cada uma dessas organizações de se recuperar de falhas são alguns dos fatores que impactam empresas em larga escala e, portanto, são embriões de riscos sistêmicos.

Ainda que muitos desses setores sejam regulados com muito critério, todos dependem de fornecedores – especialmente fornecedores de software que, via de regra, não são tidos como responsáveis pelas falhas em seus produtos. Isso cria um desafio para qualquer um que esteja encarregado de usar esses softwares potencialmente falhos para criar um serviço confiável e eficiente. 

Forças do mercado, incentivos e TPCRM

Reguladores nos Estados Unidos já têm ventilado a ideia de que fabricantes de software deveriam ser obrigados a manter certos padrões de qualidade para não serem responsabilizados por problemas que seus códigos criaram. Jen Easterly, que é diretora da CISA, vem falando isso ao menos há um ano, e repetiu essa perspectiva durante uma conferência agora em setembro.

É intuitivo enxergar que novas regulamentações mudariam a direção do mercado, mas essa não é a única força a ser considerada. Afinal, a questão fundamental é a dos incentivos do mercado: as empresas raramente levam em conta a segurança dos softwares que adquirem — e muitas organizações nem sequer detêm meios para avaliar a segurança de um software no momento da aquisição.

O desequilíbrio nessa relação, em que o cliente não tem plena visibilidade sobre o produto, cria um desafio na relação de compra e venda de software seguro. Essa falha do mercado, em que o "melhor" produto pode não ter condições de competir, cria externalidades negativas em que terceiros sem relação direta com a transação terão de arcar com o custo dela – que, neste caso, é o custo da adoção generalizada de soluções inseguras.

Muitos ciberataques são viabilizados por infraestrutura hackeada, então é fácil de ver como a falta de barreiras de segurança acabam prejudicando outros e criando custos para todos os demais.

É aí que entra a gestão de riscos cibernéticos de terceiros (TPCRM – third-party cyber risk management). Quando as empresas informam claramente aos fornecedores que pretendem avaliar a segurança deles e exigir que seus produtos e serviços tenham segurança, os incentivos começam a se deslocar. Conforme essa demanda se propagar pela cadeia de fornecedores, ela tende a criar um movimento que pode transformar o nosso ecossistema.

Como diz o ditado, uma maré alta levanta todos os barcos.

É compreensível que esses objetivos a longo prazo sejam perdidos de vista. Os programas de TPCRM muitas vezes precisam começar de forma modesta, buscando entender as questões básicas do negócio relativas a terceiros, tal como o número de fornecedores e a natureza de cada contrato. Os riscos sistêmicos parecem muito distantes disso.

Contudo, o valor desse exercício de TPCRM ficará evidente a cada nova contratação ou reavaliação de um fornecedor. Com uma visão melhor do negócio e do que é possível exigir de terceiros, a empresa saberá o que ela pode exigir e, principalmente, o que ela deve exigir.

Quando as empresas compram com mais consciência, elas farão um favor tanto a elas mesmas como para todo o mercado. E se o mercado não as acompanhar, essas empresas são as principais candidatas a se sobressair.

Compreendendo limites e criando uma visão de futuro

A CISA recentemente divulgou um documento de recomendações chamado "Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem" ("Guia de segurança por demanda: como compradores de software podem promover um ecossistema tecnológico seguro", em tradução livre). Muito do que eles falam está relacionado ao que dizemos aqui, mas imaginamos que as empresas que ainda não têm um programa de TPCRM provavelmente vão ter dificuldade para seguir os conselhos da agência americana.

Avaliar recursos de segurança em um software leva tempo. Portanto, uma compreensão de base sobre o risco de terceiros e dos benefícios de exigir um padrão de segurança mais alto vai facilitar muito a implementação dessas ideias. Portanto, as empresas devem iniciar pelo mapeamento de seus riscos e necessidades — especialmente em relação à cibersegurança — e, em seguida, avaliar seus fornecedores. Com base nessa análise, devem desenvolver critérios que permitam identificar a relevância de cada terceiro em sua cadeia de valor, visando direcionar uma abordagem estratégica para a avaliação e gestão eficiente dos riscos cibernéticos

Mesmo assim, é difícil afirmar categoricamente que as forças do mercado serão suficientes para influenciar todo o setor de TI. Prever certos eventos é muito difícil, e algumas condições podem mudar rapidamente (com a introdução de novas tecnologias, por exemplo). Quanto melhor for nossa compreensão sobre TPCRM, mais fácil será identificar o que é realmente complexo e os riscos que não podemos mitigar apenas com esforços isolados.

Quando os reguladores baterem à porta, é importante estarmos prontos para criar uma relação construtiva. Temos um bom exemplo a seguir: o incidente da CrowdStrike só causou um choque tão grande porque as companhias aéreas e os fabricantes de aeronaves têm uma longa e bem-sucedida história de colaboração com reguladores para fortalecer a segurança do transporte aéreo observando o papel de cada empresa, o que impulsionou todo o setor.