Empresas ainda contam com controles ineficazes para gestão de riscos cibernéticos de terceiros, mas a mudança está a caminho
Conforme o ano de 2023 foi se encaminhando com incidentes em serviços de terceiros como o MOVEit Transfer e o GoAnywhere, ficou evidente para nós aqui na Tenchi Security que a gestão de risco de terceiros (third-party cyber risk management – TPCRM) era mais importante do que nunca.
Quando organizamos nossa Tenchi Conference no fim do ano passado, aproveitamos para realizar uma pesquisa e compreender melhor como as empresas estão lidando com esse desafio.
Graças a isso, hoje temos um retrato de como esse tema está sendo tratado especificamente dentro do Brasil – e queremos compartilhar isso neste espaço.
A pesquisa não só revelou que as empresas podem ter centenas – ou até milhares – de terceiros, mas também que muitos deles são tidos como críticos para suas operações. Apesar disso, a postura de cibersegurança dos terceiros ainda vem sendo avaliada por meio de questionários, certificações ou testes que não fornecem uma visibilidade em tempo real sobre problemas de segurança e vulnerabilidades.
Nosso levantamento mostra que questionários ainda são empregados por 90% das organizações, sendo o método mais comum para avaliar um terceiro. Auditorias realizadas por terceiros e certificações (como SOC2 e ISO 27001) estão em segundo lugar, com uma taxa de adoção de 68% (observe que as empresas podem realizar mais de um tipo de avaliação).
Cerca de 60% das organizações que contam com essas avaliações “estáticas” só as repetem uma vez por ano.
Esses números indicam que organizações ainda dependem profundamente de avaliações que ficam confinadas a um ponto específico no tempo (point in time), possivelmente em decorrência de um raciocínio centrado no compliance.
Ainda que questionários e auditorias pontuais possam ter um papel para determinar se uma organização compreende boas práticas e políticas de cibersegurança, eles refletem pouco ou quase nada dos resultados atingidos.
Em uma analogia com o mundo real, é mais ou menos como contratar um terceiro para fabricar um produto e depois nunca conferir se o produto entregue é tão seguro quanto o protótipo que eles mostraram ser capazes de produzir. Pode parecer óbvio que isto não é uma boa ideia, mas a cibersegurança muitas vezes não é tão intuitiva quanto os riscos físicos.
Portanto, vemos que muitas organizações têm caminho aberto para melhorar seu programa de gestão de risco por meio da adoção de estratégias de avaliação mais dinâmicas.
Aqui na Tenchi, acreditamos que a abordagem correta para este desafio é o monitoramento contínuo “inside-out”, que se beneficia da relação com os terceiros para fornecer uma avaliação precisa e sempre atualizada da postura de segurança de todos os ambientes conectados. Aliás, não basta que o problema seja visualizado – todos precisam trabalhar juntos para garantir que riscos sejam identificados e mitigados ao longo do tempo.
Com isso, essas empresas terão uma visão mais realista sobre os parceiros, com mais agilidade, mais automação e menos burocracia, e também um canal de parceria para tratar dos problemas de maneira cooperativa.
Por que isso importa?
No final de 2023, um levantamento publicado pelo Gartner revelou que 45% das organizações sofreram alguma interrupção relacionada a terceiros em seus negócios. Mais recentemente, o Data Breach Investigations Report (DBIR) da Verizon trouxe uma perspectiva semelhante (como nós já comentamos), mostrando que um único incidente em algum terceiro é capaz de impactar todo o cenário de risco para um setor, como ocorreu com educação e finanças no caso do MOVEit Transfer. De acordo com nossa pesquisa, metade das organizações com 501 a 1.000 funcionários tem ao menos 100 terceiros. Em empresas maiores, com mais de 5.000 funcionários, 30% têm mais de 3.000 fornecedores e parceiros, e 79% das entidades nesse grupo contam com ao menos mil terceirizados. Essa é uma superfície de ataque bastante ampla, e ela nem sempre é integralmente coberta pelo programa de gestão de risco. No geral, somente terceiros relevantes e críticos para o negócio fazem parte do programa de gestão de riscos de terceiros.
Não é de se surpreender que agentes maliciosos tenham começado a olhar para fornecedores em busca de um caminho para os ativos de seus verdadeiros alvos. Em 2021, muitas empresas foram afetadas quando um grupo de ransomwsare explorou uma vulnerabilidade em um software da Kaseya, atingindo prestadores de serviços gerenciados de TI e, por consequência, os clientes deles. Mais recentemente, prestadores de serviços de saúde nos Estados Unidos tiveram que lidar com as consequências de um ataque à Change Healthcare, o que atrasou pagamentos e deixou sistemas indisponíveis.
O mesmo modus operandi tem sido observado em ataques mais direcionados e de menor escala. Atacantes estão mirando em serviços de identidade (IdP), provedores de e-mail e até em agências de marketing e escritórios de advocacia que atendem as empresas visadas.
(Se quiser se manter informado sobre os últimos incidentes de segurança envolvendo terceiros, assine nossa newsletter mensal Alice in Supply Chain na página inicial do nosso site ou pelo LinkedIn.)
Esse tipo de exploração da cadeia de fornecedores foi recentemente destacado em um relatório da Casa Branca. O documento explica que “adversários estão se aproveitando cada vez mais das relações interconectadas e complexas entre as organizações e seus fornecedores, clientes, provedores e prestadores de serviço, comprometendo pontos conectados que concedem acesso clandestino a vítimas nos Estados Unidos e em todo o mundo”.
Agora que a questão atraiu a atenção dos legisladores, é seguro dizer que algumas organizações logo terão de se adaptar a regulações voltadas ao enfrentamento deste risco oriundo das relações de negócios.
Porém, mesmo quem não estará submetido a essas novas regras tem muito a ganhar sendo proativo e certificando que seus programas de gestão de risco de terceiros são plenamente capazes de defender o negócio dessas ameaças correntes e emergentes. Proteger seus dados do ransomware, evitar interrupções e desenvolver relações mais robustas com seus fornecedores – inclusive para obter vantagens competitivas – são alguns dos benefícios.
Uma construção conjunta e contínua
Nossa pesquisa descobriu que algumas empresas ainda não têm nenhum programa para a gestão de risco cibernético de terceiros (TPCRM). Entre os participantes, 14% admitiram que não possuem esse programa de gestão. Mesmo entre empresas com mais de 5.000 funcionários, essa proporção é de 11%.
O número é ainda mais preocupante quando excluímos o setor financeiro. Com esse recorte, 24% dos participantes responderam que a empresa onde trabalham carece de um programa de TPCRM.
Isso não significa que essas empresas não dependam de terceiros hoje. Infelizmente, a falta do programa reduz a visibilidade sobre o problema, então há pouca razão para especular ou perguntar quantos terceiros eles possuem. Não há como saber.
Contudo, todos os participantes que responderam que não têm um programa de TPRM também disseram que pretendem montá-lo, e 40% deles informaram que gostariam de implementá-lo dentro de um ano.
Também apuramos que 70% das empresas que gerenciam o risco de terceiros hoje só começaram a realizar essa gestão há menos de cinco anos. Muitas (38%) começaram há apenas dois anos. Isso significa que todos têm muito a aprender e a melhorar – seja como contratante ou como contratado.
Metodologia e perfil dos entrevistados
As respostas desta pesquisa foram coletadas pessoalmente de 70 participantes da nossa Tenchi Conference de novembro de 2023. Todos os participantes são profissionais ou executivos atuando nas áreas de cibersegurança, gestão de riscos, privacidade de dados ou procurement (compras).
Como a Tenchi Conference ocorreu em São Paulo, nossa pesquisa retrata bem o cenário brasileiro, ainda que boa parte das empresas presentes sejam multinacionais. Grandes empresas do setor financeiro também tiveram participação significativa na pesquisa.
Sendo assim, temos o seguinte perfil:
- 51% atuam no setor financeiro e 10% estão em telecomunicações. O restante se divide entre os setores de consultoria, serviços profissionais, saúde, tecnologia, varejo e jurídico.
- 65% dos entrevistados trabalham em organizações com mais de 1.000 funcionários, sendo que 41% afirmam que suas organizações empregam mais de 10.000 colaboradores. 12% são empresas pequenas com 50 colaboradores ou menos.