TPCRM
August 13, 2024

Por que a avaliação de terceiros feita por outra empresa não vai funcionar para a segurança do seu negócio

Muitas empresas já compreendem como terceiros podem melhorar a eficiência do negócio. Com serviços criados para atender às necessidades de várias organizações, maiores ou menores, as empresas têm flexibilidade de escala e ainda contam com serviços mais robustos e completos do que teriam com uma solução própria. É por isso que grandes empresas contam com milhares de terceiros.

Nem tão compreendido, porém, é que os riscos (incluindo os riscos cibernéticos) relacionados ao trabalho realizado por terceiros ainda precisam ser gerenciados. No crescente grupo de companhias que já criaram um programa de gestão de risco cibernético de terceiros (third-party cyber risk management — TPCRM), os questionários são uma das abordagens mais comuns para avaliar a cibersegurança de um terceiro.

Questionários colocam alguns entraves no processo de contratação. Eles podem ter dezenas ou até centenas de perguntas, e cada resposta precisa ser avaliada para garantir que os controles de cibersegurança que o terceiro tem – ou alega ter – são apropriados.

Considerando que os prestadores de serviço são um recurso compartilhado e especializado que aumentam a eficiência do negócio, é natural empregar o mesmo raciocínio ao processo de avaliação. Que tal compartilhar a avaliação para que um fornecedor não precise responder um questionário diferente a cada vez?

E se, usando perguntas e respostas padronizadas, você pudesse saber de antemão quando um prestador tem os controles de segurança – sem nem ter que enviar seu próprio questionário?

Por mais razoável que isso pareça, um detalhe crítico está ausente nessa linha de raciocínio: duas empresas podem contratar o mesmo terceiro, mas a relação que este terá com cada uma delas é única. Portanto, os riscos e a relevância de cada controle de segurança não serão equivalentes.

Pior ainda, contudo, é que reduzir as complicações impostas pelos questionários para torná-los mais eficientes não trata do cerne da questão: eles não são eficazes. De certa forma, isso pode até deixá-los ainda menos eficazes. Vejamos por quê:

Com perguntas demais, respostas ficam desatualizadas

Serviços de tecnologia podem atender a uma gama variada de empresas. Se todas aceitarem um único questionário de seus fornecedores, esse documento acabará sendo bem extenso – alguns exemplos reais passam de mil perguntas. É a única forma de fazer com que tantas organizações, com tão pouco em comum, fiquem todas satisfeitas com as respostas.

Como o trabalho de responder tantas perguntas é custoso, repetir esse processo com frequência é inviável. Sendo assim, só é possível atualizar o questionário uma ou duas vezes por ano, o que inevitavelmente o deixa desatualizado na maior parte do período.

Em outras palavras, o esforço de otimizar um questionário pode deixá-lo mais complexo e ao mesmo tempo menos útil.

Você pode precisar do que não está no questionário

Como as empresas normalmente olham para os questionários padronizados e compartilhados como uma forma de aprimorar um processo de avaliação já existente, é bastante provável que apareçam algumas lacunas. Nessa situação, você talvez perceba que precisa saber de algo mais – não importa quantas perguntas alguém já tenha feito antes de você.

Os questionários normalmente passam por um processo demorado e detalhado antes de serem adotados, reunindo a contribuição de diversos departamentos de uma organização (jurídico, compras, TI, e gestão de risco ou governança). Abandonar tudo em favor de um padrão criado fora da empresa não é fácil, e cada questão precisa ser examinada com cuidado para avaliar se elas tratam dos mesmos controles e processos.

Se algum ponto cego existir, ele não pode ser simplesmente ignorado – afinal, cada pergunta tinha um motivo para estar ali. No fim, os fornecedores acabam respondendo mais um questionário personalizado além do documento compartilhado.

Se um questionário padrão raramente é suficiente sozinho, talvez ele esteja mais para “preliminar”.

Um prestador oferece vários serviços

Grandes provedores de nuvem dificilmente vão segregar a infraestrutura deles ou oferecer os controles de segurança que você pedir – como eles às vezes fazem para governos e algumas grandes empresas – a não ser que você seja igualmente grande ou relevante como essas entidades. Fornecedores menores, por outro lado, normalmente estão abertos para negociar e acomodar os clientes.

Quando fornecedores oferecem controles de segurança personalizados ou até uma infraestrutura segregada, uma avaliação feita do ponto de vista de outra empresa não vai representar o que este fornecedor faz para você. Um questionário pré-moldado não vai ser muito útil – e nem justo com o fornecedor – nessas situações.

Esse problema é agravado com o fato de que a relação de cada empresa com o fornecedor também é diferente. Quem está armazenando ou transmitindo dados de cartões de crédito, por exemplo, não vai necessariamente exigir a mesma segurança de quem está guardando uma lista de e-mails de contatos de marketing já criptografados para fins de backup. Idealmente, questionários devem refletir o que um fornecedor faz para cada negócio.

Um caso de otimização prematura

A gestão do risco cibernético de terceiros tem se mostrado desafiadora. Um levantamento do Fórum Econômico Mundial divulgado no relatório Global Cybersecurity Outlook apontou que “41% das empresas que sofreram um impacto material com um ciberataque dizem que este teve origem em um terceiro”.

Em abril, uma pesquisa do Gartner revelou que gestores de segurança e de gestão de risco estão dedicando mais tempo a atividades relacionadas à gestão de risco de terceiros, mas incidentes aumentaram em 45% desde 2021. Com números assim, cabe questionar a eficácia do que tem sido feito.

Já que os questionários são a abordagem mais presente nos programas de gestão de risco cibernéticos de terceiros, devemos perguntar se vale a pena otimizar um processo que provavelmente não está trazendo os resultados esperados. É algo que lembra o conceito de otimização prematura, mais conhecido na ciência da computação: antes de tentar fazer com que um processo funcione melhor, é preciso ter certeza de que ele faz o que precisa ser feito.

E se fosse possível utilizar um sistema que automatizasse a coleta de dados e a geração de relatórios para manter uma avaliação atualizada da postura de segurança dos seus fornecedores? E se, ainda, fosse possível utilizar dados obtidos em tempo real, a partir da própria infraestrutura deles, por meio de APIs padronizadas? Isso eliminaria muitas limitações dos questionários.

Portanto, quando algo não está funcionando como gostaríamos, deveríamos buscar uma alternativa.