Chat with us, powered by LiveChat

Fornecedores Terceirizados

O que são riscos de segurança de terceiros?

Riscos de segurança de terceiros são uma ameaça potencial ou ameaças apresentadas aos dados de funcionários e clientes de uma organização, informações financeiras e operações da cadeia de abastecimento da organização e outras partes externas que fornecem produtos e / ou serviços e têm acesso a sistemas privilegiados.

Por que as violações de dados de terceiros estão aumentando

Violações de dados de alto perfil são uma ocorrência quase diária e, se você ler os detalhes, a causa raiz geralmente é uma violação de terceiros.

Em uma das maiores violações de dados da história , os hackers roubaram 40 milhões de cartões de crédito daTarget. Os hackers conseguiram acessar esses dados por meio de seu fornecedor terceirizado de HVAC. Ninguém se lembra do nome da empresa HVAC, mas todos se lembram da Target. A violação custou à Target mais de US $ 200 milhões, além de danos contínuos à reputação até hoje.

Uma pesquisa recente descobriu que quase 60% das empresas em 2018 foram vítimas de violações de dados de terceiros, um aumento notável em relação ao ano anterior. Os maiores sucessos incluem:

● Quest Diagnostics

● LabCorp

● ByDash

● Walmart

● Verizon

● Scottrade Bank

● Banco italiano Uni Credit

● O Comitê Nacional Republicano

● Deloitte

● Accenture

Deloitte e Accenture, destacam que os fornecedores terceirizados, embora a tinta fraca possa ser seu fornecedor familiar de HVAC, os grandes fornecedores também são um risco. A Deloitte e a Accenture são amplamente consideradas especialistas em proteção de dados e ambas são bem pagas para aconselhar sobre segurança. As violações flagrantes que sofreram foram o auge da vergonha na segurança de terceiros.

Por que terceiros são o calcanhar de Aquiles da proteção de dados

Health Share of Oregon, a maior organização de assistência coordenada do Medicaid do estado, expôs informações de identificação pessoal (PII) de 654.362 de seus membros, incluindo nomes, endereços, números de telefone, datas de nascimento, números do Seguro Social e números de identificação do Medicaid. A violação não ocorreu na própria Health Share of Oregon, no entanto. O escritório de um de seus fornecedores, GridWords IC, uma empresa de transporte médico, foi assaltado e um laptop com esses dados foi roubado.

Quando se trata de proteção de dados, os fornecedores terceirizados de uma empresa costumam ser o seu calcanhar de Aquiles. Uma empresa pode reforçar sua própria postura de segurança com a mais recente e melhor tecnologia, mas ainda precisa fornecer acesso e compartilhar informações com seus fornecedores, e com os fornecedores de seus fornecedores, e assim por diante, em toda a cadeia. A cada grau de separação, a empresa tem menos controle sobre a segurança de seus fornecedores - especialmente pequenos fornecedores com programas de segurança modestos. Mas quando há uma violação de dados, não importa o quão longe na cadeia de abastecimento, a empresa (Health Share of Oregon, neste caso) ainda é responsável.

“Nenhuma informação de identificação pessoal (PII) está segura. As empresas não podem contar com a integridade das capacidades de segurança de seus fornecedores e parceiros ”, afirma CSO Online. Espere que mais empresas exijam auditorias de segurança de seus parceiros, fornecedores e prestadores de serviços. As violações de terceiros estão se tornando mais comuns e mostra que a segurança de qualquer organização é tão boa quanto sua rede estendida. ”

Dicas sobre como reduzir os riscos de segurança de terceiros

Os CIOs concordam que as violações de segurança do fornecedor são um dos maiores problemas na proteção de dados hoje. Este parece ser um problema sem uma boa solução. Os especialistas em segurança da SecureCircle recomendam focar nos itens a seguir.

1. Termos contratuais, auditoria e conformidade não são suficientes

Contratos e boa vontade não são suficientes. Como primeira linha de defesa, as empresas exigem termos contratuais mais rígidos com os fornecedores, em termos da segurança que exigem de seus fornecedores e das consequências jurídicas e financeiras de uma violação. Essa transição está ocorrendo em um ritmo glacial. As grandes empresas já têm milhares de fornecedores e não estão em posição de renegociar facilmente os termos contratuais com todos eles.

Na melhor das hipóteses, os termos contratuais aprimorados podem fornecer alguma compensação financeira e legal, embora mesmo isso seja altamente dependente do tamanho do fornecedor e da jurisdição na qual eles seriam responsabilizados. Em última análise, a responsabilidade de uma violação ainda é da própria empresa, especialmente incluindo o dano duradouro à reputação (o público se lembra da sua marca, ninguém se lembra do fornecedor).

Além disso, só porque um fornecedor está de acordo e está disposto, isso não significa que suas medidas de proteção de dados sejam adequadas. As empresas estão gastando mais do que nunca para auditar seus parceiros, fornecedores e prestadores de serviços, mas isso é extremamente caro, e a grande ironia é que as auditorias hoje assumem que medidas de segurança antiquadas estão em vigor, como criptografia de disco e DLP, que estão longe de ser uma garantir que uma violação de dados não ocorreria.

Para agilizar a certificação e auditoria de fornecedores, surgiram registros de terceiros que auditam e certificam fornecedores para você. Um exemplo é a Vendorpedia, que certifica que fornecedores terceirizados estão em conformidade com padrões como GDPR, NIST e ITAR. A ideia é que, como empresa, você não teria que auditar todos os seus fornecedores, mas simplesmente exigir que qualquer fornecedor mostre prova de certificação e auditoria de um desses registros. Mas existem muitos problemas aqui. Um registro de terceiros só é útil se atingir uma massa crítica de fornecedores, o que levará muito tempo e pode nunca acontecer. E mesmo assim, na melhor das hipóteses, os fornecedores estão atestando um certo nível de conformidade; no entanto, como qualquer analista de segurança júnior pode lhe dizer, conformidade não significa seguro.

2. Existem muitas opções de tecnologia para escolher - mas a maioria falha

Em termos de tecnologia, algumas empresas enviam laptops protegidos a seus terceiros e exigem que os terceiros trabalhem apenas nesses laptops. Outros exigem que seus fornecedores trabalhem em um espaço virtual usando VDI. Essas soluções são onerosas, diminuem a produtividade e simplesmente não se adaptam a milhares de fornecedores.

O gerenciamento de direitos digitais (DRM) ressurgiu recentemente porque oferece uma tese atraente - proteja seus e-mails e arquivos confidenciais e onde quer que eles vão. Mesmo se eles caírem nas mãos erradas, eles ainda estão protegidos. A noção não está errada. Em vez de implementar níveis infinitos de auditoria, conformidade e segurança de perímetro, é razoável supor que os dados irão para as mãos de seus parceiros e, eventualmente, para as mãos erradas, e que a solução é a proteção que segue os dados onde quer que eles viajem.

Infelizmente, o DRM continua sendo, na melhor das hipóteses, uma ideia teórica, assim como há 20 anos. Na prática, o DRM sofre de problemas significativos de experiência do usuário, pois os usuários são obrigados a classificar seus dados e o acesso é limitado a certos tipos de arquivos, aplicativos especiais, plug-ins, mecanismos de autenticação, controles de acesso, etc. Gerenciar isso em escala é difícil de manejar , e quase impossível quando os dados começam a fluir para as mãos dos fornecedores que possuem sistemas operacionais, aplicativos, versões e plug-ins diferentes. Após 20 anos de DRM, existem muito poucas histórias de sucesso.

Violação de dados de terceiros

3. Pense em usar um Agente de Segurança de Acesso a Dados (DASB)

O Data Access Security Broker (DASB) é uma solução de proteção de dados ilimitada, oferecendo proteção de dados transparente e persistente. O DASB move as políticas de controle de acesso do sistema de armazenamento de dados para os próprios dados - de centrado no dispositivo para centrado nos dados. Os dados são protegidos automaticamente por padrão e essa proteção segue os dados e todas as ações que os afetam, mesmo quando eles vão para as mãos de um fornecedor.

Ao contrário da tecnologia DRM, o DASB é completamente invisível para o usuário final, tornando-o rápido de implementar e fácil de escalar. O DASB não impõe limites aos aplicativos, versões, tipos de arquivo, tamanhos de arquivo, repositórios, ferramentas de desenvolvedor, fluxos de trabalho ou qualquer outra coisa no ambiente, não importa o quão complexo ou específico da empresa seja. Os usuários nem percebem que está lá.

Seja dentro de sua empresa ou no site de um parceiro, fornecedor ou cliente, um usuário só pode acessar os dados se tiver os privilégios apropriados de acordo com a política de segurança. Um administrador pode revogar o acesso aos dados e alterar as permissões a qualquer momento. Dados maliciosos ou compartilhados acidentalmente não podem ser acessados por partes não aprovadas.

No caso da Health Share of Oregon, seu fornecedor GridWorks IC não teria acesso às PII de seus membros, a menos que a Health Share of Oregon tivesse autorizado isso em sua política. Assim que soubesse que o laptop com essas informações foi roubado, um administrador teria cortado remotamente o acesso a todos os dados protegidos, e o agente malicioso teria acesso apenas a blobs criptografados, nada mais. O Health Share of Oregon também teria uma trilha de auditoria de cada tentativa de acesso aos dados, mesmo os dados roubados e protegidos que agora estavam nas mãos do ator malicioso, dando a eles uma visão mais detalhada do incidente.

DASB protege sua empresa e sua cadeia de suprimentos

As empresas que dependem de terceiros e fornecedores estão expostas a um nível maior de risco de violação de dados. Infelizmente, todas as empresas modernas hoje se enquadram nessa descrição, e a tendência só está aumentando. A empresa moderna está altamente interconectada com uma miríade de fornecedores, e não importa o quão fortemente você fortaleça sua própria postura de segurança, seu calcanhar de Aquiles sempre será aqueles terceiros com quem você compartilha informações. O DASB elimina esse risco. Quer você seja uma empresa de mídia como a HBO, que colabora com centenas de fornecedores grandes e pequenos durante a produção de uma série, quer você seja uma empresa de serviços financeiros, aproveita os serviços de terceiros da Deloitte e da Accenture do mundo, um gigante do comércio como a Target que precisa de HVAC, ou um provedor de saúde como Health Share of Oregon, o DASB protege os dados de maneira persistente por padrão para que você permaneça no controle, mesmo quando as informações chegam às mãos dos fornecedores. Mesmo quando isso inevitavelmente flui para as mãos erradas. O DASB cobre você e toda a sua cadeia de suprimentos, ao mesmo tempo que oferece uma experiência totalmente transparente.

Interessado no DASB? Converse conosco