São Paulo, abril de 2023 – Nos últimos três anos, três em cada quatro dos 1263 executivos de 16 países, incluindo o Brasil, entrevistados para a composição de um estudo da KPMG afirmam que sofreram, pelo menos, uma interrupção significativa em suas rotinas causada por incidentes cibernéticos no ambiente digital de terceiros parceiros. “São situações em que, além de prejudicar o dia a dia do negócio, podem gerar prejuízos financeiros e aqueles que são imensuráveis, como o reputacional”, explica Simone Santinato, DPO da NovaRed Brasil.
Engajada em aumentar a maturidade de organizações em segurança cibernética, a NovaRed Brasil lançou um serviço de Gerenciamento de Riscos de Terceiros. Na prática, trata-se de uma oferta que tem a proposta de fazer um cadastro completo do terceiro parceiro para, posteriormente, medir e monitorar o score de segurança dessa companhia. Caso o nível de maturidade esteja muito abaixo do aceitável, os especialistas da NovaRed Brasil emitem uma sugestão de plano de ação, monitorando as atividades corretivas e esclarecendo dúvidas.
“Em algum momento, toda empresa precisa compartilhar com terceiros dados de colaboradores, clientes, parceiros ou fornecedores para ações do dia a dia, das mais simples às mais complexas. Ao fazer isso, essa companhia tem o dever de estabelecer uma diligência sobre o que esse terceiro faz com as informações. Mas, para ser eficiente, essa ação precisa ser estruturada”, destaca Santinato.
A executiva explica que, habitualmente, na gestão de risco de terceiros, a organização detentora dos dados investiga a maturidade digital de um terceiro, pedindo para que ele preencha um relatório informando o que ele faz ou não com relação às boas práticas em segurança cibernética. Quem recebe o documento, apenas arquiva-o, acreditando no que foi declarado.
Vale destacar que o Serviço de Gerenciamento de Riscos de Terceiros não se caracteriza como uma ação invasiva, tendo em vista que só se vale de informações públicas, como networking security, DNS health, patching cadence, segurança de endpoint, reputação de IP e web application. Uma avaliação mais profunda, com auditoria e PenTest, só é realizada pela NovaRed Brasil, diante do expresso consentimento do terceiro.
“Nosso objetivo é que o Serviço de Gerenciamento de Riscos de Terceiros seja visto como uma ação preventiva, educativa, de melhoria contínua, de amadurecimento e de colaboração para que todas as empresas envolvidas possam, juntas, evoluir para o mais alto grau de maturidade digital. Não deve ser uma ferramenta de punição a quem ainda não está devidamente adequado às boas práticas. Até mesmo porque, no dia a dia, nem sempre a solução mais estratégica é tomar a atitude impulsiva de trocar um parceiro, considerando a longevidade de algumas parceiras e as especificidades do trabalho de algumas empresas”, detalha Santinato.
Proteção aos questionamentos da ANPD – Com a crescente profissionalização dos cibercriminosos, as organizações, por mais protegidas que estejam, seguem vulneráveis a ataques cibernéticos. Ao ter um Serviço de Gerenciamento de Riscos de Terceiros estruturado, a empresa tem uma clara evidência de que se preocupa de maneira madura com os dados que lhes foram confiados. Essa proatividade tende a minimizar a responsabilidade civil do negócio diante de um possível questionamento da Agência Nacional de Proteção de Dados (ANPD) sobre assuntos relacionados à Lei Geral de Proteção de Dados (LGPD).
