Neste artigo vamos falar sobre como fazer uma avaliação de riscos em fornecedores a respeito de Segurança da Informação (SI). Afinal, não adianta ter um excelente controle sobre dados e processos e adotar um fornecedor que pode ser uma fonte de vulnerabilidades.
A atividade de avaliação de riscos em fornecedores é muito importante para elevarmos o nível de Governança de Segurança da Informação na empresa como um todo. Não é para tornar o processo de contratação mais demorado, é para resguardar a empresa de grandes problemas no futuro.
Agora vamos entender melhor como isso funciona!
Afinal, o que é avaliação de riscos em fornecedores?
A avaliação de riscos em fornecedores é uma metodologia que visa detectar, avaliar e gerenciar riscos em serviços prestados por fornecedores e que possam impactar diretamente a Governança de Segurança de Informação do ambiente da companhia.
Geralmente essa avaliação começa com a elaboração de um questionário robusto que vai ser aplicado no fornecedor. Neste processo, é fundamental a participação de algumas áreas da empresa como, por exemplo, compras, tecnologia / segurança da informação, jurídico e outras para que os pontos certos sejam levantados durante essa investigação.
Assim é possível identificar se o fornecedor está de acordo com os requisitos de Governança de Segurança da Informação da companhia.
O que é Supply chain attack?
Mas por que toda essa cautela com fornecedores? Bem, no mundo da Segurança da Informação existe a prática chamada “Supply chain attack”.
Um Supply chain attack é quando atacantes visam elementos menos seguros na cadeia para prejudicar uma organização. Em outras palavras, é como se fosse um ataque indireto. Esse tipo de ataque pode acontecer em qualquer indústria ou setor.
Por isso é importante ter cuidado extra na hora de escolher um fornecedor, de qualquer natureza.
Para se ter uma ideia do problema, segundo dados do relatório de Ameaças Cibernéticas da SonicWall, mais de 304 milhões de ataques de ransomware foram registrados no mundo só no primeiro semestre de 2021. Além disso, o Brasil está em 5º no ranking dos países que mais sofreram com ciberataques este ano, com um volume de ataques que já ultrapassa o de 2020 inteiro.
SolarWinds: um dos casos maiores e mais sofisticados de supply chain attack
Um dos casos mais famosos e recentes de supply chain attack foi o da SolarWinds em 2020, que explorou as atualizações do software de gerenciamento. Cerca de 18 mil empresas que usavam o software de monitoramento de rede Orion foram vítimas, entre elas a Microsoft e vários órgãos governamentais dos EUA.
Neste trecho da live “Cloud Security: Construindo infraestrutura de forma Segura” realizada na trilha da Zup no TDC Innovation, que aconteceu de 23 a 25 de março de 2021, é falado um pouco sobre esse caso. Além disso, temos alguns links nas referências deste artigo para você saber mais sobre os detalhes técnicos do ataque.
Além do roubo de dados, o ataque causou transtornos onerosos a dezenas de milhares de clientes da SolarWinds, que tiveram que verificar se haviam sido violados e ainda desligar sistemas e iniciar procedimentos de descontaminação de meses de duração como precaução.
Avaliação de riscos e seus conceitos
A avaliação de riscos pode ser realizada com vários graus de detalhamento e complexidade. Isso, dependendo do propósito da análise, da disponibilidade e confiabilidade da informação e dos recursos envolvidos.
Desta forma, é necessário ter em mente alguns conceitos:
- Vulnerabilidade: É um ponto fraco ou falha existente em um determinado sistema ou recurso. Caso não seja sanada, esta falha poderá ser explorada por agentes externos ou internos (ameaças). Desta forma, pode ser considerada uma fraqueza que o atacante explore e reduza a garantia da segurança da informação do sistema.
- Ameaça: É um evento ou atitude indesejável que potencialmente remove, desabilita ou destrói um recurso. As ameaças normalmente aproveitam falhas de segurança da organização explorando acidentalmente ou intencionalmente uma vulnerabilidade específica.
- Risco: É a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo, ou conjunto de ativos, e desta maneira prejudicando a organização.
Agora que você conhece os principais conceitos, é preciso saber que o propósito da avaliação de riscos é localizar, listar e compreender a natureza de um risco e o impacto que isso pode ter na reputação e no negócio da empresa.
A avaliação de riscos envolve a consideração detalhada de vulnerabilidades, ameaças, a probabilidade de se concretizar e as consequências de um risco. Esse processo é dinâmico e deve ser permanentemente monitorado e aperfeiçoado para melhorar sua eficácia.
Afinal, um evento pode ter múltiplas causas e consequências, assim como pode afetar múltiplos objetivos.
Procedimento de Assessment de SI de Fornecedores
A estrutura do Assessment de SI está baseada em boas práticas de Governança de Segurança da Informação relacionadas às ISO/IEC 27001/27002 e ISO 31000. Temos muitas boas práticas previstas nessas normas, mas há outras que também podem ser observadas.
Quando verificamos que fornecedores seguem boas práticas de segurança, conseguimos estabelecer uma relação de confiança entre as partes, permitindo identificar problemas proativamente, além de facilitar a reação a incidentes e reduzindo o impacto no negócio. Desta forma, conseguimos identificar os problemas ocasionados por falta de controle de segurança.
Também é imprescindível estabelecer quais serão as métricas e como será a estrutura da avaliação de riscos. Isso pode se dar por meio de questionário com controles que atendam os requisitos definidos pelo time de Segurança da Informação.
Com as informações e evidências coletadas no questionário sobre o fornecedor, realizamos a análise de forma crítica e com alto grau de maturidade. Para que o fornecedor seja aprovado, deverá atender minimamente o percentual estabelecido pela empresa.
Por fim, com base no percentual da análise, conseguimos avaliar a recomendação ou não do fornecedor. Desta forma, o departamento responsável receberá esta informação.
Após passar por todo processo de análise, optamos por fornecedores que detêm controles mais aderentes às normas e leis relacionadas à Governança de Segurança da Informação. Assim, visamos a garantia da integridade, disponibilidade e confidencialidade de informações e operações.
Medidas que elevam a Segurança da Informação da operação
A avaliação de riscos em fornecedores é uma atividade primordial para as empresas. Por isso, a recomendação é sempre adotar medidas preventivas em relação a Segurança da Informação e corretivas, sempre que necessário.
Tenham como boas práticas, por exemplo:
- Avaliações contínuas do ambiente (pentest, vulnerabilidade etc.);
- Treinamento de regras e medidas de segurança adotadas no ambiente;
- Uso de controles criptográficos;
- Proteção contra ameaças externas e do meio ambiente;
- Execução de desenvolvimento seguro (controle e gestão de ambientes);
- Disseminação e manutenção contínua das Políticas e Procedimentos Internos;
- Aderência às normas e leis de proteção de dados, quando for o caso.
Cuidado redobrado com dados pessoais de acesso
Além disso, é necessário fazer nosso “dever de casa”. Em outras palavras, precisamos implementar uma série de medidas de segurança com o objetivo único de proteger os dados pessoais de acesso.
Desta forma, para manter a conformidade com a lei, a companhia deve possuir controles robustos de segurança da informação (como, por exemplo, uso de criptografia, monitoramento, certificações de segurança etc) para garantir aderência aos princípios fundamentais da segurança da informação.
Todo este trabalho tem como propósito a mitigação de riscos e evitar os incidentes de vazamento de dados, que de fato podem contribuir para a criação de uma imagem negativa da companhia. Este incidente também impacta as pessoas físicas como, por exemplo, a divulgação de informações pessoais podendo ocasionar tentativas de ataques de Engenharia Social.
Não sabe o que é Engenharia Social? Esse termo refere-se ao método de influenciar e persuadir as pessoas a revelar informações sensíveis para executarem alguma ação maliciosa. Com a ajuda de truques de engenharia social, os atacantes podem obter informações confidenciais, detalhes de autorização e detalhes de acesso de pessoas.
Considerações finais sobre avaliação de riscos em fornecedores
Neste artigo falamos sobre o Assessment de SI de Fornecedores, sua importância para Governança da Segurança de Informação das companhias e ainda como uma empresa pode adotar medidas para garantir a sua segurança no dia a dia.
É importante que todas as pessoas que trabalham na empresa entendam a importância do processo de avaliação de riscos em fornecedores. Essa etapa não foi criada para tornar tomadas de decisões mais devagar e sim para resguardar toda a companhia de problemas maiores no futuro.
Espero que você tenha gostado. E se ficou com alguma dúvida é só comentar!
Referências
- 2020 United States federal government data breach – Wikipédia.
- Brasil é o 5º país com mais ciberataques em 2021 – Yahoo Finanças.
- ‘Hack da SolarWinds’ é o maior já visto, diz Microsoft – TecMundo.
- ISO/IEC 27001/27002 e ISO 31000.
- SolarWinds: ataque foi o “maior e mais sofisticado” que o mundo já viu – Olhar Digital.
- Supply chain attack – Wikipédia.
