Conheça seus parceiros

risco de terceiros

A hora é agora de dobrar sua segurança. Neste ano, as coisas tendem a piorar. As organizações avaliarão os riscos cibernéticos decorrentes de suas cadeias de suprimentos de novas maneiras e com preocupação elevada.

Se determinados padrões não puderem ser cumpridos, os contratos não serão assinados. O raciocínio é simples. É preciso apenas uma ”porta de entrada” indefesa para comprometer a viabilidade dos negócios – mais recentemente ilustrada pela cadeia de suprimentos comprometendo o programa de compartilhamento de arquivos legado da Accellion e o software de gestão de rede SolarWinds Orion.

Organizações com fins lucrativos, sem fins lucrativos, acadêmicas e governamentais – todas estão interconectadas, e o COVID-19 forçou maior dependência de terceiros à medida que as organizações lutaram para atender às demandas digitais. A marcha em direção a unidades centrais de processamento (Central Processing Units, CPUs) e chips de computadores híbridos com componentes de software também está introduzindo novos riscos. Comprometa uma versão de um chip, e um hacker agora tem acesso potencial a milhares de organizações. Mesmo sabendo de tudo isso, as organizações podem ser pressionadas a avaliar de fato a vulnerabilidade e a segurança de suas cadeias de suprimentos. A abordagem passiva de confiar nas respostas não verificadas e não testadas fornecidas a uma avaliação de risco de 500 perguntas pode não ser mais suficiente. Então, o que sua organização pode fazer? A revisão do código-fonte de terceiros pode ser uma opção, mas provavelmente será evitada, apesar de possível. Exigir avaliações e certificações de terceiros neutros que sejam confiáveis podem se tornar práticas recomendadas. Uma avaliação de controles abrangente, combinada com quantificação de risco e planejamento de seguro, é um começo. Mas gerenciar o risco de terceiros realmente exige um modelo de avaliação continuo contínuo, com varredura cibernética constante e caça a ameaças, por exemplo, por meio de red teaming (operação para simulação de ameaças). As organizações também devem estar preparadas para responder e têm a tarefa de escolher o fornecedor certo de resposta a incidentes. A qualidade varia e as seguradoras estão demonstrando menos flexibilidade no uso de fornecedores que não são do painel ou pré-acordados.


As organizações não estão prontas para avaliar e gerenciar riscos de terceiros.

Explore os principais riscos que surgem de cadeias de suprimentos, mapeie-os nos principais controles de segurança cibernética e determine ações que sua organização pode tomar para fechar lacunas de segurança cibernética.


*A Avaliação do Quociente Cibernético (Cyber Quotient Evaluation, CyQu) da Aon avalia o risco cibernético em nove domínios de segurança e 35 áreas de controle essenciais.

3 | Concentre-se em controles