Redução de Riscos na Rede de Fornecedores

Um grupo de hackers foi recentemente acusado de roubar comunicados de imprensa corporativos que continham relatórios de lucros, mudanças de pessoal e outras informações relevantes.

12/02/2016

Redução de Riscos na Rede de Fornecedores

Um grupo de hackers foi recentemente acusado de roubar comunicados de imprensa corporativos que continham relatórios de lucros, mudanças de pessoal e outras informações relevantes, para em seguida, lucrar a quantia de 100 milhões de dólares em receitas ilegais. O maior crime desse tipo já processado foi orquestrado por uma equipe de cibercriminosos dos EUA, Ucrânia e Europa.

Esta história é um excelente exemplo da expansão e aumento da sofisticação de cibercrimes financeiros, um verdadeiro efeito de rede. Os hackers eram oportunistas – não atacaram diretamente as empresas afetadas, mas exploraram a vulnerabilidade dos parceiros das agências de notícias das empresas. É uma advertência para bancos e instituições financeiras que compartilham informações confidenciais com uma rede de fornecedores, que inclui empresas de serviços profissionais, reguladores e parceiros de negócios. Como o risco de violações de segurança continua a crescer, e o ambiente regulatório torna-se mais rigoroso, é fundamental que as empresas financeiras de todas as classes tomem as providências necessárias para reduzir os riscos em suas redes de fornecedores.

É um procedimento operacional padrão que os funcionários de bancos, companhias de seguros e empresas de investimento compartilhem informações confidenciais – muitas vezes regulamentadas – fora de suas organizações. Durante o trabalho, eles compartilham dados de movimento do mercado para além do firewall: pense nas informações enviadas aos colegas e terceiros externos durante o trabalho em exames regulamentares, arquivamentos, programas de conformidade, crimes financeiros e outros materiais altamente confidenciais. Acrescente a isso as informações protegidas dos clientes, e você terá as condições perfeitas para um vazamento de dados impactante. Matthew L. Schwartz, um ex-promotor federal de Nova York, foi citado na cobertura da Associated Press do golpe de US$ 100 milhões, dizendo, “a lição neste caso é que suas informações estão tão seguras quanto as pessoas com as quais você as compartilha. Se você compartilhar essas informações com um serviço de notícias, uma empresa de relações públicas ou mesmo um escritório de advocacia, precisará se certificar de que isso é seguro".

O gerenciamento de riscos de fornecedor é uma faca de dois gumes – segurança e conformidade – que pode levar a consequências caras se não for tratado e monitorado regularmente. A segurança, é claro, envolve as vulnerabilidades e exposição provenientes do compartilhamento de documentos fora do seu próprio sistema de firewall e segurança com fornecedores e terceiros. Os riscos incluem portais vulneráveis de terceiros, sites inseguros de FTP, pen drives, documentos desprotegidos e e-mails que podem ser interceptados ou conter malware.

A conformidade requer a capacidade de provar a adesão a todos os regulamentos aplicáveis, que inclui atestar o fato de que seus parceiros de negócios também estão totalmente em conformidade. A conformidade não acaba mais na porta do seu escritório – para garantir a conformidade, já não é suficiente ter um firewall impenetrável ou uma forte segurança na intranet da empresa e nos fluxos de trabalho. Por ser uma instituição financeira controlada por diversos regulamentos estaduais e federais, você deve ter fornecedores em seu ecossistema que possam demonstrar o mesmo nível de conformidade com todas essas leis.

Os avanços na tecnologia e o aumento progressivo das infraestruturas em rede permitiram que cada vez mais funções de negócios se tornassem terceirizadas para fornecedores que se especializam em lidar com diferentes elementos das operações financeiras. Isso é especialmente verdadeiro nas áreas de pagamentos eletrônicos, crédito ao consumidor, marketing de serviços financeiros, relatórios e atendimento. Estes fornecedores tornam-se, essencialmente, uma extensão da sua organização. Quer seja para pagamentos, comunicados de imprensa, questões jurídicas, serviços de atendimento, quer seja para campanhas de marketing, você confia em outras empresas para fazer negócios. Todas essas empresas fazem parte da sua rede de fornecedores e podem potencialmente se tornar uma fonte de vazamento de dados que pode violar os regulamentos que regem a privacidade e a segurança dos dados.  Esses vazamentos provocam um impacto negativo no valor da marca, no preço das ações, na reputação e na confiança do consumidor.

Para reduzir os riscos na sua organização, deve haver uma política de cima para baixo de consciência e aderência. O gerenciamento de riscos precisa começar no nível executivo e permear toda a organização e a rede de fornecedores, apoiado por uma cultura de conformidade e tecnologia que permita a execução. Em virtude das circunstâncias, o gerenciamento de riscos de fornecedor não pode continuar a ser apenas mais um item no orçamento do departamento de TI. Ele deve ser visto como uma iniciativa estratégica.

Dez maneiras de gerenciar e diminuir o risco de fornecedores

  1. Institua uma sólida política de proteção de dados e certifique-se de que todos na organização do fornecedor e do cliente recebam treinamento, não apenas quando forem contratados, mas também mantenham atualizações periódicas para lembrar que até mesmo os funcionários mais antigos como eles podem permanecer diligentes e conscientes.
  2. Use a tecnologia para dar suporte à conformidade. O software de colaboração segura que fornece um rastro de auditoria para cada documento, além de oferecer o Gerenciamento de Direitos de Informação (IRM), permite que você controle arquivos para além do seu firewall. Sugira que seus fornecedores também adotem essa tecnologia.
  3. Considere as outras pessoas com quem seus parceiros negociam como potenciais alvos de um ataque cibernético. Eles compartilham os serviços em nuvem com uma empresa que está em um setor muito visado? Apesar de você não estar negociando diretamente com outras empresas nas redes dos seus fornecedores, essas empresas tornam-se vinculadas a você e uma potencial fonte de risco.
  4. Analise com atenção as políticas de segurança dos seus fornecedores. Como eles estão protegendo os próprios negócios e os seus dados?
  5. Informe aos fornecedores os regulamentos que regem a sua empresa. Certifique-se de que os fluxos de trabalho e a tecnologia deles estejam em conformidade com todos os regulamentos aplicáveis. Crie o hábito de atualizar frequentemente os fornecedores sobre alterações nos regulamentos.
  6. Ao buscar novos fornecedores, inclua critérios para a tecnologia de segurança da informação e conformidade do fluxo de trabalho em RFPs, RFIs e contratos.
  7. Faça a auditoria da sua rede de fornecedores. Identifique as áreas de sua empresa que podem estar em risco com base em suas relações comerciais externas, e crie maneiras de reduzir esse risco – usando a tecnologia ou adaptando o fluxo de trabalho.
  8. Adicione uma linguagem específica aos contratos de nível de serviço (SLAs) para refletir os padrões para os quais você incluirá seus fornecedores.
  9. Trabalhe conjuntamente com os fornecedores para implementar medidas a fim de identificar e resolver problemas antes que se tornem críticos. Trabalhe em conjunto para conter e controlar os riscos.
  10. E, por fim, estabeleça um processo que os fornecedores possam consultar em caso de vazamento ou se um processo ou tecnologia for questionado. Crie um claro conjunto de diretrizes, incluindo um procedimento de escalonamento e protocolos de comunicação que os fornecedores possam seguir caso seja necessário.

O gerenciamento efetivo de riscos de fornecedor protegerá a sua organização e os seus clientes. Seus fornecedores prestam serviços valiosos e são parceiros vitais para o seu sucesso. Torne sua política de trabalhar com eles de modo proativo para proteger os interesses da sua organização e, finalmente, os interesses e a privacidade dos seus clientes.



Mark Kalen

Mark Kalen

Mark Kalen is worldwide director of product strategy and marketing for financial services at Intralinks. Mark received his MBA from Boston University and has worked over 15 years in financial services as executive and consultant specializing serving in a variety of roles including Sr. Director Risk and Compliance, VP Operations, and VP Product. His experience includes tenure at JP Morgan, Deloitte & Touche, State Street Bank, Wolters Kluwer, and Fidelity Investments.

Fique por dentro

Inscreva-se em nossa newsletter para receber análises de mercado e inspirações de liderança imperdíveis diretamente no seu e-mail. Esta newsletter será enviada em inglês.