stock.adobe.com
A tolerância ao risco é a chave para a política de terceirização de segurança
Quais controles de segurança críticos podem ser terceirizados e como as organizações, especialmente as PMEs, mantêm a confiança de que estão sendo gerenciadas de maneira eficaz e adequada?
Muitas pequenas e médias empresas (PMEs) estão tentando fechar as lacunas de maneira econômica, incorporando provedores de serviços gerenciados (MSPs). A ironia, entretanto, é que a terceirização de controles críticos de segurança para lidar com a proliferação de ameaças pode aumentar ainda mais a variedade potencial de vetores de ataque que os hackers podem explorar.
Então, que medidas as PMEs podem tomar para manter a confiança de que os MSPs estão gerenciando sua segurança cibernética de maneira eficaz e adequada? Mais importante ainda, quais controles de segurança devem ser terceirizados e quais controles devem ser mantidos internamente?
As organizações devem primeiro avaliar seu nível de "tolerância ao risco". Se sua tolerância ao risco for baixa, quase tudo pode ser terceirizado, desde análises de segurança a relatórios de conformidade.
No entanto, uma PME que é fornecedora de uma instituição governamental —como o Ministério da Defesa (MoD)— pode ter uma tolerância de risco muito menor e deve usar apenas um MSP aprovado pelo governo. Se uma empresa tiver fornecedores, clientes ou parceiros na área de segurança nacional, também pode ser aconselhável evitar trabalhar com empresas de segurança cibernética baseadas em estados hostis.
É essencial para as empresas auditarem todos os seus dados ou sistemas internos para identificar o "perfil de risco" de todos os seus sistemas e dados e as sensibilidades particulares de cada tipo de dados. Isso ajudará a decidir o que pode ser terceirizado e para quem.
Por exemplo, informações financeiras ou de propriedade intelectual vitais nunca devem ser liberadas para uma empresa com um histórico de segurança insatisfatório ou um contrato sem um forte acordo de nível de serviço (SLA).
Os controles de segurança de sistemas, servidores, redes ou dados cobertos por lei, bem como pela diretriz de informação do setor público, somente devem ser terceirizados para empresas que especificam que estão cumprindo seus contratos.
Todos os dados de transações financeiras devem ser tratados internamente, sempre que possível. Depois, há considerações óbvias, como se seus dados são hospedados por seu MSP de segurança na Europa, onde estarão sujeitos ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Como auditar seu MSP
Ao terceirizar os controles de segurança, é vital analisar a postura de segurança do MSP. As menores coisas podem revelar seu nível de segurança, por exemplo, se eles usam um e-mail da empresa ou um e-mail pessoal quando o contatam sobre seus serviços.
É importante solicitar referências independentes ou fazer uma varredura na mídia para verificar se a empresa sofreu violações. Também é importante determinar se eles estão em conformidade com qualquer proteção de dados, segurança cibernética ou quaisquer outros regulamentos relevantes para o seu negócio.
Verifique as letras miúdas
Assim como alguns aplicativos coletam grandes quantidades de dados pessoais sem nosso consentimento para personalizar anúncios e serviços, seu MSP pode estar coletando grandes quantidades de dados sem o seu conhecimento ou consentimento para fazer seu trabalho.
Trabalhei com uma empresa que terceirizou a segurança e administração de seu banco de dados para um MSP. Eles não estavam cientes das vulnerabilidades de segurança ocultas no contrato até que descobriram que o MSP estava fazendo cópias digitais de todos os seis bancos de dados.
Isso era ostensivamente para que pudesse refletir a configuração da empresa em seus próprios sistemas para "testar" as novas atualizações antes de implantá-las nos bancos de dados reais. No entanto, também significava que todas as informações nessas bases de dados estavam agora nas mãos de terceiros.
A chave é sempre verificar as letras miúdas do contrato para garantir que o MSP está proibido de acessar dados ou sistemas confidenciais no desempenho de suas funções.