Embora tenha sido adiada, a Conferência RSA finalmente aconteceu em junho deste ano em San Francisco, EUA. Foi a primeira edição presencial desde o evento de fevereiro de 2020, que ocorreu poucas semanas antes do mundo começar a travar em resposta ao COVID-19.
Depois de assistir e participar de dezenas de palestras e discussões sobre “gestão de risco de terceiros” na conferência, ficou claro para mim que a maioria dos participantes ainda tem o sentimento que suas práticas atuais de gerenciamento de terceiros fizeram pouco para reduzir o risco ou melhorar a segurança da sua cadeia de valor. Uma frase repetida muitas vezes resume essa percepção: “é melhor do que não fazer nada, eu acho…”
Felizmente, os participantes tiveram resultados interessantes para compartilhar sobre a melhoria das práticas de TPRM (Third-Party Risk Management).
Muitas perguntas: Substitua a quantidade pela qualidade
Repetidas vezes, ouvimos o mesmo refrão: questionários são muito longos. Mesmo o SIG Lite não é leve o suficiente. A grande quantidade de perguntas diminui a taxa de preenchimento dos questionários. Os que são concluídos carecem de respostas precisas e descritivas. Os especialistas parecem concordar que o ponto ideal é de 30 a 50 perguntas. Com menos perguntas, é mais fácil acompanhar os terceiros.
Que tipo de perguntas devemos fazer?
Aqui estão algumas das sugestões compartilhadas pelos palestrantes:
- Perguntas que expõem a maturidade dos processos SDLC
- Perguntas sobre métricas que realmente sejam relevantes para as “First-Parties”
- Perguntas que determinam se os controles críticos estão realmente em vigor e/ou funcionando
- Tempo necessário para se recuperar de grandes eventos de perda de dados (por exemplo, ransomware) e se esse processo realmente foi testado
- Hora de “reiniciar” toda a empresa e se isso foi testado
- Uso de testes e princípios da Engenharia do Caos
- Medições de risco e velocidade de maturidade (muitos programas TPRM introduzem uma “barra” mínima, mas não pressionam terceiros a melhorar continuamente ao longo do tempo)
- Pergunta: Você pode compartilhar um diagrama de fluxo de dados preciso que mostre o que acontece com nossos dados em seus sistemas?
Alguns outros insights interessantes:
- Um palestrante disse que viu o tempo médio para preencher os questionários de autoavaliação cair de 113 dias para 18 depois de reduzir o número de perguntas e melhorar a qualidade de cada uma delas.
- Uma empresa exigiu que os membros da equipe de GRC primeiro passassem um tempo significativo na equipe de Blue Team (IR, SecOps, SOC) adquirindo habilidades técnicas antes de poderem ingressar na equipe. Eles sentiram que a experiência técnica em segurança era essencial para o GRC.
- O aumento do uso da nuvem geralmente reduz o risco quando usado corretamente (por exemplo, ativos mais efêmeros), mas isso é difícil de sinalizar por meio de processos tradicionais de TPRM. Os questionários não fazem as perguntas certas, as ferramentas atuais não coletam os dados certos.
- As equipes jurídicas devem estar mais envolvidas com os requisitos de segurança do TPRM e de terceiros.
- Necessidade de identificar e abordar preocupações específicas da cadeia de suprimentos, como bibliotecas e dependências de código aberto
- Importância de fazer pelo menos uma pergunta de compliance/ conformidade a todos os terceiros (por exemplo, “qual é o status de correção do Log4J?”)
Estrutura do Sistema de Confiança do MITRE
A palestra de Robert Martin sobre a estrutura System of Trust (SoT) do MITRE foi interessante e ambiciosa. Este framework ainda é jovem e está em construção, mas é o resultado de vários anos de trabalho e dezenas de pilotos, graças a organizações de voluntariado. Bob descreveu esse esforço como uma tentativa de estabelecer princípios geralmente aceitos para a cadeia de suprimentos.
É importante observar que essa estrutura não foi projetada especificamente para software ou tecnologia. Ele foi projetado para estabelecer uma base de confiança e taxonomia comum para a cadeia de suprimentos em geral, seja o foco em software de CRM, atum de qualidade para sushi ou lítio para baterias. A avaliação é baseada em questionário e pode ser gerenciada por meio do aplicativo da web Risk Model Manager.
Alguns pontos importantes da palestra:
- SoT é responsável por “show stoppers”- descobertas críticas são sempre altamente visíveis, independentemente do número de descobertas gerais (um conceito familiar também no mundo do gerenciamento de vulnerabilidades)
- Mapeamento parcial para o padrão TIA 9001
- O SBOM deve existir em todas as etapas do SDLC, não apenas em um ponto
- O SoT poderia fornecer uma maneira padrão para as pessoas compartilharem no que estão trabalhando, em vez de preencher centenas ou milhares de questionários de autoavaliação proprietários
Conclusões
Nós iremos acompanhar de perto as tendências de TPRM no mercado e iremos compartilhar com vocês em um futuro próximo – continue acompanhando o nosso blog!
Escrito por Adrian Sanabria
