Sentimos muito mas seu browser não é suportado pela Marsh.com

Para uma melhor experiência, por favor faça o upgrade para um dos seguintes browsers:

X

BLOG: RISK IN CONTEXT

Em Meio a Averiguações Regulatórias, as Instituições Financeiras Devem Monitorar o Risco Cibernético de Terceiros

Por Alex deLaricheliere 23 Agosto 2018

A segurança cibernética está entre as principais preocupações dos bancos, seguradoras e outras instituições financeiras, que estão na lista de principais alvos dos criminosos cibernéticos e são vulneráveis a potenciais interrupções devido a seus sistemas tecnológicos complexos, aos valiosos ativos financeiros e aos ricos dados de clientes que detém. Como a conscientização sobre os riscos cibernéticos cresceu, muitas instituições financeiras desenvolveram fortes capacidades internas para deter ataques cibernéticos e evitar interrupções tecnológicas. Entretanto, é igualmente importante - para organizações e agentes reguladores – analisar neste cenário as práticas de gerenciamento de riscos cibernéticos de seus fornecedores.

Investigando o risco cibernético de terceiros

Desde a crise financeira do final dos anos 2000, a Reserva Federal, a Comissão de Valores Mobiliários, o Departamento de Controladoria da Moeda e outros agentes reguladores examinaram com atenção as práticas de gestão de risco das instituições financeiras. Uma de suas maiores áreas de foco tem sido o risco tecnológico.

Recentemente, tanto a indústria quanto os agentes reguladores passaram por um processo de aperfeiçoamento em relação aos riscos apresentados por seus fornecedores. Muitas instituições financeiras grandes desenvolveram escritórios de gestão de fornecedores com a missão expressa de fiscalizar e supervisionar sua cadeia e outros terceiros com os quais trabalham. Os reguladores parecem apreciar essa abordagem de gerenciamento de riscos e estão se aprofundando mais, analisando os fornecedores de segundo e terceiro níveis.

No caso das instituições financeiras, esses fornecedores representam potenciais vulnerabilidades de risco cibernético, que podem custar milhões. Fornecedores que detêm ou processam dados podem se tornar vítimas de ataques de hackers ou fornecer uma porta de entrada para ataques às redes corporativas de instituições financeiras. Neste cenário, as interrupções de tecnologia nos fornecedores também podem atrapalhar de maneira expressiva as operações.

Examinando sua Cadeia de Valor

Assim como as empresas que produzem ou vendem produtos físicos frequentemente auditam suas cadeias de fornecimento para avaliar as vulnerabilidades aos riscos naturais e outros riscos físicos, as instituições financeiras devem avaliar suas cadeias de valor, buscando obter insights sobre as práticas de mitigação de riscos cibernéticos em seus fornecedores nos mais diversos níveis.

Sua organização pode já ter esta visão. Caso contrário, você deve:
• Avaliar os processos de gerenciamento de terceiros existentes e as necessidades de dados, identificando todas as relações com fornecedores e terceiros e examinando a linguagem contratual relacionada à segurança de dados.
• Desenvolver uma estrutura de gerenciamento de riscos que inclua a exposição a cada fornecedor e o risco de interrupção de negócios, além de considerar as melhores práticas.
• Monitorar continuamente a postura de segurança da sua rede de fornecedores, identificando as empresas que apresentam riscos que precisam ser examinados mais de perto.
• Estabelecer um protocolo de ação que permita sistematizar o gerenciamento do seu risco de terceiros.

Também é importante quantificar seu risco cibernético, incluindo exposições de terceiros. Uma análise baseada no atual cenário do seu risco cibernético pode ajudá-lo a estimar a probabilidade e a severidade potencial de um evento cibernético envolvendo um fornecedor - algo de grande interesse para os reguladores financeiros. A modelagem de cenários também pode ajudá-lo a identificar e avaliar possíveis opções de mitigação e seguro de risco.

Você pode já ter um programa eficaz de segurança cibernética em vigor em sua organização, mas isso pode não ser o caso de seus fornecedores - ou dos fornecedores deles. Siga as etapas citadas acima para entender melhor e gerenciar seu risco cibernético de terceiros.