Por que você pode ter vários compromissos com um único terceiro
Ao integrar um terceiro específico, você pode conduzir um compromisso separado para cada tipo distinto de relacionamento que você tem com o terceiro. Um compromisso é avaliar o risco envolvido no desenvolvimento de software de terceiros para sua organização e um compromisso separado é para o serviço de gestão de instalações que eles fornecem.
Diferentes compromissos do mesmo terceiro podem exigir níveis variados de avaliação de risco
Diferentes compromissos do mesmo terceiro podem exigir diferentes níveis de avaliação de risco devido a variações na natureza dos serviços prestados, ao nível de acesso a dados confidenciais ou sistemas críticos e ao possível impacto na infraestrutura da sua organização. Ao conduzir uma avaliação de risco separada para cada compromisso, você pode personalizar suas estratégias e controles de gestão de riscos para lidar com os riscos associados a cada compromisso de forma eficaz.
Exemplo: o terceiro fornecerá dois serviços distintos
- Serviço: compromisso de desenvolvimento de software
- O terceiro é responsável pelo desenvolvimento de um aplicativo de software personalizado para a instituição financeira. Esse compromisso envolve o acesso e o processamento de dados confidenciais do cliente pelo terceiro, integração com sistemas críticos e possível introdução de mudanças na infraestrutura da organização.
- Serviço: Gestão de instalações
- O terceiro também é responsável por gerenciar a segurança física e a manutenção dos edifícios de escritórios da instituição financeira. Este compromisso envolve fornecer pessoal de segurança, gerenciar sistemas de controle de acesso e confirmar a segurança e a manutenção gerais das instalações.
- Compromisso para o serviço de desenvolvimento de software
Este compromisso envolve um nível mais alto de risco devido aos seguintes fatores:
- Acesso a dados confidenciais: o terceiro tem acesso aos dados do cliente, o que requer proteção de dados e controles de privacidade rígidos para ajudar a impedir o acesso não autorizado ou violações de dados.
- Integração do sistema: o software de terceiros deve se integrar a sistemas críticos, potencialmente afetando a estabilidade, a disponibilidade ou a segurança desses sistemas. Os procedimentos adequados de teste e garantia de qualidade são cruciais para minimizar o risco de falhas ou vulnerabilidades do sistema.
- Gestão de mudanças: a introdução de novo software ou mudanças nos sistemas existentes pode apresentar riscos, como problemas de compatibilidade, interrupções do sistema ou vulnerabilidades de software. Práticas robustas de gerenciamento de mudanças e processos de revisão de código são necessários para mitigar esses riscos.
- Compromisso para o serviço de gestão de instalações
Embora este compromisso também envolva o mesmo terceiro, o perfil de risco é menor quando comparado ao compromisso de desenvolvimento de software:
- Segurança física: o foco aqui é o gerenciamento de medidas de segurança física, como sistemas de controle de acesso e vigilância. Embora ainda importantes, os riscos associados à segurança física são normalmente mais diretos e fáceis de gerenciar em comparação com os riscos de segurança cibernética.
- Manutenção e segurança: a responsabilidade do terceiro está relacionada principalmente à manutenção geral e à promoção de um ambiente de trabalho seguro. Embora ainda haja riscos associados à manutenção predial (por exemplo, riscos à segurança), eles podem ser mais previsíveis e gerenciáveis em comparação com os riscos complexos de segurança cibernética no compromisso de desenvolvimento de software.