Por que você pode ter vários compromissos com um único terceiro
Ao integrar um terceiro específico, você pode conduzir um compromisso separado para cada tipo distinto de relacionamento que você tem com o terceiro. Um compromisso é avaliar o risco envolvido no desenvolvimento de software do terceiro para sua organização e um compromisso separado é para o serviço de gestão de instalações que eles fornecem.
Compromissos diferentes do mesmo terceiro podem exigir níveis variados de avaliação de risco
Diferentes compromissos do mesmo terceiro podem exigir diferentes níveis de avaliação de risco devido a variações na natureza dos serviços fornecidos, ao nível de acesso a dados confidenciais ou sistemas críticos e ao possível impacto na infraestrutura da sua organização. Ao conduzir uma avaliação de risco separada para cada compromisso, você pode personalizar suas estratégias e controles de gestão de risco para lidar com os riscos associados a cada compromisso de forma eficaz.
Exemplo: O terceiro fornecerá dois serviços distintos
- Serviço: Compromisso de desenvolvimento de software
- O terceiro é responsável por desenvolver um aplicativo de software personalizado para a instituição financeira. Este compromisso envolve o terceiro acessando e processando dados confidenciais do cliente, integrando-se a sistemas críticos e potencialmente introduzindo mudanças na infraestrutura da organização.
- Serviço: Gestão de instalações
- O terceiro também é responsável por gerenciar a segurança física e a manutenção dos prédios de escritórios da instituição financeira. Este compromisso envolve fornecer pessoal de segurança, gerenciar sistemas de controle de acesso e confirmar a segurança geral e a manutenção das instalações.
- Compromisso para o serviço de desenvolvimento de software
Este compromisso envolve um nível mais alto de risco devido aos seguintes fatores:
- Acesso a dados confidenciais: O terceiro tem acesso aos dados do cliente, o que requer controles rígidos de proteção de dados e privacidade para ajudar a evitar acesso não autorizado ou violações de dados.
- Integração do sistema: O software do terceiro deve se integrar a sistemas críticos, potencialmente afetando a estabilidade, a disponibilidade ou a segurança desses sistemas. Procedimentos adequados de teste e garantia de qualidade são cruciais para minimizar o risco de falhas ou vulnerabilidades do sistema.
- Gestão de mudanças: A introdução de novo software ou mudanças nos sistemas existentes pode introduzir riscos, como problemas de compatibilidade, interrupções do sistema ou vulnerabilidades de software. Práticas robustas de gestão de mudanças e processos de revisão de código são necessários para mitigar esses riscos.
- Compromisso para o serviço de gestão de instalações
Mesmo que este compromisso também envolva o mesmo terceiro, o perfil de risco é menor quando comparado ao compromisso de desenvolvimento de software:
- Segurança física: O foco aqui está na gestão de medidas de segurança física, como sistemas de controle de acesso e vigilância. Embora ainda sejam importantes, os riscos associados à segurança física são geralmente mais diretos e fáceis de gerenciar em comparação com os riscos de segurança cibernética.
- Manutenção e segurança: A responsabilidade do terceiro está relacionada principalmente à manutenção geral e à promoção de um ambiente de trabalho seguro. Embora ainda existam riscos associados à manutenção do prédio (por exemplo, riscos de segurança), eles podem ser mais previsíveis e gerenciáveis em comparação com os riscos complexos de segurança cibernética no compromisso de desenvolvimento de software.