Por que você pode ter vários compromissos com um único terceiro
Ao integrar um terceiro específico, você pode conduzir um compromisso separado para cada tipo distinto de relacionamento que tem com o terceiro. Um compromisso é avaliar o risco envolvido no desenvolvimento de software de terceiros para sua organização e um compromisso separado é para o serviço de gestão de instalações que eles fornecem.
Diferentes compromissos do mesmo terceiro podem exigir níveis variados de avaliação de risco
Diferentes compromissos do mesmo terceiro podem exigir diferentes níveis de avaliação de risco devido a variações na natureza dos serviços fornecidos, ao nível de acesso a dados confidenciais ou sistemas críticos e ao possível impacto na infraestrutura da sua organização. Ao conduzir uma avaliação de risco separada para cada compromisso, você pode personalizar suas estratégias e controles de gestão de risco para lidar com os riscos associados a cada compromisso de forma eficaz.
Exemplo: O terceiro fornecerá dois serviços distintos
- Serviço: Compromisso de desenvolvimento de software
- O terceiro é responsável por desenvolver um aplicativo de software personalizado para a instituição financeira. Este compromisso envolve o acesso e o processamento de dados confidenciais do cliente, a integração com sistemas críticos e a possível introdução de mudanças na infraestrutura da organização.
- Serviço: Gestão de instalações
- O terceiro também é responsável por gerenciar a segurança física e a manutenção dos edifícios de escritórios da instituição financeira. Este compromisso envolve fornecer pessoal de segurança, gerenciar sistemas de controle de acesso e confirmar a segurança geral e a manutenção das instalações.
- Compromisso para o serviço de desenvolvimento de software
Este compromisso envolve um nível mais alto de risco devido aos seguintes fatores:
- Acesso a dados confidenciais: O terceiro tem acesso aos dados do cliente, o que requer proteção de dados estrita e controles de privacidade para ajudar a evitar acesso não autorizado ou violações de dados.
- Integração do sistema: O software de terceiros deve se integrar a sistemas críticos, potencialmente afetando a estabilidade, a disponibilidade ou a segurança desses sistemas. Testes adequados e procedimentos de garantia de qualidade são cruciais para minimizar o risco de falhas ou vulnerabilidades do sistema.
- Gestão de mudanças: A introdução de novo software ou mudanças nos sistemas existentes pode introduzir riscos, como problemas de compatibilidade, interrupções do sistema ou vulnerabilidades de software. Práticas robustas de gestão de mudanças e processos de revisão de código são necessários para mitigar esses riscos.
- Compromisso para o serviço de gestão de instalações
Embora este compromisso também envolva o mesmo terceiro, o perfil de risco é menor quando comparado ao compromisso de desenvolvimento de software:
- Segurança física: O foco aqui está na gestão de medidas de segurança física, como sistemas de controle de acesso e vigilância. Embora ainda sejam importantes, os riscos associados à segurança física são normalmente mais diretos e fáceis de gerenciar em comparação com os riscos de segurança cibernética.
- Manutenção e segurança: A responsabilidade do terceiro está relacionada principalmente à manutenção geral e à promoção de um ambiente de trabalho seguro. Embora ainda existam riscos associados à manutenção de edifícios (por exemplo, riscos à segurança), eles podem ser mais previsíveis e gerenciáveis em comparação com os complexos riscos de segurança cibernética no compromisso de desenvolvimento de software.