"Simplifique a gestão contratual, reduza riscos e otimize resultados."
Oferecemos uma abordagem robusta e abrangente de Third-Party Cyber Risk Management (TPCRM) com foco em Security Posture, Compliance e Resilience. Através de metodologias e ferramentas de ponta, a solução garante uma gestão de terceiros alinhada às melhores práticas do mercado, minimizando riscos e garantindo a segurança ao longo de todo o ciclo de vida do contrato.
Baixe nossa Apresentação
TPCRM
Da POC à Contratação e Rescisão
Nossa proposta de Gestão de Terceiros apresenta uma solução abrangente e técnica para a avaliação, monitoramento e gestão de terceiros em todas as fases do relacionamento contratual. Abordamos o Third-Party Cyber Risk Management (TPCRM) com foco em segurança da informação, utilizando frameworks reconhecidos como NIST, ISO 27001 e SOC 2.
Aplicamos metodologias avançadas para identificar e mitigar riscos de forma proativa, desde a fase de Proof of Concept (POC) até a rescisão do contrato.
A proposta se estrutura em processos técnicos que incluem Vulnerability Management, Threat Hunting, Continuous Monitoring e Compliance Assessment, assegurando que todos os terceiros atendam aos padrões rigorosos de segurança e conformidade exigidos pela sua organização.
Nosso objetivo é fornecer uma abordagem holística, minimizando a superfície de ataque e reduzindo o risco de incidentes de segurança provenientes de fornecedores, ao mesmo tempo que garantimos a conformidade com as regulamentações de proteção de dados, como LGPD, GDPR, e outras normas aplicáveis.
Com um modelo baseado em melhoria contínua e adaptação dinâmica às mudanças no cenário de ameaças, nossa solução permite que sua empresa mantenha a integridade, confidencialidade e disponibilidade dos ativos críticos, assegurando um relacionamento seguro e confiável com terceiros ao longo de todo o ciclo de vida do contrato.
Avaliação de Terceiros
(Due Diligence de Segurança)
Na fase de POC ou pré-contratação, aplicamos um processo de due diligence que inclui um Security Assessment detalhado dos terceiros. Utilizamos metodologias como NIST SP 800-53 e ISO 27001 para avaliar controles de segurança, políticas de proteção de dados e frameworks de gestão de risco. Incluímos também uma verificação de compliance regulatório conforme LGPD, GDPR e outras normas aplicáveis.
Benefícios
• Detecção de gaps nos controles de segurança do terceiro.
• Mitigação de riscos antes da formalização do contrato através de ajustes contratuais baseados nos resultados.
• Estabelecimento de um baseline de segurança para futuros monitoramentos.
Ferramenta de Busca de Vulnerabilidades
(External Attack Surface Management)
Utilizamos ferramentas de EASM (External Attack Surface Management) para identificar vulnerabilidades em ativos públicos do terceiro, como IPs, domínios e subdomínios. Realizamos análises utilizando scanners para detecção de CVEs conhecidas.
Benefícios
• Detecção de vulnerabilidades críticas que podem ser exploradas por agentes maliciosos.
• Criação de um risk score baseado em frameworks como CVSS v3.1.
• Mitigação rápida de vulnerabilidades antes da assinatura do contrato.
Monitoramento Contínuo e Threat Hunting
Implementamos monitoramento contínuo através de ferramentas de Threat Intelligence e SIEM (Security Information and Event Management) e feeds de inteligência de ameaças para monitorar incidentes relacionados ao terceiro na deep web e surface web.
Benefícios
• Proatividade na identificação de Indicators of Compromise (IoCs).
• Ajuste dinâmico do risco calculado com base em novos indicadores de ameaças.
• Ação rápida em resposta a incidentes, utilizando práticas de Incident Response.
Soluções de Gestão e Melhoria de Acessos de Terceiros
Implementamos Zero Trust Network Access (ZTNA) e Privileged Access Management (PAM) para controle de acessos de terceiros. Utilizamos soluções para monitorar e registrar sessões de acesso, aplicando políticas de Least Privilege e Just-in-Time Access.
Benefícios
• Redução do risco de compromissos por meio de acesso não autorizado.
• Monitoramento e auditoria de sessões para garantir conformidade.
• Maior visibilidade sobre o comportamento de acesso de usuários de terceiros.
Auditoria e Reavaliação Periódica
(Continuous Assessment)
Conduzimos auditorias semestrais baseadas em frameworks como SOC 2 Type II, ISO 27001 e NIST CSF. Realizamos testes de segurança, incluindo Penetration Testing e Vulnerability Assessment, reavaliando os riscos conforme novos controles de segurança são aplicados ou modificados.
Benefícios
• Verificação contínua do compliance e segurança dos fornecedores.
• Ajustes proativos nos controles com base em resultados de auditoria.
• Documentação e mitigação de riscos residuais identificados.
Due Diligence Pós-Incidente
Em caso de incidente envolvendo o terceiro, realizamos uma investigação detalhada utilizando técnicas de Forensic Analysis e Root Cause Analysis. Emitimos um relatório de due diligence contendo análise de logs, eventos e tráfego de rede, juntamente com um plano de mitigação e correção.
Benefícios
• Análise rápida e precisa do impacto do incidente.
• Transparência no processo de investigação e mitigação.
• Implementação de medidas preventivas para evitar reincidências.
Reformulação do Processo de POC e Contratação
Reestruturamos o processo de POC e contratação para incluir controles de segurança desde a fase inicial, utilizando metodologias como Secure SDLC (Software Development Life Cycle) e DevSecOps. Implementamos uma abordagem de Shift Left na segurança, integrando testes de segurança e validações nas fases iniciais do processo de seleção.
Benefícios
• Redução de riscos de segurança desde o início do ciclo de contratação.
• Implementação de controles robustos antes da fase de produção.
• Maior eficiência e segurança no onboarding de novos fornecedores.
Avaliação Contínua de Terceiros Contratados
(Vendor Risk Management)
Utilizamos soluções de VRM (Vendor Risk Management) para monitorar continuamente os terceiros contratados. Realizamos Security Ratings utilizando ferramentas para avaliação de perfil de risco em tempo real.
Benefícios
• Monitoramento contínuo e dinâmico do risco dos fornecedores.
• Relatórios de risco baseados em métricas de segurança atualizadas.
• Capacidade de intervenção proativa em caso de deterioração do perfil de segurança.
Suporte Jurídico para Exigências de Segurança
Em colaboração com o departamento jurídico, incorporamos cláusulas específicas de segurança cibernética nos contratos, incluindo Data Protection Clauses, Service Level Agreements (SLAs) e Security Addendums. Elaboramos NDAs robustos que incluem aspectos de proteção contra vazamento de dados e comprometimento de informações sensíveis.
Benefícios
• Fortalecimento da proteção legal em casos de incidentes de segurança.
• Garantia de conformidade com requisitos regulatórios e normativos.
• Redução de exposição a litígios por falhas de segurança.
Gestão Completa do Ciclo de Vida dos Terceiros
(Third-Party Lifecycle Management)
Gerenciamos todo o ciclo de vida do terceiro utilizando uma plataforma de TPRM (Third-Party Risk Management) integrada. Aplicamos metodologias de Continuous Monitoring, Risk Assessment e Periodic Review, desde a fase de POC até a rescisão contratual, garantindo conformidade contínua.
Benefícios
• Visibilidade completa sobre o risco e a conformidade dos fornecedores ao longo do contrato.
• Acompanhamento em tempo real de mudanças no perfil de risco.
• Mitigação contínua e ajustes de segurança com base em mudanças no cenário de ameaças.
Melhoria Contínua
(Continuous Improvement Program)
Implementamos um CIP (Continuous Improvement Program) baseado em frameworks como Kaizen e Six Sigma para revisar e aprimorar processos regularmente. Realizamos análises de Lessons Learned após incidentes e implementamos Action Plans para fortalecer controles de segurança.
Benefícios
• Adaptação ágil a novas ameaças e regulamentações.
• Implementação de melhorias baseadas em análises de incidentes e auditorias.
• Incremento contínuo na maturidade dos processos de segurança.