Análise de riscos deve envolver também os fornecedores (Público/Divulgação)
Karla Mamona
Publicado em 21 de maio de 2022 às 17h24.
Por Willian Caprino*
Todas as empresas do mundo dependem de fornecedores para entregar produtos, sistemas e serviços. Essas cadeias de suprimentos muitas vezes podem ser extensas e complexas, envolvendo uma série de contratos com companhias diferentes. Proteger efetivamente esses processos pode ser uma tarefa difícil, pois há vulnerabilidades inerentes ou introduzidas em qualquer ponto da respectiva cadeia. Nesse sentido, um dos fatores que mais requisitam uma atenção especial das organizações nos últimos anos é a segurança da informação.
De acordo com a empresa de inteligência de ameaças Group-IB, 91,2 mil casos de vazamento de dados corporativos foram registrados no primeiro trimestre de 2022, um aumento de 12% em relação ao fim do ano passado. O levantamento ainda mostra que entre outubro e dezembro de 2021 houve uma diminuição de 3% de casos, mas a virada nos últimos meses soma quase todos os dados do ano em questão. Ou seja, é um problema que está longe de ter um fim e exige das corporações medidas eficientes para proteger suas informações.
A mais básica delas é a análise de riscos. É necessário entender qual é a maturidade e eficácia do atual padrão de segurança da sua empresa fornecedora, determinando se ela e seus subcontratados oferecem ou não os requisitos solicitados. Qual o acesso (físico e lógico) que as companhias que trabalharão ao seu lado têm aos seus sistemas e instalações? Como elas controlam esse acesso e o uso de suas informações e/ou ativos? São perguntas essenciais a se fazer antes do fechamento de um negócio e que já devem estar respondidas antes do acordo.
Neste viés, também é importante agrupar diferentes linhas de trabalho, contratos e fornecedores em perfis de risco, com base em considerações como: o impacto em suas operações na ocorrência de qualquer perda, dano ou interrupção; as ameaças prováveis; a natureza do serviço que eles estão fornecendo; e o tipo e sensibilidade das informações que estão processando. Com esses itens elencados, cada contrato torna-se mais simples, seguro e claro.
Exemplifiquemos na prática. No caso de um fornecedor muito relevante, a análise de perfil mostrará que é preciso ter baixo apetite de risco e ir além de checklists e longos formulários burocráticos sobre políticas. Em termos contratuais, não há como privá-lo de ter um programa de segurança da informação completo, incluindo gerenciamento eficaz de vulnerabilidades e testes de intrusão recorrentes, cobrindo vários ângulos e cenários distintos.
Vale ressaltar que essa preocupação com protocolos que protejam dados corporativos não deve se restringir apenas a contratos que ainda serão assinados, mas também aos já existentes. Nesse caso, mais do que analisar, a avaliação de riscos é o que irá permear ações que garantam a proteção de informações. Dessa maneira, é possível identificar quais fornecedores estão atendendo às expectativas de desempenho e garantir que eles entendam suas responsabilidades de fornecer uma segurança de dados adequada, além das implicações que podem acontecer caso não respeitem essas condições.
E assim como o trabalho de agrupamento de perfis de risco, neste cenário todos esses pré-requisitos não podem deixar de assegurar as informações da sua empresa. Alguns deles são fundamentais, como o fornecimento de relatórios de segurança, a construção de um "direito de auditoria" em todos os contratos, a criação de requisitos de garantia (como testes de invasão ou certificações formais de segurança) e o estabelecimento de indicadores-chave de desempenho, para que se crie a possibilidade de penalização ou quebra de contrato caso o mesmo seja insatisfatório.
Não há meio termo, uma empresa que trata a segurança da informação de forma madura diminui significativamente seus riscos de perdas - financeiras ou de imagem — relacionadas a eventos como vazamento de dados e indisponibilidade de serviços ocasionada por ataques e fraudes. Companhias maduras, que possuem políticas de governança acerca do tema, enxergam como risco fornecedores com acesso a dados pessoais e informações vitais ao negócio que não possuem medidas de cibersegurança robustas. Essa preocupação sobre o assunto esclarecerá quais acordos podem trazer uma perspectiva de crescimento sólida e à prova de erros no mercado.
*Willian Caprino é especialista em cibersegurança e gestão de risco e diretor de negócios na América Latina da Blaze Information Security
Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube