• CIBERSEGURANÇA

O X da questão: um fornecedor está indisponível

Por
Edison Fontes
-
0

O bloqueio no Brasil da ferramenta X (antigo Twitter) por decisão do Ministro e da Primeira Turma do STF – Supremo Tribunal Federal, gerou a indisponibilidade de um prestador de serviços de informação para pessoas e organizações. 

Independente do questionamento existente e da indefinição de como tudo isso terminará, o fato é que um fornecedor está indisponível. Algumas organizações e pessoas são pouco afetadas, porém outras são muito afetadas por utilizarem a ferramenta/serviço X para sua cadeia crítica operacional e para atendimento aos objetivos corporativos. Sendo assim é importante a existência de uma Gestão de Fornecedores de Tratamento de Informação para que a organização e principalmente o Corpo Diretivo não seja surpreendido com uma paralisação (parcial ou total) da organização, dependendo da criticidade operacional deste fornecedor e/ou parceiro.

Esta disciplina Gestão de Fornecedores de Tratamento de Informação considera vários controles e tipos de monitoramento, exige dedicação de esforço e continuidade. Porém, para facilitar um início rápido ("fast track") de uma avaliação e futura gestão, recomendo que a organização avalie de uma maneira inicial a existência dos seguintes controles descritos abaixo. 

Evidentemente, uma avaliação de gestão de fornecedores exige um conjunto maior, mais detalhado e mais rígido de controles. A lista abaixo ajudará no início deste processo. Destaco que neste texto o enfoque são fornecedores relacionados a serviços e produtos de tratamento de informação, sob responsabilidade do Gestor de Segurança da Informação.

Avalie a maturidade da sua organização em relação às seguintes questões:

  1. Existe um inventário estruturado, atualizado, íntegro e de acesso controlado contendo informações de todos os fornecedores? 
  2. Existe uma avaliação de criticidade de fornecedores e dos serviços dos fornecedores considerando o operacional da organização e a possibilidade de atendimento aos objetivos corporativos?
  3. Existe um estudo prévio e a definição de uma opção alternativa de um outro fornecedor ou de um outro serviço prestado pelo fornecedor original em caso de indisponibilidade (parcial ou total) do fornecedor ou serviço?
  4. Existe uma Avaliação de Impacto de Tratamento de Dados por Fornecedor? Qual o impacto caso este fornecedor/serviço fique indisponível? São considerados impactos operacionais, legais, de continuidade, financeiros, reputação ou similares? Se sim, esta avaliação é comunicada periodicamente ao Corpo Diretivo?
  1. Existe a Gestão de Riscos de Tratamento de Dados por Fornecedor? Se sim, o resultado é apresentado ao Corpo Diretivo periodicamente?

6.A organização exige dos fornecedores a existência de um Programa de Segurança da Informação e de Conformidade com a Proteção de Dados Pessoais (LGPD)?

  1. Os contratos com fornecedores contêm cláusulas de segurança da informação, proteção da privacidade e continuidade de negócio considerando o escopo do projeto entre o fornecedor e a organização?
  2. Existe definido Acordos de Nível de Serviço (SLA) com os fornecedores e estes controles são monitorados pelo próprio fornecedor e pela organização?
  3. Para os fornecedores mais críticos a organização tem o direito de fazer uma auditoria diretamente ou por parceiros, para garantir a efetividade destes fornecedores?
  4. Os fornecedores cumprem a legislação nacional e internacional e os normativos das agências reguladoras a que a organização está submetida?

CONCLUSÃO

A indisponibilidade de um fornecedor ou serviço prestado por um fornecedor pode ficar indisponível por vários motivos, como por exemplo: negligência e falta de rigidez de procedimentos (lembram-se do apagão tecnológico), quebra do fornecedor, contingência no ambiente do fornecedor, questões jurídicas, perda de pessoal chave ou vários outros.

O importante é a existência da Gestão de Fornecedor de Tratamento de Informação no Programa de Segurança da Informação e Proteção da Privacidade. Evidentemente outros aspectos tipo saúde financeira também serão considerados por outras áreas da organização

Este tema não se encerra nos itens apresentados acima. Eles são os principais, mas a sua organização pode ter situações específicas. Se desejar, vamos conversar, avaliar seu ambiente  e aprender juntos. 

Edison Fontes, CISO at NAVA – Technology for business

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.