Fornecedores, prestadores de serviços, parceiros ou qualquer outra nomenclatura, são pessoas não funcionários ou organizações que participam e muitas vezes são críticos para a operacionalização do negócio da organização e para o atendimento aos objetivos corporativos.
Considerando a segurança da informação, proteção da privacidade e continuidade, foco destas nossas considerações, os fornecedores devem ser tratados com o mesmo rigor (ou maior) dos controles de segurança da organização. Não deve haver separação de entidades. Somos todos um: uma organização que precisa operar e atender aos objetivos corporativos.
Sendo assim, a organização deve ser profissional, de maneira a exigir a efetividade de controles de segurança. Mas temos alguns outras aspectos que também devem ser considerados. Recomendamos um roteiro básico obrigatório. Outras questões devem ser identificadas considerando a especificidade da sua organização.
- Direcionadores Obrigatórios
Identifique se existe legislação ou normativos de agencia reguladoras para a sua organização ou para dos clientes da organização. Exemplo: o BACEN exige em certas situações a comunicação de prestadores de serviços. Confirme todas as situações do prestador, inclusive localização e as responsabilidades deste prestador em relação à matriz ou legislação de outros países.
- Identifique os principais profissionais: capacidade, experiencia e reputação de mercado.
Organização é feita por pessoas. É necessário conhecer quem na prática quais profissionais vão te atender. A venda é feita pelos sócios, e a operacionalização por profissionais de pouca experiencia. Grande risco.
- Identifique a criticidade do Fornecedor para o negócio
Um fornecedor pode ser crítico para o negócio e ainda ser de difícil substituição. Ou pode ser crítico, mas de fácil substituição. Estabeleça uma matriz de criticidade e de facilidade de substituição. Pode acrescentar uma terceira dimensão: valores envolvidos.
Já defina, antes de contratar o fornecedor como será ou poderá ser a sua substituição. Para situações críticas de difícil substituição leve este tema para o Comitê de Riscos ou para o Corpo Diretivo.
- Maturidade da Segurança da Informação, Privacidade e Continuidade
Exija ou realize, uma avaliação da maturidade da gestão dos controles de segurança da informação, privacidade e continuidade. Um fornecedor de boa qualidade, terá de imediato esta avaliação, feita por ele ou por uma consultoria. Isso demonstra profissionalismo. Se não tem, cuidado, podemos estar diante de um amador em relação à proteção da informação.
Mas independente do fornecedor, tome por base ISO, NIST, SOC 2, Legislação DORA, Legislação LGPD/GDPR e elabore um conjunto base obrigatório de controles de proteção da informação e avalie o fornecedor. Esta avaliação tem que ser rigorosa, profissional e coerente.
Por pressão de outras áreas, já vivi situações em que esta primeira avaliação era mínima e depois seria feita uma avaliação mais rigorosa. Errado. Se alguma área que não cumprir regras, que vá ao Comitê de Riscos ou Corpo Diretivo e assuma esta situação. E você Gestor de Segurança, registre esta situação de não conformidade.
- Gestão de Fornecedores
Todos os itens acima devem estar em um processo de gestão. Não é uma fotografia. É um filme contínuo. Evidentemente cada organização vai definir a periodicidade, rigidez e controles que vai executar, pois dependem do tipo de negócio, porte e demais características da organização.
CONCLUSÃO
O tratamento da informação para a operacionalização e sustentação do negócio é de responsabilidade da organização. Se ela faz todos os processos ou conta com parceiros é um detalhe operacional. Porém, os controles de segurança da informação, privacidade e continuidade devem ser garantidos independente de quem execute e gerencie o controle.
E situações fora da boa prática, tem que obrigatoriamente ser aprovada por tempo limitado pelo Comitê de Riscos ou Corpo Diretivo, além de comunicado ao Conselho de Administração, pois podem gerar impactos negativos financeiros, de fluxo de caixa, de reputação, operacional ou de não conformidade legal. A organização é responsável pelos seus fornecedores.
Edison Fontes, CISM, CISA, CRISC, Ms
