*Marcos Paulo Freitas
A avaliação de riscos em fornecedores é um processo onde empresas buscam identificar e gerenciar riscos existentes em serviços prestados por fornecedores e que possam impactar diretamente suas operações, produtividade e até na satisfação de seus clientes. É um processo que envolve diversas áreas como financeiro, jurídico, controladoria, compras e tecnologia / segurança da informação.
Os dados são considerados os principais ativos de uma empresa e são mantidos sob constante vigilância e controle. Desta forma, as empresas devem monitorar seus fornecedores com rigor, de forma a assegurar que estes possuam um bom nível de maturidade em processos de Segurança da Informação de forma mitigar riscos e evitar incidentes de vazamento de dados que podem causar impactos negativos em suas operações e na reputação da empresa.
Processo de Homologação de Fornecedores
Antes de se estabelecer relação comercial com qualquer fornecedor, as empresas verificam uma série de informações de forma a certificar a situação de ativos, passivos e capacidade deste em prestar serviços com qualidade. Deste modo, buscam mitigar o risco de se relacionar com fornecedores que tenham histórico negativo e que possam comprometer a reputação do negócio.
Durante essa fase, é interessante que a empresa avalie se o fornecedor possuí mecanismos e processos relacionados à Segurança da Informação. Além disso, é importante ter conhecimento de incidentes relevantes que tenham ocorrido como vazamento de informações ou casos de indisponibilidade de sistemas e serviços.
Nesse momento de escolha, a empresa deverá optar por fornecedores que possuam bons mecanismos e processos estabelecidos no que tange a Segurança da Informação de modo a buscar a garantia da confidencialidade, integridade e disponibilidade de suas informações e operações.
Processo de Avaliação de Fornecedores (Legado)
Caso a empresa já possua fornecedores ativos, para se iniciar um processo de avaliação de riscos de segurança da informação é necessário determinar quais fornecedores são mais críticos para o negócio e quais serão avaliados com base nos serviços prestados.
O próximo passo é se basear em boas práticas e padrões do mercado como ISO/IEC 27001, NIST, COBIT, elaborar uma matriz de riscos com os controles que a empresa deseja que os fornecedores possuam para mitigação destes riscos. Também é necessário determinar quais serão os critérios e como será a avaliação (por meio de questionários, presencialmente ou com o apoio de consultoria especializada). Ao se estabelecer os critérios, é importante que a empresa indique quais são mais críticos e devem ser atendidos pelos fornecedores. Estes, por sua vez, devem ser comunicados constantemente durante o processo de avaliação, devem ter acesso aos resultados e ter a oportunidade de elaborar planos de ação visando o aumento no seu nível de maturidade e continuidade na prestação de serviços.
A avaliação deve ser realizada periodicamente para que sempre sejam identificados novos riscos e para que se mantenha um controle sobre o nível de maturidade de cada fornecedor. Além da avaliação em si, é necessário que seja realizado um acompanhamento do status dos planos de ação elaborados pelos fornecedores e sejam definidos prazos factíveis de acordo com a realidade e possibilidade de cada fornecedor em atendê-los. Somente dessa forma, todos serão beneficiados com a execução deste processo.
Considerações Finais
Avaliar a Segurança da Informação de seus fornecedores é uma atividade primordial para empresas que desejam prestar serviços de qualidade, assegurar a segurança de suas informações e de seus clientes. Através da execução de um processo de avaliação periódica, é possível determinar se fornecedores estão engajados e são cuidadosos o suficiente para continuarem na prestação de serviços. É um processo onde ambas as partes são beneficiadas, pois a empresa minimiza riscos como indisponibilidade na prestação de serviços ou vazamento de suas informações, enquanto o fornecedor tem a oportunidade de aprimorar seu nível de maturidade, se destacar no mercado de atuação e até ter um diferencial competitivo para conquistar novos clientes.
*Marcos Paulo Freitas é GRC and Information Security Manager at [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de consultoria em Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos que atendam integralmente às necessidades do negócio. Podemos apoiar no processo de avaliação de Segurança da informação em fornecedores na definição dos critérios e metodologia de avaliação, na execução da avaliação em si (remota ou presencialmente) na elaboração de recomendações para que os fornecedores possam aprimorar a maturidade e cuidado com as informações de sua empresa, minimizando os riscos associados.
