Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
  • Home
  • A IBLISS
    • Responsabilidade Social
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Teste de Intrusão
    • Conscientização & Cultura
    • Serviços Gerenciados
    • Compliance & Governança
    • AppSec & DevSecOps
  • Conteúdos
    • Blog
    • Materiais Ricos
    • Boletins de vulnerabilidades
  • Oportunidades
  • Contato
IBLISS Digital Security
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Aviso de Privacidade
  • Blog Minuto Proteção
  • Boletins de vulnerabilidades
  • Contato
  • E-book Programa de Conscientização em Segurança da Informação
  • Home
  • IBLISS + GAT Security score
  • Infográfico Gestão de Vulnerabilidades – um passo em direção a um caminho seguro
  • Infográfico Por que investir em um Programa de Conscientização?
  • Infográfico RESILIÊNCIA CIBERNÉTICA
  • Materiais Ricos
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Compliance & Governança
    • Conscientização & Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Serviços Gerenciados
  • Oportunidades
  • Parceiros tecnológicos
  • Política de Cookies
  • Política de segurança da informação – fornecedores, parceiros e prestadores de serviços
  • Política de Segurança de Alto Nível

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Estratégia em Segurança
  • Conheça os maiores desafios de segurança na gestão de fornecedores
Estratégia em Segurança

Conheça os maiores desafios de segurança na gestão de fornecedores

Os ambientes de TI atualmente são formados por infraestrutura, soluções, sistemas e aplicações de diversos provedores, além de conectados a parceiros, o que faz com os desafios de segurança na gestão de fornecedores sejam cada vez maiores, influenciando todo o processo de gestão de riscos e conformidade. O perímetro de segurança não está mais dentro da sua infraestrutura e, com isso, você não pode mais garantir apenas a sua segurança, e sim avaliar a maturidade em segurança da informação de todos os seus fornecedores. Sua cadeia não pode ter um elo fraco, porque ele com certeza será encontrado pelos hackers.

Os maiores riscos na gestão de fornecedores incluem:

  • Falhar em avaliar, compreender e documentar de forma adequada os riscos e custos dos serviços terceirizados
  • Não contar com processos de diligência e de acompanhamento contínuo
  • Celebrar contratos que podem incentivar o fornecedor a assumir riscos para maximizar o lucro
  • Manter relações com fornecedores sem um contrato formal, ou mesmo um contrato inadequado

Check list para reduzir os riscos na gestão de fornecedores

Existem diversas formas para identificar os riscos associados a fornecedores, que sempre começam com o planejamento sobre a gestão, avaliando os seguintes pontos de risco:

  • Porque a sua empresa está terceirizando o serviço ou aplicação?
  • Existe alguma possibilidade do seu fornecedor subcontratar parte do serviço?
  • Seu fornecedor tem data centers em outros países?
  • Qual a criticidade dos dados que serão compartilhados?
  • Qual é o seu plano no caso de falha ou acidente com o seu fornecedor?
  • Com que periodicidade seus fornecedores são avaliados?

Essa fase de planejamento deve resultar em uma documentação consistente, incluindo relatórios detalhados de diligência, mapeamento das relações com fornecedores, avaliações de risco, relatórios de desempenho, auditorias e revisões. Caso você não garanta a conformidade a partir dos SLAs, por exemplo, sua empresa pode estar exposta não apenas a uma violação de dados, mas também estar sujeita a ações de responsabilidade legal.

Automatizar a gestão de fornecedores, desde a fase de planejamento, é a melhor estratégia para implantar processos de governança de dados e de segurança digital. O GAT, por exemplo, é uma plataforma que integra a gestão de vulnerabilidades de todos os ativos, próprios e de terceiros, com uma estratégia de segurança digital baseada nas seguintes etapas:

  1. Problema: na primeira etapa o problema é identificado, estudado e tem os seus detalhes mapeados
  2. Diagnóstico: com o conhecimento da vulnerabilidade, o diagnóstico pode ser elaborado
  3. Estratégia: a seleção da estratégia mais efetiva é feita com base no conhecimento e diagnóstico, detalhada especificamente para o problema encontrado
  4. Resultados: Após a conclusão da estratégia adequada, os resultados e correção do problema são comprovados

Associação destaca as melhores práticas

O estudo “2016 Vendor Risk Management Benchmark”, elaborado pela Shared Assessments Program, associação que reúne empresas de diversos setores da economia, e especialistas em GRC (Governança, Risco e Compliance), que trabalham em conjunto analisando e indicando as melhores práticas de segurança na gestão de fornecedores, aponta que a governança é um elemento fundamental em qualquer programa de gestão de fornecedores.

E destaca que sem as ferramentas e recursos adequados, estrutura organizacional e práticas de gestão de fornecedores alinhadas ao apetite por risco da empresa, nenhum programa será bem-sucedido. Além disso, líderes de negócios e membros de Conselhos são cada vez mais pressionados a implantar, financiar e avaliar periodicamente a efetividade dos seus programas.

Em relação aos programas de governança, a associação enfatiza que os mesmos devem ser baseados em políticas, normas e procedimentos, essenciais para a gestão de fornecedores. As políticas devem ser aprovadas pelo Conselho e revisadas periodicamente para garantir que estão alinhadas às mudanças no cenário de risco. Além disso, políticas e procedimentos devem ser consistentes em toda a empresa para garantir que a avaliação de riscos será uniforme.

Essas políticas e procedimentos devem ser incorporadas em todo o ciclo de vida do fornecedor, desde a avaliação inicial, durante o contrato, até o momento em que o relacionamento chega ao fim.

Os contratos, inclusive, devem descrever todas as obrigações de ambas as partes, com SLAs, previsão de auditorias e circunstâncias nas quais o fornecedor pode terceirizar partes do contrato, escritos de forma bem clara, alinhados aos padrões internos e revisados regularmente.

Os analistas da Shared Assessments Program também destacam que que as informações e avaliações sobre a gestão de fornecedores devem estar facilmente acessíveis para o Conselho, alta diretoria e equipes de segurança, em dashboards customizados conforme a necessidade do público alvo.

Os dashboards do GAT fornecem indicadores de desempenho e segurança de todos os ativos, próprios e de terceiros, com base em contextos customizáveis, como processos de negócio, equipes e localidades, facilitando o compartilhamento de informações entre os stakeholders e a colaboração entre equipes.

ambientes de TI estratégia de segurança digital GAT gestão de fornecedores
O desafio de medir a qualidade dos processos de segurança
3 de março de 2017
Descubra qual é o nível de maturidade em segurança da sua empresa
9 de março de 2017

Postagens Recentes

  • O Papel da Segurança da Informação no Caso PIX: Lições dos Controles NIST e ISO 27001
  • IBLISS anuncia nova fase de crescimento e reforça time executivo com foco em CTEM
  • Qual a importância em investir em um Programa de Conscientização?
  • Teste de Invasão: Conheça as principais vantagens
  • A importância dos testes de invasão para médias e pequenas empresas

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Aviso de Privacidade
  • Política de Cookies
  • Política de Segurança de Alto Nível
  • PSI – Fornecedores & Parceiros

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.

Utilizamos cookies e outras tecnologias semelhantes para garantir que você obtenha a melhor experiência em nosso site. Consulte a Política de Cookies. Além disso, ao continuar navegando, você está ciente com o nosso Aviso de Privacidade.