Os ambientes de TI atualmente são formados por infraestrutura, soluções, sistemas e aplicações de diversos provedores, além de conectados a parceiros, o que faz com os desafios de segurança na gestão de fornecedores sejam cada vez maiores, influenciando todo o processo de gestão de riscos e conformidade. O perímetro de segurança não está mais dentro da sua infraestrutura e, com isso, você não pode mais garantir apenas a sua segurança, e sim avaliar a maturidade em segurança da informação de todos os seus fornecedores. Sua cadeia não pode ter um elo fraco, porque ele com certeza será encontrado pelos hackers.

Os maiores riscos na gestão de fornecedores incluem:

• Falhar em avaliar, compreender e documentar de forma adequada os riscos e custos dos serviços terceirizados
• Não contar com processos de diligência e de acompanhamento contínuo
• Celebrar contratos que podem incentivar o fornecedor a assumir riscos para maximizar o lucro
• Manter relações com fornecedores sem um contrato formal, ou mesmo um contrato inadequado

Check list para reduzir os riscos na gestão de fornecedores

Existem diversas formas para identificar os riscos associados a fornecedores, que sempre começam com o planejamento sobre a gestão, avaliando os seguintes pontos de risco:

• Porque a sua empresa está terceirizando o serviço ou aplicação?
• Existe alguma possibilidade do seu fornecedor subcontratar parte do serviço?
• Seu fornecedor tem data centers em outros países?
• Qual a criticidade dos dados que serão compartilhados?
• Qual é o seu plano no caso de falha ou acidente com o seu fornecedor?
• Com que periodicidade seus fornecedores são avaliados?

Essa fase de planejamento deve resultar em uma documentação consistente, incluindo relatórios detalhados de diligência, mapeamento das relações com fornecedores, avaliações de risco, relatórios de desempenho, auditorias e revisões. Caso você não garanta a conformidade a partir dos SLAs, por exemplo, sua empresa pode estar exposta não apenas a uma violação de dados, mas também estar sujeita a ações de responsabilidade legal.

Automatizar a gestão de fornecedores, desde a fase de planejamento, é a melhor estratégia para implantar processos de governança de dados e de segurança digital. O GAT, por exemplo, é uma plataforma que integra a gestão de vulnerabilidades de todos os ativos, próprios e de terceiros, com uma estratégia de segurança digital baseada nas seguintes etapas:

1. Problema: na primeira etapa o problema é identificado, estudado e tem os seus detalhes mapeados
2. Diagnóstico: com o conhecimento da vulnerabilidade, o diagnóstico pode ser elaborado
3. Estratégia: a seleção da estratégia mais efetiva é feita com base no conhecimento e diagnóstico, detalhada especificamente para o problema encontrado
4. Resultados: Após a conclusão da estratégia adequada, os resultados e correção do problema são comprovados

Associação destaca as melhores práticas

O estudo “2016 Vendor Risk Management Benchmark”, elaborado pela Shared Assessments Program, associação que reúne empresas de diversos setores da economia, e especialistas em GRC (Governança, Risco e Compliance), que trabalham em conjunto analisando e indicando as melhores práticas de segurança na gestão de fornecedores, aponta que a governança é um elemento fundamental em qualquer programa de gestão de fornecedores.

E destaca que sem as ferramentas e recursos adequados, estrutura organizacional e práticas de gestão de fornecedores alinhadas ao apetite por risco da empresa, nenhum programa será bem-sucedido. Além disso, líderes de negócios e membros de Conselhos são cada vez mais pressionados a implantar, financiar e avaliar periodicamente a efetividade dos seus programas.

Em relação aos programas de governança, a associação enfatiza que os mesmos devem ser baseados em políticas, normas e procedimentos, essenciais para a gestão de fornecedores. As políticas devem ser aprovadas pelo Conselho e revisadas periodicamente para garantir que estão alinhadas às mudanças no cenário de risco. Além disso, políticas e procedimentos devem ser consistentes em toda a empresa para garantir que a avaliação de riscos será uniforme.

Essas políticas e procedimentos devem ser incorporadas em todo o ciclo de vida do fornecedor, desde a avaliação inicial, durante o contrato, até o momento em que o relacionamento chega ao fim.

Os contratos, inclusive, devem descrever todas as obrigações de ambas as partes, com SLAs, previsão de auditorias e circunstâncias nas quais o fornecedor pode terceirizar partes do contrato, escritos de forma bem clara, alinhados aos padrões internos e revisados regularmente.

Os analistas da Shared Assessments Program também destacam que que as informações e avaliações sobre a gestão de fornecedores devem estar facilmente acessíveis para o Conselho, alta diretoria e equipes de segurança, em dashboards customizados conforme a necessidade do público alvo.

Os dashboards do GAT fornecem indicadores de desempenho e segurança de todos os ativos, próprios e de terceiros, com base em contextos customizáveis, como processos de negócio, equipes e localidades, facilitando o compartilhamento de informações entre os stakeholders e a colaboração entre equipes.