Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Estratégia em Segurança
  • Conheça os maiores desafios de segurança na gestão de fornecedores
Estratégia em Segurança
_ 7 de março de 2017

Conheça os maiores desafios de segurança na gestão de fornecedores

Os ambientes de TI atualmente são formados por infraestrutura, soluções, sistemas e aplicações de diversos provedores, além de conectados a parceiros, o que faz com os desafios de segurança na gestão de fornecedores sejam cada vez maiores, influenciando todo o processo de gestão de riscos e conformidade. O perímetro de segurança não está mais dentro da sua infraestrutura e, com isso, você não pode mais garantir apenas a sua segurança, e sim avaliar a maturidade em segurança da informação de todos os seus fornecedores. Sua cadeia não pode ter um elo fraco, porque ele com certeza será encontrado pelos hackers.

Os maiores riscos na gestão de fornecedores incluem:

  • Falhar em avaliar, compreender e documentar de forma adequada os riscos e custos dos serviços terceirizados
  • Não contar com processos de diligência e de acompanhamento contínuo
  • Celebrar contratos que podem incentivar o fornecedor a assumir riscos para maximizar o lucro
  • Manter relações com fornecedores sem um contrato formal, ou mesmo um contrato inadequado

Check list para reduzir os riscos na gestão de fornecedores

Existem diversas formas para identificar os riscos associados a fornecedores, que sempre começam com o planejamento sobre a gestão, avaliando os seguintes pontos de risco:

  • Porque a sua empresa está terceirizando o serviço ou aplicação?
  • Existe alguma possibilidade do seu fornecedor subcontratar parte do serviço?
  • Seu fornecedor tem data centers em outros países?
  • Qual a criticidade dos dados que serão compartilhados?
  • Qual é o seu plano no caso de falha ou acidente com o seu fornecedor?
  • Com que periodicidade seus fornecedores são avaliados?

Essa fase de planejamento deve resultar em uma documentação consistente, incluindo relatórios detalhados de diligência, mapeamento das relações com fornecedores, avaliações de risco, relatórios de desempenho, auditorias e revisões. Caso você não garanta a conformidade a partir dos SLAs, por exemplo, sua empresa pode estar exposta não apenas a uma violação de dados, mas também estar sujeita a ações de responsabilidade legal.

Automatizar a gestão de fornecedores, desde a fase de planejamento, é a melhor estratégia para implantar processos de governança de dados e de segurança digital. O GAT, por exemplo, é uma plataforma que integra a gestão de vulnerabilidades de todos os ativos, próprios e de terceiros, com uma estratégia de segurança digital baseada nas seguintes etapas:

  1. Problema: na primeira etapa o problema é identificado, estudado e tem os seus detalhes mapeados
  2. Diagnóstico: com o conhecimento da vulnerabilidade, o diagnóstico pode ser elaborado
  3. Estratégia: a seleção da estratégia mais efetiva é feita com base no conhecimento e diagnóstico, detalhada especificamente para o problema encontrado
  4. Resultados: Após a conclusão da estratégia adequada, os resultados e correção do problema são comprovados

Associação destaca as melhores práticas

O estudo “2016 Vendor Risk Management Benchmark”, elaborado pela Shared Assessments Program, associação que reúne empresas de diversos setores da economia, e especialistas em GRC (Governança, Risco e Compliance), que trabalham em conjunto analisando e indicando as melhores práticas de segurança na gestão de fornecedores, aponta que a governança é um elemento fundamental em qualquer programa de gestão de fornecedores.

E destaca que sem as ferramentas e recursos adequados, estrutura organizacional e práticas de gestão de fornecedores alinhadas ao apetite por risco da empresa, nenhum programa será bem-sucedido. Além disso, líderes de negócios e membros de Conselhos são cada vez mais pressionados a implantar, financiar e avaliar periodicamente a efetividade dos seus programas.

Em relação aos programas de governança, a associação enfatiza que os mesmos devem ser baseados em políticas, normas e procedimentos, essenciais para a gestão de fornecedores. As políticas devem ser aprovadas pelo Conselho e revisadas periodicamente para garantir que estão alinhadas às mudanças no cenário de risco. Além disso, políticas e procedimentos devem ser consistentes em toda a empresa para garantir que a avaliação de riscos será uniforme.

Essas políticas e procedimentos devem ser incorporadas em todo o ciclo de vida do fornecedor, desde a avaliação inicial, durante o contrato, até o momento em que o relacionamento chega ao fim.

Os contratos, inclusive, devem descrever todas as obrigações de ambas as partes, com SLAs, previsão de auditorias e circunstâncias nas quais o fornecedor pode terceirizar partes do contrato, escritos de forma bem clara, alinhados aos padrões internos e revisados regularmente.

Os analistas da Shared Assessments Program também destacam que que as informações e avaliações sobre a gestão de fornecedores devem estar facilmente acessíveis para o Conselho, alta diretoria e equipes de segurança, em dashboards customizados conforme a necessidade do público alvo.

Os dashboards do GAT fornecem indicadores de desempenho e segurança de todos os ativos, próprios e de terceiros, com base em contextos customizáveis, como processos de negócio, equipes e localidades, facilitando o compartilhamento de informações entre os stakeholders e a colaboração entre equipes.

ambientes de TI estratégia de segurança digital GAT gestão de fornecedores
♥
O desafio de medir a qualidade dos processos de segurança
3 de março de 2017
Descubra qual é o nível de maturidade em segurança da sua empresa
9 de março de 2017

Postagens Recentes

  • Como manter a segurança de nossas crianças na Internet?
  • Seus colaboradores estão prontos para os desafios trazidos pela Segurança da Informação e Privacidade?
  • Resiliência Cibernética: como está sua resposta ao incidente?
  • IBLISS Digital Security anuncia parceria com a empresa INVIRON
  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.