Como realizar uma análise de fornecedores garantindo a segurança dos dados

Considerando a velocidade com a qual as tecnologias estão evoluindo e o surgimento constante de produtos e serviços inovadores, precisamos refletir sobre como manter essas atividades necessárias para a evolução da nossa sociedade da informação ao mesmo tempo em que garantimos a privacidade e proteção dos dados de todos nós, consumidores de produtos de software, titulares desses dados. 

Nesse cenário, no Brasil temos a Lei 13.709/2018, conhecida como “Lei Geral de Proteção de Dados Pessoais” ou “LGPD”, que traz regras claras e diretrizes sobre privacidade e proteção de dados pessoais, além de princípios, bases legais e direitos das pessoas a quem essas informações pertencem.

Existem diversos desafios para as empresas manterem a adequação regulatória, sendo um deles a análise de fornecedores. Neste processo, buscamos identificar os riscos no cenário da prestação de serviço dos fornecedores que possam impactar a operação da organização.

Neste texto, você conhecerá um pouco mais sobre os tópicos que devem ser observados do ponto de vista de segurança da informação na análise de fornecedores e algumas sugestões de como o netLex pode ser utilizado no processo.

O que avaliar na análise de fornecedores? 

Ao realizar a análise de fornecedores é necessário avaliar diversos quesitos, em processo que envolve áreas como Segurança da Informação, Privacidade e Proteção de Dados, Tecnologia da Informação e Financeiro, entre outras. 

O objetivo principal da atividade é certificar se são implementadas boas práticas de segurança da informação, com medidas técnicas e administrativas para garantir a privacidade e proteção dos dados dos titulares com o objetivo de suportar a prestação de serviço de acordo com a criticidade dos dados envolvidos no processo. De forma geral, um processo de análise de fornecedor, com o auxílio do netLex, envolve:

• Levantamento de informações iniciais sobre o fornecedor com preenchimento do formulário no netLex.
  
  Nesta etapa, buscamos identificar se o parceiro possui, por exemplo, uma política de privacidade, para que possamos compreender como ocorre o tratamento de dados, e se traria algum risco ao negócio com a prestação de serviço. Através do netLex, automatizamos a etapa em que o solicitante disponibiliza as informações. Estas serão combinadas com outras, como “serão utilizados dados da organização?” e “o fornecedor possui certificação?” para classificar a criticidade e calcular o risco residual.
  
  
• Análise das respostas do formulário pelo time de Segurança da Informação e demais equipes internas envolvidas;
  
  
• Análise dos riscos residuais, que podem ser gerados com a contratação do fornecedor.
  
  Por exemplo: durante uma análise não foi encontrada política de privacidade para compreender como os dados são tratados. Neste caso, o risco aumenta e, portanto, é necessário um processo complementar, como entrar em contato com a empresa e solicitar a política e, se de fato não tiver, alinhar qual será o plano de ação, para que só então seja possível avaliar se o risco poderá ser assumido e qual o seu impacto;
  
  
• Parecer gerado e armazenado na plataforma netLex com a análise do fornecedor e dos riscos envolvidos, bem como o plano de ação — caso aplicável.
  
  Neste cenário, um dos maiores desafios é realizar esta avaliação de forma consistente, completa e na velocidade necessária para acompanhar as demandas internas, visto que estamos em um ambiente de inovação constante. 

Como vencer o desafio e realizar uma análise com velocidade e segurança?

Clientes do netLex resolvem este problema com a utilização da nossa plataforma, automatizando um documento através de um fluxo que avalia criticidade, risco, e endereça aos responsáveis por cada tema a avaliação necessária. 

Com isso é possível avaliar todos os fornecedores de forma mais ágil, sem deixar de analisar todos os riscos que podem ser gerados no processo. Aqui no netLex, trabalhamos com alguns critérios que fazem parte do cálculo do Score de Risco Residual:

• Nível de criticidade: é calculado com base na análise de se algum dado da empresa é compartilhado ou não, gerando classificações que podem indicar nível baixo, médio ou alto, dependendo do cenário do fornecedor e as informações compartilhadas.
  
  
• Avaliação de risco: Em uma segunda etapa, realizamos essa avaliação, que é calculada à medida que o solicitante insere as informações sobre o fornecedor e anexa algumas documentações. Alguns pontos são considerados, e a eles é atribuído um peso para cálculo posterior do risco residual. Entre os tópicos avaliados, podemos exemplificar com: “existe uma política de privacidade?” ”O fornecedor tem certificação?” ”Executa pentests?” e outros. 

Outro ponto importante é manter constância na revisão dos fornecedores, tanto para garantir os controles de segurança quanto para identificar se a prestação do serviço ainda é relevante.

Ambientes inovadores exigem medidas preventivas e preparação

Como podemos perceber, o nosso cenário atual é de constante e rápida evolução e inovação, e precisamos de medidas preventivas contra incidentes de segurança, além de preparação para lidar com eles, caso aconteçam, de forma a minimizar impactos. 

Portanto, precisamos garantir que nossos fornecedores estejam aptos para prover o serviço garantindo a segurança das informações. 

Este processo se apoia na evolução de ambas as partes, uma vez que a empresa controla e minimiza riscos como o de vazamento de suas informações, ou mesmo a da indisponibilidade na prestação de serviços, enquanto o fornecedor consegue avaliar seus controles e identificar pontos de melhoria, o que impacta na elevação da maturidade, tendo um diferencial competitivo no mercado.

Leia mais sobre como tornar sua gestão de fornecedores mais eficiente em:

• Melhores práticas da gestão de fornecedores: três pontos para afiar sua base de dados
• Três fontes de risco na gestão de fornecedores que você deve eliminar de uma vez por todas
• CLM na Saúde: 03 vantagens para a gestão de fornecedores hospitalares

Para saber mais sobre como o netLex pode ajudar a sua empresa na jornada de análise de fornecedores, fale com um de nossos especialistas clicando aqui.

*Samantha Nunes é head de Segurança da Informação no netLex