Blog da Eskive

Proteção de dados: Como implementar um plano de gestão de risco aplicado aos fornecedores — Eskive

Escrito por Priscila Meyer | 01/08/21 03:00

Priscila Meyer

As cadeias de segurança, com o objetivo de sustentar a proteção de dados e informações sigilosas e sensíveis, envolvem grandes responsabilidades. O aumento de golpes e fraudes, aliados à sofisticação de estratégias realizadas, exige tremendos esforços organizacionais. Além disso, uma forte regulamentação governamental é necessária para serem estabelecidas bases seguras ao contínuo desenvolvimento tecnológico e cibernético do mundo.

Conforme avançam as complexidades cibernéticas, cresce a necessidade de ter medidas que respondam à altura dos riscos impostos pelas ameaças geradas com a internet. O volume e o valor relativos à informação crescem na mesma proporção em que organizações baseiam seus negócios, rendimentos, estratégias e acordos em métricas e indicadores gerados a partir de dados provenientes de sistemas eletrônicos.

Com uma valorização tão significativa, é natural a multiplicação de ameaças que espreitam não só os mais variados processos, setores e funcionários de uma empresa, mas, também, seus fornecedores.

Estar de acordo com o que exige a legislação de privacidade e boas práticas de segurança já requer grande empenho e minúcia. Imagina garantir a conformidade regulatória por parte de terceiros? Além disso, como proceder de forma a não inviabilizar o estabelecimento de novos negócios e a manutenção de acordos já firmados?

Prestadores de serviço, distribuidores, corretores, revendedores, joint-venture: o comum a todos é que, a empresa controladora seja a responsável caso tenha vazamento de dados. Ou seja, de acordo com a LGPD, a empresa é responsável pela integridade dos dados. Também pode acontecer a penalização a qualquer vazamento ocorrido a partir dos serviços em nuvens.

Uma balança ‘riscos x estratégias’

Solicite o contato de um de nossos especialistas e saiba como melhor proteger seus dados e orientar seus fornecedores

Dificuldades na exigências de requisitos de segurança na contratação de terceiros

A diversidade e aspecto de cada organização, suas necessidades e quais tarefas as empresas terceirizadas podem executar, abre um leque bastante vasto de opções. E, sabemos como acaba sendo exaustivo lidar com tamanhas variáveis, negociações, verificações e acordos. Algumas das dificuldades encontradas para serem viabilizados os contratos com terceiros, podem ser de caráter:

  • Fornecedor Único: setores de uma organização, contando com contratação limitada de seus fornecedores, se veem obrigados a escolher alternativas aquém das exigências regulatórias.

  • Área demandante: as unidades de negócios, em geral, já contam com um quadro fixo de fornecedores. Nesse contexto, exigir requisitos de segurança em acordos vigentes, sob pena de quebra de contrato, poderá gerar problemas de abastecimento.

  • Novos contratos: exigir tais critérios parece tarefa fácil, mas, não podem garantir que ao longo de sua vigência esse cuidado será garantido. Funcionários terceirizados podem não ter ciência desses critérios ou não seguir as normas instituídas pela organização.

É um grande desafio lidar com os meios que permitem grande interconectividade e, ao mesmo tempo, geram brechas às ameaças. Dobre a dificuldade desse desafio quando a situação envolve o contrato de terceiros. Mas há cuidados que podem servir como um guia de controle e exigências. Além da consciência acerca do que foi exposto até aqui, é importante levar em conta um processo de gestão de conformidade que abranja políticas internas de adesão, treinamentos para conscientizar sobre segurança e privacidade, documentação referente à conformidade regulatória. E, não menos importante, a constante atualização do que gira em torno da cibersegurança individual e coletiva.

Implementando um plano de gerenciamento de risco de segurança de terceiros

Sem tendências de diminuir as tentativas de vazar dados ou fraudes, é inadiável a importância de serem cumpridos os regulamentos da segurança e privacidade de dados. O desgaste à reputação e o prejuízo financeiro decorrentes de algum incidente poderão ser irreparáveis e, assim, fatais às organizações. O gerenciamento de risco de terceiros, ou TPRM em inglês (Third Party Risk Management), compreende o processo de identificar e controlar o risco que representa à organização a não conformidade regulatória de um terceiro.

Esse gerenciamento deve ser considerado não apenas como uma prioridade estratégica, mas, como parâmetro que medirá a maturidade e seriedade das organizações enquanto contratantes de fornecedores responsáveis. Nesse sentido, será necessária uma rotina de atividades tão minuciosa quanto extensa para coleta e avaliação das informações de controle e regulamentação seguidos por terceiros; tal escrutínio permitirá a identificação e o gerenciamento de todos os riscos envolvidos. Pequenas e médias empresas que estão com poucos recursos e impossibilitadas de fazer uma limpeza global de imediato, a solução pode ser a escolha de resolver os riscos mais urgentes primeiro.

A implementação de um processo de gerenciamento de riscos de terceiros exige liderança da governança e deve ser visto como prioridade estratégica. Para que se tenha o resultado esperado, deve passar por um ciclo de identificação, gestão do risco e monitoramento de terceiros em um processo de constante melhoria. Algumas sugestões de como automatizar esse processo dentro de cada ciclo:

É essencial que o procedimento avalie se o terceiro conta com medidas técnicas e organizacionais para proteção de dados pessoais e dos requisitos de segurança. Além disso, é importante que apresente as evidências da implementação dos controles de segurança e proteção de dados pessoais. 

Identificação

Perguntas são comuns para identificar o score de conformidade do terceiro por meio de controles de requisitos de segurança, proteção de dados pessoais e de melhores práticas de mercado (NIST, ISO 27001, etc) sob o aspecto de governança, processos, cultura e tecnologia.

Além disso, é preciso encaminhar um questionário para os funcionários dos terceiros que vão trabalhar no objeto do contrato e/ou manipular dados da empresa para identificação do risco do fator humano.

Gestão de Risco

Envio do plano de ação ao terceiro com a identificação dos riscos apresentados e fatores que possam mitigá-los. Deve incluir ações de conscientização para os usuários do terceiro com base no risco do fator humano identificado. 

Monitoramento

Monitorar de forma periódica os requisitos definidos e a implementação do plano de ação do terceiro.

Além disso, a inclusão de cláusulas e o detalhamento de deveres e obrigações no contexto da cibersegurança, privacidade e legislação que busca preservá-las. Proporcionando contratos lapidados de acordo com as demandas dos órgãos e sistemas de controle. Ademais, o estabelecimento de um plano de gerenciamento contínuo, minucioso, que veja de perto a atuação de terceiros, contribuirá com um cenário no qual, negociações serão mais transparentes, riscos e ameaças melhor administrados e crises mitigadas.

A adoção de mecanismos que inibam a violação do que é exigido pela LGPD, além de evitar danos morais e materiais às pessoas que fornecem seus dados às organizações, incentivam adesões cada vez mais abrangentes por parte das empresas. Consequentemente, da rede de terceiros contratados para executar partes da cadeia de negócios.

Quer entender mais sobre proteção de dados? Em nosso blog temos diversos conteúdos que vão te ajudar em relação à segurança dos dados de sua empresa!