Nem todas as atividades que são importantes para uma organização são conduzidas pela própria organização. Tão logo algo seja executado por um terceiro, é fundamental documentar os requisitos que a parte tem de atender.

Por exemplo, você não pediria a um vizinho de porta para preencher sua declaração de Imposto de Renda, não é? Claramente, você irá chamar os serviços de um contador.

Assim, quando uma empresa decide terceirizar parte ou a totalidade de sua TI, deve assinar um contrato efetivo, em que todos os aspectos de segurança recebem a atenção necessária, com a parte que fornece o serviço.

Entenda mais sobre como controlar a Segurança da Informação na relação com fornecedores para evitar complicações.

Por falar em segurança, entenda mais sobre a Segurança Cibernética na Cultura Organizacional.

Gestão de fornecedores de TI

De toda forma, é necessário definir os diferentes tipos de fornecedores para quem a organização irá permitir ter acesso às suas informações.

Já que a empresa não pode transferir suas responsabilidades para um provedor de serviços, ela sempre será responsável pelos controles de acurácia e perfeição que garantam a integridade da informação ou o processamento da informação executada por ambas as partes.

Além disso, a organização também será responsável por lidar com qualquer incidente e contingências associados ao acesso do fornecedor, incluindo as responsabilidades tanto dela mesma como dos fornecedores.

Pode-se colocar a informação em risco por fornecedores quando há uma gestão inadequada de segurança da informação, sabia? 

Por isso, deve-se identificar e aplicar controles a fim de administrar o acesso de fornecedores às instalações de processamento de informação.

Logo, precisa-se estabeler e acordar todos os requisitos relevantes de segurança da informação com cada fornecedor que possa acessar, processar, armazenar, comunicar ou prover componentes de infraestrutura de TI para as informações da organização.

Acordo de Nível de Serviço

Uma prática comum é providenciar um Acordo de Nível de Serviço (ou Service Level Agreement – SLA), onde as duas partes descrevem os serviços que esperam que sejam realizados e sobre quais circunstâncias.

Deve-se efetuar regularmente auditorias para verificar se esses acordos estão sendo observados. 

No SLA, deve existir uma seção de segurança onde os requisitos legais e regulatórios precisam estar detalhados.

De todo modo, alguns dos requisitos mais importantes do SLA são:

• Obrigação do fornecedor em apresentar periodicamente um relatório independente sobre a eficácia dos controles de segurança,
• Acordo sobre a correção oportuna de questões relevantes levantadas no relatório,
• Obrigações do fornecedor de cumprir os requisitos de segurança da organização.

Em resumo, convém que a organização estabeleça e comunique uma política de tópicos específicos sobre relacionamentos com fornecedores a todas as partes em questão.

Claro, convém que a empresa identifique e implemente processos e procedimentos para lidar com os riscos de segurança que tenham relação com o uso de produtos e serviços que os fornecedores oferecem.

Aliás, isso também se aplica ao uso de recursos de provedores de serviços em nuvem pela organização.

Considerações com a falta de requisitos

Em casos em que não é possível para uma organização colocar requisitos em um fornecedor, ela deverá:

• Considerar a orientação dada neste controle na tomada de decisões sobre a escolha de um fornecedor e seus produtos ou serviços;
• Implementar controles compensatórios conforme necessário com base em uma avaliação de risco.

Fornecedores podem colocar em risco as informações por causa de gerenciamento inadequado de segurança da informação. Deve-se determinar e aplicar os controles para gerenciar o acesso do fornecedor às informações e outros ativos em questão.

Por exemplo, se houver uma necessidade especial de confidencialidade das informações, podemos usar acordos de confidencialidade ou técnicas criptográficas.

Outro exemplo são os riscos de proteção de dados pessoais quando o contrato do fornecedor envolve a transferência ou o acesso à informações além-fronteiras. 

Dessa forma, a organização precisa estar ciente de que a responsabilidade legal ou contratual pela proteção das informações permanece com ela.

Ainda, controles inadequados de componentes de infraestrutura de TIC ou serviços fornecidos por fornecedores também podem causar riscos.

Componentes ou serviços com mau funcionamento ou vulneráveis podem causar brechas na segurança da informação na organização ou em outra entidade (como, por exemplo, infecção por malware, ataques, etc.).

Desafios da gestão de fornecedores de TI

Enfim, pode acontecer de sua empresa contratar mais de um fornecedor de TI. Isso porque é difícil encontrarmos no mercado um provedor que conseguirá suprir todas as necessidades.

E é ainda mais comum encontrar alternativas agrupadas por segmento, como, por exemplo, a infraestrutura de banco de dados ou ERPs.

Quando há a contratação de vários fornecedores, existe a chance de que as equipes se atrapalhem em sua gestão.

Nesse caso, é fundamental avaliar alguns pontos para que se garanta uma boa gestão:

• Conhecer os pontos fortes e fracos de cada um;
• O que esperar em relação ao desempenho deles;
• Como saber quanto tempo dedicar a cada fornecedor.

Tais questões poderão ser respondidas apenas quando a organização passar da gestão jurídica do contrato para a relacional.

Leia sobre o Controle de Acesso na Segurança da Informação.

Comente se tiver alguma dúvida sobre o assunto. Leia os outros textos do blog!

E se quiser entender melhor e se capacitar nesse e em vários outros temas de Segurança da Informação e Gestão de Serviços de TI, uma sugestão é conhecer as trilhas de formação da PMG Academy.