Se você fizer parceria com um terceiro que adota uma abordagem relaxada em relação à cibersegurança, isso coloca os dados da sua empresa e de seus clientes em risco. Aqui estão algumas perguntas que você deve fazer a cada fornecedor para garantir que sua segurança seja robusta o suficiente para merecer seu negócio. Sempre celebre um Acordo de Nível de Serviço e um contrato com o fornecedor para que todas as expectativas sejam claramente articuladas.

Como você protegerá meus dados?

Os dados da sua empresa, funcionários e clientes são preciosos e devem ser tratados como dinheiro. Obtenha detalhes sobre como um fornecedor protege e armazena dados: 

• Nossa empresa sempre reterá a propriedade de seus dados? 

• O fornecedor possui um plano de controles escrito que contenha as salvaguardas administrativas, técnicas e físicas que você utiliza para coletar, processar, proteger, armazenar, transmitir, descartar ou lidar de outra forma com nossos dados (geralmente chamado de Política de Segurança da Informação)? 

• Métodos de criptografia são utilizados para dados em trânsito e em repouso? 

• O fornecedor fornecerá controles multi-inquilino para a separação de usuários e dados? 

• O fornecedor fornecerá mecanismos de controle de acesso, como IDs de usuário exclusivos, padrões de senha e acesso baseado em função?  

• Os terceiros (por exemplo, subcontratados, hospedagem compartilhada gerenciada) contratados pelo fornecedor serão impedidos de ter acesso aos dados da minha empresa?  

• O fornecedor fornecerá garantias escritas sobre sua segurança e controles e de seus fornecedores terceirizados enquanto os dados do cliente estão sendo coletados, processados e retidos? 

• Qual é o processo do fornecedor para purgar arquivos e registros e remover acesso após a conclusão do serviço, tarefa ou contrato? 

Seus funcionários são treinados em cibersegurança?

Pergunte se o fornecedor possui uma política de triagem pré-emprego para funcionários e contratados. Qual é esse processo? Qual é o processo para treinar a equipe em segurança? 

Quais certificações você possui?

Procure fornecedores que possuam certificações de segurança do setor, como ISO 27001, SOC 2 ou PCI DSS. Essas certificações demonstram um compromisso em manter altos padrões de segurança. Solicite documentação.  

Com que frequência você atualiza seu software?

Manter o software atualizado é uma das melhores maneiras de ter segurança de ponta. Especificamente, pergunte se o fornecedor mantém versões atualizadas de seu software antivírus e sistemas operacionais. Como o fornecedor garante que todos os seus sistemas estão atualizados? Com que frequência os sistemas são verificados quanto a software desatualizado e correções? Saiba que diferentes sistemas têm diferentes cadências de atualização de software, e atualizações de software geralmente são testadas antes de serem implantadas. Você deve procurar respostas sobre o tempo – um fornecedor pode aplicar atualizações críticas dentro de 48 horas, enquanto agenda atualizações de "alta gravidade" para serem aplicadas dentro de cinco dias úteis. 

Como você protege sua infraestrutura de rede?

Garanta que seu fornecedor tenha medidas robustas de segurança de rede em vigor. Pergunte sobre firewalls, sistemas de detecção de intrusão e outras tecnologias que usam para proteger suas redes contra ameaças cibernéticas. O que o fornecedor faz para evitar incidentes de segurança ou invazões? Com que frequência verifica vulnerabilidades? 

Você possui um plano de continuidade de negócios?

Informe-se sobre os planos de continuidade de negócios e recuperação de desastres. Isso o ajudará a entender quão bem preparados estão para responder a eventos imprevistos e minimizar o tempo de inatividade. O plano está escrito? É testado periodicamente? 

Qual é seu plano de resposta a incidentes?

Prevenir um incidente é ótimo, mas descubra como um fornecedor planeja reagir a um incidente. A empresa possui um plano de resposta a incidentes, um plano escrito para identificar, relatar e responder prontamente a violações de segurança? O fornecedor e quaisquer terceiros relevantes com que ele contrata podem enviar os resultados de sua última auditoria de segurança? O fornecedor contrata uma empresa de auditoria externa para realizar uma revisão de conformidade de seus controles operacionais? 

Como você me ajudará a cumprir as regulamentações de proteção de dados relevantes?

Informe-se se seus fornecedores cumprem as regulamentações de proteção de dados aplicáveis ao seu setor e localização. Isso é criticamente importante se o seu negócio lida com informações sensíveis de clientes. Arquivos e registros são revisados, retidos e eliminados de acordo com os requisitos legais, obrigações contratuais e acordos de nível de serviço? 

Como posso entrar em contato com você? 

Pergunte sobre como contatar o fornecedor em caso de emergência, como um incidente de segurança. Lembre-se, isso pode acontecer nos finais de semana e feriados! 

Como proprietário de uma empresa, proteger dados sensíveis e proteger suas operações contra ameaças cibernéticas precisa ser uma prioridade máxima. Ao fazer essas perguntas cruciais de segurança aos seus fornecedores, você pode ter confiança de que está mantendo um ambiente seguro para sua empresa. Importante, a cibersegurança é um esforço contínuo, e trabalhar com fornecedores que a priorizam ajudará a proteger seu negócio e a confiança de seus clientes a longo prazo. 

Recursos Adicionais

FTC: Noções Básicas de Segurança para Fornecedores

Baixar PDF da Lista de Verificação