Você conhece os seus fornecedores?

Os riscos estão em toda parte. Um prestador de serviços que instala um monitor de vídeo emite a cobrança para os clientes em uma rede Wi-Fi não segura de um cyber café, e as informações da sua empresa vazam. Um faxineiro que limpa o escritório acidentalmente perde uma permissão de trabalho, que alguém pega com objetivos desonestos. Um técnico que atualiza a rede móvel de uma empresa não segue os protocolos de segurança da rede — ou pior, já está conectado a uma rede de hacker.

A corda sempre arrebenta do lado mais fraco, e o mesmo vale quando se trata de software, hardware, equipes e redes empresariais. Muitas empresas que exigem o atestado de antecedentes de seus próprios funcionários ainda deixam a desejar quanto aos seus fornecedores. De acordo com a Price-Waterhouse Cooper, 74% das empresas não têm uma avaliação abrangente de prestadores de serviços que manipulam dados confidenciais, e 73% não dispõem de processos para lidar com violações. A situação tem melhorado desde o relatório de 2013, mas as preocupações entre os especialistas do setor continuam elevadas.

Além disso, é crescente a pressão sobre CIOs (diretores de Tecnologia da Informação) e CISOs (diretores de Segurança da Informação) em relação ao exame criterioso de fornecedores externos. Em última instância, o conselho será o responsável caso ocorra um cenário desastroso. Felizmente, os conselhos têm plena capacidade para estabelecer avaliações de risco de terceiros como prioridade para a cultura organizacional. Veja a seguir algumas call-to-actions (“chamadas à ação”) a serem consideradas para evitar violações de segurança:

1. Avalie os riscos dentro de sua rede interna
De acordo com a TechNewsWorld, hackers que se deparam com controles de rede rigorosos têm recorrido ao roubo de credenciais de fornecedores para acessar sistemas. Em 2013, uma violação grave na Target foi relacionada em parte ao roubo de credenciais de um fornecedor externo, que ofereceu serviços de faturamento e gerenciamento de projetos. Um ano depois, um malware atingiu a Home Depot através de outro fornecedor externo.

Violações de segurança internas têm sido uma séria ameaça às empresas, já que os funcionários podem não entender plenamente as implicações de deixar seus e-mails conectados, reutilizar uma senha em outras contas ou deixar os arquivos expostos sobre a mesa de trabalho. Fornecedores externos podem apresentar o mesmo problema ao acessar uma rede e expor as vulnerabilidades.

2. Conheça seus fornecedores muito bem
Ao trabalhar com novos fornecedores, a segurança deve ser requisito fundamental para toda e qualquer tomada de decisão. É extremamente arriscado supor que alguém esteja seguro sem realizar uma verificação adequada. Examine minuciosamente para garantir que um fornecedor seja validado por auditorias de segurança de terceiros e tenha certificações e protocolos do mesmo nível (ou superior) àqueles que você dispõe internamente.

Para garantir que as avaliações de risco de segurança constituam prioridade em todas as decisões de contratação de fornecedor, não deixe de perguntar, por exemplo, à empresa de limpeza contratada se ela exige atestado de antecedentes. A mesma pergunta pode se estender a técnicos e demais profissionais. Faz toda a diferença para a segurança corporativa perguntar a um fornecedor sobre a exigência de atestado de antecedentes, a habilitação e o treinamento em segurança antes de iniciar qualquer trabalho.

3. Não permita que nenhum fornecedor passe despercebido
Lógico, todas as organizações devem ter uma política clara sobre as expectativas relacionadas às verificações de segurança internas, às auditorias externas e às certificações exigidas de qualquer fornecedor. Porém, se a segurança vier em primeiro lugar, uma lista clara, completa e atualizada de fornecedores será necessária, para que o departamento de TI em qualquer empresa possa classificar cada fornecedor pelo risco em potencial que ele pode representar. Parece simples, mas a devida diligência extra pode ser a diferença entre a segurança e um prejuízo financeiro sem igual.