Construir algo sólido, seja uma casa, um prédio ou qualquer empreendimento requer antes de mais nada um alicerce forte e consistente.
Na verdade, temos em uma construção sólida uma cadeia onde cada elemento tem sua função e deve obviamente atender aos requisitos de resistência e durabilidade de tal forma a podermos construir algo consistente e permanente.
No mundo corporativo temos a mesma abordagem, pois cada organização, independente de seu porte, exige para que opere um conjunto grande de elementos os quais contribuem para que o produto e/ou serviço seja entregue a contento junto aos seus clientes.
Cada elemento desta cadeia deve ser robusto o suficiente para atender o que se espera dele, seja em termos de custo, qualidade e atualmente resiliência aos riscos cibernéticos e aderências às exigências da lei.
O que temos vistos na mídia quase que diariamente são constantes vazamentos de dados ocorridos comprometendo a segurança das informações dos clientes e também a aderência à lei de proteção de dados (LGPD), sendo uma das possíveis causas o ataque à cadeia de fornecimento, ou seja, buscar o elo mais fraco desta corrente interdependente de processos que é a característica dos dias atuais.
Na nossa visão os alicerces dos processos podem não estar devidamente fortalecidos a ponto de poderem suportar os esforços que lhe são exigidos.
É preciso entender que sempre uma corrente irá romper em seu elo mais fraco e isso exige dos responsáveis de compliance e segurança, uma multiplicidade de prioridades onde não é suficiente apenas buscar a excelência nos seus próprios processos, mas sim fortalecer toda a corrente.
Observando este cenário, complexo, desenvolvemos um guia introdutório, com passos importantes para seguir na direção certa deste desafio. Seguindo:
Recomendações para reduzir vazamento de dados e riscos cibernéticos na cadeia de suprimento (Supply Chain)
- Identifique e classifique os fornecedores críticos para o negócio, assim poderá priorizar as ações com os mesmos;
- Defina um contrato com o fornecedor alinhadas às leis de proteção de dados e práticas de cibersegurança, contendo cláusulas de comunicações e respostas de incidentes cibernéticos dentro do prazo estabelecido pela lei do país onde os dados são tratados;
- Defina processos de respostas, comunicação, papéis e responsabilidades e gestão de incidentes com os fornecedores;
- Defina um processo de auditoria periódica dos fornecedores, com o objetivo de identificar não conformidades com a(s) lei(s) de proteção de dados e práticas de cibersegurança pelo fornecedor;
- Avalie com muita atenção os fornecedores mais críticos para o negócio, não acredite apenas nas evidências enviadas pelos mesmos, avalie os processos, tecnologias e as pessoas;
- Invista e incentive ações de sensibilização sobre práticas seguras e aplicações de avaliações de impacto na privacidade (PIA) nos fornecedores;
- Demonstre para o seu fornecedor que são parceiros e que precisam trabalhar juntos para reduzir os riscos cibernéticos e legais, assim como para garantir a conformidade com a(s) lei(s) de proteção de dados. Lembre-se, juntos vamos mais longe!
A B10SEC, consciente deste desafio desenvolveu um serviço especializado, destinado a fortalecer a cadeia de parceiros de organizações. Um approach holístico inovador, recorrente, com foco em eficiência de custos e agilidade. Security Supply Chain 360º é o nome da solução.