Às vezes, nos preocupamos tanto com a segurança cibernética de nossas próprias empresas que acabamos nos esquecendo que parceiros e fornecedores também estão interligados com o nosso core business.
Se você é um profissional de segurança da informação que tem o costume de acompanhar o noticiário especializado — nacional ou internacional —, certamente já se deparou com uma situação bastante curiosa. Na manchete, o jornalista diz que uma determinada empresa (geralmente uma multinacional ou uma marca de grande porte, respeitada e conhecida por todos) sofreu um ataque cibernético e os dados de seus consumidores foram comprometidos por criminosos.
Porém, ao ler o texto com calma, você descobre que a verdadeira vítima não foi aquela grande corporação cujo nome é chamativo para o tablóide, mas sim uma companhia terceirizada que prestava serviços para a própria, e, como resultado natural, tinha que lidar com as informações de seus consumidores. Uma operadora de logística, uma fornecedora de soluções de TI, uma agência de marketing, uma rede conveniada… Não importa. A falha não estava no meio do bolo, mas sim nas bordas.
Para o leitor leigo, esse “pequeno detalhe” costuma ser irrelevante. Para quem trabalha no ramo, isso deveria acender um sinal vermelho e lhe fazer pensar: a sua empresa está segura, mas e todo o resto da sua cadeia de suprimentos (popularmente conhecida como supply chain)? É difícil encontrar um empreendimento que, hoje em dia, atue 100% sozinho. Quase toda companhia precisa, mesmo que indiretamente, da ajuda de serviços terceirizados para garantir seu core business.
A grande questão é: será que esses parceiros se preocupam tanto com segurança da informação quanto você?
Peças de um quebra-cabeça
Agora, vamos lembrar que estamos em plena era de transformação digital acelerada e pensemos em uma empresa não apenas como uma única pessoa jurídica, mas como um verdadeiro ecossistema vivo composto por diferentes peças de um grande quebra-cabeça. Uma loja varejista, por exemplo. Ela certamente precisa da ajuda de uma empresa de transportes para trazer e levar mercadorias do estoque até as gôndolas — estoque este, aliás, que também pode ser gerenciado por uma outra contratada.
No ambiente físico, temos os terminais de venda executando softwares e máquinas de cartão de crédito que lidam com informações dos clientes. No ambiente virtual, ela talvez esteja pagando alguém para manter seu e-commerce no ar e confiando em um gateway de pagamentos externo conectado ao site via APIs. Se estivermos falando de uma rede de grande porte, não seria exagero colocar nessa conta agências de publicidade e até de inteligência de mercado que ajuda a entender melhor sua clientela.
Só até aqui, temos pelo menos oito participantes na cadeia de valor, e todos eles podem servir de porta de entrada para criminosos cibernéticos atingirem a marca principal, afetando sua reputação e até mesmo interrompendo o seu core business. No mundo ideal, todas essas tarefas seriam feitas por departamentos internos e com recursos próprios, o que facilitaria o mapeamento e o controle desse “vai e vem”.
Contudo, essa é uma missão praticamente impossível para a realidade da maioria dos empreendimentos brasileiros — e por isso é tão importante ter visibilidade completa desse ecossistema, mantendo o maior nível de controle possível de quem faz o quê e como está fazendo. O problema é que ter tal nível de visibilidade não é uma tarefa fácil.
Prevenção é a chave
Com a Lei Geral de Proteção de Dados (LGPD), essa questão se tornou mais crítica ainda — afinal, mesmo se um terceiro acabar vazando dados de seus clientes, a responsabilidade jurídica, pela norma, ainda será sua. Por isso, o primeiro passo é avaliar os contratos já existentes com seus fornecedores e contratados, além de realizar uma auditoria completa para entender se aquele membro do ecossistema adota as melhores práticas de segurança cibernética ou não.
Neste ponto, é válido montar um questionário bastante detalhado para entender exatamente qual é a infraestrutura do parceiro e solicitar que ele responda. Não se esqueça que essas auditorias, idealmente, devem ser periódicas — como todos nós sabemos, as ameaças mudam a cada dia e é importante estar sempre atualizado com o que há de mais novo no mercado de cibersegurança.
Se a sua cadeia de valor ainda é pequena, as coisas ficam mais fáceis. Antes de fechar negócio com um possível parceiro, faça uma diligência prévia e, para o contrato, estabeleça cláusulas bem claras sobre a responsabilidade no tratamento e no armazenamento de dados sensíveis. No caso de plataformas, softwares e soluções na nuvem, atente-se às políticas de responsabilidade compartilhada e analise se elas estão de acordo com a sua estratégia pessoal de proteção.
É interessante que as equipes de segurança do ecossistema dialoguem entre si (pelo menos através de um porta-voz que será o ponto focal), garantindo assim que, por exemplo, a sua plataforma de e-commerce já atualizou os seus sistemas para mitigar aquela vulnerabilidade que acabou de ser descoberta.
Dois lados da mesma moeda
Por fim, é importante ressaltar que esta é uma via de mão dupla. Você não estará chateando ou incomodando seu parceiro com tais atitudes, mas sim ajudando-o a não ser vítima de um incidente cibernético. Além disso, por mais que os dados tratados sejam da companhia central do ecossistema, a LGPD prevê penalizações para todos os envolvidos em uma eventual exposição indevida de informações. Isso significa que fornecedores também precisam se adaptar para garantir que essa relação de confiança mútua seja cada vez mais forte. Não se trata de um jogo que podemos jogar sozinhos.
–
A Agility oferece uma solução completa de Gestão de Privacidade de Dados, saiba mais em: https://somosagility.com.br/xaas/gestao-de-privacidade-de-dados/