Já parou pra pensar que todas as ações feitas dentro da empresa devem ser estendidas para a sua cadeia de fornecimento? Imaginemos uma pequena empresa que possui seus serviços de contabilidade e advocacia terceirizados em escritórios externos. Todas as contramedidas aplicadas dentro da empresa, seja técnica, administrativa ou operacional precisam ser expandidas para esses prestadores. Temos que lembrar que a sua segurança é tão forte quanto o elo mais fraco e portanto, essas empresas que geralmente não possuem equipes de TI dedicadas e muito menos de segurança, podem ser um alvo para ataques.
Nessas duas áreas específicas (contabilidade e advocacia), os dados são especialmente sensíveis. Vamos fazer um rápido exercício mental listando alguns dos dados sensíveis que estão de posse dessas empresas:
- Contratos com clientes e fornecedores;
- Laudos e pareceres jurídicos;
- Informações de processos;
- Demonstrativos financeiro;
- Folha de pagamento dos funcionários;
- Dados pessoais dos sócios;
- Lista de clientes e fornecedores;
- e muitos, muitos outros.
Algumas vezes, nossos 'terceiros' contratam um quarto prestador e nossos dados 'vazam' para um perímetro fora do nosso controle aumentando muito o risco.
Um bom contrato de prestação de serviços e um NDA forte não é o suficiente para uma proteção efetiva. É necessário que a política de segurança seja estendida a esses parceiros assim como os programas de conscientização em segurança. É necessário criar uma relação que vai além da relação profissional tradicional para se criar receptividade para que o programa interno atinja também essas empresas. Essas questões inclusive devem constar no contrato de prestação de serviço.
Uma pesquisa recente em escritórios de advocacia feita pela "ILTA Technology" mostra os seguintes dados:
- 86% não usam autenticação de dois fatores;
- 78% não usam criptografia em dispositivos USB;
- 58% não usam criptografia nos discos dos laptops;
- 87% não usam tecnologias de rastreamento nos dispositivos móveis.
Saiba exatamente onde estão suas informações e estenda as ações de segurança para alcançar esses e todos os seus fornecedores estratégicos. Aborde todas as questões para garantir a integridade, disponibilidade e principalmente nesses casos, confidencidade das informações!
