Existe um mito perigoso na administração das empresas na Europa: a ideia de que a segurança da informação se resolve com a compra de uma firewall, um bom antivírus e com a contratação de um departamento de TI competente.
A realidade dos ciberataques modernos mostra exatamente o oposto. Os atacantes raramente tentam derrubar a porta da frente de uma empresa bem protegida. Em vez disso, procuram apenas uma janela pequena aberta, e essa janela é, na maioria das vezes, externo, com um fornecedor com acessos privilegiados e segurança fraca nos sistemas de informação da empresa.
“As diretrizes mais recentes da família de normas ISO 27001 reforçam um princípio incontornável: a vulnerabilidade da sua cadeia de abastecimento é a sua própria vulnerabilidade.”
A Vulnerabilidade Partilhada
As diretrizes mais recentes da família de normas ISO 27001 reforçam um princípio incontornável: a vulnerabilidade da sua cadeia de abastecimento é a sua própria vulnerabilidade.
A segurança da informação deixou de viver isolada nos servidores internos. Se a sua empresa partilha dados de clientes com uma agência de marketing, ou confia os projetos de engenharia a um parceiro de prototipagem, as falhas de segurança dessas entidades terão impacto direto na reputação e nas contas do seu negócio.
A norma exige agora que a gestão de topo olhe para fora das quatro paredes da organização.
Já subscreveu a nossa newsletter?
Receba regularmente, no seu e-mail, todas as ofertas e novidades da Vexillum!
Exigir Garantias para Proteger o Negócio
O gestor precisa de fazer uma pergunta desconfortável à sua equipa de compras: a empresa já exige garantias formais de segurança da informação aos seus parceiros mais críticos?
Avaliar o risco dos fornecedores deixou de ser uma boa prática para passar a ser um requisito de sobrevivência. Isto não implica obrigar todos os fornecedores a terem certificação ISO 27001, mas exige a criação de critérios claros de avaliação e contratos que protejam os dados da sua empresa.
Na Vexillum, ajudamos a estruturar esta defesa de forma pragmática. Apoiamos a gestão na identificação dos riscos críticos, na definição de requisitos de segurança adequados à dimensão de cada fornecedor e na implementação de processos de auditoria à cadeia de abastecimento.
O elo mais fraco da sua empresa pode nem sequer ter acesso direto às suas instalações. Saiba como proteger o seu negócio de uma forma mais extensiva.
Fonte & Referência Técnica
- Fonte: Diretrizes da família ISO/IEC 27000 (disponíveis via ISO.org).
- Contexto: Reforço dos controlos relacionados com a segurança na cadeia de abastecimento e gestão de relações com fornecedores (Supplier relationships) presentes na ISO/IEC 27001 e ISO/IEC 27002.
