Um dos pontos que mais impulsiona o processo de maturidade nas empresas com relação à aplicabilidade da LGPD no último ano é a gestão de riscos de terceiros.
Não são poucas as empresas no Brasil que passam por tremendas dificuldades, tanto em passar por uma diligência de avaliação com aprovação, como em criar sua própria metodologia para avaliar terceiros com operações mais críticas.
A régua se eleva pois nos questionários de avaliação, ao mesmo tempo em que se exige dos fornecedores níveis aceitáveis de medidas de segurança de informação e privacidade, exige-se a comprovação de que as mesmas salvaguardas e controles sejam aplicados aos terceiros com os quais aquele fornecedor avaliado se relaciona.
Faz todo o sentido, considerando a cadeia de responsabilidades que vai se criando através desses relacionamentos, por outro lado, nem todas as empresas dispõem de recursos, tecnologia e equipes aptas a responder a essas demandas cada vez mais constantes.
O incidente milionário envolvendo a empresa C&M Software colocou o tema ainda mais em evidência. Olhando para esse incidente é impossível deixar de pensar na vulnerabilidade que pode ser criada pela simples atuação e decisão de um colaborador terceiro, ensejando riscos de toda ordem: financeiros, reputacionais e em alguns casos, colocando em risco até mesmo a continuidade das empresas.
Mas quais seriam os passos, o mínimo que uma empresa poderia criar em termos de organização interna para ter alguma gestão sobre essas situações?
1. Cadastro e classificação dos terceiros
Parece bem óbvio, mas precisa ser dito. Os fornecedores precisam integrar um cadastro centralizado com todos os dados necessários e uma classificação básica sobre a criticidade tendo como base acesso a dados ou sistemas críticos; relevância estratégica ou de recorrência dos serviços, riscos financeiros, reputacionais e regulatórios.
2. Avaliação
Aplicação de questionários de conformidade, que podem ser inspirados em frameworks como ISO27001 para a avaliação de segurança e nos próprios requisitos da LGPD para a parte de privacidade, sem deixar de avaliar os aspectos de saúde financeira do parceiro.
3. Contratos & Cláusulas
Que exijam cumprimento da LGPD, garantam confidencialidade, estabeleçam responsabilidades, penalidades por descumprimento e, principalmente, que sejam validados pelas áreas envolvidas na contratação. Esse ponto que tem sido negligenciado pode ser a grande diferença entre a contratação (ou não) de um fornecedor que não se compromete com as promessas da negociação e evitar muita dor de cabeça futura.
4. Reavaliação a cada ciclo de renovação ou aditamento
Se a empresa se comprometeu com a execução de algum plano de adequação ou melhoria, o tema não pode ficar esquecido, a empresa precisa demonstrar interesse em melhorar os seus processos e a maturidade a cada ciclo. Recomenda-se uma revalidação em no máximo 12 meses.
5. Encerramento adequado
Outro ponto negligenciado, ao final desses contratos dificilmente se cuida adequadamente da revogação de acessos, devolução de documentos e equipamentos e apagamento dos dados que não podem mais ser utilizados, deixando dezenas de portas vulneráveis abertas para exploração.
Com investimentos escassos, equipes enxutas e muitas tarefas operacionais para tocar diariamente, cada vez mais empresas estão optando por contratar consultorias especializadas e integradores de soluções para cuidar dessa gestão de forma profissional e focada.
A Privacy Tools atua como “motor” eficiente para diversos contratos dessa natureza, fornecendo a tecnologia para rodar cadastros, questionários de tierização e avaliação, planos de ação sobre os riscos e muito mais, tendo toda a operação centralizada em uma plataforma cuja usabilidade é muito simplificada.
Fale conosco clicando aqui e conheça um pouco mais sobre como podemos apoiar sua empresa vencer esse desafio, juntamente com nossos parceiros especializados.
