{"id":4518,"date":"2014-07-03T18:33:04","date_gmt":"2014-07-03T18:33:04","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/07\/03\/processo-em-6-etapas-para-tratar-a-seguranca-em-fornecedores-de-acordo-com-a-iso-27001\/"},"modified":"2022-07-17T15:43:36","modified_gmt":"2022-07-17T15:43:36","slug":"processo-em-6-etapas-para-tratar-a-seguranca-em-fornecedores-de-acordo-com-a-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/07\/03\/processo-em-6-etapas-para-tratar-a-seguranca-em-fornecedores-de-acordo-com-a-iso-27001\/","title":{"rendered":"Processo em 6 etapas para tratar a seguran\u00e7a em fornecedores de acordo com a ISO 27001"},"content":{"rendered":"

Uma vez que cada vez mais e mais dados est\u00e3o sendo processados e armazenados por terceiros, a prote\u00e7\u00e3o de tais dados est\u00e1 se tornando um assunto cada vez mais significativo para os profissionais de seguran\u00e7a da informa\u00e7\u00e3o \u2013 e n\u00e3o \u00e9 de se admirar que a nova vers\u00e3o de 2013 da ISO 27001<\/a> tenha dedicado toda uma se\u00e7\u00e3o do Anexo A para este assunto.<\/p>\n

Mas como \u00e9 poss\u00edvel proteger a informa\u00e7\u00e3o que n\u00e3o est\u00e1 diretamente sob o seu controle? Eis o que a ISO 27001 requer\u2026<\/p>\n

Por que n\u00e3o se trata apenas de fornecedores?<\/h2>\n

Claro, fornecedores s\u00e3o aqueles que ir\u00e3o tratar com as informa\u00e7\u00f5es sens\u00edveis de sua organiza\u00e7\u00e3o de forma mais frequente. Por exemplo, caso voc\u00ea terceirize o desenvolvimento do software de sua organiza\u00e7\u00e3o, as chances s\u00e3o de que os desenvolvedores do software n\u00e3o apenas aprender\u00e3o sobre os processos de sua organiza\u00e7\u00e3o \u2013 eles tamb\u00e9m ter\u00e3o acesso aos seus dados de produ\u00e7\u00e3o, significando que eles provavelmente saber\u00e3o quais s\u00e3o os mais valiosos para a sua organiza\u00e7\u00e3o; o mesmo vale caso voc\u00ea fa\u00e7a uso de servi\u00e7os em nuvem.<\/p>\n

Mas voc\u00ea tamb\u00e9m possui parceiros \u2013 e.g., voc\u00ea pode desenvolver um novo produto com alguma outra organiza\u00e7\u00e3o, e neste processo voc\u00ea compartilha com eles seus mais sens\u00edveis dados de pesquisa e desenvolvimento, nos quais voc\u00ea investiu anos e dinheiro.<\/p>\n

E tamb\u00e9m h\u00e1 os clientes. Digamos que voc\u00ea est\u00e1 participando de uma concorr\u00eancia, e seu cliente em potencial pede que voc\u00ea revele v\u00e1rias informa\u00e7\u00f5es sobre a sua estrutura, seus empregados, suas for\u00e7as e fraquezas, sua propriedade intelectual, pre\u00e7os, etc.; eles podem at\u00e9 mesmo requisitar uma visita onde far\u00e3o uma auditoria on-site. Tudo isso basicamente significa que eles ter\u00e3o acesso as suas informa\u00e7\u00f5es sens\u00edveis, mesmo que voc\u00ea n\u00e3o fa\u00e7a nenhum acordo com eles.<\/p>\n

O processo de tratativa de terceiros<\/h2>\n

Ent\u00e3o, como proteger a sua informa\u00e7\u00e3o? Basicamente, para estar em conformidade com a ISO\/ 27001 voc\u00ea deveria seguir este processo:<\/p>\n

\"Handling_third_parties_PT\"<\/p>\n

An\u00e1lise \/ Avalia\u00e7\u00e3o de riscos (cl\u00e1usula 6.1.2).<\/strong> Voc\u00ea deveria analisar e avaliar os riscos a confidencialidade, integridade e disponibilidade de suas informa\u00e7\u00f5es no caso de terceirizar parte de seus processos ou permitir que um terceiro acesse suas informa\u00e7\u00f5es. Por exemplo, durante a an\u00e1lise \/ avalia\u00e7\u00e3o voc\u00ea pode identificar que algumas das suas informa\u00e7\u00f5es podem ser expostas ao p\u00fablico e criar um enorme dano, ou que alguma informa\u00e7\u00e3o pode ser perdida de forma permanente. Baseado nos resultados da an\u00e1lise\/avalia\u00e7\u00e3o de risco, voc\u00ea pode decidir se os pr\u00f3ximos passos deste processo s\u00e3o necess\u00e1rios ou n\u00e3o \u2013 por exemple, voc\u00ea pode n\u00e3o precisar realizar uma verifica\u00e7\u00e3o de hist\u00f3rico ou inserir cl\u00e1usulas de seguran\u00e7a para o seu fornecedor da cafeteria, mas voc\u00ea provavelmente ir\u00e1 precisar fazer isso para o seu desenvolvedor de software.<\/p>\n

Triagem (controle A.7.1.1) \/ auditoria.<\/strong> Esta \u00e9 a etapa onde voc\u00ea precisa realizar uma verifica\u00e7\u00e3o de hist\u00f3rico em seus potenciais fornecedores e parceiros \u2013 quanto mais riscos foram identificados na etapa anterior, mas minuciosa precisa ser a verifica\u00e7\u00e3o; claro que voc\u00ea sempre deve assegurar que est\u00e1 fazendo isso dentro dos limites legais. As t\u00e9cnicas dispon\u00edveis variam muito, desde verifica\u00e7\u00e3o de informa\u00e7\u00f5es financeiras da organiza\u00e7\u00e3o at\u00e9 a verifica\u00e7\u00e3o de registros criminais do CEO \/ donos do neg\u00f3cio. Voc\u00ea tamb\u00e9m pode precisar auditar controles e processos de seguran\u00e7a da informa\u00e7\u00e3o deles que j\u00e1 existam.<\/p>\n

Selecionando cl\u00e1usulas em acordos (controle A.15.1.2).<\/strong> Uma vez que voc\u00ea saiba quais riscos existem e qual \u00e9 a situa\u00e7\u00e3o espec\u00edfica da organiza\u00e7\u00e3o que voc\u00ea escolheu como fornecedora \/ parceira, voc\u00ea pode come\u00e7ar a escrever as cl\u00e1usulas de seguran\u00e7a<\/a> que precisam ser inseridas em um acordo. Podem existir dezenas de cl\u00e1usulas, variando de controle de acesso e rotulagem de informa\u00e7\u00e3o confidencial, at\u00e9 quais treinamentos de conscientiza\u00e7\u00e3o s\u00e3o necess\u00e1rios e quais m\u00e9todos de encripta\u00e7\u00e3o devem ser utilizados.<\/p>\n

Controle de acesso (controle A.9.4.1).<\/strong> Ter um acordo com um fornecedor n\u00e3o significa que eles precisam acessar todos os seus dados \u2013 voc\u00ea tem que ter certeza de dar a eles acesso apenas ao necess\u00e1rio (Need-to-know basis). Isto \u00e9 \u2013 eles deveriam acessar apenas os dados que s\u00e3o requeridos para que eles realizem o trabalho.<\/p>\n

Monitoramento da conformidade (controle A.15.2.1).<\/strong> Voc\u00ea pode ter a esperan\u00e7a de que seu fornecedor estar\u00e1 em conformidade com todas as cl\u00e1usulas de seguran\u00e7a do acordo, mas frequentemente este n\u00e3o \u00e9 o caso. \u00c9 por isso que voc\u00ea tem que monitorar e, se necess\u00e1rio, auditar se eles est\u00e3o cumprindo com todas as cl\u00e1usulas \u2013 por exemplo, se eles concordaram e dar acesso a suas dados apenas para um pequeno n\u00famero de seus empregados, isto \u00e9 algo que voc\u00ea precisa verificar.<\/p>\n

Encerramento do acordo.<\/strong> N\u00e3o importa se seu acordo tenha terminado sob circunst\u00e2ncias amig\u00e1veis ou nem tanto assim, voc\u00ea precisa ter certeza de que todos os seus ativos foram devolvidos (controle A.8.1.4), e que todos os direitos de acesso tenham sido removidos (A.9.2.6).<\/p>\n

Foco no que \u00e9 importante<\/h2>\n

Assim, se voc\u00ea est\u00e1 comprando artigos de papelaria ou toners para impressora, voc\u00ea provavelmente ir\u00e1 ignorar a maior parte deste processo porque sua an\u00e1lise\/avalia\u00e7\u00e3o de risco permitir\u00e1 a voc\u00ea fazer isso; mas ao contratar um consultor de seguran\u00e7a, ou com efeito, um servi\u00e7o de limpeza (porque eles tem acesso a todas as suas instala\u00e7\u00f5es em hor\u00e1rio fora do expediente), voc\u00ea deveria realizar cuidadosamente cada uma destas seis etapas.<\/p>\n

Como voc\u00ea provavelmente percebeu do processo citado, \u00e9 complicado desenvolver uma lista de verifica\u00e7\u00e3o \u00fanica para verificar a seguran\u00e7a de um fornecedor \u2013 ao inv\u00e9s disso, voc\u00ea deveria usar este processo para identificar voc\u00ea mesmo qual \u00e9 a abordagem mais apropriada para proteger suas informa\u00e7\u00f5es mais valiosas.<\/p>\n

Clique aqui para ver um exemplo de<\/em> Pol\u00edtica de seguran\u00e7a do fornecedor<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Uma vez que cada vez mais e mais dados est\u00e3o sendo processados e armazenados por terceiros, a prote\u00e7\u00e3o de tais dados est\u00e1 se tornando um assunto cada vez mais significativo para os profissionais de seguran\u00e7a da informa\u00e7\u00e3o \u2013 e n\u00e3o \u00e9 de se admirar que a nova vers\u00e3o de 2013 da ISO 27001 tenha dedicado …<\/p>\n","protected":false},"author":26,"featured_media":4519,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4518","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4518"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4518\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4519"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}