Com a aceleração digital, a onda de violência cibernética e as pressões da LGPD (Lei Geral de Proteção de Dados), a Segurança da Informação se consolidou como prioridade nas grandes organizações. Obviamente, as transformações internas de “tecnologia, pessoas e processos”, por mais exitosas que sejam, são insuficientes se os fornecedores de suprimentos e serviços forem os pontos de entrada de invasores, expuserem dados dos clientes e não protegerem as informações e transações críticas às quais têm acesso. Por isso, várias startups e médias empresas preocupadas com os questionamentos dos grandes clientes B2B.

Para quem não está familiarizado com as subdisciplinas de Cibersegurança e Proteção de Dados, os formulários podem causar perplexidade. Em alguns casos, chegam a gerar o pânico de jamais se conseguir cumprir as condições de preservar o contrato. São dezenas de itens com o mapeamento das políticas de segurança por tipo de tecnologia, base de dados, interfaces e outros “detalhes” da estrutura de TI e rede. Também são cobradas evidências de execução das melhores práticas, que deverão ser auditadas em algum momento.

Calma! As grandes indústrias, em sua maioria, não pensam nessa iniciativa como um “ritual de passagem” para seus fornecedores e parceiros. Com exceção dos casos de processos muitíssimos críticos, ou de fornecedores tão negligentes que nem deveriam estar no mercado, é pouco provável uma onda de cancelamentos ou não renovação dos relacionamentos. Segurança da Informação é um processo de amadurecimento para todos. O trabalho que as corporações têm feito para reforçar a corresponsabilidade pode ser o início de uma abordagem de alinhamento e colaboração, para tornar mais efetiva a segurança em todos os elos da cadeia de valor.

Escopo, os requisitos mínimos de cibersegurança para atender aos contratos – diante dos campos sobre segurança de APIs, criptografia e outras perguntas técnicas, a primeira questão é o que cada empresa tem a ver com isso. Ou seja, nem todos os itens são aplicáveis. Tudo depende de fatores como: se o prestador de serviço trabalha com dados de clientes; se os funcionários terceirizados acessam os sistemas transacionais; e quais os riscos que expõem o cliente (e principalmente os clientes do cliente).

Correção de dívidas técnicas e falhas de cibersegurança – dificilmente alguém consegue “gabaritar” os mapeamentos corporativos da cibersegurança dos fornecedores. De forma geral, se constata a necessidade de investimentos em implementação ou atualização das funções básicas (de segurança de redes, acessos, dados etc.) e, conforme o tipo de serviço, de soluções mais especializadas (SIEM, UBA etc). O desafio é entender as prioridades e escalonar os investimentos de acordo com o orçamento e o ROI.

Comprometimento e plano de ação de cibersegurança – as pressões dos clientes corporativos, neste momento, têm o objetivo de advertir. Mesmo que o fornecedor tenha pouca maturidade em cibersegurança, será considerada fortemente a apresentação de um plano de ação, com as providências, cronogramas e métricas.

Assessment, quem responde aos questionários corporativos de cibersegurança – em startups e PMEs, a TI fica sobrecarregada com as entregas e as áreas de negócios muitas vezes não contam com especialistas em gestão de risco. Em resumo, falta gente para entender, responder e conduzir os desdobramentos dos formulários. Nesse contexto, pode-se aproveitar a experiência com a Jornada à LGPD. Os requisitos são diferentes, mas muito se aproveita da criação de frameworks com metodologias, ferramentas e programas de aceleração das iniciativas de compliance. Algumas das abordagens já desenvolvidas e testadas agora podem ser aplicadas para o amadurecimento da governança de TI e de dados.

Transparência e colaboração com clientes em cibersegurança – em muitos casos, o mais adequado a se fazer é dar uma “arrumadinha na casa” e “lavar a roupa suja” antes de começar a conversa. Em termos estratégicos, todavia, a cooperação tende a ser o caminho mais ágil, eficaz e econômico.

Se o plano de ação de cibersegurança for avaliado e validado pela área de Segurança da Informação dos grandes clientes, é bem mais provável que os esforços e investimentos sejam direcionados ao que gera mais resultados.

Além de mitigar o “risco sistêmico” causado por elos fracos da cadeia de suprimentos, os fornecedores mais alinhados com os clientes, com troca de informações e ações colaborativas, tendem a ter um relacionamento mais estável.

Outra vantagem dessa aproximação é conhecer os requisitos de segurança de cada linha de negócios. Com isso, o fornecedor sabe o que precisa cumprir para se habilitar a ofertas de maior valor agregado e escalar o relacionamento nas grandes contas.

Ao mesmo tempo em que os campos dos formulários corporativos de cibersegurança são fonte de preocupação, os questionários sinalizam os caminhos das oportunidades. As metodologias de cálculo de risco bem explicadas permitem que todos saibam de forma muito objetiva como são avaliados e comparados.

Rodrigo Larrabure é diretor de tecnologia da CYLK Technologing.

Matéria publicada pela Channel360°: https://www.channel360.com.br/ciberseguranca-contratos-startups/