Esses pequenos fornecedores podem não ter sequer uma equipe dedicada de TI, muito menos uma equipe de segurança. Ainda assim, eles frequentemente lidam com dados sensíveis e se conectam diretamente aos sistemas empresariais. Isso representa uma vulnerabilidade não apenas para esses negócios, mas para todos os parceiros deles.  

Mas como sua equipe pode ajudar a proteger essas relações críticas de terceiros sem exigir que pequenos fornecedores operem como empresas da Fortune 500? Exploraremos algumas opções que ajudarão você a fazer parte da solução.

1. Comunique expectativas claras e prioritárias 

Lembre-se, muitos fornecedores querem fazer a coisa certa. Muitas vezes, eles apenas precisam de orientação. Talvez seja hora de repensar a exigência de longos questionários de segurança ou a exigência de conformidade total com a ISO 27001. Considere uma abordagem personalizada, baseada em risco. Identifique os dados, sistemas ou processos que o fornecedor acessará e estabeleça expectativas proporcionais a esse risco.  

Elabore um checklist de segurança simples que descreva suas expectativas básicas para um fornecedor. Isso pode incluir: 

• Usar MFA 

• Baixar e instalar atualizações de software regularmente 

• Criptografar dados em trânsito e em repouso 

• Treinamento de segurança regular para funcionários que aborde tópicos como phishing e senhas 

2. Ofereça ferramentas e modelos aos fornecedores 

Muitos pequenos fornecedores não sabem por onde começar. Você pode iniciar o posicionamento de segurança deles oferecendo alguma ajuda prática. Felizmente, você não precisa criar ferramentas do zero. Você pode simplesmente enviar alguns links para ajudá-los a começar. Além disso, se sua organização tiver modelos para políticas de segurança, planos de resposta a incidentes ou diretrizes de uso aceitável, considere compartilhá-los. 

Existem ferramentas de cibersegurança de baixo custo projetadas especificamente para pequenas empresas. 

• Defender para Empresas da Microsoft 

• O NIST Small Business Cybersecurity Corner 

• CyberSecure My Business da NCA (somos nós!) 

3. Promova o básico 

Não é necessário ter IA de ponta ou uma sala cheia de servidores para prevenir muitos incidentes cibernéticos. Os profissionais de TPRM devem encorajar os pequenos fornecedores a focarem em fazer o básico de forma confiável: 

Corrigir vulnerabilidades conhecidas

• Usar senhas fortes e únicas com um gerenciador de senhas para todas as contas

• Ativar MFA em todas as contas

• Fazer backup dos dados regularmente – e testar os backups

• Comunicar aos colaboradores sobre golpes comuns – seja específico com diretivas como, “Eu nunca pedirei para você comprar cartões-presente” 

4. Posicione a cibersegurança como parte do relacionamento de negócios 

Em vez de ver a segurança como uma barreira, trabalhe para moldá-la como uma parceria. Recomendamos formalizar essa abordagem incorporando linguagem de cibersegurança em contratos e acordos de nível de serviço (SLAs). Discuta a segurança no início do relacionamento com o fornecedor. Assim, pode-se manter um espírito de cooperação e colaboração, o que ajudará seus fornecedores a se sentirem apoiados em vez de examinados. 

Aqui estão maneiras de manter a cibersegurança em foco: 

• Incluir obrigações de cibersegurança nos contratos 

• Solicitar verificações ou avaliações anuais 

• Discutir como é crucial que os fornecedores notifiquem você sobre incidentes cedo 

5. Use sua influência 

Como um parceiro maior, sua organização tem influência significativa – talvez até mais do que você imagina. Trabalhe para encorajar melhorias de segurança de forma a apoiar, em vez de apenas exigir mudanças.   

Você pode operar com um espírito de colaboração por: 

• Hospedar um webinar de cibersegurança para fornecedores ou encorajá-los a participar do Mês da Conscientização sobre Cibersegurança!      

• Criar um portal de recursos privado para fornecedores -- sinta-se à vontade para usar o nosso! 

• Fornecer feedback sobre suas políticas ou ferramentas 

A cibersegurança é um esporte coletivo 

É uma frase comum entre os profissionais de segurança atualmente, mas a cibersegurança é verdadeiramente um esporte coletivo. E seus fornecedores terceiros fazem parte da sua equipe, mesmo que vocês não sejam oficialmente colegas de trabalho. Ajudar pequenos fornecedores a se manterem seguros é sobre redução de riscos, mas também auxilia na construção de parcerias resilientes.  

Para saber mais sobre como se manter seguro online, assine nosso newsletter! Nosso programa CyberSecure My Business é uma excelente oferta para pequenos fornecedores – deixe-nos ajudar você!