Cibersegurança para Negócios
|
Leitura Rápida
9 Perguntas de Segurança que os Proprietários de Negócios Devem Fazer aos Fornecedores
Independentemente da natureza ou tamanho da sua empresa, você precisa pensar em cibersegurança no nosso presente conectado. Isso não significa apenas a cibersegurança da sua própria operação, mas também a segurança de cada fornecedor com quem você faz negócios.
Se você fizer parceria com uma terceira parte que adota uma abordagem frouxa à cibersegurança, isso coloca em risco os dados da sua empresa e dos seus clientes. Aqui estão algumas perguntas que você deve fazer a cada fornecedor para garantir que a segurança dele seja robusta o suficiente para merecer o seu negócio. Sempre celebre um Acordo de Nível de Serviço e faça contrato com o fornecedor para que todas as expectativas fiquem claramente articuladas.
Como protegerão os meus dados?
Os dados da sua empresa, dos seus funcionários e dos seus clientes são preciosos e devem ser tratados como dinheiro. Obtenha detalhes sobre como um fornecedor protege e armazena os dados:
A nossa empresa manterá sempre a propriedade dos seus dados?
O fornecedor tem um plano de controlos por escrito que contenha as salvaguardas administrativas, técnicas e físicas que utiliza para recolher, processar, proteger, armazenar, transmitir, descartar ou, de outra forma, tratar os nossos dados (normalmente chamado de Política de Segurança da Informação)?
São utilizados métodos de encriptação para os dados em trânsito e em repouso?
O fornecedor fornecerá controlos multi-tenant para a separação de utilizadores e dados?
O fornecedor fornecerá mecanismos de controlo de acesso como IDs de utilizador exclusivos, padrões de palavras-passe e acesso baseado em funções?
Os fornecedores terceiros (por exemplo, subcontratado, alojamento partilhado gerido) contratados pelo fornecedor serão impedidos de ter acesso aos dados da minha empresa?
O fornecedor fornecerá garantia por escrito da sua segurança e controlos, bem como dos seus fornecedores terceiros, enquanto os dados dos clientes estiverem a ser recolhidos, processados e retidos?
Qual é o processo do fornecedor para eliminar ficheiros e registos e remover o acesso após a conclusão do serviço, tarefa ou contrato?
Os seus funcionários são formados em cibersegurança?
Pergunte se o fornecedor tem uma política de triagem pré-emprego para funcionários e contratados. Qual é esse processo? Qual é o processo de formação da equipa em segurança?
Que certificações tem?
Procure fornecedores que tenham certificações de segurança padrão do setor, como ISO 27001, SOC 2 ou PCI DSS. Essas certificações demonstram um compromisso com a manutenção de elevados padrões de segurança. Peça documentação.
Com que frequência atualiza o seu software?
Manter o software atualizado é uma das melhores formas de ter segurança de vanguarda. Especificamente, pergunte se o fornecedor mantém versões atualizadas do seu software antivírus e dos sistemas operativos. Como é que o fornecedor garante que todos os seus sistemas se mantêm atualizados? Com que frequência os sistemas são analisados quanto a software e patches desatualizados? Saiba que diferentes sistemas têm ritmos diferentes de atualização de software, e as atualizações de software geralmente são testadas antes de serem implementadas. Deve procurar respostas sobre o prazo – um fornecedor pode aplicar atualizações críticas em 48 horas, enquanto agenda as atualizações de “alta gravidade” para serem aplicadas no prazo de cinco dias úteis.
Como protege a sua infraestrutura de rede?
Certifique-se de que o seu fornecedor tem medidas robustas de segurança de rede em vigor. Pergunte sobre firewalls, sistemas de deteção de intrusões e outras tecnologias que utilizam para proteger as suas redes contra ameaças cibernéticas. O que faz o fornecedor para prevenir incidentes de segurança ou violações? Com que frequência verifica vulnerabilidades?
Tem um plano de continuidade de negócio?
Pergunte sobre os seus planos de continuidade de negócio e de recuperação de desastres. Isto ajudá-lo-á a compreender quão bem preparados estão para responder a eventos imprevistos e minimizar o tempo de inatividade. O plano está escrito? É testado periodicamente?
Qual é o seu plano de resposta a incidentes?
Prevenir um incidente é ótimo, mas descubra como um fornecedor planeia reagir a um incidente. A empresa tem um plano de resposta a incidentes, um plano escrito para identificar, comunicar e responder prontamente a violações de segurança? O fornecedor, e qualquer terceira parte relevante com quem contrate, pode enviar os resultados da sua última auditoria de segurança? O fornecedor contrata uma empresa externa de auditoria para realizar uma revisão de conformidade dos seus controlos operacionais?
Como me ajudará a cumprir os regulamentos de proteção de dados relevantes?
Pergunte se os seus fornecedores cumprem os regulamentos de proteção de dados aplicáveis ao seu setor e localização. Isto é criticamente importante se a sua empresa lida com informação sensível de clientes. Os ficheiros e registos são revistos, retidos e eliminados de acordo com requisitos legais, obrigações contratuais e acordos de nível de serviço?
Como posso contactar-vos?
Pergunte como contactar o fornecedor em caso de emergência, como um incidente de segurança. Lembre-se de que isto pode acontecer aos fins de semana e feriados!
Como proprietário de uma empresa, proteger dados sensíveis e as suas operações contra ameaças cibernéticas precisa de ser uma prioridade máxima. Ao fazer aos seus fornecedores estas perguntas cruciais de segurança, pode ter a confiança de que está a manter um ambiente seguro para a sua empresa. É importante salientar que a cibersegurança é um esforço contínuo, e trabalhar com fornecedores que a priorizam ajudará a salvaguardar a sua empresa e a confiança dos seus clientes a longo prazo.
