A segurança da informação nos acordos com fornecedores e na cadeia de suprimentos

A segurança da informação não se limita ao que está dentro da instituição. Em um ambiente cada vez mais interconectado, é fundamental que fornecedores, prestadores de serviço e parceiros externos também adotem práticas seguras ao lidar com os ativos da instituição.

Por que a segurança na cadeia de suprimentos importa?

• A terceirização de serviços, o uso de soluções em nuvem e a dependência de tecnologias externas aumentam a exposição a riscos como:
• Vazamento de informações “sensíveis”
• Acesso não autorizado a sistemas institucionais
• Falhas em contratos sem cláusulas de segurança
• Contaminação por malwares ou outras vulnerabilidades técnicas

O que deve constar nos acordos com terceiros

• Para proteger o LNCC, os acordos com fornecedores devem conter cláusulas claras de:
• Confidencialidade e sigilo das informações acessadas ou processadas
• Responsabilidade em caso de incidentes de segurança
• Cumprimento da LGPD e das políticas internas do SGSI
• Requisitos técnicos mínimos de segurança (ex.: antivírus, autenticação, backups)
• Procedimentos de notificação imediata em caso de vazamentos ou falhas
• Restrições ao compartilhamento de dados com terceiros não autorizados

O papel de cada servidor

• Divulgue as políticas/normas de segurança da informação ao fornecedor
• Certifique-se de que todo contrato, parceria ou projeto de pesquisa envolva a área de segurança da informação e equipes de apoio do LNCC
• Nunca compartilhe acessos, dados ou documentos com fornecedores e parceiros sem avaliação prévia
• Utilize somente soluções e serviços previamente homologados
• Notifique o SGSI em caso de suspeitas de comprometimento e falhas de segurança.

Segurança da informação é responsabilidade compartilhada.
Proteger os dados do LNCC também envolve garantir que terceiros estejam alinhados com nossas políticas e práticas de segurança.
Trabalhar com segurança é trabalhar com confiança.