A organização e seus fornecedores: um elemento único!
Há poucos dias uma rede de lojas de roupas para homens e mulheres, pertencente a um grupo espanhol foi acusada de utilizar trabalho escravo infantil. Mas, não adianta ficar procurando na loja desta rede uma criancinha sendo explorada. Lá (na loja) não tem. Mas, em um dos fornecedores crianças eram exploradas.
O nome do fornecedor nem saiu nos jornais. O que saiu em destaque foi o nome da rede internacional. Confesso que já associei o nome da loja à acusação do crime. Como também toda vez que vejo criança nas novelas, entendo que é exploração infantil.
Em nosso ambiente de tecnologia da informação, na maioria das vezes, cuidamos muito mal dos nossos fornecedores. Isto é, exigimos muito pouco dos fornecedores. No início do contrato para a prestação de serviços e produtos a organização exige todo um cuidado, mas na maioria das vezes focado no custo. Depois de contratado o terceiro, muitas organizações esquecem de avaliar o fornecedor.
Considerando a segurança da informação entendo que devemos avaliar o fornecedor considerando a sua criticidade para a cadeia de valor para a realização do negócio da organização. Sugiro considerar os seguintes aspectos:
a) Exigência de disponibilidade
– Neste item devemos avaliar qual será o impacto para a organização se o prestador de serviço ou provedor de produto parar de prestar o serviço ou para de entregar o produto? Estamos identificando qual o nível de dependência que a organização tem deste fornecedor
b) Facilidade de mudança de fornecedor
– A organização precisa identificar qual a facilidade que tem (ou não tem) para a troca de fornecedor. Se um fornecedor não pode ser substituído ou a sua substituição é muito difícil de acontecer, significa que a organização tem pouco espaço de manobra junto a este fornecedor: A organização estará amarrada a este fornecedor para sempre (ou quase sempre).
c) Imagem do fornecedor e imagem da organização
– A organização deve avaliar se um problema de imagem do fornecedor afetará a imagem da organização. Um exemplo deste caso é o trabalho infantil. A organização não têm esta prática, mas se um seu fornecedor comete este crime, a imagem da organização é afetada diretamente
d) Acesso às informações da organização
– Fornecedores que têm acesso às informações confidenciais da organização são mais críticos do que outros que não tem este acesso. Por falta de controles do fornecedor, sem considerar situações de má fé, informações da organização podem vazar e acarretar impactos para a organização
e) Acesso a áreas restritas
– De maneira semelhante, fornecedores que acessam áreas físicas restritas da organização, devem ser mais exigidos em ter controles de segurança mais rígidos.
Para cada um dos aspectos acima citados, deve-se definir que controles, dos 133 controles da Norma NBR ISO/IEC 27002:2005 devem existir e qual será o nível de exigência desses controles.
Considere os seus fornecedores. Eles são a Organização, para os seus clientes e para o mercado.
Edison Fontes, CISM, CISA, CRISC, Me.
Núcleo Consultoria em Segurança
