Identificando segurança da informação nos acordos com terceiros

Controle

Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes.

Diretrizes para implementação

Convém que o acordo assegure que não existe mal-entendido entre a organização e o terceiro. Convém que as organizações considerem a possibilidade de indenização do terceiro.

Convém que os seguintes termos sejam considerados para inclusão no acordo, com o objetivo de atender aos requisitos de segurança da informação identificados (ver 6.2.1):

a) política de segurança da informação;

b) controles para assegurar a proteção do ativo, incluindo:

1) procedimentos para proteger os ativos da organização, incluindo informação, software e hardware; 2) quaisquer mecanismos e controles para a proteção física requerida;

4) procedimentos para definir ações quando ocorrer o comprometimento de quaisquer dos ativos, por exemplo, perda ou modificação de informações, software e hardware;

5) controles para assegurar o retorno ou a destruição da informação e dos ativos no final do contrato, ou em um dado momento definido no acordo.

6) confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante (ver 2.1.5) dos ativos;

7) restrições em relação a cópias e divulgação de informações, e uso dos acordos de confidencialidade (ver 6.1.5).

c) treinamento dos usuários e administradores nos métodos, procedimentos e segurança da informação; d) assegurar a conscientização dos usuários nas questões e responsabilidades pela segurança da

informação;

f) provisão para a transferência de pessoal, onde necessário;

f) responsabilidades com relação à manutenção e instalação de software e hardware; g) uma estrutura clara de notificação e formatos de relatórios acordados;

h) um processo claro e definido de gestão de mudanças; i) política de controle de acesso, cobrindo:

1) as diferentes razões, requisitos e benefícios que justificam a necessidade do acesso pelo terceiro;

2) métodos de acesso permitido e o controle e uso de identificadores únicos, tais como identificadores de usuários e senhas de acesso;

3) um processo de autorização de acesso e privilégios para os usuários;

4) um requisito para manter uma lista de pessoas autorizadas a usar os serviços que estão sendo disponibilizados, e quais os seus direitos e privilégios com relação a tal uso;

5) uma declaração de que todo o acesso que não seja explicitamente autorizado é proibido; 6) um processo para revogar os direitos de acesso ou interromper a conexão entre sistemas;

j) dispositivos para relato, notificação e investigação de incidentes de segurança da informação e violação da segurança, bem como as violações dos requisitos definidos no acordo;

k) uma descrição do produto ou serviço que está sendo fornecido e uma descrição da informação que deve estar disponível, juntamente com a sua classificação de segurança (ver 7.2.1);

l) níveis de serviços acordados e os níveis de serviços inaceitáveis;

m) definição de critérios de desempenho verificáveis, seu monitoramento e relato;

n) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organização;

o) direito de auditar as responsabilidades definidas do acordo, para ter essas auditorias realizadas por terceira parte para enumerar os direitos regulamentares dos auditores;

p) estabelecimento de um processo escalonado para resolução de problemas;

q) requisitos para a continuidade dos serviços, incluindo medições para disponibilidade e confiabilidade, de acordo com as prioridades do negócio da organização;

r) respectivas obrigações das partes com o acordo;

s) responsabilidades com relação a aspectos legais e como é assegurado que os requisitos legais são atendidos, por exemplo, leis de proteção de dados, levando-se em consideração especialmente os diferentes sistemas legais nacionais, se o acordo envolver a cooperação com organizações em outros países (ver 15.1);

t) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteção de qualquer trabalho colaborativo (ver 6.1.5);

u) envolvimento do terceiro com subfornecedores e os controles de segurança da informação que esses subfornecedores precisam implementar;

v) condições de renegociação ou encerramento de acordos:

1) um plano de contingência deve ser elaborado no caso de uma das partes desejar encerrar a relação antes do final do acordo;

2) renegociação dos acordos se os requisitos de segurança da organização mudarem;

3) listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos.

Informações adicionais

Os acordos podem variar consideravelmente para diferentes organizações e entre os diferentes tipos de terceiros. Convém, entretanto, que sejam tomados cuidados para incluir nos acordos todos os riscos identificados e os requisitos de segurança da informação (ver 6.2.1). Onde necessário, os procedimentos e controles requeridos podem ser incluídos em um plano de gestão de segurança da informação.

Se a gestão da segurança da informação for terceirizada, convém que os acordos definam como os terceiros irão garantir que a segurança da informação, conforme definida na análise/avaliação de riscos, será mantida e como a segurança da informação será adaptada para identificar e tratar com as mudanças aos riscos.

Algumas das diferenças entre as terceirizações e as outras formas de provisão de serviços de terceiros incluem a questão das obrigações legais, o planejamento do período de transição e de descontinuidade da operação durante este período, planejamento de contingências e análise crítica de investigações, e coleta e gestão de incidentes de segurança da informação. Entretanto, é importante que a organização planeje e gerencie a transição para um terceirizado e tenha processos adequados implantados para gerenciar as mudanças e renegociar ou encerrar os acordos.

Os procedimentos para continuar processando no caso em que o terceiro se torne incapaz de prestar o serviço precisam ser considerados no acordo para evitar qualquer atraso nos serviços de substituição.

Acordos com terceiros podem também envolver outras partes. Convém que os acordos que concedam o acesso a terceiros incluam permissão para designação de outras partes autorizadas e condições para os seus acessos e envolvimento.

De um modo geral os acordos são geralmente elaborados pela organização. Podem existir situações onde, em algumas circunstâncias, um acordo possa ser elaborado e imposto pela organização para o terceiro. A organização precisa assegurar que a sua própria segurança da informação não é afetada desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.

7 Gestão de ativos