Desvendando a ISO 27036: Seu guia para proteger dados na relação com os seus fornecedores!

Já parou para pensar em como a segurança da informação é crucial hoje em dia? Ainda mais quando dependemos de fornecedores externos para várias atividades. E você sabia que existe uma ISO sobre esse tema? Mais uma ISO da família 27k, a ISO 27036 entra em jogo, como um guia para blindar seus dados nas relações com os fornecedores!

O que é a tal da ISO 27036?

Essa norma internacional é um manual de boas práticas para proteger informações quando sua empresa se relaciona com fornecedores. Ela cobre desde a escolha do fornecedor ideal até o acompanhamento do contrato, garantindo que seus dados estejam sempre a salvo.

A ISO 27036 é dividida em quatro partes, como se fossem capítulos de um livro:

ISO 27036-1:  Visão geral e conceitos

Essa parte te dá uma visão geral da norma, explicando os conceitos e princípios da segurança da informação na relação com fornecedores. É como se fosse o mapa da mina, mostrando o caminho para proteger seus dados.

ISO 27036-2: Requisitos

Aqui são apresentados os requisitos específicos para a segurança da informação. É tipo um conjunto de mandamentos que sua empresa precisa seguir para garantir a proteção dos dados.

ISO 27036-3: O manual de instruções: As diretrizes para a gestão da segurança da informação em relacionamentos com fornecedores

Essa parte te dá dicas práticas de como aplicar a segurança da informação no dia a dia. É como se fosse um manual de instruções, mostrando como colocar em prática os requisitos da norma.

ISO 27036-4: De olho na nuvem: Diretrizes para a segurança de serviços em nuvem

Essa parte é focada na segurança de serviços em nuvem, que se tornaram tão comuns hoje em dia. É como se fosse um guia específico para proteger seus dados quando eles estão na nuvem.

Por que a ISO 27036 é tão importante?

A ISO 27036 é uma ferramenta poderosa para empresas que querem proteger seus dados confidenciais ao lidar com fornecedores. Ao seguir essa norma, sua empresa pode:

• Reduzir riscos de segurança: A norma ajuda a identificar e mitigar os riscos de segurança associados a relacionamentos com fornecedores.
• Melhorar a conformidade: A ISO 27036 auxilia sua empresa a cumprir regulamentos e leis de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD).
• Fortalecer a reputação: Ao demonstrar compromisso com a segurança da informação, sua empresa fortalece sua reputação e a confiança de seus clientes e parceiros.
• Aumentar a eficiência: A norma fornece um framework estruturado para a gestão da segurança da informação em relacionamentos com fornecedores, otimizando processos e recursos.

A ISO 27036 é uma metodologia para proteger seus dados na relação com fornecedores. Ela é um importante meio para ajudar sua empresa com processos de VRM e TPRM, explicados no post anterior, disponível aqui para leitura. Ao entender e aplicar suas partes, sua empresa estará mais preparada para os desafios da segurança da informação no mundo digital.

Lembre-se: a segurança da informação é um trabalho constante e que depende de muitas partes! Além disso, é importante sempre revisar suas práticas para garantir que seus dados estejam sempre protegidos.

Referências: ISO.org

TPRM x VRM: Entendendo a diferença!

No mundo corporativo atual, a colaboração com fornecedores terceiros é cada vez mais comum. Seja para fornecimento de produtos, serviços ou informações, essas parcerias são essenciais para o crescimento e sucesso de qualquer organização. No entanto, essa colaboração também traz consigo uma série de riscos que precisam ser gerenciados. É aí que entram em jogo os conceitos de TPRM (Third-Party Risk Management) e VRM (Vendor Risk Management).

Embora os termos sejam frequentemente usados ​​de forma intercambiável, eles não são sinônimos. A verdade é que oVRM é um subconjunto do TPRM!

Para entender melhor essa distinção, vamos analisar cada um deles separadamente:

VRM (Vendor Risk Management)

O VRM se concentra na gestão de riscos associados ao uso de fornecedores terceirizados. Isso inclui a identificação, avaliação e mitigação de riscos relacionados a produtos, serviços ou informações fornecidas por fornecedores.

TPRM (Third-Party Risk Management)

O TPRM é um termo mais amplo que abrange todos os tipos de terceiros, incluindo fornecedores, parceiros, contratados e outros. O TPRM se concentra na gestão de riscos associados a todos os relacionamentos com terceiros, independentemente do tipo de relacionamento.

Principais diferenças entre VRM e TRPM?

Característica	VRM	TPRM
Escopo	Focado em fornecedores	Abrange todos os tipos de terceiros
Foco	Riscos relacionados a produtos, serviços ou informações fornecidas por fornecedores	Riscos relacionados a todos os relacionamentos com terceiros
Abordagem	Geralmente reativa	Geralmente proativa

Resumindo...

VRM: Gerencia os riscos específicos de fornecedores.

TPRM: Gerencia os riscos de todos os tipos de terceiros, incluindo fornecedores.

Implementando TPRM na sua empresa

Para implementar um programa de TPRM eficaz, siga estas dicas:

• Defina seus objetivos: Determine quais riscos você precisa gerenciar e quais são seus objetivos de TPRM.
• Identifique seus terceiros: Mapeie todos os seus relacionamentos com terceiros, incluindo fornecedores, parceiros e contratados.
• Avalie os riscos: Avalie os riscos associados a cada relacionamento com terceiros.
• Mitigue os riscos: Implemente medidas para mitigar os riscos identificados.
• Monitore e revise: Monitore continuamente seus relacionamentos com terceiros e revise seu programa de TPRM regularmente.

A gestão de riscos de terceiros é um aspecto crítico da gestão de riscos corporativos. Ao entender a diferença entre TPRM e VRM e implementar um programa de TPRM eficaz, sua empresa estará melhor preparada para enfrentar os desafios do mundo empresarial moderno.

Gostou deste artigo? Compartilhe nas suas redes sociais e ajude outras empresas a entenderem a importância da gestão de riscos de terceiros!

Referências: VRM and TPRM: What’s the difference? - Third Party Trust