Os ataques cibernéticos não param e seguem fazendo vítimas em todo mundo. Ainda mais em 2020, com a pandemia, os números de incidentes de segurança assustam, não passa um dia sem que o noticiário destaque um ciberataque.
Nesse cenário preocupante, o destaque vai para a negligência em um dos temas mais básicos da Segurança da Informação: a gestão de riscos em terceiros. Para a SumUp, fintech líder em pagamentos móveis (mPOS) na Europa e está em alto crescimento no mercado brasileiro, esse tema é um dos mais importantes.
De acordo com o CISO, Ricardo Castro, a missão da empresa é ajudar o pequeno negócio a crescer oferecendo soluções rápidas, intuitivas e acessíveis. E a Segurança da Informação caminha paralelo à missão da fintech, protegendo todo processo de transações, criando um ambiente de colaboração entre os departamentos e contratando/mantendo os melhores parceiros de negócio.
“Queremos sempre contar com pessoas e empresas que mantenham os melhores níveis de controle e segurança para suportar nosso crescimento. Não é porque oferecemos produtos acessíveis que deixaremos baixar o nível de Segurança”, destaca o executivo durante o Security Leaders.
A SumUp é movida por um propósito: os pagamentos devem ser tão simples e intuitivos que as pessoas mal percebem quando uma transação acontece. E a Segurança precisa acompanhar esse ritmo, principalmente neste momento em que a empresa segue com planos de ganhar escala e competitividade no país.
Aqui entra a importância dos parceiros nessa jornada. Ricardo Castro questiona uma série de fatores determinantes para a contratação de um parceiro, desde a relação melhor custo-benefício, a velocidade de operação e entregas.
Ele explica que na SumUp o valor é considerado, mas não é um fator determinante na análise de um parceiro. A qualidade de prestação de serviço é testada exaustivamente, além disso, é feito mapeamento nos setores Jurídicos, Operacionais e de Cibersegurança. Sob os olhos da Segurança, existem também uma centena de avaliações com destaque para o acompanhamento contínuo de scoring de risco cibernético.
“Fazemos avaliação da fase inicial de contratação ao fechamento do contrato, é quase um acompanhamento perpétuo para que não tenhamos surpresas desagradáveis. Se nos deparamos com algo mais crítico, fazemos um deep dive para que todos estejamos alinhados com as melhores práticas de proteção”, comenta.
Para evitar que um vazamento de dados causado por terceiros impacte a operação, por exemplo, a SumUp tem uma plataforma para segregação em portfólios a fim de segregar o risco em determinados ambientes, seja para LGPD, parceiros, bancos, etc.
“Com isso, tenho um olhar 360º do risco em cada parte do meu negócio. Isso me traz uma visão executiva de quais áreas preciso priorizar o trabalho do meu time. Dependendo do fornecedor e da área crítica da empresa, consigo analisar mais profundamente, sempre de acordo com o risco”
Na visão do executivo, caso um parceiro cumpra um checklist padrão comprovando que tem os controles certos e melhores práticas e, no futuro, a empresa sofra um vazamento de dado, o impacto negativo será muito grande. “Em um caso com esse, as empresas estão protegidas judicialmente, podendo notificar o parceiro, mas o dado ainda é dela e uma vez que vazou, o dano é maior”, acrescenta.
Com isso, a SumUp gera engajamento para que todo processo de contratação de terceiros possa estar dentro das normas internas e boas práticas. “Temos uma relação transparente com parceiros e terceiros, a ideia é sempre crescer seguro contribuindo para a proteção de todo ecossistema financeiro do Brasil”, conclui.
A palestra de Ricardo Castro está disponível na íntegra no canal da TVD no Youtube.