AS 8.2.3 (K2): Compreender a necessidade de avaliar os recursos do fornecedor para atualizar ferramentas em uma base frequente para se manter atualizado com ameaças de segurança.

Avaliando as Capacidades do Vendedor de uma Ferramenta

Se uma ferramenta é comprada de um fornecedor, verifique:
– Fornecedor deve oferecer uma série de serviços;
– No mínimo, considere treinamento, coaching, e suporte;

Avaliar os recursos do fornecedor:
– Tipos de licenças oferecidas (fixo / desk / floating / token);
– Opções de escalabilidade de licenças (por área funcional, número de licenças);
– Helpdesk e instalações de apoio (horas de apoio);
– Fóruns e comunidades de usuários;
– Frequência de atualização;
– Manuais de administração e de usuário;
– Contratos de suporte e manutenção.

Avaliando as Capacidades do Vendedor de uma Ferramenta – Exemplo:

Aqui está uma lista de verificação (não exaustiva) de coisas a serem avaliadas em um fornecedor:
– O vendedor experimentou incidentes de segurança cibernética no passado, a gravidade desses incidentes e a qualidade da resposta do vendedor?
– O vendedor mantém políticas de segurança cibernética, como se o fornecedor possui uma política ou plano de segurança escrito?
– O vendedor mantém pessoal suficiente e adequadamente treinado para proteger os dados e / ou serviços
em questão e responder a incidentes?
– O vendedor implementa o rastreio de antecedentes dos funcionários, treinamento de segurança cibernética e o tratamento das rescisões?
– Existem controles no lugar que restringem o acesso à informação e identificam usuários de forma exclusiva, de modo que as tentativas de acesso possam ser monitoradas e revisadas?
– A informação criptografada em repouso é a informação transmitida de e para o fornecedor corretamente
criptografada e as chaves criptográficas são devidamente gerenciadas?
– Em que país serão armazenados os dados?
– Quais são as políticas do fornecedor em relação ao uso secundário dos dados do cliente, e os sistemas de TI
são criados de forma a respeitar as limitações do uso secundário?
– Existem funções de resiliência e recuperação de desastres e o vendedor usa pessoal e tecnologia para
impedir o acesso físico não autorizado às práticas de backup e recuperação de instalações?