Bela iniciativa essa da ANBIMA. O processo de avaliação de risco de cibersegurança em fornecedores está tocando cada vez mais as empresas. No setor financeiro, onde a régua de segurança é mais alta, já estamos acostumados com isso, principalmente com aquelas planilhas enormes com perguntas que vão em voltam em nossas caixas de e-mail.
Padronizar as questões que uma IF (Instituição Financeira) associada a ANBIMA deve fazer para avaliar a segurança de seus fornecedores agiliza muito o dia a dia das pessoas que operam esse processo. É legal pontuar que o tema aqui tem sinergia com a antiga resolução 4.658/2019 da CNM, desdobrada nas atuais 4.658/2018 e 4.893/2021.
Por outro lado, a proposta não visa simplificar o processo ou diminuir o número de questões que esse processo envolve. Empresas de menor porte sofrem com isso e pode dificultar que elas continuem operando no mercado. É o que comenta Evan Francen no livro Unsecurity: Information security is failing. The epidemic is upon us. [1].
Uma abordagem de aplicação dos questionários, por meio de um funil, onde as perguntas mais críticas são feitas apenas para os fornecedores mais críticos, pode ser uma alternativa mais inteligente para lidar com o volume e praticarmos o bom senso.