Bela iniciativa essa da ANBIMA. O processo de avaliação de risco de cibersegurança em fornecedores está tocando cada vez mais as empresas. No setor financeiro, onde a régua de segurança é mais alta, já estamos acostumados com isso, principalmente com aquelas planilhas enormes com perguntas que vão e voltam em nossas caixas de e-mail.
Padronizar as questões que uma IF (Instituição Financeira) associada à ANBIMA deve fazer para avaliar a segurança de seus fornecedores agiliza muito o dia a dia das pessoas que operam esse processo. É legal pontuar que o tema aqui tem sinergia com a Resolução CMN nº 4.893/2021, que trata de política de segurança cibernética e requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Nota de revisão em 2026: o QDD foi publicado pela ANBIMA e entrou em vigor em 1º de julho de 2024, como parte das Regras e Procedimentos de Deveres Básicos.
Por outro lado, a proposta não visa simplificar o processo ou diminuir o número de questões que esse processo envolve. Empresas de menor porte sofrem com isso e pode dificultar que elas continuem operando no mercado. É o que comenta Evan Francen no livro Unsecurity: Information security is failing. The epidemic is upon us. [1].
Uma abordagem de aplicação dos questionários, por meio de um funil, onde as perguntas mais críticas são feitas apenas para os fornecedores mais críticos, pode ser uma alternativa mais inteligente para lidar com o volume e praticarmos o bom senso.