ISACA, importante associação profissional internacional focada em governança de TI, divulgou recentemente mais uma pesquisa: “Supply Chain Security Gaps: A 2022 Global Research Report” – que contou com a participação de mais 1.300 profissionais de TI e aborda as principais preocupações desses profissionais em relação aos desafios de segurança da cadeia de suprimentos e como as organizações estão respondendo a eles.
Desde o ataque sofrido pela SolarWinds no final de 2020, um dos maiores e mais sofisticados, que impactou mais de 18.000 empresas, a gestão da segurança da informação na cadeia de valor vem ganhando mais importância. Danos à imagem e reputação, perda de receita, multas regulatórias e suspensão das atividades são apenas alguns dos impactos que um cyber incidente pode causar e, segundo John Pironti, presidente da IP Architects e membro do Grupo de Trabalho de Tendências Emergentes da ISACA, uma “abordagem cooperativa” entre as empresas e seus fornecedores é fundamental para mitigar os riscos:
“O mais importante é estabelecer uma canal permanente de comunicação e colaboração com o pessoal de segurança da informação de fornecedores-chave. Uma parceria garante bidirecionalidade, inteligência e compartilhamento de informações para permitir que uma organização faça consultas e avaliações regulares de seus fornecedores em vez de apenas durante a auditoria formal. Relação de confiança com fornecedores permite que haja um diálogo contínuo, minimizando os riscos, onde as informações podem ser compartilhadas sem medo de impactos negativos”, afirma Pironti.
Apesar dos avanços, a pesquisa mostra que ainda são necessárias melhorias significativas na gestão de risco de terceiros:
- 84% dos participantes indicam que a cadeia de suprimentos de sua organização precisa de uma governança melhor do que a que está atualmente em vigor.
- 61% dizem que suas avaliações de risco não incluem avaliações do risco da cadeia de suprimentos específicas para dispositivos que usam inteligência artificial (IA).
- 49% dizem que suas organizações não realizam varredura de vulnerabilidades e testes de penetração na cadeia de suprimentos.
- 39% não desenvolveram planos de resposta a incidentes com fornecedores em caso de um evento de segurança cibernética
- 20% dizem que seu processo de avaliação de fornecedores não inclui avaliações de segurança cibernética e privacidade.
De acordo com o relatório, 25% das organizações relatam terem sofrido um ataque à cadeia de suprimentos nos últimos 12 meses. Os entrevistados pontuaram também quais são os riscos mais preocupantes e que podem afetar o seu ecossistema:
- Ransomware (73%)
- Práticas de segurança da informação incorretas por parte dos fornecedores (66%)
- Vulnerabilidades de segurança de software (65%)
- Armazenamento de dados de terceiros (61%)
- Prestadores de serviços terceirizados ou fornecedores com acesso físico ou virtual a sistemas de informação, código de software ou IP (55%)
E, por fim, John Pironti elenca cinco considerações chave que as organizações devem levar em conta para fortalecer a segurança da sua cadeia de valor de TI:
1. Você não pode proteger o que não conhece: é fundamental desenvolver e manter um inventário de fornecedores e os recursos que eles fornecem.
2. Exija a divulgação de componentes de software de código aberto.
3. Realize uma análise de ameaças e vulnerabilidades de terceiros que sejam importantes para o seu negócio.
4. Crie um adendo ao contrato dos fornecedores com orientações e requisitos relativos à segurança da informação.
5. Confie, mas verifique. Implemente revisões recorrentes baseadas em evidências.
Se quiser saber mais sobre como gerenciar seus parceiros e ter visibilidade da postura de segurança dos ambientes cloud e superfícies de ataque on-premises, entre em contato conosco.
