Analysis

Brave New World

Supply chain: além da segurança interna da organização

Por uma razão ou por outra, as organizações precisam de múltiplos parceiros. Um incidente de segurança num desses parceiros pode colocar as organizações em risco e a preocupação com a cadeia de valor é de extrema importância

Por Rui Damião . 03/10/2024

Supply chain: além da segurança interna da organização

Na era digital, as cadeias de valor – ou supply chain – são cada vez mais complexas e interconectadas; múltiplos parceiros, plataformas digitais e fluxos massivos de dados sensíveis são apenas alguns dos desafios que as organizações enfrentam.

Esta evolução – necessária para a eficiência operacional – expõe as organizações a um novo leque de riscos. Uma única vulnerabilidade num fornecedor pode comprometer toda a cadeia de valor, gerando consequências como violações de dados, interrupção de operações e prejuízos financeiros consideráveis.

Para os responsáveis de cibersegurança, proteger a cadeia de valor vai além da segurança interna; é uma abordagem colaborativa que integra processos rigorosos de avaliação de riscos de terceiros, monitorização contínua e o estabelecimento de uma cultura de segurança que permeia todos os níveis do ecossistema.

As ciberameaças à cadeia de valor

As ameaças à cadeia de valor são cada vez mais comuns e as organizações têm de ter atenção a esta realidade para minimizarem os riscos.

 

Carlos Santos, System Engineer da Fortinet

Carlos Santos, System Engineer da Fortinet, refere que se assiste a “um aumento exponencial de ataques com recurso ao ransomware, projetado especificamente para bloquear o acesso a dados ou sistemas e exigir, na maioria das vezes, resgastes às organizações”. Ao falar de todo o ecossistema, um ciberataque a um elo pode comprometer e resultar “em avultados prejuízos para toda a cadeia de valor de uma empresa”. Não esquecendo a falta de proteção adequada dos dados que pode comprometer anos de investimento em inovação, é “fundamental que as empresas adotem uma abordagem proativa de cibersegurança ao longo da sua cadeia de valor”.

Duarte Freitas, Cybersecurity Services da IBM Consulting, indica que “as principais ameaças à cadeia de valor de uma organização são todas aquelas que fazem parte da cadeia de atividades relacionadas com a criação, entre e suporte de um produto ou serviço”, nomeadamente ameaças internas – funcionários, subcontratados ou parceiros com acesso privilegiado que podem comprometer a cadeia de valor –, ameaças de fornecedores ou parceiros – como fuga de dados, malware e vulnerabilidades –, falta de visibilidade e controlo sobre a cadeia de valor, diferenças da idade dos vários sistemas e aplicações distribuídos pela cadeia de valor que pode ter falta de atualizações e, ainda, infraestruturas cloud e IoT sem as políticas de segurança adequadas.

Para Sergio Pedroche, Country Manager da Qualys para Portugal e Espanha, explica que os ataques à cadeia de abastecimento tornaram-se mais frequentes e sofisticados nos últimos anos. Com base num estudo da Gartner, os ataques à cadeia de abastecimento “vão triplicar até 2025, afetando 45% das empresas em todo o mundo. Estes ataques têm como objetivo comprometer a segurança de uma empresa através dos seus fornecedores, parceiros comerciais ou entidades terceiras relacionadas que são frequentemente atacados por ransomware, malware, ataques de sequestro de cadeia de abastecimento ou ataques a sistemas de gestão das relações com os fornecedores”.

Integrar a cibersegurança da cadeia de valor na estratégia geral

Duarte Freitas, Cybersecurity Services da IBM Consulting

 

Duarte Freitas defende que “uma organização deve integrar um plano estratégico de gestão da cadeia de valor no seu plano estratégico de segurança. Devem ser realizadas auditorias e testes periódicos em toda a cadeia de valor. Estruturas de segurança como o Zero Trust MITRE podem ser diretrizes para um plano estratégico de segurança para toda a organização e sua cadeia de valor”.

Sergio Pedroche refere que as organizações devem adotar uma estratégia zero trust – apostando na prevenção e proteção dos sistemas antes que ocorra um ataque –, formação e sensibilização das equipas – onde “os pontos de entrada mais frequentes para o malware e outros tipos de ciberataques são os erros humanos” – e a colaboração com parceiros e fornecedores – “sendo necessário certificar de que os seus parceiros e fornecedores também cumprem normas elevadas de cibersegurança”.

Carlos Santos fala da necessidade de uma abordagem holística “capaz de envolver não apenas a identificação e gestão de ameaças de forma contínua, como também a colaboração lado a lado com fornecedores e parceiros”. Ao mesmo tempo, o cumprimento de padrões rigorosos, como o NIST SP 800- 161 que garante que cada componente da cadeia de valor está devidamente protegido, “é apenas uma ínfima parte desta complexa e urgente equação”. Assim, diz, é “necessário incluir a realização de auditorias regulares, a imposição de protocolos de segurança claros e a monitorização ativa para identificar e mitigar ameaças de forma proativa”.

Auditorias regulares

 

Sergio Pedroche, Country Manager da Qualys para Portugal e Espanha

Sergio Pedroche indica que, se as organizações portuguesas não fazem auditorias regulares aos seus fornecedores para garantir a conformidade com os seus requisitos de segurança, “serão agora obrigados”, uma vez que “a nova diretiva europeia NIS2 impõe uma maior vigilância e incorpora a cadeia de abastecimento como um elemento essencial a avaliar, como forma de fazer face aos riscos de cibersegurança”.

Carlos Santos defende que as organizações portuguesas “têm vindo a reconhecer a importância de realizar auditorias regulares aos seus fornecedores como parte de uma estratégia mais ampla de gestão de riscos de cibersegurança. Muitas empresas, especialmente nos setores altamente regulamentados como financeiro, saúde e telecomunicações, já integram avaliações de conformidade de segurança nas suas políticas de compliance e governança. Estas auditorias visam garantir que os fornecedores adotem medidas adequadas de proteção de dados e práticas de cibersegurança consistentes com os requisitos internos e regulatórios”. No entanto, diz, a frequência e o rigor destas auditorias podem variar, dependendo da dimensão da organização e da criticidade das funções fornecidas por terceiros”.

Na mesma linha, Duarte Freitas refere que “existem organizações que já monitorizam a sua cadeia de valor com alguma regularidade, ou monitorizam organizações com quem eventualmente se podem relacionar. As organizações mais maduras e com planos estratégicos bem definidos costumam tomar decisões sobre o tipo de relacionamento que podem ter com futuros parceiros, dependendo do risco que podem representar para a sua organização”.

Medidas a adotar

Para Carlos Santos, uma cadeia de valor atual “deve agregar quer a vertente digital como a vertente física, nesse sentido as organizações devem valorizar a colaboração, a inovação e o alinhamento entre negócio, operações e as IT para garantir a integridade da sua cadeia de valor”. A implementação de um programa de gestão de risco de fornecedores robusto assume, assim, uma importância vital para a continuidade de qualquer negócio. Ao mesmo tempo, as organizações “devem estabelecer políticas claras de segurança e que estas, não só sejam reconhecidas, como aplicadas a toda a cadeia de valor. Isto inclui o controlo de segurança end-to-end, como encriptação de dados, autenticação multifator e monitorização de atividades em tempo real”.

Sergio Pedroche defende que as organizações devem fazer uma monitorização contínua da rede para detetar atividades suspeitas ou invulgares, gestão de riscos através de uma infraestrutura que permite a visibilidade das vulnerabilidades críticas, priorizando os riscos dos componentes, atualizações e patches de segurança, auditorias de segurança e, por fim, um plano de resposta a incidentes.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.