Compliance
As recomendações surgem no âmbito das crescentes ameaças à cadeia de valor
16/10/2022
O National Cyber Security Center (NCSC) – autoridade britânica para a cibersegurança – lançou novas direções para as organizações se protegerem. As recomendações foram lançadas no âmbito de ataques recentes à cadeia de valor, como o caso da SolarWinds, em 2020, ou da Kaseya, em 2021. Em fevereiro, o NCSC publicou um documento acerca de defender a pipeline, e a urgir as organizações e developers para automatizarem o desenvolvimento de software com integração contínua e entrega contínua (CI/CD, nas siglas em inglês). Já em outubro, o CEO da agência britânica nomeou o ransomware como a maior ameaça, alertando, simultaneamente, que as ameaças à cadeia de valor serão uma realidade durante os próximos anos. Agora, o NCSC afirmou no anúncio que as novas direções pretendem ajudar as organizações médias e grandes a “avaliar os riscos cibernéticos de trabalhar com fornecedores e obter garantias de que as mitigações estão em vigor”, e que surge devido a um “aumento significativo de ciberataques resultantes de vulnerabilidades dentro das cadeias de valor nos últimos anos, incluindo alguns incidentes de alto perfil, como o ataque SolarWinds”, disse. Além disso, quer que os profissionais de cibersegurança, gestores de risco e especialistas em aquisições implementem os 12 princípios de segurança na cadeia de valor do NCSC. É de notar que, segundo a autoridade, não há muitos negócios britânicos a verificar a segurança relacionada com os fornecedores. “Os ataques na cadeia de valor são uma grande ciberameaça que as organizações enfrentam e os incidentes podem ter um impacto profundo e duradouro nas empresas e clientes”, reflete Ian McCormack, diretor-adjunto do NCSC para a ciber-resiliência governamental. “Com os incidentes a aumentar, é vital que as organizações trabalhem com os seus fornecedores para identificar os riscos da cadeia de valor e garantir que estão em vigor medidas de segurança adequadas”. As recomendações estão divididas em cinco fases: o porquê das organizações se deverem preocupar com a cibersegurança da cadeia de valor; a importância de identificarem e protegerem os seus ativos na sua abordagem; aplicar a abordagem a novos fornecedores e aos existentes, e a melhoria contínua. |