Cibersegurança na Cadeia de Valor: Investimento Estratégico no Processo de Transformação Digital

A transformação digital que temos assistido nos últimos anos tem redefinido o panorama económico e a forma como as organizações operam e interagem entre si, o que tem trazido desafios de segurança acrescidos, particularmente na cadeia de valor¹.

De acordo com estudos recentes a Gartner e a ENISA (Agência da União Europeia para a Cibersegurança) os supply chain attacks são uma das principais ameaças para as organizações modernas, dado o seu impacto em termos financeiros e reputacionais².

Segundo a IBM, o custo médio de uma violação de dados em 2024 foi 4,48 milhões de dólares. Se considerarmos adicionalmente que, segundo o Global Cybersecurity Outlook 2024 do World Economic Forum, 41% das organizações que sofreram danos materiais resultantes de ataques de cibersegurança no último ano referem que esses mesmos foram iniciados num third party, então proteger a cadeia de valor deixa de ser uma simples recomendação e torna-se um pilar essencial para a continuidade e crescimento sustentado dos negócios.

Organismos internacionais, como por exemplo o NIST (National Institute of Standards and Technology), através do framework NIST SP 800-161r1 e o ISO (International Organization for Standards) com a publicação ISO 27036-1:2014 e nacionais - CNCS (Centro Nacional de Cibersegurança) através do Quadro Nacional de Referência para a Cibersegurança fornecem orientações detalhadas sobre a gestão de riscos na cadeia de valor. No espaço europeu, a diretiva NIS2 (Network and Information Security Directive 2) e o regulamento aplicável ao setor financeiro DORA (Digital Operational Resilience Act), estabelecem requisitos e exigências específicas para assegurar o aumento da resiliência das organizações neste domínio e da cibersegurança em sentido lato.

Numa abordagem de alto nível as boas práticas incluem as seguintes macro atividades:

1. Identificar as entidades da cadeia de valor e os processos de gestão de fornecedores, de acordo com o seu risco inerente;
2. Avaliar o ecossistema de ameaças de cibersegurança e determinar quais os fornecedores mais críticos (que apresentam maior risco) para a sua realidade organizacional;
3. Estabelecer processos que permitam efetivamente gerir os riscos do supply chain e monitorizar (e melhorar) de forma continua a ciber resiliência da sua organização.

A evolução do Third Party Cyber Risk Management (TPCRM)

Tendo em conta a complexidade e multidisciplinariedade do tema, temos assistido a uma tendência das empresas de consultoria tecnológica, em parceria com os seus clientes, evoluírem a prestação de serviço para plataformas de TPCRM de modo a conseguir uma visão contextual e holística dos riscos de cibersegurança do seu ecossistema.

Funcionalidades inovadoras, suportadas em automação e inteligência artificial, como a análise automática da postura de cibersegurança dos parceiros de negócio, questionários inteligentes, ratings de contexto (tendo em conta o risco e impacto para o negócio), alertas accionáveis, propostas de planos de remediação, entre muitas outras, tem sido uma mais valia relevante na gestão contínua e dinâmica da cadeia de valor, pois como é sabido este ecossistema (e respetivos riscos inerentes) varia em cada momento.

Em jeito de conclusão reforça-se a forte convicção que a cibersegurança, quando encarada como um investimento, alinhado com a estratégia da organização, com o devido e fulcral patrocínio da gestão de topo e envolvimento de toda a organização, gera valor em múltiplas frentes: protege os negócios, melhora a eficiência e posiciona as empresas (reforçando a sua credibilidade e transparência) para um crescimento sustentável.

¹ A cibersegurança na cadeia de valor de uma empresa refere-se à proteção dos processos, sistemas e dados que fluem entre fornecedores, parceiros e clientes ao longo da mesma.

² A título exemplificativo, recorda-se aqui o célebre caso do ciberataque à empresa de software SolarWinds em 2020, quando atores maliciosos efetuaram um ataque altamente sofisticado, inserindo código num update do seu software, cujo objetivo era o de ganhar acesso aos sistemas de alguns dos seus clientes finais.

Conteúdo co-produzido pela MediaNext e pela Securnet