Os diversos graus de escassez deixados pela pandemia e a disseminação de ciberataques às cadeias de suprimentos, como na SolarWinds, mostraram ao mercado como a falta de cuidado com a Segurança da Informação de parceiros pode gerar complicações graves para o próprio negócio. Esse foi o cenário apresentado no Keynote de abertura do Security Leaders Recife com Domingos Moraes, que atua na área de Segurança da Informação na Eletrobras Chesf.
“A integridade desse processo se tornou essencial à continuidade de qualquer empresa. Todavia, só nesse ano, 52% das cadeias corporativas já foram atacadas e esses incidentes estão ficando cada vez maiores e mais frequentes. Todo esse contexto preocupante está fazendo o mercado em geral colocar o gerenciamento do Supply Chain dentro de seus mapas de risco”, destaca Moraes no Congresso que acontece hoje (24) em Recife.
O executivo lembrou da importância de se manter o controle sobre o Supply Chain das empresas na preservação do core business. Se antes da digitalização, as corporações precisavam apenas formar parcerias com quem pudesse fornecer aquilo que ela própria não fazia sozinha, hoje as demandas de um contrato se tornaram bem mais rígidas.
Em termos de controle de risco de fornecedores e parceiros, a ideia é atestar a integridade da outra empresa, garantindo que ela não represente uma ameaça. “No nosso setor, devemos ficar atentos com corporações cuja maturidade em Cyber não seja suficiente, podendo se tornar um vetor de ataques contra nossa própria companhia ou mesmo vazando dados sensíveis. Analisar essas pendências é de grande importância”, acrescenta o executivo.
Avaliação
Nesse cenário, a Cibersegurança deve ser um dos setores a se envolver intrinsecamente na avaliação de novos contratos. De acordo com o executivo, através de frameworks definidos pelo NIST e pelo ISSO 27.001, é possível construir roadmaps de avaliação das parcerias visando basear o board executive na definição de regras claras aos fornecedores e terceiros, com cláusulas contratuais sólidas, acordos de confidencialidade e gerenciamento de incidentes.
Para esse objetivo, o Head de SI da Eletrobrás recomenda atuar em todas as fases de negociação do acordo. Primeiro, o CISO deve definir dos potenciais riscos oferecidos por esse parceiro, através de questionários objetivos a respeito do atual estado de Cibersegurança. Os riscos detectados deverão permanecer monitorados durante a vigência da relação.
Posteriormente, o Líder de Segurança deve cooperar com o fornecedor ou terceiro na implementação de controles internos e melhorar os processos de Cyber, através de treinamentos sobre as políticas e códigos mantidos pelo contratante. Esse aperfeiçoamento também deve seguir de forma contínua, monitorando qualquer necessidade de mudanças e sempre mantendo a alta gestão informada.
Por fim, todo o conhecimento reunido durante essa análise deve gerar um reporte ao board, detalhando o apetite de risco necessário para proceder com aquele contrato. Esse tipo de score, aconselha Moraes, pode ser feito a partir de soluções já existentes no mercado, automatizadas e não intrusivas ao ambiente do parceiro.
“Essa fase final é importante para categorizar aquele acordo em relação à operação da companhia. Com os dados em mãos, podemos compreender de forma qualitativa o nível de criticidade do serviço ou produto fornecido, bem como o risco que ele ainda pode oferecer à companhia. Dessa forma, é possível estabelecer melhores critérios de proteção do próprio ambiente”, encerrou o C-Level.
