Os especialistas da Check Point Software Technologies, observaram que os riscos cibernéticos associados à cadeia de suprimentos, especialmente os relacionados a terceiros e quartas partes, aumentaram e se destacam como desafios cruciais na gestão de cibersegurança e com alto impacto para as operações, finanças e na reputação das organizações.
Esses riscos cibernéticos de terceiros ou da cadeia de suprimentos tornaram-se cada vez mais desafiadores, na avaliação dos especialistas, uma vez que a dependência elevada e inevitável de terceiros, como provedores de nuvem e serviços SaaS, é uma realidade das operações de TI e segurança atuais.
Dados sensíveis e proprietários das organizações são transmitidos, processados e armazenados nos ambientes computacionais de terceiros. No entanto, quando esses terceiros também envolvem outras partes externas (ou seja, a quarta parte) para apoiar suas operações e lidar com os dados da sua organização, como essas partes protegem essas informações? Como identificar os riscos da cadeia de suprimentos?
Para responder a essas perguntas, os especialistas da Check Point Software ressaltam que uma das primeiras etapas é identificar os riscos de quem lida com informações críticas da organização nos bastidores. Empresas devem estabelecer exigências contratuais robustas que garantam a divulgação de todas as partes envolvidas, especialmente em setores regulamentados como o financeiro e o de saúde.
Quando essa divulgação não é garantida, ferramentas de monitoramento, como a gestão de superfície de ataque externa (EASM, na sigla em inglês), podem identificar vulnerabilidades e partes envolvidas, monitorando continuamente ativos digitais e ameaças potenciais.
As melhores práticas para gerenciar tais riscos na cadeia de suprimentos são:
Monitoramento contínuo: Utilize ferramentas de pontuação de segurança para acompanhar riscos associados a terceiros e quartas partes, garantindo remediação rápida de vulnerabilidades identificadas.
Avaliação de acordos de nível de serviço (SLAs): Revise e alinhe acordos de nível de serviço com políticas de continuidade de negócios e recuperação de desastres. Certifique-se de que os fornecedores notifiquem incidentes dentro de prazos adequados.
Gestão de concentração de riscos: Identifique dependências excessivas de terceiros em fornecedores comuns, mitigando riscos de um único ponto de falha.
Integração interdepartamental: A gestão de riscos da cadeia de suprimentos exige colaboração entre TI, compras e gestão de fornecedores. Uma plataforma centralizada que integre informações de pontuação de segurança e revisões contratuais pode otimizar essa comunicação, garantindo que responsabilidades sejam claras.
Gerenciar efetivamente os riscos da cadeia de suprimentos exige uma abordagem multifacetada, como um programa eficaz de gestão de riscos de fornecedores, uma plataforma comercial de gestão de fornecedores, uma ferramenta EASM e acordos contratuais aprimorados que incluam a divulgação de quartas partes. Fica evidente que apenas a integração cuidadosa e coerente de pessoas, processos e tecnologias pode tornar possível a gestão dos riscos nesse ecossistema, bem como a redução significativa da exposição das organizações a ameaças cibernéticas.
