Atualmente, um dos maiores fatores de risco enfrentados por inúmeras indústrias, empresas e organizações, dos mais variados tamanhos e setores é a postura de segurança cibernética em terceiros. O baixo nÃvel de maturidade em Segurança da Informação em terceiros, especialmente naqueles presentes em extensas cadeias de supply-chain, criou um dos cenários que vêm, reconhecidamente, colaborando com o crescimento constante dos nÃveis de exposição a riscos cibernéticos.
Isso surge como resultado de um crescente número de redes e dispositivos interconectados a que estas organizações têm contato, consequência das relações comerciais em tempos de digitalização e da terceirização de processos em busca de eficiência operacional. Ambos aumentam, sensivelmente, a superfÃcie de exposição e as chances de sofrer um ataque cibernético.
Nesse artigo falamos sobre:
Terceirização e Segurança da Informação
Organizações públicas e privadas, de todos os portes e setores, buscam diminuir seus custos para aumentar a lucratividade, mas poucas são realmente capazes de manter estruturas verticalizadas eficientes e rentáveis. De mineradoras a fabricantes de equipamentos de precisão, passando por governos e instituições públicas, inúmeras empresas e organizações estão sempre buscando formas de otimizar seus processos para concentrarem-se nas suas competências essenciais, aumentando sua eficiência operacional.
A terceirização de processos surge nesse cenário como uma opção estratégica alinhada com os objetivos de negócio e, muitas vezes, economicamente mais interessante que a internalização de processos e verticalização de atividades. Ela costuma ser aplicada, de forma corriqueira, com foco na obtenção de vantagens competitivas, mas sem antes levar em consideração os riscos que pode trazer à operação.
O problema é que, à medida em que estas organizações recorrem à terceirização de processos como forma de otimizar suas operações, esta prática aumenta, sensivelmente, a superfÃcie de exposição e o número de possÃveis vetores de ataque. Em um ambiente de negócios interconectado, cada vez mais dependente de tecnologia, isso significa conceder acesso a mais fornecedores e, como consequência, conectar mais redes e dispositivos presentes ao longo de toda uma cadeia de suprimentos digital.
Frente a este cenário, profissionais de Segurança da Informação estão enfrentando, cada vez mais, vulnerabilidades e riscos cibernéticos com origens em terceiros que fazem parte de suas cadeias de suprimento. Visto que esta rede interconectada de dispositivos fica maior e mais complexa a cada dia que passa, ela cria uma superfÃcie de ataque cada vez maior, mais exposta e com mais pontos cegos do ponto de vista de defesa. Isso faz dela um alvo cada vez mais acessÃvel e interessante, que pode trazer benefÃcios a agentes maliciosos à s custas de prejuÃzos causados à organização afetada.
Esta tendência de crescimento da superfÃcie de exposição a ataques cibernéticos, bem como de todos os riscos associados, faz com que a Segurança da Informação em terceiros, e ao longo da extensão de toda a cadeia de suprimentos, continue a ser o ponto fraco na segurança de dados em grande parte das organizações.
Segurança da Informação na cadeia de suprimentos
Um dos maiores desafios enfrentados por departamentos de Tecnologia da Informação (T.I.) e Segurança da Informação (S.I.) ao redor do mundo é estar sempre um passo à frente das ameaças cibernéticas que podem afetar suas organizações por meio de terceiros. Estes desafios surgem pois, à medida em que crescem as práticas de terceirização, comércio digital e trabalho remoto, crescem também o tamanho da superfÃcie de exposição e o risco de sofrer um ataque cibernético com origem em algum ponto da cadeia de suprimentos.
Atualmente, estes ataques cibernéticos podem ocorrer em qualquer nÃvel de uma cadeia de suprimentos pois, além do crescente número de dispositivos interconectados em ambientes operacionais, a pandemia de COVID-19 trouxe um aumento significativo no número de pessoas que aderiram ao trabalho remoto em regime de home-office. Isto aumentou exponencialmente a superfÃcie de exposição a ataques cibernéticos pois estas pessoas passaram a acessar redes corporativas a partir de conexões domésticas, de forma pulverizada e descentralizada e, muitas vezes, sem a mesma proteção que a infraestrutura da empresa fornecia anteriormente.
Este cenário, combustÃvel para os pesadelos de profissionais de Segurança da Informação, trouxe uma situação nunca antes enfrentada. Com um número recorde de ativos cibernéticos expostos à Internet pública, que só cresce a cada dia que passa, aumenta o número ataques cibernéticos, fato que conseguimos aferir com base nas notÃcias sobre o assunto publicadas nos últimos anos.
O que é um ataque à cadeia de suprimentos?
Um ataque à cadeia de suprimentos, também comumente referido como ataque de terceiros ou da cadeia de valor, ocorre quando um agente malicioso acessa a rede de uma organização ao infiltrar-se em um parceiro de negócios ou fornecedor que entra em contato com seus dados.
Geralmente, estes ataques têm como objetivo a extração ou sequestro de dados (ransomware) com objetivo de obter vantagem financeira, competitiva ou polÃtica. Tais incidentes podem causar sérias consequências financeiras e de reputação, prejudicando a operação ou a imagem de marca de uma empresa ou organização. Mas afinal, o que pode ser feito para evitar esses incidentes que podem trazer sérios prejuÃzos a uma operação?
Como prevenir ataques à cadeia de suprimentos
É muito comum que diversas empresas e organizações realizem a troca de informações em formato digital como parte de sua operação diária. Isto ocorre diariamente, nos mais variados nÃveis e setores da economia, fazendo com que este tráfego de dados exponha possÃveis vetores de ataque.
Infelizmente, com cadeias de suprimentos cada vez mais complexas e globais, muitas organizações ainda não são capazes de mapear totalmente os fornecedores que entram em contato com seus dados ou a quais dados eles têm acesso. Também não conseguem real visão dos ambientes de terceiros, nem a que riscos estes podem estar expostos atualmente. Isto deixa todos vulneráveis a falhas e ataques que podem afetar estes ambientes externos, muitas vezes fora de seu controle.
Para contornar esta situação, há uma série de procedimentos e práticas operacionais que podem ser adotadas com o objetivo de contribuir com a mitigação dos riscos relacionados a tal cenário, diminuindo a exposição a riscos de terceiros e à s vulnerabilidades relacionadas a eles. Se corretamente aplicadas em sua organização, podem ajudar a reduzir sensivelmente o nÃvel de exposição e o risco de sofrer um ataque cibernético causado por vulnerabilidades originárias em sistemas de terceiros pertencentes à cadeira de suprimentos.
Listamos abaixo algumas dicas para reduzir o risco e o impacto de eventuais ataques à cadeia de suprimentos. Elas são o primeiro passo para reduzir o nÃvel de exposição a riscos de terceiros em seu supply-chain.
Controlar o nÃvel de acesso a informações confidenciais
Embora a transformação digital, em última análise impulsione o crescimento, ela também afeta a superfÃcie de ataque de uma organização à medida que novos fornecedores e dispositivos de endpoint são introduzidos. Neste cenário, identificar quais terceiros têm acesso a quais dados, dispositivos e redes é essencial para garantir a segurança dos dados em organizações de todos os tamanhos.
Atualmente, muitas empresas mantém conexão direta entre bases de dados e arquivos, mas não são capazes de identificar corretamente todos os fornecedores que entram em contato com seus dados ou em que nÃvel de profundidade. Para gerenciar essas pegadas digitais complexas, as empresas devem mapear seus terceiros para os dados que manipulam, a fim de priorizar as atividades de gerenciamento de risco de terceiros. Em muitos casos, as organizações menores representam um risco maior, pois nem sempre têm a tecnologia e os controles de segurança sofisticados que as organizações maiores possuem.
Identificar quais ativos têm maior chance de serem alvos
Entender o que motiva os agentes mal-intencionados e quais ativos – como propriedade intelectual ou informações do cliente – têm maior probabilidade de serem atacados é uma etapa importante para identificar quais áreas da cadeia de suprimentos precisam de proteção e como priorizar os investimentos para proteger esses ativos. As equipes de segurança podem monitorar a segurança dos ativos digitais com plataformas de gerenciamento de risco de terceiros que fornecem visibilidade rápida e contÃnua das ameaças em cadeias de suprimentos complexas.
Realizar avaliações de risco de terceiros
A realização de avaliações rigorosas é essencial para compreender o risco do fornecedor. Uma avaliação completa inclui medidas como simulações para testar os recursos de resposta a incidentes, testes de penetração e inspeções no local. No lado da tecnologia, as classificações de segurança ajudam as organizações a obter uma visão rápida e precisa da postura de segurança do fornecedor, e alguns provedores oferecem produtos de validação de questionário que mapeiam para estruturas de conformidade, como NIST, CMMC e GDPR.
Aplicar controles de acesso do fornecedor
Os hackers procuram acessar os dados pelo caminho de menor resistência, que, em muitos casos, é se infiltrar na rede de uma empresa por meio de um de seus fornecedores. Além de entender quem tem acesso aos ativos digitais, é importante que as empresas implementem fortes controles de perÃmetro para acesso do fornecedor, como identificação multifatorial e segmentação de rede. Os fornecedores devem ter acesso apenas à s informações de que precisam para fornecer seus serviços e apenas durante o tempo necessário.
Gerenciar adequadamente o trabalho remoto
A recente mudança para o trabalho remoto resultou na adoção acelerada da nuvem, bem como na explosão de “traga seu próprio dispositivo”, pois os funcionários fazem logon para trabalhar fora das instalações. Dispositivos ou software sobre os quais os departamentos de TI não têm controle direto, ou TI sombra, requerem supervisão cuidadosa e contÃnua. As redes devem ser monitoradas continuamente em busca de dispositivos desconhecidos e os departamentos de TI devem emitir diretrizes para que várias unidades de negócios possam entender quais compras de tecnologia criam problemas de segurança ou compatibilidade. Embora a shadow IT introduza riscos, também é importante examinar a necessidade que ela atende aos funcionários e como isso se reflete no estado atual da TI em uma empresa.
Identificar ameaças internas
Seja por intenção maliciosa, descuido ou falta de treinamento, os funcionários representam uma ameaça interna significativa à segurança da informação. Visar funcionários ou parceiros de negócios com campanhas de engenharia social ou phishing é uma das maneiras mais fáceis de os invasores cibernéticos se infiltrarem em uma rede. Embora possa ser difÃcil saber quando o acesso privilegiado foi abusado por um agente malicioso, a tecnologia que monitora continuamente a atividade da rede pode alertar automaticamente as equipes de segurança quando as credenciais podem ser comprometidas.
Incluir linguagem de segurança em contratos de fornecedores
A linguagem de segurança cibernética tem um lugar importante nos contratos com fornecedores quando se trata de polÃticas de segurança de informações sólidas incorporadas aos relacionamentos com os fornecedores desde o inÃcio. As estipulações comuns incluem o direito de reavaliar as práticas e controles de segurança de terceiros, o direito de ser notificado de uma violação dentro de um prazo especificado, bem como as disposições que ditam como os dados serão tratados durante todo o ciclo de vida do contrato.
Colaborar com terceiros
Estabelecer relacionamentos significativos com fornecedores com base em confiança, transparência e colaboração é um grande passo para impulsionar esforços conjuntos de segurança eficazes. Ter uma parceria forte torna os fornecedores mais propensos a trabalhar cooperativamente com seus clientes quando se trata de atividades mútuas de gerenciamento de risco cibernético, como teste de penetração, patch de vulnerabilidade e resposta a questionários de segurança.
Automação no gerenciamento de risco de fornecedores
Fornecedores terceirizados e indiretos tornaram-se fundamentais para as operações de muitas empresas, pois podem ajudar a melhorar a eficiência e expandir a disponibilidade de serviços. No entanto, esses fornecedores geralmente apresentam riscos maiores de segurança cibernética para sua organização. Com o aumento dos custos associados a ataques cibernéticos, está ficando claro que as empresas precisam monitorar continuamente a postura de segurança cibernética de seus fornecedores.
O gerenciamento de risco de terceiros pode ser demorado e trabalhoso, portanto, muitas organizações estão recorrendo a tecnologias automatizadas para conduzir o gerenciamento de risco do fornecedor (VRM) e avaliações. Armadas com tecnologias como questionários automatizados de segurança cibernética e sistemas de classificação de segurança, as organizações podem criar um programa abrangente de gerenciamento de risco do fornecedor que pode ajudar a mitigar o risco e simplificar os processos.
O que é uma avaliação de risco do fornecedor e como você a executa?
A maioria das organizações entende que deve monitorar ativamente sua postura de segurança cibernética, mas a postura de segurança dos fornecedores costuma ser esquecida. Uma avaliação de risco do fornecedor é uma ferramenta que ajuda sua organização a compreender o risco apresentado por um fornecedor terceirizado ou indireto especÃfico. Para conduzir uma avaliação de risco do fornecedor, sua organização deve revisar os fornecedores existentes, atribuir a cada um uma classificação de segurança, responder aos riscos, definir métricas de segurança e monitorar continuamente seus fornecedores.
Como a automação ajuda a reduzir riscos
À medida que as organizações começam a procurar maneiras de monitorar de forma eficiente os riscos de seus fornecedores, existem algumas coisas que as tecnologias de automação bem-sucedidas devem ser capazes de fazer. Vejamos algumas das maneiras pelas quais a tecnologia de automação VRM pode ajudar a atender aos requisitos de negócios:
Melhora a velocidade
Um grande desafio para as organizações que procuram monitorar seus fornecedores terceirizados é a velocidade. Normalmente, os processos de avaliação de risco do fornecedor são demorados e manuais, geralmente com muita comunicação de ida e volta de ambos os lados. Isso pode levar a vulnerabilidades não detectadas nas redes dos fornecedores e dificultar a contratação de fornecedores adicionais com segurança.
As ferramentas de avaliação automatizadas podem acelerar o processo, fornecendo uma visão rápida e abrangente do desempenho de um fornecedor. Com ferramentas como classificações de segurança, que podem destacar imediatamente os riscos em uma rede, as organizações ganham a capacidade de tomar decisões rápidas e baseadas em dados sobre a priorização de riscos. Isso permite tempos de resposta mais rápidos e maior produtividade e ajuda a simplificar todo o processo de gerenciamento de risco do fornecedor.
Permite escalabilidade
A transformação digital permitiu à s organizações reescrever a forma como fazem negócios e, como resultado, muitas estão recorrendo a fornecedores terceirizados para ajudá-las a realizar as operações do dia a dia. Dito isso, a maioria das organizações não tem os recursos humanos para conduzir a devida diligência em todos os fornecedores existentes e potenciais. Isso levou a uma maior exposição a riscos e uma superfÃcie de ataque digital expansiva e, em última análise, aumentou a probabilidade de uma violação de terceiros.
As organizações estão utilizando cada vez mais a automação baseada em tecnologia que pode ajudar a agilizar as avaliações de segurança cibernética em toda a cadeia de suprimentos, mesmo quando você começa a trazer novos fornecedores. O monitoramento contÃnuo também é fundamental para garantir que os fornecedores de sua organização estejam gerenciando adequadamente seu nÃvel de risco, e ferramentas automatizadas podem ser aproveitadas para monitorar o desempenho da segurança ao longo do tempo.
Promove a colaboração
Como mencionado anteriormente, as avaliações de gerenciamento de risco do fornecedor podem ser extremamente demoradas e esse problema só é agravado pela rápida adoção de serviços adicionais de terceiros. Para muitas organizações, comunicar com eficácia as prioridades e as próximas etapas com os fornecedores é a parte mais desafiadora do processo de gerenciamento de risco do fornecedor.
A mitigação proativa de riscos bem-sucedida exige que os fornecedores ajam rapidamente, uma vez que estejam cientes das vulnerabilidades em sua rede. Portanto, sua organização deve tornar o mais fácil possÃvel para os fornecedores entenderem o problema e como eles podem resolvê-lo. Considere ferramentas que podem resumir as descobertas de uma maneira fácil de ler que claramente comunica o problema em questão.
Avaliações de gerenciamento de risco de fornecedor
Ao adicionar automação à equação, as organizações podem aproveitar totalmente os insights obtidos com as avaliações de risco do fornecedor, sem ter que dedicar muito tempo ou recursos ao processo.
As avaliações automatizadas de risco do fornecedor permitem que você ganhe visibilidade em cada questionário e preenchimento de resposta, ajudando a amadurecer programas de segurança e relacionamentos com fornecedores, ao mesmo tempo em que estabelece práticas contÃnuas. Com a aplicação de questionários do GAT Security Score, as organizações podem enviar, preencher e validar resultados automaticamente em escala.
A capacidade de criar processos simplificados e replicáveis ​​permite à s organizações operacionalizar, colaborar e remediar facilmente ameaças de alta prioridade associadas ao fornecedor. Isso permite que os humanos se concentrem nas iniciativas mais importantes que podem ter um impacto maior nos resultados financeiros. Para se defender proativamente contra violações de dados de terceiros e manter a eficiência conforme as organizações começam a trabalhar com mais terceiros e terceiros indiretos, as avaliações automatizadas de gerenciamento de risco de fornecedores devem se tornar um componente crÃtico de seu programa de gerenciamento de risco de terceiros.
Como o GAT Secutity Score pode ajudar
O GAT Security Score coleta dados disponÃveis publicamente na Internet (de forma não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação nas empresas. Os dados são dividos em 4 diferentes fatores de risco que, juntos, formam a base para o cálculo do seu Security Score (Rating ou Pontuação de Segurança).
Nosso algoritmo atribui, automaticamente, uma nota em formato de um Rating de Segurança Cibernética com base na análise da superfÃcie de exposição dos ativos da empresa à Internet pública e, como consequência, a ataques cibernéticos. O sistema entrega uma avaliação do nÃvel de segurança em forma de rating, contendo apontamentos de riscos da empresa, de seus fornecedores e terceiros.
Os resultados podem ser utilizados para a análise do nÃvel de exposição cibernética, análise de risco em terceiros, benchmark e levantamentos para utilização em processos de Due Diligence, Cyber Underwriting e Seguro Cyber, entre outros.
Você também pode curtir isso:
Postagens Recentes
Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com
Siga-Nos
Conteúdo
Links