Atualmente, um dos maiores fatores de risco enfrentados por inúmeras indústrias, empresas e organizações, dos mais variados tamanhos e setores é a postura de segurança cibernética em terceiros. O baixo nível de maturidade em Segurança da Informação em terceiros, especialmente naqueles presentes em extensas cadeias de supply-chain, criou um dos cenários que vêm, reconhecidamente, colaborando com o crescimento constante dos níveis de exposição a riscos cibernéticos.
Isso surge como resultado de um crescente número de redes e dispositivos interconectados a que estas organizações têm contato, consequência das relações comerciais em tempos de digitalização e da terceirização de processos em busca de eficiência operacional. Ambos aumentam, sensivelmente, a superfície de exposição e as chances de sofrer um ataque cibernético.
Nesse artigo falamos sobre:
Terceirização e Segurança da Informação
Organizações públicas e privadas, de todos os portes e setores, buscam diminuir seus custos para aumentar a lucratividade, mas poucas são realmente capazes de manter estruturas verticalizadas eficientes e rentáveis. De mineradoras a fabricantes de equipamentos de precisão, passando por governos e instituições públicas, inúmeras empresas e organizações estão sempre buscando formas de otimizar seus processos para concentrarem-se nas suas competências essenciais, aumentando sua eficiência operacional.
A terceirização de processos surge nesse cenário como uma opção estratégica alinhada com os objetivos de negócio e, muitas vezes, economicamente mais interessante que a internalização de processos e verticalização de atividades. Ela costuma ser aplicada, de forma corriqueira, com foco na obtenção de vantagens competitivas, mas sem antes levar em consideração os riscos que pode trazer à operação.
O problema é que, à medida em que estas organizações recorrem à terceirização de processos como forma de otimizar suas operações, esta prática aumenta, sensivelmente, a superfície de exposição e o número de possíveis vetores de ataque. Em um ambiente de negócios interconectado, cada vez mais dependente de tecnologia, isso significa conceder acesso a mais fornecedores e, como consequência, conectar mais redes e dispositivos presentes ao longo de toda uma cadeia de suprimentos digital.
Frente a este cenário, profissionais de Segurança da Informação estão enfrentando, cada vez mais, vulnerabilidades e riscos cibernéticos com origens em terceiros que fazem parte de suas cadeias de suprimento. Visto que esta rede interconectada de dispositivos fica maior e mais complexa a cada dia que passa, ela cria uma superfície de ataque cada vez maior, mais exposta e com mais pontos cegos do ponto de vista de defesa. Isso faz dela um alvo cada vez mais acessível e interessante, que pode trazer benefícios a agentes maliciosos às custas de prejuízos causados à organização afetada.
Esta tendência de crescimento da superfície de exposição a ataques cibernéticos, bem como de todos os riscos associados, faz com que a Segurança da Informação em terceiros, e ao longo da extensão de toda a cadeia de suprimentos, continue a ser o ponto fraco na segurança de dados em grande parte das organizações.
Segurança da Informação na cadeia de suprimentos
Um dos maiores desafios enfrentados por departamentos de Tecnologia da Informação (T.I.) e Segurança da Informação (S.I.) ao redor do mundo é estar sempre um passo à frente das ameaças cibernéticas que podem afetar suas organizações por meio de terceiros. Estes desafios surgem pois, à medida em que crescem as práticas de terceirização, comércio digital e trabalho remoto, crescem também o tamanho da superfície de exposição e o risco de sofrer um ataque cibernético com origem em algum ponto da cadeia de suprimentos.
Atualmente, estes ataques cibernéticos podem ocorrer em qualquer nível de uma cadeia de suprimentos pois, além do crescente número de dispositivos interconectados em ambientes operacionais, a pandemia de COVID-19 trouxe um aumento significativo no número de pessoas que aderiram ao trabalho remoto em regime de home-office. Isto aumentou exponencialmente a superfície de exposição a ataques cibernéticos pois estas pessoas passaram a acessar redes corporativas a partir de conexões domésticas, de forma pulverizada e descentralizada e, muitas vezes, sem a mesma proteção que a infraestrutura da empresa fornecia anteriormente.
Este cenário, combustível para os pesadelos de profissionais de Segurança da Informação, trouxe uma situação nunca antes enfrentada. Com um número recorde de ativos cibernéticos expostos à Internet pública, que só cresce a cada dia que passa, aumenta o número ataques cibernéticos, fato que conseguimos aferir com base nas notícias sobre o assunto publicadas nos últimos anos.
O que é um ataque à cadeia de suprimentos?
Um ataque à cadeia de suprimentos, também comumente referido como ataque de terceiros ou da cadeia de valor, ocorre quando um agente malicioso acessa a rede de uma organização ao infiltrar-se em um parceiro de negócios ou fornecedor que entra em contato com seus dados.
Geralmente, estes ataques têm como objetivo a extração ou sequestro de dados (ransomware) com objetivo de obter vantagem financeira, competitiva ou política. Tais incidentes podem causar sérias consequências financeiras e de reputação, prejudicando a operação ou a imagem de marca de uma empresa ou organização. Mas afinal, o que pode ser feito para evitar esses incidentes que podem trazer sérios prejuízos a uma operação?
Como prevenir ataques à cadeia de suprimentos
É muito comum que diversas empresas e organizações realizem a troca de informações em formato digital como parte de sua operação diária. Isto ocorre diariamente, nos mais variados níveis e setores da economia, fazendo com que este tráfego de dados exponha possíveis vetores de ataque.
Infelizmente, com cadeias de suprimentos cada vez mais complexas e globais, muitas organizações ainda não são capazes de mapear totalmente os fornecedores que entram em contato com seus dados ou a quais dados eles têm acesso. Também não conseguem real visão dos ambientes de terceiros, nem a que riscos estes podem estar expostos atualmente. Isto deixa todos vulneráveis a falhas e ataques que podem afetar estes ambientes externos, muitas vezes fora de seu controle.
Para contornar esta situação, há uma série de procedimentos e práticas operacionais que podem ser adotadas com o objetivo de contribuir com a mitigação dos riscos relacionados a tal cenário, diminuindo a exposição a riscos de terceiros e às vulnerabilidades relacionadas a eles. Se corretamente aplicadas em sua organização, podem ajudar a reduzir sensivelmente o nível de exposição e o risco de sofrer um ataque cibernético causado por vulnerabilidades originárias em sistemas de terceiros pertencentes à cadeira de suprimentos.
Listamos abaixo algumas dicas para reduzir o risco e o impacto de eventuais ataques à cadeia de suprimentos. Elas são o primeiro passo para reduzir o nível de exposição a riscos de terceiros em seu supply-chain.
Controlar o nível de acesso a informações confidenciais
Embora a transformação digital, em última análise impulsione o crescimento, ela também afeta a superfície de ataque de uma organização à medida que novos fornecedores e dispositivos de endpoint são introduzidos. Neste cenário, identificar quais terceiros têm acesso a quais dados, dispositivos e redes é essencial para garantir a segurança dos dados em organizações de todos os tamanhos.
Atualmente, muitas empresas mantém conexão direta entre bases de dados e arquivos, mas não são capazes de identificar corretamente todos os fornecedores que entram em contato com seus dados ou em que nível de profundidade. Para gerenciar essas pegadas digitais complexas, as empresas devem mapear seus terceiros para os dados que manipulam, a fim de priorizar as atividades de gerenciamento de risco de terceiros. Em muitos casos, as organizações menores representam um risco maior, pois nem sempre têm a tecnologia e os controles de segurança sofisticados que as organizações maiores possuem.
Identificar quais ativos têm maior chance de serem alvos
Entender o que motiva os agentes mal-intencionados e quais ativos – como propriedade intelectual ou informações do cliente – têm maior probabilidade de serem atacados é uma etapa importante para identificar quais áreas da cadeia de suprimentos precisam de proteção e como priorizar os investimentos para proteger esses ativos. As equipes de segurança podem monitorar a segurança dos ativos digitais com plataformas de gerenciamento de risco de terceiros que fornecem visibilidade rápida e contínua das ameaças em cadeias de suprimentos complexas.
Realizar avaliações de risco de terceiros
A realização de avaliações rigorosas é essencial para compreender o risco do fornecedor. Uma avaliação completa inclui medidas como simulações para testar os recursos de resposta a incidentes, testes de penetração e inspeções no local. No lado da tecnologia, as classificações de segurança ajudam as organizações a obter uma visão rápida e precisa da postura de segurança do fornecedor, e alguns provedores oferecem produtos de validação de questionário que mapeiam para estruturas de conformidade, como NIST, CMMC e GDPR.
Aplicar controles de acesso do fornecedor
Os hackers procuram acessar os dados pelo caminho de menor resistência, que, em muitos casos, é se infiltrar na rede de uma empresa por meio de um de seus fornecedores. Além de entender quem tem acesso aos ativos digitais, é importante que as empresas implementem fortes controles de perímetro para acesso do fornecedor, como identificação multifatorial e segmentação de rede. Os fornecedores devem ter acesso apenas às informações de que precisam para fornecer seus serviços e apenas durante o tempo necessário.
Gerenciar adequadamente o trabalho remoto
A recente mudança para o trabalho remoto resultou na adoção acelerada da nuvem, bem como na explosão de “traga seu próprio dispositivo”, pois os funcionários fazem logon para trabalhar fora das instalações. Dispositivos ou software sobre os quais os departamentos de TI não têm controle direto, ou TI sombra, requerem supervisão cuidadosa e contínua. As redes devem ser monitoradas continuamente em busca de dispositivos desconhecidos e os departamentos de TI devem emitir diretrizes para que várias unidades de negócios possam entender quais compras de tecnologia criam problemas de segurança ou compatibilidade. Embora a shadow IT introduza riscos, também é importante examinar a necessidade que ela atende aos funcionários e como isso se reflete no estado atual da TI em uma empresa.
Identificar ameaças internas
Seja por intenção maliciosa, descuido ou falta de treinamento, os funcionários representam uma ameaça interna significativa à segurança da informação. Visar funcionários ou parceiros de negócios com campanhas de engenharia social ou phishing é uma das maneiras mais fáceis de os invasores cibernéticos se infiltrarem em uma rede. Embora possa ser difícil saber quando o acesso privilegiado foi abusado por um agente malicioso, a tecnologia que monitora continuamente a atividade da rede pode alertar automaticamente as equipes de segurança quando as credenciais podem ser comprometidas.
Incluir linguagem de segurança em contratos de fornecedores
A linguagem de segurança cibernética tem um lugar importante nos contratos com fornecedores quando se trata de políticas de segurança de informações sólidas incorporadas aos relacionamentos com os fornecedores desde o início. As estipulações comuns incluem o direito de reavaliar as práticas e controles de segurança de terceiros, o direito de ser notificado de uma violação dentro de um prazo especificado, bem como as disposições que ditam como os dados serão tratados durante todo o ciclo de vida do contrato.
Colaborar com terceiros
Estabelecer relacionamentos significativos com fornecedores com base em confiança, transparência e colaboração é um grande passo para impulsionar esforços conjuntos de segurança eficazes. Ter uma parceria forte torna os fornecedores mais propensos a trabalhar cooperativamente com seus clientes quando se trata de atividades mútuas de gerenciamento de risco cibernético, como teste de penetração, patch de vulnerabilidade e resposta a questionários de segurança.
Automação no gerenciamento de risco de fornecedores
Fornecedores terceirizados e indiretos tornaram-se fundamentais para as operações de muitas empresas, pois podem ajudar a melhorar a eficiência e expandir a disponibilidade de serviços. No entanto, esses fornecedores geralmente apresentam riscos maiores de segurança cibernética para sua organização. Com o aumento dos custos associados a ataques cibernéticos, está ficando claro que as empresas precisam monitorar continuamente a postura de segurança cibernética de seus fornecedores.
O gerenciamento de risco de terceiros pode ser demorado e trabalhoso, portanto, muitas organizações estão recorrendo a tecnologias automatizadas para conduzir o gerenciamento de risco do fornecedor (VRM) e avaliações. Armadas com tecnologias como questionários automatizados de segurança cibernética e sistemas de classificação de segurança, as organizações podem criar um programa abrangente de gerenciamento de risco do fornecedor que pode ajudar a mitigar o risco e simplificar os processos.
O que é uma avaliação de risco do fornecedor e como você a executa?
A maioria das organizações entende que deve monitorar ativamente sua postura de segurança cibernética, mas a postura de segurança dos fornecedores costuma ser esquecida. Uma avaliação de risco do fornecedor é uma ferramenta que ajuda sua organização a compreender o risco apresentado por um fornecedor terceirizado ou indireto específico. Para conduzir uma avaliação de risco do fornecedor, sua organização deve revisar os fornecedores existentes, atribuir a cada um uma classificação de segurança, responder aos riscos, definir métricas de segurança e monitorar continuamente seus fornecedores.
Como a automação ajuda a reduzir riscos
À medida que as organizações começam a procurar maneiras de monitorar de forma eficiente os riscos de seus fornecedores, existem algumas coisas que as tecnologias de automação bem-sucedidas devem ser capazes de fazer. Vejamos algumas das maneiras pelas quais a tecnologia de automação VRM pode ajudar a atender aos requisitos de negócios:
Melhora a velocidade
Um grande desafio para as organizações que procuram monitorar seus fornecedores terceirizados é a velocidade. Normalmente, os processos de avaliação de risco do fornecedor são demorados e manuais, geralmente com muita comunicação de ida e volta de ambos os lados. Isso pode levar a vulnerabilidades não detectadas nas redes dos fornecedores e dificultar a contratação de fornecedores adicionais com segurança.
As ferramentas de avaliação automatizadas podem acelerar o processo, fornecendo uma visão rápida e abrangente do desempenho de um fornecedor. Com ferramentas como classificações de segurança, que podem destacar imediatamente os riscos em uma rede, as organizações ganham a capacidade de tomar decisões rápidas e baseadas em dados sobre a priorização de riscos. Isso permite tempos de resposta mais rápidos e maior produtividade e ajuda a simplificar todo o processo de gerenciamento de risco do fornecedor.
Permite escalabilidade
A transformação digital permitiu às organizações reescrever a forma como fazem negócios e, como resultado, muitas estão recorrendo a fornecedores terceirizados para ajudá-las a realizar as operações do dia a dia. Dito isso, a maioria das organizações não tem os recursos humanos para conduzir a devida diligência em todos os fornecedores existentes e potenciais. Isso levou a uma maior exposição a riscos e uma superfície de ataque digital expansiva e, em última análise, aumentou a probabilidade de uma violação de terceiros.
As organizações estão utilizando cada vez mais a automação baseada em tecnologia que pode ajudar a agilizar as avaliações de segurança cibernética em toda a cadeia de suprimentos, mesmo quando você começa a trazer novos fornecedores. O monitoramento contínuo também é fundamental para garantir que os fornecedores de sua organização estejam gerenciando adequadamente seu nível de risco, e ferramentas automatizadas podem ser aproveitadas para monitorar o desempenho da segurança ao longo do tempo.
Promove a colaboração
Como mencionado anteriormente, as avaliações de gerenciamento de risco do fornecedor podem ser extremamente demoradas e esse problema só é agravado pela rápida adoção de serviços adicionais de terceiros. Para muitas organizações, comunicar com eficácia as prioridades e as próximas etapas com os fornecedores é a parte mais desafiadora do processo de gerenciamento de risco do fornecedor.
A mitigação proativa de riscos bem-sucedida exige que os fornecedores ajam rapidamente, uma vez que estejam cientes das vulnerabilidades em sua rede. Portanto, sua organização deve tornar o mais fácil possível para os fornecedores entenderem o problema e como eles podem resolvê-lo. Considere ferramentas que podem resumir as descobertas de uma maneira fácil de ler que claramente comunica o problema em questão.
Avaliações de gerenciamento de risco de fornecedor
Ao adicionar automação à equação, as organizações podem aproveitar totalmente os insights obtidos com as avaliações de risco do fornecedor, sem ter que dedicar muito tempo ou recursos ao processo.
As avaliações automatizadas de risco do fornecedor permitem que você ganhe visibilidade em cada questionário e preenchimento de resposta, ajudando a amadurecer programas de segurança e relacionamentos com fornecedores, ao mesmo tempo em que estabelece práticas contínuas. Com a aplicação de questionários do GAT Security Score, as organizações podem enviar, preencher e validar resultados automaticamente em escala.
A capacidade de criar processos simplificados e replicáveis permite às organizações operacionalizar, colaborar e remediar facilmente ameaças de alta prioridade associadas ao fornecedor. Isso permite que os humanos se concentrem nas iniciativas mais importantes que podem ter um impacto maior nos resultados financeiros. Para se defender proativamente contra violações de dados de terceiros e manter a eficiência conforme as organizações começam a trabalhar com mais terceiros e terceiros indiretos, as avaliações automatizadas de gerenciamento de risco de fornecedores devem se tornar um componente crítico de seu programa de gerenciamento de risco de terceiros.
Como o GAT Secutity Score pode ajudar
O GAT Security Score coleta dados disponíveis publicamente na Internet (de forma não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação nas empresas. Os dados são dividos em 4 diferentes fatores de risco que, juntos, formam a base para o cálculo do seu Security Score (Rating ou Pontuação de Segurança).
Nosso algoritmo atribui, automaticamente, uma nota em formato de um Rating de Segurança Cibernética com base na análise da superfície de exposição dos ativos da empresa à Internet pública e, como consequência, a ataques cibernéticos. O sistema entrega uma avaliação do nível de segurança em forma de rating, contendo apontamentos de riscos da empresa, de seus fornecedores e terceiros.
Os resultados podem ser utilizados para a análise do nível de exposição cibernética, análise de risco em terceiros, benchmark e levantamentos para utilização em processos de Due Diligence, Cyber Underwriting e Seguro Cyber, entre outros.
Você também pode curtir isso:
Postagens Recentes
- Desvendando o CAASM: saiba como as aplicações dessa técnica podem blindar sua empresa
- Desvendando o CAASM: entenda o que é a tecnologia e seus diferenciais
- Protegendo a Tecnologia Operacional: Desafios e Estratégias de Segurança.
- Automatize sua Segurança da Informação com o GAT Core
- 6 passos para a Gestão de Conformidade com a LGPD
Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
[email protected]
Siga-Nos
Conteúdo
Links