5 chaves para proteger o supply chain de ataques cibernéticos

06/11/2019

Os ataques cibernéticos nas cadeias de suprimentos continuam a aumentar com a busca incessante de criminosos por vítimas em potencial. Como o Instituto SANS aponta em relatório recente sobre padrões bem-sucedidos de segurança na cadeia de suprimentos, vários incidentes de alto nível demonstram a importância de criar ou atualizar a segurança do supply chain.

“A segurança da cadeia de suprimentos se tornou mais importante para os CISOs cerca de quatro anos atrás, quando os cibercriminosos começaram a perseguir o supply chain como uma maneira de alcançar um objetivo principal”, explica o diretor de tendências da SANS, John Pescatore, autor do relatório. Ele diz que a segurança do supply chain ganhou mais notoriedade recentemente porque os ataques russos e chineses às cadeias de suprimentos despertaram o interesse da mídia no assunto.

“Os atores de ameaças preferem cada vez mais explorar as defesas de fornecedores e subcontratados porque muitas vezes essas entidades estão deixando suas portas entreabertas para hackers”, acrescenta Armond Çaglar, diretor do Liberty Advisory Group, consultoria sediada em Chicago.

O relatório da SANS identificou cinco componentes principais para um programa eficaz de segurança da cadeia de suprimentos:

1. Encontre um campeão de segurança de cadeia de suprimentos

A segurança deve ter um campeão na cadeia de gerenciamento responsável pelas decisões da cadeia de suprimentos. Essa pessoa pode ser um membro do conselho, CEO, COO, CIO ou diretor de compras. Cultivar um campeão exige que um CISO ou gerente de segurança desenvolva confiança e credibilidade com o gerenciamento e depois colabore com eles, em vez de tentar emitir ordens de segurança.

Çaglar observa que o campeão precisa ser visto como credível pelos tomadores de decisão acima dele e deve ter um assento à mesa com outras partes executivas interessadas. “Sem esse poder político interno, e diante das restrições tradicionais de recursos e orçamento que afetam a maioria das unidades de negócios, um programa adequado da cadeia de suprimentos pode ser relegado como apenas mais um centro de custos, onde os esforços de mitigação de riscos ficarão de fora”, acrescenta o especialista.

Não é apenas importante ter um campeão, mas ter o campeão certo, acrescenta David Dufour, vice-presidente de engenharia da Webroot, fabricante de software para proteger computadores. “O defensor adequado da segurança da cadeia de suprimentos deve ter um profundo conhecimento de segurança, mas cujo foco não é a segurança”, explica. “Eles devem levar pensar nas considerações de negócios e desenvolver um processo holístico.”

Pescatore, da SANS, reconhece que, para empresas maiores, com uma postura madura de segurança, um campeão pode não ser necessário. “As grandes empresas não precisam de um campeão tanto quanto a TI e a segurança precisam demonstrar que podem fazer a segurança da cadeia de suprimentos na velocidade dos negócios”, observa. “Caso contrário, o lado dos negócios dirá: ‘Vamos correr o risco, em vez de perder participação de mercado’.”

2. Descubra quem são todos os seus fornecedores

O relatório explica que a base de qualquer programa de segurança bem-sucedido começa com o gerenciamento de ativos, avaliação de vulnerabilidades e controle de configuração. Você não pode proteger o que não sabe que existe, e se sabe que existe, deve ser capaz de detectar quando o status de risco é alterado.

O equivalente em segurança da cadeia de suprimentos é o gerenciamento de portfólio. Isso significa a descoberta de todos os parceiros da cadeia de suprimentos – dos parceiros de Nível 1 a redes estendidas de fornecedores – e avaliação regular de vulnerabilidades e detecção de alterações. Isso, porém, pode ser uma tarefa difícil.

“Em algumas organizações, a aquisição de um novo fornecedor pode ser tão simples quanto uma pessoa usar um cartão de crédito ou a assinatura de um serviço que fornece um benefício específico. Essas são decisões tomadas todos os dias e não incluem uma auditoria de segurança. ou conselhos da equipe de segurança”, declara Chris Morales, chefe de análise de segurança da Vectra Networks, fornecedora de soluções automatizadas de gerenciamento de ameaças.

Para Rick Holland, vice-presidente de estratégia da Digital Shadows, fornecedora de solução de proteção contra riscos digitais, avaliar as cadeias de suprimentos é um dos empreendimentos mais desafiadores que as organizações podem assumir. “Uma empresa global pode facilmente ter mais de mil empresas em sua cadeia de suprimentos”, explica. “Na era da transformação digital, grande parte da cadeia de suprimentos consiste em fornecedores de SaaS que são mais fáceis de substituir do que o fornecedor tradicional local. O resultado é uma cadeia de suprimentos transitória que evolui continuamente.”

“Para adicionar ainda mais complexidade”, continua Holland, “quanto mais atividades de fusões e aquisições uma empresa realiza, mais complicada fica sua cadeia de suprimentos. Todos esses fatores tornam a gestão de riscos uma tarefa assustadora”.

3. Escale várias abordagens de avaliação de risco da cadeia de suprimentos

O relatório alerta que uma abordagem de avaliação de risco de tamanho único não funcionará para a maioria das empresas. Para lidar com os desafios, uma combinação de técnicas – de “primeiros olhares” rápidos a avaliações detalhadas e aprofundadas – pode ser necessária para apoiar as demandas de capacidade de resposta dos negócios e permitir um monitoramento mais contínuo dos níveis de risco.

Segundo o relatório, um motivo comum pelo qual a equipe de segurança é ignorada, tanto no gerenciamento geral quanto no da cadeia de suprimentos, é que “a segurança se move muito devagar”. Muitas vezes as demandas dos negócios exigem que os gerentes aceitem algum nível de risco. Portanto, os programas de segurança da cadeia de suprimentos precisam fornecer níveis diferenciados de avaliação para apoiar as necessidades dos negócios.

“A equipe de segurança precisa entender os negócios e os elementos que os expandem”, diz Deepak Patel, da PerimeterX, provedora de serviços de segurança na web. “Eles precisam priorizar ameaças com base em informações de negócios.”

“Muitas equipes de segurança se movem muito devagar”, acrescenta Dufour, da Webroot. “Eles constroem a Starship Enterprise para chegar ao próximo sistema solar, quando eles realmente precisam apenas de uma bicicleta para ir à loja comprar biscoitos.”

Eric Haller, vice-presidente de operações de segurança da Palo Alto Networks, empresa multinacional de segurança cibernética, afirma que “andar muito devagar” pode ser um sinal revelador de um mau planejamento. “Este é um sintoma das equipes de segurança se envolverem muito tarde no processo e não integrarem seus requisitos”, afirma o executivo. “Parceria com os negócios, envolvimento precoce e alinhamento dos resultados é a melhor maneira de evitar a desaceleração dos negócios.”

A automação pode ser outra maneira de evitar a lentidão. Na Gett, serviço global de carona com sede no Reino Unido, a segurança da cadeia de suprimentos foi abordada com a implantação de uma solução automatizada da Panorays, que também patrocinou o relatório da SANS.

“A empresa precisava reconhecer que havia um novo sistema e era obrigatório passar por um processo de verificação de segurança para trabalhar com um fornecedor”, explica o CISO Eyal Sasson. “No entanto, após um mês de uso da solução que implementamos, os funcionários não sentiram que havia um silo em seu processo, considerando a velocidade que uma solução automatizada fornece. A plataforma se tornou uma etapa integral e sem atritos em todo o processo de integração do fornecedor.”

4. Estenda dashboards e relatórios a unidades de negócios e gerentes de TI

O relatório recomenda que os processos e ferramentas de segurança da cadeia de suprimentos sejam usados ​​para fornecer visibilidade sobre os riscos para as pessoas que não são da área de segurança, permitindo a incorporação dessas informações em suas tomadas de decisão. Os sistemas de segurança devem ser integrados a quaisquer processos existentes para classificar o risco financeiro ou de viabilidade de fornecedores e parceiros. Se não existirem sistemas, o estilo visual ou os dados dos relatórios de segurança da cadeia de suprimentos devem ser o mais semelhante possível ao que os gerentes de compras, logística e operações comerciais estão familiarizados.

“Ouvimos isso com frequência, mas certamente é verdade: a segurança não é um problema de TI. É um desafio geral dos negócios que exige a aceitação e o envolvimento das partes interessadas em toda a empresa”, considera Çaglar do LAG. “As unidades de negócios tendem a ser responsáveis ​​pelo gerenciamento dos fornecedores que prestam serviços terceirizados em seu nome”, continua. “A acessibilidade do dashboard a unidades de negócios pode gerar dados valiosos sobre fornecedores.”

“Isso pode permitir às unidades de negócios insistir na adoção de certos controles técnicos ou administrativos como condição para a continuidade dos negócios com o fornecedor, ou mesmo como alavancagem na potencial renegociação dos termos do contrato”, acrescenta.

5. Feche o ciclo com os fornecedores

Os fabricantes descobriram há muito tempo que eliminar somente os fornecedores de baixa qualidade não era a receita para um programa de controle de qualidade bem-sucedido, explica o relatório. Eles perceberam que tinham que “fechar o ciclo” – fornecer feedback para incentivar todos os fornecedores a adotar processos de maior qualidade.

O mesmo vale para os programas de segurança da cadeia de suprimentos. Um programa eficaz deve incluir feedback aos fornecedores e visibilidade dos resultados das avaliações e classificações para corrigir problemas e promover melhorias.

O relatório lembra aos líderes empresariais que, quando os ataques contra parceiros da cadeia de suprimentos são bem-sucedidos, os clientes culpam os negócios, não a cadeia de suprimentos. A maioria dos ataques diretos contra a supply chain pode ser frustrada com questões básicas de segurança.

A boa notícia, é que a segurança da cadeia de suprimentos está no topo da lista de prioridades para muitos conselhos de administração e muitos clientes. Demonstrando uma abordagem estratégica para melhorar ou criar seu programa de segurança de supply chain, os gerentes de segurança podem obter suporte para as alterações necessárias para obter melhorias significativas.

Fonte: CIO

Voltar