O aumento dos ciberataques nas cadeias de suprimentos
O número de ciberataques às cadeias de suprimentos cresce exponencialmente. Esses ataques tornam-se um vetor cada vez mais atrativo para impactar infraestruturas críticas e setores industriais.
Grandes organizações, embora possuam estratégias robustas de cibersegurança, frequentemente interagem com pequenas empresas fornecedoras de serviços, produtos ou tecnologia. Essa conexão, que envolve sistemas interligados, troca de dados e até espaços físicos compartilhados, amplia as brechas para criminosos explorarem vulnerabilidades por meio de terceiros, atingindo seu alvo principal.
Segurança de terceiros: o que é e por que é importante
Diante desse cenário, a segurança de terceiros ganha destaque. Ela se refere à gestão de riscos associados a fornecedores, parceiros e qualquer organização externa com acesso aos sistemas, dados ou recursos críticos de uma empresa.
Estabelecendo padrões de segurança por contrato
As empresas precisam deixar claro, em contrato, o que exige em termos de segurança de terceiros, conforme o tipo de dado compartilhado. Por exemplo, se informações pessoais de clientes ou colaboradores forem acessadas, é essencial que os fornecedores cumpram as normas locais de proteção de dados.
A formalização contratual:
- Define responsabilidades e expectativas de ambas as partes;
- Garante um nível contínuo de cibersegurança por meio de auditorias regulares;
- Deve ser revisada periodicamente para se adequar a novos riscos e mudanças regulatórias.
Contratação de serviços em nuvem: um ponto crítico
Ao optar por serviços em nuvem, é vital determinar quais informações serão migradas e quais controles de segurança são necessários para protegê-las.
Modelo SaaS (Software as a Service)
O fornecedor assume a maior parte da segurança, incluindo infraestrutura e aplicações. Contudo, é imprescindível verificar a adequação dos controles padrões oferecidos.
Modelo PaaS (Platform as a Service)
O provedor gerencia infraestrutura e plataforma, enquanto a segurança das aplicações desenvolvidas é de responsabilidade da organização.
Modelo IaaS (Infrastructure as a Service)
A responsabilidade é compartilhada. O fornecedor protege os data centers e a infraestrutura, enquanto a empresa cuida das cargas de trabalho, aplicações e dados.
O papel do CISO na segurança de terceiros
O Chief Information Security Officer (CISO) desempenha um papel central ao definir os controles necessários para proteger informações críticas acessadas por fornecedores e parceiros. Esses controles devem abranger todo o ciclo de vida dos terceiros, desde a avaliação inicial, passando pela execução dos serviços, até o encerramento da relação e o descarte dos dados. Outras áreas também são essenciais:
Compras
Garantem conformidade ao aceitar propostas de fornecedores.
Negócios
Incluem requisitos de segurança nas solicitações de serviços.
Jurídico
Assegura que cláusulas contratuais contemplem os controles exigidos.
Conclusão
Em um mundo cada vez mais interconectado e digital, a segurança de terceiros tornou-se um pilar essencial para garantir uma proteção de ponta a ponta em toda a cadeia de suprimentos. Adotar uma abordagem robusta e integrada é crucial para mitigar riscos e fortalecer a cibersegurança corporativa.