Cibersegurança na cadeia de suprimentos: saiba mais
Cibersegurança na cadeia de suprimentos: como assegurar o controle digital sobre serviços terceirizados?
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Cibersegurança na cadeia de suprimentos: como assegurar o controle digital sobre serviços terceirizados?

    Publicado em: 1 de dezembro de 2023

    A cibersegurança na cadeia de suprimentos ganha cada vez mais importância ao garantir controle digital entre todos os serviços terceirizados.

    No cenário atual, é bem comum encontrar empresas que terceirizam as atividades da cadeia de suprimentos, decisão que, invariavelmente, intensifica a dependência dessas organizações em serviços externos. Contudo, à medida que essas contratações acontecem, há também o aumento de ataques cibernéticos, tornando a segurança digital indispensável para promover um bom funcionamento empresarial. Nesse contexto, a cibersegurança na cadeia de suprimentos ganha cada vez mais importância.

    Segundo estudos da Gartner, até 2025, 60% das organizações do mundo todo usarão o risco de segurança cibernética como fator determinante na cadeia de suprimentos. Nesse sentido, a pesquisa mostra a preocupação das empresas sobre os perigos iminentes nas transações comerciais, incluindo fusões e aquisições, bem como contratos com fornecedores. 

    Em contrapartida a essas perspectivas, ainda encontramos algumas vulnerabilidades proferidas pelos sistemas de segurança das organizações, que devem se atentar para não cair numa possível ‘cilada cibernética’. Nesse contexto, para melhor visualização destes casos, vamos imaginar uma empresa que tenha terceirizado a infraestrutura do setor de TI (Tecnologia da Informação).  

    Cibersegurança na cadeia de suprimentos: consequências e sanções

    Caso esse prestador de serviço sofra uma invasão, por exemplo, o atacante pode ter acesso a dados valiosos de quem contratou o trabalho e, dessa forma, comprometer a segurança, tanto do acesso remoto ou de dados pessoais e sensíveis da organização que o contratou. Mesmo que a contratante tenha controles avançados de segurança, a empresa ainda pode ser prejudicada pelo ataque, devido a esse terceiro vulnerável. 

    Além disso, se os dados acessados incluírem informações pessoais de clientes, a empresa que terceirizou esse serviço pode enfrentar sanções sob a LGPD (Lei Geral de Proteção de Dados), pois a propriedade e a responsabilidade das informações são da contratante. Esses casos mostram que a decisão das organizações em terceirizar serviços tão importantes é colocada em xeque, tendo em vista que se pode perder o controle das atividades com a ação de criminosos. 

    Diante aos ocorridos, algumas medidas devem ser adotadas para que as empresas da cadeia de suprimentos não se comprometam com os seus clientes. E entre as mais importantes, está a realização de auditorias de cibersegurança e privacidade de forma periódica nesses serviços terceirizados. 

    Essa avaliação vai identificar se os terceiros implementam controles de segurança tão rígidos quanto aos da contratante. Além disso, é considerável que a empresa deva assegurar que os contratos tenham cláusulas exigindo dos prestadores de serviços a implementação de controles de segurança de informações, bem como mecanismos de demonstração de conformidade com a LGPD. Isso ajuda a contratante a se precaver de possíveis infortúnios advindos de ataques cibernéticos. 

    Também é importante ter em mente as vulnerabilidades postas aos acessos remotos, assim como a dados sensíveis e pessoais. Mesmo que as ações ocorram via VPN (em português, Rede Privada Virtual) – considerada segura por ser criptografada, ela também pode ser uma questão na parte de segurança, devido a ataques de roubo de senhas. Isso possibilita que um invasor que tenha as credenciais de terceiros acesse informações sensíveis da empresa, especialmente se as permissões estiverem mal configuradas.  

    Neste caso, para mitigar os riscos, o ZTNA (Zero Trust Network Access, ou ‘acesso de confiança zero à rede’ em tradução livre) cria limites seguros para acesso aos aplicativos. Ou seja, os usuários só terão essa permissão após a verificação da identidade, do contexto e da adesão à política de cada solicitação específica.  

    Dessa maneira, ao invés do terceiro ter acesso à toda rede interna via VPN, ele terá um login em um portal que permitirá acesso somente ao ambiente autorizado. Em meio a esse controle, é fundamental realizar avaliações independentes e detalhadas dos riscos de cibersegurança e privacidade de dados antes mesmo da homologação e do início da prestação de serviços. 

    Em suma, as empresas devem ter conhecimento sobre os riscos, as responsabilidades e os impactos que incidentes como esses podem trazer, considerando  indispensável a comunicação e a conscientização eficaz entre as equipes, junto aos diferentes envolvidos, a fim de assegurar o sucesso das ações preventivas e estruturadas. A cibersegurança da cadeia de suprimentos é indispensável nesse processo.

    *Matheus Jacyntho é diretor de Cibersegurança e André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

    Compartilhe:

    Publicações relacionadas

    Passkeys: entenda a revolução na autenticação online

    3 de janeiro de 2025

    Entenda o que são as passkeys e como elas podem substituir as senhas tradicionais. Microsoft confirma: Passkeys são o futuro da autenticação As senhas tradicionais estão cada vez mais vulneráveis a ataques cibernéticos, como phishing e vazamento de dados, enquanto a complexidade exigida muitas vezes resulta em combinações fracas ou reutilizadas. Esses problemas geram a […]

    Leia mais

    DREX: tudo o que você precisa saber sobre a nova moeda digital brasileira

    26 de dezembro de 2024

    A revolução digital no sistema financeiro brasileiro ganhou um novo capítulo com o lançamento do Drex, a moeda digital oficial do Banco Central do Brasil. Também conhecido como Real Digital, o Drex promete modernizar as transações financeiras, ampliar a inclusão bancária e oferecer novas oportunidades para indivíduos e empresas. Confira a seguir os principais aspectos […]

    Leia mais

    A revolução da IA e as Normas ISO 23894 e ISO 42001

    10 de dezembro de 2024

    Descubra como as normas ISO estão moldando a governança, segurança e ética no uso da Inteligência Artificial. A Inteligência Artificial (IA) é um campo em constante evolução, que ganhou protagonismo nas discussões ao longo dos últimos anos, mas que tem raízes profundas na história. Desde a Antiguidade, a ideia de máquinas que realizam tarefas humanas […]

    Leia mais

    Entenda as principais tendências em cibersegurança para os próximos meses 

    24 de outubro de 2024

    Para abordar as tendências atuais em cibersegurança, é essencial compreender o panorama dinâmico e em constante evolução das ameaças cibernéticas. Nesse artigo, conheça as tendências mais recentes identificadas por pesquisas especializadas, destacando os desafios emergentes e as estratégias inovadoras adotadas para proteger sistemas e dados contra ameaças cada vez mais sofisticadas.  Cibersegurança: panorama atual A […]

    Leia mais