Kaspersky alerta que o comprometimento de terceiros se tornou um risco direto para as operações das companhias.
A Kaspersky alerta que o comprometimento de terceiros se tornou um risco direto para as operações das companhias. Diante do aumento dos ciberataques à cadeia de suprimentos, três em cada quatro empresas brasileiras (76%) estão dispostas a investir na segurança digital dos seus prestadores de serviços e parceiros para reduzir sua exposição a incidentes, segundo um novo estudo da Kaspersky. Veja os insights abaixo.
A disposição das empresas brasileiras de contribuir para os investimentos em cibersegurança dos seus parceiros está acima da média global. De acordo com a pesquisa da Kaspersky¹, em média, 69% das organizações entrevistadas consideram investir na segurança de seus contratados para fortalecer sua própria resiliência cibernética. Outros 25% já adotam essa prática.
Os dados refletem uma mudança estrutural na forma como companhias compreendem a cibersegurança: fornecedores deixaram de ser vistos como atores externos e passaram a integrar um ecossistema interconectado, no qual uma falha de terceiros pode comprometer toda a operação.
A mudança ocorre em meio ao crescimento dos ataques à cadeia de suprimentos, que, no último ano, afetaram quase uma em cada três empresas em todo o mundo. Nesse cenário, as organizações estão revendo suas estratégias de proteção interna ao reconhecer que seu risco digital também depende do nível de segurança de outros agentes com acesso à sua infraestrutura, plataformas ou sistemas.
Além do Brasil, a disposição para investir na segurança de terceiros é especialmente alta na Índia, onde chega a 83%, seguida por Indonésia e Rússia, com 80% em ambos os casos. Nesses mercados, também se observa um maior nível de confiança nos contratados, o que se reflete em uma presença acima da média de terceiros com acesso aos sistemas corporativos.
Ao mesmo tempo, uma em cada quatro empresas respondentes já passaram da intenção à ação e começaram a compartilhar custos de segurança com seus contratados. Essa prática registra os maiores níveis de adoção em Hong Kong e Taiwan, com 33%, na Espanha, também com 33%, e na Turquia e no Vietnã, com 31% cada.
"Quando terceiros têm acesso a sistemas, dados, plataformas ou processos essenciais, qualquer vulnerabilidade nesse ecossistema pode abrir caminho para incidentes com impacto direto na continuidade das operações. Por isso, apoiar a evolução da cibersegurança desses parceiros – seja por meio do compartilhamento de conhecimento, padrões, recursos ou de boas práticas – deixou de ser uma iniciativa complementar e passou a ser parte da estratégia de proteção das empresas. Em um cenário de ataques cada vez mais direcionados à cadeia de suprimentos e às relações de confiança, reduzir riscos exige olhar para além da própria infraestrutura e fortalecer todo o ambiente conectado ao negócio", pontua Cristian Souza, especialista em resposta a incidentes da Kaspersky.
Para reduzir os riscos na cadeia de suprimentos, a Kaspersky recomenda que as organizações fortaleçam sua segurança por meio de medidas organizacionais, incluindo uma avaliação rigorosa e baseada em evidências dos fornecedores de software e hardware. Ao avaliar as práticas de segurança dos fornecedores, revisar os processos de desenvolvimento de software e aplicar estruturas de avaliação bem definidas, as empresas podem garantir que apenas produtos seguros e resilientes operem em sua infraestrutura interna. Um guia mais detalhado sobre como escolher o melhor produto está disponível no link.
Para mitigar os riscos da cadeia de suprimentos e das relações de confiança, a Kaspersky também recomenda:
- Colaborar com os fornecedores em questões de segurança. É fundamental trabalhar em estreita colaboração com os fornecedores para aprimorar suas medidas de segurança; essa cooperação fortalece a confiança mútua e transforma a proteção em uma prioridade compartilhada.
- Avaliar os fornecedores de forma criteriosa antes de firmar um acordo. É crucial avaliar o nível de segurança dos potenciais fornecedores antes de iniciar a colaboração. Isso inclui solicitar uma revisão de suas políticas de cibersegurança, informações sobre incidentes anteriores e comprovação de conformidade com os padrões de segurança do setor.
- Para produtos de software e serviços em nuvem, recomenda-se reunir dados sobre vulnerabilidades e testes de invasão e, de forma complementar, realizar testes estáticos e dinâmicos de segurança de aplicações, conhecidos como SAST e DAST.
- Implementar requisitos contratuais de segurança. Os contratos com fornecedores devem incluir requisitos específicos de segurança da informação, como auditorias periódicas, conformidade com as políticas de segurança pertinentes da organização e protocolos de notificação de incidentes.
- Implementar soluções de monitoramento industrial. Ferramentas como o Kaspersky Industrial CyberSecurity ajudam a ampliar a visibilidade sobre redes OT, detectar atividades anômalas e reduzir o risco de que uma ameaça proveniente de um fornecedor comprometa a operação.
Mais recomendações, juntamente com outros achados sobre os riscos na cadeia de suprimentos, estão disponíveis neste link.
