Um novo estudo revela que 53% dos gestores tecnológicos consideram que os problemas da cadeia de abastecimento se vão manter ou piorar durante os próximos seis meses. Com o duplo desafio de manter as cadeias de abastecimento robustas e seguras, um novo inquérito da ISACA (Information Systems Audit and Control) Association analisou as principais preocupações dos profissionais de TI em torno dos desafios de segurança e a forma como as suas organizações lhes estão a responder.
O “Supply Chain Security Gaps: A 2022 Global Research Report” recebeu respostas de mais de 1.300 profissionais de TI com conhecimento da cadeia de abastecimento, 25% dos quais notaram que as suas organizações sofrerem um ataque à cadeia de abastecimento nos últimos 12 meses. Os inquiridos citaram estes cinco riscos da cadeia de abastecimento como sendo as suas principais preocupações:
- Ransomware (73%)
- Más práticas de segurança da informação por parte dos fornecedores (66%)
- Vulnerabilidades de segurança do software (65%)
- Armazenamento de dados por terceiros (61%)
- Fornecedoresde serviços externos ou vendors com acesso físico e/ou virtual a sistemas de informação, ao código do software ou ao IP (55%)
Acresce que 30% dos inquiridos afirmam que os líderes das suas organizações não têm uma compreensão suficiente dos riscos da cadeia de abastecimento. Apenas 44% indicam que têm alta confiança na segurança da cadeia de abastecimento da sua organização, e a mesma percentagem tem uma grande confiança nos controlos de acesso ao longo de toda a sua cadeia de abastecimento. No entanto, a sua perspetiva do futuro não é “cor-de-rosa” – com 53% a afirmarem que esperam que os problemas da cadeia de abastecimento se mantenham ou piorem durante os próximos seis meses.
“As nossas cadeias de abastecimento sempre foram vulneráveis, mas a pandemia da COVID-19 revelou ainda mais até que ponto estão em risco devido a uma série de fatores, incluindo ameaças à segurança”, diz Rob Clyde, antigo presidente do conselho do ISACA, e presidente executivo do conselho de administração da White Cloud Security, numa declaração: “É crucial que as empresas dediquem tempo a compreender a evolução dos fatores de risco, bem como a examinar as lacunas de segurança que possam existir dentro da sua organização e que necessitem de ser priorizadas e enfrentadas”.
Quando se trata de tomar medidas, 84% indicam que a cadeia de abastecimento da sua organização necessita de uma melhor governação do que a que está atualmente em vigor. Quase 1 em cada 5 diz que o seu processo de avaliação de fornecedores não inclui avaliações de cibersegurança e privacidade. Além disso, 39% não desenvolveram planos de resposta a incidentes com fornecedores no caso de um evento de cibersegurança e 60% não coordenaram e testaram planos de resposta a incidentes baseados na cadeia de abastecimento com os seus fornecedores. Quase metade dos inquiridos (49%) afirmam que as suas organizações não efetuam avaliações de vulnerabilidade e testes de penetração nas suas cadeias de fornecimento.
“A gestão do risco de segurança da cadeia de abastecimento requer uma abordagem multifacetada que implica avaliações regulares de cibersegurança e privacidade e o desenvolvimento e coordenação de planos de resposta a incidentes, ambos em estreita colaboração com os fornecedores”, diz John Pironti, presidente da IP Architects e membro do Grupo de Trabalho de Tendências Emergentes do ISACA, numa declaração. “Construir relações fortes com os fornecedores da sua organização e estabelecer canais de comunicação contínuos é uma parte fundamental para assegurar que as revisões, a partilha de informação e as soluções aconteçam de forma suave e eficaz”.
John Pironti delineou alguns passos chave que as organizações devem tomar quando trabalham para reforçar a segurança das TI das suas cadeias de abastecimento:
- Não se pode proteger o que não se conhece. Desenvolver e manter um inventário dos fornecedores e das capacidades que estes oferecem.
- Exigir a divulgação de componentes de software de código aberto.
- Conduzir uma análise de ameaças e vulnerabilidades de terceiros que sejam críticos para o seu negócio.
- Criar uma adenda de medidas técnicas e organizacionais para os contratos da cadeia de abastecimento.
- Confiar, mas verificar. Conduzir análises baseadas em factos de terceiros que sejam críticos para o seu negócio.
“Para promover a confiança digital, tem de haver um nível de confiança na segurança, integridade e disponibilidade de todos os sistemas e fornecedores”, diz David Samuelson, CEO do ISACA. “Como vimos em incidentes anteriores, os clientes não diferenciam entre um ataque a um elemento da sua cadeia de abastecimento e um ataque aos seus próprios sistemas. Este é o momento de tomar medidas rápidas e significativas para melhorar a segurança e a governação da cadeia de abastecimento”.