Esta mudança indica que os fornecedores são agora considerados pelas empresas como parte de um único ecossistema de segurança interligado.
Perante o aumento dos ataques à cadeia de abastecimento – que afectaram quase uma em cada três empresas – e dos ataques a relações de confiança, que atingiram um quarto das organizações a nível global no último ano, as organizações estão a reconsiderar as suas abordagens à segurança interna. Reconhecem que o seu próprio risco cibernético depende da postura de segurança de qualquer prestador ou parceiro com acesso às suas infraestruturas e sistemas, estando preparadas para agir em conformidade.
Segundo o estudo “Supply chain reaction: securing the global digital ecosystem in an age of interdependence” , 69% dos inquiridos estão a considerar investir na segurança dos seus fornecedores para reforçar a sua própria resiliência cibernética. Esta predisposição é particularmente elevada na Índia (83%), Indonésia (80%), Rússia (80%) e Brasil (76%).
É de salientar que as organizações na Indonésia, Brasil e Rússia demonstram maior confiança nos fornecedores do que noutros países — evidenciada por um número acima da média de fornecedores com acesso aos sistemas das empresas.
Ao mesmo tempo, 25% das empresas já começaram a partilhar os custos de segurança com os seus fornecedores, passando da intenção à acção. A taxa de adopção é mais elevada em Hong Kong e Taiwan (33%), Espanha (33%), Turquia (31%) e Vietname (31%).
Para reduzir os riscos na cadeia de abastecimento, a Kaspersky recomenda que as empresas reforcem a sua segurança através de medidas organizacionais, incluindo a avaliação rigorosa e baseada em evidências dos fornecedores de software. Ao analisar as práticas de segurança dos fornecedores, rever os processos de desenvolvimento de software e aplicar modelos estruturados de avaliação, as empresas podem garantir que apenas produtos seguros e resilientes são utilizados nas suas infraestruturas internas.
Para mitigar os riscos associados à cadeia de abastecimento e às relações de confiança, a Kaspersky recomenda ainda:
- Colaborar com os fornecedores em questões de segurança. É essencial trabalhar de forma próxima com os fornecedores para melhorar as suas medidas de segurança — esta colaboração reforça a confiança mútua e torna a protecção uma prioridade partilhada.
- Avaliar rigorosamente os fornecedores antes de estabelecer qualquer acordo. É fundamental avaliar o nível de segurança dos potenciais fornecedores antes de iniciar a colaboração. Isto inclui solicitar a revisão das suas políticas de cibersegurança, informações sobre incidentes anteriores e conformidade com normas de segurança do sector.
- No caso de produtos de software e serviços na cloud, recomenda-se a recolha de dados sobre vulnerabilidades e testes de intrusão, sendo, em alguns casos, aconselhável realizar testes dinâmicos de segurança de aplicações (DAST).
- Implementar requisitos contratuais de segurança. Os contratos com fornecedores devem incluir requisitos específicos de segurança da informação, como auditorias regulares, conformidade com as políticas de segurança da organização e protocolos de notificação de incidentes.
- Adoptar medidas tecnológicas preventivas. O risco de danos graves decorrentes do comprometimento de um fornecedor é significativamente reduzido se a organização implementar práticas como o princípio do menor privilégio, o modelo zero trust e uma gestão de identidades.
Para o relatório “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”, foram ouvidos 1.714 líderes empresariais, desde executivos de topo (C-level) e vice-presidentes até chefias intermédias e especialistas seniores, provenientes de empresas com mais de 500 colaboradores. O estudo abrangeu 16 países, incluindo Alemanha, Espanha, Itália, Brasil, México, Colômbia, Singapura, Vietname, China, Índia, Indonésia, Arábia Saudita, Turquia, Egito, Emirados Árabes Unidos e Rússia.
