Pular para o conteúdo principal

A brecha na segurança da informação da sua empresa pode estar na cadeia de fornecedores

Startupi

A brecha na segurança da informação da sua empresa pode estar na cadeia de fornecedores

Nos últimos anos, a sofisticação dos ataques cibernéticos atingiu um patamar sem precedentes, forçando as organizações a reavaliar suas estratégias de defesa. O custo médio global de uma violação de dados chegou a US$ 4,88 milhões em 2024, segundo a média por incidente estudada no relatório anual da IBM/Ponemon. Contudo, em meio a investimentos maciços em tecnologia e processos internos, um ponto crítico frequentemente subestimado emerge como o verdadeiro calcanhar de Aquiles da cibersegurança: a cadeia de fornecedores.

Não é exagero afirmar que a resiliência de uma empresa em face às ameaças digitais é tão forte quanto o seu elo mais fraco, e esse elo, invariavelmente, pode estar fora de suas quatro paredes.

A segurança da informação transcendeu a barreira dos controles internos. Hoje, as empresas operam em ecossistemas interconectados, onde fornecedores, prestadores de serviço e parceiros de tecnologia são extensões vitais de suas operações. A fragilidade de um único desses elos pode comprometer toda a rede, expondo vulnerabilidades que as soluções internas mais robustas não conseguiriam prever.

O caso SolarWinds, empresa de desenvolvimento de softwares de gerenciamento e monitoramento que sofreu um ataque hacker, é um lembrete relevante de como o comprometimento de um fornecedor pode catalisar um ataque em cadeia, atingindo milhares de empresas simultaneamente.

Nesta situação, o ataque a um dos softwares da empresa, o Orion, usado para monitoramento e gestão de redes por muitas organizações privadas e públicas, atingiu cerca de 18 mil clientes, entre eles, departamentos do governo dos EUA. O incidente levou a alertas governamentais e diretrizes de defesa mais estritas, além de criação de auditorias e reestruturação de sistemas.

Foco na cadeia de suprimentos

A negligência na gestão da segurança do supply chain pode ter consequências catastróficas. Vazamentos de dados sensíveis, interrupções de serviços críticos e multas por falhas de compliance são apenas a ponta do iceberg. A reputação de uma marca, construída em décadas, pode ser abalada em questão de horas, com impactos financeiros e de confiança que se estendem por anos. Legislações como a LGPD já responsabilizam as empresas por incidentes originados em terceiros, reforçando a urgência de uma abordagem integrada.

Historicamente, a cibersegurança foi concebida sob uma ótica “de dentro para fora”, o que justificava o foco em firewalls, antivírus e soluções de segurança em nuvem. No entanto, a superfície de ataque moderna se expandiu exponencialmente. A falta de visibilidade sobre os riscos inerentes à supply chain e a complexidade em avaliar parceiros de diferentes portes e segmentos criam um vácuo de defesa perigoso. 

Muitas organizações pecam ao confiar cegamente em declarações de seus fornecedores, sem validação técnica, ou ao tratar todos os parceiros de forma homogênea, ignorando os níveis de criticidade. Priorizar apenas o preço na negociação, em detrimento dos critérios de segurança, é outro erro comum e custoso.

Como se blindar?

Para blindar o supply chain, é imprescindível que a governança de fornecedores seja intrinsecamente ligada à política de segurança da informação. Isso envolve a criação de políticas claras de onboarding e avaliação, a realização de assessments de segurança periódicos e a definição de níveis de criticidade para aplicar controles proporcionais. Cláusulas contratuais robustas, que contemplem obrigações de segurança, auditoria e notificação de incidentes, são indispensáveis.

Boas práticas incluem mapear e classificar os fornecedores por risco, exigindo evidências de segurança como relatórios de vulnerabilidade e certificações. Para os elos mais críticos, a implementação de um programa de Bug Bounty ou VDP (Vulnerability Disclosure Program) é essencial para testar continuamente a segurança. Simular ataques controlados pode revelar pontos fracos antes que cibercriminosos os explorem. É fundamental, também, capacitar áreas como compras e jurídico para que a cibersegurança seja um fator decisivo no processo de contratação.

Preocupação global

É crucial entender que o desafio da segurança no supply chain não se restringe às grandes corporações. Pequenas e médias empresas, frequentemente com orçamentos e controles mais limitados, são alvos atraentes, muitas vezes servindo como porta de entrada para ataques direcionados a seus clientes maiores. Isso gera um “efeito dominó” que pode comprometer ecossistemas inteiros.

Nesse cenário, o time de compras assume um papel estratégico, indo além da mera negociação de custos. Ele deve atuar em conjunto com as equipes de TI e segurança para incluir requisitos de segurança nos processos de contratação, negociar cláusulas protetivas e assegurar que fornecedores críticos passem por auditorias e assessments periódicos.

O futuro aponta para um modelo de segurança mais colaborativo e transparente, onde frameworks de Third-Party Risk Management (TPRM) robustos, plataformas automatizadas de monitoramento em tempo real e programas de Bug Bounty se tornarão padrão. Empresas deverão operar em ecossistemas de segurança compartilhada, onde clientes, fornecedores e parceiros colaboram ativamente para reduzir vulnerabilidades. A verdadeira segurança da informação só será alcançada quando toda a cadeia de suprimentos estiver alinhada e comprometida com as boas práticas. Ignorar essa premissa é convidar o desastre.

Aproveite e junte-se ao nosso canal no WhatsApp para receber conteúdos exclusivos em primeira mão. Clique aqui para participar. Startupi | Jornalismo para quem lidera inovação!

O post A brecha na segurança da informação da sua empresa pode estar na cadeia de fornecedores aparece primeiro em Startupi e foi escrito por Caio Telles



Continue Lendo: Startupi / https://startupi.com.br/brecha-seguranca-empresa-cadeia-de-fornecedores/
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

A tokenização das finanças representa avanço na digitalização de ativos financeiros

Startupi A tokenização das finanças representa avanço na digitalização de ativos financeiros *Por João Fraga Primeiro, precisamos esclarecer que o Drex não veio para substituir o Pix. Pelo contrário, o Drex é uma moeda digital que faz parte da família deste. Conforme a leitura dos marketeiros do Banco Central, o “x” sinaliza um futuro que está associado à tecnologia, cujo acrônimo significa Digital Real Eletronic X. Este não é um meio de pagamento. E, sim, uma plataforma por meio da qual se realizam operações em grande escala como a aquisição de automóveis e a compra e venda de imóveis.  Ele é o real em sua forma digitalizada. Por este meio, mantém-se toda a confiabilidade e estabilidade da moeda. Entretanto, nesta versão digital, não existe uma cédula impressa. Esta é a própria moeda disponível em uma plataforma eletrônica, que vai ser controlada pelo Banco Central. As informações referentes ao dinheiro não ficam em um único computador, mas em uma rede que disponibi...
Postar um comentário
Leia mais

SAP adquire SmartRecruiters

Startupi SAP adquire SmartRecruiters A SAP anunciou a aquisição da SmartRecruiters , fornecedora global de software para aquisição de talentos, como parte de sua estratégia para fortalecer o portfólio de soluções SuccessFactors, voltadas à gestão de capital humano (HCM). A transação, prevista para ser concluída no quarto trimestre de 2025, ainda depende das aprovações regulatórias. Os termos financeiros do acordo não foram divulgados. Com mais de 4 mil clientes globais, a adquirida se destaca por sua atuação em recrutamento de alto volume, automação de processos seletivos e uso de inteligência artificial para engajamento de candidatos. A plataforma SaaS da empresa continuará disponível de forma independente por um período após a aquisição. Segundo Muhammad Alam, membro do Conselho Executivo da SAP SE , a aquisição permitirá à empresa integrar todo o ciclo de vida do candidato. “Contratar as pessoas certas não é apenas uma prioridade de RH – é uma prioridade de negócios. Com esta...
Postar um comentário
Leia mais

IA e utilities: uma parceria estratégica para o Brasil

Startupi IA e utilities: uma parceria estratégica para o Brasil *Por Julianna Rojas As indústrias de Utilities, responsáveis por fornecer serviços públicos essenciais como energia, gás, água, saneamento básico, telecomunicações, transporte público, sistemas de envios e entregas e coleta de lixo, estão no epicentro de uma revolução tecnológica que promete transformar a forma como esses serviços são prestados no Brasil. A integração das redes de Tecnologia da Operação (TO) com Tecnologia da Informação (TI) é um tema central nesse contexto, impulsionado pela necessidade de maior controle, otimização de custos e eficiência operacional. A interconexão entre TO e TI permite uma gestão mais inteligente dos ativos, otimizando processos operacionais e promovendo a automação. Entretanto, para implementar essa integração de forma bem-sucedida, é necessário conhecimento especializado e uma infraestrutura tecnológica robusta. Entre os principais desafios ...
Postar um comentário
Leia mais