Pular para o conteúdo principal

A brecha na segurança da informação da sua empresa pode estar na cadeia de fornecedores

Startupi

A brecha na segurança da informação da sua empresa pode estar na cadeia de fornecedores

Nos últimos anos, a sofisticação dos ataques cibernéticos atingiu um patamar sem precedentes, forçando as organizações a reavaliar suas estratégias de defesa. O custo médio global de uma violação de dados chegou a US$ 4,88 milhões em 2024, segundo a média por incidente estudada no relatório anual da IBM/Ponemon. Contudo, em meio a investimentos maciços em tecnologia e processos internos, um ponto crítico frequentemente subestimado emerge como o verdadeiro calcanhar de Aquiles da cibersegurança: a cadeia de fornecedores.

Não é exagero afirmar que a resiliência de uma empresa em face às ameaças digitais é tão forte quanto o seu elo mais fraco, e esse elo, invariavelmente, pode estar fora de suas quatro paredes.

A segurança da informação transcendeu a barreira dos controles internos. Hoje, as empresas operam em ecossistemas interconectados, onde fornecedores, prestadores de serviço e parceiros de tecnologia são extensões vitais de suas operações. A fragilidade de um único desses elos pode comprometer toda a rede, expondo vulnerabilidades que as soluções internas mais robustas não conseguiriam prever.

O caso SolarWinds, empresa de desenvolvimento de softwares de gerenciamento e monitoramento que sofreu um ataque hacker, é um lembrete relevante de como o comprometimento de um fornecedor pode catalisar um ataque em cadeia, atingindo milhares de empresas simultaneamente.

Nesta situação, o ataque a um dos softwares da empresa, o Orion, usado para monitoramento e gestão de redes por muitas organizações privadas e públicas, atingiu cerca de 18 mil clientes, entre eles, departamentos do governo dos EUA. O incidente levou a alertas governamentais e diretrizes de defesa mais estritas, além de criação de auditorias e reestruturação de sistemas.

Foco na cadeia de suprimentos

A negligência na gestão da segurança do supply chain pode ter consequências catastróficas. Vazamentos de dados sensíveis, interrupções de serviços críticos e multas por falhas de compliance são apenas a ponta do iceberg. A reputação de uma marca, construída em décadas, pode ser abalada em questão de horas, com impactos financeiros e de confiança que se estendem por anos. Legislações como a LGPD já responsabilizam as empresas por incidentes originados em terceiros, reforçando a urgência de uma abordagem integrada.

Historicamente, a cibersegurança foi concebida sob uma ótica “de dentro para fora”, o que justificava o foco em firewalls, antivírus e soluções de segurança em nuvem. No entanto, a superfície de ataque moderna se expandiu exponencialmente. A falta de visibilidade sobre os riscos inerentes à supply chain e a complexidade em avaliar parceiros de diferentes portes e segmentos criam um vácuo de defesa perigoso. 

Muitas organizações pecam ao confiar cegamente em declarações de seus fornecedores, sem validação técnica, ou ao tratar todos os parceiros de forma homogênea, ignorando os níveis de criticidade. Priorizar apenas o preço na negociação, em detrimento dos critérios de segurança, é outro erro comum e custoso.

Como se blindar?

Para blindar o supply chain, é imprescindível que a governança de fornecedores seja intrinsecamente ligada à política de segurança da informação. Isso envolve a criação de políticas claras de onboarding e avaliação, a realização de assessments de segurança periódicos e a definição de níveis de criticidade para aplicar controles proporcionais. Cláusulas contratuais robustas, que contemplem obrigações de segurança, auditoria e notificação de incidentes, são indispensáveis.

Boas práticas incluem mapear e classificar os fornecedores por risco, exigindo evidências de segurança como relatórios de vulnerabilidade e certificações. Para os elos mais críticos, a implementação de um programa de Bug Bounty ou VDP (Vulnerability Disclosure Program) é essencial para testar continuamente a segurança. Simular ataques controlados pode revelar pontos fracos antes que cibercriminosos os explorem. É fundamental, também, capacitar áreas como compras e jurídico para que a cibersegurança seja um fator decisivo no processo de contratação.

Preocupação global

É crucial entender que o desafio da segurança no supply chain não se restringe às grandes corporações. Pequenas e médias empresas, frequentemente com orçamentos e controles mais limitados, são alvos atraentes, muitas vezes servindo como porta de entrada para ataques direcionados a seus clientes maiores. Isso gera um “efeito dominó” que pode comprometer ecossistemas inteiros.

Nesse cenário, o time de compras assume um papel estratégico, indo além da mera negociação de custos. Ele deve atuar em conjunto com as equipes de TI e segurança para incluir requisitos de segurança nos processos de contratação, negociar cláusulas protetivas e assegurar que fornecedores críticos passem por auditorias e assessments periódicos.

O futuro aponta para um modelo de segurança mais colaborativo e transparente, onde frameworks de Third-Party Risk Management (TPRM) robustos, plataformas automatizadas de monitoramento em tempo real e programas de Bug Bounty se tornarão padrão. Empresas deverão operar em ecossistemas de segurança compartilhada, onde clientes, fornecedores e parceiros colaboram ativamente para reduzir vulnerabilidades. A verdadeira segurança da informação só será alcançada quando toda a cadeia de suprimentos estiver alinhada e comprometida com as boas práticas. Ignorar essa premissa é convidar o desastre.

Aproveite e junte-se ao nosso canal no WhatsApp para receber conteúdos exclusivos em primeira mão. Clique aqui para participar. Startupi | Jornalismo para quem lidera inovação!

O post A brecha na segurança da informação da sua empresa pode estar na cadeia de fornecedores aparece primeiro em Startupi e foi escrito por Caio Telles



Continue Lendo: Startupi / https://startupi.com.br/brecha-seguranca-empresa-cadeia-de-fornecedores/
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Inteligência Artificial e Democracia: quem está controlando a opinião pública?

Startupi Inteligência Artificial e Democracia: quem está controlando a opinião pública? *Por Douglas Torres A relação entre inteligência artificial e democracia nunca foi tão evidente quanto agora. Nos últimos anos, testemunhamos a ascensão de ferramentas generativas com capacidade de criar textos, imagens e vídeos indistinguíveis do real, moldando percepções políticas com uma velocidade que nenhum outro instrumento tecnológico conseguiu alcançar. O problema é que tudo isso acontece sem transparência — e, em muitos casos, sem que o próprio eleitor perceba que está sendo influenciado. Quando afirmo que não teremos eleições sem IA, não estou fazendo uma previsão futurista. Estou descrevendo o presente. Hoje, campanhas políticas utilizam modelos generativos para segmentar mensagens, testar narrativas, ampliar presença digital e responder...
Postar um comentário
Leia mais

SAP adquire SmartRecruiters

Startupi SAP adquire SmartRecruiters A SAP anunciou a aquisição da SmartRecruiters , fornecedora global de software para aquisição de talentos, como parte de sua estratégia para fortalecer o portfólio de soluções SuccessFactors, voltadas à gestão de capital humano (HCM). A transação, prevista para ser concluída no quarto trimestre de 2025, ainda depende das aprovações regulatórias. Os termos financeiros do acordo não foram divulgados. Com mais de 4 mil clientes globais, a adquirida se destaca por sua atuação em recrutamento de alto volume, automação de processos seletivos e uso de inteligência artificial para engajamento de candidatos. A plataforma SaaS da empresa continuará disponível de forma independente por um período após a aquisição. Segundo Muhammad Alam, membro do Conselho Executivo da SAP SE , a aquisição permitirá à empresa integrar todo o ciclo de vida do candidato. “Contratar as pessoas certas não é apenas uma prioridade de RH – é uma prioridade de negócios. Com esta...
Postar um comentário
Leia mais

Unico adquire OwnID

Startupi Unico adquire OwnID A Unico, maior rede de verificação de identidade da América Latina, anunciou a aquisição da OwnID, referência em autenticação descentralizada, sem senha e com uso de passkeys. Com sede em São Francisco (EUA) e escritório de pesquisa e desenvolvimento em Tel Aviv (Israel), a operação marca a entrada oficial da Unico no mercado norte-americano e reforça sua visão de se tornar a principal e mais segura rede de identidade do mundo. Segundo Diego Martins, fundador e CEO da Unico , a integração do time técnico da OwnID é estratégica para abrir o primeiro hub da companhia em Israel, país conhecido como a “nação das startups” e um dos principais polos globais de tecnologia e inovação. “Essa cultura empreendedora vibrante, fortes investimentos em P&D e soluções robustas de segurança serão importantes diferenciais para a nossa rede global de identidade”, afirma. Unico já fez 9 aquisições nos últimos anos Com a fusão, a companhia amplia seu portfólio para cl...
Postar um comentário
Leia mais