Supply Chain: a relevância da Segurança da Informação na Cadeia de Suprimentos

Cadeia de suprimentos, ou Supply Chain, é uma rede entre uma empresa e seus fornecedores para produzir e distribuir um produto específico ao comprador final. Ela também representa as etapas necessárias para levar o produto ou serviço de seu estado original ao cliente. Portanto, essa rede inclui diferentes atividades, pessoas, entidades, trânsito de informações e recursos.

Conforme as empresas e organizações avaliam suas vulnerabilidades de segurança da informação, a fim de evitar ataques de cibercriminosos e não conformidades legais, elas sabem que devem examinar seus próprios sistemas e infraestrutura para se defender contra ameaças. No entanto, quando falamos de cadeia de suprimentos, como garantir que os seus parceiros estão fazendo o mesmo?

Com grande parte dos ataques cibernéticos agora começando na cadeia de suprimentos, as violações até mesmo nos menores fornecedores podem ter grandes consequências para as operações de nível corporativo. Um problema em proteger a cadeia de abastecimento como um todo é onde reside a responsabilidade organizacional. Isso porque, muitos departamentos diferentes de uma empresa trabalham com cadeia logística e parceiros essenciais, mas nem sempre há alguém intitulado das responsabilidades por esses processos e seus riscos.

Uma questão relevante no tema: não só as boas práticas de segurança da informação, proteção de dados e privacidade recomendam o cuidado e o gerenciamento de conformidade de segurança dos terceiros, como a própria legislação, como a LGPD no Brasil, reconhece que vários atores da cadeia de fornecimento lidam com a informação, detêm responsabilidade e devem adotar os cuidados necessários para a proteção. A norma de privacidade brasileira estabelece a necessidade de controle sobre os operadores para que adotem as medidas de segurança e privacidade que a organização contratante deve respeitar.

O que fazer?

Avalie sua estrutura organizacional e faça o gerenciamento de segurança: como a segurança cibernética da cadeia de suprimentos pode atingir muitas áreas, você pode precisar de uma força-tarefa para trabalhar no sentido de proteger sua cadeia de suprimentos, mapeando processos e ativos por onde transita a informação, realizando testes de segurança, estabelecendo controles, due diligences e atualizações de termos e contratos. Essa gestão deve ter poderes para responsabilizar os fornecedores, ao mesmo tempo em que ela própria deve monitorar o quadro geral de segurança da cadeia de abastecimento.

Identifique e capacite a liderança da cadeia de abastecimento: é importante não só garantir que os principais contratos sejam revisados ​​e monitorados, para ter certeza de que as práticas de segurança do subcontratado sejam mantidas durante o ciclo de vida do contrato e, após, pelo tempo necessário, também é importante desenvolver em toda a cadeia a consciência da relevância da segurança e uma cultura de melhoria contínua, onde os, em particular os líderes, precisam apoiar a abertura à mudança, comprometendo-se com a visibilidade e a transparência e, ao mesmo tempo, engajando todos no processo de melhoria.

Trabalhe para incentivar a confiança no compartilhamento de ameaças entre seus parceiros: independentemente da tecnologia que utilizam, os ambientes de compartilhamento de ameaças são compostos de humanos, em primeiro lugar. É necessário que todos se sintam confortáveis e entendam a importância de compartilhar as ameaças de suas áreas. A confiança não é algo que acontece por conta própria, é criada por liderança e comunicação aberta e transparente.

Quer saber mais sobre as estratégias de proteção para sua organização? Entre em contato conosco!