Nos últimos anos, a sofisticação dos ataques cibernéticos atingiu um patamar sem precedentes, forçando as organizações a reavaliar suas estratégias de defesa. O custo médio global de uma violação de dados chegou a US$ 4,88 milhões em 2024, segundo a média por incidente estudada no relatório anual da IBM/Ponemon. Contudo, em meio a investimentos maciços em tecnologia e processos internos, um ponto crítico frequentemente subestimado emerge como o verdadeiro calcanhar de Aquiles da cibersegurança: a cadeia de fornecedores.
Não é exagero afirmar que a resiliência de uma empresa em face às ameaças digitais é tão forte quanto o seu elo mais fraco, e esse elo, invariavelmente, pode estar fora de suas quatro paredes.
A segurança da informação transcendeu a barreira dos controles internos. Hoje, as empresas operam em ecossistemas interconectados, onde fornecedores, prestadores de serviço e parceiros de tecnologia são extensões vitais de suas operações. A fragilidade de um único desses elos pode comprometer toda a rede, expondo vulnerabilidades que as soluções internas mais robustas não conseguiriam prever.
O caso SolarWinds, empresa de desenvolvimento de softwares de gerenciamento e monitoramento que sofreu um ataque hacker, é um lembrete relevante de como o comprometimento de um fornecedor pode catalisar um ataque em cadeia, atingindo milhares de empresas simultaneamente.
Nesta situação, o ataque a um dos softwares da empresa, o Orion, usado para monitoramento e gestão de redes por muitas organizações privadas e públicas, atingiu cerca de 18 mil clientes, entre eles, departamentos do governo dos EUA. O incidente levou a alertas governamentais e diretrizes de defesa mais estritas, além de criação de auditorias e reestruturação de sistemas.
Foco na cadeia de suprimentos
A negligência na gestão da segurança do supply chain pode ter consequências catastróficas. Vazamentos de dados sensíveis, interrupções de serviços críticos e multas por falhas de compliance são apenas a ponta do iceberg. A reputação de uma marca, construída em décadas, pode ser abalada em questão de horas, com impactos financeiros e de confiança que se estendem por anos. Legislações como a LGPD já responsabilizam as empresas por incidentes originados em terceiros, reforçando a urgência de uma abordagem integrada.
Historicamente, a cibersegurança foi concebida sob uma ótica “de dentro para fora”, o que justificava o foco em firewalls, antivírus e soluções de segurança em nuvem. No entanto, a superfície de ataque moderna se expandiu exponencialmente. A falta de visibilidade sobre os riscos inerentes à supply chain e a complexidade em avaliar parceiros de diferentes portes e segmentos criam um vácuo de defesa perigoso.
Muitas organizações pecam ao confiar cegamente em declarações de seus fornecedores, sem validação técnica, ou ao tratar todos os parceiros de forma homogênea, ignorando os níveis de criticidade. Priorizar apenas o preço na negociação, em detrimento dos critérios de segurança, é outro erro comum e custoso.
Como se blindar?
Para blindar o supply chain, é imprescindível que a governança de fornecedores seja intrinsecamente ligada à política de segurança da informação. Isso envolve a criação de políticas claras de onboarding e avaliação, a realização de assessments de segurança periódicos e a definição de níveis de criticidade para aplicar controles proporcionais. Cláusulas contratuais robustas, que contemplem obrigações de segurança, auditoria e notificação de incidentes, são indispensáveis.
Boas práticas incluem mapear e classificar os fornecedores por risco, exigindo evidências de segurança como relatórios de vulnerabilidade e certificações. Para os elos mais críticos, a implementação de um programa de Bug Bounty ou VDP (Vulnerability Disclosure Program) é essencial para testar continuamente a segurança. Simular ataques controlados pode revelar pontos fracos antes que cibercriminosos os explorem. É fundamental, também, capacitar áreas como compras e jurídico para que a cibersegurança seja um fator decisivo no processo de contratação.
Preocupação global
É crucial entender que o desafio da segurança no supply chain não se restringe às grandes corporações. Pequenas e médias empresas, frequentemente com orçamentos e controles mais limitados, são alvos atraentes, muitas vezes servindo como porta de entrada para ataques direcionados a seus clientes maiores. Isso gera um “efeito dominó” que pode comprometer ecossistemas inteiros.
Nesse cenário, o time de compras assume um papel estratégico, indo além da mera negociação de custos. Ele deve atuar em conjunto com as equipes de TI e segurança para incluir requisitos de segurança nos processos de contratação, negociar cláusulas protetivas e assegurar que fornecedores críticos passem por auditorias e assessments periódicos.
O futuro aponta para um modelo de segurança mais colaborativo e transparente, onde frameworks de Third-Party Risk Management (TPRM) robustos, plataformas automatizadas de monitoramento em tempo real e programas de Bug Bounty se tornarão padrão. Empresas deverão operar em ecossistemas de segurança compartilhada, onde clientes, fornecedores e parceiros colaboram ativamente para reduzir vulnerabilidades. A verdadeira segurança da informação só será alcançada quando toda a cadeia de suprimentos estiver alinhada e comprometida com as boas práticas. Ignorar essa premissa é convidar o desastre.
Fonte Startupi
