Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

A Ineficiência do Processo de Gestão de Fornecedores

‎Por Fernando Bruno

Começo este artigo trazendo exemplos de incidentes cibernéticos ocorridos em empresas que prestam serviços para inúmeros setores, e não é coincidência que isto esteja ocorrendo, pois é muito mais fácil você atacar um provedor de serviço que está em vários clientes do que atacar vários clientes. Podemos observar nos exemplos públicos abaixo:

Ataque à SolarWinds (2020): Hackers comprometeram o software Orion da SolarWinds, utilizado por milhares de organizações globais, incluindo agências governamentais e grandes empresas. O malware inserido permitiu acesso não autorizado a dados sensíveis, afetando mais de 18.000 organizações e comprometendo informações confidenciais de clientes.
Ataque à Kaseya (2021): A Kaseya, fornecedora de soluções de TI, sofreu um ataque de ransomware que afetou mais de 1.500 empresas em todo o mundo. O incidente levou ao fechamento temporário de mais de 800 lojas de uma rede de supermercados sueca, devido à inoperabilidade dos caixas, impactando diretamente os clientes finais.

Vulnerabilidade no Log4j (2021): Uma falha crítica na biblioteca de registro Log4j expôs milhares de sistemas a ataques, permitindo que invasores executassem código malicioso remotamente. Empresas de diversos setores foram afetadas, colocando em risco dados pessoais e financeiros de clientes.

Ciberataque à Repsol (2024): A Repsol sofreu um ataque que comprometeu sua base de dados de clientes de eletricidade e gás na Espanha. Dados como nomes, endereços e informações de contato foram acessados indevidamente, expondo clientes a potenciais fraudes e comprometendo a confiança na empresa.

Ciberataque ao Alcampo (2024): A rede de supermercados Alcampo na Espanha enfrentou um ataque cibernético que afetou seus sistemas e processos habituais. Embora medidas tenham sido tomadas para mitigar o impacto, o incidente destacou a vulnerabilidade do setor varejista e os potenciais riscos para os clientes. 

A lista de incidentes é muito grande, e só trouxemos para ilustrar os pontos, mas poderíamos falar de dezenas de incidentes aqui no Brasil que geraram impacto na sua cadeia de fornecimento.

Eu acredito que várias empresas que foram impactadas ou atacadas efetivamente possuíam um ou mais processos abaixo que vou relatar, e isso não é para diminuir a importância do processo, pelo contrário, estou dizendo que sem isso seria ainda pior a situação. Sabemos que haverá ataques, e temos que nos tornar alvos mais difíceis, este é o principal ponto deste artigo, como evoluir o processo de gestão de fornecedor para ele ser mais eficaz que a capacidade de sofrermos um ataque.

Questionário: O que recomendo é que a empresa tenha vários formatos de questionários, pois cada empresa vai ter uma maturidade e um tipo de serviço a ser prestado. É importante ter um questionário bem completo para uma empresa que vai processar seus dados, ou que vai ter acesso ao seu código fonte, mas não necessariamente para uma empresa que vai apenas fornecer uma plataforma para você gerar imagens para uma campanha de marketing. Aqui cada empresa vai ter que avaliar muito bem como vai dividir estes blocos e não tem fórmula mágica, mas tem que ter conhecimento de negócio e parceria com as áreas para melhor entendimento da importância de cada fornecedor.

Pontos importantes para o processo de gestão destes questionários, são: Ter uma ferramenta que ajude quem envia o questionário e quem responde, lembrando que as questões são respondidas por inúmeras áreas, e quem responde este tipo de questionário sabe como é complexo organizar isso tudo. Tem que pensar em automatizações, tanto para lembrar em responder, como para acompanhar as correções e dúvidas, além disso a ferramenta tem que ter uma visão de risco para que as decisões sejam tomadas da melhor forma possível.

Talvez aqui tenhamos uma grande utilidade para tecnologias de inteligência artificial generativa, pois este tipo de análise e até mesmo de resposta pode ser automatizado para melhor entendimento e velocidade do processo.

Ferramenta de Score: Particularmente eu adoro essas ferramentas, elas facilitam muito a visão de risco externo e como somos atraentes aos atacantes, mas também são uma facilidade para os atacantes que possuem acesso. Acredito que ter um score baixo nestas ferramentas traz um certo desconforto para os profissionais de segurança, mas ter um score aceitável não nos garante ausência de preocupação, assim seria fácil, mas de verdade não é. Ter um score aceitável ou até um score máximo deveria ser a missão das empresas que prestam serviço, mas sabemos que cuidar deste processo é custoso, e por isso mesmo tendo um bom score, qualquer mudança em um controle ou uma nova vulnerabilidade sendo descoberta voltamos para o começo do jogo.

Conscientização para os fornecedores: Em um momento da minha carreira tive que convencer as empresas que prestavam serviços que cuidar deste processo de segurança era primordial, e uma forma de fazer isso foi criar um e-mail explicando sobre o processo, mas mesmo assim a adesão era baixa, depois criamos um vídeo super curtinho sobre a importância do processo, e criamos pílulas de segurança para estes fornecedores, fizemos até história em quadrinho para mostrar que o processo estava vivo, e mesmo assim sabemos que nem todas entendiam a importância deste processo. Ter conscientização para fornecedores não é eficaz, mas é muito legal de se fazer, e mesmo não atingindo 100% do seu público, acredito que podemos mudar a forma do fornecedor encarar o processo de responder questionário e mostrar evidência, e isso pode ser feito de várias formas. Daqui garanto que pode surgir um artigo totalmente dedicado, pois a conscientização e mudança de cultura passa por vários processos interessantes.

Monitoração ativa: De todos os controles mencionados este é o mais sofisticado, e talvez o mais difícil de se implementar, mas quando implementado traz um resultado muito relevante, pois ter uma monitoração ativa do seu fornecedor e dos controles que ele precisa aplicar demonstra uma relação de confiança e uma maturidade muito grande da parceria. 

Além de ferramentas, e sabemos que para o ambiente de nuvem este tipo de monitoração é mais difundida, o que temos que prestar atenção é no acompanhamento dos indicadores, reuniões técnicas para discutir cada item, e descobrir como priorizar inúmeros itens que precisam ser corrigidos. Ter um serviço ou uma área que faça isso acontecer pode facilitar muito a demonstração dos resultados e como valorizar este processo árduo, mas necessário. Temos que demonstrar que além de proteger nosso perímetro, de conscientizar nossos colaboradores, de ajustar nossos controles, otimizar nossas ferramentas, ainda temos que garantir tudo isso no nosso fornecedor e isso vai custar tempo e dinheiro das empresas.

Mesmo com tudo isso ainda não podemos garantir 100% que estamos protegidos, pois mesmo com vários processos implantados e controles ativos, não temos como garantir algo que não está na nossa gestão. Mesmo em nossas empresas, ficamos extremamente atentos ao nível de abrangência dos controles, ao tempo de correção de vulnerabilidades, ao tempo de implantação de patch, ao processo de conscientização. Posso provar:

Em algum exercício de phishing você teve 0 cliques e 100% das pessoas denunciando no canal correto? 

Já teve de assumir o risco de não instalar um patch no prazo estipulado na norma?

Já teve que postergar a correção de uma vulnerabilidade devido à desativação do sistema que não valia a pena corrigir?

Em algum momento 100% do parque estava com as soluções instaladas, ou 100% das URL estavam com todos os controles necessários?

Você com certeza já teve que suportar um sistema operacional obsoleto, isso eu sei pela realidade das empresas que já atuei.

O que quero dizer não é que o processo de gestão de fornecedores não funciona, mas que ele é menos eficiente do que fazemos em nossas empresas, e seria leviano e quiçá ingênuo de nossa parte acharmos que as ações que fazemos com os fornecedores garantem a segurança, que também lutamos muito em nossa empresas.

Temos que escolher o que queremos terceirizar, não podemos escolher fazer um serviço fora da nossa empresa por ele ser mais barato, e isso tem que ser observado pelas áreas que contratam, pois segurança é um requisito de qualidade. Mas seria mais fácil termos problemas em empresas que não possuem maturidade de segurança, o que ocorre é que empresas com grande maturidade e investimento alto também são vulneráveis, pois basta apenas uma configuração errada no seu ambiente para desencadear o ataque. 

A situação não é caótica, embora este artigo traga uma visão bem realista dos cenários, pois as soluções de proteção em camadas também estão para proteger, a monitoração ativa está para alertar, e os times estão se preparando muito para conter este tipo de cenário de ataque. Tudo isso não diminui nossa exposição, e podemos observar o volume de ataques que ainda estão ocorrendo no Brasil e no mundo.

Este artigo não é sobre não ter o processo de gestão de fornecedores, mas sobre como seria se não tivéssemos ele implementado, e uma reflexão para o que esperamos deste processo no futuro. Será que haverá algum regulador específico sobre o tema, ou uma empresa que ateste se aquela empresa segue os parâmetros de segurança e que este selo seja obrigatório para se prestar um serviço? O mercado vai conseguir se auto regular sobre o tema? Talvez tenhamos que ter um software de monitoração ativa, ou até mesmo uma forma de compartilhar os consoles de segurança com seus clientes para trazer uma tranquilidade? O que tenho certeza é que este processo é custoso para todos os lados, e que precisamos unir forças, além do apoio das autoridades e reguladores para que cada vez mais possamos contar com a criatividade dos profissionais responsáveis pelo processo.

Este tema deve ser mais discutido, os processos críticos devem ser bem mapeados, as empresas devem levar o tema a sério, temos que desenvolver ferramentas e processos que suportem, as áreas de negócio devem se responsabilizar pelas contratações, e não apenas pela prestação de serviços, mas pelo posicionamento social, pela sustentabilidade, pela postura de segurança, pelo nível de serviço. E tenho uma grande ressalva, não deixem isso apenas em cláusula contratuais, faça isso um processo vivo na empresa e diligente.

Fernando-Bruno1001

CONSELHEIR@

Fernando Bruno

Profissional com mais de 20 anos de experiência em tecnologia e segurança da informação,  com foco em gestão de risco cibernético e gestão de pessoas.

Atuei em instituições financeiras como Banco Safra, Porto Seguro, B3 e agora estou atuando na Natura como Heah Of Cyber Resilience.

Search
LinkedIn
Twitter
Facebook
WhatsApp
Email

, ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial
ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55 (11) 98426-4469

© 2024 Rede Líderes Digitais. Todos os direitos reservados.