Auren cybersecurity

Um inimigo próximo: riscos de cibersegurança na cadeia de fornecedores

05/12/2022

Independentemente da dimensão e do grau de maturidade da sua empresa, o mais provável é que ela já esteja exposta a ameaças de cibersegurança. Incluir estas ameaças na análise anual de risco da sua empresa – a par da análise financeira – é importante, pois, na maioria dos casos, os danos decorrentes do ciberataque são muito superiores ao investimento necessário para prevenir o risco. Apesar de ninguém gostar de pensar que o seu negócio foi vítima de um ciberataque, existem dezenas de riscos informáticos que não são corretamente monitorizados pelas organizações. A razão é simples, muitos executivos desconhecem a probabilidade desses riscos e as suas consequências, bem como as vulnerabilidades das suas operações, nomeadamente, na relação com os fornecedores. Neste artigo vamos mapear algumas destas vulnerabilidades, partilhando boas práticas de cibersegurança que pode implementar para proteger a sua empresa.

Riscos nos produtos open-source

Em termos financeiros, muitas vezes é melhor escolher fornecedores e produtos de open-source, em vez de desenvolver, in-house, esses produtos e serviços.  No entanto, é importante prestar atenção a alguns detalhes. Em primeiro lugar, produtos de open-source, especialmente aqueles que podem integrar-se com múltiplas aplicações e programas (isto é, que utilizam um SDK de terceiros) podem conter, entre outros, scripts maliciosos, publicidade ilegal e violações dos regulamentos da privacidade. Além disso, o código open-source é visível e acessível online, o que pode permitir a terceiros estudarem e analisarem a tecnologia, para melhor saberem como a podem utilizar contra a sua organização.

Riscos nos acessos ao sistema

A força da sua organização depende da força dos seus fornecedores. Se algum deles tem acesso direto aos seus sistemas informáticos (servidores, base de dados, etc.) e sofre um ataque cibernético, a sua empresa será diretamente afetada por esse ataque. Mesmo que a sua organização esteja totalmente protegida e possua a tecnologia mais avançada, o acesso do fornecedor será identificado como uma ação “correta” pelo seu sistema, o que vai facilitar uma qualquer ação criminosa. Assim, deve escolher cuidadosamente os seus fornecedores e os produtos e serviços que utilizam, e instalar mecanismos de monitorização que possam prevenir a exploração criminosa dos pontos fracos da sua empresa.

O mesmo cuidado deve aplicar-se aos produtos e serviços que fornece – certifique-se de que está a realizar testes de penetração para confirmar que não expõe a sua cadeia de fornecedores/clientes a quaisquer riscos, e cumpre os regulamentos de segurança mais rigorosos.

Riscos nos equipamentos

Uma “backdoor“, como o nome indica, significa uma abertura dentro do sistema. Estas “backdoors” são deixadas, intencionalmente, pelos produtores, para permitirem um acesso de utilizador de alto nível aos seus dispositivos e sistemas. Em muitos países, esta é uma prática comum na indústria, não havendo qualquer regulamentação que proteja o consumidor final. Consequentemente, é importante prestar atenção ao local onde adquire os seus produtos e serviços e acompanhar o tema nos meios de comunicação de referência. O caso da Huawei – smartphones com backdoors – é um bom exemplo desta situação. Deve procurar saber onde são fabricados os seus equipamentos, bem como conhecer a cadeia de fornecimento do seu fornecedor. Um produto fabricado na Europa pode, por exemplo, utilizar vários componentes fabricados na China, ou em qualquer país sem leis de cibersegurança e proteção de dados.

Riscos nas equipas

Todas as empresas são feitas de pessoas e os seus fornecedores não são exceção. É importante verificar se estes investem em políticas de formação sobre cibersegurança e segurança da informação, de forma a diminuir comportamentos de risco.

As soluções Auren

Apesar da rede de fornecedores oferecer uma grande variedade de riscos de cibersegurança, é possível preveni-los e mitigá-los. Fale com a nossa equipa de consultores especialistas e explore as nossas soluções para testar as vulnerabilidades da sua empresa, nas interfaces entre software, equipamento e equipas dos fornecedores ou clientes.

Envie-nos um e-mail para aurencyber@auren.pt e entraremos em contacto consigo com a maior brevidade possível para marcar uma reunião.

Osher Assor

Auren Cyber Security Manager

#aurencybersecurity

#Optimum Intelligence and Protection

  • Serviços

  • Sectores