Profissionais de tecnologia têm pouca confiança na segurança da cadeia de suprimentos

Um novo relatório da ISACA descobriu que 53% dos entrevistados acreditam que os problemas da cadeia de suprimentos permanecerão os mesmos ou piorarão nos próximos seis meses.

As ameaças à segurança aumentaram os desafios da cadeia de suprimentos que as empresas enfrentaram nos últimos dois anos, e um novo relatório de pesquisa da ISACA descobriu que apenas 44% dos profissionais de TI pesquisados ​​têm alta confiança na segurança da cadeia de suprimentos de suas organizações.

Além disso, 30% disseram que os líderes de sua organização não têm uma compreensão suficiente dos riscos da cadeia de suprimentos e o futuro não parece muito melhor – 53% disseram que os problemas da cadeia de suprimentos permanecerão os mesmos ou piorarão nos próximos seis meses, de acordo com o relatório da associação profissional, que tem como foco a governança de TI.

O relatório inclui respostas de mais de 1.300 profissionais de TI com conhecimento da cadeia de suprimentos, 25% dos quais observaram que sua organização sofreu um ataque na cadeia de suprimentos nos últimos 12 meses, disse a ISACA.

Os entrevistados da pesquisa citaram cinco riscos da cadeia de suprimentos como suas principais preocupações:

1. Ransomware (73%)
2. Más práticas de segurança da informação por parte dos fornecedores (66%)
3. Vulnerabilidades de segurança de software (65%)
4. Armazenamento de dados de terceiros (61%)
5. Provedores ou fornecedores de serviços terceirizados com o físico ou virtual a sistemas de informação, código de software ou IP (55%)

“Nossas cadeias de suprimentos sempre foram vulneráveis, mas a pandemia do COVID-19 revelou ainda mais a extensão em que elas estão em risco por vários fatores, incluindo ameaças à segurança”, disse Rob Clyde, ex-presidente do conselho da ISACA, membro da liderança do conselho da NACD, e presidente executivo do conselho de istração da White Cloud Security, em comunicado. “É crucial que as empresas reservem um tempo para entender esse cenário de risco em evolução, bem como examinar as lacunas de segurança que podem existir em sua organização que precisam ser priorizadas e abordadas.”

VEJO: Política de segurança de dispositivos móveis (TechRepublic )

Melhor governança necessária

Quando se trata de agir, 84% indicaram que a cadeia de suprimentos de sua organização precisa de uma governança melhor do que a que está atualmente em vigor. Quase um em cada cinco disse que seu processo de avaliação de fornecedores não inclui avaliações de segurança cibernética e privacidade.

Além disso, 39% dos entrevistados disseram que não desenvolveram planos de resposta a incidentes com fornecedores em caso de um evento de segurança cibernética e 60% não coordenaram e praticaram planos de resposta a incidentes baseados na cadeia de suprimentos com seus fornecedores. Quase metade dos entrevistados (49%) disse que suas organizações não realizam varredura de vulnerabilidades e testes de penetração na cadeia de suprimentos.

“Gerenciar o risco de segurança da cadeia de suprimentos requer uma abordagem multifacetada que envolve avaliações regulares de segurança cibernética e privacidade e o desenvolvimento e coordenação de planos de resposta a incidentes, ambos em estreita colaboração com os fornecedores”, disse John Pironti, presidente da IP Architects e membro da ISACA. Grupo de Trabalho de Tendências Emergentes, em um comunicado. “Construir relacionamentos fortes com os fornecedores da sua organização e estabelecer canais de comunicação contínuos é uma parte fundamental para garantir que as revisões, o compartilhamento de informações e as correções ocorram de forma suave e eficaz.”

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Como fortalecer a segurança da cadeia de suprimentos de TI

Pironti delineou alguns os importantes que as organizações devem tomar ao trabalhar para fortalecer a segurança de sua cadeia de suprimentos de TI:

1. Você não pode proteger o que não conhece. Desenvolver e manter um inventário de fornecedores e os recursos que eles fornecem.
2. Exigir a divulgação de componentes de software de código aberto.
3. Realize uma análise de ameaças e vulnerabilidades de terceiros importantes para o seu negócio.
4. Criar um adendo de contrato de medidas técnicas e organizacionais para contratos de cadeia de suprimentos.
5. Confie mas verifique. Conduzir revisões baseadas em evidências de terceiros importantes.

“Para promover a confiança digital, é preciso haver um nível de confiança na segurança, integridade e disponibilidade de todos os sistemas e fornecedores”, disse David Samuelson, CEO da ISACA, em comunicado. “Como vimos em incidentes anteriores, os clientes não diferenciam entre um ataque a um elemento de sua cadeia de suprimentos e um ataque a seus próprios sistemas. Agora é a hora de tomar ações rápidas e significativas para melhorar a segurança e a governança da cadeia de suprimentos.”