por Matheus Jacyntho e André Cilurzo*
No cenário atual, é bem comum encontrar empresas que terceirizam as atividades da cadeia de suprimentos, decisão que, invariavelmente, intensifica a dependência dessas organizações em serviços externos. Contudo, à medida que essas contratações acontecem, há também o aumento de ataques cibernéticos, tornando a segurança digital indispensável para promover um bom funcionamento empresarial.
Segundo estudos da Gartner, até 2025, 60% das organizações do mundo todo usarão o risco de segurança cibernética como fator determinante na cadeia de suprimentos. Nesse sentido, a pesquisa mostra a preocupação das empresas sobre os perigos iminentes nas transações comerciais, incluindo fusões e aquisições, bem como contratos com fornecedores.
Em contrapartida a essas perspectivas, ainda encontramos algumas vulnerabilidades proferidas pelos sistemas de segurança das organizações, que devem se atentar para não cair numa possível ‘cilada cibernética’. Nesse contexto, para melhor visualização destes casos, vamos imaginar uma empresa que tenha terceirizado a infraestrutura do setor de TI (Tecnologia da Informação).
Caso esse prestador de serviço sofra uma invasão, por exemplo, o atacante pode ter acesso a dados valiosos de quem contratou o trabalho e, dessa forma, comprometer a segurança, tanto do acesso remoto ou de dados pessoais e sensíveis da organização que o contratou. Mesmo que a contratante tenha controles avançados de segurança, a empresa ainda pode ser prejudicada pelo ataque, devido a esse terceiro vulnerável.
Além disso, se os dados acessados incluírem informações pessoais de clientes, a empresa que terceirizou esse serviço pode enfrentar sanções sob a LGPD (Lei Geral de Proteção de Dados), pois a propriedade e a responsabilidade das informações são da contratante. Esses casos mostram que a decisão das organizações em terceirizar serviços tão importantes é colocada em xeque, tendo em vista que se pode perder o controle das atividades com a ação de criminosos.
Diante aos ocorridos, algumas medidas devem ser adotadas para que as empresas da cadeia de suprimentos não se comprometam com os seus clientes. E entre as mais importantes, está a realização de auditorias de cibersegurança e privacidade de forma periódica nesses serviços terceirizados.
Essa avaliação vai identificar se os terceiros implementam controles de segurança tão rígidos quanto aos da contratante. Além disso, é considerável que a empresa deva assegurar que os contratos tenham cláusulas exigindo dos prestadores de serviços a implementação de controles de segurança de informações, bem como mecanismos de demonstração de conformidade com a LGPD. Isso ajuda a contratante a se precaver de possíveis infortúnios advindos de ataques cibernéticos.
Também é importante ter em mente as vulnerabilidades postas aos acessos remotos, assim como a dados sensíveis e pessoais. Mesmo que as ações ocorram via VPN (em português, Rede Privada Virtual) – considerada segura por ser criptografada, ela também pode ser uma questão na parte de segurança, devido a ataques de roubo de senhas. Isso possibilita que um invasor que tenha as credenciais de terceiros acesse informações sensíveis da empresa, especialmente se as permissões estiverem mal configuradas.
Neste caso, para mitigar os riscos, o ZTNA (Zero Trust Network Access, ou ‘acesso de confiança zero à rede’ em tradução livre) cria limites seguros para acesso aos aplicativos. Ou seja, os usuários só terão essa permissão após a verificação da identidade, do contexto e da adesão à política de cada solicitação específica.
Dessa maneira, ao invés do terceiro ter acesso à toda rede interna via VPN, ele terá um login em um portal que permitirá acesso somente ao ambiente autorizado. Em meio a esse controle, é fundamental realizar avaliações independentes e detalhadas dos riscos de cibersegurança e privacidade de dados antes mesmo da homologação e do início da prestação de serviços.
Em suma, as empresas devem ter conhecimento sobre os riscos, as responsabilidades e os impactos que incidentes como esses podem trazer, considerando indispensável a comunicação e a conscientização eficaz entre as equipes, junto aos diferentes envolvidos, a fim de assegurar o sucesso das ações preventivas e estruturadas.
*Matheus Jacyntho é diretor de Cibersegurança e André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.