Barracuda full logo

Segurança da cadeia de abastecimento: Uma ameaça crescente para MSPs

Tópicos:
22 nov. 2024
|
Kevin Williams

Os ataques à cadeia de abastecimento continuam a atormentar a indústria de cibersegurança e as empresas em geral. A Gartner prevê que, até 2025, 45 por cento das organizações em todo o mundo terão experienciado ataques às suas cadeias de abastecimento de software. Isto representa um aumento três vezes superior em relação a 2021.

Os ataques à cadeia de abastecimento também são dispendiosos para as empresas. A Cybersecurity Ventures prevê que o custo anual global dos ataques à cadeia de abastecimento de software atingirá os 138 mil milhões de dólares até 2031. Embora uma organização possa reforçar as suas defesas até ao nível de segurança de Fort Knox, podem ocorrer compromissos se um fornecedor ou fornecedor tiver um ponto fraco. Os provedores de serviços geridos (MSPs) são frequentemente apanhados no meio, navegando nas necessidades de segurança dos clientes com eficiência e desempenho no local de trabalho.

No entanto, existem alguns passos que os Provedores de Serviços Geridos podem dar para, pelo menos, inclinar as probabilidades a favor de todos.

Uma ameaça em rápida evolução

A ameaça à cadeia de fornecimento é particularmente aguda porque basta um ponto fraco para causar um efeito dominó. "O panorama das ameaças está a evoluir rapidamente," diz Edward Smyshliaiev, Diretor de Tecnologia da Erbis. "Isto coloca todo o negócio em risco. Um dos problemas mais urgentes que enfrentaremos em 2025 e além é a segurança dos dados."

Os dados, uma forma de moeda para os cibercriminosos, são recolhidos em mais locais, dando aos criminosos cada vez mais alvos. "À medida que as redes da cadeia de abastecimento se expandem, também aumentam os seus pontos de vulnerabilidade. Os dados críticos para o negócio, se comprometidos, podem levar a danos financeiros, operacionais e reputacionais graves", partilha Smyshliaiev, acrescentando que esta questão continuará a ser uma preocupação premente para os Provedores de Serviços Geridos.

Smyshliaiev explica que, para resolver isto, as empresas devem dar prioridade a uma abordagem de cibersegurança em várias camadas. Deve incluir protocolos rigorosos de proteção de dados, monitorização contínua e inteligência de ameaças. "Para as empresas de cadeia de abastecimento, a parceria com especialistas em cibersegurança é uma estratégia chave aqui", diz ele, acrescentando: "Eles trazem software especializado e as informações mais recentes sobre ameaças, permitindo que as empresas identifiquem e mitiguem os riscos de forma proativa."

Além disso, esses especialistas podem implementar controlos de acesso avançados, padrões de encriptação e monitorização de segurança em tempo real adaptados às necessidades da cadeia de abastecimento. “Esta postura proativa não só protege os dados individuais, mas também fortalece toda a cadeia de abastecimento, reduzindo riscos em sistemas interconectados”, destaca Smyshliaiev.

Definição dos padrões

Joshua Copeland, Diretor de Segurança Gerida na Quandrant Security, diz que os Provedores de Serviços Geridos têm ferramentas ao seu dispor que podem usar. “Um dos recursos mais críticos, mas frequentemente subutilizados, que os CISOs e os Provedores de Serviços Geridos devem aproveitar é o uso da conformidade com normas verificadas por um auditor externo”, explica.

Copeland enfatiza que os contratos com parceiros devem especificar claramente os requisitos de certificação, como SOC 2 Tipo 2, PCI DSS, ISO 27001 ou outros padrões relevantes da indústria. Ele aconselha que esses contratos também incluam penalidades por não conformidade e a opção de rescisão se os padrões não forem cumpridos. Ele acrescenta que uma auditoria de conformidade com padrões não é uma solução milagrosa; pode contribuir significativamente para fortalecer as defesas, dizendo: “Embora a conformidade com os padrões não elimine todos os riscos da cadeia de abastecimento, estabelece uma estrutura e um modelo de risco compartilhados. Esta linguagem comum permite que as organizações comuniquem claramente os riscos e delineiem estratégias de mitigação acionáveis.”

Conselhos para MSPs

"A segurança da cadeia de abastecimento é cada vez mais crítica para os Chief Information Security Officers (CISOs) e Provedores de Serviços Geridos (MSPs). As vulnerabilidades em fornecedores e prestadores de serviços terceiros podem criar riscos significativos para as organizações", afirma Robert Khachatryan, o CEO e fundador de Freight Right Global Logistics.

Ele recomenda vários passos para mitigar os riscos da cadeia de abastecimento:

  • Implementar quadros de gestão de risco abrangentes – Integrar princípios de C-SCRM para gerir sistematicamente os riscos ao longo da cadeia de abastecimento. “C-SCRM ajuda a desenvolver diretrizes claras para abordar vulnerabilidades em cada etapa, identificando elos fracos antes que se tornem ameaças”, explica Khachatryan, acrescentando que o National Institute of Standards and Technology (NIST) fornece orientações detalhadas sobre práticas eficazes de C-SCRM.
  • Conduza avaliações completas dos fornecedores – Um processo de avaliação abrangente, destacado pela Agência da União Europeia para a Cibersegurança (ENISA), garante que os fornecedores cumpram os padrões de segurança essenciais. Este processo também ajuda a identificar e resolver potenciais lacunas na segurança. “Avaliar regularmente as medidas de cibersegurança de fornecedores e parceiros ajuda a identificar potenciais vulnerabilidades,” diz Khachatryan, acrescentando, “Melhore a visibilidade e o monitoramento: Ferramentas de monitoramento contínuo fornecem visibilidade em tempo real das atividades da cadeia de fornecimento, permitindo a deteção e resposta rápidas a ameaças.”
  • Implemente controlos de acesso rigorosos – Khachatryan observa que restringir o acesso apenas aos sistemas e dados necessários minimiza os potenciais pontos de entrada para atacantes. “A Agência de Cibersegurança e Segurança de Infraestruturas (CISA) aconselha que os MSPs e os CISOs estabeleçam expectativas precisas de segurança de rede, garantindo que cada parte na cadeia de fornecimento tenha acesso limitado”, afirma.

Passos adicionais que os Provedores de Serviços Geridos devem considerar incluem:

  • Atualizar e corrigir sistemas regularmente
  • Desenvolvimento de planos de resposta a incidentes
  • Promover a colaboração e o intercâmbio de informações

À medida que os ataques à cadeia de abastecimento continuam a aumentar em sofisticação e impacto, é claro que nenhuma organização está imune. Os Fornecedores de Serviços Geridos (MSPs) desempenham um papel crucial na defesa contra ameaças à cadeia de abastecimento, implementando proativamente estratégias de cibersegurança robustas. Eles também garantem a conformidade com os padrões da indústria e avaliam regularmente a postura de segurança dos seus parceiros da cadeia de abastecimento.

Nota: Isto foi originalmente publicado via SmarterMSP.com.

 

Kevin Williams

Kevin Williams é um jornalista baseado em Ohio. Williams escreveu para uma variedade de publicações, incluindo o Washington Post, New York Times, USA Today, Wall Street Journal, National Geographic e outros. Ele escreveu pela primeira vez sobre o mundo online nos seus estágios iniciais para a agora extinta revista “Online Access” em meados dos anos 90. Conecte-se com ele no LinkedIn.

Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.