Cinco etapas da Cisco para a segurança cibernética efetiva de terceiros

Já é bastante difícil manter a segurança cibernética dentro das paredes de sua própria empresa. Mas fazendo o mesmo para o exército de parceiros que compõe uma cadeia de abastecimento global? Isso pode ser quase impossível.

Dificilmente uma semana se passa sem notícias de outro ataque cibernético contra a cadeia de suprimentos de uma grande empresa. E na maioria das vezes, o canal para a incursão é um terceiro com controles fracos.

Nas cadeias de suprimentos modernas, um terceiro pode ser qualquer entidade que vende peças, produtos, serviços, suporte, software - a lista continua. “Para mim, compreende qualquer pessoa além de nós que, em qualquer ponto dos estágios da cadeia de valor, esteja realmente envolvida em nossas soluções”, disse Edna Conway, diretora de segurança da cadeia de valor global da Cisco Systems, Inc.

Cisco favorece o termo "cadeia de valor" - que qualquer número de empresas e consultores tentaram sem sucesso suplantar "cadeia de abastecimento" como o descritor geral para a jornada de ponta a ponta do produto ao mercado - porque sugere um universo maior de entidades independentes empenhadas nesse esforço. Mas, quer se adote ou não o boato corporativo, não há dúvida de que a proliferação de parceiros levanta sérios problemas de segurança cibernética. Sem sistemas e procedimentos adequados em vigor, qualquer um deles pode ser vítima dos esforços de malfeitores, incluindo empresas rivais, governos, extorsionários e até mesmo hackers de porão.

Conway oferece a seguinte abordagem de cinco etapas para configurar um plano de segurança cibernética eficaz para relacionamentos com terceiros.

1 Conheça “quem, o quê e onde” sua cadeia de suprimentos. Por mais evidente que possa parecer, muitas empresas não controlam todas as partes que contribuem de alguma forma para o negócio. Esse é especialmente o caso em cadeias de suprimento multicamadas - e é difícil pensar em um produto manufaturado hoje que não dependa de tal estrutura.

2. Procure maneiras de se comunicar de maneira eficaz com todas essas partes. Conway não está se referindo a todas as interações que cobrem questões geopolíticas ou continuidade do fornecimento, apenas aquelas que tratam especificamente de questões de segurança. Como tal, ela descreve três tipos principais de ameaças:manipulação (quando as informações são alteradas), espionagem (nacional e industrial) e interrupção (envolvendo tentativas de fechar a empresa). Ela diz que pode ser difícil convencer um desenvolvedor de licença de software ou provedor de serviços em nuvem de terceiros sobre a importância de se proteger contra todas as três ameaças. O mesmo se aplica a indivíduos no chão de fábrica, cuja atenção pode estar focada em manter a linha em funcionamento. “É preciso treinamento para fazer da segurança uma parte do pensamento diário de qualquer pessoa em qualquer função”, diz Conway.

3. Desenvolva uma arquitetura “flexível e elástica”. A abordagem da Cisco para a segurança da cadeia de suprimentos abrange 11 domínios distintos que refletem a complexidade de seus processos. Design, desenvolvimento, entrega e serviço:cada disciplina possui relações com terceiros, criando a possibilidade de inúmeros pontos fracos dentro e fora da organização. A estratégia leva em conta o fato de que várias áreas de produção exigem diretrizes que são exclusivas para suas operações. “Escrevemos os requisitos de uma forma que você pode mapeá-los, de forma que apenas aqueles que são baseados na natureza do que você nos entrega se aplicam”, diz Conway. “Todos recebem uma versão personalizada.”

4. Incorpore segurança a tudo o que você faz com terceiros. Conway incentiva as empresas a fazerem a seguinte pergunta:“Por que os estamos usando e como estão se saindo de acordo com nossas métricas de serviço?” Ironicamente, quando "Qualidade" era alardeada em banners e eventos corporativos, o conceito não estava "imbuído de forma persuasiva" dentro da organização. Agora, quando se trata de cibersegurança, a qualidade não é um slogan ou função discreta, diz Conway - ela é incutida em todos os processos da cadeia de suprimentos. A Cisco atribui pontos a terceiros de acordo com sua comprovada adesão à qualidade, e a segurança é uma parte fundamental dessa medida. “Nós o tornamos matematicamente significativo, então, se você é fantástico como fornecedor, mas péssimo em segurança, você pode não continuar a ser o fornecedor preferencial”, diz ela.

5. Todos devem medir . Conway tem se esforçado muito para medir o desempenho em toda a organização. “Estabelecemos níveis de tolerância em relação às nossas próprias especificações e processos”, diz ela. “No final do dia, estamos fazendo com que a segurança fale a linguagem dos negócios.”

A iniciativa de segurança da Cisco não foi implementada de uma vez. Conway, que anteriormente atuou como advogado externo para a empresa especializada em questões de propriedade intelectual, tornou-se seu CSO no início dos anos 2000. Em vez de impor imediatamente uma "arquitetura monolítica" desde o início, ela a levou em etapas, começando com os parceiros de sistemas de manufatura eletrônica (EMS) da Cisco, passando então para produtores de circuito impresso, engenharia e o host de parceiros de canal que compõem a empresa "cadeia de valor."

Ao pregar o evangelho da cibersegurança, Conway considera essencial se comunicar com a diretoria, cuja visão de mundo está enraizada em lucros e perdas. “Gostaria de traduzir meus níveis de tolerância em risco de dólar”, diz ela. “Todos nós precisamos falar a linguagem dos negócios.”