Protegendo a cadeia de suprimentos global com dados sem fronteiras

Os ataques à segurança cibernética na cadeia de suprimentos não são novos, mas estão longe de estar sob controle.

Um estudo recente do Resilience 360 ​​descobriu que havia quase 300 incidentes de segurança cibernética afetando entidades da cadeia de suprimentos em 2019. Com a média de compartilhamento de dados de negócios com mais de 500 terceiros, não é de se admirar que o Ponemon Institute relata que cerca de 61% das empresas dos EUA experimentaram uma violação de dados em suas cadeias de abastecimento.

Embora as tensões geopolíticas tenham impulsionado uma ampla faixa desses ataques, 2020 deu lugar a uma tempestade perfeita de oportunidades, já que o COVID-19 forçou uma grande parte da força de trabalho global a se mudar para o trabalho remoto. Organizações de governos a empresas devem assumir a responsabilidade de proteger os dados que processam e compartilham. Com a colaboração tão crucial para sustentar a inovação e a produtividade, isso deve ser feito sem sufocar o fluxo de ideias e informações, ou tornar os sistemas e processos inviáveis.

Quando o COVID-19 atingiu os EUA com força no primeiro trimestre deste ano, as organizações responderam transferindo funcionários para trabalho remoto quase da noite para o dia. Em junho de 2020, incríveis 42% dos trabalhadores americanos estavam conduzindo negócios remotamente de casa e migrando de escritórios. Com uma força de trabalho altamente móvel e ecossistemas de fornecedores que estão se tornando cada vez mais complexos e globalmente dispersos, a ameaça à propriedade intelectual e às informações classificadas ou confidenciais se intensifica.

As equipes de projeto usam plataformas móveis e de nuvem diariamente para compartilhar e armazenar dados, potencialmente expondo-os ao acesso de usuários não autorizados. Também está sendo fisicamente transportado para fora da organização em smartphones, discos rígidos removíveis e dispositivos de armazenamento USB que estão sujeitos a roubo e perda. Nesse contexto, os dados estão constantemente cruzando as fronteiras de empresas e nações. Não há mais um perímetro claro para defender.

Embora hacks deliberados sejam agora comuns, uma das maiores ameaças à segurança continua sendo o roubo, a perda e o uso indevido de dados em movimento. Uma pesquisa da Apricorn em 2018 observou que 29% das organizações pesquisadas sofreram uma violação de dados como resultado direto do trabalho móvel. A mesma pesquisa realizada em 2020 mostra que mais da metade dos entrevistados ainda acredita que os trabalhadores remotos exporão sua organização ao risco de violação de dados.

Além disso, uma pesquisa recente da Digital Guardian mostra um aumento de 123% no volume de dados baixados para a mídia USB pelos funcionários desde o sucesso do COVID-19, sugerindo que as equipes estão usando armazenamento removível para levar para casa grandes volumes de dados. A menos que esses dispositivos sejam criptografados, é apenas uma questão de tempo até que vejamos um aumento nas violações de dados associadas à vulnerabilidade do trabalhador remoto.

Uma abordagem de segurança centrada em dados e baseada em políticas protegerá as informações em si, dentro e fora dos sistemas centrais de uma organização, tanto em movimento quanto em repouso, enquanto permite comunicações seguras. A resposta está em uma abordagem em várias camadas que combina pessoas, processos e tecnologia.

Comece de dentro. A segurança não se trata apenas de soluções de tecnologia. Os programas de treinamento e engajamento de segurança precisam se estender às equipes de parceiros e contratados. Seu objetivo aqui é conscientizar todos os funcionários sobre o valor e os riscos associados aos dados, e definir e reforçar seu papel em protegê-los.

Além disso, implemente as melhores práticas de segurança de dados e gerencie sua aplicação. Você pode dar uma vantagem à sua organização criando práticas e políticas sobre como interagir e proteger os dados. Ao delinear e aplicar as melhores práticas para sua equipe e cadeia de suprimentos, você ajuda a construir uma cultura de responsabilidade.

Pense nos dados em termos de um ciclo de vida. Tendo criado as melhores práticas para trabalhar e proteger os dados, as organizações devem realizar uma auditoria abrangente, cobrindo:

• Que tipo de dados são mantidos e para que finalidade;
• Quem tem acesso a esses dados;
• Para onde os dados fluem e
• Como é controlado atualmente.

Isso tornará mais fácil identificar áreas de não conformidade, identificar onde os dados podem estar desprotegidos e identificar tecnologias, políticas e processos que podem minimizar a exposição ao risco.

Aplique segurança. Defina uma estratégia que inclua a documentação e a aplicação de políticas que controlam como os dados confidenciais são tratados e usados, e que são estendidas a todos os terminais, incluindo parceiros e contratados. A criptografia deve ser um elemento-chave da estratégia. Se um dispositivo de mídia removível acabar nas mãos erradas, as informações criptografadas se tornarão ininteligíveis para qualquer pessoa que tentar acessá-las.

Especialmente no "novo normal" de trabalho remoto, é imperativo que os departamentos de TI pesquisem, identifiquem e exijam um dispositivo de armazenamento móvel criptografado de padrão corporativo e imponham seu uso por meio de políticas de whitelisting. O dispositivo deve ser pré-configurável para cumprir os requisitos de segurança , como a força da senha.

E, porque estamos falando sobre a cadeia de abastecimento, os requisitos devem ser escritos em contratos de terceiros - estabelecendo, por exemplo, as ferramentas e tecnologias que devem ser usadas e quando devem ser atualizadas. As organizações podem adotar uma abordagem ainda mais proativa e definir esses requisitos no processo de solicitação de proposta (RFP), de forma que as expectativas sejam definidas antes que um terceiro seja escolhido.

Meça, monitore e gere relatórios. Para equipes de TI e segurança, o ditado "Você não pode gerenciar o que não pode medir" é especialmente adequado. A auditoria contínua de conformidade, tanto dentro da organização quanto em toda a cadeia de suprimentos, fornece visibilidade rápida das violações de políticas, para que possam ser tratadas por meio de treinamento ou procedimentos disciplinares. O monitoramento também fornecerá uma trilha de auditoria detalhada que permite à organização demonstrar sua posição de conformidade, bem como um registro preciso de qualquer comportamento de usuário em não conformidade.

Uma combinação de medidas técnicas e organizacionais pode ajudar a reduzir a exposição ao risco na cadeia de abastecimento, ao mesmo tempo que permite a troca segura e a mobilidade de informações à medida que continuamos a trabalhar em casa. As empresas que controlam seus dados de maneira adequada podem proteger a confidencialidade, a segurança nacional e sua própria reputação sem comprometer a eficiência, agilidade ou sua vantagem competitiva.

A cadeia de suprimentos em constante expansão, juntamente com mudanças dramáticas em como e onde trabalhamos, significa que as organizações precisam se concentrar continuamente na segurança de terceiros. Ao criar um plano estratégico de segurança de dados que audita e mede ao longo do caminho, com ênfase na conscientização e treinamento dos funcionários, podemos proteger nossas cadeias de abastecimento, apesar da eliminação das fronteiras físicas.

Jon Fielding é diretor administrativo da Apricórnio , um fabricante de dispositivos de armazenamento de dados USB criptografados por hardware.