O departamento de compras tem papel fundamental na Segurança da Informação

Existe uma necessidade urgente das empresas recorrerem aos seus departamentos de compras na luta contra os cyberataques. De acordo com uma pesquisa da Harvard Business Review, mais de 60% dos ataques reportados a empresas norte-americanas de capital aberto em 2017 foram lançados por meio de sistemas de TI de fornecedores ou outros terceiros. Em 2010 este número era de apenas 25%. Ataques de alto nível a grandes empresas — incluindo Equifax, Netflix, Best Buy e Target — ocorreram dessa maneira.

Considere o ataque de 2014 à Target, que causou danos estimados em US$ 162 milhões. O fornecedor era uma pequena empresa privada de ar condicionado chamada Fazio. Depois que os invasores se infiltraram no sistema desta empresa, eles roubaram as credenciais da Fazio para invadir o sistema da Target.

Para mitigar esse tipo de risco, as empresas devem tomar as seguintes ações.

Incorporar medidas de segurança cibernética em contratos com terceiros. A pesquisa sugere que muitos profissionais de compras não consideram os recursos de segurança cibernética dos fornecedores como um fator importante na seleção ou no desenvolvimento de fornecedores de primeira linha. Isso deve mudar, e os departamentos de compras e TI devem trabalhar juntos para que isso aconteça. Os principais fornecedores devem atender aos padrões de desempenho e treinamento e, em seguida, devem ser avaliados regularmente para garantir que estejam cumprindo-os. As empresas podem projetar seus próprios padrões ou usar padrões existentes comuns, como os padrões GDPR, NIST ou PCI em caso de operações com cartões.

As práticas de segurança cibernética de um fornecedor devem ser tratadas de forma semelhante à sua qualidade ou desempenho de entrega. Se não for possível atingir níveis de desempenho suficientes, os gerentes de compras devem ter autonomia para encerrar o relacionamento.

Limitar o acesso dos fornecedores aos sistemas de TI. Trabalhando com o departamento de TI, os gerentes de compras devem limitar muito mais o acesso dos fornecedores aos sistemas da empresa compradora. Eles devem segmentar os fornecedores com base em quais deles precisam acessar quais partes dos sistemas de back-office da empresa compradora (por exemplo, gerenciamento de estoque ou ponto de venda). Os fornecedores que devem ter permissão para acessar mais profundamente na rede seriam classificados como nível A e os gerentes de compras garantiriam que eles sejam credenciados e monitorados de acordo.

A Target e o Walmart trabalharam com o fornecedor de ar condicionado que os atacantes usaram para violar a Target. Mas o Walmart saiu ileso porque categorizou adequadamente seus fornecedores e limitou o acesso do que estava em questão ao sistema de back-office.

Trabalhe com os concorrentes. Atacantes tomarão o caminho de menor resistência ao maior retorno possível. Consequentemente, eles geralmente se concentram em fornecedores ligados a várias empresas que fornecem dados valiosos. Os dados de localização de celulares dos usuários da AT & T, Sprint e Verizon foram comprometidos por meio de um bug no site da LocationSmart, um fornecedor para as três empresas. Outras empresas, incluindo Starwood e Hilton Hotels, perderam dados de clientes quando o sistema comum de ponto de venda (plataforma Micros da Oracle) foi comprometido.

A lição: em vez de regulamentar os fornecedores individualmente, os gerentes de compras devem colaborar com seus fornecedores concorrentes para gerar padrões de segurança para sua indústria ou setor. Qualquer fornecedor que espera realizar negócios com os líderes do setor teria que cumpri-los. Os concorrentes podem até considerar levar essa cooperação mais além e implementar programas pelos quais compartilham as classificações de segurança do fornecedor e sinalizam possíveis problemas.

Responsabilize os gerentes de compras. Para ajudar a garantir que essas atividades sejam bem-sucedidas, a alta gerência deve responsabilizar os gerentes de compras pelos resultados. Tradicionalmente, as principais métricas de desempenho dos profissionais de compras giravam em torno de reduções de custos, qualidade e garantia de fornecimento contínuo. Eles não foram incentivados a tornar a segurança cibernética do fornecedor uma métrica importante nos scorecards de fornecedores ou no processo de seleção de fornecedores. Eles deveriam ser.

Aquisição deve ser colocada na linha de frente na batalha contra os ciberataques. Eles devem ter o poder de levar a segurança cibernética tão a sério quanto receberem qualidade, sustentabilidade e entrega confiável. Eles podem e devem desempenhar um papel importante no esforço para manter as empresas seguras.

Quer colaborar conosco? Você pode fazer isso enviando artigos, ou assinando nossa newsletter para receber novidades toda a semana. Se quiser, também pode nos seguir no Facebook, Twitter e Linkedin.