Antes de começarmos a abordar o tema precisamos saber, o que é Supply Chain Management? 

Basicamente, é um termo em inglês que, quando traduzido para o português, significa “cadeia de suprimentos”. É um processo complexo que envolve todas as operações de uma empresa, desde a compra de matéria-prima até a fabricação e entrega aos consumidores.  

Na prática, Supply Chain pode ser entendido como um processo voltado para o planejamento estratégico de fluxos de bens, serviços, finanças, informações e tudo aquilo para uma boa relação entre as empresas. 

“A segurança da cadeia de suprimentos se tornou mais importante para os CISOs cerca de quatro anos atrás, quando os cibercriminosos começaram a perseguir o Supply Chain como uma maneira de alcançar um objetivo principal”, explica o diretor de tendencias da SANS, John Pescatore. 

 O relatório da SANS identificou cinco componentes principais para um programa eficaz de segurança da cadeia de suprimentos: 

  1. Encontre um Sênior de segurança para a supply chain
  2. Estenda dashboards e relatórios a unidades de negócios e gerentes de TI
  3. Feche o ciclo com os fornecedores
  4. Descubra quem são todos os seus fornecedores
  5. Escale várias abordagens de avaliação de risco da supply chain

 

 “Os atores de ameaças preferem cada vez mais explorar as defesas de fornecedores e subcontratados porque muitas vezes essas entidades estão deixando suas portas entreabertas para invasores”, acrescenta Armond Çaglar, diretor do Liberty Advisory Group, consultoria sediada em Chicago. 

 As estruturas de segurança cibernéticas são uma excelente base que ajuda as empresas a definir princípios abrangentes de segurança da cadeia de suprimentos. Por exemplo, a estrutura NIST, que é popular entre as empresas dos EUA, define as regras destinadas a ajudar as empresas a atingir quatro objetivos principais, que são: 

  • Identificar: o NIST requer processos que permitem que as organizações identifiquem e entendam os riscos da segurança cibernética
  • Proteger: Após a identificação dos riscos, o NIST exige que as empresas tomem medidas para mitigá-los, a fim de melhorar a sua postura de segurança.
  • Detectar: Como nem todos os riscos podem ser identificados e mitigados, o NIST também exige esforços contínuos para detectar ameaças
  • Responder: Quando ameaças ativas são detectadas, o NIST requer respostas que possam contê-las e eliminá-las.

 

Essas estruturas são limitadas, pois não há orientações específicas sobre como colocá-los em prática, portanto, as empresas também precisam implementar ferramentas de processamento de segurança, que permitam colocar em pratica a segurança cibernética de maneira consistente. 

As ferramentas de processamento justamente fazem esta função, fornecendo: 

  • Análise de vulnerabilidade
  • Avaliação de cobertura
  • Avaliação de visibilidade
  • Alinhamento de negócios

 

 Nos últimos meses, vimos vários incidentes que resultaram em vazamentos de código-fonte, ativos comprometidos e violações em ambientes DevOps que são resultado direto de medidas de segurança fracas no pipeline. Empresas com grandes nomes como Microsoft, Rapid7, Codecov, SolarWinds e muito mais, foram vítimas de ataques contra a supply chain de software. 

À medida que a onda de ataques à cadeia de suprimentos continua aumentando, o Google emitiu várias diretrizes para garantir a integridade dos pacotes de software para ajudar a evitar modificações de código não autorizadas que afetem a supply chain de software. 

A estrutura do Google SLSA (Supply Chain Levels for Software Artifacts), envia recomendações para que as empresas obtenham um processo de desenvolvimento e implantação seguro, identificando e mitigando problemas durante todo o ciclo. 

Como mencionado anteriormente referente a supply chain relacionada a softwares, a proteção e desafios tendem a continuar se elevando.  

De acordo com relatórios de pesquisas, os principais desafios para equipes de segurança de aplicação ficarão em torno de: 

  • Falta de recursos, devido à grande demanda por profissionais da área de segurança de aplicação, que gera escassez no mercado de trabalho, as equipes acabam deixando profissionais sobrecarregados e sem tempo hábil para proteger de maneira adequada;
  • Colaboração com DevOps e equipes de desenvolvimento, pois é necessário para poder implementar uma segurança eficaz quando falamos de desenvolvimento seguro, também conhecido como SSDLC(Secure Software Development Lifecycle);
  • Ausência de conhecimento e experiência em segurança de supply chain necessários para permitir que colaboradores o time de DEV e de segurança definam e implementem um programa de segurança adequado;
  • Falta de ferramentas de segurança focadas para lidar com a complexidade e natureza de supply chain voltada a segurança da aplicação, que fornecem apenas uma visão limitada de riscos, vulnerabilidades e controles de segurança inadequados.

 
 Então, a segurança do seu negócio vale muito, não é mesmo? Que tal continuar a jornada de conhecimento sobre segurança digital? Para mais conteúdos siga a PDG IT no LinkedIn e Instagram