O que é segurança da cadeia de suprimentos?

Muitos de nós, membros da cadeia de suprimentos, lembramos das principais violações de dados que a Target e a Home Depot sofreram com uma diferença de meses uma da outra, resultantes de relacionamentos com terceiros. Seis anos depois, as violações de segurança da cadeia de suprimentos ainda são manchetes, principalmente a violação da SolarWinds que atualmente reverbera em todo o setor. A análise mais recente estima o custo médio de uma violação de dados em US$ 3,86 milhões, com mega violações (50 milhões ou mais de registros roubados) chegando a US$ 392 milhões. Dado o aumento nos ataques à cadeia de suprimentos em 2020, só podemos imaginar o impacto quando a análise for atualizada.

Então, o que será necessário para combater a segurança da cadeia de suprimentos?

Parte do desafio é que não existe uma definição única e funcional de segurança da cadeia de suprimentos. É uma área extremamente ampla que inclui tudo, desde ameaças físicas até ameaças cibernéticas, desde a proteção de transações até a proteção de sistemas, e desde a mitigação de riscos com partes na rede imediata da empresa até a mitigação de riscos derivados de relacionamentos com terceiros, quartos e "n" com partes. No entanto, há uma concordância cada vez maior de que a segurança da cadeia de suprimentos requer uma abordagem multifacetada e funcionalmente coordenada.

Os líderes de cadeia de suprimentos nos dizem que estão preocupados com as ameaças cibernéticas, então, neste blog, vamos nos concentrar nos aspectos de cibersegurança para proteger a qualidade e a entrega de produtos e serviços, bem como os dados, processos e sistemas associados envolvidos.

"A segurança da cadeia de suprimentos é um problema multidisciplinar e requer estreita colaboração e execução entre os negócios, o suporte ao cliente e as organizações de TI, o que tem seus próprios desafios. As empresas que acertam isso começam com a TI e uma rede de negócios segura entre empresas e, em seguida, crescem com acesso cuidadosamente governado e seguro a recursos de análise de dados e visibilidade e, a partir daí, monitoram continuamente cada camada em busca de comportamento anômalo."

Marshall Lamb, CTO, IBM Sterling

Por que a segurança da cadeia de suprimentos é importante?

As cadeias de suprimentos visam fornecer aos clientes o que eles precisam, pelo preço, local e tempo certos. Quaisquer interrupções e riscos à integridade dos produtos ou serviços entregues, à privacidade dos dados trocados e à integridade das transações associadas podem ter consequências operacionais, financeiras e de marca prejudiciais. Violações de dados, ataques de ransomware e atividades maliciosas de agentes internos ou invasores podem ocorrer em qualquer nível da cadeia de suprimentos. Mesmo um incidente de segurança localizado em um único fornecedor, ou fornecedor terceirizado, ainda pode interromper significativamente o processo de "planejar, criar e entregar".

“Uma cadeia de suprimentos depende de sua entidade mais vulnerável. O Centro de Resiliência Cibernética do Porto de Los Angeles ajudará cada membro participante da cadeia de suprimentos a proteger melhor a si mesmo e, por extensão, uns aos outros."

Wendi Whitmore, Vice-Presidente, IBM Security X-Force

Mitigar esse risco é uma meta em movimento e um desafio crescente. As cadeias de suprimentos são redes globais cada vez mais complexas, compostas por grandes e crescentes volumes de parceiros terceirizados que precisam acessar dados e garantias de que podem controlar quem vê esses dados. Hoje, novos estresses e restrições de pessoal e orçamento, e mudanças rápidas e imprevistas na estratégia, nos parceiros e na combinação de oferta e demanda aumentam os desafios e a urgência. Ao mesmo tempo, clientes e funcionários mais experientes e socialmente conscientes estão exigindo transparência e visibilidade dos produtos e serviços que compram ou apoiam. Cada ponto de contato adiciona um elemento de risco que precisa ser avaliado, gerenciado e mitigado.

Cinco principais preocupações com a segurança da cadeia de suprimentos

Líderes de cadeia de suprimentos em todo o mundo e em todos os setores nos dizem que essas cinco preocupações de segurança da cadeia de suprimentos os mantêm acordados à noite:

1. Proteção de dados. Os dados estão no centro das transações comerciais e devem ser protegidos e controlados em repouso e em movimento para evitar violações e adulterações. A troca segura de dados também envolve confiar na outra fonte, seja um terceiro ou um site de comércio eletrônico. É fundamental ter garantias de que aqueles com quem você está interagindo é quem eles afirmam ser.
2. Localidade de dados. Há dados críticos em todas as camadas da cadeia de suprimentos e devem ser localizados, classificados e protegidos independentemente de onde estejam. Em setores altamente regulamentados, como serviços financeiros e saúde, os dados devem ser adquiridos, armazenados, gerenciados, usados e trocados em conformidade com as normas do setor e as exigências do governo, que variam de acordo com as regiões em que operam.
3. Visibilidade e controle de dados. As redes de negócios multiempresariais não apenas facilitam a troca de dados entre as empresas, mas também permitem que várias empresas tenham acesso aos dados para que possam visualizar, compartilhar e colaborar. As empresas participantes exigem controle sobre os dados e a capacidade de decidir com quem compartilhá-los e o que cada parte autorizada pode ver.
4. Prevenção de fraudes. Em um único ciclo do pedido ao pagamento, os dados mudam de mãos inúmeras vezes, às vezes em formato de papel, às vezes em formato eletrônico. Cada ponto em que os dados são trocados entre as partes ou transferidos dentro dos sistemas apresenta uma oportunidade para que eles sejam adulterados, seja de forma maliciosa ou inadvertida.
5. Risco de terceiros. Produtos e serviços diários – de celulares a automóveis – estão aumentando em sofisticação. Como resultado, as cadeias de suprimentos geralmente dependem de quatro ou mais níveis de fornecedores para entregar produtos acabados. Cada uma dessas partes externas pode expor as organizações a novos riscos com base em sua capacidade de gerenciar adequadamente suas próprias vulnerabilidades.

Melhores práticas de segurança da cadeia de suprimentos

A segurança da cadeia de suprimentos exige uma abordagem multifacetada. Não existe uma panaceia, mas as organizações podem proteger suas cadeias de suprimentos com uma combinação de defesas em camadas. Como as equipes focadas na cadeia de suprimentos tornam mais difícil para os agentes da ameaça enfrentar os desafios dos controles de segurança, eles ganham mais tempo para detectar atividades nefastas e agir. Aqui estão apenas algumas das estratégias mais importantes que as organizações estão buscando para gerenciar e mitigar o risco à segurança da cadeia de suprimentos.

• Avaliações de estratégia de segurança. Para avaliar o risco e a conformidade, é necessário avaliar a governança de segurança existente, incluindo a privacidade de dados, o risco de terceiros e as necessidades e lacunas de conformidade regulamentar de TI, em relação aos desafios, requisitos e objetivos comerciais. Quantificação de riscos de segurança, desenvolvimento de programas de segurança, conformidade regulatória e com normas, e educação e treinamento de segurança são fundamentais.
• Mitigação de vulnerabilidades e testes de penetração. Identifique questões básicas de segurança primeiro executando verificações de vulnerabilidade. Corrigir configurações ruins de banco de dados, políticas de senhas ruins, eliminar senhas padrão e proteger endpoints e redes pode reduzir imediatamente o risco com impacto mínimo na produtividade ou no downtime. Empregue especialistas em testes de inserção para tentar encontrar vulnerabilidades em todos os aspectos de aplicação novas e antigas, infraestrutura de TI subjacente à cadeia de suprimentos e até mesmo em pessoas, por meio de simulação de phishing e red teaming.
• Digitalização e modernização. É difícil proteger os dados se você estiver contando com papel, telefone, fax e e-mail para transações comerciais. A digitalização de processos manuais essenciais é fundamental. As soluções de tecnologia que facilitam a mudança de processos manuais baseados em papel e trazem segurança, confiabilidade e governança às transações fornecem a base para a movimentação segura de dados dentro da empresa e com clientes e parceiros comerciais. Ao modernizar os processos e o software de negócios, você pode aproveite a criptografia, a tokenização, a prevenção contra perda de dados e o monitoramento e alerta de acesso a arquivos, além de reunir equipes e parceiros com consciência e treinamento de segurança.
• Identificação e criptografia de dados. Os programas e políticas de proteção de dados devem incluir o uso de ferramentas de descoberta e classificação para identificar bancos de dados e arquivos que contenham informações protegidas de clientes, dados financeiros e registros proprietários. Quando os dados são localizados, o uso das normas e políticas de criptografia mais recentes protege dados de todos os tipos, em repouso e em movimento: clientes, financeiros, pedidos, inventário, Internet das coisas (IoT), integridade e muito mais. As conexões de entrada são validadas, e o conteúdo dos arquivos é examinado em tempo real. As assinaturas digitais, a autenticação multifator e as quebras de sessão oferecem controles adicionais ao realizar transações na internet.
• Controles de permissão para troca de dados e visibilidade. As redes de negócios multiempresariais garantem a troca de informações segura e confiável entre parceiros estratégicos com ferramentas para acesso baseado em usuários e funções. As práticas de segurança de Gerenciamento de acesso e identidade são críticas para Compartilhe com segurança dados proprietários e confidenciais em um amplo ecossistema, enquanto encontrar e mitigar vulnerabilidades reduz o risco de acesso indevido e violações. O monitoramento de atividades do banco de dados, o monitoramento de usuários privilegiados e os alertas oferecem visibilidade para detectar problemas rapidamente. Adicionar a tecnologia blockchain a uma rede de negócios de várias empresas oferece visibilidade de várias partes de um registro compartilhado imutável e autorizado que alimenta a confiança em toda a cadeia de valor.
• Confiança, transparência e procedência. Com uma blockchain platform, uma vez que os dados são adicionados ao livro-razão, eles não podem ser manipulados, alterados ou excluídos, o que ajuda a prevenir fraudes e autenticar a procedência e monitorar a qualidade do produto. Participantes de várias empresas podem rastrear materiais e produtos desde a fonte até o cliente ou consumidor final. Todos os dados são armazenados em livros contábeis de blockchain, protegidos com o mais alto nível de criptografia disponível comercialmente e inviolável.
• Gerenciamento de risco de terceiros. À medida que as conexões e interdependências entre empresas e terceiros aumentam em todo o ecossistema da cadeia de suprimentos, as organizações precisam expandir sua definição de gerenciamento de riscos de fornecedores para incluir segurança de ponta a ponta. permite que as empresas avaliem, melhorem, monitorem e gerenciem riscos ao longo da vida do relacionamento. Comece reunindo suas equipes de negócios e técnicas com parceiros e fornecedores para identificar ativos críticos e possíveis danos às operações em caso de violação de conformidade, desligamento do sistema ou violação de dados que se torne público.
• Planejamento e orquestração de resposta a incidentes. Preparar-se proativamente para uma violação, fechamento ou interrupção e ter um Plano de resposta a incidentes robusto é vital. Planos de resposta e remediação práticos, testados e facilmente executados evitam perda de receita, danos à reputação e à rotatividade de parceiros e clientes. A inteligência e os planos fornecem métricas e aprendizados que sua organização e seus parceiros podem usar para tomar decisões para evitar que ataques ou incidentes ocorram novamente.

A segurança da cadeia de suprimentos continuará ficando ainda mais inteligente. Por exemplo, as soluções estão começando a incorporar IA para detectar proativamente comportamentos suspeitos, identificando anomalias, padrões e tendências que sugerem acesso não autorizado. As soluções impulsionadas por IA podem enviar alertas para resposta humana ou bloquear automaticamente as tentativas.

Como as empresas estão garantindo a segurança da cadeia de suprimentos atualmente?

O IBM Sterling Supply Chain Business Network estabeleceu um novo recorde em transações comerciais seguras em setembro deste ano, um aumento de 29% em relação a setembro de 2019, e está ajudando clientes em todo o mundo a reconstruir seus negócios com segurança e confiança, apesar da pandemia global.

O provedor de serviços de transferência internacional de dinheiro Western Union concluiu mais de 800.000 milhões de transações em 2018 para clientes consumidores e empresariais de forma rápida, confiável e segura com uma infraestrutura de transferência de arquivos confiável.

A varejista de moda Eileen Fisher usou uma plataforma inteligente de atendimento omnicanal para criar um único conjunto de estoque em todos os canais, melhorando a confiança nos dados de estoque, executando o atendimento mais flexível e reduzindo os custos de aquisição de clientes.

O ecossistema de blockchain da Farmer Connect conecta de forma transparente os produtores de café aos consumidores que eles atendem, com uma blockchain platform que incorpora segurança de rede e segurança de dados para aumentar a confiança, a segurança e a procedência.

A provedora de serviços financeiros Rosenthal & Rosenthal substituiu suas múltiplas abordagens para serviços de intercâmbio eletrônico de dados (EDI) por uma rede de negócios multiempresarial segura e baseada em nuvem, reduzindo seus custos operacionais e fornecendo um serviço responsivo e de alta qualidade a cada cliente.

A VLI , provedora de logística integrada, está cumprindo inúmeras regulamentações do governo de conformidade e segurança e permitindo que seus 9.000 trabalhadores acessem os sistemas certos no momento certo para realizar seus trabalhos, com um pacote integrado de soluções de segurança que protegem seus negócios e ativos e gerenciam o acesso dos usuários.

Um dos portos marítimos mais movimentados do mundo, o Porto de Los Angeles está construindo um Centro de Resiliência Cibernética inédito com um pacote de ofertas de segurança que visam aprimorar a consciência e a prontidão do ecossistema da cadeia de suprimentos para responder a ameaças cibernéticas que podem interromper o fluxo de carga.

Soluções para manter sua cadeia de suprimentos segura

Mantenha seus dados mais confidenciais seguros, visíveis apenas para as pessoas em quem você confia, imutáveis para evitar fraudes e protegidos contra riscos de terceiros. Permita que a IBM ajude você a proteger sua cadeia de suprimentos, com segurança comprovada que funciona independentemente da sua abordagem de implementação – no local, na nuvem ou híbrida.