Uma nova atualização da Orientação Fundamental de Gerenciamento de Riscos da Cadeia de Suprimentos de Segurança Cibernética (C-SCRM), do Instituto Nacional de Padrões e Tecnologia (NIST), visa ajudar as organizações a se protegerem à medida que adquirem e usam produtos e serviços de tecnologia. A cadeia de suprimentos, considerada um ponto vulnerável no comércio global, permite que desenvolvedores e fornecedores de tecnologia criem e entreguem produtos inovadores. Entretanto, eles podem deixar as empresas, produtos acabados e consumidores abertos a ataques cibernéticos.
A publicação intitulada por Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, fornece orientações sobre como identificar, avaliar e responder a riscos de segurança cibernética em toda a cadeia de suprimentos em todos os níveis de uma organização. Faz parte da resposta do NIST o tema Melhorando a Cibersegurança da Nação, que trata do aumento da segurança da cadeia de fornecimento de software.
Além disso, a publicação agora oferece práticas-chave para as organizações adotarem à medida que desenvolvem sua capacidade de gerenciar riscos de segurança cibernética dentro e em suas cadeias de suprimentos. Ela também incentiva as organizações a considerarem as vulnerabilidades não apenas de um produto acabado que estão pensando em usar, mas também de seus componentes e a jornada que esses componentes percorreram para chegar ao seu destino.
Para Jon Boyens, um dos autores da publicação, “gerenciar a segurança cibernética da cadeia de suprimentos é uma necessidade que veio para ficar”.
Produtos e serviços modernos dependem de suas cadeias de suprimentos, que conectam uma rede mundial de fabricantes, desenvolvedores de software e outros provedores de serviços. As cadeias de suprimentos também colocam empresas e consumidores em risco devido às muitas fontes de componentes e software que geralmente compõem um produto acabado: um dispositivo pode ter sido projetado em um país e construído em outro. Não apenas o produto resultante pode conter software malicioso ou ser suscetível a ataques cibernéticos, mas a vulnerabilidade da própria cadeia de suprimentos pode afetar os resultados de uma empresa.
“Um fabricante pode sofrer uma interrupção no fornecimento de componentes críticos de fabricação devido a um ataque de ransomware em um de seus fornecedores, ou uma cadeia de varejo pode sofrer uma violação de dados porque a empresa que mantém seus sistemas de ar condicionado tem acesso ao portal de compartilhamento de dados da loja”, explica Boyens.
O público principal da publicação revisada são os adquirentes e usuários finais de produtos, software e serviços. A orientação ajuda as organizações a incorporarem considerações e requisitos de risco da cadeia de suprimentos de segurança cibernética em seus processos de aquisição, e destaca a importância do monitoramento de riscos.
“As organizações precisam ter maior garantia de que o que estão comprando e usando é confiável. Esta nova orientação pode ajudá-lo a entender quais riscos procurar e quais ações considerar tomar em resposta”, aponta Angela Smith, especialista em Segurança da Informação.
Antes de fornecer orientações específicas – chamadas de controles de segurança cibernética – a publicação oferece ajuda aos diversos grupos em seu público-alvo, que varia de especialistas em segurança cibernética e gerentes de risco a engenheiros de sistemas e funcionários de compras.
Em parte devido à complexidade do assunto, os autores estão planejando um guia de início rápido para ajudar os leitores que podem estar apenas começando o esforço C-SCRM de sua organização. “Planejamos aumentar o formato PDF atual do documento com uma versão web clicável […] Dependendo do grupo de usuários em que você se enquadra, ele permitirá que você clique em um link e encontre as seções de que precisa”, aponta Boyens.
Fonte: www.nist.gov