Fechando as lacunas da cadeia de fornecimento de segurança

Com o ritmo incessante atual dos ataques cibernéticos, os líderes empresariais entrevistados na pesquisa KPMG 2021 CEO Outlook agora reconhecem que a segurança cibernética não se trata mais de um caminho curto, mas sim de uma maratona de longa distância para acompanhar o ritmo dos criminosos cibernéticos, que estão cada vez mais hábeis.

Entretanto, com o crescimento contínuo da transformação digital — e as correspondentes cadeias de suprimentos de terceiros que criam pontos complexos e muitas vezes obscuros de exposição cibernética — as empresas devem aumentar sua resistência e agilidade com o objetivo atingir a resiliência cibernética.

Neste momento de transformação digital, vimos como as organizações estão colhendo inovação, agilidade e eficiência significativas por meio da obtenção de fornecedores terceirizados e aliados de tecnologia para apresentar soluções baseadas em nuvem e processos de design, produção, suporte e serviços habilitados por inteligência artificial.

Embora a digitalização da cadeia de suprimentos tenha levado pelo menos uma década para ser realizada, ela foi acelerada quando a pandemia da covid-19 fez com que as organizações em diversos setores aumentassem a velocidade, a visibilidade e a flexibilidade de suas cadeias de suprimentos emaranhadas. Na verdade, os entrevistados da KPMG 2021 CEO Outlook expressaram planos ambiciosos para os próximos três anos: quase metade planeja fazer alianças com a tecnologia em nuvem de terceiros e de provedores de dados e colaborar com startups inovadoras, e 70% afirmam que novas articulações serão essenciais para dar continuidade ao seu ritmo de transformação digital.

A consequência dessa inovação rápida é que normalmente ela ocorre de maneira apressada. Como as organizações realizam grandes investimentos para terceirizar, vincular e automatizar suas cadeias de suprimentos, pode ser que elas não realizem a due diligence necessária para identificar e mitigar os novos riscos dessa conectividade.

Muitas vezes, as empresas não executam as etapas correspondentes para atualizar suas práticas de gerenciamento de risco de terceiros em relação aos riscos cibernéticos. Outra questão é que possivelmente elas também não realizam os investimentos complementares em funcionalidade de segurança, responsável por criar recursos de alerta precoce em suas cadeias de suprimentos.

Essas lacunas são compreensíveis quando é considerado que a digitalização da cadeia de suprimentos ocorre de forma tão rápida. Com uma empresa média da lista da publicação Fortune 500, que tem pelo menos 10 mil relacionamentos com fornecedores, de acordo com estimativas, muitas funções internas de segurança e gerenciamento de risco têm tido dificuldade para acompanhar esse ritmo de transformações.

Dito isso, é possível questionar se os atuais líderes empresariais estão totalmente cientes dos riscos da cadeia de suprimentos, principalmente quando 58% dos entrevistados da KPMG 2021 CEO Outlook disseram que estão “muito bem/bem preparados” para um futuro ataque cibernético. Provavelmente eles não estão pensando em todas as conexões da cadeia de suprimentos incluídas nos últimos anos.

Se a ideia de correr uma maratona contínua em um ritmo mais rápido para proteger a cadeia de suprimentos digital parece cansativa, tenha em mente que o desafio pode ser dividido nas seguintes etapas principais:

• Conscientização e aceitação. Conforme indicado acima, a maioria das empresas, dependendo da maturidade digital de seu setor, já se conscientizou e aceitou o desafio. Na verdade, nossa pesquisa indica que os executivos estão prontos para agir e estão começando a deixar de lado a velha atitude de transformar seus negócios em uma fortaleza impenetrável;
• Compreensão do escopo do problema. A próxima etapa é compreender a escala e o escopo de sua cadeia de suprimentos ampliada, determinando quem são os fornecedores, quais são as conexões com eles e quais dependências isso causa. A maioria das grandes organizações já possui programas robustos de risco de terceiros e políticas em vigor que pelo menos identificam esses relacionamentos, assim como os processos para realizar as avaliações de risco. As empresas podem simplesmente precisar atualizar esses processos de avaliação para refletir a realidade da conectividade da cadeia de suprimentos digital;
• Realização de avaliação de riscos. Avaliações de risco abrangentes podem capacitar os líderes no estabelecimento de orçamentos iniciais para a funcionalidade do sistema de segurança no início dos projetos de tecnologia e de cadeia de suprimentos, e não após o fato ocorrido. Isso pode ajudar na garantia de uma adesão da alta liderança crucial para financiar os esforços de mitigação de segurança para os sistemas existentes;
• Mergulho profundo nos dados. A ausência de dados claros e consumíveis é, normalmente, o obstáculo para uma análise de risco precisa. Com dados heterogêneos e dispersos em contratos formatados de forma inconsistente e formulários de avaliação de risco, carregados em sistemas de integração incompatíveis, esses dados devem ser reunidos para obter uma linha de visão clara em toda a cadeia de suprimentos;
• Construindo um futuro imaginado. Com uma visão centralizada da cadeia de suprimentos e dos dados subjacentes, os riscos podem ser classificados e as decisões podem ser tomadas com base nas ações mais adequadas a serem tomadas. Então, uma organização pode começar a construir a infraestrutura crítica de segurança cibernética e o gerenciamento de riscos que reflita seu estado futuro desejado;
• Adoção do monitoramento contínuo. É importante que os líderes empresariais reconheçam que essas ações devem fazer parte de uma jornada contínua de esforços constantes e permanentes. Essa mentalidade está começando a ser estabelecida, à medida que os profissionais da KPMG apresentam aos clientes a própria plataforma de Avaliação e Monitoramento Contínuo, por meio da qual o risco de terceiros é automatizado e continuamente organizado para responder ao cenário que está em constante mudança de relacionamento com fornecedores, conectividade digital e riscos cibernéticos em evolução. Na verdade, com 34% dos entrevistados da pesquisa KPMG 2021 CEO Outlook declarando que planejam adotar a automação para agilizar e otimizar a segurança e o gerenciamento de riscos de tecnologia, essas soluções agora atraem um interesse considerável;
• Incorporação de defesas cibernéticas em cada etapa da rota da maratona. Conforme destacado no artigo recente Securing the new business reality, as empresas devem construir culturas de segurança cibernética profundas, em que o lema em comum é a segurança é tarefa de todos e está integrada ao design de produtos e serviços. Paralelamente, é necessária uma liderança abrangente para ajudar a garantir que uma visão de toda a empresa capture a rede mais abrangente da cadeia de suprimentos. Vale destacar que algumas organizações líderes nomearam CISOs (Chief Information Security Officer) da cadeia de cuprimentos para permitir esse grau de supervisão holística.

Devido ao aumento irreversível das cadeias de suprimentos digitalizadas e a realidade de que agir lentamente não será suficiente para acompanhar a evolução das ameaças cibernéticas, cada organização deve refinar a sua estratégia nessa jornada. Felizmente, as constatações do estudo KPMG 2021 CEO Outlook sugerem que os líderes empresariais estão preparados para adotar uma visão de resiliência cibernética e acelerar seu ritmo para o longo caminho que está à frente.