As organizações estão muito ou extremamente preocupadas com os riscos de segurança cibernética em suas cadeias de suprimentos, ou seja terceiras partes parceiras de negócios, segundo pesquisa publicada pela organização ISC2: a pesquisa revelou que 70% dos entrevistados declararam esse grau de preocupação. A preocupação é maior entre os entrevistados de grandes empresas, onde 82% relataram altos níveis de preocupação. Em comparação, 57% dos entrevistados de pequenas e médias empresas compartilham também esse nível de preocupação.
Leia também
ISC2 aponta estratégias para contratar e manter pessoal de cyber
SAP está na mira do cibercrime revela pesquisa
A pesquisa revelou que 28 % dos participantes afirmaram que suas organizações sofreram um incidente de segurança cibernética originado de um fornecedor terceirizado nos últimos dois anos. As taxas são mais altas em empresas de grande porte, onde 34% dos respondentes revelaram que suas organizações sofreram um incidente envolvendo um fornecedor terceirizado. Mais de um terço (37%) dos funcionários de instituições financeiras disseram que suas organizações foram impactadas nos últimos dois anos, uma porcentagem significativamente maior do que em outros setores (por exemplo, serviços de TI, com 20%).
Quase dois terços dos entrevistados afirmaram que as violações de dados são a ameaça de cibersegurança mais disruptiva (64%) para a cadeia de suprimentos de suas organizações. Malware ou ransomware ocupam o segundo lugar, com 52%, enquanto vulnerabilidades de software em produtos de fornecedores ocupam o terceiro lugar, com 51%. Embora as porcentagens sejam comparativamente menores para acesso não autorizado por meio de credenciais de terceiros e falta de visibilidade das práticas de cibersegurança dos fornecedores, mais de um terço também classifica esses itens como ameaças disruptivas (37% e 35%, respectivamente). As ameaças à cadeia de suprimentos não são necessariamente externas; 29% classificam as ameaças internas provenientes de fornecedores como disruptivas para suas organizações.
Um dos maiores desafios que os clientes enfrentam com suas cadeias de suprimentos é a falta de informações sobre o risco inerente que um fornecedor ou uma cadeia de fornecedores representa para a organização.
A maioria das organizações (70%) realiza avaliações de risco de terceiros regularmente, como na renovação de contratos ou anualmente. Além disso, 49% das organizações analisam os riscos durante a avaliação inicial/integração, 26% quando ocorrem incidentes e 25% quando ferramentas de monitoramento as alertam sobre uma ameaça de terceiros.
As organizações avaliam as práticas de cibersegurança de seus fornecedores em intervalos variados: 45% realizam avaliações anualmente, 10% semestralmente, 17% trimestralmente e 12% mensalmente. Notavelmente, a frequência de avaliação não difere significativamente por porte da organização ou setor de atuação.






