As organizações estão muito ou extremamente preocupadas com os riscos de segurança cibernética em suas cadeias de suprimentos, ou sejam terceiras partes parceiras de negócios, segundo pesquisa publicada pela organização ISC2: a pesquisa revelou que 70% dos entrevistados declararam esse grau de preocupação. A preocupação é maior entre os entrevistados de grandes empresas, onde 82% afirmaram níveis elevados de preocupação. Em comparação, 57% dos entrevistados de pequenas e médias empresas também analisaram esse nível de preocupação.
Leia também
ISC2 aponta estratégias para contratar e manter pessoal cibernético
SAP está na mira do crime cibernético revela pesquisa
Uma pesquisa revelou que 28% dos participantes afirmaram que suas organizações sofreram um incidente de segurança cibernética originado de um fornecedor terceirizado nos últimos dois anos. As taxas são mais altas em empresas de grande porte, onde 34% dos entrevistados revelaram que suas organizações sofreram um incidente envolvendo um fornecedor terceirizado. Mais de um terço (37%) das autoridades de instituições financeiras afirmaram que suas organizações foram impactadas nos últimos dois anos, uma porcentagem significativamente maior do que em outros setores (por exemplo, serviços de TI, com 20%).
Quase dois terços dos entrevistados afirmaram que as revelações de dados são uma ameaça de cibersegurança mais disruptiva (64%) para a cadeia de suprimentos de suas organizações. Malware ou ransomware ocupam o segundo lugar, com 52%, enquanto vulnerabilidades de software em produtos de fornecedores ocupam o terceiro lugar, com 51%. Embora as porcentagens sejam comparativamente menores para acesso não autorizado por meio de credenciais de terceiros e falta de visibilidade das práticas de cibersegurança dos fornecedores, mais de um terço também classifica esses itens como ameaças disruptivas (37% e 35%, respectivamente). As ameaças à cadeia de suprimentos não são necessariamente externas; 29% classificam como ameaças internacionais de fornecedores como disruptivas para suas organizações.
Um dos maiores desafios que os clientes enfrentam com suas cadeias de suprimentos é a falta de informações sobre o risco envolvido que um fornecedor ou uma cadeia de fornecedores representa para a organização.
A maioria das organizações (70%) realiza avaliações de risco de terceiros regularmente, como na renovação de contratos ou anualmente. Além disso, 49% das organizações analisam os riscos durante a avaliação inicial/integração, 26% quando ocorrem incidentes e 25% quando ferramentas de monitoramento como alertam sobre uma ameaça de terceiros.
As organizações avaliam as práticas de cibersegurança de seus fornecedores em intervalos variados: 45% realizam receitas anualmente, 10% semestralmente, 17% trimestralmente e 12% mensalmente. Notavelmente, a frequência de avaliação não difere significativamente por porte da organização ou setor de atuação.
