Qual é o papel da segurança cibernética em compras?

Views: 458
0 0
Read Time:5 Minute, 42 Second

Os processos modernos de aquisição incorporam múltiplas tecnologias para agilizar os processos corporativos internos. Seja usando plataformas de planejamento de recursos corporativos (ERP) ou software menos sofisticado, as organizações aproveitam cada vez mais as ferramentas digitais para gerenciar as compras. À medida que a pilha de TI de uma empresa adiciona mais ferramentas de aquisição eletrônica, o papel da cibersegurança no processo de aquisição torna-se essencial para proteger dados corporativos sensíveis e mitigar os riscos inerentes a uma cadeia de suprimentos em constante expansão.

Qual é o papel da tecnologia no processo de aquisição?

As empresas digitalmente transformadas buscam alavancar a automação para reduzir os custos operacionais associados aos processos transacionais, ao mesmo tempo em que aumentam o suporte à gestão de fornecedores e às necessidades interse departamentais.

Com o advento das ferramentas de aquisição do Software as a-Service (SaaS), as organizações podem integrar vários serviços e padronizar processos em toda a empresa. Essa padronização significa que as organizações podem reduzir o tempo necessário para concluir o ciclo de compra, ao mesmo tempo em que melhoram os dados necessários para a análise dos custos.

No entanto, como em todas as tecnologias, as fraquezas de cibersegurança na cadeia de fornecimento de tecnologia de compras podem levar a riscos aumentados de violação de dados se não forem gerenciadas adequadamente.

Quais os riscos de violação de dados no processo de aquisição?

À primeira vista, muitas organizações podem não perceber a profundidade das informações confidenciais envolvidas no processo de aquisição ou o amplo alcance do risco de violação de dados. Seja por adicionar uma nova tecnologia ou contratar um trabalhador contratado, quanto mais vasta for a cadeia de suprimentos de uma organização, maior o risco.

As plataformas de planejamento de recursos corporativos (ERP) oferecem mais do que apenas contas a pagar e a receber. As soluções ERP baseadas em nuvem oferecem:

  • Finanças
  • Gerenciamento de projetos
  • Aquisição
  • Gestão de riscos
  • Analytics
  • Gestão da cadeia de suprimentos

Embora ainda estejam principalmente associados aos registros financeiros, essas soluções ERP coletam, armazenam e transmitem muito mais informações do que antes. Na verdade, as informações que eles contêm incluem algumas das informações mais confidenciais:

  • Nomes e endereços de fornecedores
  • Informações da conta
  • Informações fiscais corporativas
  • Dados de reconciliação de contas

As organizações que usam soluções de ERP baseadas em nuvem, portanto, precisam considerar o impacto potencial em seus próprios dados financeiros, bem como nos clientes e fornecedores.

Como garantir aquisições para uma postura de cibersegurança mais robusta

As plataformas ERP são apenas um dos potenciais riscos cibernéticos associados ao processo de aquisição. Para reduzir esses riscos, as organizações precisam de um programa robusto de gerenciamento de riscos de fornecedores que inclua a solução ERP.

Colabore com a TI

O departamento de compras conhece o tipo de plataforma que melhor atenderá às necessidades da organização, mas pode precisar de recursos tecnológicos adicionais para garantir a mitigação adequada dos riscos de segurança. Trabalhando com o departamento de TI, a equipe de compras pode entender como sua escolha da plataforma ERP se encaixa nos maiores planos de tecnologia e programa de segurança da organização.

Avaliar riscos

Para incorporar sua plataforma ERP como parte do seu programa de segurança holístico, as organizações precisam entender todos os riscos potenciais de violação de dados. A equipe de compras precisa identificar os tipos de informações que a plataforma ERP gerenciará, quem acessará a plataforma e de onde irá acessá-la. Ao fazer isso, a equipe terá uma melhor compreensão dos potenciais riscos de segurança de ponto final. Por exemplo, malware instalado no dispositivo de um funcionário remoto pode levar a um compromisso da plataforma ERP. Uma vez que a equipe de compras tenha trabalhado com o departamento de TI para identificar esses riscos, os dois podem trabalhar juntos para proteger melhor os dados.

Participe de due diligence

Gerenciar o risco da cadeia de suprimentos requer que as organizações se envolvam em due diligenceadequada . A partir de uma posição de plataforma ERP, as organizações precisam garantir que qualquer serviço baseado em nuvem tome ações básicas de prevenção de segurança de rede, como o uso de firewalls. Além disso, uma vez que as empresas automatizam eventos como pagamentos recorrentes e pagamentos atrasados podem levar a custos crescentes, as organizações precisam garantir que os controles de segurança de seu provedor de ERP impeçam a Negação Distribuída de Serviço (DDoS) que pode levar a uma paralisação do serviço.

Certifique-se de criptografia de dados

A maioria das plataformas ERP aproveita conectores baseados em nuvem, chamados de APIs (Application Programming Interfaces, interfaces de programação de aplicativos), que permitem que eles “conversem” com outros sistemas. Por exemplo, um ERP que gerencia trabalhadores contratados também pode precisar “conversar” com uma aplicação de recursos humanos. Para evitar que atores mal-intencionados obtenham acesso não autorizado ao ERP usando uma falha de segurança da API, as organizações devem garantir que todos os dados transmitidos entre os aplicativos conectados sejam criptografados.

Monitore continuamente os controles de segurança do ERP

A natureza dinâmica da cibersegurança significa que as organizações não podem mais se envolver em um processo de due diligence “um e feito”. Atores mal-intencionados evoluem continuamente suas metodologias de ameaça, o que significa que o controle de segurança eficaz de hoje pode ser a vulnerabilidade de amanhã. Como parte da garantia de uma implantação de ERP, as organizações devem se concentrar em monitorar continuamente sua solução e quaisquer outras ferramentas conectadas. Alguns controles a considerar incluem a aplicação de atualizações de segurança em tempo hábil, configuração correta de bancos de dados e mitigação de potenciais ataques de scripting entre sites (XSS) ou SQL contra o aplicativo web.

SecurityScorecard permite maior segurança cibernética em compras

A plataforma de classificação de segurança do SecurityScorecard monitora em dez grupos de fatores de risco, incluindo segurança de rede, reputação de IP, segurança de ponto final, cadência de patches, saúde DNS, segurança de aplicativos da Web, conversas com hackers, vazamentos de informações e engenharia social. Com nossa escala de classificação A-F fácil de ler, o departamento de compras pode colaborar melhor com o departamento de TI, ganhando visibilidade rápida na postura de segurança de seus provedores de ERP e outros membros da cadeia de suprimentos.

Nós melhoramos os programas de gerenciamento de riscos de fornecedores monitorando continuamente o ecossistema digital de uma organização, fornecendo alertas em tempo real com estratégias de remediação acionáveis. Para reduzir o “ruído”, nossa plataforma também ajuda os departamentos de TI, surgindo as maiores fraquezas de risco, permitindo que as organizações priorizem melhor suas atividades de remediação.

À medida que mais departamentos de compras integram mais tecnologias para agilizar as operações de negócios, obter uma visibilidade rápida sobre novos riscos que podem impactar o ecossistema de TI interconectado pode reduzir a probabilidade de um evento de segurança de dados, protegendo dados corporativos, clientes e fornecedores.

FONTE: SECURITY SCORECARD

POSTS RELACIONADOS