Cadeias de suprimentos mundiais vulneráveis à medida que as empresas não têm visibilidade dos fornecedores

Views: 40
0 0
Read Time:4 Minute, 35 Second

A BlueVoyant divulgou as conclusões de sua segunda pesquisa global anual sobre gerenciamento de riscos cibernéticos de terceiros. O estudo revela que 97% das empresas pesquisadas foram impactadas negativamente por uma violação de segurança cibernética que ocorreu em sua cadeia de suprimentos.

cadeias de suprimentos vulneráveis

93% admitiram que sofreram uma violação direta de segurança cibernética por causa de fraquezas em sua cadeia de suprimentos e o número médio de violações experimentadas nos últimos 12 meses cresceu de 2,7 em 2020 para 3,7 em 2021 – um aumento de 37% ano após ano.

O estudo foi conduzido pela Opinion Matters e registrou as opiniões e experiências de 1200 CIOs, CISOs e Diretores de Compras em organizações com mais de 1000 funcionários em uma variedade de setores, incluindo: serviços empresariais, serviços financeiros, saúde e farmacêuticos, manufatura, serviços públicos e energia e defesa. Cobriu seis países: EUA, Canadá, Alemanha, Holanda, Reino Unido e Cingapura.

As empresas ainda não priorizam suas cadeias de suprimentos vulneráveis

  • Apenas 13% das empresas disseram que o risco cibernético de terceiros NÃO era uma prioridade, uma queda em comparação com o ano passado, quando 22% das empresas disseram que a cadeia de suprimentos e o risco cibernético de terceiros não estavam em seu radar.
  • A frequência com que as empresas avaliam seus fornecedores caiu ano a ano: 47% auditaram ou relataram sobre a segurança do fornecedor não mais do que duas vezes por ano, em comparação com 32% em 2020.
  • 38% dos entrevistados disseram que não tinham como saber quando ou se surge um problema com a segurança cibernética de um fornecedor terceirizado, em comparação com 29% no ano passado.
  • 91% dizem que o orçamento para o gerenciamento de riscos cibernéticos de terceiros está aumentando em 2021, em comparação com 81% que disseram isso em 2020.

Comentando os resultados da pesquisa, Adam Bixler, Chefe Global de Gerenciamento de Riscos Cibernéticos de Terceiros, BlueVoyant, disse: “Mesmo que estejamos vendo uma conscientização crescente sobre o assunto, as violações e o impacto negativo resultante ainda são incrivelmente altos, enquanto a prevalência de monitoramento contínuo permanece preocupantemente baixa. O risco cibernético de terceiros só pode se tornar uma prioridade estratégica por meio de briefings claros e frequentes para a equipe executiva sênior e o Conselho.

“Enquanto permanecer um item de linha discutido apenas uma ou duas vezes por ano – ou com menos frequência -, o gerenciamento de riscos cibernéticos continuará a definhar de uma perspectiva estratégica até que um evento cibernético inevitável vaze dados, interrompa as operações ou envergonhe a empresa.”

Enquanto os orçamentos aumentam, as empresas ainda estão enfrentando vários pontos problemáticos

Relatórios da escala de aumentos orçamentários quase exatamente coincidiram com os números do ano passado. 29% das empresas relataram aumentos orçamentários de 26-50%; 42% relataram aumentos de 51-100% e 17% relataram aumentos de 100% ou mais. No geral, 91% estão planejando aumentos orçamentários.

No entanto, o grau em que esses investimentos crescentes são coordenados não está claro. As empresas pesquisadas relatam uma distribuição quase igual de pontos problemáticos: gerenciar falsos positivos, gerenciar o volume de dados, priorizar o risco, conhecer sua própria posição de risco, entre outros. O fato de as empresas estarem relatando tantos problemas sugere que orçamentos maiores ainda não estão resultando em redução de risco suficiente.

Adam Bixler continua: “Os aumentos orçamentários demonstram que as empresas estão reconhecendo a necessidade de investir em segurança cibernética e gerenciamento de riscos de fornecedores. No entanto, a ampla, mas consistente, gama de pontos problemáticos sugere que esse investimento não é tão eficaz quanto poderia ser. Isso, ligado à falta de visibilidade, monitoramento e relatórios de nível sênior, ressalta a falta de estratégia ao abordar o risco cibernético de terceiros, o que infelizmente só levará a mais violações.”

Variações entre setores da indústria

A análise das respostas de diferentes setores comerciais revelou variações consideráveis em suas experiências de risco cibernético de terceiros:

  • O setor de serviços empresariais tinha o maior número de funcionários em suas equipes de segurança cibernética ou risco e, correspondentemente, era mais provável que estivesse monitorando o risco de terceiros diariamente.
  • O setor de saúde apresentou a maior taxa de conscientização sobre riscos cibernéticos de terceiros e 55% disseram que identificar riscos era uma prioridade fundamental, em comparação com uma média de 42%. No entanto, este setor também relatou altos números de violações, com 29% relatando 6-10 violações nos últimos 12 meses, em comparação com uma média de 19%.
  • Os entrevistados de manufatura eram menos propensos a identificar o risco de segurança cibernética da cadeia de suprimentos/terceiros como uma prioridade fundamental e eram mais propensos a relatar apenas anualmente.

Adam Bixler comenta: “Nossa pesquisa mostra que há grandes concentrações de risco cibernético desconhecido de terceiros em setores verticais, cadeias de suprimentos e fornecedores em todo o mundo e as organizações estão passando por violações frequentes originadas por fornecedores. Enquanto os orçamentos estão aumentando, a questão crítica é para onde os fundos devem ser direcionados para causar um impacto tangível para reduzir o risco cibernético de terceiros. A falta de visibilidade, estratégia e monitoramento significa que é improvável que a situação melhore até obter a atenção apropriada.”

Jim Rosenthal, CEO da BlueVoyant, conclui: “Audir ou avaliar sua cadeia de suprimentos a cada poucas semanas ou meses não é suficiente para ficar à frente de atacantes ágeis e persistentes. O monitoramento contínuo e a ação rápida contra vulnerabilidades críticas recém-descobertas precisam se tornar a condição essencial para um gerenciamento eficaz de riscos de terceiros.”

FONTE: HELPNET SECURITY

Previous post A atraso de preparação para ataques de ransomware, apesar das organizações estarem cientes dos riscos
Next post GUIA ORIENTATIVO SOBRE SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE

Deixe um comentário