A escassez de talentos em cibersegurança deixou de ser o desafio futuro e passou a representar um problema urgente para empresas. Paralelamente, ataques à cadeia de suprimentos e às relações de confiança consolidaram-se como uma das principais ameaças, atingindo uma em cada três organizações no último ano, segundo estudo global da Kaspersky¹. Nesse cenário, a falta de profissionais especializados, somada à pressão por lidar com múltiplas prioridades, reduz capacidade de resposta a riscos: 42% dos entrevistados afirmam que essas lacunas comprometem esforços de proteção. Veja abaixo como se proteger.
De acordo com a pesquisa, um dos principais obstáculos para reduzir os riscos associados à cadeia de suprimentos e às relações de confiança é a falta de pessoal qualificado. Essa escassez limita a capacidade das organizações de acessar continuamente e monitorar possíveis vulnerabilidades em terceiros dentro de seus ecossistemas. A necessidade de profissionais de cibersegurança capazes de enfrentar esses riscos é especialmente alta em alguns países da América Latina, além de Vietnã, Emirados Árabes Unidos e Espanha.
Outro obstáculo relevante é necessidade de gerenciar múltiplas prioridades de cibersegurança simultaneamente, de acordo com os entrevistados. Isso mostra que as equipes de segurança estão sobrecarregadas com tarefas demais simultaneamente, o que pode fazer com que ameaças relacionadas à cadeia de suprimentos fiquem sem a devida atenção.
Além da falta de recursos, as empresas também enfrentam problemas estruturais. Uma boa parte dos entrevistados (39%) afirmam que seus contratos não incluem obrigações claras de segurança da informação para os contratados, uma lacuna especialmente frequente em países como Vietnã, Turquia, Espanha e México. Soma-se a isso o fato de que 32% dizem que o pessoal fora da área de segurança não compreende plenamente esses riscos, o que dificulta sua gestão dentro das organizações.
Em nível global, 85% das empresas reconhecem que precisam reforçar sua proteção contra os riscos na cadeia de suprimentos e em suas relações com terceiros, enquanto apenas 15% consideram que suas medidas atuais são realmente eficazes. Esse nível de confiança é ainda menor em países como Alemanha (6%), Turquia (7%), Itália (8%), Brasil (8%), Rússia (8%) e Arábia Saudita (9%). Ao mesmo tempo, as ações que as empresas estão adotando para se proteger ainda são limitadas e pouco consistentes: nenhuma medida ultrapassa 40% de adoção, e a mais comum, a autenticação em dois fatores, é utilizada por apenas 38% dos entrevistados.
Além disso, apenas 35% das organizações revisam periodicamente a segurança de seus fornecedores. Isso significa que quase dois terços das empresas não têm visibilidade constante sobre os riscos que podem vir de seus parceiros, o que as deixa expostas a novas vulnerabilidades.
No entanto, as empresas que já sofreram esse tipo de ataque tendem a reforçar suas práticas. Por exemplo, 56% das que foram afetadas por incidentes na cadeia de suprimentos exigem comprovações de segurança mais rigorosas, enquanto as que enfrentaram falhas em relações de confiança priorizam a verificação de padrões (56%) e o cumprimento das políticas de segurança por parte de seus contratados (53%).
“De uma perspectiva regional, o problema não é apenas a escassez de talentos, mas o impacto direto que isso tem na capacidade das empresas de gerenciar riscos de forma abrangente. Quando as equipes estão sobrecarregadas, a segurança deixa de ser preventiva e passa a ser reativa, abrindo espaço para ameaças que podem entrar por meio de fornecedores e escalar sem serem detectadas. Na América Latina, onde os ecossistemas empresariais estão cada vez mais interconectados, uma fragilidade em um terceiro pode rapidamente se transformar em um risco operacional, financeiro e reputacional para toda a organização. Por isso, a segurança da cadeia de suprimentos deve ser tratada como uma responsabilidade compartilhada, com padrões claros e consistentes em toda a rede. Além disso, os cibercriminosos sabem que a escassez de talentos é ainda mais acentuada nas organizações menores da cadeia de suprimentos, o que as torna alvos prioritários”, afirma Claudio Martinelli, diretor-geral para as Américas na Kaspersky.
Para mitigar esses riscos, os especialistas da Kaspersky recomendam:
- Adotar serviços gerenciados de segurança. Para organizações que não dispõem de recursos dedicados à cibersegurança, a melhor opção é recorrer à terceirização. Utilize serviços como Kaspersky Managed Detection and Response (MDR) e/ou Incident Response, que cobrem todo o ciclo de gestão de incidentes, desde a identificação de ameaças até a proteção contínua e a remediação.
- Investir em capacitação adicional em cibersegurança. Reforce os conhecimentos de cibersegurança de seus colaboradores por meio de programas de treinamento da Kaspersky, seja em formato autodidata ou ao vivo, com foco prático. Esses programas educacionais ajudam os profissionais de segurança a desenvolver suas habilidades técnicas e a proteger as empresas contra ataques sofisticados.
- Avaliar cuidadosamente os fornecedores antes de firmar um acordo. Revise suas políticas de cibersegurança, informações sobre incidentes anteriores e o cumprimento de padrões de segurança do setor. No caso de softwares e serviços em nuvem, também é recomendável analisar dados de vulnerabilidades e resultados de testes de invasão.
- Implementar requisitos de segurança nos contratos. Os acordos com fornecedores devem incluir disposições específicas de segurança da informação, como auditorias periódicas, cumprimento das políticas de segurança da organização e protocolos de notificação de incidentes.
- Colaborar com os fornecedores em temas de segurança. Reforce a proteção de ambos os lados e transforme isso em uma prioridade compartilhada.
Mais recomendações e outras informações sobre a mitigação de riscos na cadeia de suprimentos, estão disponíveis aqui.
Para saber mais sobre como proteger a segurança empresarial, visite nosso blog.
¹ Estudo conduzido pelo centro interno de pesquisa de mercado da Kaspersky ouviu 1.714 especialistas técnicos — de executivos C-level a profissionais sêniores — em empresas com mais de 500 funcionários, em 16 países, incluindo Alemanha, Espanha, Itália, Brasil, México, Colômbia, Singapura, Vietnã, China, Índia, Indonésia, Arábia Saudita, Turquia, Egito, Emirados Árabes Unidos e Rússia.
Fonte: https://www.kaspersky.com.br/about/press-releases/