insight featured image
Ataques cibernéticos bem-sucedidos na cadeia de suprimentos são particularmente preocupantes, pois pode comprometer uma sólida relação de negócios e de confiança entre diversos stakeholders.
Contents

À luz dos recentes eventos nos Estados Unidos de invasão à SolarWinds, e que também apresentam vulnerabilidades globais cuja exploração tem sido impulsionadas pelo cenário de pandemia, como o conselho administrativo (‘board’) consegue auxiliar na resolução de questões desafiadoras sobre o quanto sua cadeia de suprimentos está preparada, dado que tais incidentes tendem a aumentar em frequência e gravidade?

O board deve garantir que sua gestão tenha avaliado e dimensionado corretamente seus esforços para lidar com esse desafio. As ações independem do porte da empresa ou se possuem capital aberto ou fechado. Contudo, as respostas podem variar significativamente, de acordo com o grau de aceitação e apetite ao risco que o conselho compactua.

Do ponto de vista do board, existem três pilares nesse processo:

1ª pilar: proteção, indenização, corresponsabilidade e transparência

A empresa contratou proteções básicas contra incidentes causados ​​por e/ou envolvendo parceiros e fornecedores? Em caso de incidentes, a organização está apta a buscar indenização desses fornecedores-chave, e se sim, tal indenização é significativa e suficiente? Na área de gerenciamento de risco, há uma diferença fundamental entre ter direito a um julgamento legal e ser indenizado por ele. Por exemplo, suponha que os contratos dos serviços relacionados a cadeia de suprimentos de sua empresa incluem um acordo com um provedor de solução em nuvem que tenha US$ 20 milhões em receitas anuais e um ataque cibernético a esse provedor resulta em uma exposição de US$ 200 milhões, sua organização provavelmente terá direito a uma indenização que nunca será paga.

Transparência e comunicação tempestiva de incidentes também são muito importantes. Existem cláusulas contratuais com fornecedores que preveem a obrigatoriedade de notificação em tempo hábil sobre incidentes que potencialmente poderão expor a sua organização? Os prazos estabelecidos estão aderentes às legislações locais e internacionais de reporte de incidentes garantindo celeridade suficiente da empresa para gerenciamento do risco e exposição? Da mesma forma, os contratos com fornecedores preveem o suporte necessário durante respostas ativas a incidentes e/ou investigações? Deixar de ter essas e outras opções podem representar motivos de atrasos dispendiosos e mitigáveis. Em última instância, podem gerar penalidades e sanções graves para a empresa. Tê-las em vigência antes de um incidente certamente podem assegurar vantagens significativas.

Essas proteções básicas devem ser consideradas previamente por meio de um mapeamento e avaliação de riscos e determinação dos mecanismos necessários para atendimento a demandas legais, regulatórias e aos legítimos interesses da empresa. Além disso, os diretores devem encorajar os gestores de riscos corporativos a identificar riscos já existentes e melhorar de forma contínua e dinâmica o monitoramento de novos riscos para a corporação e quais métodos de proteção e cooperação podem ajudar a mitigá-los. Da mesma forma, os diretores podem colaborar com seu conselho jurídico para garantir que essas proteções sejam suficientes e proporcionais, caso você precise contar com elas para um incidente ativo.

Everson_round.pngEverson Probst, sócio de Serviços Forenses da Grant Thornton Brasil, avalia que a empresa pode se expor de diferentes maneiras dependendo do seu tipo de negócio, mas para que esses riscos sejam minimizados, é importante que a diretoria da empresa adote uma abordagem holística. “Busque dentro da empresa as áreas responsáveis e líderes que poderão suportar com mapeamento de riscos e processos e conte com serviço especializado sempre que necessário para melhor cobertura das análises. Esse processo deve ser contínuo e estar sempre no foco da diretoria”.

2ª pilar: conheça suas capacidades e conduza da melhor maneira possível

O segundo pilar é sobre a avaliação da capacidade da organização relacionada a atualizações, patches e novos elementos que entram no ambiente de TI. As empresas com infraestrutura de TI robustas devem ser capazes de monitorar e atualizar-se de novas versões de software, mesmos suas pequenas atualizações de correção ou performance, e deliberar sobre eventual veto a elementos não seguros ou estáveis como forma de se proteger contra futuros ataques à cadeia de suprimentos. No entanto, muitas organizações podem não ser capazes de fazer isso.

Como aprendizado do case, muitos dos artifícios maliciosos na base de código da SolarWinds teriam gerado sinais de alerta (por exemplo, novas funções de código permitindo modificações nos privilégios a perfis de usuários no que deveria ser apenas uma atualização secundária de melhoria). Os diretores devem orientar sua gestão para ter certeza sobre a capacidade da organização de realizar este tipo de verificação. Se isso não for algo que possa ser feito internamente (ou seja, análise de composição de software por meio de varredura de segurança de componentes de software de terceiros), existem terceiros confiáveis ​​que podem executar essa função? O fundamental aqui – seja feito internamente ou por terceiros – é se a organização pode rastrear as mudanças no nível do código e medir se essas mudanças são esperadas e conformes ​​em tais atualizações.

Se a sua empresa não consegue assumir internamente ou contratar terceiros para essas avaliações, quais alternativas vale a pena explorar? Você pode reverter para o editor do software e exigir (ou pelo menos solicitar) que alguma verificação independente das alterações de código seja realizada?

Talvez esse risco possa ser resolvido obtendo e analisando cuidadosamente um relatório de declaração sobre controles ou um relatório de procedimentos acordados sobre a natureza das alterações em questão. Algumas empresas, principalmente aquelas que lidam com riscos elevados, costumam testar novas atualizações em ambiente segregado e modificar de forma customizada o que irá ser aplicado em ambiente de produção. Sempre aguardando a declaração de estabilidade da versão pelo fornecedor. Mas para que esses e outros processos de segurança sejam efetivos, a organização deve conhecer suas capacidades (dada sua aptidão técnica e apetite pelo risco), assumindo apenas riscos que sejam razoáveis e gerenciáveis e deve buscar outros métodos para lidar com riscos que a organização não pode enfrentar por conta própria.

No contexto brasileiro, Everson Probst avalia que com os desafios trazidos pela Lei Geral de Proteção de Dados (LGPD) somados à forte pressão regulatória que o mercado sofre – como com a inclusão de programas de integridade na nova Lei de Licitação –, e a força dos novos meios de comunicação pela internet que constroem e destroem marcas do dia pra noite, as empresas devem permanecer ainda mais atentar aos riscos para o seu negócio e fazer o monitoramento parte da cultura da corporação.

3ª pilar: seguro para riscos remanescentes e residuais

O terceira pilar é trabalhar com suas equipes de gerenciamento de risco – e muito provavelmente com a companhia de seguros – visando explorar a possibilidade de fazer um seguro para o risco residual. Tendo em vista a dinâmica da cobertura cibernética, com novos produtos sendo lançados no mercado, pode haver algum que cubra o seu risco residual. Algumas operadoras já oferecem seguros específicos para sinistro de segurança e ataques cibernéticos.

Os diretores, dado seu posicionamento organizacional da empresa, tem a capacidade única para fornecer supervisão holística às equipes de gestão que buscam abordar essas questões críticas. Eles têm uma perspectiva que permite que as melhores práticas sejam aplicadas em diferentes setores e contextos que nem sempre são conhecidos pelas equipes de gestão. Consequentemente, os diretores desempenham um papel crucial em ajudar as organizações a encontrar uma abordagem equilibrada para lidar com a ameaça de ataques cibernéticos na cadeia de suprimentos.

Mitigação de riscos a ataques cibernéticos no Brasil

Prover uma adequada gestão de riscos e assegurar-se das proteções cabíveis contratualmente com operadores logísticos e contar com suportes técnicos e financeiros de seguradoras são igualmente condições fundamentais na mitigação de riscos a ataques cibernéticos no Brasil. Contudo, como ocorre em diversas outras situações, existem peculiaridades que tornam as resoluções ainda mais desafiantes.

Ono_round.pngRicardo Ono, sócio de Consultoria da Grant Thornton Brasil, reforça que a cadeia de suprimentos é composta por múltiplas atividades e geralmente, exercidas por múltiplos players, cujas fronteiras de atuação e de responsabilização são difíceis de serem delimitadas. Ou seja, o impacto de um incidente cibernético pode ter sido causado por uma única porta de vulnerabilidade de um provedor e serem alastradas ao longo dos processos logísticos, o que potencializa o litígio e consequentemente dificulta as resoluções para eventuais indenizações.

“Aos três pilares já mencionados, reforça-se o aspecto da celeridade necessária na tomada de decisões em uma ocorrência de incidentes desta natureza. O tempo de resposta é crucial para o êxito de qualquer medida e dessa forma, ações coordenadas através de equipes multidisciplinares que compõem uma espécie de “sala de guerra” – o chamado War room possibilita a execução de planos integrados e minimização dos impactos causados por um ataque cibernético. Esta medida requer, acima de tudo, uma diretriz, um planejamento e uma preparação liderada pelo board da organização”, conclui.

 

Como a Grant Thornton Brasil pode auxiliar a sua empresa nessa jornada?

Assessoramos globalmente diversos conselhos administrativos e nossos especialistas estão à disposição para aprofundar as recomendações abordadas de acordo com as necessidades do seu negócio.

Entre em contato conosco