Como reforçar a cibersegurança em portais de procurement corporativos

A atividade de suprimentos das organizações (Procurement) foi mais uma das muitas que migrou do espaço físico (telefones, arquivos de papel e organizadores de cartões) para o mundo digital. O desenvolvimento e operação de sistemas corporativos digitais de compras por diversas organizações foi motivada pela expectativa de redução de custos operacionais, automatização e padronização de processos, ao mesmo tempo que se buscava uma integração mais eficiente da cadeia de fornecedores que suportam as atividades de uma empresa, a supply chain.

O surgimento de ferramentas digitais de Procurement significou uma redução no tempo de conclusão do ciclo de compra, ao mesmo tempo que melhorou a qualidade dos dados analíticos tão importantes no processo de Procurement como um todo.

Como em toda a evolução das ferramentas digitais, o caminho começou com soluções totalmente desenvolvidas in-house utilizando tecnologias cliente-servidor e passou pela tecnologia web, ainda com desenvolvimento interno. Vieram então os pacotes de digitais padronizados integrados, as intranets corporativas e, finalmente, a realidade atual utilizando softwares hospedados em nuvens públicas na categoria de Software-as-a-Service (SaaS) em grandes portais de Procurement.

Atualmente não podemos imaginar um processo de Procurement eficiente sem o uso massivo de tecnologias digitais integradas, que são softwares e aplicativos executados nas mais diversas formas de dispositivos eletrônicos-digitais conectados em rede e, em algum ponto, conectados à internet.

Desta forma, a atividade de Procurement moderna, conectando compradores e mercados fornecedores para formação da cadeia de suprimentos, passou a ocorrer no que chamamos de ciberespaço ou espaço virtual formado pela conexão, via Internet, de todos os dispositivos digitais que utilizamos no nosso dia a dia para as mais diversas atividades, ou seja, nada mais que uma extensa supply chain eletrônica de serviços e produtos digitais.

Como todas as tecnologias que usam a Internet, existem fraquezas e vulnerabilidades de cibersegurança nessa supply chain digital, que quando exploradas, os riscos de vazamento e violação de dados aumenta sobremaneira, podendo até comprometer todo o processo de suprimento de bens e serviços caso não sejam adequadamente gerenciadas. Então, quais os riscos de violação de dados em um processo de Procurement baseado no ciberespaço?

À primeira vista, muitas organizações, principalmente em mercados não muito regulados, podem não perceber a profundidade das informações confidenciais envolvidas e o tamanho do risco, em caso de violação desses dados. Lembrando da tríade tecnologia, processos e pessoas, se temos padronização, os maiores riscos estarão associados à introdução de novas tecnologias ou à contratação de colaboradores que o executam.

Quanto maior a cadeia de suprimentos, maior o risco, uma vez que haverá mais colaboradores e tecnologias envolvidas. Assim na introdução de soluções de Procurement, tanto baseadas em nuvens públicas, quanto em Intranets corporativas, vão existir diversas integrações com plataformas internas às empresas e externas, como por exemplo: sistemas de planejamento financeiro, de gestão de riscos, de gestão de projetos, bases para análise de dados (analytics), sistemas de gestão de acessos, entre outros.

Ou seja: uma plataforma de Procurement moderna fatalmente estará integrada ou fará parte do ERP (Enterprise Resource Planning, sistema de gestão empresarial) da empresa, com diversas conexões e acessos privilegiados a informações sensíveis, como nomes e endereços de fornecedores, contas bancárias, CPF, CNPJ, informações fiscais, valores de propostas, contratos, listas de preços, etc. Essas informações, além de estratégicas para os negócios de ambas as partes, fornecedores e compradores, também são protegidas por diversas leis nacionais e internacionais, como Sarbanes Oxley (SOX), General Data Protection Regulation (GDPR) e Lei Geral de Proteção de Dados (LGPD).

Assim, quando uma organização adota um portal de Procurement corporativo, baseado em nuvem pública integrado ao seu ERP corporativo e a sua cadeia de fornecedores, é primordial que os riscos e impactos financeiros ligados a cibersegurança própria e dos parceiros, sejam rigorosamente analisados e avaliados.

O relatório global de riscos 2020 do World Economic Forum coloca entre os 10 eventos de maior impacto econômico e probabilidade de ocorrência, os ataques cibernéticos. Os ocorridos durante o ano de 2020 somente confirmaram essa expectativa. Proteger as informações dos processos de suprimentos é fundamental para manutenção da saúde financeira das organizações.

Os portais de Procurement precisam ter uma postura robusta de segurança da informação, focando nas ameaças cibernéticas de toda a cadeia tecnológica, porém sem esquecer que temos pessoas utilizando e desenvolvendo essa tecnologia. Dessa forma, algumas atividades são recomendadas, não especificamente para essa categoria de sistemas corporativos, mas ainda mais relevantes neste processo:

Analisar os riscos cibernéticos de toda a cadeia de suprimentos

O importante é garantir o compliance dos serviços contratados com as ações básicas de ciber-higiene. Como auditar toda uma cadeia de fornecedores e provedores de serviços é uma tarefa praticamente impossível, é recomendado se basear nas auditorias independentes e verificar as certificações na área da cadeia de suprimentos como: STAR do Cloud Security Alliance (CSA); Service Organization Controls (SOC) 1, 2, e 3; ISO/IEC 27001; ISO/IEC 27018; ISO/IEC 27701; ISO/IEC 27017; PCI DSS; e outras especificas de cada região ou área de negócio;

Criptografar os dados sigilosos tanto em repouso quanto em trânsito, utilizando conexões seguras e forte criptografia

Para os dados em repouso, a recomendação é usar serviços e sistemas que sigam o padrão 140-2 do FIPS (Federal Information Processing Standard) americano. Já para o caso de dados em trânsito, utilizar TLS (transport layer security) acima do padrão 1.2, e quando forem integrações de sistemas via webservices (API), usar também o padrão WS-Security para autenticação dos serviços;

Monitorar continuamente os controles de segurança e fomentar uma profunda colaboração entre os departamentos de suprimentos e de TI

Quando isso não acontece, temos grande potencial que as tecnologias que apoiam os processos de suprimento se tornem “Shadow IT” sendo invisíveis para os departamentos de TI e times de segurança cibernética, perdendo a possibilidade de identificação de incidentes, suporte ou análises profundas de segurança.

Segurança com um processo de desenvolvimento seguro

Nos processos de desenvolvimento e customização de softwares e aplicações feitos internamente ou por meio da contratação de serviços de terceiros, procurar garantir a segurança com um processo de desenvolvimento seguro fazendo análises de impacto das alterações do software e realizando testes estáticos e dinâmicos em todo o código novo desenvolvido.

Por fim, mas não menos importante: manter toda a força de trabalho do processo de Procurement, tanto técnicos, quanto operacionais, treinada e consciente dos riscos tecnológicos por meio de um programa de treinamento e conscientização em segurança da informação, com métricas consolidadas e definidas de forma que se tenha um acompanhamento constante do nível de maturidade das equipes em relação ao tema.

*Ricardo Salvatore é gerente de Segurança da Informação e Tecnologia da Petronect