As formas como o software e as redes são codificados são importantes; um scorecard pode ajudar
Maio de 2021
À medida que as organizações utilizam mais serviços digitais, elas podem ser expostas a ataques cibernéticos se os fornecedores usados não forem devidamente examinados. Os maus atores são sorrateiros, às vezes persistentes, e podem se mover pelas redes sem serem detectados – a SolarWinds pode atestar isso.
Se um serviço digital se conecta à rede de uma empresa, atores mal-intencionados podem usar isso como uma porta dos fundos para todo o sistema. É por isso que é importante verificar os provedores de serviços para ter certeza de que eles têm um forte processo de cadeia de suprimentos em vigor — incluindo as empresas com as quais fazem negócios.
No ano passado, o coordenador de comunicações da Hoosier Energy, Eric Neely, e o produtor de vídeo Chris Johnson se propuseram a encontrar uma solução para gerenciar o conteúdo digital do departamento, incluindo ativos de marca e imagem. Sabendo que queriam usar software baseado em nuvem, conhecido como Software as a Service (SaaS), eles encontraram fornecedores cujo software roda em qualquer navegador da web.
“Queríamos que o sistema selecionado não apenas nos ajudasse a trabalhar de forma mais inteligente e rápida como uma equipe, mas também que não representasse um risco de segurança para a empresa”, disse Neely.
Para descobrir quais requisitos são necessários para um novo software, Neely entrou em contato com o gerente de segurança cibernética e rede da Hoosier Energy, Richie Field. Ele descobriu que há um scorecard de segurança cibernética que ajuda a identificar plataformas seguras.
“Isso ajuda a identificar a probabilidade de um problema e seu impacto para que o nível de risco possa ser determinado”, disse Field.
Esta é uma ferramenta que ajuda a cooperativa a selecionar fornecedores que estão fazendo sua devida diligência ao construir seus sistemas. Com base nas respostas fornecidas, pode-se determinar quais fornecedores levam a segurança a sério ao construir sua rede.
O scorecard é parte de uma abordagem dupla em vigor na Hoosier Energy. A linguagem do contrato é um aspecto em que os fornecedores são revisados. Isso garante que a cooperativa seja contatada quando um fornecedor tem uma violação e estabelece como a resposta será coordenada.
O segundo componente é uma avaliação para garantir que o hardware e o software usados tenham sido devidamente examinados. É assim que os fornecedores de sistemas SaaS serão revisados e aprovados para uso.
“Quando procurei fornecedores para completar o scorecard, alguns disseram que não estavam mais interessados em nosso negócio. Foi quando eu soube da força que essa análise traz”, disse Neely.
Esta revisão, composta por até 280 perguntas, analisa como o software é criado e também como o hardware, o firmware e a codificação de código aberto são originados e autenticados.
“Por meio desse processo, conseguimos encontrar um sistema que é mais do que um ganha-ganha, é um ganha-ganha seguro”, disse Neely.