Fernando Brolo*
O recente incidente de segurança envolvendo a Amazon, onde dados de funcionários foram comprometidos devido a uma vulnerabilidade em um fornecedor terceirizado, serve como um alerta para todos nós. Ele reforça uma verdade incontestável: a segurança de uma organização é tão forte quanto o elo mais fraco de sua cadeia de stakeholders. Em um mundo cada vez mais interconectado, onde a dependência de fornecedores, parceiros e colaboradores externos é vital, negligenciar a segurança em qualquer ponto dessa cadeia representa um risco inaceitável.
Este incidente não é uma falha isolada da Amazon, mas sim o reflexo de um desafio sistêmico que exige nossa atenção imediata e ações concretas. A construção de uma operação segura e em conformidade só será possível se todos os agentes envolvidos em nossa operação – desde os funcionários internos até os fornecedores mais distantes – estiverem alinhados à nossa cultura de segurança e conformidade.
Abordagem holística
A segurança não pode ser tratada como um departamento isolado ou uma simples checklist de conformidade. Ela precisa ser incorporada ao DNA da organização, permeando todos os níveis e processos. A seleção de fornecedores e parceiros deve ir além da análise de custos e eficiência. Precisamos implementar processos rigorosos de due diligence que avaliem a maturidade da segurança digital de potenciais parceiros, incluindo suas políticas, práticas e histórico de incidentes.
Os acordos contratuais devem explicitar as responsabilidades de segurança de cada parte, definindo padrões mínimos de proteção de dados, procedimentos de resposta a incidentes e mecanismos de auditoria. Cláusulas de penalidade por falhas de segurança devem ser incluídas para garantir a responsabilização.
Por outro lado, devemos assumir a responsabilidade pela conscientização em segurança cibernética. Ela não pode se limitar aos nossos funcionários internos. Devemos estender programas de treinamento e educação a nossos fornecedores e parceiros, capacitando-os a identificar e mitigar ameaças. Simulações de phishing, treinamentos em segurança de dados e boas práticas de higiene cibernética devem ser parte integrante desses programas.
Monitoramento e avaliação constantes
A segurança é um processo contínuo, não um evento pontual. Implementar mecanismos de monitoramento e avaliação contínua da postura de segurança de nossas atividades e fornecedores é essencial. Auditorias regulares, testes de penetração e avaliações de vulnerabilidade nos ajudam a identificar e corrigir falhas antes que sejam exploradas por agentes maliciosos.
E, mais importante de tudo, em caso de incidentes, a transparência e a comunicação proativa são fundamentais. Estabelecer canais de comunicação claros com nossos fornecedores e parceiros nos permite responder de forma rápida e coordenada a qualquer ameaça, minimizando o impacto em nossos negócios e na confiança de nossos clientes.
A lição aprendida com o incidente da Amazon é clara: a segurança da cadeia é a segurança da empresa. Ao adotar uma abordagem holística e integrada à segurança, que envolve todos os stakeholders, podemos fortalecer nossa resiliência cibernética e proteger nossos ativos mais valiosos: nossos dados, nossa reputação e a confiança de nossos clientes. Investir em segurança não é um custo, é um investimento estratégico para o futuro de nossas organizações.
*Fernando Brolo é CSMO e sócio-fundador da Logithink, empresa de TI de Campinas
