O que é o risco dos fornecedores no setor financeiro

Um novo relatório da BitSight trouxe um alerta importante para o setor financeiro: fornecedores de tecnologia e serviços que atendem bancos e instituições financeiras estão com desempenho inferior em cibersegurança quando comparados aos seus próprios clientes. Essa diferença expõe um risco direto de ataques à cadeia de suprimentos, um dos métodos mais explorados por grupos criminosos nos últimos anos.

Como funciona a cibersegurança dos fornecedores

A análise avaliou 22 vetores de risco, incluindo portas abertas, segurança de aplicações web, bloqueio de spam, atualizações de softwares, endpoints e práticas de patching. Em 16 deles, fornecedores tiveram resultados piores, com lacunas que chegaram a 15%. Os pontos mais críticos envolveram segurança de aplicações web, configurações TLS e cabeçalhos HTTP — áreas essenciais para proteger dados sensíveis e impedir invasões.

Sinais de alerta / Como identificar

Embora alguns fornecedores apresentem bons resultados em protocolos de e-mail como DMARC, DKIM e DNSSEC, o relatório aponta que empresas de tecnologia normalmente lidam com maior volume de ativos digitais e acabam absorvendo riscos de diferentes clientes. Apenas 36% da cadeia de fornecedores é monitorada continuamente pelo setor financeiro, enquanto a média dos demais segmentos é ainda menor, de 25%.

O que fazer agora / Como se proteger

A BitSight identificou que fornecedores que não são monitorados chegam a ter três vezes mais vulnerabilidades críticas. E, curiosamente, aqueles monitorados por vários clientes apresentaram leve queda de desempenho, possivelmente por serem grandes fornecedores com superfícies de ataque maiores.

Prevenção / Boas práticas

Dica de prevenção:
Empresas financeiras e seus parceiros devem reforçar processos de due diligence, adotar avaliações contínuas de terceiros, exigir conformidade com padrões internacionais e realizar testes periódicos de segurança. Pentests, auditorias internas e políticas de gestão de fornecedores ajudam a reduzir o risco de ataques que exploram elos frágeis da cadeia.

1. Reforce processos de due diligence para seleção de fornecedores.
2. Realize avaliações contínuas de segurança dos parceiros.
3. Exija conformidade com padrões internacionais de segurança.
4. Implemente testes periódicos de segurança, como pentests e auditorias.
5. Desenvolva políticas de gestão de fornecedores robustas.

Perguntas frequentes

Quais são os principais riscos associados aos fornecedores?

Os fornecedores apresentam riscos significativos devido a falhas em cibersegurança, que podem resultar em vulnerabilidades exploráveis por atacantes, afetando toda a cadeia de suprimentos.

Como monitorar a segurança dos fornecedores?

É essencial implementar um programa de monitoramento contínuo que inclua avaliações regulares, auditorias e testes de segurança para identificar e mitigar possíveis vulnerabilidades.

Por que a cibersegurança dos fornecedores é importante para os bancos?

A cibersegurança dos fornecedores é crucial porque os bancos dependem deles para operar. Vulnerabilidades nos fornecedores podem ser um ponto de entrada para ataques que comprometem a segurança financeira.