Formação de sensibilização para a segurança com fornecedores terceiros
Publicado em: 11 Out 2021
Última modificação em: 24 Jul 2025
Uma forma eficaz de gerir as vulnerabilidades dos fornecedores terceiros é implementar uma formação de sensibilização para a segurança com os fornecedores terceiros.
O ecossistema de fornecedores é uma parte integrante de muitas organizações e fornece o suporte para um negócio bem sucedido. Esta relação íntima, muitas vezes complexa, entre fornecedores resultou em falhas que os hackers exploram. A formação em sensibilização para a segurança com fornecedores terceiros é extremamente importante.
A extensão destas vulnerabilidades de terceiros foi captada num inquérito de 2020 da Opinion Matters: o inquérito explorou questões de segurança do ecossistema de terceiros com CIOs, CISOs e Chief Procurement Officers. Um dos resultados mais preocupantes do relatório foi o facto de cerca de 82% das organizações do Reino Unido terem sofrido uma violação de segurança com origem no ecossistema mais vasto dos fornecedores. O inquérito também indicou que o Reino Unido é o país com menor visibilidade das vulnerabilidades de segurança na cadeia de abastecimento.
Gerir as implicações de segurança da utilização de terceiros
A formação de sensibilização para a segurança com fornecedores terceiros é um processo holístico que envolve muitas partes móveis. Devido à complexidade destes sistemas, tanto a exposição acidental de dados como a identificação de alvos de cibersegurança na cadeia de abastecimento conduzem a sérias ameaças à segurança e a um aumento do risco empresarial.
Empresas que utilizam fornecedores e outros terceiros, são normalmente responsáveis pelos resultados de um ciberataque, mesmo que a culpa seja de um terceiro. Regulamentos como ISO27001 e PCI DSS (Norma de segurança de dados da indústria de cartões de pagamento) têm requisitos que esperam qualquer gere os riscos de dados associados a fornecedores terceiros.
A Um estudo recente da ENISA concluiu que 58% dos ataques se centram na obtenção de acesso a dados e 62% dos ataques dependem da manipulação da confiança dos clientes na cadeia de abastecimento. O relatório da ENISA afirma que:
“uma forte proteção da segurança já não é suficiente para as organizações quando os atacantes já desviaram a sua atenção para os fornecedores“.
O relatório também destaca que a comunicação de incidentes é deficiente, o que afecta a visibilidade das vulnerabilidades a montante da cadeia.
Com as cadeias de abastecimento a serem responsáveis por tantos ciberataques, é vital concentrarmo-nos no lado humano da cibersegurança, assegurando que todos os terceiros estão plenamente conscientes dos desafios da segurança. Abordar o elemento humano na equação da ameaça à cibersegurança assume a forma de formação de sensibilização para a segurança. Mas como é que uma organização gere a formação de sensibilização para a segurança com fornecedores terceiros?
Questões importantes na gestão da formação de sensibilização para a segurança com fornecedores terceiros
A gestão das vulnerabilidades de segurança na cadeia de abastecimento resume-se à formação dos funcionários de toda a cadeia. A gestão da Formação de Sensibilização para a Segurança com fornecedores e funcionários de terceiros é acompanhada de várias questões fundamentais:
O Terceiro tem formação de sensibilização para a segurança em vigor?
Descobre se o teu fornecedor já tem em vigor um pacote de formação em sensibilização para a segurança. No entanto, tem em conta que nem todos os pacotes de formação em sensibilização para a segurança são iguais. O nível de formação deve corresponder às expectativas da tua empresa. Verifica se a formação é realizada a intervalos regulares. Um pacote de formação deficiente, que não utilize materiais de formação interactivos e cativantes, pode não mudar comportamentos de segurança deficientes dos empregados.
O fornecedor utiliza simulações de phishing e outras acções educativas de sensibilização para o phishing?
Num Num inquérito realizado em 2021 pela Thales, o phishing ocupa o terceiro lugar entre as dez principais preocupações em matéria de ameaças aos dados. O malware e o ransomware, muitas vezes iniciados por phishing, foram os números 1 e 2, respetivamente.
As simulações de phishing conduzem um funcionário através de uma configuração cuidadosa exercícios automatizados de simulação de phishing. Com o tempo, isto aumenta a confiança do pessoal em saber como detetar sinais de phishing e como denunciar a ameaça. Verifica com o teu fornecedor se utiliza simulações de phishing e, se não o fizer, ajuda-o a desenvolver um programa que simule os esquemas de phishing típicos que afectam o teu sector.
Avalia qualquer campanha de formação de sensibilização para a segurança existente com fornecedores terceiros
Quando tiveres confirmado que o fornecedor tem um programa de formação em sensibilização para a segurança, podes avaliar a sua eficácia verificando:
- Provas documentais da formação, por exemplo, participação dos empregados nas sessões de formação, tipos de perguntas feitas pelos formandos, etc.
- Métricas da eficácia da formação, por exemplo, quantos empregados foram capazes de reconhecer uma mensagem de phishing e de a comunicar?
As métricas ajudam a fazer alterações específicas a um programa que resulta em resultados de formação ainda melhores.
E se o teu fornecedor terceiro não utilizar a formação de sensibilização para a segurança?
É cada vez mais importante abordar o elemento humano do risco cibernético. Outro O relatório da ENISA concluiu que 95% das mensagens electrónicas de phishing necessitam de intervenção humana para iniciar uma infeção por malware. Além disso, há que ter em conta a ameaça de pessoas acidentalmente infiltradas; o Verizon Data Breach Investigations Report, 2021, que revela que 22% dos incidentes de segurança envolvem pessoas internas.
O pessoal do fornecedor tem de receber formação com os mesmos níveis de sensibilização para a segurança que o pessoal da sua própria empresa. Para gerir este aspeto, o Acordo de Nível de Serviço (SLA) entre a sua empresa e o fornecedor deve refletir o nível de formação que espera que seja ministrado. Este acordo legal deve exigir que os detalhes do programa de formação em segurança sejam aprovados de acordo com as suas próprias normas. A existência de um SLA, que inclua uma cláusula relativa ao fornecimento de formação em matéria de segurança, mostra que o fornecedor está empenhado tanto na sua segurança como na sua.
Os grandes fornecedores terceiros garantem uma vantagem competitiva, mas as vulnerabilidades de segurança podem transformar um grande fornecedor numa responsabilidade.
Os cibercriminosos procuram o elo mais fraco da cadeia, o fornecedor e o seu pessoal. Para garantir que estas fendas na armadura da cadeia são atenuadas, certifica-te de que a formação de sensibilização para a segurança com fornecedores terceiros é cuidadosamente gerida para corresponder às expectativas e normas que esperas.
