JA
Pule para Main
Segurança cibernética e risco digital

A sua cadeia de suprimentos é cibernética?

por= Kris Winkler, COLIN TROHA, Ben Aylor e Nadine Moore
Artigo 8 MIN read

Teclas de chave

À medida que as cadeias de suprimentos crescem, o mesmo acontece com a probabilidade de ataques cibernéticos. As empresas que gerenciam proativamente os riscos de segurança cibernética de terceiros podem melhorar bastante a resiliência geral da cadeia de suprimentos. Quarenta por cento dos ataques da cadeia de suprimentos decorrem do acesso à rede não autorizado. Salvo para
  • Nearly all companies—98%—have been negatively affected by a cybersecurity breach that occurred in their supply chain.
  • The number, severity, and sophistication of cyber attacks are growing as companies’ supply chains become more complex, the result of multiple network tiers and numerous digital endpoints. Forty percent of supply chain attacks stem from unauthorized network access.
  • Companies that implement a well-crafted approach to managing supply chain cybersecurity can lower risks and cut costs.
Saved To Meu conteúdo salvo
" "
O Guia de segurança cibernética do CEO


Empresas resilientes priorizam a segurança cibernética. E aqueles que dependem de um funcionamento suave Cadeia de suprimentos estão cada vez mais dando precedência ao gerenciamento dos riscos de segurança cibernética de seus fornecedores, não apenas deles. Primeiro, as empresas estão reconhecendo a necessidade de resiliência da cadeia de suprimentos como resultado das mudanças pandêmicas, mudanças geopolíticas, clima severo e outros eventos recentes que interromperam os negócios. Segundo, os ataques de segurança cibernética às cadeias de suprimentos corporativas estão crescendo em número, gravidade e sofisticação. Segundo o Instituto Ponemon, 98% das empresas foram impactadas negativamente por uma violação que ocorreu em uma empresa em sua rede. Os custos de longo prazo, incluindo danos reputados e outros ao valor corporativo, podem ser altos. As empresas podem fazer melhorias discerníveis em sua própria resiliência, implementando um programa bem elaborado que gerencia os riscos de segurança cibernética de terceiros em sua cadeia de suprimentos. bem -sucedido. Por exemplo, a cadeia de suprimentos de um fabricante de automóveis inclui inúmeros fornecedores, fabricantes, provedores de serviços e clientes que dependem de outros fornecedores, que, por sua vez, dependem de outros fornecedores ainda. Os muitos fornecedores do fabricante de automóveis se conectam à sua rede digital e também estão conectados às redes digitais de seus fornecedores e clientes. Além disso, os fornecedores se conectam usando uma variedade de componentes de hardware e software, que são vendidos e atendidos por outros fornecedores. Quando uma empresa opera um

The catalyst for this shift is twofold. First, companies are recognizing the need for supply chain resilience as a result of the pandemic, geopolitical shifts, severe weather, and other recent events that have disrupted business. Second, cybersecurity attacks on corporate supply chains are growing in number, severity, and sophistication. According to the Ponemon Institute, 98% of companies have been negatively impacted by a breach that occurred at a company in their network. The long-term costs, including reputational and other damage to corporate value, can be high.

To maintain resilience in the face of cybersecurity risks in their supply chain, companies need greater visibility into, and influence over, vendors’ as well as customers’ digital systems and practices. Companies can make discernible improvements to their own resilience by implementing a well-crafted program that manages the cybersecurity risks of third parties in their supply chain.

Growing Risks, More-Sophisticated Attacks

To develop an effective risk-management program for a company’s supply chain, it’s important to understand why cybersecurity attacks are not only increasing but also increasingly successful.

The main reason lies in the complexity of companies’ supply chains and digital networks, which are often several tiers deep. For example, an auto manufacturer’s supply chain includes numerous vendors, manufacturers, service providers, and customers that rely on other suppliers, which, in turn, depend on still other vendors. The auto manufacturer’s many suppliers connect to its digital network, and they are also connected to their vendors’ and customers’ digital networks. In addition, the suppliers connect using an array of hardware and software components, which are sold and serviced by still other vendors. When a company operates a Rede da cadeia de suprimentos com várias camadas , os riscos de segurança cibernética de terceiros também são os riscos da empresa.

Outro fator é o uso de redes em nuvem. À medida que as cadeias de suprimentos crescem, as empresas estão investindo em redes de compras maiores e mais complexas, mudando cargas de trabalho para redes de nuvem pública ou privada. A mudança está aumentando a dependência das empresas nos controles de segurança dos fornecedores de nuvem e reduzindo a visibilidade dos riscos. O surto está criando vários pontos de extremidade digitais que podem ser entradas em uma rede. Como as empresas confiam cada vez mais em ferramentas e dispositivos eletrônicos, é provável que esse risco diminua. Empresas com recursos estabelecidos de segurança cibernética estão sendo comprometidos por terceiros menos sofisticados que estão conectados à sua rede. (Consulte a exposição.)

The rapidly growing number of internet-of-things devices that are connected to networks is also a reason. The surge is creating numerous digital endpoints that can be entryways into a network. Since companies are relying more and more on electronic tools and devices, this risk is not likely to abate.

Finally, bad actors are using more-sophisticated tools and techniques to exploit vulnerabilities in digital networks, and weak points can be difficult to detect. Companies with established cybersecurity capabilities are being compromised through less sophisticated third parties that are connected to their network. (See the exhibit.)

Uma das violações da cadeia de suprimentos mais sofisticadas ocorreram em 2020 porque o código malicioso foi incorporado no software Solarwinds amplamente utilizado. O ataque expôs os dados de milhares de empresas privadas e agências governamentais, principalmente nos EUA e na Europa. O ataque da cadeia de suprimentos se espalhou rapidamente porque o malware, que não foi detectado por anos, software infectado que foi usado para gerenciar as redes das organizações afetadas, permitindo o acesso remoto de backdoor aos sistemas. Um relatório de rádio público nacional chamou de “um hack diferente de qualquer outro, lançado por um adversário sofisticado que mirou em um ventre suave da vida digital: a atualização de software de rotina.”

Outros exemplos são as chamadas vulnerabilidades de colapso e espectro, que causaram problemas na cadeia de suprimentos para empresas em todo o mundo. Esses ataques se basearam em falhas que estavam no design das unidades de processamento central dos computadores por anos antes de serem descobertos em 2018.

Uma abordagem proativa

Apesar do crescente número de ataques cibernéticos e sua sofisticação, o desafio de Minimizando os riscos para redes digitais não é intransponível. As empresas que adotam uma abordagem proativa para gerenciar a cibersegurança da cadeia de suprimentos podem diminuir seus riscos e custos. (Consulte “Repensando a terceirização de segurança cibernética para uma nova organização de TI.”)

Expanda tudo
Repensando a terceirização de segurança cibernética para uma nova organização de TI
= Como uma empresa global de bens de consumo estava alienando várias marcas e unidades de negócios, os líderes avaliaram partes das operações restantes da empresa e perceberam que deveriam adotar uma abordagem mais proativa para gerenciar ameaças cibernéticas na cadeia de suprimentos. Centro.

To begin, the company reconstituted its IT organization and outsourced numerous services, including the management of the IT network, enterprise resource planning software system, and cybersecurity operations center.

A empresa também adotou o fornecimento de fornecedores ágeis. Os líderes detalharam os critérios de tomada de decisão para a escolha de serviços de segurança cibernética e os requisitos para selecionar soluções de inteligência artificial e análise avançada. Os líderes da empresa também estabeleceram novas funções e responsabilidades e criaram novos acordos de nível de serviço que refletiam os critérios e objetivos revisados ​​de segurança cibernética. Também foi capaz de contratar serviços a preços de mercado. O resultado foi uma defesa mais forte contra ataques e uma diminuição de 15% no custo dos serviços de segurança cibernética.

With the changes in place, the IT organization was better able to select vendors on the basis of their cybersecurity capabilities, balancing the speed of contracting with the quality of services. IT was also able to contract services at market prices. The result was a stronger defense against attacks and a 15% decrease in the cost of cybersecurity services.

As organizações fizeram isso com sucesso adotando uma estratégia coordenada que considera as necessidades da organização, bem como as de seus fornecedores e clientes. As práticas estabelecidas incluem:

In the face of the urgency and the size of the task, a proactive approach should include the following steps.

Obtenha um programa de gerenciamento de riscos em vigor. Muitas vezes, a parte mais difícil é simplesmente começar. No entanto, ter um programa coloca uma empresa milhas à frente de organizações que não têm nenhuma. Comece fazendo um balanço da cadeia de suprimentos e identificando oportunidades rápidas-pontos de desbaste que podem ser abordados rapidamente e, no entanto, tornar a rede mais segura. A solução não será perfeita. Isso é de se esperar, não temido.

Companies that have a cybersecurity program are miles ahead of those that have none at all.

Desenvolva o programa como parte de uma estratégia mais ampla de gerenciamento de riscos. Uma organização também deve identificar a quantidade mínima de informações necessárias sobre a exposição ao risco de seus fornecedores, a fim de entender o impacto potencial de um ataque na cadeia de suprimentos e atribuir cada fornecedor a uma camada de risco. Uma avaliação de risco mais detalhada ou controles de segurança mais fortes podem ser necessários para fornecedores em níveis de maior risco do que para fornecedores em camadas de menor risco. As práticas incluíram uma abordagem de camada apoiada pela tecnologia que prioriza automaticamente fornecedores de alto risco de acordo com a lógica de camada relacionada à cibersegurança. A empresa usou a abordagem para melhorar seus processos e ferramentas de fornecimento, bem como ajudar os clientes e fornecedores a fortalecer seus sistemas com interrupção mínima. One way for a company to understand its degree of exposure is to develop scenarios for different types of cyber attacks on various types of suppliers. An organization should also identify the minimum amount of information it needs to have about its suppliers’ risk exposure in order to understand an attack’s potential impact on the supply chain and to assign each vendor to a risk tier. A more detailed risk assessment or stronger security controls may be warranted for suppliers in higher-risk tiers than for vendors in lower-risk tiers.

For example, a major consumer products company invested in a large-scale plan to implement cybersecurity risk-management practices in its supply chain. The practices included a technology-supported tiering approach that automatically prioritizes high-risk vendors according to cybersecurity-related tiering logic. The company used the approach to improve its sourcing processes and tools as well as to help customers and vendors strengthen their systems with minimal disruption.

Aproveite os recursos das ferramentas existentes. Por exemplo, considere incorporar um processo ou controles de riscos de segurança cibernética ou controles no software. There may be existing, untapped capabilities within a company’s enterprise resource planning software and other systems that it can use to develop a risk management program. For example, consider incorporating a cybersecurity risk-tiering process or controls into the software.

Aproveite uma abordagem em fases. Em vez de planejar um lançamento para todos os terceiros, simultaneamente, uma empresa poderia moldar em um programa priorizando regiões, unidades de negócios ou linhas de produtos - as áreas que têm terceiros que apresentam um risco maior. Além disso, uma empresa poderia pilotar partes do programa com novos clientes e fornecedores ou um grupo selecionado de existentes. Por exemplo, um novo processo de triagem pode ser testado com novos fornecedores antes de ser lançado para outros terceiros. Informações aprendidas com a integração de novas partes - especialmente sobre os riscos ou vulnerabilidades comuns - podem ser usados ​​para atribuir níveis de risco às demais partes. In a large organization, the sheer number of third parties can be one of the largest roadblocks to implementing a risk management program. Rather than planning a rollout to all third parties simultaneously, a company could phase in a program by prioritizing regions, business units, or product lines—whichever areas have third parties that pose a higher risk. In addition, a company could pilot parts of the program with new customers and vendors or a select group of existing ones. For example, a new screening process could be tested with new vendors before being rolled out to other third parties. Information learned from the onboarding of new parties—especially about the common risks or vulnerabilities—can be used to assign risk tiers to the remaining parties.

A company could phase in a program by prioritizing regions, business units, or product lines that pose a higher risk.

Trabalhe nas funções. A segurança da cadeia de suprimentos não pode ser melhorada apenas pela tecnologia ou funções de risco. A equipe multifuncional é fundamental para desenvolver e implementar um programa de gerenciamento de riscos para uma cadeia de suprimentos. Além das funções de tecnologia e risco, os líderes devem envolver as unidades de negócios que estão trabalhando diretamente com fornecedores e clientes de terceiros, bem como com o produto, Compras , Merchandising e funções de privacidade.

Deixe os dados conduzirem as decisões. Uma boa maneira de realizar uma avaliação é identificar fornecedores, antes de implementar o programa, que concordam em fornecer feedback. Além disso, avalie o programa em intervalos regulares para avaliar sua eficácia. O processo de avaliação pode incluir a análise de dados da amostra para garantir que terceiros sejam atribuídos às camadas certas ou que o processo esteja avaliando os detalhes da ameaça no nível correto, nem analisando demais nem a base de ANALIDADE. Por exemplo, o envolvimento de líderes em exercícios de risco de segurança cibernética, possivelmente incluindo o envolvimento com terceiros, pode beneficiar o programa enviando uma mensagem clara de sua importância e incentivando a cooperação. Milhares de empresas sofrem ataques caros relacionados a violações de terceiros a cada ano. Cadeias de suprimentos e redes digitais que têm muitas camadas dificultam a visibilidade das empresas em seus riscos. Companies should determine a way to evaluate the program and make adjustments accordingly. A good way to conduct an assessment is to identify vendors, before implementing the program, that agree to provide feedback. In addition, evaluate the program at regular intervals to gauge its effectiveness. The evaluation process may include analyzing sample data to ensure that third parties are assigned to the right tiers or that the process is assessing threat detail at the correct level, neither overanalyzing nor underanalyzing it.

Secure visible support and engagement from senior leadership. A cybersecurity risk management program for a supply chain can only be successful if senior leaders prioritize and support it with sufficient funding. For example, the involvement of leaders in tabletop cybersecurity risk exercises, possibly including engagement with third parties, can benefit the program by sending a clear message of its importance and by encouraging cooperation.

Cybersecurity risk is one the most important challenges facing organizations today. Thousands of companies suffer costly attacks related to third-party breaches each year. Supply chains and digital networks that have many tiers hinder companies’ visibility into their risks.

Companies that want to improve their supply chain resilience should initiate a cybersecurity risk-management program to strengthen the segurança cibernética Práticas e políticas de terceiros em sua cadeia de suprimentos. Enquanto o embarque nesse programa pode parecer assustador, pode ser uma maneira especialmente eficaz para as empresas melhorarem a resiliência da cadeia de suprimentos e antecipam as violações em toda a organização. Inscreva -se

The authors thank Nadya Bartol, Daniel Urke, and Chris White for their contributions to this article.

Subscribe to our Digital, Technology, and Data E-Alert.

Autores

Diretor Associado, BCG Platinion

= Kris Winkler

Diretor Associado, BCG Platinion
Denver

Diretor Gerente de Platinion

Colin Troha

Diretor Gerente de Platinion
Washington, DC

Diretor Gerente e Parceiro Sênior e Parceiro de Recrutamento

Ben Aylor

Diretor Gerente e Parceiro Sênior
Washington, DC

Diretor Gerente e Parceiro

Nadine Moore

Diretor Gerente e Parceiro
Chicago

O que vem a seguir

Leia mais informações das equipes de especialistas do BCG. Segurança cibernética e risco digital
Prepare for Cyberattacks by Overprotecting Your Crown Jewels | rectangle
Cybersecurity and Digital Risk
Entrevista
24 de janeiro de 2023
Prepare -se para os ataques cibernéticos superprotetando suas jóias da coroa
O diretor -gerente e parceiro da BCG, Paul O'Rourke, fala sobre a inevitabilidade das violações, o crescente foco em proteger os dados pessoais e as habilidades cibernéticas que toda empresa precisa.
Saber mais
" "
Capital Tech
Artigo
24 de abril de 2023
Pesquisa anual de segurança cibernética do BCG 2023: À medida que os orçamentos ficam mais apertados, a segurança cibernética deve ficar mais inteligente
Uma pesquisa com diretores de segurança da informação revela como as empresas avançadas ganham maturidade cibernética e quais práticas recomendadas eles usam para se preparar para ameaças emergentes em tempos economicamente incertos.
Saber mais
Why AI Managed Supply Chains Have Fallen Short and How to Fix Them Hero Rectangle
Gerenciamento da cadeia de suprimentos
Artigo
1 de setembro de 2022
Por que as cadeias de suprimentos gerenciadas por AI ficaram aquém e como corrigi-las
A causa raiz do problema não está na tecnologia, mas com como e onde as empresas a aplicam.
Saber mais
" "
Capacidade
Gerenciamento da cadeia de suprimentos
O BCG ajuda as organizações a se concentrar na construção de resiliência e sustentabilidade em suas cadeias de suprimentos para mitigar as interrupções e a instabilidade comercial. Também ajudamos a maximizar o retorno desses investimentos críticos.
Saber mais

Sobre o Boston Consulting Group

O Grupo de Consultoria de Boston faz parceria com líderes em negócios e sociedade para enfrentar seus desafios mais importantes e capturar suas maiores oportunidades. O BCG foi o pioneiro na estratégia de negócios quando foi fundado em 1963. Hoje, trabalhamos em estreita colaboração com os clientes para adotar uma abordagem transformacional que visa beneficiar todos os stakeholders - capacitando as organizações para crescer, construir vantagens competitivas sustentáveis ​​e atingir o impacto social e o impacto social. O BCG fornece soluções por meio de consultoria de gerenciamento de ponta, tecnologia e design e empreendimentos corporativos e digitais. Trabalhamos em um modelo exclusivamente colaborativo em toda a empresa e em todos os níveis da organização do cliente, alimentado pelo objetivo de ajudar nossos clientes a prosperar e permitir que eles tornem o mundo um lugar melhor. [email protected]

Our diverse, global teams bring deep industry and functional expertise and a range of perspectives that question the status quo and spark change. BCG delivers solutions through leading-edge management consulting, technology and design, and corporate and digital ventures. We work in a uniquely collaborative model across the firm and throughout all levels of the client organization, fueled by the goal of helping our clients thrive and enabling them to make the world a better place.

© Boston Consulting Group 2025. All rights reserved.

For information or permission to reprint, please contact BCG at [email protected]. Para encontrar o conteúdo mais recente do BCG e se registrar para receber e-alerts sobre este tópico ou outros, visite bcg.com. Siga o Boston Consulting Group em Facebook e X (anteriormente Twitter).

Salvo para Meu conteúdo salvo
Salvo para Meu conteúdo salvo