“A seleção de fornecedores tem de estar alinhada com o risco”: A proteção das cadeias de valor em debate (com vídeo)

A segurança da cadeia de valor tornou-se um dos temas centrais na agenda das organizações, num contexto em que a interdependência entre empresas, fornecedores e parceiros expõe novas fragilidades. À medida que os ecossistemas digitais se expandem, a proteção deixa de estar confinada ao perímetro interno e passa a depender da capacidade de avaliar, monitorizar e mitigar riscos ao longo de toda a rede de relações. Entre exigências regulatórias, limitações operacionais e diferentes níveis de maturidade, as empresas enfrentam o desafio de garantir resiliência sem comprometer o negócio.

Com um painel composto por Jorge Fraga, Senior Director, EMEA IT da Fresenius Medical Care, Manuel Silva, IT GRC Manager da APDL, Ricardo Rocha Costa, Diretor de Auditoria Interna do Grupo RAR e Bruno Castro, Founder & CEO da VisionWare, a discussão da IT Security Summit Porto centrou-se nas dúvidas, preocupações e desafios que as empresas enfrentam na proteção das suas cadeias de valor.

Decisão e proporcionalidade do risco

Jorge Fraga iniciou o debate com uma posição clara sobre a relação entre risco e seleção de fornecedores. “Para boas decisões a este nível, os critérios de seleção de fornecedores têm de estar alinhados em proporcionalidade com o risco”, referiu o responsável, acrescentando que a prioridade passa por garantir que a segurança não compromete o funcionamento da organização. “Garantir que o negócio não é impactado e que mantemos as operações a fluir naturalmente” é um objetivo que depende diretamente do tipo de acesso concedido aos fornecedores e do impacto que estes têm na operação.

O peso das PME na cadeia de valor

Num tecido empresarial marcado pela predominância de Pequenas e Médias Empresas (PME), a gestão de risco ganha contornos específicos. Manuel Silva destacou que este ecossistema opera muitas vezes com uma autoridade regulatória limitada, o que exige abordagens adaptadas. Recordando o contexto do Porto de Leixões, o responsável explicou que a análise passa pelo mapeamento do risco “através de uma série de fatores para podermos chegar a qualificar o riscos dessas mesmas identidades e o que elas representam em termos da cadeia de valor”.

Este trabalho é feito com recurso a ferramentas como Attack Surface Management, numa perspetiva sobretudo digital. Ainda assim, existe também uma componente colaborativa, com abertura para apoiar entidades que apresentem fragilidades e necessitem de melhorias.

Falhas internas e desafios de controlo

Do ponto de vista da auditoria, Ricardo Rocha Costa apontou fragilidades recorrentes dentro das próprias organizações. Um dos problemas mais frequentes está relacionado “com os acessos ou com a restrição de acessos e segregação de funções”. A dinâmica interna das empresas contribui para esta realidade: “as coisas são dinâmicas, as pessoas mudam, mudam de função e o que se vê é que depois não há uma revisão própria destes acessos”.

A ausência de revisão contínua leva à acumulação de permissões desnecessárias, agravada por um fator cultural. “Ninguém quer rever os acessos”, apontou o responsável, que acredita que a automatização de processos surge como uma solução para garantir que os acessos são ajustados às funções reais de cada colaborador.

Soluções, mercado e envolvimento da gestão

Bruno Castro trouxe uma visão crítica sobre a oferta de cibersegurança disponível, especialmente para PME. Segundo o responsável, muitas soluções existentes “não são PME friendly, debitam imensa informação, e, por trás, tem uma obrigação de know how, capacidade de ajustes e operação constante que uma equipa de IT de duas pessoas não é capaz de gerir”.

Apesar da evolução tecnológica, o desfasamento entre soluções pensadas para grandes empresas e a realidade das PME mantém-se. Ferramentas complexas podem não proteger efetivamente estas organizações, acabando por “esmagar” as equipas reduzidas. A isto junta-se uma perceção errada de risco por parte das PME, que tendem a acreditar que não são alvo de ciberataques.

Outro ponto crítico é o envolvimento da gestão de topo. “Temos de arrastar o top management mais para este tema. Temos de obrigá-los a ter o compromisso no processo de decisão, na gestão de risco e nas decisões, quer seja em termos de budget, quer seja em termos de estratégias”, acrescentou o orador.

Certificação e enquadramento regulatório

A certificação surge como um elemento diferenciador no momento de avaliação de fornecedores. Ricardo Rocha Costa destacou a importância da certificação ISO 27001, referindo que permite garantir padrões consistentes de segurança, uma vez que “estamos a falar da integridade da informação, da disponibilidade da informação, de segurança da informação”. Para o responsável, existe “um nível diferente entre aquelas empresas que têm as certificações e as que não têm as certificações”.

Também Manuel Silva abordou o impacto da entrada em vigor da Diretiva NIS2, que veio introduzir novas exigências e alterar o enquadramento das organizações face à anterior NIS1. “A cibersegurança é mais um pilar que tem de ser analisado e avaliado quando se trata de uma cadeia de valor”, afirmou, explicando que no caso da APDL, os processos passarão por auditorias regulares para avaliar controlos e evidências de acompanhamento. Ainda assim, considera que o aumento de exigência não representa uma rutura total com o passado, sendo uma evolução “daquilo que já estava plasmado pela NIS”.

Impacto operacional e resiliência

A decisão de manter ou terminar relações com fornecedores deve ser ponderada à luz do impacto real no negócio. Jorge Fraga sublinhou que “mais importante que perceber ou tomar a decisão de terminar, ou não, essa relação, passa por perceber qual é o impacto real na nossa operação, se realmente a nossa operação vai ser severa ou minimamente afetada com este tipo de situações”.

A preparação e o conhecimento das alternativas disponíveis são determinantes para uma decisão informada. Ter consciência da criticidade de cada fornecedor facilita a resposta e reduz a incerteza em momentos críticos.

Mudar a narrativa na cadeia de valor

No encerramento da mesa-redonda, Bruno Castro destacou a necessidade de alterar a forma como as empresas, sobretudo PME, comunicam a sua abordagem à cibersegurança. “Mudar a narrativa” implica construir um discurso assente na resiliência e não no medo. “A ideia não é prometer coisas que não são exequíveis”, reforçou o orador.

Para o responsável, o foco deve estar na capacidade de ultrapassar incidentes sem comprometer a atividade. As organizações devem demonstrar que conseguem responder a adversidades sem colocar “em causa a minha atividade, nem o meu negócio junto do meu ecossistema, parceiros, fornecedores e clientes”.

Esta mudança de mentalidade aplica-se a empresas de todas as dimensões. A definição de modelos de governação de segurança deve ter em conta o impacto no negócio e na cadeia de valor, garantindo que as relações com parceiros, fornecedores e clientes não são afetadas, mas sim reforçadas.