A segurança da cadeia de fornecimento de hardware, software e serviços
Redação
Os produtos de hardware e software e serviços de tecnologia da informação são desenvolvidos, integrados e fornecidos globalmente por meio de cadeias de fornecimento profundas e fisicamente dispersas. A cadeia de fornecimento pode ser uma estrutura ponto a ponto ou muitos para muitos e também pode ser referida como uma rede de fornecimento. O hardware e software são montados a partir de muitos componentes fornecidos por muitos fornecedores. Os serviços de tecnologia da informação em toda a relação com o fornecedor também são fornecidos por meio de vários níveis de terceirização e cadeia de fornecimento. Atualmente, existem especificações normativas para os adquirentes de produtos e serviços, bem como aos fornecedores de hardware, software e serviços, em relação a obter visibilidade e gerenciar os riscos de segurança da informação causados por cadeias de fornecimento de hardware, software e serviços fisicamente dispersos e em várias camadas; responder aos riscos decorrentes dessa cadeia de fornecimento de hardware, software e serviços fisicamente dispersa e multicamadas que pode ter um impacto na segurança da informação nas organizações que usam esses produtos e serviços; integrar os processos e práticas de segurança da informação nos processos do ciclo de vida do sistema e do software.
Da Redação –
A segurança da cadeia de suprimentos de hardware, software e serviços envolve uma abordagem abrangente para proteger todo o ciclo de vida de produtos e serviços, desde a sua origem até à sua entrega e manutenção, protegendo contra ameaças físicas e cibernéticas. Os principais aspectos incluem verificar a integridade de fornecedores terceirizados, proteger processos de desenvolvimento, gerenciar dependências, implementar controles de segurança durante todo o ciclo de vida e colaborar em todo o ecossistema para compartilhar inteligência de ameaças e manter a integridade.
Alguns dos riscos da cadeia de fornecimento de hardware, software e serviços podem ser abordados aplicando as normas que fornecem processos de ciclo de vida (ver ISO/IEC/IEEE 15288 e NBR ISO/IEC/IEEE 12207), requisitos para estabelecer SGSI (ver NBR ISO/IEC 27001) e controles de segurança da informação (ver NBR ISO/IEC 27002). Controles/tratamentos específicos para lidar com essas práticas incluem: a cadeia de custódia: o adquirente e o fornecedor têm a confiança de que cada alteração e transferência feita durante a vida útil do elemento é au...
Artigo atualizado em 21/10/2025 04:46.
