TPCRM
19/8/2025

Como a gestão de risco de terceiros com monitoramento contínuo contribui com o tratamento de incidentes

A conferência Bsides de São Francisco contou com uma palestra da Kasturi Puramwar sobre como se preparar e tratar incidentes de segurança de terceiros. Ela fez muitas recomendações perspicazes e práticas, e você pode assistir à palestra na íntegra pelo vídeo oficial publicado no YouTube pela BSidesSF.

Os fundamentos apresentados na palestra nos remetem a uma reflexão: como diferentes abordagens de Third-Party Cyber Risk Management (TPCRM) impactam a resposta e tratamento de incidentes?

Queremos explorar essa questão para entender como o monitoramento contínuo inside-out pode ajudar as empresas a responderem a incidentes que começaram em sua cadeia de fornecedores ou que tem algum impacto em seus terceiros. 

Antes disso, porém, convém relembrar algumas noções básicas sobre o tratamento de incidentes.

Considerando terceiros nos planos de resposta

Tentar improvisar uma resposta a um incidente em curso deixa tudo bem mais difícil. O planejamento é meio caminho andado, ou até mais que isso. Por isso, é preciso planejar aspectos como:

  • Notificações (report): Equipes de segurança podem receber informações sobre possíveis incidentes de colaboradores, sistemas de inteligência em ameaças ou até de entidades externas em alguns casos. É preciso considerar como esses reports são recebidos e tratados, e os passos para confirmar e iniciar o tratamento do incidente.
  • Cargos e responsabilidades: Se os membros da equipe não souberem o que devem fazer, tudo vai demorar mais. O tempo é preciso, então isso por si só pode ser a diferença entre uma pequena interrupção e uma paralisação total. Outro ponto crucial é saber quem (ou qual comitê) tem autoridade para tomar decisões em cada cenário, bem como os critérios de severidade que podem levar um incidente à alta direção.
  • Comunicação: Este ponto trata de comunicação dos impactos e ações relativas ao incidente, que pode ser do interesse de colaboradores, clientes, fornecedores ou até da imprensa. Os modelos e processos de comunicação devem buscar uma maior clareza na comunicação e o acesso a recursos de apoio.
  • Recuperação: Certos incidentes podem ser tratados com medidas predeterminadas, como reinstalar um sistema, enquanto outros exigem análise forense e outros métodos para garantir que os invasores foram expulsados. Alguns incidentes exigem uma etapa pós-tratamento, em geral por motivos legais, mas isso também pode ser usado para aprimorar processos com base nas lições do incidente.

Após tudo feito, o resultado são playbooks ou runbooks de tratamento de incidentes moldados ao negócio e a cada evento. Muitas empresas já estruturam esses processos, mas o escopo é quase sempre limitado a incidentes de origem interna.

Quando se considera ameaças e riscos de terceiros, percebe-se a necessidade de ajustar muitos componentes do plano. Por exemplo, pode-se considerar como um terceiro vai notificar incidente ou quem são as pessoas na empresa que podem tomar decisões sobre as integrações com terceiros. O número de stakeholders em incidentes na cadeia de fornecedores tende a ser maior, então talvez seja preciso envolver mais pessoas para garantir que os tomadores de decisões estejam bem-informados durante os incidentes.

Controles de contenção são essenciais em incidentes com fornecedores. Implementar as ferramentas para isolar um terceiro da rede corporativa é tão importante quanto saber quando esses controles podem ser empregados e quem pode bater o martelo sobre isso.

Não é muito diferente para quem está no papel de terceiro. Quando é razoável interromper o serviço para um dos clientes, e quem pode decidir sobre isso? Existe autonomia para fazer isso, ou é preciso falar com o cliente primeiro? Na mesma linha, é preciso preparar planos estratégicos para se comunicar com o cliente e talvez com os clientes dele também. Já se tem notícia de incidentes de vazamentos de dados no setor de saúde em que os terceiros contataram diretamente os pacientes atendidos por seus clientes.

Como Puramwar explicou em sua palestra, muitas dessas questões podem e devem ser transformadas em obrigações contratuais para aumentar as chances de que tudo saia como esperado. Mas entendemos que é igualmente importante considerar de que forma obrigações contratuais impactam a relação com terceiros e, portanto, o risco.

Por exemplo, acordos de confidencialidade podem afetar a disposição e a capacidade de um terceiro (e dos terceiros deles) de notificar um incidente. Normalmente, é possível se comunicar com todos que trabalham em um projeto, contratos podem proibir que indivíduos ou empresas subcontratadas façam isso. Se a sua empresa entende que colaboradores externos devem ser capazes de notificar incidentes (de qualquer tipo), esse é um desafio que terá de ser encarado. De todo modo, convém buscar outras formas de melhorar a visibilidade sobre o ecossistema para não depender apenas de notificações.

O monitoramento contínuo inside-out pode ajudar. Atacantes normalmente sabotam a autenticação multifator e outros controles de segurança, e o monitoramento pode identificar essas atividades suspeitas para que sejam investigadas. Assim, os dados coletados pelo monitoramento podem levar à identificação de incidentes, complementando as ferramentas de inteligência em ameaças sugeridas por Puramwar.

Uma abordagem de TPCRM que melhora a visibilidade, a comunicação e a transparência

Transparência, visibilidade e cooperação são grandes desafios para o tratamento de incidentes de terceiros. Por mais que os contratos e acordos imponham certas obrigações, um terceiro ainda pode deixar de cumpri-las durante um incidente.

Não quer dizer que o terceiro não queira cooperar. Incidentes são caóticos, e o pânico facilmente toma conta de empresas que não estão preparadas.

Quando uma empresa utiliza o monitoramento o inside-out em seu programa de TPCRM, muitos desses desafios são superados rotineiramente. Embora a automação se encarregue de analisar a infraestrutura do terceiro e garantir que os controles de segurança estejam desempenhando seu papel, os problemas identificados quase sempre precisam ser corrigidos pela equipe de TI ou de cibersegurança.

É por isso que o monitoramento contínuo inside-out alcança resultados melhores quando as equipes de ambas as empresas trabalham em conjunto, com uma comunicação clara sobre a severidade de cada falha e as expectativas a respeito da solução. Elas também podem compartilhar informações sobre as medidas viáveis e possíveis percalços.

Como este canal de comunicação está sempre aberto, o tratamento de incidentes ocorre com muito mais naturalidade. Se um terceiro tiver dificuldades para tomar previdências a respeito de problemas identificados pelo monitoramento, isso não é um demérito para o monitoramento. Na verdade, está evidenciando uma deficiência na postura de cibersegurança daquele terceiro que provavelmente só viria à tona durante um incidente.

Por outro lado, terceiros que demonstram uma melhoria contínua por meio desse processo tendem a construir uma cultura mais saudável de cibersegurança, beneficiando a resposta a incidentes.

Às vezes, a resposta e o tratamento de incidentes se assemelha a uma arte. Prever cada cenário e elaborar planos é desafiante, mas o pilar da resiliência é uma fundação flexível e adequada para qualquer situação. O monitoramento contínuo inside-out aproxima os terceiros por meio de uma cooperação mútua e constante, contribuindo de forma significativa para tornar isso realidade.

Share
Latest Posts
Quem somos e como somos: o DNA da Tenchi
Read more
Melhores práticas de APIs para integração com ferramentas de segurança
Read more
Como a geopolítica e políticas comerciais impactam os riscos de terceiros (e como empresas podem se preparar)
Read more