Training
15/4/2026

Como ir além do formalismo e melhorar métricas reais de cibersegurança dos terceiros

Toda empresa espera que a segurança de seus parceiros e fornecedores seja a melhor possível, mas isso nem sempre é tão fácil quanto parece. Contratar um terceiro não faz um desafio de segurança desaparecer, mas sim transfere o desafio para esse terceiro. Para dificultar as coisas, a cibersegurança é proporcionalmente mais cara para empresas menores porque recursos de conformidade e autenticação (entre outros) são em geral restritos às assinaturas mais caras das plataformas de SaaS e aplicações on-premises.

A maioria das empresas enfrenta esse problema criando uma série de filtros e apostando em um complexo processo de onboarding calibrado para eliminar os terceiros que não atendem a certos critérios ou não alcançam uma "pontuação" mínima de segurança. Essa postura pode provocar conflitos entre a cibersegurança e o negócio, levando à percepção de que excelentes fornecedores são excluídos antes mesmo de terem a chance de demonstrar seu compromisso com o negócio e com melhorias em sua cibersegurança.

Mas e se pudéssemos alinhar o negócio e os incentivos de cibersegurança de todos os envolvidos para guiar o terceiro a alcançar aprimoramentos reais em sua cibersegurança? Existe uma forma de tornar isso possível, sim. Mas precisamos repensar esses arranjos e utilizar toda a tecnologia disponível hoje para garantir um movimento na direção certa.

O problema dos acordos tradicionais de TPCRM

Já temos um artigo que explora a relação dos fornecedores com os programas de gestão de risco cibernético de terceiros (TPCRM). Em resumo, muitas das abordagens mais comuns para gerenciar o risco de terceiros acabam criando uma relação antagônica entre as partes, colocando o terceiro em uma posição na qual ele é incentivado a ocultar ou até mentir para seus clientes. Afinal, o fornecedor não quer perder uma oportunidade de negócio!

Nessa situação, é fácil ver por que os terceiros ficam na defensiva e relutam em revelar qualquer coisa fora do que é esperado em um contrato padrão. Ou seja, eles podem falar sobre certificações e auditorias como SOC 2. Infelizmente, essas auditorias formais representam muito pouco da capacidade real de uma empresa para detectar e responder a ameaças.

Ross Young chamou isso de "teatro de conformidade" (compliance theater) em um post no LinkedIn que nos inspirou a escrever sobre esse tópico. Estar em conformidade com uma série de normas não é necessariamente a mesma coisa que estar seguro. Na melhor das hipóteses, você ainda estará fazendo o mínimo. E, no pior dos casos, todo esse trabalho em prol da conformidade pode estar desviando o foco do traria resultados reais para a segurança.

No fim disso tudo, as empresas acabaram se perdendo a um trabalho árduo que atingiu poucos resultados concretos e ainda produziu uma relação antagônica com seus parceiros que vai conceder uma visibilidade limitada sobre as práticas de cibersegurança deles.

Será possível virar esse jogo?

Para alcançar resultados na gestão de risco cibernético de terceiros, é necessário mapear as métricas que podemos usar para ir além da conformidade e do formalismo e contar com um método para coletar esses dados. Felizmente, isso é possível.

Ganhando visibilidade, dados e métricas

A segurança quase sempre envolve um equilíbrio entre prós e contras (trade-offs). Antes, a infraestrutura de TI estava enclausurada em um "perímetro" corporativo. Não é que a indústria tenha se articulado em torno desse "teatro de conformidade" porque todos concordaram que solicitar documentos era a melhor solução para gerenciar o risco de terceiros, mas sim porque era o equilíbrio ótimo entre os riscos da época e o ambiente que existia até há alguns anos.

O ecossistema de TI atual é muito mais conectado e homogêneo. Muitas empresas usam as mesmas plataformas de SaaS para suas comunicações internas, para editar documentos colaborativamente, para armazenar arquivos e backups, e até para construir sua infraestrutura externa. O perímetro tradicional, com seus softwares personalizados e redes repletas de particularidades, deixou de existir.

A rede corporativa moderna facilitou a movimentação dos atacantes, porque eles sabem o que esperar e onde procurar os dados que têm valor para eles. Isso mudou o cenário de ameaças, de modo que várias medidas consagradas de gestão de risco se tornaram obsoletas.

 A ideia de que um hacker permaneceria por algum tempo dentro de cada rede para procurar por dados valiosos, inclusive em pequenas empresas, era um pouco absurda. Hoje? Eles sabem onde os dados estão e têm ferramentas para processá-los. Quando terceiros são hackeados, não é incomum que os vazamentos anunciem o fato de que o pacote de dados contém arquivos de várias empresas.

O lado positivo é que os ambientes de TI modernos não facilitam as coisas apenas para os adversários. Os defensores podem se beneficiar dessas semelhanças entre as empresas para realizar a gestão de risco de terceiros com monitoramento inside-out

Também podemos combinar o monitoramento inside-out com algumas observações externas selecionadas de acordo com sua relevância, a exemplo da disposição de um parceiro de participar de um programa de recompensas por vulnerabilidades ou outras iniciativas da comunidade de cibersegurança.

Apostando no aprimoramento concreto

Uma vez que seu programa de TPCRM tiver a capacidade de realizar o monitoramento inside-out para coletar sinais de cibersegurança relacionados a resultados concretos, o próximo passo é alinhar seus objetivos com o terceiro.

Ainda que seja viável simplesmente pedir e torcer para que o terceiro concorde em ceder mais dados e ser monitorado (o que é possível se a relação existente for saudável), uma ideia interessante levantada pelo Ross Young é a de estabelecer recompensas para terceiros que demonstram comprometimento ao corrigir problemas, aplicar patches de vulnerabilidades ou responder prontamente durante incidentes.

Em outras palavras, haveria um acordo de nível de serviço (SLA) que paga um bônus àquele terceiro que faz a coisa certa, mostrando uma compreensão do fato de que a cibersegurança não é um custo fixo. Incidentes e patches de emergência podem criar despesas imprevistas que criam desafios orçamentários para o terceiro. Mas, se é valioso para o contratante que esse terceiro seja ágil, faz sentido pensar em formas de garantir que essa resposta rápida seja financeiramente viável.

Quando os terceiros enxergam que são recompensados por agir corretamente, pode ser mais fácil convencê-los a compartilhar dados e a concordar com uma abordagem de monitoramento que compartilhe os dados com o contratante. A cooperação, a transparência e insights acionáveis constroem melhorias reais na cibersegurança.

Algumas empresas optam por dispensar que um terceiro após um incidente sério de cibersegurança e então o substituem por ouro que vai apresentar os mesmos certificados e passar pelas mesmas avaliações de conformidade. Isso quebra as rotinas do negócio sem oferecer qualquer garantia de melhora, já que as avaliações de onboarding vão se tornar mais e mais desatualizadas com o passar do tempo e recriar a situação anterior.

Embora certamente existam casos em que trocar um parceiro é a única alternativa viável, é fundamental garantir que o substituto terá os incentivos e a orientação para fazer a coisa certa.

Share
Latest Posts
CISA alerta para hardening do Intune. O que isso significa para seus terceiros
Ataque via Microsoft Intune apagou milhares de dispositivos da Stryker e expôs um risco crítico: falhas de segurança em fornecedores. Entenda as recomendações da CISA e como validar continuamente seus terceiros.
Read more
Como práticas seguras de build nos protegeram do ataque de supply chain no Trivy
Ataque de supply chain no Trivy: entenda o que aconteceu, como investigamos o caso e por que nossos controles de segurança evitaram qualquer impacto nos repositórios.
Read more
Tenchi Security expande estratégia de canais para acelerar crescimento internacional
Read more