Supply Chain Security
10/6/2025

O que a gestão de risco cibernético de terceiros significa para os fornecedores?

Quando pensamos em gestão de risco cibernético de terceiros (Third-Party Cyber Risk Management — TPCRM) quase sempre nos dedicamos ao conjunto de ações tomadas pelo contratante (o "primeiro"). Em outras palavras, o TPCRM trata de como uma empresa detecta, previne e responde aos riscos decorrentes das suas relações com seus fornecedores e prestadores de serviço. Isso não significa, contudo, que este processo é invisível para os terceiros ou que eles não participam dele.

Como um fornecedor, por exemplo, você rapidamente vai ter uma noção da abordagem de TPCRM do seu cliente. Logo no início, é possível que seu cliente solicite informações em questionários de autoavaliação (Self-assessment Questionnaires — SAQ) ou talvez a documentação das certificações que você possui.

Esse processo parece colocar o contratante e o fornecedor em lados antagônicos, mas não deveria ser assim. Isso ocorre porque, para você como fornecedor, pode ser difícil entender o que o cliente quer, especialmente quando questionários são amplos e até vagos, e certificações estão igualmente vinculadas a processos e práticas organizacionais, não a riscos específicos.

Terceiros que não são fornecedores nem prestadores de serviço também podem estar sujeitos ao programa de TPCRM. Joint ventures e parcerias às vezes são a melhor forma de levar um produto ou serviço ao mercado, e essas relações também conectam múltiplas empresas (além de seus fornecedores) em um grande ecossistema de TI. O TPCRM é necessário para mitigar riscos em todos esses cenários, impactando as organizações envolvidas.

Embora algumas abordagens de TPCRM careçam de assertividade, elas são tão comuns que a maior parte dos fornecedores B2B já se acostumou. Por outro lado, um pedido novo ou incomum – como a implementação de uma ferramenta de monitoramento contínuo –, pode deixar os terceiros um pouco receosos. Na realidade, deveria ser o contrário. Questionários e auditorias têm um custo e pouco retorno, enquanto o monitoramento contínuo inside-out traz valor real a custo zero para o terceiro.

O monitoramento contínuo inside-out é uma abordagem excelente de TPCRM, pois aproveita a relação que já existe entre você e o seu cliente para construir um canal de compartilhamento de informações sobre problemas de segurança. Os pontos de melhoria solicitados são claramente definidos, assim como os passos para remediação, e o resultado disso positivo para a segurança de ambos os lados.

Como o monitoramento contínuo oferece dados quase que em tempo real, ele é útil também para o fornecedor. Ao contrário de questionários e auditorias, que rapidamente ficam desatualizadas e deixam de representar o momento atual, o monitoramento busca indicadores em intervalos regulares (normalmente diários) e ajuda o fornecedor notificando-o sobre regressões ou erros em controles de segurança.

A seguir, vamos entender como cada abordagem de TPCRM impacta os terceiros.

Questionários de segurança (SAQ)

Questionários são necessários em muitas circunstâncias – tal como na avaliação de políticas da empresa e outros critérios subjetivos –, mas eles possuem diversas limitações. 

A principal desvantagem dos questionários de segurança é o tempo necessário para respondê-los. Se você pudesse responder ou atualizar questionários todos os dias, eles possivelmente seriam mais úteis. Entretanto, o tempo que leva para preencher cada questionário torna isso inviável.

Um agravante é que os terceiros muitas vezes devem responder questionários diferentes de cada parceiro ou cliente, possivelmente em plataformas online. Essa heterogeneidade reduz ainda mais os  ganhos de produtividade que seriam esperados com essas plataformas, ainda mais quando o número de questionários recebidos aumenta.

O fornecedor arca com o custo de responder um questionário ao alocar um responsável pela tarefa. Mesmo que não haja qualquer compensação financeira ou envolvimento de um fornecedor de segurança nesse processo, esse trabalho ainda terá um custo.

Infelizmente, o retorno desse investimento tende a ser baixo. Um questionário de autoavaliação provavelmente não trará um benefício de segurança para o fornecedor. Já vimos empresas criando times de profissionais de segurança dedicados a cuidar do recebimento de questionários, auditorias e outras atividades de asseguração. Não seria melhor para todos se esses profissionais estivessem trabalhando na implementação de novos controles de segurança no ambiente do terceiro e na redução de risco esse terceiro gera para a empresa  e para outros? 

A empresa contratante pode optar por um fornecedor diferente com base nas respostas dadas, mas não saberá se elas realmente representam a realidade por quanto tempo elas permanecerão válidas. Por conta disso, as decisões tomadas com base em questionários tendem a ser imprecisas.

Auditorias e testes de invasão

Auditorias e testes de invasão podem trazer benefícios de segurança quando encontram problemas concretos ou deficiências em como um fornecedor lida com sua segurança. Eles podem trazer à tona problemas que o terceiro não conhecia, levando a uma correção que reduz o risco. Contudo, o custo elevado desses processos significa que eles são inadequados para avaliar a segurança de uma organização ao longo do tempo.

No caso dos testes de invasão, há uma possibilidade de que eles causem impacto operacional ou de segurança. Além disso, os testadores podem acabar tendo acesso a dados de outras empresas que mantêm algum vínculo com terceiro, mesmo quando são executados em ambientes de desenvolvimento ou de testes.

Por fim, do ponto de vista do terceiro, essas medidas tendem a antagonizar o contratante. Assim, existe um incentivo para não cooperar com uma auditoria tanto quanto seria possível, ou então implementar controles de segurança mais restritos nos ativos mais expostos em um teste de invasão.

O resultado disso são "pontos cegos" que impedem ambas as partes de encontrar fragilidades internas que, se fossem tratadas, resultariam em um aprimoramento da resiliência cibernética.

Pontuação de segurança

Pontuações de segurança normalmente são calculadas com monitoramento outside-in (por fora), o que significa que a avaliação é baseada apenas no que pode ser observado em um recorte da superfície de ataque externa que foi mapeada pela empresa responsável pela pontuação. Além de estar quase sempre bastante incompleto, este recorte deixa de fora as infraestruturas de nuvem (IaaS, PaaS e SaaS) que podem ser críticas para a superfície externa dos terceiros.

O maior agravante é que este foco na visão externa fornece pouca visibilidade sobre controles internos e ativos que armazenam dados corporativos, os quais podem estar em um ambiente completamente separado. Disciplinas como a gestão de acessos e identidades (Identity and Access Management - IAM, o qual inclui a aplicação de 2FA e a gestão de privilégios), a segurança de endpoints, a criptografia de dados em repouso (at rest), registros em logs e segmentação da rede interna são todos praticamente invisíveis para os testes outside-in.

Um estudo da Tenchi Security constatou que testes outside-in como os que são realizados pelos serviços de pontuação tradicionais cobrem no máximo 20% dos controles definidos pelo framework CIS Critical Security Controls..

Por isso, a pontuação pode refletir métricas que não são importantes para você como fornecedor nem para seus clientes. Sua pontuação pode ser baixa porque ela é calculada a partir de algo que não é relevante para suas operações, ou talvez ela seja alta porque apenas avaliou as partes menos complexas da sua infraestrutura.

Já conversamos com vários CISOs que relatam que isso é realmente prejudicial para as prioridades de gestão de risco. Em vez de focarem em projetos mais críticos, como a implementação de 2FA, eles tiveram de despender capital político, a atenção da equipe e o orçamento para tratar de questões de segurança bem menos relevantes que são tidas como críticas para a pontuação de segurança que seus clientes consultam. Uma das empresas pontuadoras notadamente reduz sua pontuação se a data de copyright nas suas páginas estiver com a data errada, por exemplo.

Como as pontuações de segurança tipicamente tentam resumir tudo sobre sua postura de segurança em um único número, eles são tão vagos quanto certificações e outras abordagens que não contam com uma lista clara de questões a serem consideradas e resolvidas.

Monitoramento contínuo por dentro (inside-out)

Alguns fornecedores podem ficar receosos com monitoramento inside-out quando entendem que ele precisa ser configurado com algumas permissões de leitura. No entanto, uma solução projetada de forma correta, como o Zanshin, é segura e não coleta nem compartilha dados corporativos. Isso é essencial, já que ambas as partes de uma relação comercial devem compreender o que é razoável compartilhar para fins de segurança.

Após realizada a configuração, porém, um terceiro receberá informações valiosas e muito mais completas sobre sua verdadeira postura  de segurança. O maior benefício do monitoramento contínuo é a capacidade de detectar problemas bem específicos, em geral com passos já definidos para o tratamento do alerta — tudo isso de forma ágil.

Essa abordagem encontra problemas de segurança legítimos, e a metodologia "por dentro" permite indicar com clareza onde cada problema está. Uma vez que os problemas são corrigidos, o resultado é um ganho na segurança – para o fornecedor, que fechou uma brecha em sua segurança, e para o contratante, que está se tornando mais resiliente ao proteger um ecossistema de TI vinculado ao seu.

Como o contratante é pago pela solução de monitoramento, o fornecedor terá acesso a relatórios gratuitos e alertas com sugestões claras de ações a serem somadas, ajudando-os a superar a linha da pobreza de segurança. Muitos terceiros de menor porte não teriam condições ou meios para justificar o custo de implementar uma ferramenta semelhante com recursos próprios.

Em outras palavras, o fornecedor pode crescer e alcançar resultados melhores em segurança com menos custos.

Isso nos leva a uma diferença fundamental desta abordagem: ela não antagoniza o fornecedor. O terceiro recebe uma visão detalhada de problemas que são encontrados, permitindo entender por que eles devem ser corrigidos e como eles representam um risco para seus clientes. Acreditamos que este foco na colaboração e em práticas de segurança impactantes para o mundo real traz os melhores resultados para a gestão de risco cibernético de terceiros.

Share
Latest Posts
Risco cibernético de terceiros chega à capa do DBIR 2025 da Verizon
Read more
A 'linha de pobreza da segurança' e seu impacto no risco cibernético de terceiros
Read more
Digital Nomads: Uma oportunidade única para o crescimento do profissional na Tenchi Security
Read more