TPCRM
25/5/2026

O risco oculto do Third-Party Cyber Risk Management: quando os times de TPCRM não entendem de fato os serviços que avaliam

Por Fernanda Lopes - Head de Customer Success

A maioria dos programas de TPCRM parece madura no papel. Há uma biblioteca de questionários, um security rating service contratado, um modelo de tiering, uma cadência anual de reavaliação e um dashboard para o conselho. O risk register está populado, o comitê de auditoria está satisfeito e as métricas se movem na direção certa.

Aí o incidente acontece por meio de um fornecedor que ninguém sinalizou, em uma camada do serviço que ninguém mapeou, por um controle que ninguém validou. O Verizon Data Breach Investigations Report conta a história sem rodeios: o envolvimento de terceiros em violações dobrou em um único ano, saltando de 15% em 2024 para 30% em 2025. O relatório de 2026 confirma essa trajetória preocupante, com mais 60% de aumento; terceiros já aparecem em 48% de todas as violações.

O que raramente aparece no risk register, porém, é o gap de capacidades dentro do próprio time de TPCRM. Quando as pessoas que conduzem o programa não compreendem em profundidade como os serviços que avaliam são de fato entregues, o programa silenciosamente deixa de gerir risco e passa a fazer compliance theatre. Os dashboards continuam saudáveis. A exposição, não.

É assim que esse gap aparece na prática, e por que os próximos cinco anos vão recompensar as organizações que o fecharem.

Reviews sem contexto criam falsa segurança

Questionários, atestados SOC 2, certificações ISO, sumários de pentest; nada disso significa muito no vácuo. O valor dessas evidências depende inteiramente da capacidade de quem analisa de interpretá-las à luz de como o serviço de fato roda.

Se um analista de TPCRM não consegue descrever o fluxo de dados do fornecedor, a fronteira de identidade, a cadeia de subcontratados, as regiões onde a carga de trabalho roda ou qual control plane fica na frente dos dados do cliente, as evidências coletadas nas respostas dos questionários acabam sendo avaliadas de forma isolada. Um SOC 2 limpo do ambiente corporativo diz quase nada sobre o tenant de produção onde seus dados moram. Um pentest com escopo no site de marketing não é um pentest da API com a qual seus engenheiros integram.

O comprometimento Salesloft-Drift em 2025 deixou esse ponto bem caro. Atacantes roubaram OAuth tokens da integração com o Drift e pivotaram para centenas de tenants do Salesforce conectados, atingindo mais de 700 organizações. A maior parte dessas empresas tinha avaliado o Drift e o Salesloft. Poucas tinham um time de TPCRM capaz de explicar, em termos operacionais, que a exposição real estava em um token dentro de uma cadeia de confiança SaaS-to-SaaS, e não nos notebooks do escritório do fornecedor.

O resultado de uma review sem contexto é uma avaliação impecável e visibilidade de risco zero. Caminhos críticos de exposição permanecem invisíveis porque ninguém fez a pergunta que os teria revelado.

A criticidade dos fornecedores é classificada de forma equivocada com frequência

A maioria dos modelos de tiering é construída em torno de valor de contrato, classificação de dados ou de um questionário no qual o próprio fornecedor opina sobre sua 'criticidade'. Esses critérios são úteis, e estão errados com frequência suficiente para serem perigosos.

A criticidade real mora nas dependências de processos de negócio e no impacto sobre a geração de valor para usuários finais e acionistas. Um pequeno intermediário de procurement pode ser mais crítico do que o maior contrato com uma hyperscaler. O Chain IQ Group, terceirizador de procurement, foi atacado em junho de 2025 e vazou mais de 130.000 registros de funcionários de clientes como UBS e Pictet. Bancos classificam suas hyperscalers com cuidado. O fornecedor de procurement com acesso a diretórios de colaboradores raramente recebe o mesmo escrutínio.

A Qantas viu o mesmo padrão em 30 de junho de 2025, quando entre 5,7 e 6 milhões de registros de clientes foram expostos via uma plataforma usada por um call center offshore. Esse call center era subfornecedor de um fornecedor, o tipo de relação que vive várias camadas abaixo de onde a maioria dos modelos de tiering olha.

Se as pessoas que definem os tiers não conseguem descrever como valor, confiança e acesso fluem pelo ecossistema de fornecedores, o programa vai continuar monitorando os fornecedores óbvios e perdendo de vista os que realmente importam.

A visibilidade de risco cibernético para na fronteira do fornecedor

A entrega moderna de serviços quase nunca termina no fornecedor nomeado em contrato. A superfície de risco inclui plataformas SaaS rodando em hyperscalers, camadas de processamento subcontratadas, APIs embarcadas, cadeias de identity federation, provedores externos de suporte e centros de entrega offshore.

O Forrester Wave de TPRM Platforms do Q1 2026 foi direto: o mapeamento de relações deixou de ser uma visualização 'nice-to-have'; é o único caminho para expor concentration risk oculto e dependências Nth-party que inventários estáticos não enxergam.

O ataque de setembro de 2025 à Collins Aerospace ilustra a velocidade com que essa concentração vira problema operacional. Um incidente de ransomware no software de check-in Muse, da Collins, cascateou simultaneamente para os aeroportos de Heathrow, Bruxelas e Berlim, cancelando voos e deixando passageiros em terra. Nenhum desses aeroportos tinha relação contratual com o atacante. Tinham uma dependência compartilhada que os próprios programas de TPCRM tratavam como 'fornecedor de outra pessoa'.

Se um time não consegue mapear o ecossistema por trás de um contrato, o continuous monitoring vira o monitoramento apenas da camada visível. A superfície de ataque real fica no escuro.

Sinais de risco em tempo real estão cada vez mais disponíveis, e cada vez mais subutilizados

Threat intelligence feeds, monitoramento de vazamento de credenciais, continuous control monitoring, attack surface management, inside-out posture checks; os sinais hoje são abundantes e, em boa parte, baratos. Segundo o relatório de Gartner, Inc® Predicts 2026: Third-Party Cybersecurity Risk Management Evolves for the AI Era, até 2028 metade dos programas de TPCRM estará focada em continuous monitoring, permitindo que CISOs realoquem recursos de due diligence para atividades de maior valor na mitigação de risco de terceiros. Também até 2028, organizações que integrarem TPCRM aos programas de cyber GRC vão obter reduções de mais de 20% em custos de mão de obra e tecnologia, enquanto programas fragmentados vão enfrentar um overhead operacional insustentável.

A pegadinha está na interpretação. Uma credencial vazada em um fornecedor de folha de pagamento só importa se alguém no time de TPCRM consegue posicionar essa credencial no contexto de como o serviço é entregue e de quais dos seus processos dependem dele. Sem isso, o sinal vira ruído, os alertas se acumulam e o time termina triando notificações no Slack em vez de reduzir exposição.

Há uma segunda pegadinha. Até 2028, 70% das organizações e fornecedores vão usar GenAI tanto para preencher quanto para analisar questionários de TPCRM. O mesmo relatório chama isso de 'security theatre em escala' e alerta que GenAI analisando respostas geradas por GenAI vai provocar degradação dos outputs, amplificação de erros e, eventualmente, model collapse em relação aos indicadores reais de risco. A economia dos questionários já está se devorando; times que se apoiam nela como controle principal estão se apoiando em um sinal que encolhe.

O gap de skills que não vai aparecer em nenhum modelo de maturidade

É aqui que vive o título deste artigo. A maioria dos modelos de maturidade avalia programas por cobertura, cadência, automação e reporting. Quase nenhum avalia se as pessoas que conduzem o programa passariam em uma entrevista técnica sobre os serviços que avaliam.

Um profissional de TPCRM competente em 2026 precisa ler um diagrama de arquitetura cloud, reconhecer uma cadeia de confiança IAM, entender escopos OAuth em integrações SaaS-to-SaaS, interpretar um vulnerability advisory no contexto do modelo de deployment do fornecedor e ter repertório suficiente sobre padrões de subcontratação para fazer a segunda pergunta quando a primeira resposta vem limpa. Esse perfil está mais próximo de um cloud security engineer do que de um analista de GRC tradicional, e o mercado de trabalho já percebeu. Os times que construírem esse perfil vão ler os mesmos sinais que todo mundo lê e enxergar coisas diferentes.

A pressão regulatória hoje premia exatamente essa profundidade. O enforcement do DORA saiu da tolerância informal de 2025 para revisões ativas em 2026, com multas de até 2% do faturamento global anual, penalidades fixas de até EUR 5 milhões e multas pessoais para a alta gestão de até EUR 1 milhão. A Cyber and Emerging Technologies Unit da SEC, lançada em fevereiro de 2025, já fechou mais de USD 8 milhões em penalidades de cybersecurity disclosure, e as examinations de 2026 cobrem explicitamente vendor oversight. Os reguladores deixaram de aceitar 'o fornecedor disse que sim' como evidência já faz algum tempo.

As organizações que vão liderar TPCRM nos próximos cinco anos

Não vão ser as que têm os questionários mais longos, a maior coleção de certificações ou o maior número de fornecedores na plataforma de GRC. Vão ser aquelas cujos times conseguem descrever, em detalhe operacional, como cada serviço crítico é de fato entregue, onde ficam suas dependências, como funcionam suas fronteiras de identidade e de dados e o que precisaria quebrar para o negócio sentir o impacto.

Vão tratar assessments como ponto de partida, o monitoramento como um input vivo e as skills dentro da função de TPCRM como investimento estratégico em vez de linha de custo.

Maturidade em TPCRM não é sobre coletar respostas. É sobre entender a exposição bem o suficiente para agir sobre ela antes que um ator malicioso o faça.

--

Na Tenchi Security, construímos o Zanshin a partir dessa premissa. Os outside-in scans contam parte da história; o inside-out scanning contínuo e não intrusivo de ambientes cloud e de identidade autorizados conta o resto, para que os times de TPCRM enxerguem como os serviços dos fornecedores realmente rodam e reduzam risco junto com eles, em vez de apenas medir. Se a situação descrita acima soa familiar, vale a pena conversarmos!

Agende uma demo

Fonte: Gartner Report, Predicts 2026: Third-Party Cybersecurity Risk Management Evolves for the AI Era, By Oscar Isaka, Deepti Gopal, etc., February 2026. Gartner is a trademark of Gartner, Inc. and/or its affiliates

Share
Latest Posts
Data Breach Investigations Report 2026 da Verizon: ataques a terceiros, riscos em credenciais e outros insights
Read more
Soberania digital e fragmentação: entendo os impactos na gestão de risco cibernético de terceiros
Read more
O que "inside-out" significa de verdade em segurança de terceiros
O termo "inside-out" aparece em diversas plataformas de gestão de risco de terceiros, mas descreve realidades técnicas muito diferentes. Este post explica o que é o monitoramento de infraestrutura baseado em API autorizado, como ele se diferencia da correlação de questionários, e o que CISOs precisam verificar antes de contratar.
Read more