Research
28/1/2026

Vulnerabilidades na cadeia de suprimentos: um dos principais desafios para a resiliência cibernética segundo o relatório do WEF

O Fórum Econômico Mundial (FEM) acaba de lançar a quinta edição do relatório Global Cybersecurity Outlook, o qual destaca os obstáculos mais relevantes que as empresas do mundo todo enfrentam para proteger seus ativos e operações dos ataques cibernéticos.

A cibersegurança dos parceiros comerciais está entre os principais tópicos deste ano. O documento tem inclusive uma seção dedicada aos riscos de concentração em supply chain (um termo que está se consolidando em inglês inclusive no Brasil). Além do tema ter esse capítulo próprio, há observações valiosas sobre o risco de terceiros espalhadas em todo o texto.

A sustentação do relatório em 2026 é uma pesquisa que recebeu respostas de 873 pessoas de 99 países. Dados também foram coletados de um workshop de 60 minutos com 21 executivos e de entrevistas feitas com participantes do Annual Meeting of the Global Future Councils and Cybersecurity.

O foco deste artigo serão os dados sobre riscos cibernéticos de terceiros, mas vale apontar que o relatório também pode ser muito útil para executivos que lideram negócios internacionais ou que estão trabalhando para levar suas empresas a novos mercados e precisam compreender as diferenças regionais no cenário de cibersegurança.

Por exemplo, o relatório mostra que organizações na América Latina dizem ter menos confiança em sua resiliência cibernética e mais dificuldade para ter acesso a profissionais qualificados.

Você pode baixar o relatório de graça no site do Fórum Econômico Mundial, mas esperamos que você nos acompanhe um pouco mais nesta análise para entender os principais pontos ligados ao risco cibernético de terceiros.

Vulnerabilidades em fornecedores: o desafio mais citado pelos CEOs das empresas resilientes

Uma das perguntas da pesquisa do Fórum Econômico Mundial era: "Qual é o maior desafio da sua empresa para alcançar a resiliência cibernética?" Entre os CEOs que confiam na resiliência cibernética de suas empresas, 78% escolheram "terceiros e vulnerabilidades de supply chain" como uma das três respostas que podiam ser dadas. Foi o ponto mais citado por esse grupo.

Também foi o desafio mais citado por quem respondeu em nome de grandes empresas: 65% citaram os terceiros como um dos três principais desafios para a resiliência cibernética. O número cresceu na comparação com o ano passado, quando 54% escolheram esse tópico. 

No quadro geral, as vulnerabilidades em terceiros ficaram em segundo lugar, sendo citadas como um dos três maiores desafios por 46% de todos os participantes da pesquisa.

O relatório também aponta que 65% dos participantes acreditam que o risco de paralisações na cadeia de fornecedores aumentou. Um destaque é que as empresas no grupo de alta resiliência citaram as paralisações oriundas de fornecedores como sua principal preocupação ligada a risco cibernético, embora 74% delas afirme que já avaliam a maturidade de segurança dos terceiros.

Empresas menos resilientes classificaram as paralisações em fornecedores em quinto lugar. Nesse grupo, as empresas se preocupam mais com ataques de ransomware e vulnerabilidades de software, e apenas 48% delas dizem avaliar a maturidade de seus fornecedores.

Outra questão apurada pela pesquisa foi como as empresas enxergam os diferentes riscos de supply chain. Para isso, foi solicitado que os participantes escolhessem um risco entre cinco como o "principal". O risco mais escolhido foi o "risco herdado", cuja descrição é: "a incapacidade de garantir a integridade de software, hardware ou serviços de terceiros".

Porém, o relatório fornece uma perspectiva reveladora sobre os riscos selecionados por empresas de diferentes setores, mostrando que em algumas áreas (especificamente serviços financeiros, indústria e infraestrutura) os riscos mais mencionados são os de visibilidade e concentração.

Na definição do relatório, o risco de visibilidade é a "ausência de visibilidade sobre a cadeia de fornecedores estendida", enquanto o risco de concentração é "a dependência excessiva de terceiros críticos".

Nós na Tenchi Security temos visto também no mercado um sentimento de falta de visibilidade sobre os terceiros. Grandes organizações têm dificuldades em manter um inventário de terceiros classificados pelo nível de risco que representam às suas próprias organizações. Mais ainda, as metodologias de análise baseadas em questionários ou relatórios de auditoria “independentes” não dão às equipes de gestão de riscos de terceiros confiança de que têm uma visão correta e profunda da real postura de segurança de seus terceiros. E temos ajudado nossos clientes a construir programas de gestão de risco que endereçam estes pontos.

Isso nos remete ao próximo tópico: tecnologia. Como observado pelo relatório em algumas seções e em alguns gráficos, as empresas frequentemente se sentem pressionadas por tecnologias emergentes, como a computação em nuvem e a inteligência artificial (IA). Sem as ferramentas adequadas para avaliar a confiabilidade e os meios para implementar essas tecnologias com segurança, as empresas muitas vezes se deparam com um cenário desconhecido e potencialmente inseguro. 

Quase todos os participantes da resposta (94%) entendem que a IA impulsionará mudanças na cibersegurança, tanto na defesa como, infelizmente, nos ataques. Mas a computação em nuvem ainda é uma preocupação relevante, e 61% dos entrevistados também a colocaram entre as três respostas para essa pergunta. 

Embora algumas empresas estejam mais adiantadas na tarefa de implementar e proteger sua infraestrutura em nuvem, vale lembrar que nem todos os parceiros estarão no mesmo patamar. Esse tipo de gap leva ao que o relatório chama de "iniquidade cibernética" (cyber inequity), um impasse que pode ser enfrentado através da colaboração.

Um dos principais diferenciais do Zanshin, nossa tecnologia proprietária, é justamente viabilizar a visibilidade contínua e profunda da real segurança dos terceiros de forma automatizada. E isso inclui avaliações da segurança de nuvem e do uso de AI por parte de terceiros.

Colaboração como a chave para o sucesso

"Ao longo desses quatro anos e chegando ao quinto, um tema se destaca: a colaboração se tornou indispensável em um mundo fragmentado que enfrenta cada vez mais ameaças, a ampliação de desníveis no domínio da tecnologia e uma iniquidade crescente, ameaçando aprofundar o gap de resiliência cibernética."
— Global Cybersecurity Outlook 2026, página 9, tradução nossa

Na introdução, o "Cybersecurity Outlook" diz que a necessidade de colaborar é o tema que se destacou ao longo dos anos. Mas as empresas seguem esse conselho?

Quanto se trata de gestão de risco de fornecedores, as respostas mais recorrentes à pesquisa do Fórum Econômico Mundial envolviam algum tipo de conferência durante a contratação ou uma avaliação de maturidade. Contudo, menos empresas cooperam diretamente com seus fornecedores.

Por exemplo, enquanto 74% das empresas mais resilientes avaliam a maturidade de seus fornecedores, apenas 53% compartilham informações sobre ameaças com seus parceiros, e 40% alinham suas estratégias de resiliência com elas. Nas empresas cuja resiliência é vista como insuficiente, as proporções são todas mais baixas: 48%, 31% e 26%, respectivamente.

A disparidade mais notável entre os dois grupos aparece no planejamento para incidentes cibernéticos e em exercícios de recuperação: 44% das empresas resilientes trabalham com seus parceiros nessas tarefas, mas só 16% das empresas não resilientes o fazem.

É possível ver um padrão: rotinas de cooperação e compartilhamento de dados são menos comuns que avaliações do tipo "fotografia", em situações específicas.

No Annual Meeting of the Global Future Councils and Cybersecurity, que se trata de um conjunto de dados menor também usado pelo relatório, 65% dos participantes disseram que suas organizações fornecem treinamento para parceiros com menos recursos. No entanto, só 34% o fazem de forma estruturada ou formal.

Caso os participantes desse evento sejam mais engajados com a cibersegurança do que a média da pesquisa, então a proporção real de empresas que oferecem suporte ou orientação a seus parceiros seria ainda menor

O relatório explica que diferenças em "habilidades, recursos e disponibilidade de infraestrutura digital e modelos de governança" (uma lista a qual adicionaríamos a linha da pobreza da segurança) criam um desequilíbrio, com algumas empresas não sendo capazes de manter uma cibersegurança de base.

A cooperação é uma chave para superar essa "iniquidade cibernética" na gestão de risco cibernético de terceiros. Quanto mais as empresas de maturidade alta compartilharem recursos e conhecimento, mais elas vão ajudar a elevar todo o ecossistema.

Aqui na Tenchi nós ajudamos os programas de TPCRM a serem mais cooperativos. Nós não atuamos como uma ferramenta de auditoria que beneficia apenas os primeiros. Fornecemos uma forma dos primeiros ajudarem seus terceiros a melhorar suas posturas de segurança com tecnologia e mão-de-obra especializada, em um cenário ganha-ganha.

Em média, um terceiro que passa a utilizar nosso produto a pedido de um primeiro, resolve mais de 80% dos problemas críticos e de alta severidade encontrados pelo Zanshin nas primeiras 8 semanas de uso. Uma redução sensível de risco que beneficia a todo o ecossistema.

Riscos geopolíticos e regulamentações

O relatório sinaliza que os riscos geopolíticos e a regulamentação tiveram impacto no risco de terceiros.

De maneira mais ampla, a geopolítica se tornou um fator significativo para tomadores de decisão, com 91% das grandes empresas (aquelas com mais de 100 mil funcionários) respondendo que a estratégia de cibersegurança delas sofreu alguma mudança atribuída à volatilidade geopolítica.

Outro dado ainda mais relevante para a nossa análise é o de que 19% dos participantes disseram que suas empresas trocaram algum fornecedor ou estão em processo de mudança de fornecedores em decorrência de elementos geopolíticos. Entre os CEOs das empresas mais resilientes, esse número é ainda maior: 30%.

Para instituições governamentais e algumas empresas privadas, as mudanças geopolíticas vieram acompanhadas de preocupações com a "soberania digital" ou "soberania cibernética". Por esta perspectiva, instituições e empresas precisam tentar evitar os riscos de concentração e contar com parceiros regionais.

Outras regulamentações exigiram uma fiscalização mais rigorosa dos fornecedores que atuam com empresas de infraestrutura crítica e no setor financeiro, entre outras áreas.

Possivelmente por isso, 18% dos participantes da pesquisa do Fórum disseram ter uma visão negativa sobre um aspecto das regulações cibernéticas: a "dificuldade de garantir que terceiros cumpram os requisitos aplicáveis".

Mesmo assim, a maioria das respostas considerou as regulamentações positivas, especialmente quando o responsável pela resposta está associado a uma empresa tida como resiliente: 79% têm visão positiva sobre as regulamentações ligadas a temas digitais.

Juntas, a geopolítica e as regulações certamente mudaram o ambiente de negócios, o que por sua vez impacta a gestão de riscos de terceiros. Mas, como diz o relatório, esses desafios devem servir para "engatilhar uma renovação da modelagem de ameaças e reavaliação de riscos associados a fornecedores".

Já temos um artigo dedicado ao contexto geopolítico da gestão de risco cibernético de terceiros, e entendemos que os argumentos que fizemos permanecem válidos à luz desse último relatório do Fórum Econômico.

Entendendo seus fornecedores

O Cybersecurity Outlook é um relatório que cobre mais do que riscos de supply chain. Ele traz insights sobre o impacto do engajamento do board com riscos cibernéticos e sobre as diferenças de prioridades entre CEOs e CISOs.

É fato que essas questões não estão diretamente ligadas ao risco de terceiros. Mas as empresas cedo ou tarde formam parcerias e fazem negócios com organizações, e cada uma terá uma formação diferente em sua liderança, com perspectivas que são inseparáveis da cultura de cibersegurança e seus desafios regionais. Por isso, todo tipo de insight pode ser útil para proteger nossas cadeiras de fornecedores.

O relatório pode ser lido no site do Fórum Econômico Mundial, aqui.

Terceiros e fornecedores externos ampliam a superfície de ataque e podem expor sua organização a riscos invisíveis. O Zanshin é a única solução global de TPCRM que oferece visibilidade tanto inside-out quanto outside-in, combinando o monitoramento da superfície externa de ataque com avaliações automatizadas, contínuas e não intrusivas da infraestrutura em nuvem (IaaS, PaaS, SaaS) e de outros controles de segurança.

Share
Latest Posts
Os incidentes de cibersegurança mais relevantes que envolveram terceiros em 2025
Read more
O impacto da GRC Engineering na gestão de riscos cibernéticos de terceiros
Read more
Como a gestão de risco cibernético de terceiros ajudaria a mitigar os incidentes no sistema bancário
Read more