TPCRM
January 15, 2025

Principais tendências de 2025 na gestão de risco cibernético de terceiros

Depois de relembrar os incidentes de cibersegurança mais relevantes que envolveram terceiros em 2024, estamos prontos para pensar em algumas das principais tendências para o ano que se inicia.

Claro, ninguém pode prever o futuro, e não podemos afirmar que cada uma dessas ameaças vai se materializar. Porém, não se pode contar apenas com o passado para enxergar o que está por vir – ainda que ele seja um excelente guia. Acima de tudo, precisamos de um destino para poder construir um caminho.

Sendo assim, convidamos você para pensar sobre essas cinco ideias hoje — e a refletir sobre a possibilidade de elas terem um espaço também na sua empresa.

1. Menos ênfase em questionários

Questionários de avaliação têm sido um pilar da gestão do risco cibernético de terceiros, mas as limitações deles estão cada vez mais claras. Esse método - considerado por muitos como um “mal necessário" - tende a ser ineficiente e pouco confiável, gerando decisões baseadas em dados falhos. Depois que você ou um fornecedor for atingido por um incidente, respostas registradas até um ano antes não vão ser muito úteis para quem estiver encarregado de desvendar a sequência de falhas que permitiu uma invasão. Confiar em avaliações pontuais significa operar no escuro por boa parte do ano.

No melhor dos casos, um questionário avalia apenas a postura de um terceiro em um momento específico - ou, como sempre dizemos, eles olham para uma foto, não para o filme. 

Desta forma, o ideal é utilizar os questionários apenas para aspectos que não possam ser verificados de maneira automatizada, tais como como processos, políticas, cultura e orçamento, por exemplo. 

2. Monitoramento contínuo

Por mais limitados que os questionários sejam, seria arriscado parar de aplicá-los sem que houvesse uma alternativa para assumir o lugar deles. É aí é que entra o monitoramento contínuo.

Diferentemente dos questionários, o monitoramento contínuo deve ser quase que completamente automatizado, pois é uma condição para sua viabilidade. Isso é ideal para riscos cibernéticos, que estão vinculados à infraestrutura de TI e a sistemas já conectados e, portanto, ao alcance de um software de monitoramento.

O monitoramento por dentro (inside-out) é especialmente efetivo, já que ele se aproveita da confiança estabelecida pela relação entre a empresa e seus fornecedores para avaliar controles de segurança e diversos atributos que não podem ser observados de fora.

A automação das verificações permite a detecção de inconsistências e falhas em tempo real, acelerando a resposta a ameaças e fortalecendo a resiliência dos sistemas. Empresas que adotam monitoramento contínuo e automação reduzem riscos de forma proativa, antecipando ameaças e assegurando conformidade com regulamentações cada vez mais rigorosas.

3. Relações mais próximas e colaborativas

Quando vamos além dos questionários, é possível ver que a gestão de risco cibernético de terceiros (TPCRM) não se trata apenas de avaliar a postura do fornecedor. É preciso que haja alguma colaboração para alcançar um nível consistente de maturidade em cibersegurança em todo o ecossistema.

Embora não seja um requisito obrigatório, o monitoramento contínuo facilita essa colaboração, já que ele destaca problemas que precisam ser corrigidos, criando uma oportunidade para que essa colaboração aconteça. Com o tempo, isso dá forma a um banco de dados valioso, com registros das dificuldades reais e práticas dos terceiros, permitindo que a empresa saiba quais são os percalços mais comuns e ajude seus fornecedores a superá-los.

A proximidade com os fornecedores e parceiros também deixa o time de segurança mais confiante para aprovar acordos comerciais que normalmente gerariam atrito. Muitos problemas são fáceis de corrigir — a questão é ter um canal para ver o que está sendo feito. 

Todos se beneficiam com essa forma de trabalhar. As empresas têm mais flexibilidade para encontrar o fornecedor certo, os times de cibersegurança têm mais visibilidade sobre os riscos para se envolver diretamente na mitigação, e terceiros interessados em fazer a coisa certa vão receber o amparo necessário para implementar melhorias. 

4. Gestão de risco orientada a produtos

Empresas podem ter centenas ou até milhares de terceiros, mas a maioria das organizações  frequentemente desconhece muitos deles. Isso é normal: muitos fornecedores estão envolvidos com produtos ou linhas de serviço específicas, e o papel deles naquele produto é muito mais relevante do que o papel deles como fornecedor da empresa como organização.

Quando olhamos para um terceiro como um fornecedor da "empresa", não é simples compreender os riscos envolvidos. Pode-se até pensar em avaliar cada fornecedor como se ele estivesse atrelado à atividade de maior risco da empresa, criando um desgaste desnecessário e aumentando custos.

Como consequência, terceiros passam a ser classificados apenas em "críticos" ou "não críticos", e este segundo grupo fica à margem do programa da gestão de risco de terceiros. Isso não é ideal.

Há espaço para uma nova maneira de encarar a relação entre uma empresa e seus fornecedores — e a visão de produto é uma das saídas possíveis.

Se fornecedores forem atrelados a produtos ou linhas de serviço sempre que possível, é mais fácil enxergar o que se espera de cada um deles. Como cada produto tem um perfil de risco diferente, essa abordagem pode ser uma ferramenta interessante para manter a análise de risco realista e flexível, ancorada no ecossistema de cada produto.

Fornecedores que de fato têm um papel fundamental (como os provedores de serviços de nuvem) ainda devem ser considerados críticos e tratados como tal, mas terceiros que não são críticos também podem e devem fazer parte do programa de gestão de riscos.

5. Visão aprimorada sobre o custo da terceirização

Nas últimas duas décadas, as empresas têm questionado cada vez menos os benefícios da terceirização. Em vez disso, a pergunta é apenas como terceirizar. Isso tem motivo: contratar um fornecedor dedicado a uma tarefa é quase sempre mais barato do que tentar fazer tudo você mesmo.

As empresas sempre souberam que a terceirização tem alguns custos adicionais e indiretos, mas medir esses custos é difícil. Calcular o custo do risco cibernético é um desafio ainda maior – especialmente com as ferramentas que as empresas têm utilizado até hoje. Um fornecedor com preço mais baixo não é realmente barato se a economia for toda repassada na forma de incidentes de segurança.

Como diz o ditado, às vezes o barato sai caro.

Aprimorar a gestão de risco de terceiros com um trabalho colaborativo e monitoramento contínuo facilita a contabilidade desses custos até desconhecidos, permitindo que as empresas avaliem se devem desistir de alguma terceirização ou escolher outro fornecedor.

A Cybersecurity and Infrastructure Security Agency (CISA), agência de cibersegurança dos Estados Unidos, tem incentivado as empresas a firmarem contratos pensando na segurança por meio da iniciativa Secure by Demand. A economia da terceirização não pode vir às custas da cibersegurança.

Todas essas tendências são positivas, mas os resultados não são imediatos – especialmente quando algo exige uma transformação cultural, como é o caso da colaboração. Compreender o cenário atual, definir objetivos claros e comunicar o que pretendemos de forma efetiva serão etapas importantes para mapear o caminho adiante.

Share
Latest Posts
Uma retrospectiva dos ataques a terceiros e incidentes em fornecedores de 2024
Read more
Colocando em prática a colaboração em cibersegurança para terceiros
Read more
Como a gestão de risco de terceiros enriquece sua abordagem em relação a riscos sistêmicos
Read more