Terceirizados aumentam risco de ciberataques em grandes empresas
A crescente dependência de fornecedores e parceiros, embora traga ganhos operacionais, multiplicou os pontos de vulnerabilidade para ataques cibernéticos em grandes corporações. Dados da Cisco revelam que apenas 5% das empresas brasileiras estão maduras o suficiente para enfrentar ameaças digitais modernas, e mais de 30% já sofreram algum tipo de ataque. A inclusão de terceiros no ecossistema digital expande a superfície de ataque, tornando as empresas mais suscetíveis a incidentes de segurança.Um caso recente, envolvendo um ataque hacker a uma empresa de tecnologia que presta serviços a bancos nacionais, atualmente sob investigação da Polícia Federal, ilustra essa preocupação. Embora o alvo direto tenha sido o prestador de serviços, os efeitos potenciais se estenderam a grandes instituições financeiras, evidenciando como vulnerabilidades externas podem desencadear crises sistêmicas.
"A gestão de terceiros é um elo crítico de todo o negócio. Se não for feita com rigor, abre brechas que podem gerar impactos financeiros, operacionais e reputacionais graves", alerta Bruno Santos, CRO da área de Gestão de Terceiros da Bernhoeft.
Entre as falhas mais comuns no relacionamento com terceiros, destacam-se o uso de credenciais fracas ou compartilhadas, ausência de segmentação de rede, baixa maturidade em políticas de segurança dos fornecedores e a falta de monitoramento e auditoria contínuos.
Para mitigar esses riscos, é fundamental uma abordagem estruturada que combine tecnologia, governança e uma cultura de segurança compartilhada. Ferramentas como Gestão de Identidade e Acesso (IAM/PAM), plataformas GRC/TPRM, sistemas de detecção e resposta a incidentes (SIEM/SOAR), testes de vulnerabilidade e tecnologias como blockchain são essenciais. A inteligência artificial e o machine learning também ganham espaço na detecção de anomalias e automação de respostas.
Bruno Santos reforça que a tecnologia é vital, mas não suficiente: a gestão de terceiros deve ser estratégica, preventiva e orientada por dados. Medidas como a avaliação da maturidade em segurança da informação dos fornecedores, análise da superfície de ataque externa, verificação de histórico de incidentes e certificações, além de cláusulas contratuais de segurança, são obrigatórias.
Além dos controles técnicos, construir uma cultura de segurança da informação compartilhada com os parceiros é crucial. Isso inclui treinamentos periódicos, auditorias, troca de informações e definição clara de expectativas de conformidade. "Não se trata apenas de impor exigências, mas de envolver os terceiros na construção de uma rede digital resiliente", observa Fábio Josgrilberg, Head de Novos Produtos na área de Gestão de Terceiros da Bernhoeft.
Setores como financeiro, saúde, tecnologia, infraestrutura crítica e governo exigem atenção redobrada devido à sensibilidade dos dados e ao elevado impacto de falhas. A integração entre áreas como Segurança da Informação, Jurídico, Compras e Compliance é vital para processos padronizados e respostas coordenadas.
Conforme diretrizes como NIST CSF 2.0 e ISO/IEC 27002:2022, o monitoramento contínuo da cadeia de suprimentos, a inclusão de terceiros nos planos de resposta a incidentes e o controle rigoroso de segurança em contratos são práticas essenciais para a resiliência digital das organizações.
"A gestão de riscos de terceiros exige uma abordagem contínua, estratégica e orientada por dados. Em um cenário cada vez mais regulado e interconectado, antecipar ameaças e garantir a resiliência digital passa a ser um imperativo de negócio, e não apenas uma responsabilidade da TI", finaliza o CRO da Bernhoeft. Leia a revista