À medida que os problemas e as violações relacionados com terceiros se tornam mais frequentes e dispendiosos, o seu impacto global nas operações empresariais e na confiança na marca tornou-se impossível de ignorar. Uma estatística alarmante no Relatório de Investigações sobre Violações de Dados da Verizon 2025 destacou que 30% das violações de dados envolveram terceiros, um aumento de 15% em relação ao ano anterior, tornando a gestão de risco de terceiros uma das principais preocupações dos CISO.
RSAC ESAF CISO a transformar a gestão de risco de terceiros
Embora a tecnologia moderna oferecida por fornecedores terceiros forneça às empresas uma riqueza de capacidades para simplificar e automatizar processos, cada fornecedor torna-se um novo vetor de ataque e expõe as empresas a novos riscos.
Os problemas de tecnologia dos fornecedores levam frequentemente a falhas operacionais, tempo de inatividade do sistema, violações de conformidade, violações de dados e danos à reputação, afetando a confiança na marca. Numa tentativa de demonstrar resiliência ao conselho de administração, os CISO percebem que já não podem gerir o risco de terceiros de forma isolada. Em vez disso, devem geri-lo de forma proativa, integrando-o na sua estratégia mais ampla de cibersegurança, GRC e resiliência organizacional.
Os fornecedores terceiros são parte integrante do ecossistema de uma organização, e qualquer falha pode causar consequências catastróficas. À medida que os fornecedores se tornam parte da empresa alargada, as empresas esperam que mantenham os mesmos padrões no planeamento da continuidade de negócios, conformidade regulamentar, certificações, resposta a incidentes e gestão de risco. Por conseguinte, é fácil perceber por que motivo as organizações veem cada vez mais a gestão de risco de terceiros não como uma disciplina isolada, mas como uma extensão dos seus processos existentes.
Quando bem feita, a gestão de risco de terceiros pode ser usada como uma vantagem estratégica para capacitar as organizações a adotar novas tecnologias e métodos de trabalho mais inteligentes. Os CISO inovadores podem aproveitar a gestão de risco de terceiros e usá-la como um facilitador para avançar rapidamente com IA, soluções de tecnologia em nuvem e integrações de terceiros. Em vez de bloquear a inovação para evitar o risco, as práticas sólidas de risco de fornecedores devem capacitá-lo a envolver-se com confiança com novos parceiros promissores, com a integração, as expectativas e os controlos adequados em vigor.
Relatórios recentes destacam o risco de terceiros como uma preocupação de toda a empresa
Com uma utilização tão generalizada de tecnologias de terceiros, pode-se supor que as organizações dariam prioridade à gestão dos seus riscos associados. Mas, no mais recente relatório da Forrester, O Estado da Gestão de Risco de Terceiros, 2024, apenas 8% dos decisores globais de gestão de risco selecionaram o risco de terceiros nas suas 5 principais preocupações de gestão de risco empresarial.
À primeira vista, os resultados sugerem que as organizações dão atenção limitada ao risco de terceiros. No entanto, uma análise mais atenta revela que os principais riscos identificados pelos líderes de risco — como a privacidade de dados, a segurança da informação, a tecnologia emergente, a conformidade regulamentar, a continuidade de negócios, o risco operacional e o risco da cadeia de abastecimento — estão todos inerentemente ligados a relações de terceiros. Por conseguinte, em vez de ver o risco de terceiros como uma categoria autónoma, os resultados do inquérito sugerem que as organizações reconhecem que a gestão de risco de terceiros deve ser incorporada em todo o seu panorama de risco empresarial mais amplo e gerida de forma holística. Os resultados recentes no Relatório da Nova Geração de Risco de 2024 da Riskonnect revelaram que 72% das empresas inquiridas consideraram a cibersegurança como um dos principais fatores de risco em 2024, enquanto 37% citaram os riscos de terceiros e de Nth como uma prioridade máxima, destacando ainda mais as estreitas ligações entre o risco de terceiros e a cibersegurança.
A pressão regulamentar traz um foco crescente na gestão de risco de terceiros
A dependência do risco de terceiros está a aumentar, e os regulamentos estão a acelerar em linha com esta tendência. Com tantos fornecedores de tecnologia a inundar o mercado e as soluções de IA em expansão, não é surpresa que muitos regulamentos amplamente adotados abordem a gestão dos riscos associados aos prestadores de serviços. A ISO 27001, NIST, NIS2, COBIT, HIPAA, DORA, SEC, o RGPD e APRA CPS 230 incluem todos orientações sobre a gestão de risco de terceiros. O cumprimento dos regulamentos exige visibilidade e controlo, e um programa de gestão de risco de terceiros bem estabelecido apoia as empresas na demonstração de que a sua rede de fornecedores está alinhada com os requisitos regulamentares.
A responsabilização do CISO por incidentes relacionados com fornecedores está a aumentar
À medida que os programas de gestão de risco de terceiros amadureceram, as organizações responsabilizam cada vez mais o CISO — e não o departamento de contratação — por incidentes relacionados com fornecedores. Este aumento da pressão e da responsabilidade fez com que os programas de gestão de risco de terceiros amadurecessem rapidamente, à medida que os CISO implementam verificações e medidas adicionais para salvaguardar a empresa e a sua reputação.
Aqui estão 6 maneiras de os CISO proativos transformarem a gestão de risco de terceiros numa vantagem estratégica
1. Vincular o risco de fornecedores aos planos de continuidade de negócios e resposta a incidentes
Os CISO proativos entendem que uma violação, interrupção ou falha por parte de um fornecedor crítico pode paralisar as operações. Em vez de tratar o risco de fornecedores como uma preocupação separada, os CISO inteligentes integram-no diretamente no planeamento da continuidade de negócios (BCP) e nos manuais de resposta a incidentes. Esta abordagem ajuda a garantir que a organização pode continuar a operar durante uma interrupção do fornecedor — seja causada por ataques cibernéticos, falhas de conformidade ou avarias operacionais — e protege o que mais importa: evitar interrupções dispendiosas nos negócios e preservar a confiança na marca. Estes resultados ressoam ao nível do conselho de administração e ajudam os CISO a enquadrar o risco de terceiros como um componente central da resiliência cibernética geral.
Para integrar estes processos com sucesso, o seu programa de gestão de risco de terceiros deve:
- Mapear os serviços de fornecedores para funções críticas para os negócios
- Identificar quais os terceiros que sustentam os principais sistemas, processos e obrigações regulamentares
Este mapeamento permite-lhe entender o impacto potencial se um fornecedor crítico falhar e permite a priorização baseada no risco de fornecedores no planeamento da continuidade.
Além disso, as organizações também devem:
- Planear exercícios de teste de cenários e vulnerabilidades que incluam falhas de terceiros para garantir que a preparação se estende a fornecedores terceiros críticos.
- Estabelecer fornecedores de backup e planos de contingência.
- Garantir que as avaliações de fornecedores perguntem sobre planos de continuidade de negócios, processos de resposta a incidentes e objetivos de tempo de recuperação para garantir que os seus processos internos se alinham com as expectativas organizacionais.
À medida que o número de fornecedores terceiros aumenta, também aumenta a probabilidade de incidentes e interrupções relacionados com fornecedores. Para garantir uma resolução oportuna e eficaz, as organizações devem estabelecer um processo de reporte de incidentes claramente definido que capture incidentes, perigos e quase acidentes relacionados com terceiros. Estes planos devem incluir protocolos de escalonamento, planos de comunicação e procedimentos de remediação.
2. Usar a due diligence do fornecedor para impulsionar a inovação e a estratégia digital
Quer se trate de IA, novos mercados ou lançamentos digitais, os CISO ousados tratam o risco de terceiros como um input para a inovação, em vez de o verem como um obstáculo. No relatório da Forrester citado anteriormente, os dados mostram que os respondentes que fizeram a ligação entre níveis aumentados de risco empresarial e aumento da dependência de terceiros descrevem frequentemente a gestão de risco como um acelerador da inovação.
Uma gestão de risco de terceiros forte permite que os CISO conduzam a due diligence de forma rápida e confiante, permitindo-lhes aprovar parcerias de fornecedores de alto impacto sem comprometer a segurança ou a conformidade. Esta garantia é fundamental ao adotar plataformas de ponta ou ferramentas alimentadas por IA.
Para tomar decisões rápidas e confiantes, os programas TPRM eficazes concentram-se em algumas ações críticas:
- Realizar avaliações de risco rápidas adaptadas à função e ao perfil de risco do fornecedor
- Aproveitar a IA e a inteligência de risco para sinalizar problemas relacionados com a estabilidade financeira, conformidade ou cibersegurança
- Garantir expectativas claras em torno de SLAs, KPIs e resposta a incidentes
Esta abordagem estratégica garante que fornecedores inovadores — especialmente fornecedores menores ou mais ágeis — possam ser integrados sem demora, garantindo que cumprem os seus limiares de resiliência e alinhamento com os padrões regulamentares.
Ao incorporar estes controlos no início do processo de seleção, os CISO podem mover-se rapidamente sem comprometer o apetite de risco da organização. A gestão de risco de terceiros permite o crescimento digital, capacitando as equipas de inovação a moverem-se mais rapidamente com confiança.
3. Elevar o risco de terceiros para fornecer visibilidade ao nível do conselho de administração
Os CISO devem elevar o risco de terceiros à sala de reuniões, enquadrando-o em termos de resiliência operacional, risco de reputação, exposição regulamentar e consequências financeiras. Os CISO que articulam o risco de fornecedores, destacando o impacto nos negócios e a resiliência a longo prazo, obtêm adesão mais rapidamente e salvaguardam a confiança com as equipas executivas. Também existe um risco em ficar parado. Os conselhos de administração devem entender que evitar novas tecnologias pode criar tanta exposição quanto adotá-las. Esta tradução de dados de risco em métricas significativas é essencial para obter adesão para novos fornecedores estratégicos e obter apoio executivo para programas de gestão de risco de terceiros mais fortes, investimento contínuo e envolvimento multifuncional.
Quando bem feita, a gestão de risco de terceiros torna-se uma ferramenta de liderança poderosa que ajuda os CISO a moverem-se rapidamente e a obterem aprovações para implementar novas tecnologias, permitindo que as suas organizações se mantenham à frente da curva num mercado cada vez mais competitivo. Os CISO que levantam regularmente o risco de fornecedores nas reuniões do conselho de administração e apresentam métricas significativas têm maior probabilidade de garantir recursos e influenciar as decisões de seleção de fornecedores, ajudando as suas empresas a adotar novas soluções digitais que promovam o modelo de negócios.
A visibilidade ao nível do conselho de administração dos riscos de terceiros e de quarto nível limita as surpresas quando ocorrem incidentes. Os programas de gestão de risco de terceiros bem-sucedidos garantem que as equipas de liderança já estão alinhadas em protocolos de resposta, procedimentos de escalonamento e o impacto potencial de um fornecedor falhado, minimizando o pânico quando ocorrem incidentes relacionados com fornecedores.
4. Ligar os pontos entre equipas e ferramentas
As organizações menos maduras armazenam frequentemente dados de risco de terceiros em sistemas e fontes de dados díspares. Diferentes equipas e departamentos integram fornecedores sem qualquer ponto central de supervisão, e o processo de avaliação carece de consistência. Noutros casos, o departamento de compras tem contratos, o departamento de TI detém a gestão de acesso, o departamento de conformidade rastreia certificações e as equipas de risco gerem avaliações. Num ambiente fragmentado, as equipas perdem frequentemente etapas de due diligence, ignoram sinais de alerta críticos e fornecem esforços de resposta desconexos. Dados e ferramentas desconectados limitam a visibilidade, prejudicando a deteção oportuna de riscos. Esta falta de supervisão torna a priorização da mitigação ou o reporte preciso ao conselho de administração mais difícil para os CISO e impacta diretamente a sua capacidade de liderar estrategicamente.
Os CISO proativos reconhecem que esta abordagem carece de consistência e supervisão e usam a supervisão de terceiros para derrubar barreiras. Centralizam os dados de fornecedores em plataformas ou painéis partilhados e implementam processos consistentes para integração, realização de avaliações de risco, benchmarking, scorecarding e realização de verificações de due diligence para evitar perder sinais de risco.
Esta abordagem unificada garante uma avaliação justa dos fornecedores através de estruturas de governação multifuncionais que automatizam a partilha de dados entre sistemas. Dá aos líderes de risco uma visão holística do risco e das dependências dos fornecedores, capacitando-os a priorizar a mitigação dos riscos mais críticos e a manter o conselho de administração informado.
A padronização da sua estrutura de risco, modelos de avaliação, processos de due diligence, integração e desativação torna os fornecedores mais comparáveis, facilitando a deteção de fornecedores de alto risco e com baixo desempenho. O acesso a dados interconectados de gestão de risco de terceiros permite que o conselho de administração tome decisões mais rápidas e informadas ao escolher novos fornecedores e parceiros de tecnologia.
De acordo com a OCEG, “Os CISO já não são apenas especialistas técnicos. São vozes na sala de reuniões que orientam a estratégia de negócios, e a função GRC está a evoluir juntamente com eles”. Os CISO devem trabalhar com as equipas GRC para aproveitar os dados corretos para aconselhar o conselho de administração sobre a melhor ação para proteger a organização contra o risco cibernético e de terceiros.
5. Mudar de avaliações estáticas para monitorização contínua
Os programas de gestão de risco de terceiros mais fortes incorporam monitorização contínua e em tempo real de fornecedores e do seu desempenho e consideram o seu impacto em serviços críticos. Um recente artigo da OCEG afirmou que “A inteligência de risco em tempo real é agora esperada. Quer se trate de monitorização contínua de controlos, pontuação de fornecedores em tempo real ou alertas preditivos sobre alterações regulamentares, espera-se que as organizações saibam que os seus controlos de risco são eficazes”.
As avaliações iniciais durante a integração e as revisões anuais já não são suficientes para se manter à frente dos riscos de terceiros. A pesquisa de violação de 2023 da SecurityScorecard afirma que pelo menos 29% de todas as violações envolveram vetores de ataque de terceiros. O risco de fornecedores evolui rapidamente, e os CISO precisam de visibilidade quase em tempo real e monitorização contínua para se manterem à frente das ameaças emergentes.
Os CISO na vanguarda usam dados em tempo real para rastrear alterações no desempenho do fornecedor. Subscrevem fornecedores de inteligência de risco de terceiros para entender se os fornecedores estão a chegar às manchetes devido a instabilidade financeira, violações de conformidade e contratempos éticos. Também realizam avaliações de risco regulares e conduzem questionários mensalmente ou trimestralmente para detetar alterações nas circunstâncias que possam representar um risco. Os processos dependentes de fornecedores também podem ser incluídos em atualizações regulares do plano de continuidade de negócios e testes de cenários e vulnerabilidades, garantindo um planeamento de contingência adequado.
Esta monitorização contínua permite que as organizações sejam mais ágeis e proativas, em vez de esperar por uma revisão anual ou uma crise antes de reavaliar um fornecedor! Com monitorização contínua, avaliações regulares e due diligence, os CISO podem identificar sinais de alerta precoces e tomar medidas preventivas. Esta abordagem integrada de melhores práticas também suporta uma pontuação de risco mais precisa com base em como cada fornecedor se conecta a serviços críticos, em vez de tratar todos os fornecedores da mesma forma. Este fluxo contínuo de dados relacionados com fornecedores e o seu desempenho permite que as empresas tomem decisões dinâmicas e responsivas sobre a sua escolha de fornecedores e ajam rapidamente para evitar crises relacionadas com fornecedores.
6. Aproveitar a IA
A IA está a acelerar rapidamente, e os CISO de hoje devem olhar para além do hype para aproveitar o valor real e prático da IA, particularmente na gestão de risco de terceiros. Ao incorporar a IA nos seus processos, os CISO podem eliminar tarefas manuais e repetitivas, apresentar insights mais rapidamente e responder a ameaças emergentes com maior agilidade. A IA é fundamental na gestão de risco de terceiros, onde avaliar manualmente centenas — ou mesmo milhares — de fornecedores já não é sustentável.
A IA pode simplificar a integração, automatizar verificações de due diligence, sinalizar anomalias no comportamento do fornecedor e até prever o risco futuro com base em padrões históricos e dados externos. Permite que os CISO dimensionem a sua supervisão sem aumentar o número de funcionários e passem de avaliações reativas para inteligência de risco proativa.
A OCEG diz: “A IA generativa e agentic já pode preencher automaticamente avaliações de risco, detetar redundâncias de controlo, digitalizar regulamentos e até resumir relatórios de risco semanais em insights executivos. Mas, embora a IA prometa grandes ganhos em produtividade, também introduz novos riscos: alucinações, preconceitos, violações de privacidade de dados e propriedade pouco clara.”
Como a IA traz grandes oportunidades e riscos sérios, os CISO inteligentes devem liderar a conversa, não assistir das linhas laterais. Aqueles que abraçam a IA de forma responsável, com forte governação e controlos, posicionarão as suas organizações para mitigar o risco de terceiros de forma mais eficaz e obter uma vantagem competitiva. A IA não é apenas outra ferramenta, mas uma vantagem estratégica para aqueles que a usam com sabedoria.
Gestão de risco de terceiros como um motor para vantagem estratégica
Numa paisagem de negócios cada vez mais digital e interconectada, a gestão de risco de terceiros não está apenas lá para prevenir problemas operacionais e de conformidade; é um facilitador de negócios estratégico. Os CISO proativos reconhecem que os fornecedores terceiros ampliam a superfície de ataque e gerem-nos com o mesmo rigor que os processos internos. Ao incorporar a gestão de risco de terceiros e a IA em áreas centrais como a continuidade de negócios, a transformação digital, a tomada de decisões executivas e as atividades diárias de gestão de risco, os CISO transformam a gestão de risco de fornecedores numa fonte vital de inteligência que permite que as suas organizações adotem tecnologia moderna em ritmo acelerado.
Os CISO mais visionários já não se contentam com abordagens reativas ou desconexas. Estão a mudar para programas de gestão de risco de fornecedores estratégicos e integrados que reduzem o risco e desbloqueiam oportunidades para inovar e crescer. A monitorização contínua rigorosa e a avaliação nos programas de gestão de risco de terceiros de hoje e o aumento do uso de IA fornecem dados vitais para apoiar a tomada de decisões, permitindo uma abordagem preventiva que aborda o risco de fornecedores antes que se torne problemático.
Gerir o risco de terceiros de forma holística promove a resiliência, a agilidade e uma vantagem competitiva a longo prazo. Os CISOs devem passar de uma mentalidade de evitar o risco para uma mentalidade de inovação confiante e informada sobre o risco, utilizando dados de risco de terceiros para identificar problemas e dependências no seu ecossistema de fornecedores, garantindo que as suas organizações estão preparadas para adotar novas tecnologias e prestadores de serviços com confiança.
Queres aprofundar? Explora este ebook sobre gestão de risco de terceiros para ver como as organizações estão a desenvolver os seus programas para enfrentar os desafios atuais ou entra em contacto com a Riskonnect para uma demonstração da nossa plataforma de risco de terceiros.
