Uma organização pode investir em segurança e continuar exposta por meio de um fornecedor.
O risco pode entrar por:
- software;
- atualização;
- biblioteca;
- credencial;
- acesso remoto;
- prestador;
- equipamento;
- integração;
- nuvem;
- subcontratado;
- troca de arquivos.
Cyber Supply Chain Risk Management — C-SCRM — é a disciplina de identificar, avaliar e tratar riscos cibernéticos relacionados a produtos, serviços e parceiros ao longo do ciclo de vida.
O NIST recomenda integrar C-SCRM à gestão de risco empresarial, à aquisição e às decisões de tecnologia. Isso torna procurement parte do sistema de defesa.
Por que o risco de terceiros cresce?
- ecossistemas conectados;
- SaaS;
- cloud;
- APIs;
- trabalho remoto;
- outsourcing;
- software de código aberto;
- dependências multicamada;
- concentração;
- velocidade de atualização.
A empresa nem sempre conhece todos os componentes e subfornecedores envolvidos.
Nem todo fornecedor tem o mesmo risco
Critérios:
| Dimensão | Pergunta |
|---|---|
| Dados | Quais dados acessa? |
| Acesso | Entra na rede ou sistema? |
| Criticidade | Uma falha interrompe a operação? |
| Privilégio | Qual nível de permissão? |
| Software | Fornece ou atualiza código? |
| Infraestrutura | Hospeda serviço? |
| Subcontratação | Usa terceiros? |
| Recuperação | Quanto tempo a empresa tolera indisponibilidade? |
| Exposição | Há dado pessoal ou regulado? |
| Substituição | Existe alternativa? |
A classificação define profundidade da avaliação.
O ciclo de vida cibernético do fornecedor
1. Planejamento
A área define risco, requisitos e responsáveis antes da RFP.
2. Due diligence
Verifica maturidade, controles, incidentes e evidências.
3. Seleção
Segurança influencia critérios e decisão.
4. Contrato
Obrigações são formalizadas.
5. Onboarding
Acessos e integrações são configurados.
6. Operação
Risco, vulnerabilidades e performance são monitorados.
7. Incidente
Papéis, notificação e resposta são executados.
8. Offboarding
Acesso, dado, equipamento e credencial são removidos.
A maior parte dos programas concentra-se no questionário inicial e negligencia operação e saída.
Due diligence cibernética
Perguntas:
- Existe programa de segurança?
- Quem responde?
- Como acessos são geridos?
- MFA é utilizado?
- Como vulnerabilidades são tratadas?
- Qual é o prazo de patch?
- Existe desenvolvimento seguro?
- Como dados são criptografados?
- Como backups são testados?
- Há resposta a incidentes?
- Quais subcontratados participam?
- Como continuidade é testada?
- Existem certificações?
- Quais incidentes relevantes ocorreram?
- Como a empresa comunica vulnerabilidades?
Questionários devem ser proporcionais e acompanhados de evidência.
Evidências
- política;
- arquitetura;
- certificação;
- teste;
- relatório;
- plano;
- inventário;
- auditoria;
- exercício;
- registro;
- atestado.
Certificação não elimina a necessidade de análise do escopo.
Secure by Demand
A CISA orienta compradores de software a usar o poder de aquisição para exigir práticas de segurança dos fabricantes.
Perguntas úteis:
- MFA está disponível por padrão?
- Logs são fornecidos?
- Vulnerabilidades são comunicadas?
- Atualizações são seguras?
- Existe suporte durante o ciclo?
- Há política de disclosure?
- A autenticação é adequada?
- O fornecedor assume compromissos?
Segurança deve ser requisito de produto, não adicional opcional.
SBOM
Software Bill of Materials é um inventário dos componentes de software.
Pode apoiar:
- visibilidade;
- resposta a vulnerabilidade;
- dependência;
- licenciamento;
- risco de componente.
A CISA publicou em 2025 uma atualização dos elementos mínimos recomendados para SBOM.
SBOM não garante segurança. Ele melhora a capacidade de identificar exposição.
Cláusulas contratuais
Segurança
Padrões, acesso, criptografia, testes e desenvolvimento.
Incidente
Prazo, canal, conteúdo, cooperação e atualização.
Vulnerabilidade
Correção, comunicação e mitigação.
Subcontratação
Aprovação, transparência e fluxo de obrigações.
Auditoria
Direito, evidência, frequência e proteção.
Dados
Finalidade, localização, retenção, eliminação e retorno.
Continuidade
RTO, RPO, testes, backup e alternativa.
Responsabilidade
Limites coerentes com risco.
Saída
Revogação, portabilidade, destruição e confirmação.
O contrato deve ser executável e proporcional.
Acesso de terceiros
Princípios:
- menor privilégio;
- acesso temporário;
- identidade individual;
- MFA;
- aprovação;
- segmentação;
- log;
- revisão;
- revogação;
- proibição de conta compartilhada.
Acesso deve expirar automaticamente quando possível.
Monitoramento contínuo
Eventos:
- vulnerabilidade;
- incidente;
- mudança de controle;
- nova subcontratação;
- certificação vencida;
- alteração de arquitetura;
- queda financeira;
- atraso de patch;
- mudança de localização;
- aumento de acesso.
Monitoramento externo não substitui diálogo e evidência.
Score de risco
Um score pode priorizar, mas não deve decidir sozinho.
O modelo deve explicar:
- fatores;
- pesos;
- fontes;
- data;
- cobertura;
- limite;
- incerteza.
A ausência de informação deve ser distinguida de falha.
Resposta a incidente de fornecedor
Plano conjunto:
- confirmar;
- conter;
- preservar evidência;
- avaliar impacto;
- comunicar;
- corrigir;
- restaurar;
- revisar acesso;
- cumprir obrigações;
- aprender.
Procurement ajuda a acionar cláusulas, escalonar relacionamento e coordenar alternativas.
Offboarding
Checklist:
- revogar contas;
- remover chaves;
- encerrar API;
- devolver ativo;
- exportar dado;
- confirmar eliminação;
- transferir conhecimento;
- manter registros;
- encerrar subcontratados;
- atualizar inventário.
Fornecedor encerrado com acesso ativo continua sendo risco.
Papéis
Segurança
Define requisitos e avalia controles.
Procurement
Integra requisitos ao sourcing e contrato.
Jurídico
Formaliza obrigações e risco.
Privacidade
Avalia dados pessoais.
Negócio
Define criticidade e continuidade.
TI
Implementa acesso e arquitetura.
Fornecedor
Cumpre e demonstra controles.
Indicadores
- fornecedores classificados;
- críticos avaliados;
- acessos revisados;
- MFA;
- incidentes;
- prazo de notificação;
- vulnerabilidades;
- patches;
- SBOM;
- planos de ação;
- offboarding concluído;
- subcontratados conhecidos.
Caso prático: fornecedor de folha
O prestador acessa dados pessoais e integra sistemas.
A empresa:
- classifica como crítico;
- avalia controles;
- define contrato;
- limita acesso;
- testa continuidade;
- monitora;
- prepara resposta;
- revisa suboperadores;
- verifica backup;
- planeja saída.
Preço não é o único critério.
Erros comuns
- questionário igual;
- certificação como garantia;
- contrato genérico;
- acesso permanente;
- monitoramento sem ação;
- score opaco;
- não mapear software;
- ignorar subcontratado;
- offboarding informal;
- responsabilizar apenas TI.
Como a CapturaMe se conecta a esse cenário
A CapturaMe pode incluir requisitos cibernéticos na homologação, contratos, documentos e monitoramento de fornecedores.
A plataforma deve permitir classificação por risco, alertas, planos de ação e evidências, integrando procurement e segurança.
Conclusão
Risco cibernético de terceiros é risco de negócio.
A organização precisa gerir fornecedor, produto, acesso e software ao longo do ciclo, não apenas antes da assinatura. Procurement transforma requisitos de segurança em critérios, contratos e decisões executáveis.
Conheça a CapturaMe para gestão de fornecedores
Perguntas frequentes
Todo fornecedor precisa de avaliação cibernética?
A profundidade deve seguir o acesso, os dados e a criticidade.
Certificação elimina a due diligence?
Não. É preciso avaliar escopo, validade e aderência ao uso.
O que é SBOM?
É um inventário dos componentes de software.
Seguro cibernético resolve o risco?
Não. Pode transferir parte do impacto financeiro, mas não substitui controles.
Quem deve gerir o risco?
É uma responsabilidade compartilhada entre segurança, procurement, jurídico, privacidade, TI e negócio.
O que fazer no encerramento?
Revogar acesso, tratar dados, transferir conhecimento e confirmar a saída.