“O preço da grandeza é a responsabilidade” — a frase de Winston Churchill ecoa com força quando pensamos na complexidade do mundo digital e nas responsabilidades das lideranças empresariais. Proteger a cibersegurança sempre foi um tema complexo, porém atualmente as organizações não dependem apenas de seus próprios controles, mas da solidez de todo o ecossistema de parceiros e fornecedores com os quais elas se conectam.
Nos incidentes mais recentes no sistema financeiro brasileiro, a porta de entrada foi comum: terceiros. Centenas de milhões de reais foram comprometidos em ataques que exploraram fragilidades em parceiros estratégicos. Esses episódios reforçam que, ao escolher um parceiro de negócios, parte do risco cibernético é transferida para ele, mas isso não significa que o risco desaparece. Ele persiste e pode afetar diretamente a organização contratante.
A Resolução nº 4.893 do Conselho Monetário Nacional reforça a necessidade de controles robustos na gestão de riscos operacionais, incluindo riscos cibernéticos em terceiros e prestadores de serviços relevantes. Ela exige que instituições financeiras adotem práticas consistentes de avaliação, monitoramento e mitigação dos riscos provenientes de suas cadeias de relacionamento.
Na minha experiência, presenciei contratações de parceiros relevantes evoluírem sem a devida análise de riscos cibernéticos, e parceiros de longa data, antes blindados pela confiança, mostrarem fragilidades críticas quando colocados sob escrutínio. Da confiança à vulnerabilidade.
Ignorar a cibersegurança de parceiros é, em última análise, expor o próprio negócio a riscos desconhecidos. Quando negligenciados, estes riscos podem comprometer o valor de mercado, a confiança de clientes e até mesmo a continuidade da operação.
Principais formas de gerir o risco cibernético em terceiros
Para enfrentar esse desafio, algumas práticas podem fortalecer a governança:
1. Due diligence pré-contratual – Avaliar políticas de segurança, certificações (ISO 27001, SOC 2, PCI DSS), histórico de incidentes e como foram tratados.
2. Cláusulas contratuais de segurança – Incluir requisitos de segurança, direito de auditoria, notificação imediata em incidentes e responsabilização em casos de falhas.
3. Monitoramento contínuo e avaliações periódicas – Auditorias, testes e indicadores de risco atualizados.
4. Integração ao framework de gestão de riscos – Classificação de fornecedores por criticidade e inclusão nos relatórios de risco e auditoria.
5. Treinamento e conscientização – Incluir parceiros em programas de capacitação e simulações de crise.
6. Uso de ferramentas de TPRM (Third-Party Risk Management) – Monitoramento em tempo real e uso de inteligência de ameaças.
7. Planos de resposta a incidentes conjuntos – Estabelecer cooperação e comunicação prévia em cenários de crise.
8. Governança e supervisão – Conselhos e comitês devem acompanhar a exposição a terceiros e adotar estratégias preventivas.
A segurança de uma organização é tão forte quanto o elo mais fraco de seus parceiros. Negócios não afundam apenas por falhas internas, mas pela confiança excessiva em parceiros frágeis. A escolha é clara: ou tratar a cibersegurança de terceiros como prioridade estratégica, ou seguir exposto a riscos invisíveis que podem destruir valor em questão de horas.
*Paulo Barbosa é associado do IBGC. Conselheiro, advisor e empreendedor. Especialista em cibersegurança, gestão de riscos, governança e compliance, tendo atuado como CISO e advisor em grandes instituições financeiras, multinacionais e empresas reguladas no Brasil e na Europa. Professor convidado em programas de especialização, publica artigos, atua como palestrante e é coautor do livro Cibersegurança e Proteção de Dados: Como pensam os líderes?