Neste artigo

Introdução

Sua organização pode ter a melhor segurança do mundo, mas se um fornecedor com acesso aos seus dados sofrer um breach, você também será afetado. De fato, 60% dos data breaches envolvem terceiros - desde o famoso caso Target (via fornecedor de HVAC) até o SolarWinds (supply chain attack que afetou milhares de organizações).

A crescente dependência de serviços em nuvem, outsourcing e ecossistemas de parceiros significa que a superfície de ataque de uma organização se estende muito além de suas próprias paredes. Regulamentações como LGPD, GDPR e regulações setoriais responsabilizam as organizações pelas ações de seus processadores de dados.

Third-Party Risk Management (TPRM) é a disciplina de identificar, avaliar, monitorar e mitigar riscos associados a fornecedores, parceiros e outras entidades externas. Este guia explora como construir um programa de TPRM eficaz e proporcional ao risco.

O que é TPRM

Definição

TPRM (Third-Party Risk Management) é um programa estruturado para identificar, avaliar, mitigar e monitorar riscos associados a relacionamentos com terceiros ao longo de todo o ciclo de vida do relacionamento - desde a seleção até o encerramento.

Quem são os Terceiros?

Tipos de Terceiros

  • Fornecedores de TI - SaaS, IaaS, consultoria, desenvolvimento, outsourcing
  • Processadores de Dados - Qualquer entidade que processa dados em nome da organização
  • Prestadores de Serviço - Limpeza, segurança física, facilities com acesso a áreas sensíveis
  • Parceiros de Negócio - Joint ventures, revendedores, distribuidores
  • Fornecedores de Software - Licenças, bibliotecas, componentes (supply chain)
  • Subcontratados - Fornecedores dos seus fornecedores (Nth party risk)

Por que TPRM é Crítico

60%
dos data breaches envolvem terceiros

Risco de Terceiros em Números

  • 51% - Organizações que tiveram breach via terceiro
  • 74% - Organizações com inventário incompleto de fornecedores
  • 47% - Não monitoram fornecedores após onboarding
  • $4.29M - Custo médio de breach via terceiro

Casos Notáveis

  • Target (2013): 110M registros via fornecedor HVAC
  • SolarWinds (2020): 18,000 clientes via supply chain
  • Kaseya (2021): 1,500 empresas via MSP
  • MOVEit (2023): 2,000+ organizações via file transfer

Tipos de Risco de Terceiros

1. Risco de Segurança Cibernética

Vulnerabilidades e ameaças no ambiente do fornecedor que podem afetar seus dados ou operações:

  • Data breach expondo seus dados
  • Malware/ransomware propagando via conexões
  • Comprometimento de credenciais
  • Supply chain attacks (código malicioso em software)

2. Risco Operacional

Falhas que afetam a disponibilidade de serviços:

  • Outages e indisponibilidade
  • Falência ou encerramento do fornecedor
  • Problemas de performance
  • Concentração (dependência excessiva de um fornecedor)

3. Risco de Compliance

Não conformidade que pode resultar em penalidades ou restrições:

  • Violação de LGPD/GDPR via processador de dados
  • Não conformidade com PCI-DSS, SOC 2, ISO 27001
  • Requisitos setoriais (BACEN, CVM, HIPAA)
  • Restrições de residência de dados (data sovereignty)

4. Risco Reputacional

Danos a imagem por associação com fornecedor problemático:

  • Fornecedor envolvido em escândalos éticos
  • Práticas ambientais ou trabalhistas questionáveis
  • Breach público que menciona sua organização

5. Risco Estratégico

Impactos de longo prazo na estratégia de negócio:

  • Vendor lock-in (dificuldade de trocar)
  • Aquisição do fornecedor por concorrente
  • Mudança de direção estratégica do fornecedor
  • Obsolescência de tecnologia

Ciclo de Vida do TPRM

Fases do Ciclo de Vida

  1. Identificação: Inventário de terceiros, categorização por tipo, mapeamento de acessos e dados
  2. Classificação (Tiering): Avaliação de criticidade, nível de risco inerente, definição de rigor de avaliação
  3. Due Diligence: Questionários de segurança, revisão de certificações e auditorias, análise de políticas e controles
  4. Contratação: Cláusulas de segurança e privacidade, SLAs e penalidades, direitos de auditoria, plano de saída
  5. Onboarding: Provisionamento de acessos, configuração de controles, treinamento de requisitos
  6. Monitoramento Contínuo: Reavaliações periódicas, monitoramento de rating/intelligence, alertas de eventos
  7. Offboarding: Revogação de acessos, retorno/destruição de dados, verificação de obrigações cumpridas

Classificação de Fornecedores

Nem todos os fornecedores representam o mesmo nível de risco. Classificação permite alocar recursos de avaliação proporcionalmente.

Critérios de Classificação

1. Criticidade do Serviço

  • Qual o impacto se o fornecedor ficar indisponível?
  • Existem alternativas ou substitutos?
  • Quanto tempo para substituir?

2. Tipo de Acesso

  • Acesso a dados sensíveis (pessoais, financeiros, proprietários)?
  • Acesso a sistemas internos?
  • Acesso físico a instalações?
  • Acesso ao código-fonte ou infraestrutura crítica?

3. Volume e Tipo de Dados

  • Quantos registros de dados pessoais?
  • Dados financeiros ou de saude?
  • Propriedade intelectual?

4. Concentração e Dependência

  • Qual % do serviço depende deste fornecedor?
  • Existe vendor lock-in tecnológico?

Modelo de Tiering

Tier Critérios Avaliação Exemplos
Tier 1 - Alto Risco
(~15% dos fornecedores)		 Acesso a dados pessoais sensíveis, serviço crítico, acesso privilegiado Full due diligence, assessment técnico, reavaliação anual + monitoramento contínuo Cloud providers, processadores de pagamento, ERP, CRM
Tier 2 - Médio Risco
(~30% dos fornecedores)		 Acesso a dados internos não sensíveis, serviço importante mas não crítico Questionário padrão + revisão de documentos, reavaliação a cada 2 anos Ferramentas de produtividade, marketing tools
Tier 3 - Baixo Risco
(~55% dos fornecedores)		 Sem acesso a dados sensíveis, serviço facilmente substituível Questionário simplificado, reavaliação a cada 3 anos ou renovação Fornecedores de escritório, utilities

Due Diligence e Avaliação

Questionários de Segurança

SIG (Standardized Information Gathering)

Desenvolvido pela Shared Assessments, é o padrão mais utilizado:

  • SIG Core - Versão completa (~800 questões) para alto risco
  • SIG Lite - Versão reduzida (~200 questões) para médio risco
  • Cobre 19 domínios alinhados com frameworks principais

CAIQ (Cloud Security Alliance)

Específico para serviços em nuvem:

  • Alinhado com CCM (Cloud Controls Matrix)
  • Foco em responsabilidades compartilhadas
  • Muitos cloud providers já publicam CAIQ preenchido

Revisão de Documentação

Documentos a Solicitar

  • Certificações - SOC 2 Type II, ISO 27001, PCI-DSS
  • Políticas - Segurança da informação, privacidade, BC/DR
  • Relatórios de Auditoria - SOC 2 report, pentest results
  • Evidências de Controles - Para gaps identificados
  • Planos de Resposta - Incident response, disaster recovery
  • Histórico de Incidentes - Breaches anteriores e resoluções

Avaliação Técnica

Para fornecedores de alto risco, avaliação técnica pode incluir:

  • Review de arquitetura de segurança
  • Análise de configurações de integrações
  • Verificação de dados de security ratings
  • Pentest colaborativo (se permitido)

Remediação de Gaps

Quando gaps são identificados:

  1. Documentar findings e risco residual
  2. Definir compensating controls se possível
  3. Estabelecer plano de remediação com prazos
  4. Incluir requisitos em contrato
  5. Aceitar risco formalmente se não puder mitigar

Requisitos Contratuais

Cláusulas de Segurança

Cláusulas Essenciais

# Proteção de Dados
- Obrigação de proteger dados conforme classificação
- Proibição de uso para fins não autorizados
- Requisitos de criptografia (em trânsito e em repouso)
- Restrições de subcontratação

# Conformidade e Auditoria
- Manter certificações específicas (ISO 27001, SOC 2)
- Direito de auditoria (anual ou sob demanda)
- Notificação de mudanças materiais em controles
- Acesso a relatórios de auditoria

# Resposta a Incidentes
- Notificação de breach em X horas (24-72h)
- Cooperação na investigação
- Comunicação a afetados (se aplicável)
- Custos de remediação

# Continuidade de Negócios
- RTO/RPO acordados
- Testes de DR periódicos
- Notificação de eventos que afetem disponibilidade

# Término e Transição
- Retorno de dados em formato utilizável
- Destruição certificada após término
- Período de transição garantido
- Assistência na migração

DPA (Data Processing Agreement)

Para processadores de dados pessoais, DPA é obrigatório pela LGPD:

  • Descrição do tratamento e finalidades
  • Tipos de dados pessoais tratados
  • Obrigações do operador
  • Transferências internacionais
  • Suboperadores permitidos
  • Direitos de titulares

Monitoramento Contínuo

Due diligence inicial é insuficiente - riscos mudam constantemente.

Security Ratings

Plataformas que monitoram postura de segurança externa:

  • BitSight - Rating de A-F baseado em observações externas
  • SecurityScorecard - Scores por categoria de controle
  • UpGuard - Foco em data exposure e configurações
  • RiskRecon - Análise de assets expostos

Threat Intelligence

  • Alertas de breaches envolvendo fornecedores
  • Credenciais expostas de domínios do fornecedor
  • Menções em fóruns underground
  • Vulnerabilidades em produtos do fornecedor

Business Intelligence

  • Aquisições e fusões
  • Problemas financeiros
  • Mudanças de liderança
  • Ações legais e regulatórias

Triggers de Reavaliação

Quando Reavaliar Imediatamente

  • Breach ou incidente de segurança no fornecedor
  • Mudança significativa no escopo de serviços
  • Aquisição ou fusão do fornecedor
  • Queda significativa no security rating
  • Mudanças regulatórias que afetam o serviço
  • Problemas de performance ou SLA recorrentes
  • Denúncia ou red flag interno

TPRM e Compliance

LGPD e Operadores de Dados

A LGPD responsabiliza o controlador por ações do operador:

  • Due diligence antes de contratar processador
  • Contrato escrito com requisitos de proteção
  • Verificação de conformidade do operador
  • Notificação de incidentes também de operadores

Regulações Setoriais

Setor Financeiro (BACEN)

  • Resolução CMN 4.893/2021 - Política de segurança cibernética
  • Requisitos específicos para contratação de cloud
  • Notificação ao regulador sobre fornecedores relevantes

Setor de Saúde

  • Proteção reforçada de dados de saúde
  • Requisitos de CFM e ANS para sistemas

SOC 2 e Fornecedores

Se sua organização busca SOC 2, gestão de fornecedores é um requisito:

  • Processo documentado de TPRM
  • Evidências de avaliação de fornecedores
  • Monitoramento contínuo demonstrável

Ferramentas e Automação

Plataformas de TPRM

  • OneTrust Vendorpedia - Plataforma completa com automação de assessments
  • Prevalent - Exchange de assessments compartilhados
  • ProcessUnity - Workflow e automação de TPRM
  • ServiceNow VRM - Integrado ao ecossistema ServiceNow
  • Archer - Parte de suite de GRC

Security Rating Platforms

  • BitSight - Líder de mercado, ampla cobertura
  • SecurityScorecard - Forte em detalhamento por categoria
  • UpGuard - Foco em data leaks e configurações
  • Panorays - Combina rating com questionnaires

Automação do Processo

  • Distribuicao automatica de questionários
  • Tracking de prazos e follow-up
  • Scoring automatizado de respostas
  • Integracao com sistemas de contratos
  • Alertas de mudanças em ratings

Perguntas Frequentes

O que é TPRM e por que é importante?

TPRM (Third-Party Risk Management) é o processo de identificar, avaliar e mitigar riscos associados a fornecedores, parceiros e outras entidades externas que têm acesso a dados ou sistemas da organização. É importante porque 60% dos breaches envolvem terceiros, e regulamentações como LGPD responsabilizam a organização por ações de seus operadores de dados.

Quais são os principais riscos de terceiros?

Principais riscos incluem: riscos de segurança (breach no fornecedor expõe seus dados), riscos operacionais (fornecedor crítico fica indisponível), riscos de compliance (fornecedor não atende requisitos regulatórios), riscos reputacionais (associação com fornecedor envolvido em escândalos), e riscos estratégicos (dependência excessiva de fornecedor único ou que pode ser adquirido por concorrente).

Como classificar fornecedores por risco?

Classificação típica considera: criticidade (impacto se fornecedor falhar), tipo de acesso (dados, sistemas, físico), tipo de dados (pessoais, financeiros, proprietários), concentração (% do serviço dependente do fornecedor), e substituibilidade (facilidade de trocar). Combine esses fatores para classificar em Alto, Médio e Baixo risco, aplicando controles proporcionais a cada nível.

Quais questionários usar para avaliar fornecedores?

Questionários populares incluem: SIG (Standardized Information Gathering) da Shared Assessments, CAIQ (Consensus Assessments Initiative Questionnaire) da Cloud Security Alliance para cloud, VSA (Vendor Security Alliance) questionnaire, e questionários customizados baseados em frameworks como ISO 27001 ou NIST CSF. Muitas organizações usam SIG Core ou SIG Lite como base.

Com que frequência reavaliar fornecedores?

Frequência depende do nível de risco: fornecedores de alto risco devem ser reavaliados anualmente com monitoramento contínuo, médio risco a cada 2 anos, baixo risco a cada 3 anos ou conforme renovação de contrato. Eventos como breach, mudança de escopo, ou aquisição do fornecedor devem disparar reavaliação imediata independente do ciclo normal.

Conclusão

Em um mundo onde organizações dependem cada vez mais de terceiros para operar, a segurança deixou de ser um esforço puramente interno. O perímetro de segurança agora se estende a cada fornecedor com acesso a dados ou sistemas - e cada um representa um potencial vetor de ataque ou ponto de falha.

Um programa de TPRM eficaz não busca eliminar todos os riscos de terceiros - isso seria impossível e paralisante. O objetivo é visibilidade, proporcionalidade e gestão contínua: saber quem são seus terceiros, entender os riscos que representam, aplicar controles proporcionais, e monitorar mudanças ao longo do tempo.

A chave está no equilíbrio: rigoroso o suficiente para mitigar riscos significativos, prático o suficiente para não impedir operações de negócio. Classificação de fornecedores permite alocar recursos onde o risco é maior, enquanto automação e ferramentas especializadas tornam o programa escalável.

Fortaleça sua Gestão de Terceiros

Precisa de ajuda para estruturar seu programa de TPRM, avaliar fornecedores críticos ou implementar monitoramento contínuo? Entre em contato para uma consultoria especializada.

Solicitar Avaliação
Inteligência Brasil

Inteligência Brasil

Consultoria especializada em GRC, Gestão de Riscos e Conformidade.