A crescente dependência de fornecedores, parceiros e prestadores de serviços tem ampliado os riscos de cibersegurança nas grandes empresas. Embora traga ganhos operacionais, essa prática expande a superfície de ataque e aumenta a vulnerabilidade a incidentes digitais.
Dados do Índice de Preparação para Cibersegurança 2025, elaborado pela Cisco, mostram que apenas 5% das companhias brasileiras possuem maturidade suficiente para enfrentar ameaças modernas. O levantamento também indica que mais de 30% já foram vítimas de ataques cibernéticos.
Caso recente acende alerta
Um ataque hacker registrado em junho contra uma empresa de tecnologia que presta serviços a bancos nacionais evidenciou os riscos da gestão inadequada de terceiros.
Embora o alvo direto tenha sido o prestador de serviços, o incidente teve potencial de atingir instituições financeiras de grande porte, revelando como vulnerabilidades externas podem desencadear efeitos sistêmicos no setor. A investigação segue sob responsabilidade da Polícia Federal.
Principais falhas na gestão de terceiros
Entre as falhas mais comuns no relacionamento com terceiros estão:
- Uso de credenciais fracas ou compartilhadas;
- Ausência de segmentação de rede;
- Baixo nível de maturidade em políticas de segurança dos fornecedores;
- Falta de monitoramento contínuo e auditorias regulares.
Esses fatores tornam a cadeia de suprimentos digitais um alvo prioritário para cibercriminosos.
Medidas recomendadas para reduzir riscos
Especialistas destacam que a mitigação de riscos exige abordagem estruturada, combinando tecnologia, governança e cultura organizacional.
Entre as ferramentas citadas como essenciais estão:
- Gestão de Identidade e Acesso (IAM/PAM);
- Plataformas de Governança, Risco e Compliance (GRC/TPRM);
- Sistemas de detecção e resposta a incidentes (SIEM/SOAR);
- Testes periódicos de vulnerabilidade;
- Uso de blockchain para rastreabilidade.
Além disso, tecnologias de inteligência artificial e machine learning já são aplicadas na detecção de comportamentos anômalos e na automatização de respostas a incidentes.
Governança e contratos mais rígidos
A análise de riscos de fornecedores deve incluir a avaliação de sua maturidade em segurança da informação, histórico de incidentes e certificações reconhecidas. Também é recomendada a aplicação de questionários estruturados e a exigência de cláusulas contratuais específicas de segurança.
Essas práticas estão alinhadas às diretrizes do NIST CSF 2.0 e da ISO/IEC 27002:2022, que reforçam a necessidade de controles robustos ao longo de toda a cadeia de suprimentos.
Cultura de segurança compartilhada
A criação de uma cultura de segurança da informação entre empresas e fornecedores é considerada outro pilar estratégico.
Para isso, são sugeridas ações como:
- Treinamentos periódicos de equipes;
- Auditorias in loco em fornecedores críticos;
- Fóruns de troca de informação sobre cibersegurança;
- Definição clara de expectativas de conformidade.
Mais do que impor regras, especialistas defendem o envolvimento de terceiros na construção de uma rede digital resiliente.
Setores mais sensíveis a ataques
Áreas como financeiro, saúde, tecnologia, infraestrutura crítica e governo concentram os maiores riscos, devido à sensibilidade dos dados tratados e ao impacto potencial de falhas.
Nesses setores, a integração entre Segurança da Informação, Jurídico, Compras e Compliance é considerada fundamental para implementar processos padronizados e garantir respostas coordenadas diante de ameaças.
Relevância para negócios e contadores
Para contadores, auditores e gestores de risco, a atenção ao tema é estratégica. A ocorrência de incidentes cibernéticos pode gerar não apenas impactos operacionais, mas também consequências financeiras, fiscais e reputacionais para empresas e seus clientes.
A prevenção, portanto, deve ser vista como investimento em resiliência digital, e não apenas como obrigação da área de tecnologia.
A gestão de riscos envolvendo terceiros tornou-se um dos maiores desafios da cibersegurança corporativa. Em um cenário cada vez mais interconectado e regulado, antecipar ameaças e implementar governança robusta são medidas indispensáveis para proteger dados, processos e reputações.
Empresas que negligenciarem esse cuidado podem enfrentar não só perdas financeiras, mas também comprometimento da confiança de clientes e parceiros.
Com informações do Portal Dedução
Fonte Oficial: https://www.contabeis.com.br/noticias/72429/terceirizados-ampliam-riscos-de-ciberseguranca-nas-empresas/