Os recentes ataques cibernéticos trouxeram novamente à tona uma velha conhecida do mundo da segurança digital, a gestão de riscos de terceiros. Os incidentes nos obrigam a revisitar um ponto crítico da segurança corporativa que, muitas vezes, é negligenciado — quem está acessando sua rede em nome de outro?
A transformação digital, somada à crescente complexidade dos sistemas e à escassez de profissionais especializados, levou a um modelo de terceirização intensa de processos e serviços. No entanto, ao abrir as portas para parceiros, muitas empresas acabam abrindo brechas também para ameaças, principalmente quando faltam processos maduros de controle de acesso, monitoramento e segmentação da rede.
A dimensão do problema fica evidente nos dados do CIO Report 2025 da Logicalis, que aponta que 80% das organizações sofreram ao menos um incidente cibernético nos últimos 12 meses e 97% dos executivos acreditam que sua organização enfrentará riscos cibernéticos significativos no próximo ano. Ou seja, o risco não é mais uma possibilidade — é uma certeza.
Veja também: Liderança que protege: o papel do CEO na segurança da informação
Não basta confiar em quem presta serviço, é preciso verificar, controlar e auditar. O acesso de terceiros deve ser tratado com o mesmo rigor, ou até mais, que o acesso de colaboradores internos. A falta de visibilidade sobre quem acessa o quê, de onde e com quais permissões, é um risco real e recorrente. Casos em que contas continuam ativas mesmo após o encerramento do vínculo contratual com o terceiro não são exceções, mas sintomas de um problema estrutural.
Para mitigar esses riscos, é essencial que as empresas adotem práticas como:
- Controle de acessos, garantindo que cada usuário — interno ou externo — só tenha as permissões necessárias para desempenhar suas funções.
- Monitoramento contínuo de atividades, com alertas para comportamentos anômalos, como grandes volumes de transações em horários incomuns.
- Revisões periódicas de identidades e credenciais, inclusive com notificações automatizadas de desligamento de terceiros.
- Segmentação de redes, separando o ambiente corporativo do ambiente de parceiros, para reduzir o risco de propagação de ataques.
- Auditorias regulares e scorecards de segurança, que avaliem a maturidade cibernética dos parceiros com base em requisitos claros e atualizados.
- Uso de ferramentas de acesso remoto controlado (como VDI) para evitar o uso de equipamentos pessoais fora do domínio corporativo. Ou a aplicabilidade do conceito ZTNA para terceiros.
- Adoção de frameworks e certificações reconhecidas, como o NIST, CIS, a ISO 27001, como diferencial competitivo e critério mínimo em RFPs (Request for Proposal).
A maturidade em cibersegurança não se conquista apenas com tecnologia, mas com processos, governança e cultura. Isso inclui exigir dos parceiros o mesmo nível de segurança que se aplica internamente. Afinal, de que adianta investir milhões em defesa se o vizinho com acesso à sua casa deixa a porta destrancada?
A segurança da informação precisa ser tratada como um valor compartilhado em toda a cadeia de fornecimento. Quem não entender isso, infelizmente, seguirá pagando um preço alto — em reputação, recursos ou até em vidas, como já ocorreu em casos trágicos no exterior. A pergunta que fica é, sua empresa está preparada para cobrar e demonstrar maturidade em segurança com seus terceiros?
Alexandre Murakami, diretor de Vendas de Cibersegurança da Logicalis.
Inscreva-se em nosso canal do Whatsapp e tenha acesso as principais notícias do mercado.
Fonte: TI INSIDE Online - Leia mais
