Quando a operação depende de terceiros, a segurança também precisa olhar para fora

Setrix Segurança em Tecnologia da Informação
18 de mai.
9 min de leitura

Boa parte da operação empresarial moderna acontece fora dos limites diretos da empresa.

Sistemas estão na nuvem. Os processos dependem de plataformas SaaS. Dados circulam entre fornecedores. Áreas de negócio contratam ferramentas específicas. APIs conectam aplicações. Prestadores acessam ambientes internos. Serviços críticos são entregues por terceiros.

Esse modelo trouxe eficiência, escala e velocidade. Também permitiu que empresas se tornassem mais flexíveis, digitais e integradas. Mas criou uma dependência que muitas organizações ainda não tratam com a profundidade necessária.

O risco não está apenas no fornecedor que acessa dados ou sistemas. Está na operação que passa a depender dele para funcionar.

Quando uma plataforma externa fica indisponível, um fornecedor sofre um incidente, uma integração falha ou um prestador crítico não consegue entregar o serviço, o impacto pode ultrapassar a área de tecnologia. Pode afetar atendimento, faturamento, logística, produção, comunicação, relacionamento com clientes, cumprimento de prazos e continuidade do negócio.

Por isso, a segurança de terceiros não pode ser tratada apenas como etapa contratual ou questionário de compliance. Ela precisa fazer parte da governança de risco e continuidade operacional.

A operação ficou distribuída

Durante muito tempo, era mais fácil delimitar o que estava “dentro” e “fora” da empresa.

A infraestrutura principal estava no ambiente interno. Os sistemas críticos eram administrados diretamente. O acesso externo era mais limitado. Os fornecedores tinham papéis mais definidos e, em muitos casos, menos integrados à operação digital.

Essa realidade mudou.

Hoje, a operação de uma empresa pode depender de serviços de nuvem, plataformas de colaboração, sistemas de gestão, ferramentas de atendimento, soluções de pagamento, provedores de identidade, softwares financeiros, serviços de logística, ferramentas de marketing, aplicações de RH, soluções de analytics, APIs de terceiros e prestadores que acessam ambientes remotamente.

Em muitos casos, esses recursos não são periféricos. Eles sustentam a rotina.

Uma área comercial pode depender de um CRM externo para vender.

O financeiro pode depender de uma plataforma SaaS para faturar.

O atendimento pode depender de uma ferramenta de tickets para responder clientes.

A operação pode depender de integrações com parceiros para executar processos críticos.

O jurídico pode armazenar documentos em soluções externas.

O RH pode usar plataformas de gestão de pessoas.

A TI pode depender de fornecedores para sustentação, monitoramento e suporte.

A empresa continua sendo uma organização única, mas sua operação acontece em uma rede distribuída de sistemas, prestadores e plataformas.

É essa distribuição que muda a natureza do risco.

Terceiros não criam apenas risco de acesso

A discussão sobre terceiros em segurança costuma começar pelo acesso.

Quem tem credencial?
Quem acessa sistemas internos?
Quem usa VPN?
Quem possui privilégio administrativo?
Quem consegue consultar bases de dados?
Quem opera remotamente?

Essas perguntas são importantes. Um fornecedor com acesso inadequado pode se tornar vetor de ataque, canal de movimentação indevida ou ponto de exposição de dados.

Acesso de terceiro precisa ser concedido com critério, monitorado, revisado e revogado quando deixa de fazer sentido, mas essa é apenas uma parte do problema.

Um fornecedor também pode representar risco quando processa dados sensíveis, armazena informações estratégicas, opera serviços críticos, integra sistemas ou sustenta etapas essenciais da operação.

Em alguns casos, o risco não vem de um acesso direto ao ambiente interno, mas da dependência que a empresa criou em relação ao serviço prestado.

Um provedor de nuvem pode afetar aplicações críticas.

Uma plataforma de pagamento pode interromper vendas.

Um sistema de atendimento pode comprometer o relacionamento com clientes.

Um fornecedor de logística pode atrasar entregas.

Uma ferramenta de comunicação pode paralisar fluxos internos.

Uma integração com parceiro pode impedir a conclusão de processos operacionais.

Nesses casos, o terceiro não é apenas uma possível porta de entrada.

Ele é parte da continuidade do negócio.

Fornecedor crítico não é apenas quem acessa dados sensíveis

Um erro comum na gestão de terceiros é definir criticidade apenas pelo tipo de dado acessado ou pelo nível de permissão concedida.

Esses critérios são necessários, mas não suficientes.

Um fornecedor pode não acessar dados altamente sensíveis e, ainda assim, ser crítico para a operação. Se sua indisponibilidade impede vendas, atendimento, produção, faturamento ou comunicação, ele precisa ser tratado de forma diferente.

A criticidade de um fornecedor deve considerar, pelo menos, três dimensões.

A primeira é o acesso. Esse fornecedor consegue entrar em sistemas, ambientes, aplicações ou redes da empresa? Possui credenciais? Opera com privilégio elevado? Tem acesso remoto? Mantém integrações ativas?

A segunda é o dado. Esse fornecedor trata dados pessoais, informações confidenciais, dados financeiros, registros de clientes, documentos estratégicos, propriedade intelectual ou informações reguladas?

A terceira é a continuidade. A empresa consegue operar sem este fornecedor? Por quanto tempo? Existe alternativa? Há processo manual? Há outro prestador possível? Qual área para primeiro? Qual cliente é impactado? Qual obrigação deixa de ser cumprida?

Essa terceira dimensão costuma ser subestimada.

Muitas organizações sabem quais fornecedores têm contrato ativo, mas não sabem quais deles são indispensáveis para manter a operação funcionando. Sabem quem trata dados pessoais, mas não sabem quais serviços externos sustentam processos críticos. Sabem quais fornecedores têm SLA, mas não testaram o que acontece quando o serviço falha.

A dependência operacional nem sempre aparece no contrato. Ela aparece quando algo para.

Avaliação pontual não acompanha risco dinâmico

A forma tradicional de avaliar fornecedores costuma ser concentrada no momento da contratação.

A empresa envia um questionário, solicita documentos, verifica certificações, revisa cláusulas contratuais, valida requisitos mínimos e libera o fornecedor para operar. Esse processo é importante, mas não acompanha sozinho a velocidade das mudanças no ambiente digital.

Um fornecedor pode mudar sua infraestrutura. Pode migrar serviços para outra nuvem. Pode incorporar recursos de inteligência artificial. Pode contratar suboperadores. Pode alterar integrações. Pode mudar a política de retenção de dados. Pode ativar novas funcionalidades. Pode sofrer um incidente. Pode passar por fusão, aquisição ou reestruturação. Pode ampliar o escopo de uso dentro da empresa sem que segurança, jurídico ou compliance percebam.

Quando a avaliação acontece apenas no início da relação, a organização passa a trabalhar com uma fotografia antiga do risco.

O fornecedor aprovado há dois anos pode não ser o mesmo fornecedor de hoje.

O serviço contratado inicialmente pode ter se tornado muito mais crítico.

A integração criada para uma finalidade específica pode ter se expandido.

A área que usava a ferramenta de forma limitada pode ter transformado aquela plataforma em parte essencial da operação.

Risco de terceiro não é estático.

Por isso, a gestão precisa deixar de ser apenas documental e se tornar contínua. Isso significa revisar criticidade, acompanhar mudanças, monitorar acessos, atualizar evidências, reavaliar fornecedores críticos e conectar a gestão de terceiros à governança de risco da organização.

Contrato ajuda, mas não garante continuidade

Contratos são fundamentais. Eles definem responsabilidades, níveis de serviço, obrigações de confidencialidade, requisitos de segurança, tratamento de dados, comunicação de incidentes, subcontratação, auditoria, penalidades e condições de encerramento, mas o contrato não mantém a operação funcionando sozinho.

Um SLA pode prever disponibilidade, mas não substitui um plano de continuidade. Uma cláusula de segurança pode exigir boas práticas, mas não comprova que elas são aplicadas.

Uma obrigação de notificação pode determinar prazos, mas não garante que a empresa terá informação suficiente para decidir rapidamente.

Uma cláusula de proteção de dados pode regular responsabilidades, mas não elimina o impacto de uma exposição.

Quando o fornecedor falha, o que importa é a capacidade da organização de responder.

Quem aciona o fornecedor?
Quem avalia o impacto interno?
Quem comunica as áreas afetadas?
Quem decide acionar contingência?
Qual processo alternativo entra em funcionamento?
Quais dados podem ter sido afetados?
Quais clientes, parceiros ou titulares precisam ser comunicados?
Como as evidências serão preservadas?
Como a operação será retomada?

Essas perguntas precisam ser respondidas antes do incidente.

A gestão contratual é parte da governança, mas a continuidade depende de processo, teste, decisão e coordenação.

A dependência também está nos detalhes invisíveis

Nem toda dependência crítica é evidente.

Algumas estão em grandes plataformas contratadas formalmente. Outras estão em ferramentas menores, adotadas por áreas de negócio para resolver problemas específicos. Algumas estão em APIs antigas. Outras em integrações mantidas por fornecedores. Algumas em planilhas conectadas a sistemas externos. Outras em contas de serviço, tokens, chaves e automações que continuam funcionando sem muita visibilidade.

Esse é um ponto importante: a dependência operacional cresce aos poucos.

Uma ferramenta começa como solução auxiliar e vira fonte principal de informação. Uma integração temporária passa a sustentar um processo recorrente. Um fornecedor contratado para apoio pontual se torna responsável por uma rotina crítica. Um SaaS usado por uma equipe se espalha para outras áreas. Um serviço externo passa a concentrar dados, decisões ou fluxos de aprovação.

Quando isso acontece sem governança, a empresa cria uma cadeia de dependências que só aparece com clareza quando algo falha.

Por isso, o inventário de terceiros não deve se limitar ao cadastro de fornecedores. Ele precisa mapear plataformas, integrações, prestadores, subcontratados, acessos remotos, serviços críticos e dependências operacionais.

A pergunta não é apenas “quem contratamos?”.

É também “de quem dependemos para funcionar?”.

Governança de terceiros é um ciclo

A gestão madura de terceiros não acontece em uma única etapa. Ela funciona como um ciclo contínuo.

Primeiro, é preciso identificar. A organização deve saber quais fornecedores, plataformas, prestadores, aplicações SaaS e integrações fazem parte da operação.

Depois, classificar. Nem todos têm o mesmo peso. A criticidade deve considerar acesso, dados, impacto operacional, dependência, substituibilidade e exposição regulatória.

Em seguida, avaliar. Fornecedores críticos precisam apresentar evidências proporcionais ao risco que representam: práticas de segurança, continuidade, privacidade, histórico de incidentes, subcontratados, arquitetura, certificações, processos de resposta e mecanismos de comunicação.

Na contratação, os critérios precisam estar refletidos em cláusulas claras. Segurança, privacidade, continuidade, notificação de incidentes, direito de auditoria, subcontratação, descarte de dados, reversibilidade e níveis de serviço não podem ser tratados como detalhes finais.

Durante a relação, é necessário monitorar. Acessos de terceiros devem ser revisados. Integrações precisam ser acompanhadas. Mudanças relevantes devem ser avaliadas. Fornecedores críticos devem ser reavaliados periodicamente.

Também é preciso testar a continuidade. Se um serviço externo parar, a empresa precisa saber o que fazer. Isso envolve alternativas operacionais, processos manuais, plano de comunicação, responsáveis definidos e tolerância real à indisponibilidade.

Quando há incidente, a resposta precisa ser coordenada. Um evento que começa no fornecedor pode exigir ações internas rápidas: contenção, avaliação de impacto, comunicação, preservação de evidências, acionamento jurídico, análise de dados pessoais e decisões de negócio.

Por fim, o encerramento também precisa ser governado. Ao terminar a relação com um fornecedor, a empresa deve garantir revogação de acessos, encerramento de integrações, devolução ou eliminação de dados, descarte seguro, documentação e validação de que não restaram credenciais, tokens ou permissões ativas.

Esse ciclo transforma terceiros de uma preocupação contratual em uma disciplina de governança.

Continuidade precisa olhar para fora

Planos de continuidade muitas vezes são construídos olhando para dentro: sistemas internos, equipe própria, infraestrutura, processos críticos e ambientes sob controle direto da organização.

Esse olhar continua necessário, mas já não é suficiente.

Se a operação depende de terceiros, o plano de continuidade precisa considerar falhas externas. Isso inclui indisponibilidade de SaaS, interrupção em provedor de nuvem, falha em fornecedor de pagamento, incidente em parceiro logístico, comprometimento de prestador com acesso remoto, indisponibilidade de plataforma de atendimento, falha em fornecedor de identidade ou interrupção em uma API crítica.

A pergunta não deve ser apenas “como recuperamos nossos sistemas?”.

Também deve ser:

O que fazemos se o fornecedor crítico não estiver disponível?
Qual processo alternativo existe?
Quanto tempo conseguimos operar sem ele?
Quais áreas são afetadas primeiro?
Quem decide acionar contingência?
Como informamos clientes, parceiros e colaboradores?
Existe plano de saída?
Existe fornecedor alternativo?
Os dados podem ser exportados?
As integrações podem ser desligadas com segurança?
A dependência é reversível?

A continuidade do negócio deixou de depender apenas do que a empresa controla diretamente. Ela também depende da capacidade de governar o que sustenta a operação fora dos seus limites.

Segurança de terceiros também é prestação de contas

Quando um terceiro falha, o impacto pode chegar à empresa contratante mesmo que a origem do problema esteja fora dela.

Clientes não costumam separar com precisão onde a falha começou. Titulares de dados querem saber se suas informações foram protegidas. Reguladores podem exigir explicações sobre medidas adotadas. Áreas internas precisam de resposta rápida. A liderança quer entender impacto, responsabilidade e recuperação.

Por isso, a segurança de terceiros também envolve prestação de contas.

A organização precisa demonstrar que avaliou fornecedores críticos, definiu critérios proporcionais ao risco, formalizou responsabilidades, acompanhou mudanças, revisou acessos, tratou dados pessoais adequadamente, testou planos de continuidade e respondeu de forma coordenada quando necessário.

Isso é especialmente importante quando há dados pessoais envolvidos. Sob a lógica da LGPD, a relação com operadores, suboperadores, medidas de segurança, comunicação de incidentes e responsabilização precisa estar documentada e governada.

Não basta dizer que o problema foi do fornecedor.

A empresa precisa demonstrar que tratou aquela dependência com a diligência necessária.

O papel da Setrix

A Setrix apoia organizações na estruturação dessa visão mais ampla sobre terceiros, risco e continuidade.

Isso envolve avaliação de fornecedores críticos, análise de riscos, adequação à LGPD, revisão de políticas, governança de terceiros, gestão de continuidade, documentação, revisão de acessos, definição de critérios de criticidade e estruturação de respostas para incidentes que envolvem prestadores, plataformas e serviços externos.

O objetivo não é aumentar burocracia no relacionamento com fornecedores. É dar clareza para que a empresa saiba de quem depende, qual risco essa dependência cria e como reduzir impacto caso algo falhe.

Em ambientes cada vez mais distribuídos, a segurança precisa acompanhar o desenho real da operação.

E a operação, hoje, raramente termina dentro da empresa.

Empresas podem terceirizar sistemas, plataformas e serviços. Mas não terceirizam completamente o impacto de uma falha.

Quando um fornecedor crítico fica indisponível, a operação sente. Quando uma integração é comprometida, o risco circula. Quando uma plataforma externa falha, a continuidade é testada. Quando dados são tratados por terceiros, a responsabilidade precisa ser governada.

Por isso, a segurança de terceiros não pode ser tratada apenas como etapa de contratação, cláusula padrão ou questionário anual. Ela precisa fazer parte da estratégia de risco, continuidade e governança da organização.

A pergunta central não é apenas se o fornecedor é seguro.

É o quanto a sua operação depende dele, o que acontece se ele falhar e quais evidências mostram que essa dependência está sendo governada.

Se a operação depende de terceiros, a segurança também precisa olhar para fora.