TPRM — Gestão de Risco de Cibersegurança de Terceiros: como avaliar e monitorar fornecedores

O que é TPRM e por que terceiros são hoje o maior vetor de incidente

TPRM (Third-Party Risk Management, ou Gestão de Risco de Terceiros) é a disciplina que identifica, avalia, trata e monitora os riscos de cibersegurança, operacionais, de compliance e de continuidade que fornecedores, parceiros, integradores e prestadores de serviço introduzem em uma organização. No recorte de segurança da informação, o foco recai sobre cada terceiro que processa, armazena, transmite ou acessa dados e sistemas seus — de um provedor de KYC e um gateway de pagamento a um SaaS de RH ou uma fila de mensageria.

Terceiros são hoje o maior vetor de incidente porque a superfície de ataque saiu do perímetro próprio e migrou para a cadeia de suprimentos digital. Uma fintech típica integra dezenas de APIs (custódia, antifraude, open finance, comunicação) e cada integração herda o nível de maturidade de segurança do fornecedor, não o seu. O atacante não precisa derrubar seu WAF: basta comprometer o elo mais fraco com acesso legítimo aos seus dados ou ao seu ambiente.

O Relatório de Investigações de Violações de Dados (DBIR 2024) da Verizon registrou que 15% das violações envolveram um terceiro — alta de 68% frente ao ano anterior —, contemplando comprometimento de software, hospedagem de dados e parceiros. Casos como SolarWinds (2020), Kaseya (2021) e MOVEit (2023) mostraram que um único fornecedor comprometido propaga o impacto para milhares de organizações simultaneamente. No Brasil, a LGPD responsabiliza o controlador por incidentes causados por operadores (terceiros), tornando o TPRM uma exigência legal, não apenas técnica.

A diferença entre TPRM e a tradicional gestão de fornecedores é o escopo: gestão de fornecedores otimiza custo, SLA comercial e entrega; TPRM mede e reduz o risco que aquele fornecedor representa para a confidencialidade, integridade e disponibilidade dos seus ativos — e o faz de forma contínua, não apenas no momento da contratação.

O ciclo de vida do risco de terceiros: do onboarding ao offboarding

Um programa de TPRM eficaz trata o risco do fornecedor como um ciclo de vida com fases distintas, cada uma com gatilhos e evidências próprias. Ignorar qualquer fase cria pontos cegos — a maioria dos incidentes de cadeia explora fornecedores que passaram por uma due diligence inicial e nunca mais foram reavaliados.

Onboarding e due diligence: antes de qualquer dado trafegar, o fornecedor passa por uma avaliação proporcional ao risco. Coleta-se inventário de acessos, fluxo de dados, certificações (ISO 27001, SOC 2 Type II), questionário de segurança e evidências. O resultado é uma decisão go/no-go ou go-com-condições, com plano de remediação acordado para gaps críticos.

Classificação por criticidade (tiering): nem todo fornecedor merece o mesmo escrutínio. Classifique em níveis (Tier 1 a 3, ou Crítico/Alto/Médio/Baixo) com base em variáveis objetivas: volume e sensibilidade dos dados acessados (PII, dados financeiros, credenciais), nível de acesso a sistemas de produção, dependência operacional e exposição regulatória. O tier define a profundidade da avaliação, a frequência de reavaliação e a rigidez das cláusulas contratuais.

Cláusulas contratuais: o contrato é o instrumento que torna a segurança exigível. Inclua direito de auditoria e pentest, obrigação de notificação de incidente em prazo fixo (24–72h), requisitos mínimos de controle (MFA, criptografia, segregação), cláusula de subcontratação (quarto-parte), DPA conforme LGPD, e direito de rescisão por falha de segurança. Sem isso, o monitoramento não tem força executória.

Monitoramento contínuo: a postura de segurança de um fornecedor muda entre uma avaliação e outra — uma porta RDP exposta, um certificado expirado, um vazamento de credenciais na dark web. O monitoramento contínuo (detalhado adiante) substitui a foto anual por um filme em tempo real, gerando alertas acionáveis.

Offboarding: o encerramento é a fase mais negligenciada e uma das mais arriscadas. Revogue acessos e chaves de API, confirme a destruição ou devolução de dados (com atestado), remova integrações ativas e atualize o inventário. Credenciais e tokens de fornecedores desligados são vetor recorrente de acesso indevido meses após o fim do contrato.

Como avaliar um fornecedor: questionários SIG, evidências, cyber rating e pentest

A avaliação de um fornecedor combina três camadas que se validam mutuamente: o que o fornecedor declara (questionário), o que ele comprova (evidências e certificações) e o que se observa de fora ou se testa diretamente (cyber rating e pentest). Confiar em apenas uma camada produz avaliações frágeis — questionários sozinhos medem honestidade declarativa, não postura real.

Questionários padronizados: o SIG (Standardized Information Gathering), mantido pela Shared Assessments, é o questionário de referência do mercado. O SIG Core cobre cerca de 19 domínios de risco (segurança, privacidade, continuidade, nuvem, IA), enquanto o SIG Lite oferece uma versão enxuta para fornecedores de menor criticidade. Alternativas incluem o CAIQ (Cloud Security Alliance, para provedores de nuvem) e questionários derivados de ISO 27001 ou NIST CSF. O valor do questionário está em padronizar e comparar — não em substituir comprovação.

Evidências e certificações: declarações precisam de lastro. Solicite o relatório SOC 2 Type II (não apenas Type I), o certificado e o Statement of Applicability da ISO 27001, resultados de pentest recente (sumário executivo), políticas de segurança e, quando aplicável, atestados PCI-DSS. Avalie a data e o escopo: um SOC 2 de dois anos atrás ou que exclui o sistema que você usa tem valor limitado.

Cyber rating (rating de segurança): plataformas como SecurityScorecard, BitSight e UpGuard geram uma pontuação externa, não intrusiva, da postura de segurança do fornecedor — analisando reputação de IPs, certificados TLS, patches, headers, exposição de portas e indícios de comprometimento. É uma medida contínua e objetiva, útil para triagem e monitoramento, mas mede a superfície externa: não enxerga controles internos nem a segurança da aplicação em profundidade.

Pentest de terceiros: para fornecedores Tier 1 e integrações críticas, a avaliação mais conclusiva é o teste de intrusão autorizado sobre o serviço que o fornecedor entrega a você — APIs, portais, integrações. Ele revela falhas reais (IDOR, quebra de autenticação, injeção, exposição de dados entre tenants) que questionário e rating jamais capturam. Na Decripte, implementamos programas de TPRM e executamos pentest de terceiros sob escopo e autorização formal, transformando suposições contratuais em evidência técnica.

Monitoramento contínuo: superfície de ataque, dark web e sanções

A avaliação pontual responde 'como está o fornecedor hoje'; o monitoramento contínuo responde 'o que mudou desde ontem'. É o componente que diferencia um programa de TPRM maduro de uma checklist anual, e opera sobre três frentes complementares.

Monitoramento da superfície de ataque externa (EASM): mapeia e observa continuamente os ativos expostos do fornecedor à internet — domínios, subdomínios, certificados, serviços, portas abertas, software desatualizado e configurações inseguras. Mudanças relevantes (uma nova VPN sem MFA, um bucket exposto, um certificado expirado, um CVE crítico em serviço público) geram alertas que antecipam o risco antes da exploração.

Monitoramento de dark web e vazamentos: rastreia fóruns, marketplaces, canais de Telegram e dumps em busca de credenciais corporativas do fornecedor, dados que ele custodia em seu nome, ou menções a um comprometimento iminente ou já ocorrido. Credenciais vazadas de um fornecedor com acesso ao seu ambiente são um dos sinais mais acionáveis de risco de cadeia de suprimentos.

Monitoramento de sanções, reputação e saúde do negócio: verifica listas restritivas (OFAC, ONU, listas nacionais), exposição a sanções, processos relevantes e sinais de instabilidade financeira que afetam a continuidade do serviço. Um fornecedor crítico em colapso operacional é um risco de disponibilidade tão grave quanto uma falha técnica.

O monitoramento contínuo só gera valor quando integrado ao processo: alertas precisam de dono, severidade, SLA de resposta e gatilho de reavaliação. Na Decripte, alimentamos o monitoramento de terceiros com inteligência de OSINT própria e correlação de superfície de ataque, conectada ao nosso SLA de contenção de incidente crítico em até 1 hora — porque detectar o risco de um fornecedor sem capacidade de resposta apenas documenta a violação.

Frameworks de referência: ISO 27036, NIST SP 800-161, NIST 800-53 e CIS

Estruturar um programa de TPRM sobre frameworks reconhecidos garante cobertura, auditabilidade e linguagem comum com auditores e clientes. Quatro referências sustentam a maioria dos programas maduros, e elas se complementam em vez de competir.

ISO/IEC 27036 — 'Segurança da informação nas relações com fornecedores': é a norma dedicada ao tema. A Parte 1 traz visão geral e conceitos; a Parte 2 define requisitos de segurança no relacionamento com fornecedores; a Parte 3 trata especificamente da segurança da cadeia de suprimentos de TIC; e a Parte 4 cobre serviços de nuvem. Conecta-se diretamente ao controle A.5.19–A.5.22 da ISO 27001:2022, que exige gestão de segurança nas relações com fornecedores.

NIST SP 800-161 Rev. 1 — 'Cybersecurity Supply Chain Risk Management (C-SCRM)': é o guia mais profundo para risco de cadeia de suprimentos cibernética. Define práticas para integrar C-SCRM nos níveis estratégico, de missão e operacional, com controles, perfis de risco e um conjunto extenso de salvaguardas para terceiros e quartos-partes. É a referência incontornável para organizações com cadeia complexa ou exigência regulatória.

NIST SP 800-53 Rev. 5: o catálogo de controles de segurança e privacidade traz a família SR (Supply Chain Risk Management), com controles como SR-3 (proteções da cadeia), SR-5 (estratégias de aquisição), SR-6 (avaliação de fornecedores) e SR-11 (autenticidade de componentes). Fornece o vocabulário de controle que operacionaliza o 800-161.

CIS Controls v8: traz o Control 15 ('Service Provider Management'), com salvaguardas práticas e priorizadas — inventariar provedores, classificá-los, exigir requisitos de segurança em contrato, monitorá-los e descomissioná-los com segurança. É o ponto de partida mais acessível para startups e empresas em estágio inicial, antes de adotar normas mais densas. Na prática, recomendamos ancorar a governança na ISO 27036/27001, aprofundar cadeia crítica com NIST 800-161 e usar o CIS Control 15 como checklist operacional de implementação.

Como escolher uma plataforma de TPRM

Plataformas de TPRM automatizam inventário, questionários, fluxo de avaliação, cyber rating e monitoramento contínuo. A escolha errada gera um repositório de PDFs que ninguém lê; a certa transforma TPRM em processo vivo. Avalie as plataformas contra critérios concretos, não contra promessas de marketing.

Inventário e tiering automatizados: a plataforma deve descobrir e centralizar todos os fornecedores (inclusive shadow IT, via integração com gastos e SSO) e suportar classificação por criticidade com critérios customizáveis. Sem inventário completo, todo o resto avalia apenas a parte visível.

Avaliação por evidência, não só questionário: priorize plataformas que combinem bibliotecas de questionários (SIG, CAIQ), coleta e validação de evidências, e cyber rating contínuo nativo ou integrado. A capacidade de mapear respostas para múltiplos frameworks (ISO 27036, NIST, SOC 2) evita retrabalho a cada auditoria.

Monitoramento contínuo real: confirme cobertura de superfície de ataque externa, dark web e sanções, com alertas configuráveis por severidade e dono. Verifique a frequência de atualização e a taxa de falso-positivo — rating que dispara alertas irrelevantes é abandonado em semanas.

Fluxo, integração e governança: a plataforma precisa de workflow de aprovação, trilha de auditoria, gestão de remediação com SLA, e integração via API com GRC, ticketing e SSO. Avalie também a experiência do fornecedor respondente: portais hostis reduzem a taxa de resposta e a qualidade dos dados.

Critérios de decisão finais: escopo de quarto-parte (subfornecedores), residência de dados e conformidade com LGPD, modelo de precificação por número de fornecedores monitorados, e suporte a relatórios para conselho e clientes. Plataforma é meio, não fim: a Decripte ajuda a selecionar e implantar a ferramenta certa para o porte e a cadeia de cada cliente, e a operar o programa — porque software sem processo e sem capacidade de resposta apenas organiza o risco, sem reduzi-lo.

Passo a passo

1. Inventarie todos os terceiros: levante cada fornecedor, parceiro e integração que processa, armazena, transmite ou acessa seus dados e sistemas, incluindo shadow IT via gastos e logs de SSO.
2. Classifique por criticidade (tiering): atribua níveis de risco com base em sensibilidade e volume de dados acessados, nível de acesso a produção, dependência operacional e exposição regulatória.
3. Defina o padrão de avaliação por tier: estabeleça profundidade exigida por nível — SIG Lite e cyber rating para baixo risco; SIG Core, SOC 2 Type II e pentest para fornecedores críticos.
4. Insira segurança nos contratos: imponha direito de auditoria e pentest, notificação de incidente em prazo fixo, controles mínimos (MFA, criptografia), cláusula de subcontratação, DPA conforme LGPD e rescisão por falha de segurança.
5. Execute a due diligence e decida go/no-go: aplique questionário, colete e valide evidências, rode cyber rating e, para Tier 1, pentest; registre gaps com plano de remediação e prazo.
6. Ative o monitoramento contínuo: acompanhe superfície de ataque externa, dark web e sanções, com alertas por severidade, dono e SLA de resposta, e gatilhos de reavaliação por evento.
7. Padronize o offboarding e meça o programa: revogue acessos e chaves, confirme destruição de dados com atestado, atualize o inventário e reporte KPIs (cobertura, tempo de avaliação, gaps abertos) ao conselho.

Perguntas frequentes