Gestão de Risco de Terceiros (TPRM): Como Avaliar Fornecedores Pela Postura Real

A gestão de risco de terceiros (TPRM, Third Party Risk Management) e o conjunto de práticas, processos e tecnologias que permitem a uma organização identificar, avaliar e monitorar continuamente os riscos de segurança introduzidos por fornecedores, parceiros e prestadores de serviço. Em um cenário onde 60% dos data breaches envolvem um terceiro, segundo o Ponemon Institute, depender de formulários de autoavaliação anuais não é apenas insuficiente, e negligência operacional.

Ataques como SolarWinds (2020), Kaseya (2021) e MOVEit (2023) demonstraram que a cadeia de suprimentos digital se tornou o vetor preferido de adversários sofisticados. A pergunta que CISOs e CIOs precisam responder já não é "nossos fornecedores preencheram o questionário?", mas sim: qual é a postura real de segurança de cada terceiro crítico, agora?

Este artigo explica como funciona o TPRM moderno, por que formulários tradicionais falharam, o que a regulação brasileira exige e como a abordagem de varredura técnica combinada com questionários adaptativos muda o jogo.

---

O que é TPRM (Third Party Risk Management)

Third Party Risk Management, ou gestão de risco de terceiros, é a disciplina que abrange todo o ciclo de vida do relacionamento com entidades externas que têm acesso a dados, sistemas ou infraestrutura da organização. Isso inclui fornecedores de software, provedores de nuvem, consultorias de TI, processadores de pagamento, empresas de outsourcing e qualquer parceiro com conectividade ao ambiente corporativo.

O escopo do TPRM envolve:

• Identificação e inventário de todos os terceiros com acesso a ativos críticos
• Avaliação de risco antes da contratação (due diligence de segurança)
• Monitoramento contínuo da postura de segurança ao longo do contrato
• Gestão de incidentes envolvendo a cadeia de suprimentos
• Off-boarding seguro ao termino do relacionamento

Dentro do framework de Continuous Threat Exposure Management (CTEM), o TPRM se encaixa na fase de Escopo, é impossível mapear a superfície de ataque real da organização sem considerar a exposição introduzida por terceiros. A descoberta de ativos externos (EASM) identifica o que está exposto na sua infraestrutura; o TPRM estende essa visibilidade para a infraestrutura de quem está conectado a você.

---

O problema: formulários de autoavaliação não refletem a realidade

Leia também: Security Rating de Fornecedores: Como Funciona e Por Que ...

A maioria dos programas de TPRM ainda opera no modelo que a indústria chama de "checkbox compliance": um questionário enviado uma vez por ano ao fornecedor, que responde o que quer, como quer, sem verificação independente.

Os problemas desse modelo são estruturais:

1. Autoavaliação e conflito de interesses puro. O fornecedor que quer manter o contrato não vai revelar vulnerabilidades. Pesquisas indicam que mais de 70% dos questionários retornam respostas otimistas que não correspondem à realidade técnica encontrada em varreduras externas.

2. A fotografia e estática. Um questionário anual captura o que o fornecedor diz sobre si mesmo em um único momento. Vulnerabilidades críticas, mudanças de infraestrutura e incidentes acontecem entre uma avaliação e outra, completamente fora do radar.

3. Questionários genéricos geram ruído, não inteligência. Enviar 200 perguntas padronizadas para todos os fornecedores, independentemente do tipo de acesso que têm ou do risco que representam, consome tempo de todos os lados e produz dados difíceis de comparar ou priorizar.

4. Não escala. Organizações de médio e grande porte mantêm relações com centenas ou milhares de terceiros. Gerênciar manualmente a coleta, revisão e acompanhamento de questionários para cada um e operacionalmente inviável.

O resultado: CISOs apresentam ao board relatórios de conformidade de terceiros que, na prática, não refletem a exposição real. Quando o breach acontece via cadeia de suprimentos, a pergunta do conselho é inevitável, "vocês não avaliaram esse fornecedor?" A resposta honesta, na maioria dos casos, e: avaliamos no papel.

---

Como funciona o TPRM moderno: varredura técnica + questionário adaptativo

Leia também: Risco de Cadeia de Suprimentos: Por Que Formulários de Se...

O TPRM de próxima geração inverte a lógica. Em vez de começar pelo que o fornecedor diz, começa pelo que é possível observar técnicamente. A abordagem combina três camadas:

Camada 1: Varredura técnica automatizada

Antes de enviar qualquer questionário, a plataforma executa varreduras não intrusivas sobre a infraestrutura exposta do fornecedor, a mesma visão que um atacante teria. Isso inclui:

• Certificados SSL/TLS expirados ou mal configurados
• Serviços expostos desnecessáriamente na internet
• Vulnerabilidades conhecidas em tecnologias detectadas
• Configurações de DNS, SPF, DKIM e DMARC
• Vazamentos de credenciais associados ao domínio
• Presença em listas de reputação e blocklists

Essa varredura gera um security rating objetivo é verificável, independente de qualquer declaração do fornecedor.

Camada 2: Questionário adaptativo

Com os resultados técnicos em mãos, o questionário não é genérico. Se a varredura identificou um servidor web com versão desatualizada do Apache, o questionário pergunta especificamente sobre o processo de patching para aquele ativo. Se detectou ausência de DMARC, questiona a política de proteção contra phishing.

Essa abordagem adaptativa tem dois benefícios imediatos: reduz drasticamente o número de perguntas (porque só questiona o que é relevante) e aumenta a qualidade das respostas (porque o fornecedor sabe que há evidência técnica por trás da pergunta).

Camada 3: Pontuação integrada e monitoramento contínuo

O resultado final não é um "aprovado/reprovado" binário, mas uma pontuação de risco integrada que combina dados técnicos observados e respostas do questionário. Essa pontuação permite:

• Comparar fornecedores objetivamente entre si
• Identificar concentrações perigosas de risco (ex: vários fornecedores críticos com postura fraca no mesmo vetor)
• Receber alertas automáticos quando um fornecedor-chave apresenta queda de postura
• Alimentar modelos de quantificação de risco cibernético (CRQ) com dados reais de exposição de terceiros

O CRS-TPRM da EcoTrust implementa exatamente essa arquitetura: fornecedores avaliados pela postura real, não por formulário.

---

O ciclo de vida do risco de terceiros

Um programa de TPRM maduro acompanha o terceiro em todas as fases do relacionamento:

Onboarding (pré-contratação)

Antes de assinar o contrato, a organização precisa entender o risco que está aceitando. Isso inclui:

• Classificação de criticidade do fornecedor (tier 1, 2 ou 3) baseada no tipo de acesso e dados envolvidos
• Varredura técnica inicial para baseline da postura de segurança
• Questionário adaptativo para cobrir controles não observáveis externamente
• Definição de SLAs de segurança é cláusulas contratuais de resposta a incidentes
• Aprovação formal do risco residual pelo risk owner

Monitoramento contínuo (vigência do contrato)

Aqui está a diferença fundamental entre o modelo antigo é o moderno. Em vez de reavaliar anualmente, o monitoramento e contínuo:

• Varreduras técnicas periódicas (semanal ou mensal, conforme a criticidade)
• Alertas em tempo real quando há degradação significativa da postura
• Reavaliação por questionário apenas quando a varredura detecta mudanças relevantes
• Dashboard consolidado com visão de portfólio de risco de terceiros
• Integração com workflows de resposta quando um fornecedor ultrapassa o threshold de risco aceitável

Off-boarding (encerramento)

Quando o relacionamento termina, os riscos não desaparecem automaticamente:

• Revogação de todos os acessos, credenciais e certificados
• Confirmação de destruição ou devolução de dados
• Varredura final para verificar que não há exposição residual
• Documentação do encerramento para compliance e auditoria

---

TPRM e regulação brasileira: BACEN 4.893, LGPD e CVM 135

O ambiente regulatório brasileiro tornou a gestão de risco de terceiros uma obrigação formal, não apenas uma boa prática.

Resolução BACEN 4.893

A Resolução 4.893 do Banco Central exige que instituições financeiras mantenham uma política de segurança cibernética que inclua explicitamente procedimentos para gestão de riscos de serviços relevantes de processamento e armazenamento de dados prestados por terceiros. Os requisitos incluem:

• Avaliação previa da capacidade do terceiro de proteger dados e sistemas
• Monitoramento dos serviços prestados por terceiros
• Comunicação ao BACEN sobre a contratação de serviços relevantes de nuvem
• Garantia de que a instituição mantém capacidade de auditoria sobre o terceiro

Para instituições financeiras, operar sem um programa estruturado de TPRM e risco regulatório direto.

LGPD, Responsabilidade solidária

A Lei Geral de Proteção de Dados estabelece responsabilidade solidária entre controlador e operador de dados pessoais. Na prática, isso significa que se o seu fornecedor (operador) sofre um breach que expõe dados pessoais dos seus clientes, a sua organização (controladora) responde junto.

Ter evidências de due diligence e monitoramento contínuo de segurança sobre fornecedores que processam dados pessoais é fundamental para demonstrar que a organização adotou medidas razoáveis, um argumento essencial em caso de incidente.

CVM 135

Para empresas de capital aberto, a Resolução CVM 135 reforça a necessidade de gestão de riscos cibernéticos como parte da governança corporativa. A exposição via cadeia de suprimentos é um risco material que precisa ser reportado e gerenciado.

Em todos os casos, a regulação não aceita formulários anuais como evidência de diligência. O regulador quer ver processo contínuo, evidências técnicas e capacidade de resposta.

---

Security rating vs. formulário: o que muda na prática

A tabela abaixo compara a abordagem tradicional baseada em questionários com o modelo moderno de security rating combinado com questionários adaptativos:

A diferença não é incremental. É uma mudança de paradigma: sair do "confie e verifique eventualmente" para o "verifique continuamente e pergunte sobre o que encontrou".

---

FAQ, Gestão de Risco de Terceiros (TPRM)

O que é gestão de risco de terceiros (TPRM)?

Gestão de risco de terceiros, ou TPRM (Third Party Risk Management), é a disciplina de identificar, avaliar e monitorar continuamente os riscos de segurança cibernética introduzidos por fornecedores, parceiros e prestadores de serviço que têm acesso a dados, sistemas ou infraestrutura da organização. Um programa maduro de TPRM cobre todo o ciclo de vida do relacionamento com o terceiro: onboarding, monitoramento contínuo e off-boarding.

Qual a diferença entre security rating e questionário de segurança?

O security rating é uma pontuação objetiva gerada a partir de varreduras técnicas sobre a infraestrutura exposta do fornecedor, certificados, vulnerabilidades, configurações, vazamentos. O questionário de segurança é uma ferramenta de autoavaliação, onde o próprio fornecedor declara seus controles. O modelo mais eficaz combina ambos: usa a varredura técnica como base e gera questionários adaptativos focados no que foi efetivamente encontrado, eliminando perguntas genéricas e aumentando a precisão.

A LGPD exige avaliação de segurança de fornecedores?

Sim. A LGPD estabelece responsabilidade solidária entre controlador e operador de dados pessoais. Se um fornecedor que processa dados pessoais dos seus clientes sofrer um incidente, a sua organização pode ser responsabilizada junto. Manter um programa de TPRM com evidências de due diligence e monitoramento contínuo é essencial para demonstrar que medidas adequadas foram adotadas, o que é um fator atenuante em investigações e sanções.

Com que frequência devo avaliar meus fornecedores?

A frequência ideal depende da criticidade do fornecedor. Para terceiros tier 1 (acesso a dados sensíveis ou sistemas críticos), o monitoramento deve ser contínuo, com varreduras técnicas semanais e alertas em tempo real. Para tier 2, varreduras mensais são adequadas. Para tier 3, avaliações trimestrais atendem a maioria dos cenários. O importante e abandonar o modelo de avaliação anual pontual, que deixa janelas enormes de exposição sem visibilidade.

Como começar um programa de TPRM do zero?

O primeiro passo e fazer um inventário completo de todos os terceiros e classificá-los por criticidade (tipo de acesso, volume e sensibilidade dos dados, impacto no negócio em caso de incidente). Em seguida, estabeleça uma baseline de postura de segurança para os fornecedores mais críticos, usando varredura técnica automatizada. Com essa visão, defina thresholds de risco aceitável, crie processos de resposta para quando um fornecedor ultrapassar esses limites e implemente monitoramento contínuo. Plataformas como o CRS-TPRM da EcoTrust permitem fazer tudo isso de forma integrada, desde a primeira varredura até o dashboard de portfólio.

---

Para aprofundamento, consulte a referência oficial: CIS Controls — Center for Internet Security.

Conclusão: de formulários estáticos para inteligência contínua de risco

A cadeia de suprimentos digital e, hoje, o vetor de ataque que mais cresce em sofisticação e impacto. SolarWinds comprometeu 18 mil organizações através de uma única atualização de software. MOVEit expôs dados de mais de 2.500 empresas por uma vulnerabilidade em um fornecedor de transferência de arquivos. O padrão é claro: atacantes não precisam atacar você diretamente quando podem entrar pelo seu fornecedor.

A gestão de risco de terceiros (TPRM) precisa evoluir do modelo de formulários anuais para uma abordagem baseada em evidências técnicas, monitoramento contínuo e inteligência adaptativa. Não se trata de eliminar questionários, trata-se de torná-los relevantes, contextualizados e verificáveis.

Para CISOs e CIOs, a mensagem e objetiva: a postura de segurança dos seus fornecedores críticos e parte da sua superfície de ataque. Tratá-la com a mesma seriedade que você trata seus próprios ativos não é excesso de zelo, e gestão de risco responsável.

O CRS-TPRM da EcoTrust automatiza varreduras técnicas reais sobre a infraestrutura dos seus fornecedores, gera questionários adaptativos baseados no que foi encontrado, consolida tudo em uma pontuação integrada e monitora continuamente a postura de cada terceiro no seu portfólio.

Conheça o Cyber Risk Score TPRM e avalie seus fornecedores pela postura real