Dados do Global Cybersecurity Outlook 2026, do World Economic Forum (WEF), mostram que 46% das organizações veem vulnerabilidades de fornecedores como um dos principais entraves à resiliência cibernética. O recado é claro: basta a fragilidade de um parceiro para comprometer toda a operação.
Esse alerta ganhou contornos ainda mais práticos durante um painel de debates no Congresso Security Leaders, onde CISOs foram unânimes ao afirmar que a gestão de terceiros se tornou um grande desafio para 2026. Segundo avaliação dos líderes que participaram da discussão, avaliações pontuais, checklists e cláusulas contratuais já não acompanham a complexidade dos ecossistemas interconectados.
Com apenas 19% das organizações superando os requisitos mínimos de resiliência, segundo o WEF, a discussão deixa de ser conceitual. A proteção do ecossistema passa a exigir programas estruturados, contínuos e mensuráveis, capazes de equilibrar as demandas da Cibersegurança e do negócio.
A “zona cega”
Durante o painel no Security Leaders, Líderes reconheceram que a gestão de terceiros ainda opera, em muitos casos, como uma “zona cega”. A falta de visibilidade em tempo real sobre os ambientes dos parceiros — e, principalmente, sobre o terceiro do terceiro — amplia significativamente o risco.
Uma pesquisa realizada com 50 CISOs e destacada por Denis Nesi, CISO da Claro, revelou lacunas significativas nas práticas atuais de mercado. Praticamente nenhuma das empresas consultadas possuía um processo mandatório para o expurgo de dados após o cancelamento de um contrato com terceiros. As empresas também não contam com equipes dedicadas exclusivamente à gestão de terceiros, em casos de incidente, a responsabilidade era diluída entre outras áreas, como risco ou threat intelligence.
Da preocupação à ação estruturada
Durante o debate, Denis Nesi apresentou um framework de gestão de riscos construído a partir de discussões com outros CISOs e referências de mercado. O modelo propõe uma abordagem holística, estruturada em oito pilares, que vão desde governança e mapeamento de riscos até orçamento dedicado e uso de tecnologias como Cyber Threat Intelligence (CTI) para monitorar o ecossistema de forma mais ampla.
Para os líderes de Segurança, o desafio não está apenas em avaliar fornecedores no momento do onboarding, mas em manter governança contínua sobre ambientes que mudam constantemente. Os CISOs também defenderam a adoção de modelos mais integrados, nos quais parceiros críticos passam a operar de forma mais próxima ao ambiente da organização contratante, inclusive com workloads integrados à sua infraestrutura em nuvem. A proposta é reduzir silos de Segurança e elevar o nível mínimo de proteção de todo o ecossistema.
A Inteligência Artificial também apareceu como aliada nesse processo. Na visão do CISO do Banco BV, Rodrigo Colossi, o uso de IA generativa para acelerar análises, priorizar riscos e tornar os fluxos de TPRM mais eficientes pode ajudar a transformar programas hoje burocráticos em processos mais contínuos e acionáveis.
O WEF recomenda uma abordagem dinâmica, com auditorias regulares, monitoramento contínuo e contratos que incorporem requisitos claros de SI, além de programas de capacitação estendidos a parceiros críticos. Outro ponto destacado pelo Fórum é a adoção de plataformas colaborativas de inteligência, nas quais organizações compartilham indicadores de ameaças e boas práticas, fortalecendo a resposta coletiva a incidentes.
