Por Luciano Simão
Por muito tempo, a estratégia de segurança das empresas esteve concentrada em fortalecer suas próprias barreiras digitais: firewalls, antivírus, proteção de endpoints, controle de acesso, DLP e monitoramento contínuo. Mas, em um cenário hiperconectado, essa proteção isolada já não é suficiente.
Hoje, um dos maiores desafios para CISOs não está apenas dentro de casa, mas em toda a cadeia de fornecimento.
Ataques a área de Supply Chain, por exemplo, se consolidaram como uma das ameaças mais sofisticadas e perigosas para organizações de todos os setores. Afinal, não importa o quão robusta seja a segurança interna de uma empresa se um fornecedor estratégico, parceiro operacional ou prestador de serviços apresenta vulnerabilidades significativas.
Cada terceiro conectado ao ecossistema corporativo pode se tornar um vetor de entrada. Portanto, a realidade é simples: poucas organizações têm visibilidade completa sobre o nível de maturidade cibernética de seus fornecedores.
Questões como “O parceiro utiliza soluções modernas de proteção de endpoint, como EDR? Possui antivírus e sistemas de monitoramento ativos? Mantém seus ambientes livres de malware? Adota políticas de prevenção contra vazamento de dados? Seus sistemas estão adequadamente segmentados e protegidos? Seus colaboradores recebem treinamento contra phishing?”, são primordiais para garantir qualquer integração, compartilhamento de dados ou conexão operacional. Sem essas garantias, a empresa pode abrir portas para comprometimentos graves.
Na prática, isso amplia significativamente a superfície de ataque e transforma fornecedores em potenciais pontos de infiltração para ransomware, espionagem corporativa, roubo de dados e interrupções operacionais.
Para se protegerem, as empresas precisam adotar uma postura mais rigorosa e estruturada na governança de fornecedores. Isso inclui auditorias regulares de segurança, questionários de maturidade cibernética, due diligence técnica, exigência contratual de controles mínimos, monitoramento contínuo de riscos, segmentação de acessos e privilégios e ferramentas adicionais de detecção e resposta.
Essa abordagem gera custos adicionais, aumenta a complexidade operacional e exige integração entre áreas como segurança, jurídico, compras e compliance. Em outras palavras, organizações passam a assumir preocupações que antes não faziam parte direta de sua operação, mas, que agora são essenciais para sua resiliência.
A principal mudança de mentalidade para líderes de segurança é compreender que cibersegurança não se limita mais ao perímetro corporativo. Ela se estende a todo o ecossistema de negócios.
Proteger apenas a organização não basta, é preciso garantir que parceiros, fornecedores e terceiros mantenham padrões compatíveis de segurança.
No cenário atual, confiança sem verificação se tornou um risco estratégico. O futuro da cibersegurança passa por uma visão integrada, colaborativa e continuamente auditável da cadeia de valor.
Porque, na prática, a segurança de uma empresa será sempre tão forte quanto a segurança de seu fornecedor mais vulnerável.
*Luciano Simão é Chief Information Security Officer (CISO) da Claranet Brasil. Possui trajetória de mais de 20 anos em segurança da informação, governança, risco e compliance e certificação C-CISO pela EC-Council. Acumula passagens por empresas como Embratel e Tivit.
