Monitoramento Contínuo: Preenchendo as Lacunas de Segurança na Gestão de Risco de Fornecedores

As cadeias de suprimentos são o elo que mantém a economia global unida. Elas também são uma fonte significativa de risco de negócios relacionados à cibersegurança. Os ataques a fornecedores aumentaram 431% entre 2021 e 2024, e devem continuar aumentando. Isso é ruim para as empresas que fazem negócios com eles. A IBM estima que a violação de segurança de fornecedores é uma das mais caras, com um custo médio de $4,9 milhões por violação.

O desafio para os líderes de risco e cibersegurança é que os mecanismos de gestão de risco existentes são imperfeitos. Eles podem ser lentos, intensivos em recursos e cheios de pontos cegos. A verdadeira gestão de risco de fornecedores vem do monitoramento e controle contínuos.

O crescimento irresistível das cadeias de suprimentos

Cadeias de suprimentos complexas e fragmentadas são o preço que pagamos pela comércio global. Ao longo da última década ou mais, elas cresceram para atender às demandas dos consumidores por mais opções e menores custos, impulsionadas por uma explosão nas compras online. Ao mesmo tempo, as cadeias de suprimentos digitais também passaram por um crescimento tremendo, graças à proliferação de software como serviço (SaaS), provedores de serviços gerenciados (MSPs) e demandas de negócios por maneiras mais inovadoras e eficientes de trabalhar.

O resultado? Opacidade onde deveria haver visibilidade, e níveis crescentes de risco de negócios que poderiam colocar em risco os lucros e a lealdade dos clientes. De acordo com uma estimativa, até mesmo a média das pequenas e médias empresas tem 800 fornecedores. Quando os fornecedores dos fornecedores são contados, os números logo atingem milhares de empresas.

Um negócio arriscado

Isso é ruim para os CSOs e suas equipes, que devem encontrar uma maneira de gerenciar os inevitáveis riscos de cibersegurança que vêm das extensas cadeias de suprimentos. A violação de segurança de fornecedores e cadeias de suprimentos foi responsável por 15% das violações de dados no ano passado, de acordo com a IBM. A Verizon afirma que o número realmente dobrou nos últimos 12 meses, alcançando 30%. Qualquer que seja o número real, é claro a partir de incidentes do mundo real o tipo de dano que eles podem causar.

Terceiros, como empresas de outsourcing e firmas de serviços profissionais, podem armazenar credenciais de acesso altamente sensíveis e outros dados pertencentes às organizações de clientes. Pode ser informações pessoais altamente regulamentadas (PII) sobre clientes e funcionários. Ou IP, segredos comerciais ou dados financeiros não públicos. Todos esses são um grande atrativo para extorsionistas digitais, que podem roubar e/ou criptografar esses dados para forçar o pagamento. Violações de segurança de terceiros foram responsáveis por mais de dois quintos (41%) dos ataques de ransomware em 2024, de acordo com um estudo.

À medida que os fornecedores se proliferam, também aumenta o risco de fraude corporativa, como via comprometimento de e-mail de negócios (BEC). Atores ameaçadores podem enviar um e-mail de phishing para um membro da equipe de finanças ou até mesmo um executivo sênior, solicitando pagamento de uma fatura inexistente. Eles tornam seus ataques mais certos de sucesso hackeando contas de e-mail de cliente/fornecedor, para que possam monitorar as comunicações e entender como as faturas parecem. As perdas de BEC relatadas ao FBI alcançaram quase $2,8 bilhões no ano passado, tornando-se o segundo tipo de cibercrime mais lucrativo.

Então, há os fornecedores dos fornecedores. Um relatório de 2023 afirma que metade das organizações estudadas tinham relacionamentos indiretos com pelo menos 200 quatro partes que sofreram violações nos dois anos anteriores. Quanto menor o fornecedor, menos recursos ele pode ter para gastar em cibersegurança de melhor prática.

A IA é um presente para os hackers

A tecnologia de IA está sendo cada vez mais utilizada por cibercriminosos para melhorar suas taxas de sucesso. Na verdade, especialistas do governo britânico advertiram este ano que a tecnologia “quase certamente continuará a tornar elementos de operações de intrusão cibernética mais eficazes e eficientes.”

Podemos ver isso na forma como a IA gerativa permite a criação de campanhas de phishing em línguas locais naturais e perfeitas. Na forma como ela pode ajudar os atores ameaçadores a sondar as vulnerabilidades do sistema e selecionar seus alvos. E na forma como ela pode até mesmo ajudar na criação de malware e exploits. É por isso que a IA levará a “um aumento na frequência e intensidade das ameaças cibernéticas” nos próximos dois anos, adverte o relatório.

Dependendo do tipo e extensão do incidente de segurança, o impacto para os clientes de um fornecedor violado varia desde danos financeiros e de reputação até risco regulatório e interrupção operacional. Quanto mais tempo um incidente permanece sem ser detectado, mais tempo os atores ameaçadores têm dentro da rede e, em última análise, mais custará para limpar e se recuperar. Infelizmente, as violações de segurança da cadeia de suprimentos demoram mais para ser resolvidas, de acordo com a IBM.

Um caso em ponto é a recente divulgação de uma grande violação de ransomware na Conduent, uma fornecedora de serviços de processamento de negócios com receita de milhões de dólares. Mais de 11 milhões de americanos podem ter tido seus números de Seguridade Social, detalhes de seguro de saúde e informações médicas expostas, de acordo com relatórios. E embora eles estivessem sendo notificados apenas em novembro de 2025, acredita-se que o ambiente da empresa foi comprometido desde outubro de 2024.

Por que o monitoramento contínuo é importante

Felizmente, a IA também pode ajudar os “bons caras” a superar desafios comuns de gestão de risco cibernético de fornecedores. Muitas organizações lutam com processos manuais lentos e questionários longos que causam atrasos e criam pontos cegos de visibilidade. A documentação de fornecedores inconsistente torna difícil comparar pontuações de risco em todo o ecossistema e entender o que mais importa para os negócios.

Em vez disso, com uma abordagem centrada em dados e IA, as organizações podem usar a automação para fazer o trabalho pesado, tanto no processo de integração quanto além. O último é importante porque o risco não para uma vez que um fornecedor é aprovado. Ele continua a evoluir, potencialmente a cada hora ou dia, com cada nova vulnerabilidade de software, violação de dados ou conta mal configurada. Os fornecedores podem investir em nova infraestrutura, aumentando sua superfície de ataque cibernética. Eles podem adicionar novos fornecedores, alterando a exposição ao risco. E podem ser alvo de campanhas de atores ameaçadores novas.

Tudo isso exige uma abordagem mais proativa para a gestão de risco de terceiros, que vai além de coletar e processar pesquisas e documentação de fornecedores. Deve se concentrar em identificar riscos em tempo real, para que a organização possa tomar medidas rápidas antes que qualquer dano seja causado.

Como começar com a IA

Alcançar esse tipo de visão contínua e de 360 graus sobre o risco cibernético de fornecedores exigirá muitos dados – e algoritmos inteligentes para sinalizar padrões suspeitos. Quanto mais dados de alta qualidade, melhor a visibilidade. Isso pode incluir feeds de inteligência de ameaças que vasculham fóruns da dark web em busca de sinais precoces de uma violação. Ou monitoramento de vulnerabilidades que destaca atualizações de segurança ausentes nas propriedades dos fornecedores. Pode acompanhar evidências de comprometimento de e-mail entre os departamentos de finanças dos fornecedores, o que pode indicar ataques de BEC iminentes. Ou até mesmo padrões de transações suspeitas envolvendo esses fornecedores.

A IA pode ser usada para identificar riscos críticos em tempo real, para tomar medidas imediatas. E para atribuir uma pontuação de risco continuamente atualizada para cada fornecedor, ponderada de acordo com as políticas, postura e criticidade para os negócios.

A IA agente também pode ser uma aliada poderosa, trabalhando de forma autônoma para ingerir e analisar documentação de fornecedores complexa, como relatórios SOC 2 e políticas de segurança internas, e mapear controles para frameworks estabelecidos como NIST CSF ou ISO 27001. Isso pode fornecer visibilidade de conformidade em apenas minutos, em vez de horas, liberando tempo para as equipes de segurança e risco trabalharem em tarefas de maior valor. Em organizações maduras, os agentes de IA podem até mesmo trabalhar de forma independente para resolver e remediar problemas rotineiros – ou pelo menos para encaminhá-los ao membro da equipe certa para atenção imediata.

Juntando tudo

A chave é garantir que qualquer sistema para gestão de risco cibernético de fornecedores seja unificado, para que os dados de risco não fiquem isolados e inutilizáveis. Idealmente, a mesma plataforma permitiria outros tipos de gestão de risco de fornecedores, em áreas como conformidade, sustentabilidade, finanças e operações. Isso deve fornecer o tipo de informação com base na qual podem ser tomadas melhores decisões de negócios.

Above all, lembre-se de que o risco cibernético é fundamentalmente um risco de negócios. Ele nunca pode ser eliminado. Mas pode ser gerenciado de forma mais eficaz.