Durante anos, as relações de segurança cibernética de terceiros entre fornecedores e clientes foram baseadas em contratos e confiança. Esse modelo agora está mostrando sua idade. Somente no ano passado, 51% das organizações do Reino Unido relataram uma violação de terceiros, tornando os fornecedores o vetor de ataque perfeito para atores hostis.
Diretor de Serviços EMEA na NetSPI.
Confie na conformidade com segurança baseada em evidências
O que antes funcionava para os fornecedores de segurança, a conformidade baseada na confiança, tornou-se agora o mínimo necessário, bem como uma abordagem desatualizada à estratégia cibernética moderna e à proteção de dados.
O artigo continua abaixo
Na prática, os contratos e as garantias escritas pouco contribuem para proteger as organizações e os clientes muitas vezes ficam com uma visão limitada da verdadeira postura de segurança dos seus fornecedores.
Nos últimos anos, temos visto uma infinidade de documentação, questionários e certificações que eclipsaram a robustez demonstrável. A ênfase mudou para marcar caixas em vez de demonstrar força.
Em vez disso, devemos passar de contar para mostrar; prova acima da promessa.
Um modelo de segurança baseado em evidências exige que os fornecedores demonstrem ativamente que sua abordagem de segurança é mensuravelmente robusta, mensurável e eficaz. Conformidade não significa resiliência no cenário de ameaças atual, mas apenas uma abordagem consistente e proativa.
Cegueira estrutural
É claro que a maioria dos fornecedores não esconde vulnerabilidades intencionalmente de seus clientes. Os problemas são latência e visibilidade. As avaliações no local de atendimento rapidamente se tornam obsoletas e perdem relevância à medida que os sistemas mudam, a tecnologia avança e novos códigos são implantados.
Um fornecedor considerado seguro no momento da assinatura de um certificado ou contrato pode criar riscos materiais semanas depois, sem uma abordagem consistente para o gerenciamento de vulnerabilidades.
Muitas vezes é difícil desenvolver uma visibilidade abrangente das vulnerabilidades em uma organização. Infelizmente, alguns vendedores escolhem o caminho da ignorância deliberada e do otimismo cego. Essa abordagem economiza dinheiro para o vendedor, à custa de aumentar o risco que você assume como cliente.
Mesmo quando novas vulnerabilidades são descobertas, os clientes têm pouca visibilidade. Uma abordagem ad hoc à segurança de terceiros criou uma espécie de cegueira estrutural onde o perigo existe mas não é visível.
Para resolver esta questão, os fornecedores devem passar a sinalizar a resiliência operacional e cibernética contínua, em vez de confiar em garantias estáticas.
Certificação na prática: testes de penetração
Em termos práticos, isso significa: testes de penetração contínuos.
Para os fornecedores que realizam testes frequentes ou ad hoc, as equipes de segurança lutam para acompanhar o cenário em evolução, sem identificar vulnerabilidades e expor os clientes.
Ao simular o comportamento de invasores reais, os fornecedores não apenas prometem aos clientes uma estrutura de segurança sólida, mas também melhoram ativamente o gerenciamento de vulnerabilidades e reduzem o risco de violação de dados.
Os clientes protegem as evidências; As equipes de segurança dos fornecedores podem ficar tranquilas porque suas vulnerabilidades foram resolvidas.
Para organizações que gerenciam dezenas ou centenas de relacionamentos com terceiros, esse nível de visibilidade é fundamental para entender onde está o risco real e melhorar o relacionamento com os clientes.
É hora dos CISOs se manifestarem
As cadeias de abastecimento tornaram-se alvos principais de intervenientes hostis, onde as violações de dados causam um efeito dominó de perturbação de fornecedores, armazéns e fabricantes. Por exemplo, o ataque devastador à Jaguar Land Rover em Setembro de 2025 ajudou a reduzir o crescimento real da economia do Reino Unido em geral para 0,1%.
É fundamental que os fornecedores comecem a provar, através de evidências, que estão seguros. Os CISOs estão em uma posição única para avançar e liderar o ataque quando equipes de segurança terceirizadas estão provando seu forte gerenciamento cibernético.
Para ser claro, trata-se de um maior alinhamento entre fornecedor e cliente, e não de penalizar fornecedores cuja segurança não tenha sido tão forte quanto o esperado. Entregar provas em vez de promessas é uma mudança fundamental na forma como os CISOs, terceiros e organizações de clientes abordam a segurança cibernética.
Onde os CISOs estão no comando, as empresas de todos os setores podem aumentar a resiliência.
Palavras para viver
A cibersegurança não pode mais depender de promessas desatualizadas e fracas, baseadas na confiança e nas obrigações contratuais.
O cenário cibernético está em constante evolução e mudança, e a confiança por si só não é um indicador confiável de uma estrutura de segurança madura. As garantias estáticas e as validações momentâneas não refletem a realidade da infraestrutura moderna, onde o risco evolui muito mais rapidamente do que a documentação alguma vez evoluiu.
Ao adotar testes de penetração contínuos e capacitar os CISOs para exigir que os fornecedores demonstrem sua postura de segurança, as organizações podem mudar fundamentalmente a forma como o risco de terceiros é gerenciado.
Esta mudança afasta o panorama da cibersegurança e dos negócios da confiança cega que compromete silenciosamente a segurança dos dados e passa para a confiança baseada numa garantia contínua e mensurável.
A prova das promessas é um princípio fundamental da segurança cibernética no mundo moderno.
Apresentamos o melhor software de proteção de endpoint.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
