TPRM Gestão de Risco de Terceiros.

TPRM é a disciplina que governa o risco introduzido por fornecedores, subcontratados e prestadores de serviços. Diligência prévia no onboarding, cláusulas contratuais, garantia contínua, offboarding. Exigida pelo NIS 2 (segurança da cadeia de abastecimento) e pelo DORA (risco de terceiros TIC). O incidente da Crowdstrike e o incidente da SolarWinds tornaram o TPRM uma conversa ao nível do conselho de administração.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

A perspetiva da Cyber Academy

TPRM é a disciplina que governa o risco introduzido por fornecedores, subcontratados e prestadores de serviços. Diligência prévia no onboarding, cláusulas contratuais, garantia contínua, offboarding. Exigida pelo NIS 2 (segurança da cadeia de abastecimento) e pelo DORA (risco de terceiros TIC). O incidente da Crowdstrike e o incidente da SolarWinds tornaram o TPRM uma conversa ao nível do conselho de administração.

A Gestão de Risco de Terceiros (TPRM) trata os seus fornecedores, subcontratados e prestadores de serviços como uma extensão da sua própria superfície de ataque. A lógica é simples: se um fornecedor processa os seus dados, opera a sua infraestrutura ou faz parte da sua cadeia de fornecimento, então as suas fragilidades tornam-se os seus incidentes. O TPRM é a disciplina que torna essa exposição visível, contratual e monitorizada de forma contínua, em vez de descoberta no momento da violação.

As quatro fases que os profissionais executam de facto

O TPRM não é um questionário pontual. É um ciclo de vida que vai do primeiro contacto com um fornecedor até ao dia em que o desliga. A maioria dos programas maduros estrutura-o em quatro fases:

  • Due diligence de integração. Antes de assinar, avalia o fornecedor em função do risco que introduz. Um fornecedor SaaS que aloja dados pessoais e um fornecedor de material de escritório não recebem o mesmo escrutínio. A classificação por criticidade é o que impede o programa de se afundar.
  • Cláusulas contratuais. O contrato é onde a garantia se torna exigível: obrigações de segurança, direitos de auditoria, prazos de notificação de violações, divulgação de subcontratantes, localização dos dados e condições de saída. Se não estiver no contrato, não poderá exigi-lo mais tarde.
  • Garantia contínua. O risco não congela na assinatura. A cadência de reavaliação, o acompanhamento de certificados (ISO 27001, SOC 2), a monitorização contínua da postura de segurança do fornecedor e a revisão das dependências de quarta parte mantêm o quadro atualizado.
  • Desvinculação. Quando a relação termina, recupera ou confirma a destruição dos dados, revoga acessos e fecha a exposição residual. É a fase que as equipas mais frequentemente saltam, e a que deixa credenciais órfãs para trás.

Porque se tornou uma conversa ao nível do conselho de administração

O TPRM costumava residir nas compras. Passou para o conselho de administração porque as falhas mais marcantes da última década chegaram através da cadeia de fornecimento, não pela porta da frente. O incidente SolarWinds mostrou um atacante a alcançar milhares de organizações ao comprometer uma única atualização de software de confiança. A falha da CrowdStrike demonstrou que uma atualização defeituosa de um único fornecedor crítico podia paralisar as operações de setores inteiros de uma só vez. Ambos reformularam os terceiros como risco sistémico, não como uma caixa a assinalar nas compras.

A regulamentação seguiu-se. A NIS 2 torna a segurança da cadeia de fornecimento um dever explícito para as entidades abrangidas e responsabiliza os órgãos de gestão pelas falhas. O DORA vai mais longe para as entidades financeiras, dedicando um dos seus cinco pilares ao risco de terceiros prestadores de TIC, impondo requisitos contratuais específicos e colocando os próprios prestadores críticos de TIC sob supervisão. Para uma empresa regulada, o TPRM já não é uma boa prática, é uma obrigação documentada.

Como o TPRM se distingue das disciplinas vizinhas

O TPRM coexiste com a gestão de fornecedores e a gestão de risco em geral, mas é mais estreito e mais afiado do que qualquer uma delas. A gestão de fornecedores otimiza o custo, o desempenho e a relação comercial. O TPRM preocupa-se especificamente com o risco de segurança, resiliência, privacidade e conformidade que uma terceira parte introduz. Distingue-se também do trabalho interno do SGSI: os seus controlos param no seu perímetro, mas a sua responsabilidade não. Pode externalizar a atividade, não pode externalizar o risco. Essa assimetria é a própria razão pela qual a disciplina existe.

Frequently asked questions

01Qual é a diferença entre TPRM e gestão de fornecedores?

A gestão de fornecedores rege a relação comercial: custo, níveis de serviço, desempenho. O TPRM foca-se especificamente no risco de segurança, resiliência, privacidade e conformidade que um fornecedor introduz. Sobrepõem-se, mas um contrato sólido quanto ao preço não lhe diz nada sobre a notificação de violações ou a localização dos dados.

02O TPRM é obrigatório ao abrigo da regulamentação da UE?

Para muitas organizações, sim. A NIS 2 torna a segurança da cadeia de fornecimento uma obrigação explícita para as entidades abrangidas, e o DORA dedica um pilar inteiro ao risco de terceiros prestadores de TIC para as entidades financeiras. Ambos colocam a responsabilidade no órgão de gestão em vez de a deixarem para as compras.

03O que é o risco de quarta parte?

É o risco introduzido pelos próprios fornecedores dos seus fornecedores. Contrata com a terceira parte, mas esta depende de subcontratantes e fornecedores a montante que poderá nunca chegar a ver. O risco de concentração, quando muitos fornecedores dependem da mesma cloud ou biblioteca, reside nesta camada.

04Com que frequência devem os terceiros ser reavaliados?

Não existe um intervalo único imposto. Os programas maduros definem a cadência pelo nível de criticidade: os prestadores mais críticos são revistos com maior frequência e monitorizados de forma contínua, enquanto os fornecedores de baixo risco são reavaliados com menos frequência. O princípio baseia-se no risco, não no calendário.

05O facto de um fornecedor ter ISO 27001 significa que podemos dispensar a due diligence?

Não. Um certificado é uma evidência, não um substituto da avaliação. Continua a ser necessário confirmar que o âmbito da certificação cobre o serviço que utiliza, verificar que está válido e avaliar o risco específico dos dados e dos acessos que lhes concede.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.