6 passos para evitar danos do Third-Party Risk Management na sua empresa
Todo fornecedor, prestador de serviço ou parceiro que acessa os sistemas de uma empresa oferece um risco que sequer é mencionado na maioria dos contratos.
De perda monetária a danos à reputação, os problemas relacionados a terceiros já aconteceram em pelo menos um terço das empresas globais, de acordo com uma pesquisa da KPMG de 2026.
Além disso, se o vazamento tem origem de fora da organização, paga-se mais caro para remediá-lo: um custo médio de US$ 4,8 milhões, cerca de 40% mais caro do que incidentes de origem interna, segundo o Gartner.
É nesse contexto que surge o gerenciamento de riscos de terceiros, ou, em inglês, Third-Party Risk Management. Neste artigo, vamos entender esse conceito, sua importância, quais são os desafios de implementação e as boas práticas para reduzir os riscos associados a terceiros nas empresas.
O que é o Third-Party Risk Management (TPRM)?
O Third-Party Risk Management (TPRM) é o conjunto de práticas para identificar, avaliar e reduzir os riscos associados à contratação de terceirizados, geralmente fornecedores, prestadores de serviço e consultores. O objetivo é ter visibilidade sobre quem são e quais sistemas e dados eles têm acesso.
Uma organização média compartilha informações sensíveis com cerca de 583 fornecedores e parceiros que atuam nas mais diversas áreas da empresa — em serviços de TI, atendimento ao cliente e atividades de suporte e logística, por exemplo.
Para cada um deles, existem cerca de 14 vezes mais fornecedores, que são os subcontratados ou parceiros dos parceiros: são mais de 8000 identidades que sequer são reconhecidas pelas organizações, muito menos monitoradas.
Esse número reflete como as operações modernas estão se tornando complexas: mesmo funções que antes eram internas passaram a ser terceirizadas para diminuir custos e encontrar mão de obra mais especializada.
Como o Third Party Risk Management inclui diversos tipos de terceiros, incluindo fornecedores, ele é frequentemente equivalente ou associado aos termos "vendor risk management (VRM)", referente ao gerenciamento do ciclo de vida de fornecedores, ou "supply chain risk management", referente ao gerenciamento de riscos da cadeia de suprimentos.
Por que o TPRM é importante?
O problema que o TPRM tenta resolver não é novo, mas a escala mudou. Com a digitalização acelerada, além do aumento do número de terceiros conectados à rede, eles passaram a ter acesso a sistemas críticos, dados sensíveis e infraestrutura de cloud — na maioria das vezes, sem monitoramento ou revisão de privilégios.
Cada novo prestador de serviço adicionado aos sistemas aumenta a superfície de ataque para invasores. Por exemplo, um prestador de suporte com acesso aos servidores pode ter suas credenciais comprometidas por phishing, permitindo que o invasor acesse a rede com os mesmos privilégios, sem disparar alertas imediatos.
Diferente de um ataque direto à infraestrutura, esse tipo de entrada é mais difícil de detectar porque o acesso parece legítimo. Por isso, 35,5% de todos os vazamentos de dados em 2024 tiveram origem em terceiros — e esse percentual vem crescendo ano a ano.
Além dos riscos de segurança, o TPRM é essencial para garantir conformidade regulatória. Regulamentações de proteção de dados como a LGPD colocam sob responsabilidade das empresas não só a conformidade com seus colaboradores internos, mas também a de seus terceiros.
Vazamentos originados em prestadores de serviço e fornecedores podem resultar em multas, danos à reputação para a empresa contratante — mesmo que ela não seja diretamente responsável pelo incidente — e interrupções de operação. Nos últimos 3 anos, 73% das organizações reportaram que sofreram pelo menos uma interrupção significativa causada por terceiros.
Quais são os principais desafios do TPRM?
Estruturar um programa de TPRM eficaz não é tarefa simples nem mesmo para as equipes de TI mais maduras. Uma pesquisa global realizada com profissionais de TI de todos os setores e regiões do mundo coletou insights e catalogou os desafios enfrentados pelas organizações frente ao TPRM:
Integração
Quando um fornecedor sofre um incidente de segurança, a falta de integração entre a equipe de riscos de terceiros com a de segurança pode ocasionar um atraso na notificação de incidentes, o que aumenta o tempo de detecção e contenção da ameaça.
Somente 18% dos programas de TPRM estão totalmente integrados ao gerenciamento de riscos corporativos, processo que oferece uma visão geral de riscos no negócio. Isso significa que, para 82% das empresas, os riscos de terceiros são total ou parcialmente gerenciados de forma isolada, sem conexão com o todo.
Escalabilidade
A revisão manual e o monitoramento periódico de credenciais não são suficientes quando se tem centenas de fornecedores ativos. Se uma empresa tem 500 fornecedores ativos, uma avaliação manual de 2 horas por fornecedor representa mais de 1.000 horas de trabalho por ciclo.
Além do extenso e cansativo trabalho a ser executado pela equipe de TI, o erro humano pode permitir que acessos privilegiados se mantenham mesmo quando não são mais necessários, sendo uma vulnerabilidade para a organização.
Monitoramento contínuo
Imagine que um fornecedor passou pela avaliação de segurança semestral em janeiro e, logo no mês seguinte, sofreu um vazamento. Sem o monitoramento contínuo, a empresa contratante só detectará o incidente no próximo ciclo, meses depois.
Um relatório de 2018 aponta que violações envolvendo terceiros levam significativamente mais tempo para serem identificadas, com cerca de 98 dias apenas para a descoberta e uma média de 233 dias até a contenção completa.
A KPMG aponta que o uso de IA e automações são tendências para escalar o monitoramento, mesmo sendo práticas ainda em estágio inicial na maioria das empresas, já que apenas 5% estão ativamente usando IA no programa de TPRM.
6 passos para reduzir os riscos associados a terceiros
Muitas equipes de TI buscam a estruturação e implementação de um processo de TPRM mais eficiente e preventivo. Para isso, o fluxo de ações a seguir pode ajudar:
1. Mapeie e classifique seus terceiros por nível de risco
O primeiro passo é construir um inventário completo com informações de todos os terceiros que possuem acessos privilegiados aos sistemas, dados e infraestrutura da empresa. Com esse mapeamento, eles serão classificados por nível de risco. Algumas perguntas que podem ajudar:
Quais têm acesso a dados sensíveis?
Quais operam em sistemas críticos?
Quais têm menos controles de segurança?
Essa segmentação permite concentrar os esforços de monitoramento e due diligence — uma investigação aprofundada e auditoria completa realizada antes da decisão de fusões, parcerias e aquisições — nos terceiros que representam maior risco de exposição, seja por acesso a dados sensíveis ou por uma postura de segurança ineficiente.
Assim, as equipes não se sobrecarregam com avaliações de baixo impacto.
2. Controle os acessos privilegiados de terceiros
Uma das principais portas de entrada em incidentes envolvendo terceiros é o acesso privilegiado mal gerenciado — invasores exploram permissões excessivas e credenciais não revisadas que permanecem ativas mesmo após o fim do contrato. O problema é estrutural: terceiros precisam de acesso para trabalhar, mas acesso privilegiado raramente é necessário para a tarefa a ser realizada.
O ManageEngine PAM360 permite aplicar o princípio do least privilege e o modelo de Zero Standing Privileges aos acessos de terceiros. Com o just-in-time, mecanismo habilitador do ZSP, um consultor externo precisa solicitar acesso pelo PAM360 para acessar um servidor que necessita de manutenção. Com a aprovação do responsável interno, o consultor receberá credenciais que oferecem o privilégio de acesso ao servidor, mas por um período específico — somente aquele estimado para a manutenção, por exemplo.
Quando o prazo se encerra, os direitos são automaticamente revogados, sem necessidade de intervenção manual. Assim, nenhuma sessão privilegiada se mantém ativa e nenhuma credencial permanente é criada.
3. Monitore o que os terceiros fazem dentro dos seus sistemas
Saber que um terceiro tem acesso é diferente de saber o que ele faz com esse acesso. Consultores externos, fornecedores de TI e prestadores de suporte remoto frequentemente acessam servidores e sistemas sensíveis. Por isso, é necessário uma política de monitoramento de sessão: qualquer ação realizada por eles, do login ao logoff, é registrada em logs ricos em contexto.
O PAM360 permite gravar e auditar sessões de terceiros em tempo real, com registro de cada ação executada. Em conjunto, o ManageEngine Log360 centraliza e correlaciona os eventos de segurança, identificando comportamentos fora do padrão e gerando alertas quando um terceiro acessa recursos não permitidos ou em horários não autorizados.
4. Proteja os dados acessados por terceiros
Nem todo terceiro precisa ter acesso privilegiado aos sistemas empresariais. Apenas perfis de superadministrador devem ter permissão para visualizar dados altamente sensíveis, como bases completas de clientes ou registros financeiros. Para os demais, seguindo o princípio do Zero Trust de que nenhum usuário deve ser considerado confiável por padrão, os privilégios concedidos devem ser o mínimo necessário para realizar a tarefa designada, com qualquer tentativa de escalada gerando um alerta imediato.
O ManageEngine DataSecurity Plus oferece visibilidade sobre onde estão os dados sensíveis, quem os está acessando e o que está sendo feito com eles. Com alertas em tempo real para transferências não autorizadas e relatórios em conformidade com LGPD, ISO 27001 e PCI-DSS, ele garante que o acesso de terceiros aos dados seja rastreável e controlado.
5. Estruture um processo de offboarding de terceiros
Um dos riscos mais negligenciados no TPRM é o que acontece depois que o contrato termina. 73% das organizações não têm um processo de offboarding de terceiros bem estabelecido, de acordo com um relatório de 2024.
Por isso, credenciais de fornecedores e consultores frequentemente permanecem ativas mesmo após o encerramento da relação comercial. Essas contas negligenciadas tornam-se vetores de ataque para ex-prestadores de serviço ou por agentes externos.
O PAM360 centraliza o gerenciamento do ciclo de vida dos acessos privilegiados, facilitando o offboarding de terceiros com revogação imediata de credenciais, encerramento de sessões ativas e registro completo de todas as ações realizadas durante o período de acesso. O processo deixa de depender de checklist manual e passa a ser automatizado e auditável.
6. Substitua avaliações periódicas por monitoramento contínuo
Questionários de segurança aplicados manualmente a cada 6 meses ou 12 meses oferecem apenas recortes momentâneos — e a possibilidade de ameaças aparecerem entre os ciclos de revisão é consideravelmente alta.
Um fornecedor que passou na avaliação em janeiro pode ter sofrido um incidente em março, e a empresa contratante não saberá até o próximo ciclo.
Monitoramento contínuo significa ter visibilidade em tempo real sobre o comportamento dos terceiros dentro dos sistemas, alertas configurados para desvios de padrão e logs auditáveis de todas as interações.
Combinados, o PAM360 e o Log360 formam a base para esse modelo — substituindo a dependência de avaliações manuais e pontuais por uma postura de segurança ativa e autônoma.
Como a ManageEngine apoia o seu programa de TPRM
Estruturar um programa de Third-Party Risk Management eficaz vai além de políticas bem escritas e exige ferramentas que tornem a operação possível. 50% das empresas ainda utilizam somente planilhas para a organização de acessos de terceiros.
O ManageEngine PAM360 centraliza o gerenciamento de acessos privilegiados de terceiros, com controle granular, gravação de sessões e revogação automatizada de credenciais.
O Log360 garante visibilidade sobre eventos de segurança em tempo real, correlacionando comportamentos suspeitos e facilitando auditorias. O DataSecurity Plus complementa ao proteger os dados acessados por terceiros, com rastreabilidade completa e conformidade com as principais regulamentações.
Juntos, esses produtos cobrem as camadas mais críticas do TPRM — acesso, atividade e dado — transformando um programa de gestão de riscos em uma realidade operacional. Conheça as soluções da ManageEngine para seu programa de TPRM! Faça um teste gratuito do PAM360, Log360 e do DataSecurity Plus.
Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.
Importante: a ManageEngine não trabalha com distribuidores no Brasil.