Casos recentes envolvendo fintechs e empresas de tecnologia evidenciam a vulnerabilidade de fornecedores e colocam a gestão de terceiros no centro da agenda de riscos, alerta Marta Schuh, Diretora de Seguros Cibernéticos e Tecnológicos na Howden Brasil
Os recentes ataques cibernéticos a provedores de tecnologia que operam na cadeia de pagamentos e serviços financeiros no Brasil trouxeram à tona um ponto crítico, porém frequentemente negligenciado: a fragilidade na gestão de terceiros. Para Marta Schuh, Diretora de Seguros Cibernéticos e Tecnológicos da Howden, o episódio serve como um marco para que instituições brasileiras revejam seus modelos de avaliação de risco.
“Esse tipo de ataque deixa claro que não basta olhar apenas para os dados: o impacto atinge a continuidade do negócio, a reputação e até a estabilidade operacional do ecossistema financeiro como um todo”, afirma a especialista. Segundo Marta, o seguro cibernético, além de proteção financeira, é um instrumento importante de avaliação de maturidade e de indução à melhoria nos controles das empresas.
Na Europa, o Digital Operational Resilience Act (DORA) estabelece diretrizes claras para a gestão de riscos operacionais e de tecnologia, com foco especial em terceiros críticos. Para empresas brasileiras com operações na União Europeia, o DORA é um requisito imediato, e um modelo a ser seguido domesticamente. “A gestão de terceiros, como prevê o artigo 28 do DORA, é vital. O Brasil tem avançado com normas como a Resolução BCB 4.557, mas ainda há uma lacuna enorme na aplicação prática”, destaca Marta.
Seguro cibernético: barreira de entrada para fornecedores críticos
Segundo a diretora da Howden, algumas seguradoras já oferecem apólices que cobrem inclusive desvios monetários em ataques, mas exigem avaliação criteriosa da maturidade cibernética da empresa. “A seguradora faz uma checagem dos procedimentos de segurança e pode recomendar ajustes antes de emitir a apólice. Sem isso, muitas vezes o seguro não é viável — e isso força as empresas a amadurecerem seus controles, o que acaba elevando o padrão do mercado”, explica Marta.
Nesse cenário, executivos de tecnologia e GRC passam a considerar o seguro não apenas como uma proteção contratual, mas como um instrumento de governança. Incluir cláusulas obrigatórias de seguro em contratos com fornecedores críticos, com valores mínimos de cobertura, começa a ganhar força como boa prática de gestão de risco cibernético sistêmico.
Uma questão para conselhos e lideranças
A diretora da Howden alerta ainda que os recentes ataques mostram que a segurança digital não é mais um tema apenas técnico; é uma pauta estratégica para conselhos e lideranças.
Ela ressalta que o DORA e as normas do Banco Central indicam caminhos claros que devem ser seguidos. A gestão de fornecedores críticos precisa ser rigorosamente mapeada, com a exigência de certificações específicas e seguro cibernético como condição para contratação.
Marta destaca também a importância dos testes de resiliência previstos no Artigo 24 do DORA, que devem incluir os prestadores de serviço e estar alinhados com a Circular 4.090 do Banco Central, garantindo que a empresa esteja preparada para eventuais ataques.
Além disso, a diretora reforça que os planos de resposta a incidentes precisam contemplar todas as dependências externas. Indicadores como o MTTR devem refletir a capacidade real da empresa de responder rapidamente a crises que envolvam terceiros.
Recomendações práticas
Para CIOs, CISOs e líderes de risco, o momento exige ação concreta. As principais recomendações incluem mapear fornecedores críticos e subcontratados; exigir certificações (ISO 27001, PCI DSS) e apólices mínimas de seguro; atualizar contratos com penalidades por não conformidade em segurança; implantar testes de resiliência e monitoramento contínuo de terceiros
“A resposta não pode mais ser reativa. É hora de as empresas brasileiras tratarem a segurança cibernética como prioridade estratégica, e não como custo”, conclui Marta.
