GESTÃO DE RISCO DE TERCEIROS

Avalie o risco dos seus fornecedores pela postura externa observável.

O risco de terceiros é, hoje, uma extensão direta do risco da própria organização. A CSURFACE avalia continuamente a exposição cibernética externa dos seus fornecedores e produz evidência técnica que complementa os questionários de avaliação, acompanhando a postura de cada terceiro ao longo do tempo.

O DESAFIO

O questionário descreve uma intenção declarada em um momento

A avaliação de risco de terceiros costuma se apoiar em questionários de segurança respondidos pelo próprio fornecedor. Esses questionários são úteis para estabelecer uma linha de base e para registrar compromissos, mas descrevem uma intenção declarada em um momento específico. Eles não confirmam se os controles realmente estão em operação, nem capturam o que muda no intervalo entre uma avaliação e a seguinte.

A postura de segurança de um fornecedor, no entanto, é dinâmica. Um serviço pode ser exposto de forma inadequada, uma vulnerabilidade pode surgir, a propriedade de um domínio pode mudar. Quando a avaliação é pontual e auto-declarada, esses sinais passam despercebidos. A gestão de risco de terceiros exige uma verificação contínua e independente da exposição externa de cada fornecedor relevante.

CAPACIDADES

O que a CSURFACE entrega na gestão de risco de terceiros

Uma avaliação contínua e verificável da exposição externa dos seus fornecedores.

Avaliação externa contínua

A plataforma examina a superfície de ataque externa de cada fornecedor avaliado e acompanha a evolução dessa exposição ao longo do tempo, sem depender de informação auto-declarada.

Cadeia digital de fornecedores

Além dos fornecedores diretos, a CSURFACE identifica a cadeia digital de terceiros embutida nos ativos, ampliando a visibilidade sobre dependências que muitas vezes passam despercebidas.

Validação dos questionários

A evidência técnica produzida pela plataforma permite confrontar o que o fornecedor declarou com a postura efetivamente observada na sua exposição externa.

Priorização por relevância

As exposições identificadas são ordenadas por exploitabilidade real e pela criticidade do fornecedor, direcionando a atenção para os terceiros que representam o maior risco.

Alertas sobre mudanças de postura

Alterações relevantes na exposição de um fornecedor — uma nova exposição, uma mudança de propriedade de domínio — geram notificações, encurtando a janela entre a mudança e a sua percepção.

Evidência para auditoria

A plataforma mantém uma trilha auditável das avaliações realizadas, fornecendo evidência verificável para programas de conformidade e para o comitê de risco.

risco de terceiros · portfólio de fornecedores

Fornecedores monitorados

29

4 em risco alto

Nota do portfólio

A

postura externa média

Fornecedores com breach

3

35 achados críticos

Concentração

76

dependências de 4ª parte

Acesso × postura do fornecedor

FracaBásicaInterm.Avançada Privilegiado / VPN ·322 Rede / API ·1·1 Compartilha dados ··1· Sem acesso ···1

Quem pode te ferir mais: o acesso ao seu ambiente cruzado com a postura externa do fornecedor.

Maiores riscos de entrada

Provedor de pagamentosacesso privilegiado · postura fracaE
Operadora de saúdeacesso privilegiado · postura fracaE
Provedor de telecomacesso privilegiado · postura fracaD
Banco parceiroacesso de rede · postura fracaD

COMO FUNCIONA

Do escopo ao acompanhamento contínuo

A avaliação de risco de terceiros passa a ser um processo permanente, integrado ao programa de segurança.

Definição do escopo

A organização define os fornecedores relevantes a avaliar, e a plataforma constrói a visão da exposição externa de cada um a partir do seu domínio.

Avaliação e priorização

As exposições de cada fornecedor são identificadas, classificadas por risco real e organizadas em uma visão comparável entre todos os terceiros do escopo.

Acompanhamento permanente

A postura dos fornecedores passa a ser monitorada de forma contínua, e cada mudança relevante chega à equipe com contexto para a decisão.

PERGUNTAS FREQUENTES

FAQ

A CSURFACE substitui os questionários de avaliação de fornecedores?

A CSURFACE complementa os questionários. Eles continuam úteis para estabelecer uma linha de base e capturar aspectos que não são observáveis externamente. A plataforma acrescenta a verificação técnica contínua da exposição externa e permite confrontar o que foi declarado com a postura efetivamente observada.

É necessário cooperação ou acesso do fornecedor?

Não. A avaliação é feita a partir da superfície de ataque externa do fornecedor, observável pela internet. Não há necessidade de acesso à infraestrutura do terceiro nem de instalação de qualquer componente.

Quantos fornecedores podem ser acompanhados?

O escopo é definido pela organização conforme os fornecedores que considera relevantes. A avaliação contínua acompanha todos os terceiros incluídos no escopo, sem que isso dependa da colaboração de cada um.

A avaliação cobre subfornecedores?

Sim. Além dos fornecedores diretos, a plataforma identifica a cadeia digital de terceiros embutida nos ativos avaliados, ampliando a visibilidade sobre dependências que normalmente não constam de um inventário formal de fornecedores.

Comece pela exposição externa dos seus fornecedores.

Informe o domínio da sua organização e receba uma análise preliminar da exposição externa. Sem cartão, sem reunião.

Receber análise preliminar