Skip to main content
Marsh logo

Artigo

Os riscos cibernéticos de terceiros impactam todas as organizações

Aprenda a entender, medir, gerenciar e responder aos riscos cibernéticos de terceiros.

03/10/2026 · Leitura de 4 minutos

Aprenda a entender, medir, gerenciar e responder aos riscos cibernéticos de terceiros

  • Usar e/ou depender de fornecedores de tecnologia para impulsionar as operações diárias.
  • Compartilhar informações confidenciais sobre clientes e funcionários a um fornecedor terceirizado.
  • Precisar de um fornecedor terceirizado para bens e serviços específicos.

De acordo com o Relatório de Investigações de Violação de Dados da Verizon de 2025 (DBIR), 30% das violações envolvem terceiros, o que significa que o risco principal se originou fora da organização. Esse número é o dobro do ano passado, impulsionado pela exploração de vulnerabilidades e interrupções nos negócios. Isso destaca a interconectividade digital ao longo da cadeia de suprimentos — e os riscos inerentes a essas relações.

Conforme apontam as notícias recentes e os especialistas em sinistros da Marsh, esses ataques estão em crescimento, evidenciando a importância vital para sua organização de compreender, avaliar e gerenciar os riscos cibernéticos provenientes de terceiros.

Gerencie os riscos cibernéticos de terceiros como se fossem os seus próprios.

As ameaças apresentadas pelos fornecedores da cadeia de suprimentos estão mais presentes e intensas do que nunca.

70%

das organizações experienciaram pelo menos 1 incidente cibernético material envolvendo terceiros no último ano

88%

das organizações estão preocupadas com os riscos da segurança cibernética na cadeia de suprimentos

30%

das violações estão ligadas à participação de terceiros (o dobro do ano passado)

< 50%

de organizações monitoram a segurança cibernética em até 50% de sua cadeia de suprimentos

26%

das organizações incluem a resposta a incidentes em seus programas de segurança cibernética na cadeia de suprimentos.

* Fontes: SecurityScorecard, Verizon DBIR

Como sua organização pode reduzir as perdas decorrentes de riscos cibernéticos de terceiros?

Além de adotar as melhores práticas reconhecidas de higiene cibernética, sua organização deve considerar as seguintes ações para minimizar a probabilidade e o impacto de perdas decorrentes de ciberataques envolvendo terceiros.

Essas ações não são uma solução única para todos. Após revisá-las, sua organização pode querer modificá-las para atender aos seus requisitos específicos.

  1. dentifique quais provedores críticos de produtos e serviços compõem o seu ecossistema de fornecedores. Sempre que possível, inclua também os fornecedores essenciais utilizados por esses provedores, conhecidos como fornecedores de quarto nível.
  2. Utilize a quantificação de riscos para identificar e mensurar os riscos associados a terceiros. Isso possibilita que sua organização avalie o impacto potencial de um ataque envolvendo um terceiro na cadeia de suprimentos e alinhe as partes interessadas quanto às estratégias de mitigação do risco.
  3. Desenvolva e mantenha um plano de resposta a incidentes com antecedência, considerando especificamente ataques envolvendo terceiros. É fundamental testar esse plano em diversos cenários por meio de exercícios de simulação. Esses exercícios devem envolver as principais partes interessadas da organização — não apenas as áreas de segurança da informação e TI — para garantir a eficácia abrangente do plano.
  4. Analise suas apólices de seguro cibernético atuais para compreender detalhadamente as coberturas e limitações em caso de um ataque envolvendo terceiros na cadeia de suprimentos da organização.
  5. Certifique-se de que os terceiros possuam seguro cibernético adequado para cumprir os requisitos da organização principal. Isso evidencia uma boa prática na gestão de riscos cibernéticos e indica que controles mínimos essenciais provavelmente estão implementados. Vale destacar que determinados controles são frequentemente exigidos para que a cobertura seja considerada válida.

Cenários práticos do cotidiano

Os seguintes cenários mostram alguns riscos potenciais de terceiros aos quais sua organização pode estar exposta — e seu impacto potencial se/quando se tornarem uma realidade.

Clique nos botões abaixo para saber mais sobre cada cenário.
selected option

Cenário: Usa fornecedores de tecnologia para impulsionar as operações diárias; tem conectividade tecnológica com o fornecedor.

Risco potencial: Uma interrupção tecnológica no fornecedor descontinua as operações da empresa.

Impacto potencial: interrupção de negócios contingente, além de outras despesas e custos extras.

Exemplo: Uma interrupção em um provedor de nuvem causa inatividade do site e impede o cumprimento de pedidos.

Cenário: Depende de fornecedores de tecnologia para impulsionar as operações diárias; possui conectividade tecnológica com o fornecedor.

Risco potencial: O comprometimento dos produtos/serviços da empresa de tecnologia impacta a rede e/ou os dados da empresa.

Impacto potencial: Potencial incidente cibernético, como violação de dados ou ataque de ransomware, levando à interrupção dos negócios e custos relacionados.

Exemplo: Uma vulnerabilidade de software deixa uma porta aberta para atacantes, permitindo que eles instalem código malicioso na rede da empresa.

Cenário: Compartilha informações confidenciais sobre clientes e funcionários a um fornecedor terceirizado; não está conectado ao fornecedor.

Risco potencial: Uma violação das informações confidenciais da empresa causada pelo fornecedor.

Impacto potencial: Incidente de privacidade com custos de primeira e terceira parte.

Exemplo: O fornecedor de folha de pagamento sofre uma violação das informações dos funcionários, ou um fornecedor de tecnologia compromete as informações de fidelidade dos clientes.

Cenário: Depende de um fornecedor terceirizado para bens/serviços específicos; não possui conectividade tecnológica com o fornecedor.

Risco potencial: A interrupção tecnológica do fornecedor terceirizado impede ou dificulta a capacidade da empresa de gerar receita.

Impacto potencial: interrupção de negócios contingente, além de outras despesas e custos extras.

Exemplo: A interrupção da rede impacta a capacidade de uma empresa de receber seu produto.

Sua organização pode — e deve — proativamente se proteger contra riscos de terceiros. Isso inclui definir e entender o que compõe seu ecossistema de fornecedores e quantificar o impacto do risco de terceiros para entender seu efeito no balanço patrimonial e aprender como possivelmente transferi-lo.

Na Marsh, nossos consultores de risco estão disponíveis para ajudá-lo a entender, medir, gerenciar e responder aos seus riscos de terceiros. Para iniciar uma conversa com um de nossos consultores, entre em contato com seu corretor da Marsh.

Entre em contato conosco para saber como a Marsh pode ajudá-lo a identificar e gerenciar os riscos cibernéticos em sua cadeia de suprimentos.

Entre em contato conosco

Nossas pessoas:

Renata Teruya

Diretora de Riscos Cibernéticos, Marsh Brasil

Insights relacionados

Cyber express

Artigo

Cyber Express: proteção cibernética ágil para empresas da América Latina

01/14/2026
Abstract neon corridor with glowing lights

Artigo

Diamante da Segurança Cibernética OT

12/22/2025
Cybersecurity risk

Artigo

Entenda o que é o risco de segurança cibernética e como ele pode impactar as empresas.

10/31/2025
Robot hand ai artificial intelligence assistance for medical healthcare practices operation surgical performance, unity with human and ai concept, with graphical icon display blue banner background

Artigo

Três mitos sobre IA generativa e cibersegurança

10/02/2025
Veja mais