🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
A gestão de riscos de quarta parte é o processo de identificar, avaliar e mitigar os riscos que vêm dos fornecedores dos seus fornecedores, os subcontratados e prestadores de serviços dos quais as suas terceiras partes dependem. Você não tem contrato direto com essas quartas partes, ainda assim, as falhas delas podem comprometer ou interromper a sua organização.
O ponto cego é amplo: apenas 10 por cento das organizações avaliam diretamente as suas quartas partes, e 27 por cento não as avaliam nem monitorizam de todo.
Este guia explica o que é o risco de quarta parte, como ele difere do risco de terceira parte e de N-ésima parte, por que é tão difícil de ver, o que significa o risco de concentração e como gerir o risco de quarta parte ao longo de todo o seu ciclo de vida.
O risco de quarta parte é a exposição criada pelos subcontratados, fornecedores e prestadores de serviços dos quais os seus fornecedores diretos dependem para entregar os seus serviços. Em termos simples, as quartas partes são os fornecedores dos seus fornecedores, um passo mais distantes da sua organização do que as terceiras partes com as quais você contrata diretamente.
A relação é mais fácil de entender através de exemplos. Quando um fornecedor de SaaS aloja os seus dados na Amazon Web Services, a AWS é uma quarta parte. Quando a sua plataforma de e-commerce processa pagamentos através da Stripe, a Stripe é uma quarta parte. Quando um fornecedor de software terceiriza o desenvolvimento para um contratado noutro país, esse contratado é uma quarta parte cujo nome você talvez nunca venha a saber.
A característica definidora é a ausência de uma relação direta. Você não tem contrato com uma quarta parte, nenhum questionário para lhes enviar e, muitas vezes, nenhuma consciência de que elas existem. A gestão de riscos de quarta parte estende a supervisão de um programa de risco de terceira parte a essa camada oculta, para que as dependências por trás dos seus fornecedores não se tornem um caminho não gerido para a sua organização.
O risco de terceira parte e de quarta parte diferem principalmente na relação, visibilidade e no controlo que você tem para os gerir. A tabela abaixo os compara lado a lado.
A diferença central é o controlo. O risco de terceira parte é gerido diretamente, através de acordos que você negocia e faz cumprir. O risco de quarta parte tem de ser gerido indiretamente, exigindo que as suas terceiras partes governem e divulguem os seus próprios fornecedores.
O risco de fornecedor funciona em camadas, e cada camada está um passo mais distante do seu controlo direto. Compreender a cadeia completa esclarece onde o risco de quarta parte se encaixa e por que a exposição continua a estender-se para além dela.

Cada camada adicionada agrava tanto a exposição quanto a opacidade. Uma violação vários níveis abaixo ainda pode atingir seus dados, enquanto sua visibilidade diminui a cada passo. É por isso que mapear a cadeia, e não apenas listar fornecedores diretos, está no cerne da gestão de risco de quarta parte.
O risco de quarta parte é difícil de gerenciar porque é difícil até mesmo de observar. Quatro fatores o mantêm oculto.
O risco de concentração é a exposição que surge quando muitos dos fornecedores de uma organização dependem da mesma quarta parte subjacente, transformando esse provedor compartilhado em um único ponto de falha sistêmico. É o conceito mais importante no risco de quarta parte porque converte uma dependência oculta em uma ameaça mensurável.
O perigo é que a diversificação de fornecedores não oferece proteção quando os fornecedores compartilham uma dependência. Uma organização pode distribuir seus serviços por uma dúzia de fornecedores diferentes e ainda enfrentar uma interrupção total se todos os doze operarem na mesma região de nuvem ou processador de pagamento. Uma única interrupção ou violação nessa quarta parte compartilhada se propaga por todos os fornecedores de uma só vez.
Eventos recentes mostram o padrão. O comprometimento de transferência de arquivos MOVEit de 2023 e a interrupção do CrowdStrike de 2024 ambos se propagaram por dependências compartilhadas a uma velocidade que a revisão manual de fornecedores não conseguiria igualar, interrompendo milhares de organizações que não tinham relação direta com o ponto de falha.
O risco de quarta parte é importante porque uma falha que você não consegue ver ainda pode recair diretamente sobre sua organização. Considere um provedor de saúde que usa um processador de dados de terceiros, que por sua vez armazena registros com um serviço de nuvem de quarta parte. Se esse serviço de nuvem tiver controles fracos e for violado, os dados do paciente são expostos, e o provedor de saúde absorve as multas regulatórias, a interrupção operacional e o dano à reputação, apesar de nunca ter contratado a parte que falhou.
Essa única cadeia ilustra as quatro maneiras pelas quais as falhas de quarta parte recaem sobre uma organização.
Os quartos envolvidos são geralmente a infraestrutura compartilhada e os serviços especializados que estão por trás dos fornecedores do dia a dia. As categorias mais comuns aparecem abaixo.
Gerenciar o risco de quarta parte significa construir visibilidade e controle através de seus terceiros, já que você não pode governar as quartas partes diretamente. Seis passos formam o cerne da prática.
Esses passos funcionam como uma sequência e um ciclo. Cada um alimenta o próximo, e o conjunto completo se repete à medida que fornecedores, dependências e riscos mudam.
A gestão de riscos de quarta parte não é um projeto pontual, mas um ciclo contínuo. O ciclo de vida passa por seis etapas recorrentes.

Os reguladores esperam cada vez mais uma supervisão que vá além dos fornecedores diretos, o que transformou a visibilidade de quarta parte de uma boa prática em um requisito de conformidade em vários setores. Alguns frameworks definem o tom.
O fio condutor comum é a responsabilização para além do contrato. Os reguladores esperam que uma organização compreenda e gira o risco na sua cadeia de abastecimento alargada, não apenas os fornecedores com os quais assina acordos.
Dados atuais mostram quão grande permanece a lacuna da quarta parte. A maioria das organizações depende dos seus terceiros para gerir os níveis mais profundos em vez de verificar esses níveis por si mesmas, e a visibilidade diminui a cada passo na cadeia. Três descobertas capturam o estado da prática.

Para além do processo central, um conjunto de princípios duradouros distingue os programas que gerem bem o risco de quarta parte daqueles que apenas o documentam.
A parte mais difícil do risco de quarta parte é a descoberta, que é onde CloudSEK SVigil se concentra. O SVigil mapeia de forma detalhada os fornecedores de uma organização e mapeia não apenas os fornecedores diretos, mas também as dependências de quarta parte por trás deles, revelando os subcontratados, serviços de nuvem e infraestrutura compartilhada que os questionários nunca alcançam. Ele identifica credenciais expostas, vulnerabilidades e pontos de concentração ao longo dessa cadeia estendida, dando às equipes de segurança visibilidade sobre a camada que as avaliações tradicionais deixam obscura.
Como esse mapeamento é contínuo, uma mudança silenciosa de um fornecedor para um novo provedor ou uma dependência compartilhada que silenciosamente se torna um único ponto de falha é revelada assim que surge. Num caso, o SVigil descobriu credenciais expostas num provedor de comunicação de terceiros que atendia grandes bancos, o tipo de exposição profunda na cadeia que a gestão de risco de quarta parte existe para detetar. Combinar a descoberta automatizada com o monitoramento contínuo transforma uma cadeia de dependência invisível em algo que uma equipe de segurança pode ver e agir.
O risco de terceiros provém de fornecedores com os quais você contrata diretamente. O risco de quarta parte provém dos fornecedores dos seus fornecedores, os subcontratados e provedores nos quais eles confiam. Você gerencia terceiros diretamente através de contratos, mas as quartas partes apenas indiretamente através dos seus terceiros.
Se um fornecedor SaaS hospeda seus dados na AWS, a AWS é uma quarta parte. Se sua plataforma processa pagamentos via Stripe, o Stripe é uma quarta parte. Provedores de nuvem, processadores de pagamento e subcontratados que seus fornecedores utilizam são todas quartas partes comuns.
O risco de concentração ocorre quando muitos dos seus fornecedores dependem da mesma quarta parte subjacente, tornando esse provedor compartilhado um único ponto de falha. A diversificação de fornecedores não ajuda se todos os seus fornecedores operam na mesma nuvem ou provedor de pagamento.
Exija que seus terceiros divulguem seus subcontratados, revise seus relatórios SOC 2 para organizações de subserviço e utilize a análise de pegada digital de sua tecnologia e infraestrutura. Ferramentas de descoberta automatizada revelam dependências que os fornecedores não divulgam voluntariamente.
Raramente. Você não tem direitos contratuais ou de auditoria com uma quarta parte, portanto, a avaliação direta é impraticável. Em vez disso, você gerencia o risco indiretamente, exigindo que seus terceiros avaliem e divulguem seus próprios fornecedores.
Estruturas como DORA, NIS2 e NYDFS Parte 500 responsabilizam as organizações pelo risco em suas cadeias de suprimentos estendidas, não apenas pelos fornecedores diretos. Os reguladores esperam que as empresas compreendam e gerenciem o risco de concentração e o risco a jusante para além de seus contratos.
