English (US) Segurança da informação no outsourcing de TI: desafios e melhores práticas
Nos últimos anos, as empresas têm acelerado a terceirização de TI – ou outsourcing de TI – como estratégia para ganhar eficiência e acesso a tecnologias avançadas. Ao mesmo tempo, o cenário de ameaças digitais nunca foi tão alarmante. Em 2024, o Brasil registrou 356 bilhões de tentativas de ataques cibernéticos, um aumento expressivo em relação aos 60 bilhões contabilizados em 2023. Esse crescimento representa uma elevação de quase 500% nas tentativas de ataques em apenas um ano, e também aponta a fragilidade ainda existente em segurança da informação.
O país liderou o ranking na América Latina, concentrando 38,73% de todas as atividades maliciosas detectadas na região, segundo dados do FortiGuard Labs da Fortinet. No total, a América Latina enfrentou mais de 921 trilhões de atividades maliciosas em 2024, com destaque para o aumento de 1.801% nos ataques de negação de serviço (DDoS) em comparação ao ano anterior.
Há cada vez mais ataques direcionados e sofisticados, com novas variantes de malware e ransomware focadas em objetivos específicos. O resultado é um aumento na efetividade dessas investidas criminosas caso as empresas não possuam defesas robustas e atualizadas.
Segundo especialistas, a combinação de um cenário de ameaças em expansão com a escassez de profissionais qualificados forma uma tempestade perfeita. Diante dessa realidade, muitas empresas têm buscado em parceiros externos a expertise e o alívio necessários para gerir sua TI e proteger seus dados. Porém, essa decisão estratégica traz consigo um imperativo: garantir a segurança da informação mesmo com serviços terceirizados.
Ameaças cibernéticas no outsourcing de TI
Confiar parte de sua infraestrutura e dados a provedores terceirizados de TI implica ampliar os perímetros de segurança e, consequentemente, a superfície de ataque. Em outras palavras, na cadeia de fornecedores de tecnologia, a segurança de uma empresa é tão forte quanto o seu elo mais fraco. Ameaças cibernéticas explorando brechas em fornecedores ou parceiros de outsourcing de TI tornaram-se cada vez mais frequentes. Ataques de supply chain – quando agentes mal-intencionados comprometem um fornecedor para atingir empresas clientes – estão entre os maiores riscos atuais.
Em 2024, os ataques à cadeia de suprimentos continuaram a representar uma ameaça significativa para organizações em todo o mundo. Esses ataques, muitas vezes facilitados por vulnerabilidades em fornecedores terceirizados, permitiram que agentes maliciosos obtivessem acesso amplo a sistemas internos, destacando o potencial destrutivo de explorar pontos fracos em terceiros.
Um exemplo foi o ataque à cadeia de suprimentos de software, onde o número de ataques detectados dobrou novamente em 2024, indicando que a indústria ainda está vulnerável a esses riscos crescentes.
Além disso, um relatório desenvolvido pela Verizon revelou que a participação de terceiros em violações dobrou para 30%, com um aumento de 34% na exploração de vulnerabilidades, destacando os riscos crescentes associados às cadeias de suprimentos e ecossistemas de parceiros. Esses incidentes reforçam a necessidade urgente de estratégias robustas de gestão de riscos cibernéticos, especialmente no que tange à supervisão e compreensão dos riscos associados a fornecedores e parceiros na cadeia de suprimentos.
Riscos internos também existem, e são um dos maiores vetores de ataques: colaboradores terceirizados, caso não bem treinados ou supervisionados, podem ser vítimas de phishing ou engenharia social, involuntariamente abrindo brechas de segurança. Em resumo, o outsourcing de TI amplia o ecossistema tecnológico da empresa, e com ele, ampliam-se os vetores de ataque que precisam ser gerenciados.
Acordos de Nível de Serviço com foco em segurança
Frente a esse cenário de ameaças complexas, um dos pilares para um outsourcing de TI seguro é estabelecer Acordos de Nível de Serviço (SLAs) robustos, que incluam cláusulas específicas voltadas à segurança da informação.
Tradicionalmente, SLAs em contratos de terceirização cobrem indicadores como disponibilidade do sistema, tempos de resposta e qualidade do serviço. Porém, é imprescindível ir além do básico e formalizar obrigações claras de segurança para o fornecedor. Isso alinha expectativas e cria responsabilizações mútuas quanto à proteção dos dados e sistemas envolvidos. Uma boa prática evidenciada por pesquisas de mercado é definir no contrato tempos máximos de resposta a incidentes e procedimentos de notificação. Por exemplo, estipular um prazo para o parceiro comunicar qualquer violação de segurança é fundamental para uma reação rápida e coordenada.
Segundo relatório da ANBIMA, incluir no SLA tempos de notificação de incidentes de segurança garante que vulnerabilidades sejam comunicadas e tratadas prontamente por todos os envolvidos, ajudando a prevenir que problemas isolados escalem para incidentes graves. Apesar da importância, esse ainda não é um padrão unânime: pouco mais da metade das instituições brasileiras adota SLAs de segurança com prazos de alerta para fornecedores críticos, enquanto no cenário global esse número gira em torno de 60%.
Esses números mostram que há espaço para amadurecimento – organizações que formalizam tais cláusulas saem na frente em prontidão contra incidentes. Outra cláusula vital é referente à correção de vulnerabilidades. É recomendável que o contrato estabeleça SLAs para aplicação de patches e correções em sistemas sob gestão do provedor, de acordo com a criticidade das falhas. Em outras palavras, se for descoberta uma brecha de segurança em um servidor ou software mantido pelo terceirizado, o acordo deve prever em quanto tempo essa falha precisa ser resolvida. Boas práticas indicam prazos diferenciados conforme a gravidade – por exemplo, 24 ou 48 horas para vulnerabilidades críticas. Esse tipo de medida proativa reduz drasticamente a janela de exposição a ataques explorando falhas conhecidas.
Da mesma forma, o SLA pode exigir avaliações de segurança regulares, como varreduras de vulnerabilidades e testes de intrusão periódicos, assegurando que o ambiente sob responsabilidade do parceiro mantém-se dentro dos padrões esperados de proteção. Além dos tempos de resposta e remediação, outros aspectos de segurança devem constar no contrato de outsourcing de TI. Cláusulas de confidencialidade e privacidade são obrigatórias para resguardar dados sensíveis conforme legislações como a LGPD.
Deve-se explicitar que o fornecedor atuará em conformidade com a Lei Geral de Proteção de Dados, garantindo medidas adequadas de proteção a quaisquer dados pessoais tratados. Também é recomendável incluir disposições sobre treinamento em segurança da equipe alocada no contrato, exigindo capacitação contínua em práticas de ciber-higiene, políticas internas do cliente e conscientização sobre phishing. Igualmente, previsões de auditorias ou avaliações independentes podem ser inseridas – por exemplo, o direito da contratante de auditar os controles de segurança do prestador ou solicitar relatórios de conformidade periódicos.
Por fim, um SLA bem desenhado deve delinear planos de resposta a incidentes e contingência: quem aciona quem em caso de detecção de atividade suspeita, quais passos o provedor deverá seguir imediatamente (isolamento de sistemas afetados, backup/restauração, etc.) e como se dará a comunicação em tempo real durante a gestão de crise.
Selecionando parceiros de outsourcing de TI com segurança em mente
Mais do que documentos e cláusulas, a segurança no outsourcing de TI começa na escolha criteriosa do parceiro. Ao avaliar fornecedores, as empresas devem adotar um olhar analítico e precavido, buscando evidências concretas da expertise em cibersegurança de cada candidato. Mas quais critérios adotar para identificar um provedor confiável nesse quesito?
Em primeiro lugar, é importante verificar as credenciais e certificações de segurança do potencial parceiro. Certificações reconhecidas internacionalmente, como a ISO/IEC 27001 (que atesta a existência de um sistema de gestão de segurança da informação robusto) ou a ISO/IEC 27701 (focada em privacidade de dados), são fortes indicativos de compromisso com boas práticas de proteção de dados. Da mesma forma, conformidade com padrões como SOC 2 ou aderência ao NIST Cybersecurity Framework demonstra que o fornecedor estrutura seus processos de TI com controles de segurança alinhados a referências de mercado. Embora possuir certificados não garanta imunidade a ataques, mostra que a empresa investe em governança de segurança e passa regularmente por auditorias independentes – um nível de diligência importante. Outro ponto a analisar é o histórico e reputação em segurança do candidato.
Referências de outros clientes valem ouro: procure saber se o fornecedor já enfrentou incidentes de grande porte e, em caso afirmativo, como reagiu. Transparência na comunicação de problemas, rapidez e eficácia na resposta a incidentes passados são sinais positivos. Por outro lado, a ausência de notícias não é garantia de excelência – vale a pena questionar diretamente quais medidas de segurança eles adotam internamente para proteger os dados dos clientes e se já tiveram auditorias de segurança externas.
Muitos fornecedores exibem casos de sucesso em seus materiais de marketing, mas poucos mencionam falhas; por isso, a investigação proativa da contratante faz diferença. Sempre que possível, entreviste os responsáveis técnicos do fornecedor sobre políticas de controle de acesso, criptografia, backups, monitoração 24/7 e planos de resposta a incidentes. As respostas devem ser claras e detalhadas.
Parceiros confiáveis geralmente têm equipes dedicadas de segurança ou, no mínimo, profissionais certificados (CISSP, CompTIA Security+ e semelhantes) cuidando da proteção das operações de TI terceirizadas.
Adicionalmente, avalie os processos de recrutamento e treinamento do parceiro no que tange à segurança. A empresa terceirizada realiza verificações de antecedentes de seus funcionários? Promove treinamentos regulares em segurança da informação e atualizações sobre novas ameaças? Possui uma cultura de segurança ativa, com políticas internas claras e enforcement dessas políticas?
Esses elementos “humanos” são fundamentais, pois até mesmo a solução tecnológica mais avançada pode falhar se administrada por pessoas desatentas ou despreparadas. Lembre-se de que ao terceirizar, você estará confiando dados e acessos muitas vezes privilegiados a equipes externas – saber quem são essas pessoas e quão engajadas estão com a segurança é parte integral da due diligence.
Empresas que selecionam criteriosamente seus parceiros tecnológicos e estabelecem uma governança rígida sobre a segurança terceirizada colhem frutos em forma de resiliência e confiança do mercado. Por outro lado, negligenciar a segurança em contratos de outsourcing pode custar caro – um incidente grave decorrente de falha de terceiros pode interromper operações, gerar multas regulatórias e abalar a reputação construída ao longo de anos.
Portanto, a mensagem é clara: terceirizar não significa abdicar da responsabilidade pela segurança. Significa, sim, ampliar as defesas através de alianças bem estruturadas. Hoje, com o Brasil vivenciando tanto oportunidades de inovação quanto desafios intensos em cibersegurança, adotar um outsourcing de TI seguro e bem gerenciado pode ser o diferencial para competir em alto nível. Empresas que tratam a segurança da informação como prioridade em seus acordos e relações de terceirização saem na frente – elas não apenas se protegem melhor, mas demonstram ao mercado e a seus clientes que estão comprometidas em manter a confiança e a integridade de todos os dados sob sua guarda.
