No atual contexto económico e social, as organizações tendem a trabalhar com um número crescente de terceiros, constatando-se que os mesmos surgem gradualmente como parte integrante da cadeia de valor das organizações, enquanto responsáveis por determinados processos de suporte ao negócio, ou assumindo eles próprios, os terceiros, a responsabilidade pelos processos ditos “core” das organizações onde estão presentes.
É esta participação direta dos terceiros nas atividades da organização de uma forma ativa e relevante que tornam hoje o tema do risco de terceiros uma das matérias de maior importância no atual ecossistema empresarial, dito digital e que se pretende globalizado.
Lidar com os diversos tipos de riscos relacionados com terceiros é a razão pela qual existe uma gestão de risco específica e focada nos mesmos, verificando-se que, como em outras áreas de gestão de riscos, a Gestão de Risco de Terceiros tem convergido de uma forma natural com outros domínios, tais como a segurança da informação, a privacidade, a cibersegurança e a própria conformidade, seja ela legislativa ou normativa. Torna-se hoje bastante evidente e clara a relevância que a Gestão de Terceiros possui no atual cenário global, onde é fomentada a digitalização contínua e a transformação digital, muitas vezes forçada, passando pelos desafios geopolíticos ou pela aceleração que a pandemia da covid-19 provocou, constata-se que o aumento das relações com e entre terceiros, dispersos pelas mais diversas geografias, ou separados por diferentes culturas, são uma realidade que necessita hoje de uma gestão de risco adequada e específica.
Os ciberataques relacionados com terceiros estão a aumentar. No entanto, apenas 23% dos responsáveis de segurança e risco monitorizam os terceiros em tempo real em termos de ameaças de cibersegurança (Gartner).
Mas o que é efetivamente a Gestão de Terceiros e qual a sua importância no atual contexto?
A gestão de riscos de terceiros diz respeito à identificação, priorização, mitigação, monitorização e comunicação dos riscos decorrentes da colaboração das organizações com terceiros e de todo o processo de gestão dessa colaboração desde o início até ao término da relação. O que significa que a gestão de risco de terceiros deve ser encarada como um processo sistemático e contínuo, sujeito a monitorização e ilegível para uma definição de objetivos e respetivas métricas dentro das organizações, com a intenção óbvia de melhorar a eficácia e eficiência do processo de avaliação de risco, o qual poderá a curto ou médio prazo garantir benefícios financeiros às organizações de forma direta ou indireta.
A gestão de riscos de terceiros tem vindo a destacar-se cada vez mais nas previsões dos analistas há já alguns anos, sublinhando o papel crítico que os riscos de terceiros desempenharão em decisões de parceria e negócios, estando entre as principais preocupações de segurança, tanto num contexto de cibersegurança de TI como de OT. De acordo com a Gartner, até 2025, 60% das organizações usarão o risco de cibersegurança como fator determinante na realização das avaliações de terceiros, no âmbito do processo de gestão dos mesmos.
Em mês de cibersegurança torna-se necessário que as organizações considerem em definitivo o tema da gestão de risco de fornecedores como um processo crítico e essencial, não só para o sucesso da sua operação mas, acima de tudo, para a obtenção e consolidação de uma estratégia de mercado com base na reputação e na confiança.