iTeam

Português

Inglês

Esse site utiliza cookies

Nós armazenamos dados temporariamente para melhorar a sua experiência de navegação e recomendar conteúdo de seu interesse. Ao utilizar nosso serviços você concorda com tal monitoramento.

15 de dezembro de 2025

Expert Desk

Sistema de Gestão de Segurança da Informação — além da Segurança da Informação

Os negócios já não têm fronteiras e estão cada vez mais globalizados. Nesse cenário, um Sistema de Gestão de Segurança da Informação torna-se essencial para que as empresas que expandem sua atuação por meio de contratações e subcontratações. tornando, assim, o risco de terceiros um fator estratégico para sua sobrevivência.

Diversas legislações ao redor do mundo preveem o conceito de responsabilidade solidária. No Brasil, especialmente o Código Civil, o Código de Defesa do Consumidor a Lei Geral de Proteção de Dados pessoais, dentre outras.

Responsabilidade solidária é um conceito jurídico que significa que mais de uma pessoa ou empresa pode ser obrigada a responder pelo mesmo problema, total ou parcialmente, independentemente de quem tenha causado o erro diretamente.

Assim, no contexto do risco de terceiros, o contratante pode ser responsabilizado pelos atos praticados por seus contratados quando estes causam danos a terceiros em seu nome.

Qual a responsabilidade do contratante?

De forma geral, a responsabilidade do contratante decorre principalmente de:

Culpa in eligendo: ocorre quando há má escolha de representantes, empregados ou prestadores de serviços, gerando responsabilidade pelos danos decorrentes dessa escolha.
Culpa in vigilando: decorre da ausência de supervisão ou fiscalização adequada sobre pessoas ou atividades sob sua responsabilidade.
Culpa in omittendo: surge da omissão, quando o responsável deixa de agir quando deveria, causando prejuízos.

Embora caiba ação de regresso contra o contratado para apurar sua responsabilidade no evento danoso, em um primeiro momento é o contratante quem responde perante terceiros pelo resultado do dano.

Dessa forma, o contratante deve adotar medidas efetivas para escolher, avaliar e monitorar as atividades de seus fornecedores antes da contratação, durante a vigência contratual e, também, adotar medidas de segurança após o encerramento do contrato.

O risco de terceiros

O risco de terceiros não se limita apenas aos fornecedores contratados, mas abrange todas as organizações que, direta ou indiretamente, se relacionam com a empresa.

A interdependência entre organizações pode tornar esse processo complexo e amplo, mas cabe à empresa definir o nível de risco que está disposta a assumir e estabelecer até onde irá sua investigação e monitoramento.

Processos de due diligence de integridade, segurança e privacidade da informação representam o ponto de partida. Além disso, contratos bem estruturados devem definir de forma clara papéis e responsabilidades.

Em muitos casos, essa dependência de soluções e tecnologias específicas evidencia a fragilidade dos controles de terceiros. Dois exemplos recentes, ocorridos em 2025, demonstram essa realidade: a queda de um grande provedor de nuvem nos EUA e as fraudes no ecossistema Pix.

Na interrupção do provedor de nuvem, em poucos minutos, fintechs, e-commerces, bancos digitais e plataformas ficaram indisponíveis. O problema não foi interno, mas em um terceiro crítico. O que antes era uma infraestrutura invisível tornou-se um ponto único de falha.

Nas fraudes envolvendo o ecossistema Pix, criminosos não atacam diretamente as instituições financeiras, mas exploram intermediários técnicos, como mensagerias, APIs e gateways. Eles manipulam comunicações, desviam recursos e convertem valores em criptoativos em questão de minutos. No mesmo sentido, quem responde ao cliente e aos reguladores é a instituição financeira, e não o terceiro.

Em ambos os casos, um número elevado de processos internos foi afetado por falhas externas.

Na prática, esses riscos muitas vezes são desconhecidos ou subestimados nas matrizes de risco, embora seus impactos sobre o negócio sejam significativos e não possam ser ignorados.

A Gestão de Riscos na Segurança da Informação

Entretanto, a gestão de riscos não deve ser tratada como uma solução isolada ou milagrosa. Ela deve estar integrada a um sistema de gestão estruturado, interagindo com outros processos e recursos da organização.

O processo de gestão de riscos deve estar alinhado a frameworks reconhecidos, como:

ISO/IEC 27001 (Segurança da Informação)
ISO 37301 (Gestão de Compliance)
ISO 37001 (Prevenção ao Suborno)
COSO ERM 2017 ou ISO 31000 (Gestão de Riscos Corporativos)

Além disso, o sistema de gestão deve contar com processos robustos de Continuidade de Negócios (PCN) e Recuperação de Desastres (PRD). Contratos bem elaborados e SLAs são importantes, mas o negócio não pode parar enquanto aguarda o cumprimento contratual. A organização deve estar preparada para enfrentar adversidades. Em momentos de caos, estresse e pressão, as decisões devem se basear em critérios previamente definidos e testados, e não na intuição.

Mais uma vez, o processo de gestão de riscos se manifesta nesse cenário. O enfrentamento de crises começa na gestão de riscos, ao preparar a organização para cenários adversos. Os riscos identificados sustentam as ações que deverão ser executadas em caso de disrupção.

Diante de um ambiente em que os riscos são cada vez mais rápidos, interconectados e invisíveis, não é suficiente apenas reagir a incidentes. É necessário um sistema de gestão estruturado, capaz de transformar a gestão de riscos em um processo contínuo, integrado e controlado.

Um sistema de gestão é muito mais do que um conjunto de políticas: é uma estrutura integrada que conecta processos, pessoas e tecnologia, garantindo o atingimento de objetivos críticos mesmo diante de riscos. No contexto corporativo, isso significa aplicar princípios de governança, monitoramento e melhoria contínua.

Um sistema de gestão eficaz deve ser multidisciplinar, pois sua efetividade depende de fatores internos, externos e da natureza dos eventos disruptivos. Dentre outras, destacamos algumas áreas em relação ao contexto desta coluna, sem descartar outras áreas importantes de acordo com a operação da organização.

Equipe de Riscos e Compliance

A equipe de Riscos e Compliance deve atuar com alta maturidade técnica, dominando processos de tratamento de riscos, definindo indicadores, parametrizando controles e monitorando exceções com base em dados e evidências. Seu papel vai além de checklists, pois são facilitadores da governança e agentes de questionamento construtivo.

Equipe Jurídica

A Equipe Jurídica não deve se resumir à revisão contratual, mas deve ser responsável pela padronização de cláusulas contratuais, interpretação de normas locais e internacionais aplicáveis ao negócio da organização (GDPR, LGPD, NIS2, SOX, HIPA, CCPA, ESG e legislação ambiental etc.), aconselhamento jurídico na condução da resposta a incidentes, condução de negociações complexas e garantia de medidas preventivas e reativas alinhadas à estratégia e apetite a riscos da empresa.

Equipe de Segurança da Informação

A Equipe de Segurança da Informação deve atuar de forma preventiva e corretiva, utilizando a gestão de riscos como base para a tomada de decisão. Seu papel é estratégico e vai além da proteção técnica, atuando como guardiã da confidencialidade, integridade e disponibilidade das informações, além de

conectar tecnologia, processos e pessoas, bem como estruturar planos de resposta a incidentes.

Times técnicos e operacionais

Os times técnicos e operacionais devem conhecer profundamente os processos e passar por treinamentos regulares para situações adversas, incluindo testes reais e simulações (tabletop), garantindo assertividade na resposta.

Quando essas áreas atuam de forma coordenada e em sintonia, fortalecem a governança corporativa e ampliam a capacidade da organização de antecipar riscos, responder a eventos críticos e manter a confiança de clientes, reguladores e investidore

O que realmente consolida um Sistema de Gestão de Segurança da Informação

Nesse contexto, o sistema de gestão de segurança da informação não é apenas um conjunto de documentos, mas um modelo vivo de governança, que organiza como a empresa previne, detecta, responde e aprende com as próprias falhas (melhoria contínua) os riscos. Ele integra segurança da informação, prevenção ao suborno, privacidade de dados, gestão de riscos corporativos e estruturas de continuidade de negócios (PCN) e recuperação de desastres (PRD), especialmente no relacionamento com fornecedores críticos.

No ambiente corporativo atual, marcado por alta complexidade e transformação digital constante, um sistema de gestão representa a base para garantir segurança, conformidade e resiliência organizacional.

Um sistema de gestão bem estruturado é adaptável, auditável e orientado à melhoria contínua. Ele define responsabilidades, estabelece métricas, cria planos de resposta e envolve a liderança na tomada de decisão, para que a organização esteja preparada para responder com velocidade, coordenação e evidências.

Assim, mais do que cumprir normas, a implementação de um sistema de gestão trata de transformar riscos em vantagem competitiva, assegurando resiliência e confiança em um cenário em que falhas são inevitáveis, mas crises não precisam ser.

Na iT.eam, ajudamos empresas a estruturar Sistemas de Gestão de Segurança da Informação que integrem governança, riscos, compliance e tecnologia. Fale com nosso time e entenda como podemos apoiar sua organização!