João Miguel Mesquita
Os ataques que exploram fornecedores, parceiros tecnológicos e outras relações de confiança consolidaram-se como uma das ameaças mais relevantes no atual ecossistema digital empresarial. O Estudo da Kaspersky indica que, uma em cada três organizações foi afetada por incidentes deste tipo no último ano, sinal de que a superfície de risco já ultrapassou há muito o perímetro tradicional da infraestrutura interna.
A leitura mais relevante para gestores de compras tecnológicas e responsáveis de TI não está apenas na incidência dos ataques, mas nos fatores que continuam a impedir uma resposta consistente. Quase metade dos inquiridos aponta dois bloqueios centrais: a falta de profissionais qualificados em segurança informática e a necessidade de gerir prioridades concorrentes dentro das equipas. Em termos práticos, isto traduz-se em equipas com pouca margem para avaliações contínuas de terceiros, auditorias regulares e validação técnica de fornecedores críticos.
Do ponto de vista analítico, o estudo expõe uma fragilidade estrutural que vai além da falta de talento. A interdependência digital entre organizações aumentou a velocidade com que uma falha num parceiro se propaga por toda a cadeia de valor. Quando os recursos são limitados, a tendência natural é privilegiar incidentes imediatos, atualizações urgentes e conformidade regulatória, deixando para segundo plano exercícios de resiliência com impacto de médio e longo prazo. É precisamente neste espaço que os riscos da cadeia de abastecimento se tornam mais difíceis de detetar.
Outro sinal relevante surge na arquitetura contratual. Cerca de 39% das empresas admitem que os contratos com fornecedores não incluem obrigações claras de cibersegurança, o que fragiliza desde logo a capacidade de impor requisitos mínimos, exigir evidência de controlos ou responsabilizar parceiros por falhas evitáveis. Para quem decide compras tecnológicas, esta conclusão tem implicações diretas: o risco deixou de ser apenas técnico e passou a estar intimamente ligado à forma como procurement, jurídico e segurança trabalham em conjunto.
A fragmentação das práticas de mitigação reforça esta leitura. Apesar de 85% das empresas reconhecerem a necessidade de reforçar proteção nesta frente, apenas 15% consideram eficazes as medidas atuais. Mesmo os controlos mais disseminados apresentam níveis de adoção modestos, com a autenticação de dois fatores presente em apenas 38% dos casos e as avaliações regulares aos fornecedores limitadas a 35% das organizações. O resultado é uma falta de visibilidade contínua sobre a postura de segurança dos parceiros, precisamente num contexto em que as vulnerabilidades evoluem de forma constante.
Há, no entanto, um dado particularmente revelador para a maturidade do mercado. As empresas que já sofreram ataques tendem a endurecer processos, exigindo com maior frequência testes de intrusão, validação de conformidade setorial e verificação das políticas de segurança dos seus fornecedores. Esta resposta sugere que a aprendizagem continua, em muitos casos, a ser reativa e motivada pelo impacto do incidente, e não por uma lógica preventiva de governação de risco.
A principal conclusão estratégica para o mercado português é inequívoca. A segurança da cadeia de abastecimento já não pode ser tratada como um requisito acessório do processo de compra, mas como um critério central de continuidade operacional e resiliência do negócio. Num ambiente em que fornecedores cloud, integradores, software third-party e parceiros de serviços geridos fazem parte da operação diária, cada decisão de aquisição passou a representar também uma decisão sobre exposição ao risco.
A resposta, à luz dos dados do estudo, exige uniformização de critérios, avaliações regulares da postura de segurança de terceiros e um alinhamento mais estreito entre equipas técnicas, compras e gestão de risco. Sem essa convergência, a confiança digital continuará a assentar em pressupostos frágeis, deixando espaço para que vulnerabilidades externas se propaguem silenciosamente pelo ecossistema empresarial.
