Avaliação de Risco de Fornecedores para classificar exposição, maturidade e verificabilidade na cadeia de fornecimento
Avaliação de Risco de Fornecedores
Avaliamos fornecedores críticos para ajudar entidades NIS2 a demonstrar gestão razoável do risco da cadeia de fornecimento. Combinamos autodiagnóstico identificado, sinais técnicos observáveis e analise de exposição externa para classificar maturidade, risco e verificabilidade de cada fornecedor.
CONTEXTO DE USO
Que problema resolve
Muitas organizações já começaram a rever a sua exposição à NIS2, mas continuam sem uma forma prática de demonstrar como avaliam e gerem o risco dos seus fornecedores críticos. Contratos, clâusulas genéricas ou questionários isolados não são suficientes para criar uma visão clara de maturidade, exposição e verificabilidade da cadeia de fornecimento.
O Supply Chain Cyber Risk Assessment permite transformar a avaliação de fornecedores num processo estruturado, proporcional e defensável. Em vez de depender apenas do que o fornecedor declara, o serviço contrasta a maturidade declarada com sinais técnicos observáveis, exposição externa e estador de verificabilidade.
O assessment gera uma matriz exclusiva de risco de fornecedores, fichas individuais, classificação por níveis: Take Control, Stay Safe ou Be Compliance, e recomendações proporcionais para aceitar, acompanhar, exigir melhoria, solicita evidência alternativa ou escalar a decisão.
A quem se destina
Destina-se a entidades NIS2 Essenciais ou Importantes, organizações com programas ISO 27001, empresas em setores críticos ou importantes, e grupos que dependen de fornecedores tecnológicos, MSP, SaaS, Hosting, Suporte Remoto, Integradores, Outsourcing IT ou manutençáo crítica.
É especialmente relevante quando a organização precisa de evidência para direção, auditoria, compliance, compras, jurídico ou comité de risco, e quando existem fornecedores com acesso a dados, sistemas, infraestrutura, operação crítica ou continuidade do negócio.
Frequência recomendada
Recomendado antes de procesos de adequação NIS2, durante a classificação de fornecedores críticos, antes de renovações contratuais relevantes, após incidentes de terceiros, e de forma periódica conforme a criticidade do fornecedor. Para fornecedores com um nível "Be Compliance", a revisão pode ser anual; para fornecedores com um nível "Stay Safe" ou "Take Control", recomenda-se reavaliação em 6 ou 3 meses, respetivamente.
CONTEÚDO DO SERVIÇO
O que inclui
O serviço é estruturado como um assessment único, não como três pacotes separados. Todas as camadas fazem parte da avaliação base, comforme aplicabilidade, autorização e criticidade do fornecedor. Os níveis Take Control, Stay Safe e Be Compliance são resultados de classificação do fornecedor avaliado.
Autodiagnóstico identificado de maturidade.
O fornecedor completa um autodiagnóstico não anónimo, associado à sua identidade, responsável, data e relação com a entidade NIS2. Esta etapa gera uma pontuação inicial de 0 a 100 e uma primeira leitura de maturidade declarada.
Entregável: Resultado inicial de maturidade
Um documento que inclui o resultado inicial de maturidade declarada, identificação do fornecedor, criticidade preliminar, tipo de serviço prestado, acesso a dados ou sistemas e classificação inicial em Take Control, Stay Safe ou Be Compliance.
Avaliação de risco do endpoint
Quando autorizado, é realizada uma avaliação leve dos computadores utilizados pelo fornecedor, em modo observação, sem acesso a conteúdo privado. O objetivo é identificar sinais mínimos de higiene tecnológica, como estado do sistema operativo, atualizações, antivirús ou EDR, software obsoleto, ferramentas de acesso remoto e aplicações potencialmente arriscadas.
Entregável: Relatório 2 — Sinais de Risco operacional.
Sinais de higiene tecnológica e risco operacional do endpoint, usados para confirmar, questionar ou ajustar a maturidade declarada pelo fornecedor.
Avaliação DNS não invasiva
Quando autorizado, a avaliação DNS analisa padrões de resolução durante uma janela definida, sem inspecionar conteúdo interno ou tráfego cifrado. Esta camada permite identificar acessos a domínios maliciosos, phishing, malware, botnets, command and control, categorías web arriscadas ou domínios suspeitos.
Entregável: Relatório 3 — Leitura de comportamento DNS e eventuais inconsistências entre práticas declaradas e sinais observáveis de risco.
Análise de vulnerabilidades externas
A avaliação externa analisa, de forma não intrusiva, domínios, endereços IP públicos e superfície de exposição do fornecedor. Não é um pentest nem um exercício de exploração de vulnerabilidades. O objetivo é identificar portas abertas, serviços expostos, versões vulneráveis, tecnologias obsoletas, painéis administrativos publicados, certificados fracos ou serviços desnecessários em Internet.
Entregável: Relatório 4 — Visão da superfície externa do fornecedor e sinais que possam aumentar o risco para a entidade NIS2.
Reputação externa, OSINT e sinais de exposição
A avaliação pode incluir revisão de fontes externas e serviços especializados para identificar credenciais filtradas, domínios ou IPs com má reputação, presença em listas negras, sinais públicos de compromisso, incidentes conhecidos ou informação corporativa exposta.
Entregável: Relatório 5 — Sinais externos de exposição, filtragem ou risco reputacional que ajudem a completar a classificação do fornecedor.
Contraste entre declaração e sinais observáveis
A maturidade declarada pelo fornecedor orienta a análise, mas não encerra a decisão. O valor do assessment está em comparar o que o fornecedor declara com sinais técnicos observáveis, exposição externa, criticidade do serviço e grau de verificabilidade.
A maturidade declarada orienta ; os sinais observáveis permitem defender a decisão.
Classificações possíveis
Neste serviço, os níveis representam o resultado da avaliação do fornecedor. Cada fornecedor é classificado segundo a sua maturidade, exposição, criticidade e verificabilidade, permitindo definir ações proporcionais e prazos de melhoria.
Take Control
Fornecedor com maturidade insuficiente ou básica, controlos mínimos frágeis. baixa verificabilidade ou sinais técnicos que indicam necessidade de controlo operacional prioritário. Recomendação típica: plano de melhoria em até 3 meses.
Stay Safe:
Fornecedor com maturidade intermédia, controlos parciais ou sinais de risco que exigem seguimento, melhoria operacional e nova validaçáo. Recomendação típica: plano de melhoria ou reavaliação em até 6 meses.
Be compliance:
Fornecedor com maturidade elevada, sinais observáveis consistentes, exposição razoavelmente controlada e evidência suficiente para acompanhamento periódico. Recomendação típica: revisão anual ou conforme criticidade.
Estados de verificabilidade
Além da classificação de maturidade, cada fornecedor recebe um estado de verificabilidade: Verificado, Parcialmente verificável ou Não verificável. Isto permite documentar quando o fornecedor coopera, quando autoriza apenas parte das avaliações ou quando não fornece evidência suficiente.
Verificado:
Completou o diagnóstico e permitiu as avaliações definidas. Existe evidência suficiente para classificar com maior confiança.
Parcialmente verificável:
Completou o diagnóstico, mas não autorizou uma ou mais availações. Pode exigir evidência alternativa ou seguimento reforçado.
Não verificável:
Náo respondeu, náo autorizou avaliações ou não forneceu informação mínima. Deve ser tratado como limitação de evidência e escalado para risco, compiance ou decisão contratual.
Agendar uma avaliação de
fornecedores críticos
Preencha o formulário e indique o contexto da sua cadeia de fornecimento.
A nossa equipa analisa o pedido e entra em contacto para enquadrar o assessment de acordo com a criticidade dos fornecedores, o contexto NIS2 e necessidade de evidência.