A BXSEC 2025 reuniu especialistas e lideranças para discutir medidas práticas de fortalecimento da segurança corporativa. Entre os destaques, Ricardo Logan, fundador da Talion Security, participou de um painel dedicado a estratégias para elevar a maturidade de segurança dos parceiros de serviço. O executivo trouxe uma leitura objetiva do cenário brasileiro: empresas investem em controles internos robustos, mas continuam expostas quando trocam dados com fornecedores que não possuem o mesmo nível de proteção. O alerta central foi direto: o risco mais recorrente hoje decorre de vazamento de informação através da cadeia de terceiros.
Quem é o palestrante e por que a visão importa
Com histórico de atuação em instituição financeira por sete anos, Logan agora lidera iniciativas de segurança ofensiva empreendendo com a Talion Security. A experiência molda um ponto de vista pragmático: para mensurar riscos de forma efetiva, não basta checklist; é necessário testar como um adversário real operaria. Nesse contexto, políticas e planilhas são consideradas um baseline, mas a validação de blindagens precisa incluir pen-test orientado a cenários de exfiltração de dados em ambiente controlado e com governança.
O foco do painel: maturidade medida por testes de ataque
O painel na BXSEC 2025 trouxe exemplos do cotidiano: vazamentos que partem de fornecedores com controles frágeis, mesmo quando a contratante investe pesado em proteção de endpoints e infraestrutura. A proposta discutida foi estruturar um ciclo que combine:
- Mapeamento dos parceiros de serviço que manipulam dados sensíveis
- Políticas contratuais que autorizem pen-test e auditorias periódicas
- Due diligence operacional para comprovar a eficácia de controles
- Testes ofensivos com simulação de insider para demonstrar impactos de negócio em caso de vazamento de informação
Essa abordagem cria evidências objetivas para o board, facilitando decisões de investimento e priorização de correções. Em outras palavras, o risco deixa de ser abstrato quando se mostra como um atacante poderia acessar documentos de projeto ou contratos e exfiltrá-los para um cofre seguro de testes.
Contratos e governança: onde o jurídico encontra a segurança
Outro ponto realçado por Logan foi a necessidade de o time jurídico alinhar-se com a área técnica para viabilizar cláusulas que permitam pen-test nos terceiros. Essa negociação costuma ser desafiadora, mas é fundamental para que a segurança ofensiva tenha liberdade de simular um ataque real, dentro de limites éticos e legais. O contrato torna-se, assim, um habilitador da governança: define escopo, frequências, salvaguardas e planos de remediação. Sem esse respaldo, avaliações ficam restritas a checklists e questionários, medidas úteis, mas insuficientes para capturar fraquezas exploráveis em produção.
Quais vulnerabilidades aparecem com mais frequência
Embora falhas técnicas ainda chamem atenção, o vetor que mais compromete negócios é o vazamento de informação por parte de parceiros. Isso inclui exposição de documentos confidenciais, acesso indevido a repositórios compartilhados e deficiências em segmentação e controle de identidade. A mensagem-chave do painel: a maturidade de segurança de uma cadeia só é tão forte quanto seu elo mais fraco. Logo, a prioridade é elevar o patamar mínimo exigido para cada fornecedor que manipula dados da organização.
Recomendações práticas para executivos de tecnologia
Para executivos de tecnologia que ainda não formalizaram políticas de avaliação de terceiros, o caminho sugerido envolve:
- Estabelecer inventário de parceiros de serviço com classificação de criticidade
- Incluir due diligence e pen-test em contrato, prevendo janela de testes e triagem segura de evidências
- Exigir plano de resposta a incidentes compartilhado com o fornecedor
- Mensurar a maturidade de segurança com indicadores objetivos (tempo de correção, cobertura de controles, testes recorrentes)
- Validar periodicamente se a proteção acompanha a evolução do ambiente e do negócio
Essas medidas reduzem a superfície de ataque e elevam a confiança na troca de informações sensíveis, mitigando o impacto de eventuais falhas.
Comunidade e talento: por que a presença executiva importa
A BXSEC 2025 também destacou a importância de espaços que aproximam profissionais técnicos e gestores. Trilhas gerenciais permitem que lideranças entendam como a comunidade está endereçando desafios práticos, além de servirem como vitrine para novos talentos. Compartilhar experiências, inclusive lições aprendidas em incidentes, fortalece a cultura de colaboração e acelera a adoção de boas práticas no ecossistema.
A cobertura do painel conduzido por Ricardo Logan, da Talion Security, na BXSEC 2025, reforça uma prioridade inequívoca: organizar a governança de terceiros com base em evidências técnicas, privilegiando segurança ofensiva aplicada, pen-test realista e due diligence contínua. Em um cenário em que o vazamento de informação segue como ameaça predominante, o alinhamento entre jurídico, segurança e negócios é decisivo para transformar controle em resultado, elevando a maturidade de segurança e protegendo a reputação das marcas.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
