O problema est\u00e1 no fato de que quase todos os clientes confiam<\/strong> em seus fornecedores para responder com precis\u00e3o a essas perguntas; muitas vezes porque n\u00e3o t\u00eam outra op\u00e7\u00e3o. Uma abordagem mais madura na realidade cibern\u00e9tica de hoje \u00e9 a verifica\u00e7\u00e3o<\/strong>.<\/p>\n Em termos corporativos, isso \u00e9 chamado de confian\u00e7a na cadeia de suprimentos, e tentar resolver esse quebra-cabe\u00e7a por conta pr\u00f3pria \u00e9 uma grande dor de cabe\u00e7a. Voc\u00ea precisa da ajuda de fornecedores. Um fornecedor respons\u00e1vel est\u00e1 pronto para mostrar o que h\u00e1 por tr\u00e1s de suas solu\u00e7\u00f5es, abrir o c\u00f3digo-fonte para a an\u00e1lise de parceiros e clientes e, em geral, conquistar a confian\u00e7a n\u00e3o com belos slides, mas com etapas s\u00f3lidas e pr\u00e1ticas.<\/p>\n Ent\u00e3o, quem j\u00e1 est\u00e1 fazendo isso e quem ainda est\u00e1 preso ao passado? Um estudo recente e detalhado<\/a> de nossos colegas na Europa tem a resposta. Conduzido pelo respeitado laborat\u00f3rio de testes AV-Comparatives, pela C\u00e2mara de Com\u00e9rcio do Tirol (WKO<\/a>), pela MCI Entrepreneurial School e pelo escrit\u00f3rio de advocacia Studio Legale Tremolada.<\/p>\n A principal conclus\u00e3o do estudo \u00e9 que a era das \u201ccaixas-pretas\u201d na ciberseguran\u00e7a chegou ao fim. Descanse em paz. Am\u00e9m. O futuro pertence \u00e0queles que n\u00e3o escondem seu c\u00f3digo-fonte e relat\u00f3rios de vulnerabilidades, e que oferecem aos clientes a m\u00e1xima liberdade de escolha na configura\u00e7\u00e3o de seus produtos. E o relat\u00f3rio indica claramente quem n\u00e3o apenas promete, mas de fato cumpre. Adivinhe quem!<\/p>\n Excelente palpite! Sim, somos n\u00f3s!<\/p>\n Oferecemos aos nossos clientes algo que, infelizmente, ainda \u00e9 uma esp\u00e9cie rara e em extin\u00e7\u00e3o no setor: centros de transpar\u00eancia, revis\u00f5es do c\u00f3digo-fonte de nossos produtos, uma lista detalhada de materiais de software (SBOM<\/a>) e a capacidade de verificar o hist\u00f3rico de atualiza\u00e7\u00f5es e controlar as implementa\u00e7\u00f5es. E, claro, oferecemos tudo o que j\u00e1 se tornou padr\u00e3o no setor. Voc\u00ea pode consultar todos os detalhes no relat\u00f3rio completo de \u201cTranspar\u00eancia e Responsabilidade em Ciberseguran\u00e7a\u201d (TRACS)<\/a> ou em nosso resumo. A seguir, abordaremos alguns dos trechos mais interessantes.<\/p>\n A TRACS analisou 14 fornecedores populares e seus produtos de EPP\/EDR, desde Bitdefender e CrowdStrike at\u00e9\u00a0Kaspersky Next EDR Optimum<\/a> e WithSecure. O objetivo foi identificar quais fornecedores n\u00e3o apenas dizem \u201cconfie em n\u00f3s\u201d, mas realmente permitem que voc\u00ea verifique tudo o que prometem. O estudo abrangeu 60 crit\u00e9rios: da conformidade com o GDPR<\/a> (Regulamento Geral de Prote\u00e7\u00e3o de Dados; afinal, trata-se de um estudo europeu) e auditorias de ISO 27001 \u00e0 capacidade de processar toda a telemetria localmente e acessar o c\u00f3digo-fonte de um produto. Mas os autores decidiram n\u00e3o atribuir pontos para cada categoria nem formar uma \u00fanica classifica\u00e7\u00e3o geral.<\/p>\n Por qu\u00ea? Porque todos t\u00eam modelos de amea\u00e7as e riscos diferentes. O que \u00e9 um recurso para um, pode ser um bug e um desastre para outro. Instale atualiza\u00e7\u00f5es de forma r\u00e1pida e totalmente autom\u00e1tica. Para uma pequena empresa ou uma rede varejista com milhares de pequenas filiais independentes, isso \u00e9 uma b\u00ean\u00e7\u00e3o: simplesmente n\u00e3o haveria equipe de TI suficiente para gerenciar tudo isso manualmente. Mas, em uma f\u00e1brica onde um computador controla a esteira de produ\u00e7\u00e3o, isso seria totalmente inaceit\u00e1vel. Uma atualiza\u00e7\u00e3o defeituosa pode paralisar completamente uma linha de produ\u00e7\u00e3o, um impacto nos neg\u00f3cios que pode ser fatal (ou, no m\u00ednimo, pior do que o recente ataque cibern\u00e9tico \u00e0 Jaguar Land Rover<\/a>). Nesse cen\u00e1rio, cada atualiza\u00e7\u00e3o precisa ser testada antes de entrar em opera\u00e7\u00e3o. Com a telemetria, a hist\u00f3ria \u00e9 a mesma. Uma ag\u00eancia de rela\u00e7\u00f5es p\u00fablicas envia dados dos seus computadores para a nuvem do fornecedor para participar da detec\u00e7\u00e3o de amea\u00e7as cibern\u00e9ticas e receber prote\u00e7\u00e3o de forma imediata. Perfeito. Mas e uma empresa que processa registros m\u00e9dicos de pacientes ou projetos t\u00e9cnicos altamente confidenciais em seus computadores? Nesse caso, as configura\u00e7\u00f5es de telemetria precisariam ser cuidadosamente reavaliadas.<\/p>\n O ideal \u00e9 que cada empresa atribua \u201cpesos\u201d a cada crit\u00e9rio e calcule sua pr\u00f3pria \u201cnota de compatibilidade\u201d com os fornecedores de EDR\/EPP. Mas uma coisa \u00e9 \u00f3bvia: quem oferece op\u00e7\u00f5es aos clientes, sai na frente.<\/p>\n Veja, por exemplo, a an\u00e1lise de reputa\u00e7\u00e3o de arquivos suspeitos. Ela pode funcionar de duas formas: por meio da nuvem compartilhada do fornecedor ou de uma micronuvem privada dentro de uma \u00fanica organiza\u00e7\u00e3o. Al\u00e9m disso, h\u00e1 a op\u00e7\u00e3o de desativar totalmente essa an\u00e1lise e trabalhar de forma completamente off-line. Pouqu\u00edssimos fornecedores oferecem aos clientes essas tr\u00eas op\u00e7\u00f5es. Por exemplo, a an\u00e1lise de reputa\u00e7\u00e3o no local est\u00e1 dispon\u00edvel em apenas oito fornecedores avaliados no teste. Nem \u00e9 preciso dizer que somos um deles.<\/p>\n Em todas as categorias avaliadas no teste, a situa\u00e7\u00e3o \u00e9 praticamente a mesma observada no servi\u00e7o de reputa\u00e7\u00e3o. Analisando cuidadosamente as 45 p\u00e1ginas do relat\u00f3rio: constatamos que estamos \u00e0 frente de nossos concorrentes ou entre os l\u00edderes. E podemos afirmar com orgulho que, em cerca de um ter\u00e7o das categorias comparativas, oferecemos capacidades significativamente superiores \u00e0s da maioria dos nossos pares. Veja voc\u00ea mesmo:<\/p>\n Visitar um centro de transpar\u00eancia e revisar o c\u00f3digo-fonte? Verificar se os bin\u00e1rios do produto s\u00e3o realmente criados a partir desse c\u00f3digo-fonte? Apenas tr\u00eas fornecedores avaliados no teste oferecem isso. E, no caso de um deles, essas op\u00e7\u00f5es s\u00f3 est\u00e3o dispon\u00edveis para clientes governamentais. Nossos centros de transpar\u00eancia s\u00e3o os mais numerosos e geograficamente distribu\u00eddos do mercado, e oferecem aos clientes a mais ampla variedade de op\u00e7\u00f5es.<\/p>\n A inaugura\u00e7\u00e3o do nosso primeiro centro de transpar\u00eancia em 2018<\/p><\/div>\n Baixar atualiza\u00e7\u00f5es do banco de dados e verific\u00e1-las novamente? Apenas seis fornecedores (incluindo n\u00f3s) oferecem isso.<\/p>\n Configurar a implementa\u00e7\u00e3o de atualiza\u00e7\u00f5es em m\u00faltiplas etapas? N\u00e3o \u00e9 exatamente algo raro, mas tamb\u00e9m est\u00e1 longe de ser comum, apenas sete fornecedores, al\u00e9m de n\u00f3s, oferecem esse recurso.<\/p>\n Ter acesso aos resultados de uma auditoria de seguran\u00e7a externa da empresa? Apenas n\u00f3s e outros seis fornecedores est\u00e3o preparados para compartilhar isso com os clientes.<\/p>\n Desmembrar a cadeia de suprimentos em elos individuais por meio de um SBOM? Isso tamb\u00e9m \u00e9 raro: apenas tr\u00eas fornecedores permitem solicitar um SBOM. E um deles \u00e9 aquela empresa de cor verde que, por coincid\u00eancia nada aleat\u00f3ria, leva o meu nome.<\/p>\n \u00c9 claro que h\u00e1 categorias em que todos se saem bem: todos foram aprovados em auditorias ISO\/IEC 27001, est\u00e3o em conformidade com o GDPR, seguem pr\u00e1ticas de desenvolvimento seguro e aceitam relat\u00f3rios de vulnerabilidades.<\/p>\n Por fim, h\u00e1 ainda a quest\u00e3o dos indicadores t\u00e9cnicos. Todos os produtos que funcionam on-line enviam determinados dados t\u00e9cnicos sobre os computadores protegidos, al\u00e9m de informa\u00e7\u00f5es relacionadas a arquivos infectados. Para muitas empresas, isso n\u00e3o \u00e9 um problema, pelo contr\u00e1rio, elas ficam satisfeitas por melhorar a efic\u00e1cia da prote\u00e7\u00e3o. Mas, para organiza\u00e7\u00f5es que est\u00e3o realmente focadas em minimizar o fluxo de dados, a AV-Comparatives tamb\u00e9m mede isso; e por acaso, somos o fornecedor que coleta o menor volume de telemetria em compara\u00e7\u00e3o com os demais.<\/p>\n Gra\u00e7as aos especialistas austr\u00edacos, os CISOs e suas equipes agora t\u00eam uma tarefa muito mais simples ao verificar seus fornecedores de seguran\u00e7a. E n\u00e3o apenas os 14 que foram testados. A mesma estrutura pode ser aplicada a outros fornecedores de solu\u00e7\u00f5es de seguran\u00e7a e a softwares em geral. Mas tamb\u00e9m h\u00e1 conclus\u00f5es estrat\u00e9gicas.<\/p>\n A transpar\u00eancia facilita o gerenciamento de riscos<\/strong>. Se voc\u00ea \u00e9 respons\u00e1vel por manter um neg\u00f3cio em opera\u00e7\u00e3o, n\u00e3o vai querer ficar na d\u00favida se sua ferramenta de prote\u00e7\u00e3o se tornar\u00e1 seu ponto fraco. Voc\u00ea precisa de previsibilidade e responsabilidade. O estudo da WKO e da AV-Comparatives confirma que o nosso modelo reduz esses riscos e os torna gerenci\u00e1veis.<\/p>\n Evid\u00eancias no lugar de slogans<\/strong>. Nesse mercado, n\u00e3o basta simplesmente escrever \u201csomos seguros\u201d no seu site. \u00c9 preciso ter mecanismos de auditoria. O cliente precisa ter a possibilidade de verificar tudo por conta pr\u00f3pria. N\u00f3s fornecemos isso. Os outros ainda est\u00e3o se adaptando.<\/p>\nCrit\u00e9rios claros, sem misturar conceitos<\/h2>\n
Elevando o padr\u00e3o<\/h2>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/01\/21091325\/transparency-independent-study-center.jpg\"){kind=spacer}
Conclus\u00f5es pr\u00e1ticas<\/h2>\n