Nem todo fornecedor tem o mesmo risco. Classificar por criticidade ajuda a PME focar energia onde o impacto é maior.
Critérios da matriz
- Volume de dados tratados
- Sensibilidade dos dados
- Dependência operacional
- Histórico de incidentes
- Maturidade de segurança
Tiers sugeridos
- Tier 1 (crítico): dados sensíveis + operação essencial
- Tier 2 (relevante): dados pessoais com impacto moderado
- Tier 3 (baixo): baixo volume e baixo impacto
Plano de ação por tier
- Tier 1: revisão contratual trimestral + due diligence aprofundada
- Tier 2: revisão semestral + monitoramento de incidentes
- Tier 3: revisão anual + checklist básico
Interlink
Conclusão
Matriz de criticidade transforma gestão de terceiros em rotina previsível e orientada por risco.