Segurança da Informação em 2025: já não basta proteger os dados, é preciso provar que os protege

Date: Novembro 5, 2025 Author: Editor

 

Reguladores, clientes e auditores querem evidências: controlos implementados, riscos tratados, incidentes reportados e logs auditáveis.

 

O que mudou em 2025 (em 60 segundos)
  • DORA: o regulamento europeu para o setor financeiro passou a aplicar-se em 17 de janeiro de 2025 (ex.: bancos, seguradoras, gestoras, prestadores TIC críticos), exigindo registos, testes de resiliência e supervisão de terceiros.
  • CRA: o Cyber Resilience Act entrou em vigor a 10 de dezembro de 2024; a maior parte das obrigações aplica-se a partir de 11 de dezembro de 2027, com regras de reporte e outras disposições já a iniciarem em 11 de setembro de 2026.
  • NIS 2 em Portugal: após atrasos, a Assembleia da República aprovou em setembro de 2025 a transposição da diretiva (aguardando promulgação e publicação em Diário da República).
  • Tendência de risco: ataques via cadeia de fornecedores continuam a crescer e a ser porta de entrada para as grandes organizações.

 

“Provar” na prática: 10 evidências que um auditor vai pedir
  1. Inventário vivo de ativos (incluindo shadow IT e SaaS críticos) e classificação de informação.
  2. Gestão de vulnerabilidades e patches com SLA por criticidade + relatórios de tendência (backlog, tempo médio de correção).
  3. Logs de segurança centralizados (SIEM/EDR) com retenção definida e trilhas de auditoria.
  4. Gestão de acessos e identidades (IAM) com MFA universal, revogação por evento e revisões periódicas.
  5. Backups testados (restores trimestrais) com imobilização lógica (immutability) e isolamento.
  6. Avaliações de risco e planos de tratamento com owners, prazos e validação de eficácia.
  7. Due diligence de terceiros com evidência: relatórios de auditoria, certificações, cláusulas de segurança e planos de continuidade.
  8. Planos de resposta a incidentes testados e reporting NIS 2 preparado (24h/72h/1 mês).
  9. Formação contínua (phishing, engenharia social, proteção de dados) com métricas de participação e eficácia.
  10. Privacidade em IA: DPIA, minimização/anonimização e base legal clara para dados pessoais usados em modelos.

 

Erros que ainda vemos (e como corrigi-los)
  1. Políticas excelente papel, fraca operacionalização → transforme políticas em controlos verificáveis (checklists e owners por control).
  2. EDR/SIEM sem cobertura total → meça % de endpoints/serviços cobertos e trate desvios como incidentes de conformidade.
  3. Terceiros “críticos” sem contratos adequados → adicione requisitos de segurança, RTO/RPO, reporte de incidentes e direito de auditoria.
  4. Reporte de incidentes ad‑hoc → pré‑preencher “kits NIS 2”: modelo de “early warning” (24h), relatório de 72h e relatório final (1 mês). ENISA

 

Plano de 90 dias para elevar a prova de conformidade

0–30 dias: inventário e criticidade de ativos; mapa de fornecedores; gap‑analysis DORA/NIS 2/ISO 27001.

31–60 dias: fechar lacunas prioritárias (MFA universal, backups testados, cobertura EDR/SIEM ≥ 95%); definir SLAs de patching.

61–90 dias: simulação de auditoria; exercício de incidente com reporte NIS 2; dashboard de KPIs (tempo de correção, cobertura, testes).

 

Cursos Behaviour recomendados (Segurança da Informação)

A Behaviour desenvolve cursos que não só explicam as normas, como te preparam para aplicar, liderar e auditar com segurança:

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.