A pergunta que pode comprometer qualquer plano de continuidade:

Plano_Continuidade_Negócio_Instagram

 

E se a tua equipa principal não estiver disponível?

Na maioria dos planos de continuidade ou recuperação, há um erro silencioso, mas crítico: assume-se que as pessoas certas estarão disponíveis no momento certo.

Mas… e se não estiverem?

  • E se não for possível contactar o gestor de IT?
  • E se a responsável de RH estiver de férias?
  • E se a equipa de gestão de crise estiver indisponível por ter sido impactada pelo mesmo incidente?

 É aqui que muitos planos falham — antes mesmo de serem testados.

 

“A ilusão de ter a pessoa certa no papel certo, à hora certa”

 Documentos lindos. Organogramas claros. Lista de contactos de emergência disponível e atualizada.
Tudo parece sólido… até que o inesperado acontece.

A realidade é esta:

  • As pessoas adoecem.
  • As pessoas entram em pânico.
  • As pessoas ficam sem acesso digital.
  • As pessoas… são humanas, pelo que, também falham..

 Planos que não consideram a ausência dos seus protagonistas são estruturalmente frágeis.

 

O verdadeiro teste de maturidade

A continuidade de negócio não depende apenas da existência de planos.
Depende da capacidade de responder a perguntas como:

  • “Quem substitui quem, em cada função crítica?”
  • “Como são tomadas decisões críticas na ausência da liderança habitual?”
  • “O que está automatizado e o que depende exclusivamente de uma pessoa?”
  • “Quais são os pontos únicos de falha humana?”

Organizações maduras planeiam a ausência das pessoas críticase testam, com rigor, a capacidade de resposta da equipa.

 

Casos reais de falha no planeamento da continuidade

Caso 1 – Empresa de serviços financeiros
Um incêndio obrigou à evacuação da sede da empresa.
O gestor da continuidade encontrava-se em viagem internacional, sem acesso à rede.
Resultado: três horas perdidas até alguém assumir liderança.

Caso 2 – Fábrica industrial
Um ataque de ransomware paralisou os sistemas.
As credenciais do administrador encontravam-se num cofre digital…
acessível apenas por duas pessoas — ambas afetadas pelo ataque.

Caso 3 – Empresa de software
A empresa realizou uma simulação bem-sucedida com os membros da equipa.
Numa sexta-feira à noite, durante um incidente real, a equipa encontrava-se incompleta.
Este facto impossibilitou a tomada de decisões adequadas e levou a falhas na coordenação.
Resultado: disrupção na operação.

 

Preparar equipas — não apenas planos 

  1. Criar redundâncias para as funções críticas
    • Não basta nomear substitutos designados: é necessário treiná-los em contexto prático.
  2. Garantir o acesso partilhado a recursos e credenciais
    • Utilizar cofres digitais partilhados, mecanismos de acesso de emergência e sistemas de contingência.
  3. Testar cenários que considerem a ausência de protagonistas
    • Durante os exercícios, simular a ausência de decisores-chave e observar a resposta da equipa.
  4. Mapear pontos de falha humana
    • Identificar situações em que tudo depende de uma só pessoa — e mitigar esse risco.
  5. Desenvolver competências interpessoais sob pressão
    • Liderança, comunicação e tomada de decisão treinam-se antes da crise — não durante.

 

O que distingue os planos que realmente funcionam? 

  • São exercitados e testados com realismo e sob pressão.
  • Antecipam a indisponibilidade de pessoas-chave.
  • Privilegiam a capacitação transversal, e não apenas a dependência hierárquica.
  • Têm backups funcionais de liderança, acesso e decisão.

 

 

? Queres planos que realmente funcionem?

Na Behaviour, os nossos cursos vão além da teoria — preparam profissionais e equipas para responder com confiança, mesmo nos piores cenários:

 

 

 A continuidade real exige responder ao imprevisível
“Esperar o inesperado” não é um cliché — é o princípio da resiliência.

Porque, nos momentos críticos, não é apenas um plano que salva a organização:
são as pessoas preparadas, disponíveis… e substituíveis.

A pergunta certa nunca foi: “Temos plano de continuidade?”
A pergunta certa é: “Se tu não estiveres lá… tudo continua a funcionar?”

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

União Europeia acelera regulação da Inteligência Artificial

Uniao_Europeia_Inteligencia_Artificial_Behaviour_Instagram

 

E os profissionais qualificados tornam-se peça central na nova economia digital

Num contexto de crescimento acelerado do investimento global em cibersegurança — que deverá atingir os 213 mil milhões de dólares em 2025, segundo previsões da IDC — a União Europeia está a consolidar o seu enquadramento regulatório para garantir que a Inteligência Artificial evolui com segurança, responsabilidade e transparência.

O novo AI Act (Regulamento 2024/1689) coloca a Europa na vanguarda da governação ética da IA — e estabelece obrigações concretas para organizações públicas e privadas em toda a cadeia de valor.

Este cenário traz uma nova urgência: a necessidade de profissionais qualificados que compreendam não apenas o potencial da IA, mas também as suas implicações legais, operacionais e éticas.

 

O que está em causa com o AI Act?

O AI Act é o primeiro regulamento horizontal da União Europeia sobre Inteligência Artificial.
Os seus principais objetivos incluem:

  • Proibir sistemas de IA inaceitáveis (ex: scoring social, manipulação comportamental)
  • Regular sistemas de alto risco (ex: IA aplicada à saúde, transportes, finanças, educação ou justiça)
  • Exigir avaliação, transparência e controlo sobre sistemas integrados em produtos ou serviços críticos
  • Atribuir responsabilidades claras a fornecedores, importadores, distribuidores e utilizadores
  • Criar um novo mercado para auditores, avaliadores de conformidade e responsáveis pela governação de IA

 O AI Act entra em vigor de forma faseada — mas as empresas precisam de começar a preparar-se já.

 

O investimento global cresce — e a exposição também

 Com o mundo a investir cada vez mais em cibersegurança, cloud e automação inteligente, a Europa dá um passo decisivo ao exigir que as soluções de IA sejam passíveis de auditoria, explicáveis e alinhadas com valores democráticos.

As organizações vão precisar de:

  • Implementadores e auditores qualificados em IA
  • Gestores de risco e conformidade capazes de aplicar o AI Act
  • Equipas com literacia digital, jurídica, técnica e ética em IA

 

Como a Behaviour está a preparar os profissionais do futuro

A Behaviour é pioneira em Portugal na criação de um programa de formação estruturado em Inteligência Artificial com base em normas internacionais e legislação europeia.

Todos os cursos são práticos, orientados à aplicação profissional e atualizados com o AI Act, ISO/IEC 42001 e os princípios da governação responsável da IA.

 

Cursos disponíveis:
  • AI Act – Foundation
    Curso introdutório sobre o Regulamento Europeu da IA (2024/1689)
    Para profissionais de IT, compliance, jurídico, segurança ou gestão que precisem de compreender o impacto do novo regulamento europeu.
  • ISO/IEC 42001 – Foundation
    Primeiro curso em Portugal sobre a norma ISO/IEC 42001 – Sistemas de Gestão da Inteligência Artificial
    Aborda requisitos técnicos, princípios éticos, controlos organizacionais e estrutura de governação.
  • ISO/IEC 42001 – Lead Implementer
    Curso avançado e prático para quem vai liderar a implementação da norma ISO/IEC 42001 numa organização.
    Inclui gestão de risco, ética aplicada, governação, controlos técnicos e planos de resposta.
  • ISO/IEC 42001 – Lead Auditor
    Preparação completa para conduzir auditorias a sistemas de gestão de IA com base na ISO/IEC 42001.
    Inclui técnicas de auditoria, análise de evidência, simulações e ligação prática com o AI Act.

 

Para quem são estes cursos?
  • Profissionais de IT, segurança da informação e gestão de risco
  • Juristas e compliance officers
  • Consultores e implementadores de sistemas de IA
  • Auditores de sistemas, qualidade, ESG e cibersegurança
  • Gestores de inovação, transformação digital e ética organizacional

 

A Inteligência Artificial já está nas organizações.
Agora, tem de estar também nas mãos de quem a sabe governar, implementar e auditar com responsabilidade.

Com a Behaviour, os profissionais preparam-se com conhecimento técnico, visão estratégica e ligação direta às exigências da União Europeia.
Porque o futuro da IA não é apenas uma questão de inovação — é uma questão de confiança.

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Segurança da Informação ISO/IEC 27001 com a Behaviour

Seguranca_Informacao_com_Behaviour_Linkedin

 

Muito mais do que uma formação — é preparação real para quem quer liderar na segurança da informação

 

A norma ISO/IEC 27001:2022 é hoje a referência global para quem quer proteger ativos, gerir riscos e construir confiança nos sistemas de informação.
Mas aprender a norma não basta.

É preciso saber aplicá-la, auditá-la, atualizá-la — e fazê-lo com método, confiança e resultados.

Na Behaviour, acreditamos que a formação só faz sentido se transformar conhecimento em prática.
É por isso que cada curso ISO/IEC 27001 que disponibilizamos vai além da teoria — e prepara-te para agir no mundo real.

 

Quais são os cursos disponíveis?

 1. ISO/IEC 27001 Foundation

Ideal para quem quer compreender os princípios da norma — mesmo sem experiência prévia.

  • Conceitos fundamentais de SGSI
  • Estrutura e cláusulas da ISO 27001:2022
  • Introdução ao Anexo A e ligação com a ISO/IEC 27002:2022
  • Enquadramento com requisitos legais e melhores práticas
  • Documentação de apoio criada com os formandos para aplicação imediata

Recomendado para equipas técnicas, operacionais ou decisores que precisam de dominar a base de forma clara e aplicada.

 

2. ISO/IEC 27001 / ISO/IEC 27002:2022 Transition

Formação intensiva e orientada para quem já conhece as versões anteriores e/ou é certificado Behaviour na edição 2013 e precisa de adaptar o SGSI às exigências da nova edição ou realizar a transição da sua certificação Lead Implementer ou Lead Auditor para a nova edição.

  • Alterações nas cláusulas normativas e na estrutura do Anexo A
  • Nova categorização dos controlos: organizacionais, pessoas, físicos, tecnológicos
  • Atributos da ISO/IEC 27002:2022 e visão por tópicos
  • Impacto prático na auditoria e na implementação
  • Checklist de transição + matriz de impacto adaptável a cada organização

 Ideal para consultores, auditores, gestores de segurança ou compliance officers com sistemas ativos.

 

3. ISO/IEC 27001 Lead Auditor

Formação avançada e certificada para quem quer auditar com excelência, liderar equipas e contribuir para a melhoria contínua do SGSI.

  • Técnicas de auditoria segundo a ISO 19011:2018
  • Planeamento, execução, conclusão e follow-up de auditorias internas e externas
  • Análise de evidência, entrevistas, não conformidades e ações corretivas
  • Ligação com normas, regulamentos e frameworks (NIS 2, DORA, NIST CSF)
  • Criação de documentos de auditoria reais durante o curso (planos, checklists, registos de constatações e relatórios)

Recomendado para profissionais com ou sem experiência que querem preparar-se para/ou atuar como auditores líderes com domínio técnico e visão estratégica.

 

4. ISO/IEC 27001 Lead Implementer

Curso completo e intensivo para quem quer implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI) em conformidade com a ISO/IEC 27001:2022.

  • Interpretação prática de todos os requisitos normativos
  • Aplicação real dos controlos do Anexo A (com base na ISO/IEC 27002:2022)
  • Integração com a gestão do risco, continuidade, privacidade e cultura organizacional
  • Elaboração de políticas, planos, registos e procedimentos com base em casos práticos
  • Todos os documentos essenciais para um SGSI funcional são construídos em aula com os participantes

Indicado para quem assume ou pretende assumir a liderança da implementação do SGSI — técnicos, gestores, consultores, CISO ou responsáveis de compliance.

 

Cursos práticos, com resultados concretos

Todos os cursos ISO da Behaviour têm uma abordagem 100% prática e aplicada:

  • Exercícios reais com base em casos de estudo e simulações
  • Resolução de problemas concretos enfrentados pelas organizações
  • Documentação criada em aula para utilização imediata no trabalho
  • Formadores com experiência em real — não apenas na teoria
  • Apoio contínuo durante e após a formação

Os formandos saem com documentos e templates prontos a adaptar — úteis para auditorias internas ou para projetos reais de consultoria.

 

O que ganhas com a Behaviour 

  • Rigor técnico atualizado
    Formações 100% alinhadas com as versões 2022 da ISO/IEC 27001 e 27002, com ligação direta aos regulamentos mais exigentes (NIS 2, DORA, CRA, RGPD).
  • Metodologia Mastering Best Practices
    Não ensinamos apenas a norma. Ensinamos como a transformar em prática real e eficaz, com ligação à realidade das equipas, dos processos e dos riscos.
  • Certificação profissional com progressão clara
    Todas as formações incluem certificações Behaviour emitidas em conformidade com a norma internacional ISO/IEC 17024 e posicionamento por níveis (Foundation, Transition, Lead Auditor, Lead Implementer) — garantindo reconhecimento internacional e alinhamento com os requisitos exigidos para a certificação de pessoas.

 

Para quem são os cursos?

  • Técnicos e gestores de segurança da informação
  • Consultores e auditores internos/externos
  • Profissionais de IT, risco e compliance
  • Responsáveis por SGSI ou pela preparação para auditorias
  • Equipas que querem estruturar, rever ou melhorar o seu sistema

 

Formação e Certificação que serve para hoje — e para amanhã

A norma está aí. Os riscos também.
O que muda é a qualidade da tua preparação.

Na Behaviour, os cursos não servem apenas para aprender — servem para saber fazer.

Os profissionais certificados Behaviour são submetidos a um processo de avaliação exigente, incluindo um exame de avaliação desafiante e um rigoroso processo de escrutínio da sua experiência e capacidades profissionais (para as certificações aplicáveis conforme os requisitos da ISO/IEC 17024).

Com a Behaviour, não levas só um certificado.
Levas capacidade real, documentos prontos a aplicar, a confiança de quem sabe o que está a fazer, e uma certificação que valida competências — não só conhecimento.

 

Ligações rápidas

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Curso CRISC – Torna-te líder na gestão de risco e controlo de sistemas de informação

Curso_CRISC

 

Formação intensiva e imersiva para quem quer gerir risco com clareza, controlo e visão

A certificação CRISC é hoje uma referência internacional para profissionais que gerem risco em sistemas de informação e que têm um papel ativo nas decisões estratégicas de governação e controlo.

Na Behaviour, a preparação para o exame CRISC vai além do conteúdo.

Com a Behaviour, vais dominar os quatro domínios do CRISC com segurança, estrutura e aplicação real.

 

O que vais aprender

Ao longo do curso CRISC da Behaviour, vais aprofundar os quatro grandes domínios do programa de certificação:

1. Governança de Riscos Empresariais
– Integração do risco na estratégia, cultura organizacional e tomada de decisão.

2. Avaliação de Risco de TI
– Identificação, análise e avaliação de riscos relacionados com sistemas de informação.

3. Resposta ao Risco e Mitigação
– Planeamento e implementação de respostas eficazes, alinhadas com os objetivos do negócio.

4. Monitorização, Relato e Controlo
– Supervisão contínua, métricas de eficácia e comunicação com as partes interessadas.

Todos os tópicos são abordados com exemplos reais, exercícios de simulação para preparação para o exame, mapas de apoio visual e simulações de exame.

 

Com a Behaviour vais… 

  • Estudar com método, não com pressão
    A formação está organizada por blocos lógicos, com explicações claras, resumos visuais e perguntas de revisão no final de cada domínio.
  • Praticar com quem sabe
    Formadores experientes, certificados, e com conhecimento profundo dos conceitos e da realidade de quem trabalha com o risco e controlos em IT.
  • Preparar-te para o exame com confiança
    Incluímos exercícios e exame de simulação, técnicas para gerir o tempo no exame e dicas para estimular o raciocínio aplicado ao estilo das perguntas.
  • Tens acesso a um conjunto de materiais de estudo realmente úteis
    Acedes a um conjunto de documentos de apoio (diagramas, quadros comparativos, glossários, exemplos de frameworks, e dicas para acesso a recursos adicionais de valor) que podes reutilizar no trabalho diário.

 

Quem deve frequentar o curso CRISC?

  • Gestores de risco
  • Responsáveis de IT e segurança da informação
  • Consultores e auditores de sistemas de informação
  • Profissionais que integram equipas de compliance, governação ou continuidade
  • Candidatos à certificação internacional CRISC que procuram uma preparação sólida e prática

 

Benefícios concretos da formação

  • Domínio completo do conteúdo exigido no exame
  • Capacidade real para aplicar frameworks de gestão de risco
  • Preparação para atuar em contextos complexos, com múltiplos stakeholders
  • Reconhecimento profissional num dos perfis mais procurados do mercado

 

Organização e apoio

O curso é intensivo, com carga horária otimizada para acelerar a preparação sem perder profundidade.
Inclui momentos de avaliação individual, sessões de esclarecimento de dúvidas e acesso a apoio após o curso, caso precises de reforçar a tua preparação até ao exame.

 

Pronto para evoluir na gestão do risco?

Com a Behaviour, ganhas mais do que preparação para o exame — ganhas a confiança agir com segurança.
Ganhas estrutura, clareza e capacidade para tomar decisões que realmente protegem o negócio.

? Garante já o teu lugar e prepara-te com quem leva a certificação a sério.

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Gestão de Risco com Método

Gestao_Risco_Metodo

 

Cursos práticos para profissionais que querem fazer da gestão do risco uma vantagem competitiva — dominando-a com método, visão e impacto.

 

Num mundo onde a incerteza é permanente, a gestão de risco já não é opcional — é essencial.
Deixou de ser uma função de bastidores para se tornar uma capacidade central nas organizações: protege ativos, assegura conformidade e apoia decisões com visão.

Na Behaviour, a gestão do risco é ensinado com método, com ferramentas e com aplicação prática real.
Porque um risco não se “analisa por alto”. Avalia-se com técnica, decide-se com base em critérios sólidos e comunica-se com clareza.

 

Dois cursos, dois focos distintos — mas complementares

 

1. ISO/IEC 27005 – Risk Methodologies

Aprende a gerir riscos de segurança da informação com técnica, método e ligação direta à ISO/IEC 27001.

  • Identificação, análise, avaliação e tratamento de riscos TIC
  • Métodos qualitativos, quantitativos e híbridos
  • Integração com o ciclo de vida do SGSI
  • Casos práticos de análise e documentação de risco em contexto real
  • Alinhamento com controlos da ISO/IEC 27002:2022
  • Ferramentas e templates incluídos para uso imediato em auditorias ou projetos

Ideal para profissionais de IT, cibersegurança, SGSI, auditores ou consultores que trabalham com sistemas de gestão da segurança da informação.

 

2. ISO 31000 Lead Manager – Risk Management

Torna-te especialista na liderança da gestão do risco organizacional — com base na ISO 31000 e aplicação prática real.

  • Princípios, estrutura e processo de gestão de risco
  • Integração com a governação e a tomada de decisão estratégica
  • Criação de políticas, registos, critérios e planos de ação
  • Exercícios práticos com mapas de risco, scoring, apetite e planos de tratamento
  • Aplicação em diferentes áreas: compliance, continuidade, projetos, cadeia de fornecimento
  • Documentação construída com os formandos e pronta a adaptar a qualquer setor

Indicado para gestores de risco, compliance officers, decisores estratégicos e consultores que trabalham em ambientes complexos ou regulados.

 

Cursos práticos com impacto direto no trabalho

Ambos os cursos da Behaviour são baseados em aplicação prática e não em teoria abstrata.

  • Simulações realistas
  • Modelos de scoring e matrizes de risco construídos em aula
  • Casos de estudo com documentação real
  • Exercícios com resposta individual e em grupo
  • Produção de registos, políticas e planos utilizáveis no terreno

Os formandos levam consigo ferramentas e documentos úteis, prontos a adaptar ao seu contexto profissional.

 

O que torna a nossa abordagem única?

Alinhamento com normas e outras boas práticas internacionais, focado na realidade
Não nos limitamos a explicar as cláusulas. Mostramos como tomar decisões em contextos reais, com base nas normas ISO, mas também nas melhores práticas adotadas por empresas líderes.

Formação orientada à ação
Todos os exercícios e simulações estão desenhados para que o formando aplique imediatamente o que aprendeu na sua organização — com exemplos, modelos e análise crítica de riscos reais.

Certificação Behaviour com impacto na capacitação profissional
Os cursos integram certificações Behaviour emitidas em conformidade com a norma internacional ISO/IEC 17024 — garantindo reconhecimento internacional e alinhamento com os requisitos exigidos para a certificação de pessoas.

 

Curso Foco Certificação
ISO/IEC 27005 Risk Methodologies         Riscos de segurança da informação Certified Risk Management 27005 Manager
ISO 31000 Lead Manager Risco organizacional e estratégico Certified Risk Management 31000 Lead Manager

 

Para quem se destina estes cursos?

  • Profissionais de IT, segurança da informação e SGSI
  • Gestores de risco, continuidade e conformidade
  • Diretores de operações e decisão estratégica
  • Auditores e consultores
  • Profissionais em setores regulados ou críticos (banca, saúde, energia, tecnologia, administração pública, etc.)

 

 

Gerir risco é gerir a incerteza e decidir com método

Os riscos não se materializam e impactam apenas os outros.
Os riscos não se evitam com sorte.
Evitam-se com visão, técnica e preparação.

Na Behaviour, ajudamos-te a fazer da gestão do risco uma competência sólida — com base nas normas e boas práticas internacionais, mas com os pés na realidade.

Do risco cibernético ao risco estratégico, o futuro pertence a quem sabe antecipar — e responder.
Escolhe o curso certo e começa já. Garante a tua vaga e leva a gestão do risco para outro nível.

 

 

Ligações rápidas

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

 

Segurança em Período de Férias

Seguranca Periodo Ferias

 

 

Cuidados essenciais para profissionais e equipas que não podem dar férias aos riscos

 

Agosto chegou. Para muitos, é tempo de descanso. Para os riscos — é oportunidade.

Quando entramos em modo verão, relaxamos, as equipas rodam e os processos abrandam. Mas os riscos mantêm-se atentos. É precisamente nesses períodos de menor vigilância que muitos dos incidentes mais graves têm origem.

Partilhamos os principais cuidados a ter antes, durante e após o período de férias, com foco na segurança da informação, continuidade do negócio e resiliência organizacional.

 


Antes das férias: preparar, proteger, delegar

 

1. Revê e limita contas e acessos

  • Elimina acessos temporários ou não utilizados
  • Verifica permissões atribuídas a prestadores externos
  • Restringe acessos privilegiados e garante rastreabilidade
  • Aplica regras claras para órgãos de gestão, se necessário
  • Regista tudo — acções de desativação e reativação futuras

Acesso mínimo. Tempo limitado. Tudo rastreável.

2. Define substitutos e procedimentos claros

  • Quem substitui quem?
  • Que decisões podem ser tomadas?
  • O que fazer em caso de incidente?

Continuidade não é só presença — é preparação e resposta.

3. Reforça a vigilância contra fraudes e phishing

  • Pagamentos urgentes em nome do CEO ausente
  • Pedidos falsos de mudança de IBAN
  • Mensagens urgentes com penalizações
  • Prémios ou sorteios falsos
  • Links fraudulentos sobre entregas
  • Cuidado com deepfakes: voz ou vídeo falsos com pedidos de acessos, transferências ou extorsão

Redobra a atenção. Aplica ciber-higiene. Reporta sempre.

4. Revê os planos de continuidade e resposta a incidentes

  • Planos atualizados e testados com equipa reduzida?
  • Quem ativa o plano em agosto?
  • Fornecedores continuam prontos nesse período?

Um plano que não funciona em férias… não é plano.

 


Durante as férias: manter o essencial a funcionar

 

5. Cuidado com redes e Wi-Fi públicas

  • Desliga redes e equipamentos não necessários
  • Evita Wi-Fi públicas para aceder a sistemas
  • Se inevitável, usa VPN da organização

A conveniência de hoje pode ser o incidente de amanhã.

6. Protege e automatiza — sem desligar totalmente

  • Automatiza backups (de preferência imutáveis)
  • Ativa alertas e notificações para incidentes
  • Garante visibilidade mínima — mesmo em férias

Automação inteligente protege mesmo quando desligas.

7. Evita expor a tua ausência nas redes

  • Evita frases como “fora até setembro”
  • Evita fotos e vídeos com localização em tempo real
  • Prefere grupos fechados para partilhas pessoais

Maior pegada digital = mais oportunidade para ataques de engenharia social.

 


Depois das férias: validação e reativação

 

8. Revalida acessos e alterações feitas

  • Alguma conta temporária ainda ativa?
  • Configurações alteradas sem reversão?
  • Algum incidente não detetado?
  • Revê logs e relatórios de segurança

Pós-férias = check-up obrigatório.

9. Atualiza e valida sistemas

  • Aplica atualizações de segurança pendentes
  • Verifica backups e relatórios
  • Confirma integridade dos logs, incluindo o antivírus e a firewall

Começa com confiança. Sem dúvidas técnicas.

 


? Formação recomendada

A Behaviour ajuda equipas a antecipar riscos, responder a incidentes e reforçar a continuidade — antes, durante e depois das férias.

Cursos recomendados:

 

Preparar é proteger. Mesmo quando todos estão a desligar.

A segurança não tira férias. Mas com o planeamento certo, tu podes.

Ver calendário de formações

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

ISO 27001 Lead Implementer: Formação para quem quer liderar a segurança da informação com confiança

ISO 27001 LI Linkedin

 

Num mundo onde os riscos se multiplicam e a informação é um dos ativos mais valiosos das organizações, a norma ISO/IEC 27001 tornou-se a referência internacional para proteger dados, sistemas e processos críticos. Mas implementar esta norma com eficácia, e liderar verdadeiramente a sua adoção, exige mais do que conhecer requisitos. Exige visão, competência e capacidade de execução.

É para isso que existe o curso ISO 27001 Lead Implementer da Behaviour: uma formação imersiva, exigente e orientada a resultados reais.

Muito mais do que cumprir a norma, vai aprender a implementar e a adaptar um modelo holístico para a gestão da segurança da informação capaz de responder, de forma proporcional, às necessidades de uma organização, balanceando a exposição ao risco e a seleção dos controlos a um custo óptimo.

Desde a necessidade de agilidade das estratégias do negócio num mercado global cada vez mais competitivo, dos novos desafios do contexto geopolítico atual, dos novos e exigentes requisitos legais e regulatórios, até ao novo normal das tecnologias emergentes e à incerteza dos novos riscos relacionados. Investir em segurança da informação é investir no próprio negócio, É investir na capacitação das equipas. É saber defender, justificar e demonstrar ao negócio o valor do seu investimento, de cada decisão.

Saber demonstrar ao negócio os benefícios do seu investimento, optimizando o risco e o uso dos recursos, é saber entregar valor através da implementação e operação da norma ISO/IEC 27001. Neste curso da Behaviour não vai apenas aprender a  implementar, vai preparar-se para responder ao maior desafio da segurança da informação – aprender a entregar valor ao negócio utilizando a ISO/IEC 27001.

 

Muito além da teoria

Com a Behaviour, vai muito além da teoria. Vai compreender porque é que cada cláusula existe, como se articula com os riscos reais, e de que forma pode (ou deve) ser aplicada à realidade específica de cada organização.

 

Vai desenvolver a capacidade de:

  • Identificar e interpretar os requisitos da ISO/IEC 27001:2022 com clareza;
  • Conduzir avaliações de risco e definir os controlos apropriados;
  • Planear, implementar e gerir um Sistema de Gestão de Segurança da Informação (SGSI);
  • Preparar a organização para responder a auditorias internas e externas;
  • Integrar boas práticas complementares de normas como, por exemplo, as ISO/IEC 27002 e ISO/IEC 27005.

Tudo isto num ambiente de aprendizagem orientado por formadores com experiência prática — e com foco na transferência real de conhecimento, e prática adquirida, para a liderança em projetos de implementação.

 

O que pode esperar desta formação

  • Análise prática da norma ISO/IEC 27001:2022, alinhada com as versões mais recentes;
  • Exercícios aplicados, exemplos de documentos e análise de casos reais de implementação;
  • Preparação para responder a auditorias e avançar para a certificação ISO/IEC 27001;
  • Uma metodologia passo-a-passo, com ferramentas, modelos e apoio técnico ao longo da formação;
  • Um ambiente onde a aprendizagem é acompanhada, prática e desafiante e orientada à aplicação prática.

 

Com a Behaviour, vai:

  • Compreender os fundamentos da norma e a sua aplicação de forma estruturada e prática;
  • Compreender e reconhecer os desafios técnicos, operacionais e culturais da implementação;
  • Desenvolver a capacidade de planear e executar projetos de SGSI com autonomia;
  • Trabalhar com conteúdos exigentes, atualizados e preparados para facilitar a sua aprendizagem e a aplicação concreta;
  • Integrar uma experiência formativa que valoriza o seu percurso e reforça a sua autoridade profissional.

 

Para quem é esta formação?

  • Profissionais de segurança da informação, compliance, risco e IT que pretendem liderar projetos de implementação da ISO/IEC 27001;
  • Gestores e consultores que querem aplicar a norma com confiança em ambientes reais;
  • Técnicos que procuram desenvolver uma visão completa de todos os requisitos e controlos da norma;
  • Quem pretende obter uma certificação profissional sólida, com base numa formação exigente e respeitada.

 

Liderar a implementação da ISO/IEC 27001 é uma responsabilidade séria — e uma vantagem competitiva clara.
Se quer preparar-se com rigor, apoio e uma metodologia que o leva mais longe, esta é a formação certa para si.

 

? Desenvolva estas competências com a nossa formação:

Na Behaviour, criamos cursos que não formam apenas técnicos. Formam profissionais — com visão, ética, pensamento crítico e liderança. Esta formação é ministrada em Português ou Inglês

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

CISSP: Formação para Profissionais que Levam a Segurança a Sério

Artigo CISSP

 

Num cenário em constante mutação, onde os cenários de risco são cada vez mais sofisticados, a segurança da informação deixou de ser uma função de suporte para se tornar uma área estratégica. As organizações exigem profissionais de excelência, com as competências para antecipar ameaças, proteger ativos críticos e liderar com confiança. É aqui que entra o curso CISSP da Behaviour — uma formação de referência, completa e orientada para quem não quer apenas passar no exame, mas aprender e transformar a forma como trabalha a segurança da informação.

 

Mais do que estudar: compreender, aplicar, liderar

O curso CISSP da Behaviour foi desenhado para preparar profissionais exigentes para os desafios mais complexos da cibersegurança. Com a Behaviour, vai muito além da memorização mecânica. Vai construir uma compreensão sólida dos conceitos críticos de cada domínio, percebendo porque é que cada princípio é importante, como se aplica, e porque tem de ser daquela forma — e não de outra. É uma aprendizagem consciente, orientada à clareza, à lógica e à aplicação prática, e não apenas focada na necessidade de sucesso no exame. Aqui, cada domínio é abordado com profundidade e sentido prático. Vai entender os conceitos críticos, saber aplicá-los a contextos reais e desenvolver a visão necessária para liderar projetos de segurança com autoridade.

 

O que torna esta formação única

  • Aprofundamento rigoroso nos 8 domínios do conhecimento exigidos para a certificação internacional;
  • Explicações claras e contextualizadas, com enfoque nas funções de gestão, auditoria, arquitetura e operação de segurança;
  • Estratégias de preparação para o exame, com foco no que importa, sem atalhos;
  • Discussão de exercícios, casos práticos e armadilhas frequentes, para consolidar o raciocínio e evitar os erros comuns;
  • Apoio de formador reconhecido, com experiência nacional e internacional, e uma abordagem pedagógica próxima e eficaz.

 

Com a Behaviour, vai mais longe

Esta não é uma formação para cumprir calendário. É uma experiência de aprendizagem completa — rigorosa, envolvente e orientada a resultados concretos.

  • Vai dominar os fundamentos técnicos e de gestão que sustentam as grandes decisões em cibersegurança;
  • Vai trabalhar com conteúdos organizados, atualizados e adaptados para facilitar a compreensão e o sucesso no exame;
  • Vai participar num ambiente imersivo e estimulante, onde a aprendizagem é acompanhada, orientada e onde as questões são abordadas com clareza;
  • Vai receber apoio contínuo, com materiais complementares, estratégias de estudo e um acompanhamento real — mesmo depois da formação.

 

Para quem é esta formação?

  • Profissionais que atuam (ou que pretendem atuar) como CISOs, gestores de segurança da informação, consultores, auditores, arquitetos ou analistas de risco;
  • Quem pretende consolidar uma carreira internacional com uma das certificações mais valorizadas do setor;
  • Quem procura formação séria, com profundidade, exigência e impacto real na carreira.

 

Na Behaviour, preparamos profissionais para fazerem a diferença.
Se está pronto para elevar a segurança da informação a um novo patamar, esta é a formação certa.

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Componentes do Plano de Continuidade do Negócio (BCP): Garantir a resiliência perante eventos disruptivos

 

No atual mundo empresarial, onde as organizações se deparam com interligações complexas e num contexto em constante evolução, pode ocorre, a qualquer momento, um evento disruptivo que ameace a própria existência de uma organização. Eventos como, desastres naturais, ataques cibernéticos, pandemias e outro tipo de cenários de crise podem causar danos significativos à operação, à reputação e aos resultados financeiros de uma empresa. Por forma a mitigar esses riscos, as organizações devem desenvolver um Plano de Continuidade do Negócio (BCP) abrangente que descreva os procedimentos e estratégias necessárias para manter as operações do negócio durante e após uma disrupção.

Um BCP elaborado corretamente é essencial para garantir a resiliência de uma organização, protegendo os seus ativos e minimizando o impacto de disrupções nos seus clientes, funcionários e partes interessadas. Neste artigo, abordaremos os principais componentes de um Plano de Continuidade de Negócios, fornecendo uma visão abrangente dos elementos essenciais que as organizações devem incluir no seu BCP.

 

1. Análise de Impacto no Negócio (BIA)

O primeiro passo no desenvolvimento de um BCP é realizar uma Análise de Impacto no Negócio (BIA). Isso envolve identificar os processos críticos do negócio, avaliar o impacto potencial de uma disrupção nesses processos e priorizar a sua recuperação. Uma BIA ajuda as organizações a compreender as potenciais consequências de uma disrupção, incluindo perdas financeiras, danos à reputação e perdas de confiança dos clientes.

Como parte do processo BIA, a organização identificará os objetivos de continuidade do negócio, que suportam a definição das metas e objetivos do BCP, incluindo os objetivos de tempo de recuperação (RTOs) e objetivos de ponto de recuperação (RPOs). Os RTOs definem o tempo máximo necessário para recuperar processos ou funções do negócio críticas, enquanto os RPOs definem a quantidade máxima de dados que se podem perder durante uma disrupção. Estes objetivos serão importantes para que, mais adiante, seja possível selecionar e estabelecer as estratégias de continuidade do negócio e de recuperação de desastres que serão incluídas no BCP.

 

2. Avaliação de Risco

A avaliação do risco é um componente crítico para estabelecer um BCP, uma vez que auxilia as organizações a identificar potenciais riscos que perturbem as atividades do negócio, impactando os processos críticos, os recursos e outras interdependências, como, por exemplo, um fornecedor de tecnologias de informação que faça parte da cadeia de abastecimento. Inclui-se, a identificação de potenciais desastres naturais, ciberataques, falhas ou avarias em infraestruturas críticas e outros tipos de eventos disruptivos que afetem a organização. Uma avaliação do risco irá também auxiliar as organizações a priorizar o desenvolvimento de estratégias de mitigação e planos de contingência, permitindo reduzir a probabilidade de eventos disruptivos e preparando as capacidades necessárias para uma rápida resposta e consequente redução de impactos.

 

3. Estratégias de Continuidade e Recuperação do Negócio

3.1 Estratégia de Continuidade do Negócio
A estratégia de continuidade do negócio descreve a abordagem da organização para manter as operações do negócio em caso de disrupções. Inclui-se, a identificação de processos, procedimentos e recursos alternativos que podem ser utilizados ​​para manter a continuidade do negócio. A(s) estratégia(s) de continuidade do negócio ajuda as organizações no desenvolvimento de um plano para responder a eventos disruptivos, minimizando o tempo de indisponibilidade e garantindo a continuidade de processos críticos do negócio.

3.2 Estratégia de Recuperação
Pese embora seja fundamental garantir a continuidade do negócio, é também necessário e relevante pensar em como recuperar as funções críticas do mesmo, uma vez que, como referido, a continuidade do negócio pode envolver a implementação de processos, procedimentos, sistemas alternativos, ou mesmo a ativação de localizações alternativas, em diferentes geografias, e/ou com capacidade limitada.
A organização deve definir uma estratégia de recuperação de modo a delinear as etapas necessárias para restaurar as funções críticas do negócio para o novo “business-as-usual”, no caso de um evento disruptivo. Essa(s) estratégia(s) pode(m) envolver a necessidade de ativação de equipas de recuperação e limpeza, o estabelecimento de contactos e a articulação dos esforços necessários com as partes externas identificadas previamente em listas de contactos de emergência, o contacto com as seguradoras e a ativação das apólices de seguros relacionadas. Inclui-se, ainda, a limpeza e recuperação dos locais impactados, a recuperação de sistemas e dados de backups, e a seleção de outras estratégias necessárias, de modo a assegurar que tudo está pronto para continuar as funções do negócio no modo “novo normal”. Pense nisto como um “manual” com estratégias para colocar o seu negócio a funcionar de novo, rapidamente e com a máxima capacidade.

 

4. Plano Operacional de Continuidade de Negócio (BCOP) [por área de negócio]

O Plano Operacional de Continuidade de Negócio (BCOP) garante a continuidade das operações de cada [Área de Negócio] em caso de perturbação ou crise, minimizando o impacto nos clientes, colaboradores e outras partes interessadas. Este plano descreve os procedimentos e protocolos a seguir em caso de incidente disruptivo, garantindo a rápida recuperação das operações comerciais e mantendo a reputação da organização. Este BCOP aplica-se à [Área de Negócio] específica, que é responsável por [descrever resumidamente as funções e responsabilidades da área de negócio]. O plano abrange todos os processos de negócio, sistemas e infraestruturas críticas necessárias para a operação contínua dessa área de negócios.

 

5. Plano de Gestão de Emergências

Um plano de gestão de emergências, é um documento abrangente que descreve os procedimentos e protocolos para responder e gerir cenários de emergência que representam uma ameaça imediata à vida, à propriedade ou ao meio ambiente. As emergências podem incluir desastres naturais, como furacões, terramotos ou inundações, assim como incidentes provocados pelo homem, como incêndios, derrames de produtos químicos ou acidentes industriais. Inclui-se a identificação da equipa de resposta a emergências, delinear ou identificar os protocolos de comunicação estabelecidos no plano de comunicação e, definir as funções e responsabilidades de cada membro da equipa.

O foco principal de um plano de gestão de emergências é garantir a segurança e o bem-estar das pessoas, bem como minimizar os danos à propriedade e ao meio ambiente. O plano normalmente inclui:

  1. Procedimentos de resposta a emergências
  2. Planos de evacuação
  3. Protocolos de comunicação
  4. Alocação e implantação de recursos
  5. Avaliação de danos e estratégias de recuperação

Um plano de gestão de emergências é frequentemente desenvolvido por uma equipa multidisciplinar, incluindo equipas de resposta a emergências, gestores de instalações e outras partes interessadas, e a sua implementação é normalmente liderada por colaborar designados para a gestão de emergências (“trabalhador designado”).

 

6. Plano de Recuperação

O plano de recuperação descreve as etapas necessárias para restaurar a normalidade das operações da organização após um evento disruptivo. Inclui-se, a identificação dos recursos e o pessoal necessários para suportar os esforços de recuperação, a definição de prazos para a recuperação e o estabelecimento de procedimentos para testar e executar o plano de recuperação. Um plano de recuperação ajuda as organizações recuperarem rapidamente de disrupções, minimizando o tempo de inatividade e garantindo a continuidade de processos críticos do negócio.

Conforme abordado anteriormente, este plano inclui e ativa as estratégias de recuperação previamente identificadas (dentro do possível, pois deverão ser adaptadas ao impacto real do evento disruptivo), incluindo, os procedimentos e processos para a normalização das operações do negócio. Pode incluir planos detalhados para restaurar sistemas críticos, como sistemas de TI e de comunicação, assim como planos para recuperar processos de negócio, como, por exemplo, as operações de produção e da cadeia de abastecimento.

 

7. Plano de Gestão de Crises e a CMT

7.1 Plano de Gestão de Crises
O plano de gestão de crises é um documento estratégico e um componente crítico do BCP. O plano, descreve os procedimentos e protocolos para gerir um cenário de crise em que exista a probabilidade de prejudicar significativamente a reputação, as finanças ou as operações de uma organização. Uma crise pode ser um evento repentino e inesperado, como um recall de produto, um desastre natural ou um ciberataque, que ameace a estabilidade e a continuidade da organização. Inclui-se, a identificação da equipa de gestão de crises, o delinear dos protocolos de comunicação e a definição das funções e responsabilidades de cada membro da equipa.

O foco principal de um plano de gestão de crises é a gestão da própria crise, incluindo:

  1. Identificação e avaliação do cenário de crise
  2. Desenvolver uma estratégia de resposta
  3. Comunicação com as partes interessadas, incluindo colaboradores, clientes e a mídia
  4. Mitigar o impacto da crise na organização
  5. Restaurar operações normais e reputação

Um plano de gestão de crises é normalmente desenvolvido pela gestão de topo e pelas principais partes interessadas, e a sua implementação é muitas vezes liderada pela equipa de gestão de crises.

7.2. Equipa de Gestão de Crises (CMT)
A equipa de gestão de crises é responsável por coordenar, responder e gerir eventos disruptivos, que sejam classificados como potenciais crises ou cenários de crise. Esta equipa deve incluir representantes de diversos departamentos, como as TI, operações, finanças e recursos humanos. Os vários membros da equipa irão trabalhar em conjunto na tomada de decisões, alocar recursos e implementar a estratégia de recuperação do evento de crise. A equipa deve ter a formação adequada para responder de forma rápida e eficaz aos eventos disruptivos e devem estar claramente definidas as funções e responsabilidades da equipa e dos seus membros.

 

8. Formação e Consciencialização

A formação e a consciencialização são componentes críticos de um BCP, uma vez que ajudam a garantir que todos os membros da equipa estão familiarizados com o plano e com as suas funções e responsabilidades. Inclui-se a realização regular de programas de formação e sensibilização e a garantia de que todos os membros da equipa compreendem a importância da continuidade do negócio.

 

9. Testar e Exercitar

Testar e exercitar o BCP é fundamental para garantir que o mesmo é eficaz, e que todos os membros da equipa estão familiarizados com as suas funções e responsabilidades. Inclui-se, a realização de simulacros e exercícios regulares de modo a testar o plano e identificar áreas de melhoria.

 

10. Monitorização, Revisão e Melhoria Contínua do BCP

O BCP deve estar sujeito a um processo de melhoria contínua, incluindo revisões e atualizações regulares de modo a garantir que o plano permanece eficaz e relevante. Assim, deve-se monitorizar e avaliar a eficácia do plano, identificar áreas de melhoria e implementar alterações quando necessário.

Lembre-se de que o seu BCP é tão bom quanto o esforço que despender na sua manutenção. A revisão e atualização regular do seu plano é fundamental, pelo que, a atualização das listas de contactos, a revisão das estratégias de recuperação e a realização de exercícios regulares de formação são atividades que fazem parte deste processo. Para que o plano se mantenha eficaz e relevante, estas são as atividades que necessita de assegurar que são realizadas regularmente.

 

11. Outros Sub-planos (transversais aos planos acima identificados)

11.1 Plano de recuperação de desastres de TI (IT DPR)
Um plano abrangente de recuperação de desastres de TI (DR) é um documento crítico que descreve os procedimentos e estratégias para restaurar sistemas e dados de TI em caso de desastre, falha catastrófica, ou crise. O plano visa garantir o mínimo de tempo de inatividade, perda de dados e interrupção dos negócios, protegendo assim a reputação de uma organização, o relacionamento com os clientes e a estabilidade financeira.

11.2. Plano de Comunicação (transversal aos vários planos)
O plano de comunicação é essencial para garantir que as partes interessadas são informadas e atualizadas durante uma disrupção. Isto inclui, identificar os canais de comunicação, delinear os protocolos de comunicação a serem utilizados para a partilha de informação, desenvolver mensagens e anúncios, definir as funções e responsabilidades de cada membro da equipa e estabelecer procedimentos para reportar e rastrear informação. Um plano de comunicação ajuda a organização a manter a transparência e a confiança com as partes interessadas, informando-as sobre os seus esforços de resposta. Inclui-se a comunicação com colaboradores, clientes, fornecedores e outras partes interessadas para minimizar o impacto da disrupção, incluindo o impacto reputacional, na organização e nas partes interessadas.

11.3. Plano de Continuidade da Cadeia de Abastecimento
Um plano de continuidade da cadeia de abastecimento descreve os procedimentos a seguir para garantir a continuidade das operações da cadeia de abastecimento em caso de desastre ou crise.

11.4 Plano de Recursos Humanos
Um plano de recursos humanos descreve os procedimentos a serem seguidos para gerir a segurança e o bem-estar dos colaboradores em caso de desastre ou crise.

11.5. Plano Financeiro
Um plano financeiro descreve os procedimentos a serem seguidos para gerir as operações financeiras em caso de desastre ou crise.

 

Conclusão

Em conclusão, para garantir a continuidade das operações do negócio em caso de disrupção, é necessário que a organização estabeleça um Plano de Continuidade do Negócio (BCP) abrangente. Compreender os principais componentes de um BCP, é crítico para as organizações poderem desenvolver um plano robusto que as ajude a manter a continuidade do negócio e a recuperar de forma rápida e eficiente em caso de disrupção. Um BCP bem elaborado pode auxiliar as organizações a melhorar a resiliência das suas operações, e a minimizar o impacto de eventos inesperados, garantindo e melhorando assim a confiança das suas partes interessadas.

 

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Continuidade do Negócio.


Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo

 

Construir Sistemas Robustos: A Chave para Resistir a Disrupções

 

No atual cenário empresarial, onde as organizações se deparam com interligações complexas e num contexto em constante evolução, os eventos disruptivos são cada vez mais prováveis e fazem parte dos cenários para os quais uma organização deve estar preparada.

Quer se trate de um desastre natural, de um ataque ciberataque ou de uma falha na cadeia de abastecimento, o impacto no seu negócio pode ser significativo. Mas, e se pudesse construir um sistema capaz de resistir e de recuperar com facilidade desses eventos disruptivos? Vamos explorar a importância das melhores práticas de continuidade do negócio e fornecer dicas práticas sobre como construir sistemas robustos para poderem resistir a qualquer “tempestade”.

 

Por que é a continuidade do negócio importante?

A continuidade do negócio implica garantir que a sua organização possa continuar a operar de forma eficaz, mesmo quando se depara com eventos disruptivos inesperados. Trata-se de ter um plano estabelecido para minimizar o tempo de inatividade, proteger a sua reputação e retornar à operação do negócio normalmente e, o mais rápido possível. Na era digital de hoje, os riscos são maiores do que nunca. Uma única hora de inatividade pode resultar em perdas financeiras significativas, danos à sua marca e perda de confiança do cliente.

 

Consequências dos eventos disruptivos

As disrupções podem ocorrer de várias formas, desde desastres naturais, como furacões e terramotos, até ciberataques ou falhas na cadeia de abastecimento. As consequências podem ser devastadoras, incluindo:

  • Perdas financeiras: As disrupções podem resultar em perdas financeiras significativas, incluindo perda de receitas, equipamentos danificados e aumento de custos.
  • Danos à reputação: uma disrupção pode prejudicar a sua reputação e impactar a confiança do cliente, dificultando a recuperação.
  • Problemas de conformidade: As interrupções também podem levar a problemas de conformidade, incluindo a não conformidade com requisitos regulamentares.

 

Construir Sistemas Robustos

Como pode então construir um sistema que consiga resistir e recuperar de eventos disruptivos? Indicamos de seguida algumas dicas práticas:

  1. Desenvolva um Plano de Continuidade do Negócio: Um plano de continuidade do negócio é um componente crítico de qualquer sistema robusto. Este plano descreve os passos que deve executar para responder a uma disrupção, incluindo informações de contactos de emergência, sistemas de backup e procedimentos de recuperação.
  2. Identifique Sistemas Críticos: Identifique os sistemas críticos que são essenciais para as suas operações de negócio. Isto pode incluir sistemas de TI, gestão da cadeia de abastecimento e suporte ao cliente.
  3. Implemente Redundâncias: Implemente redundâncias nos seus sistemas críticos de modo a garantir que continuam a operar mesmo se um sistema falhar.
  4. Realize testes regulares: realize testes regulares do seu plano de continuidade do negócio para garantir que o mesmo é eficaz e que a sua equipa está preparada para responder a um evento disruptivo.
  5. Mantenha-se informado: mantenha-se informado sobre possíveis cenários de eventos disruptivos, incluindo desastres naturais, ciberameaças e problemas na cadeia de abastecimento.

 

Exemplos de casos reais

Na prática, o que são então sistemas robustos? Indicamos de seguida alguns exemplos de casos reais: 

  • Delta Airlines: Após uma falha de energia crítica em 2016, a Delta Airlines conseguiu recuperar a sua operação rapidamente graças ao seu plano de continuidade do negócio. A companhia aérea conseguiu redirecionar os voos e fornecer atualizações aos clientes, minimizando o impacto da disrupção.

Infelizmente, a Delta Airlines, e muitas outras empresas em todo o mundo, não estavam preparadas para um cenário “impensável” e “improvável” e, não foram capazes de se adaptar e responder rapidamente ao mais recente evento disruptivo de TI no início deste ano de 2024, causada pela atualização da CrowdStrike.

 Segundo o website avweb.com,
“O CEO da Delta Air Lines, Ed Bastian, criticou a empresa de cibersegurança CrowdStrike e o fornecedor de software Microsoft, reportando que a disrupção de TI custou à companhia aérea US$ 500 milhões.

A enorme disrupção dos computadores da Delta em 19 de julho interrompeu o sistema de rastreamento da tripulação da companhia aérea por quase uma semana, impedindo a empresa de localizar pilotos e comissários de bordo para operar voos. Como resultado, a Delta teve de cancelar cerca de 30% dos seus voos. (…)

Bastian disse que a recuperação da Delta foi prejudicada de forma significativa devido à sua elevada dependência da CrowdStrike e da Microsoft para cibersegurança. A empresa teve que reinstalar manualmente 40.000 servidores para restaurar as operações.” 

  

  • UPS: Quando um ciberataque massivo atingiu a UPS em 2017, a empresa conseguiu responder rapidamente graças ao seu plano de continuidade do negócio. A empresa conseguiu conter o ataque e minimizar o impacto nas suas operações.

  

  • NHS: Quando um poderoso ciberataque atingiu o NHS e a assistência social em 2022, causou perturbações significativas em muitos sistemas de software de serviços de assistência. Um dos fornecedores de cuidados de saúde foi um dos muitos fornecedores, que foram forçados a operar sem um sistema crítico instalado para suportar o seu serviço. Embora o fornecedor tivesse toda a infraestrutura de cibersegurança relevante e apropriada, o serviço foi interrompido por um ataque de ransomware direcionado ao seu fornecedor de software. Felizmente, a empresa tinha um plano de continuidade do negócio em vigor que incluía um plano robusto para cibersegurança, e o serviço conseguiu continuar as operações graças às práticas estabelecidas no seu plano de continuidade do negócio.

 

Conclusão
Construir sistemas robustos que possam resistir e recuperar de disrupções é fundamental para o sucesso de qualquer negócio. Ao desenvolver um plano de continuidade do negócio, identificar sistemas críticos, implementar redundâncias, realizar testes regulares e, ao manter-se informado é possível minimizar o impacto das disrupções e garantir que o seu negócio continua a operar de forma eficaz. Lembre-se de que a continuidade do negócio não se trata apenas de evitar períodos de indisponibilidade – trata-se de proteger a sua reputação, minimizar as perdas financeiras e garantir que os seus clientes continuam a confiar em si.

Ainda, a continuidade do negócio ajuda a criar uma cultura de resiliência para a organização estar preparada para consiguir responder aos cenários mais “impensáveis ​​e imprevisíveis”. Desta forma, a empresa pode adaptar-se e responder rapidamente a esses cenários, minimizando o impacto no negócio.

 

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Continuidade do Negócio.

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Isenção de responsabilidade: este artigo é baseado em pesquisas externas públicas obtidas de diversas fontes. As informações fornecidas são apenas para fins de referência e os utilizadores assumem total responsabilidade por confiar nelas. A BEHAVIOUR não assume nenhuma responsabilidade pela precisão ou consequências do uso destas informações.

 

Os Maiores Desafios que os Gestores de Segurança da Informação e CISOs Enfrentam no Mundo Atual

 

Os Gestores de Segurança da Informação e os CISOs enfrentam inúmeros desafios num cenário digital que se encontra em rápida e constante evolução.

À medida que as ciberameaças se tornam mais sofisticadas e o ambiente regulatório mais complexo, os líderes de segurança da informação veem-se perante o desafio de se terem de adaptar, atualizar e, saber como gerir a segurança da informação. Desta forma, surge a necessidade de reforçar as medidas de segurança para proteger os ativos críticos das suas organizações, mantendo a resiliência operacional, num cenário cada vez mais exigente.

 

Ameaças em Evolução
Um dos desafios mais proeminentes para os líderes de segurança é o facto de o cenário de ciberameaças se encontrar em constante evolução. Os cibercriminosos utilizam táticas, técnicas e procedimentos (TTP) cada vez mais elaboradas, aproveitando tecnologias mais poderosas, tal como a inteligência artificial, para realizar ataques mais sofisticados.
O aumento do ransomware, das ameaças persistentes avançadas (APTs) e dos ataques à cadeia de abastecimento alargou significativamente a superfície de ataque que as equipas de segurança devem e têm que defender.

 

Restrições de Recursos
Apesar das crescentes ameaças, muitos CISOs gerem a estratégia de segurança das suas organizações com recursos limitados, tornando-se assim difícil implementar medidas de segurança necessárias ao contexto atual em constante evolução. Esta limitação, muitas vezes financeira, agrava-se com a escassez de profissionais de cibersegurança qualificados.

 

Conformidade Regulatória
A obrigação de estar em conformidade com a legislação cada vez mais complexa, como a publicação de novas leis, regulamentos e diretivas, aumenta o desafio dos CISOs, os quais se deparam, atualmente, com uma avalanche de obrigações, incluindo a nova Diretiva NIS 2 e a Lei de Resiliência Operacional Digital (DORA) da União Europeia. Assim, garantir a conformidade, enquanto se mantém a eficiência operacional, é um ato de equilíbrio delicado que consome tempo e recursos significativos.

 

Segurança na Nuvem e Transformação Digital
As organizações continuam a adotar serviços na nuvem e a passar por transformações digitais, conduzindo a novos desafios para garantir a proteção de dados e de outros ativos em ambientes diversos.
Gerir a segurança em infraestruturas multinuvem e híbridas requer novas competências e ferramentas de ponta, sobrecarregando, muitas vezes, os recursos disponíveis que já são escassos.

 

Risco de Terceiros e da Cadeia de Abastecimento
A crescente dependência de terceiros, incluindo fornecedores e parceiros, e as cadeias de abastecimento cada vez mais complexas vêm aumentar a superfície de ataque, acrescentando vulnerabilidades adicionais.
Os CISOs devem avaliar os riscos de segurança que advêm de terceiros, estabelecendo os requisitos necessários para a subcontratação e, assegurando medidas de segurança adaptados às políticas de segurança definidas pela sua organização. Esta necessidade surge do facto da organização não ter toda a visibilidade, nem deter o controlo sobre as práticas de segurança desta parte terceira. Este desafio aumenta com o uso crescente de software de código aberto, o cenário geopolítico cibernético atual e a complexidade e interdependências da cadeia de abastecimento destas partes, com relevância para os fornecedores e as entidades de infraestruturas críticas.

 

Tecnologias Emergentes
A rápida adoção de tecnologias emergentes, particularmente a inteligência artificial e a aprendizagem automática, apresenta tanto oportunidades como desafios para os líderes de segurança.
Embora estas tecnologias ofereçam ferramentas poderosas para deteção e resposta a ameaças, também introduzem novos riscos e vulnerabilidades que devem ser geridos.
Os CISOs devem equilibrar os potenciais benefícios destas tecnologias com as implicações de segurança associadas, adotando a implementação de boas práticas que permitam mitigar ameaças de forma rápida e eficiente em vários sistemas complexos.

 

Comunicação com a Administração e Gestão de Risco
Espera-se cada vez mais que os CISOs comuniquem os conceitos de segurança complexos e as avaliações dos riscos aos membros do conselho de administração e executivos.
Traduzir e simplificar temáticas técnicas em temáticas relevantes para o negócio e, demonstrar o retorno sobre o investimento em segurança (ROSI), continua a ser um desafio significativo. Os CISOs devem desenvolver assim competências de comunicação para serem capazes de transmitir, de forma eficaz e simples, a importância das iniciativas de cibersegurança, para conseguirem os recursos necessários, e demonstrarem os benefícios para o negócio.

 

Ameaças Internas e Cultura de Segurança
Construir uma cultura de segurança robusta nas organizações apresenta-se como um desafio diário para os CISOs.
O erro humano continua a ser uma das principais causas de incidentes de segurança, tornando crucial incluir no plano de formação anual, a frequência em programas de formação que capacitem os colaboradores com as competências necessárias para a utilização de práticas seguras na organização. A capacitação dos colaboradores permite mitigar os riscos, reduzir incidentes, melhorar a experiência na utilização dos recursos e aumentar a produtividade.

 

Resiliência Operacional
Face ao aumento das ameaças cibernéticas e potenciais interrupções na operação do negócio, os CISOs têm a responsabilidade de assegurar a melhoria da resiliência operacional das suas organizações. Isso envolve desenvolver planos adequados para responder a incidentes, implementar sistemas robustos de backup, e assegurar medidas e planos de continuidade do negócio, de recuperação de sistemas de informação e, de gestão de crises, em caso de ciberataques.

 

Adaptação ao Trabalho Remoto
A mudança para modelos de trabalho remoto e híbrido expandiu a superfície de ataque e introduziu novos desafios de segurança.
Os CISOs devem adaptar as suas estratégias de segurança para proteger uma força de trabalho distribuída, garantir a segurança das redes domésticas e gerir os riscos associados a dispositivos pessoais que acedem a recursos corporativos.

 

Em conclusão, os Gestores de Segurança da Informação e os CISOs, como líderes de segurança, enfrentam um conjunto complexo e dinâmico de desafios no panorama digital atual.
O sucesso nestas funções requer, uma combinação de conhecimentos técnicos, pensamento estratégico e fortes competências de liderança, mantendo-se informados e sempre atualizados sobre ameaças emergentes, fomentando uma cultura consciente da segurança e, aproveitando tecnologias inovadoras. Desta forma, torna-se mais fácil para os líderes de segurança responder a estes desafios e construir organizações resilientes, capazes de resistir às ameaças cibernéticas em evolução.

 

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Segurança da Informação.

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

10 Áreas Essenciais para Profissionais de Segurança da Informação

 

10 Áreas Essenciais que TODOS os Profissionais de Segurança da Informação devem Desenvolver para serem Melhores Gestores

 

Os profissionais de Segurança da Informação que aspiram ser gestores eficazes devem possuir um conjunto diversificado de competências e conhecimentos.
Se este é o seu caso, saiba quais são as 10 áreas essenciais que o podem auxiliar a destacar-se nas funções de gestão:

1. Visão Estratégica
Os gestores de segurança da informação devem desenvolver uma forte visão estratégica para a postura de segurança da sua organização. Isso envolve compreender os objetivos gerais de negócio da empresa e, alinhar as iniciativas de segurança com esses objetivos. Um gestor de segurança da informação bem-sucedido sabe antecipar novas e emergentes ameaças e conceber estratégias proativas para as combater.

2. Gestão de Risco
Dominar a gestão do risco é crucial para os gestores de segurança da informação na medida, em que precisam de identificar e analisar riscos, determinar se o nível de risco se encontra dentro do critério de aceitação da organização e, apoiar o planeamento e implementação de controlos. Esta competência permite compreender e responder melhor às necessidades de segurança da organização, em alinhamento com os objetivos do negócio, transformando potenciais cenários de risco em oportunidades para o negócio.

3. Competências de Comunicação
A comunicação eficaz é fundamental para os gestores de segurança da informação, que devem ser capazes de comunicar, de forma simplificada, conceitos técnicos às partes interessadas não técnicas, incluindo executivos e membros do conselho de administração. Ao construir relações fortes entre departamentos, asseguram que a segurança da informação é integrada nos processos da organização.

4. Conhecimento Técnico
Embora os gestores de segurança da informação não precisem de ser especialistas em todos os aspetos técnicos, devem possuir uma sólida compreensão das tecnologias fundamentais de TIC e conceitos emergentes. Este conhecimento permite-lhes tomar decisões informadas, liderar equipas de forma eficaz e, avaliar medidas de segurança de forma fiável.

5. Adaptabilidade
O panorama da cibersegurança encontra-se em constante evolução, exigindo que os gestores de segurança da informação possuam a capacidade e flexibilidade para se adaptarem à mudança. Devem, por isso, manter-se atualizados com as mais recentes ameaças, melhores práticas e tecnologias de ponta, ajustando as suas estratégias às necessidades atuais do negócio.

6.  Liderança e Construção de Equipas
Os gestores de segurança da informação devem ser capazes de motivar as suas equipas, o que envolve definir as expectativas, fornecer apoio e orientação e, fomentar uma cultura de consciencialização de segurança da Informação na organização. Líderes eficazes também se devem concentrar no desenvolvimento de talentos, identificando o potencial nos membros da equipa, alinhando o capital humano com os objetivos estratégicos da organização, o que se traduz numa maior competitividade, inovação e sucesso sustentável para a organização a longo prazo.

7. Conhecimento em Conformidade
Ter conhecimento atualizado sobre a temática da conformidade é essencial para os gestores de segurança da informação, o quais devem estar familiarizados com legislação, diretivas, normas e frameworks relevantes, como, por exemplo, NIS 2, DORA, RGPD, PCI, ISO/IEC 27001 e ISO/IEC 27701. Este conhecimento permite assegurar a implementação das medidas necessárias e garantir que a organização cumpre com todas as obrigações legais e regulamentares aplicáveis.

8. Resposta a Incidentes e Gestão de Crises
Os gestores de segurança da informação devem estar preparados para gerir de forma eficaz, incidentes e crises de segurança da informação. Isto, envolve desenvolver e implementar planos de resposta a incidentes, coordenar esforços com várias partes interessadas e definir critérios para a ativar as respostas necessários em cenários de crise.

9. Aprendizagem Contínua
A área da segurança da informação encontra-se em constante evolução. Esta evolução impõe a necessidade de os gestores de segurança da informação assumirem uma postura de aprendizagem contínua, ao longo da vida, devendo manter-se atualizados com os novos conhecimentos, participar em formações, webinars, conferências relevantes sobre a área e incentivar as suas equipas a fazer o mesmo.

10. Conduta Ética
Por fim, os gestores de segurança da informação devem aderir a códigos de conduta e adotar comportamentos éticos no desempenho das suas funções. Isto inclui, entre outros, proteger a privacidade e confidencialidade de dados sensíveis, reportar violações de segurança, quando necessário e, manter a integridade em todas as relações profissionais.

 

Ao dominar estas 10 áreas, na qualidade de profissional de segurança da informação, pode melhorar significativamente a sua eficácia de gestão e conduzir a sua organização para um futuro mais resiliente e seguro.

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Segurança da Informação.

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.