Porque falar disto agora?

• Dependências de hyperscalers: a falha de 12/jun/2025 afetou múltiplas aplicações populares e expôs o impacto transversal de um único ponto de falha na identidade/serviços partilhados. status.cloud.google.com

• Impactos na produtividade derivados de SPOF’s: em julho, os utilizadores do Outlook/M365 ficaram horas sem e-mail/calendário até serem aplicadas as medidas corretivas necessárias de configuração. Um lembrete de que para “trabalhar” as organizações dependem de” serviços SaaS críticos”, tais como, aplicações simples e supostamente identificadas como “não críticas” numa avaliação de impacto comum. AP News

• Falhas na infraestrutura e serviços de suporte, fora do controlo da organização, e não nas TI da organização. O efeito sistémico do evento disruptivo desafiou a resiliência do ecosistema onde vivem muitas orgaizações: o apagão ibérico foi classificado pela ERSE como ICS 3 – Blackout (o nível mais grave da ENTSO-E), e mostrou que energia/telecom são dependências operacionais diretas. Muitas organizações sentiram o impacto real de um evento disruptivo que afetou em cascata todo o seu ecosistema. erse.pt

• Supervisores europeus alertam para o risco de concentração e dependência: a concentração de muitos serviços críticos em apenas alguns prestadores de TI, ou a utilização por muitas entidades Essencias e Críticas de serviços de apenas alguns prestadores de TI mais visiveis e “reputados” no mercado (devido ao facto de promovem maiores níveis de confiança), com operação na EU (mas, na sua maioria, “Não Europeus”), aumenta o risco e a dependência para essas entidades, e destaca a críticidade desses prestadores de TI específicos. Atentos a este facto, os reguladores e supervisores europeus vêm destacar a necessidade de reforçar as medidas de gestão do risco, cibersegurança e controlo a implementar por estas partes, de modo a reduzir os riscos de concentração e contagio de todo o ecosistema de serviços dependentes. Destacam-se das diretivas europeias transpostas para legilação nacional como o NIS 2 e a CER, e os regulamentos setoriais “lex specialis” como por exemplo, o DORA, para o setor financeiro e prestadores de serviços TI, que já se aplica desde 17 jan 2025. ESMA, ou extensões e regras especificas, como no setor a aviação a Diretiva NIS 2 (lex generalis) + Regras EASA Part IS (lex specialis) – onde se incluem Regras/Regulamentos EASA (aplicação direta ou via regulamentos de execução).

 “Continuity-by-design”, não é apenas um dossier!

 1) Multi-região, seguida de multi-cloud
Arranca com redundância na mesma cloud: zonas/regiões distintas, failover testado e dados “imutáveis”, Write Once Read Many (WORM), para suportar a recuperação. Passa a multi-cloud onde o impacto justifica (identidade, faturação, front-ends).

2) Identidade com break-glass
Se IAM cai, tudo cai. Define contas break-glass fora do SSO, dupla custódia de chaves e procedimento de ativação/revogação ensaiado.

3) SaaS “egress-ready”
Para cada SaaS crítico, responde: Como exporto os dados? Em quanto tempo? Consigo operar em serviços mínimos sem a plataforma? Mantém extratos/espelhos do que for vital para o cliente.

4) Observabilidade que não morre com o incidente
Registos, alertas e status fora do prestador afetado (monitorização externa, runbooks e contactos offline).

5) Planos de degradação funcional
Define serviços mínimos viáveis (o que manténs quando perdes 30–50% da capacidade) — e treina o feature toggle sob pressão.

6) Contratos que realmente ajudam
Exige RTO/RPO, notificação antecipada, direito de auditoria e testes conjuntos; mede tempo de resposta e qualidade das evidências.

7) Exercícios recorrentes e mensuráveis
A ENISA recomenda testar BC/DR regularmente (table-tops, simulações, hot sites, digital twins) com registo de lições e revisões. ENISA

“Provas” que acalmam reguladores e clientes

• DORA (financeiro): evidências de gestão de risco TIC, testes de resiliência e modelos de governo de terceiros (relatórios, atas, métricas). EIOPA
• Concentração de serviços e dependências em terceiros: demonstra que conhece quem o pode parar (3.º e 4.º nível), sabe quem (de facto, é crítico) e como reduzir essa exposição. ESMA
• Comunicação: playbooks prontos (clientes, media, supervisores) com tempos-objetivo e porta-vozes treinados.

Checklist 60 minutos (quando tudo pára)

1. Ative os runbook e bridge de crise (comunicação out-of-band).
2. Confirme o âmbito (o que caiu / o que funciona) e ative o modo degradado.
3. Decida em 15 min: failover automático/manual, bloqueio de mudanças e mensagem inicial a clientes.
4. Registe tudo (tempos, decisões, evidências).
5. Atualize status de hora a hora até estabilizar.

Métricas que o Board entende

• RTO/RPO por serviço (objetivo – metas vs. obtido no último teste)
• MTTR por cenário (média e p95)
• Percentagem de backups restaurados nos últimos 90 dias
• Cobertura EDR/SIEM e % de runbooks testados com sucesso
• Mapa de dependências (3.º/4.º nível) e tempo até 1.ª comunicação a clientes

Perguntas que deves fazer ao teu fornecedor esta semana (após verificares o teu contrato)

• Qual é o RTO/RPO contratual e o observado em testes reais?
• Como exportar dados em cenário de emergência e em quanto tempo?
• Que alternativas existem se o SSO/IAM falhar?
• Se / Como se pode testar em conjunto um cenário de falha regional/serviço? Quando?
• Que evidências são entregues após o incidente?

Plano de 100 dias (novo ângulo, sem repetir o que já tem)

0–30 dias — Fotografia de risco de concentração
Mapeie serviços críticos ↔ regiões/fornecedores ↔ pontos únicos de falha (inclui energia/telecom). Marque quick wins (break-glass, status page externa). erse.pt

31–60 dias — Ensaiar e medir
Table-top “perda de IAM/cloud” + teste de restore cronometrado; prepara dashboards (RTO/RPO, MTTR, comunicação). status.cloud.google.com

61–100 dias — Provar e melhorar
Teste técnico (perda de GCP/Azure/M365) + revisão contratual de SaaS críticos (export, notificação, right to audit) + after-action review. AP News

Leituras úteis (2025)

• Status do incidente GCP (12/jun/2025) e análises independentes. status.cloud.google.com
• Outage Microsoft 365/Outlook (jul/2025) — correção de configuração e restauro progressivo. AP News
• Apagão ibérico classificado ICS 3 – Blackout (ERSE). erse.pt
• Concentração de terceiros em TI preocupa supervisores europeus (JC ESAs). ESMA
• ENISA: testar BC/DR regularmente e documentar lições. ENISA

Autor: Behaviour
Publicado em: 24 de novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

Auditar não é apenas verificar se existe documentação. É perceber se há controlo real.

As auditorias são momentos críticos: avaliam se a organização está apenas a “cumprir o mínimo” ou se possuí práticas consistentes e maduras.
No entanto, há erros que se repetem – e podem comprometer não só o sucesso da auditoria, como a credibilidade de toda a estrutura de gestão.

Se a sua organização prepara e necessita de realizar auditorias, seja para verificar o cumprimento de requisitos legislativos (RGPD, DORA, NIS 2…), normas e boas práticas internacionais (ISO/IEC 27001, ISO 22301…), ou outros (clientes, parceiros, fornecedores …), este artigo é para si

Erro 1: Tratar a auditoria como um evento pontual

Muitas organizações encaram a auditoria como uma corrida contra o tempo, só “acordando” semanas antes.
Resultado? Stress, improviso e falhas óbvias.

O que fazer?
planear antes de improvisar – conhecer o cronograma e os critérios das auditorias atempadamente (quando possível); integrar e aplicar de forma contínua as práticas nos processos da organização, o que permite criar uma cultura de prontidão, controlo e evidências.
O objetivo passa por assegurar um elevado nível de preparação da organização, para evidenciar e responder, em qualquer momento, aos mecanismos de controlo, incluindo auditorias, realizadas por quaisquer partes interessadas internas ou externas. A auditoria e os seus resultados são reflexos de um sistema vivo de uma organização diligente – e não de um teatro temporário
e de uma organização reativa.

Erro 2: Ter documentos, mas não práticas reais

Ter políticas assinadas e procedimentos arquivados não significa que sejam utilizados.

O que fazer?
garantir que os processos são compreendidos e aplicados.
Um auditor experiente procura coerência entre o que está escrito e o que se faz.

Erro 3: Falta de preparação das pessoas

Colaboradores apanhados de surpresa, respostas vagas ou “isso é com o IT, ou com área X”, demonstrando improviso, e/ou criando um sistema de “ping-pong” em que umas áreas “empurram” para as outras… são tudo sinais de uma organização com um modelo de governo deficiente e ausência de envolvimento das partes.

O que fazer?
antes da auditoria, simular perguntas reais, clarificar e reforçar responsabilidades e autoridades, explicar o porquê das práticas e controlos.
A segurança começa por compreender como é que as tarefas que realiza no dia-a-dia se mapeiam para os requisitos das práticas e controlos que a organização tem de cumprir.
O colaborador tem de saber demonstrar que são aplicados e evidenciar os resultados da sua execução.

Erro 4: Subestimar o contexto organizacional

Muitas auditorias falham porque os riscos reais do negócio não estão refletidos no seu sistema de gestão, isto acontece, normalmente, porque a organização não se conhece a si própria.
Resultado? Controlos genéricos, sem impacto, ou mesmo, práticas críticas não documentadas ou inexistentes.

O que fazer?
alinhar riscos, objetivos, práticas e controlos com o contexto real da organização.
Conhecer a organização e o seu risco inerente é fundamental para um planeamento com base no risco.
A auditoria avalia consistência, relevância e eficácia, não o volume de documentos ou aplicações de IT que utiliza.

Erro 5: Não evidenciar melhoria contínua

Ter o mesmo plano, os mesmos indicadores e os mesmos erros ano após ano compromete a credibilidade do sistema.
Isto demonstra falta de uma cultura de melhoria continua na organização.
As causas podem ser as mais diversas, desde a falta de compromisso da gestão até à resistência à mudança.

O que fazer?
identificar agentes de melhoria, mostrar ações corretivas eficazes, planos de melhoria e, decisões com base em análise crítica.

Melhoria contínua não é opcional – é esperada e necessária.
O contexto da organização é dinâmico, como tal, a melhoria continua deve acompanhar a necessidade de mudança.

Erro 6: Ignorar os registos

Políticas e procedimentos são essenciais – mas sem registos, não há prova de que algo foi realmente executado.

O que fazer?
manter registos atualizados, acessíveis e coerentes com as atividades realizadas.
O auditor vai querer ver evidência factual – não intenções.
A evidência deve ser objetiva, estar disponível e ser verificável.

Erro 7: Não ligar os pontos

Auditorias falham quando as peças não encaixam:
riscos não refletem os objetivos, controlos não protegem os ativos críticos, planos de resposta não são testados.

O que fazer?
garantir que o sistema de gestão é coerente, integrado e orientado para o negócio.
O auditor procura lógica, não complexidade.
Cumprir os requisitos utilizando práticas simples e consistentes demonstra uma organização madura.
Normalmente, uma organização que aplica práticas de forma complexa ou desconexa demonstra uma maturidade deficiente ou em crescimento – devendo o auditor compreender e recomendar a melhoria do nível de maturidade das práticas da organização
através da melhoria continua.
Recordar que o auditor é, também, um agente de melhoria, e o resultado do seu trabalho deve produzir conclusões e recomendações acionáveis.

O que procuram os auditores experientes?

• Evidências objetivas
• Ciclo de melhoria ativo
• Envolvimento da liderança
• Consistência entre discurso, documentos e prática
• Adoção real das Melhores Práticas

Não se trata de agradar ao auditor.
Trata-se de garantir que a organização está realmente preparada – com ou sem auditorias calendarizadas.

A auditoria é um reflexo da maturidade da organização – e não um jogo do que se deve mostrar e esconder ao auditor.

Quem domina o seu sistema, não teme a auditoria.
Usa-a com sabedoria para crescer.

Na Behaviour, formamos profissionais de excelência para atingirem esse nível de domínio.
O objetivo principal não é apenas completar a formação e passar no exame – é conhecer, saber fazer e ser capaz de liderar com confiança, transformando incertezas e dúvidas em: certezas, factos e reconhecimento para o auditor e para as organizações auditadas.

Autor: Behaviour
Publicado em: 3 novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.