Auditoria

Continuity by Design: reduzir o risco de concentração em cloud e terceiros

Date: Novembro 24, 2025 Author: Editor
Reduzir Risco Cloud Terceiros (Instagram)

 

Depois de Google Cloud (12/jun/2025), Microsoft 365 (jul/2025) e do apagão ibérico (28/abr/2025), a questão deixou de ser “o que pode acontecer” e passou a ser “quanto tempo irá demorar a repôr os serviços e voltar a servir o cliente?”

 

Porque falar disto agora?

  • Dependências de hyperscalers: a falha de 12/jun/2025 afetou múltiplas aplicações populares e expôs o impacto transversal de um único ponto de falha na identidade/serviços partilhados. status.cloud.google.com
  • Impactos na produtividade derivados de SPOF’s: em julho, os utilizadores do Outlook/M365 ficaram horas sem e‑mail/calendário até serem aplicadas as medidas corretivas necessárias de configuração. Um lembrete de que para “trabalhar” as organizações dependem de” serviços SaaS críticos”, tais como, aplicações simples e supostamente identificadas como “não críticas” numa avaliação de impacto comum. AP News
  • Falhas na infraestrutura e serviços de suporte, fora do controlo da organização, e não nas TI da organização. O efeito sistémico do evento disruptivo desafiou a resiliência do ecosistema onde vivem muitas orgaizações: o apagão ibérico foi classificado pela ERSE como ICS 3 – Blackout (o nível mais grave da ENTSO‑E), e mostrou que energia/telecom são dependências operacionais diretas. Muitas organizações sentiram o impacto real de um evento disruptivo que afetou em cascata todo o seu ecosistema. erse.pt
  • Supervisores europeus alertam para o risco de concentração e dependência: a concentração de muitos serviços críticos em apenas alguns prestadores de TI, ou a utilização por muitas entidades Essencias e Críticas de serviços de apenas alguns prestadores de TI mais visiveis e “reputados” no mercado (devido ao facto de promovem maiores níveis de confiança), com operação na EU (mas, na sua maioria, “Não Europeus”), aumenta o risco e a dependência para essas entidades, e destaca a críticidade desses prestadores de TI específicos. Atentos a este facto, os reguladores e supervisores europeus vêm destacar a necessidade de reforçar as medidas de gestão do risco, cibersegurança e controlo  a implementar por estas partes, de modo a reduzir os riscos de concentração e contagio de todo o ecosistema de serviços dependentes. Destacam-se das diretivas europeias transpostas para legilação nacional como o NIS 2 e a CER, e os regulamentos setoriais “lex specialis” como por exemplo, o DORA, para o setor financeiro e prestadores de serviços TI, que já se aplica desde 17 jan 2025. ESMA, ou extensões e regras especificas, como no setor a aviação a Diretiva NIS 2 (lex generalis) + Regras EASA Part IS (lex specialis) – onde se incluem Regras/Regulamentos EASA (aplicação direta ou via regulamentos de execução).

 

 “Continuity‑by‑design”, não é apenas um dossier!

 1) Multi‑região, seguida de multi‑cloud
Arranca com redundância na mesma cloud: zonas/regiões distintas, failover testado e dados “imutáveis”,  Write Once Read Many (WORM), para suportar a recuperação. Passa a multi‑cloud onde o impacto justifica (identidade, faturação, front‑ends).

2) Identidade com break‑glass
Se IAM cai, tudo cai. Define contas break‑glass fora do SSO, dupla custódia de chaves e procedimento de ativação/revogação ensaiado.

3) SaaS “egress‑ready”
Para cada SaaS crítico, responde: Como exporto os dados? Em quanto tempo? Consigo operar em serviços mínimos sem a plataforma? Mantém extratos/espelhos do que for vital para o cliente.

4) Observabilidade que não morre com o incidente
Registos, alertas e status fora do prestador afetado (monitorização externa, runbooks e contactos offline).

5) Planos de degradação funcional
Define serviços mínimos viáveis (o que manténs quando perdes 30–50% da capacidade) — e treina o feature toggle sob pressão.

6) Contratos que realmente ajudam
Exige RTO/RPO, notificação antecipada, direito de auditoria e testes conjuntos; mede tempo de resposta e qualidade das evidências.

7) Exercícios recorrentes e mensuráveis
A ENISA recomenda testar BC/DR regularmente (table‑tops, simulações, hot sites, digital twins) com registo de lições e revisões. ENISA

 

“Provas” que acalmam reguladores e clientes

  • DORA (financeiro): evidências de gestão de risco TIC, testes de resiliência e modelos de governo de terceiros (relatórios, atas, métricas). EIOPA
  • Concentração de serviços e dependências em terceiros: demonstra que conhece quem o pode parar (3.º e 4.º nível),  sabe quem (de facto, é crítico) e como reduzir essa exposição. ESMA
  • Comunicação: playbooks prontos (clientes, media, supervisores) com tempos‑objetivo e porta‑vozes treinados.

 

Checklist 60 minutos (quando tudo pára)

  1. Ative os runbook e bridge de crise (comunicação out‑of‑band).
  2. Confirme o âmbito (o que caiu / o que funciona) e ative o modo degradado.
  3. Decida em 15 min: failover automático/manual, bloqueio de mudanças e mensagem inicial a clientes.
  4. Registe tudo (tempos, decisões, evidências).
  5. Atualize status de hora a hora até estabilizar.

 

Métricas que o Board entende

  • RTO/RPO por serviço (objetivo – metas vs. obtido no último teste)
  • MTTR por cenário (média e p95)
  • Percentagem de backups restaurados nos últimos 90 dias
  • Cobertura EDR/SIEM e % de runbooks testados com sucesso
  • Mapa de dependências (3.º/4.º nível) e tempo até 1.ª comunicação a clientes

 

Perguntas que deves fazer ao teu fornecedor esta semana (após verificares o teu contrato)

  • Qual é o RTO/RPO contratual e o observado em testes reais?
  • Como exportar dados em cenário de emergência e em quanto tempo?
  • Que alternativas existem se o SSO/IAM falhar?
  • Se / Como se pode testar em conjunto um cenário de falha regional/serviço? Quando?
  • Que evidências são entregues após o incidente?

 

Plano de 100 dias (novo ângulo, sem repetir o que já tem)

0–30 dias — Fotografia de risco de concentração
Mapeie serviços críticos ↔ regiões/fornecedores ↔ pontos únicos de falha (inclui energia/telecom). Marque quick wins (break‑glass, status page externa). erse.pt

31–60 dias — Ensaiar e medir
Table‑top “perda de IAM/cloud” + teste de restore cronometrado; prepara dashboards (RTO/RPO, MTTR, comunicação). status.cloud.google.com

61–100 dias — Provar e melhorar
Teste técnico (perda de GCP/Azure/M365) + revisão contratual de SaaS críticos (export, notificação, right to audit) + after‑action review. AP News

 

Leituras úteis (2025)

  • Status do incidente GCP (12/jun/2025) e análises independentes. status.cloud.google.com
  • Outage Microsoft 365/Outlook (jul/2025) — correção de configuração e restauro progressivo. AP News
  • Apagão ibérico classificado ICS 3 – Blackout (ERSE). erse.pt
  • Concentração de terceiros em TI preocupa supervisores europeus (JC ESAs). ESMA
  • ENISA: testar BC/DR regularmente e documentar lições. ENISA

 

Cursos Behaviour recomendados

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Preparar um plano de estudo para consolidar o know how e preparar a certificação CISSP

Date: Novembro 17, 2025 Author: Editor
Preparar Exame CISSP (Instagram)

 

Encontro-me a preparar para realizar o exame CISSP… qual a melhor abordagem?

 

Quando se prepara para um exame como o CISSP, existem sempre várias abordagens possíveis.

A experiência da Behaviour, com mais de 18 anos a preparar profissionais para realizarem com sucesso este exame, mostrou que “one size does not fit all”. Cada profissional adapta‑se melhor a determinadas abordagens do que a outras. Para além do estilo de aprendizagem individual, cada pessoa traz experiências diferentes em várias temáticas, o que pesa na escolha da melhor estratégia de preparação, no tempo de estudo a dedicar e até na probabilidade de sucesso no exame.

O CISSP desafia o profissional no domínio do conhecimento e, definitivamente, põe à prova a sua experiência. Não basta estudar ou resolver “umas perguntas”. Cada questão do CISSP coloca o candidato à prova, seja nos conceitos fundamentais dos pilares da cibersegurança, seja nos requisitos mais recentes de conformidade. O CISSP não testa apenas profissionais; testa a sua excelência.

Ao longo dos anos, a Behaviour identificou denominadores comuns que, de forma genérica e com ligeiras adaptações, podem ser utilizados como uma fórmula de sucesso. Esses denominadores são aplicados durante a frequência do curso CISSP da Behaviour e servem também de base às recomendações para a fase final de preparação após o curso. Tal como em qualquer exame, o segredo está numa preparação correta.

O curso de preparação CISSP da Behaviour é, definitivamente, o melhor ponto de partida. Dota os profissionais dos conhecimentos necessários para o exame, revisita e relembra temas já conhecidos e colmata lacunas nas áreas menos familiares. Após a frequência do curso, o profissional consegue avaliar o seu nível atual de conhecimento e de preparação e, com um plano estruturado, consolidar nas semanas seguintes o que falta. Esta abordagem permite que, em menos de 10 semanas, esteja preparado para realizar com sucesso o exame CISSP. É natural que qualquer profissional ambicione sair da formação pronto para realizar o exame. Não obstante o curso CISSP da Behaviour ser completo, a exigência do CISSP implica um esforço final por parte do participante. Esta preparação requer compromisso de ambas as partes: o curso funciona como um acelerador, poupando ao profissional, em média, entre 8 e 12 meses de estudo diário dedicado, período durante o qual muitos acabam por perder o ritmo e adiar esta meta para “um dia”. A este tempo não se somam ainda o esforço e os custos de identificar e selecionar os melhores recursos, bancos de questões, metodologias para chegar às respostas corretas, dicas, “truques”, estratégias e outras técnicas que a Behaviour partilha e que resultam de 18 anos a preparar profissionais de sucesso para o CISSP.

Neste artigo, a Behaviour propõe um resumo de plano que o profissional poderá aplicar após a frequência do curso. Trata‑se de orientações de base, sendo que as lições aprendidas são transmitidas em detalhe durante a formação. Uma abordagem completa ajuda a estudar de forma estruturada, com cenários práticos e instrumentos de avaliação: como questões e exame de simulação, que permitem medir e consolidar conhecimentos.

No CISSP, não se trata de decorar conceitos, mas de aprender a pensar e a decidir como um gestor de segurança de excelência. O maior desafio não é o candidato adaptar‑se ao exame, mas o próprio exame adaptar‑se ao candidato à medida que este responde e avança nas questões: o CISSP é um exame adaptativo, o que eleva o nível de exigência.

O curso CISSP da Behaviour desafia o profissional para que esteja preparado para todas as circunstâncias, incluindo a incerteza inerente ao exame, porque, se não fosse difícil, não estaria à altura da excelência exigida.

Abaixo apresenta‑se um plano sumário com algumas dicas que se espera que despertem o interesse pela certificação CISSP e que ajudem a demonstrar que, afinal, o “difícil pode ser fácil” quando se aplica a fórmula certa embora, como tudo na vida, exija dedicação.

Um verdadeiro plano de estudo pós‑formação, orientado a resultados (2–3 meses), assenta em casos reais, métricas e evidências alinhadas com o curso e com os requisitos do CISSP.

Semana 0 — Arranque e estratégia CAT

Fase de aquecimento. Nesta fase, o profissional relembra como o exame funciona (formato CAT — Computerized Adaptive Testing) e prepara o seu sistema de acompanhamento pessoal (“scoreboard”), identificando os domínios que requerem maior reforço.

 

Semanas 1 a 8 — Rever os conceitos‑chave de cada um dos 8 domínios

O profissional deve rever os conceitos‑chave de cada domínio, utilizar os recursos do curso e outras fontes de apoio indicadas e, sempre que possível, aplicar na prática o que aprendeu com base em casos reais.
Exemplo: no Domínio 1 — Gestão de Risco, pode avaliar riscos relacionados com cenários recentes (por exemplo, o apagão elétrico de 28/04/2025).

Esta abordagem deve ser aplicada aos restantes domínios, recorrendo a cenários e exemplos reais ou ao contexto da própria organização (sempre que for possível e adequado).

Reforçar o estudo com perguntas específicas de cada domínio; relembrar o que foi efectuado e referido no curso, tal como truques e outras dicas, avaliar não apenas as opções corretas, mas também o que significam, e quando se aplicam, as restantes opções, tal como foi realizado na formação.

Meta de aprovação‑alvo: 75–80%. O objetivo é reforçar o domínio de cada área seguindo esta metodologia.

Semana 9 — Revisão dirigida + Exame de simulação (CAT)

Fase de afinação.

  • Realizar um exame de simulação completo de 125–150 perguntas em 3 horas.
    Medir a taxa de respostas certas total e o tempo médio por pergunta.
  • Rever cada erro e anotar a regra de decisão que falhou (ex.: “proteger antes de investigar”).
  • Refazer blocos curtos de 25–30 perguntas focados apenas nas áreas que requerem mais dedicação.
  • Meta: 75–80% de acerto e ritmo ≤ 90 s por pergunta.

 

Semana 10 — Véspera e Dia do Exame

Na véspera: Reservar ~90 minutos para rever perguntas estratégicas, leis e runbooks criados durante o estudo; isso ajuda o cérebro a ligar ideias e a raciocinar no exame.

No dia:

  • Ler sempre o objetivo do cenário antes de escolher a resposta.
  • Eliminar duas respostas excessivamente técnicas que não resolvem o problema específico.
  • Escolher a resposta mais proporcional e rastreável (alicerçada em políticas, legislação ou risco).
  • Manter um ritmo constante (~90 s por pergunta).

 

Painel de Progresso (“Scoreboard”) — durante a preparação

Manter sempre atualizado:

  • Percentagem de aprovação por domínioalvo ≥ 75–80%.
  • Tempo médio por pergunta≤ 90 s.
  • Top 5 temas a reforçar — identificar e trabalhar sistematicamente.
  • Evidências do estudo — revisitar e contextualizar documentos, runbooks e diagramas criados, para visualizar na prática o que foi implementado e responder às perguntas teóricas com conhecimento aplicado.
  • Nível de confiança e fadiga (escala 1–5) — o profissional deve sentir‑se confortável com as temáticas; o exame CISSP representa um investimento significativo.

 

Cursos Behaviour recomendados

Outros cursos relacionados

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Os 7 erros mais comuns em auditorias e como evitá-los

Date: Novembro 3, 2025 Author: Editor
7 erros em auditorias (Instagram)

 

Auditar não é apenas verificar se existe documentação. É perceber se há controlo real.

As auditorias são momentos críticos: avaliam se a organização está apenas a “cumprir o mínimo” ou se possuí práticas consistentes e maduras. No entanto, há erros que se repetem — e podem comprometer não só o sucesso da auditoria, como a credibilidade de toda a estrutura de gestão.

Se a sua organização prepara e necessita de realizar auditorias, seja para verificar o cumprimento de requisitos legislativos (RGPD, DORA, NIS 2…), normas e boas práticas internacionais (ISO/IEC 27001, ISO 22301…), ou outros (clientes, parceiros, fornecedores …) , este artigo é para si

 

Erro 1: Tratar a auditoria como um evento pontual

Muitas organizações encaram a auditoria como uma corrida contra o tempo, só “acordando” semanas antes. Resultado? Stress, improviso e falhas óbvias.

O que fazer? planear antes de improvisar — conhecer o cronograma e os critérios das auditorias atempadamente (quando possível); integrar e aplicar de forma contínua as práticas nos processos da organização, o que permite criar uma cultura de prontidão, controlo e evidências. O objetivo passa por assegurar um elevado nível de preparação da organização, para evidenciar e responder, em qualquer momento, aos mecanismos de controlo, incluindo auditorias, realizadas por quaisquer partes interessadas internas ou externas. A auditoria e os seus resultados são reflexos de um sistema vivo de uma organização diligente — e não de um teatro temporário e de uma organização reativa.

 

Erro 2: Ter documentos, mas não práticas reais

Ter políticas assinadas e procedimentos arquivados não significa que sejam utilizados.

O que fazer? garantir que os processos são compreendidos e aplicados. Um auditor experiente procura coerência entre o que está escrito e o que se faz.

 

Erro 3: Falta de preparação das pessoas

Colaboradores apanhados de surpresa, respostas vagas ou “isso é com o IT, ou com área X”, demonstrando improviso, e/ou criando um sistema de “ping-pong” em que umas áreas “empurram” para as outras… são tudo sinais de uma organização com um modelo de governo deficiente e ausência de envolvimento das partes.

O que fazer? antes da auditoria, simular perguntas reais, clarificar e reforçar responsabilidades e autoridades, explicar o porquê das práticas e controlos. A segurança começa por compreender como é que as tarefas que realiza no dia-a-dia se mapeiam para os requisitos das práticas e controlos que a organização tem de cumprir. O colaborador tem de saber demonstrar que são aplicados e evidenciar os resultados da sua execução.

 

Erro 4: Subestimar o contexto organizacional

Muitas auditorias falham porque os riscos reais do negócio não estão refletidos no seu sistema de gestão, isto acontece, normalmente, porque a organização não se conhece a si própria. Resultado? Controlos genéricos, sem impacto, ou mesmo, práticas críticas não documentadas ou inexistentes.

O que fazer? alinhar riscos, objetivos, práticas e controlos com o contexto real da organização. Conhecer a organização e o seu risco inerente é fundamental para um planeamento com base no risco. A auditoria avalia consistência, relevância e eficácia, não o volume de documentos ou aplicações de IT que utiliza.

 

Erro 5: Não evidenciar melhoria contínua

Ter o mesmo plano, os mesmos indicadores e os mesmos erros ano após ano compromete a credibilidade do sistema. Isto demonstra falta de uma cultura de melhoria continua na organização. As causas podem ser as mais diversas, desde a falta de compromisso da gestão até à resistência à mudança.

O que fazer? identificar agentes de melhoria, mostrar ações corretivas eficazes, planos de melhoria e, decisões com base em análise crítica. Melhoria contínua não é opcional — é esperada e necessária. O contexto da organização é dinâmico, como tal, a melhoria continua deve acompanhar a necessidade de mudança.

 

Erro 6: Ignorar os registos

Políticas e procedimentos são essenciais — mas sem registos, não há prova de que algo foi realmente executado.

O que fazer? manter registos atualizados, acessíveis e coerentes com as atividades realizadas. O auditor vai querer ver evidência factual — não intenções. A evidência deve ser objetiva, estar disponível e ser verificável.

 

Erro 7: Não ligar os pontos

Auditorias falham quando as peças não encaixam: riscos não refletem os objetivos, controlos não protegem os ativos críticos, planos de resposta não são testados.

O que fazer? garantir que o sistema de gestão é coerente, integrado e orientado para o negócio. O auditor procura lógica, não complexidade. Cumprir os requisitos utilizando práticas simples e consistentes, demonstra uma organização madura. Normalmente, uma organização que aplica práticas de forma complexa ou desconexa demonstra uma maturidade deficiente ou em crescimento – devendo o auditor compreender e recomendar (caso faça parte dos objetivos da auditoria) a melhoria do nível de maturidade das práticas da organização através da melhoria continua. Recordar que o auditor é, também, um agente de melhoria, e o resultado do seu trabalho deve produzir conclusões e recomendações acionáveis.

 

O que procuram os auditores experientes?

  • Evidências objetivas
  • Ciclo de melhoria ativo
  • Envolvimento da liderança
  • Consistência entre discurso, documentos e prática
  • Adoção real das Melhores Práticas

Não se trata de agradar ao auditor. Trata-se de garantir que a organização está realmente preparada — com ou sem auditorias calendarizadas.

 

Formação que ajuda a preparar auditorias exigentes

A Behaviour desenvolve cursos que não só explicam as normas, como te preparam para aplicar, liderar e auditar com segurança:

 

A auditoria é um reflexo da maturidade da organização — e não um jogo do que se deve mostrar e esconder ao auditor.

Quem domina o seu sistema, não teme a auditoria. Usa-a com sabedoria para crescer.

Na Behaviour, formamos profissionais de excelência para atingirem esse nível de domínio. O objetivo principal não é apenas completar a formação e passar no exame — é conhecer, saber fazer e ser capaz de liderar com confiança, transformando incertezas e dúvidas em: certezas, factos e reconhecimento para o auditor e para as organizações auditadas.

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.