Ciber Resiliência

Continuidade do Negócio: o risco deixou de ser uma hipótese, tornou-se o novo normal

Date: Outubro 13, 2025 Author: Editor
Continuidade_Negocio_Risco_deixou_hipotese_tornou

 

Incidentes tecnológicos e falhas de terceiros mostram que resiliência é disciplina diária, não um dossiê guardado na gaveta.

 

Casos recentes que provaram este facto são:

  • Outage global do CrowdStrike (jul/2024): atualização defeituosa provocou BSOD (Blue Screen of Death) em milhões de sistemas Windows e parou operações em múltiplos setores — um “mega‑incidente” sem intrusão maliciosa Reuters
  • Apagão ibérico (28/abr/2025): falha elétrica massiva imobilizou Portugal e Espanha durante horas (transportes, semáforos, redes móveis), com reposição gradual do serviço. Relatórios nacionais indicam como origem técnica a rede ibérica (não existindo indícios de ciberataque) RTP
  • Google Cloud (12/jun/2025): interrupção com impacto em plataformas populares (ex.: Spotify, Fitbit), expondo dependência de hyperscalers. Google Cloud Status
  • Microsoft 365/Outlook (jul/2025): perturbação prolongada (~19h) com paralisação de e‑mail/calendários — erros de configuração, não existindo indícios de ciberataque. Computerworld
  • Ataques via fornecedores: aumento significativo de incidentes na e através da supply chain em 2024/25. Financial Times
  • Custos de indisponibilidade: estudos de 2025 demonstram perdas por hora significativas e uma tendência de subestimação pelas empresas. IT Pro

 

O que é continuidade “moderna”?

  1. Do cenário técnico ao impacto no cliente: comece pelo BIA (serviços críticos, RTO/RPO), não por uma simples lista de servidores.
  2. Cenários obrigatórios de teste (5)
    • Falha de update (tipo CrowdStrike) — indisponibilidade massiva sem violação de segurança. Reuters
    • Falha de hyperscaler (GCP/Azure/M365) — perda temporária de serviços partilhados. Google Cloud Status
    • Terceiro crítico indisponível — SaaS/outsourcer falha além do seu RTO. Financial Times
    • Ransomware/compromisso de dados — decisão entre recuperação e reconstrução.
    • Falha de infraestrutura (energia/telecom)blackout regional com operação em modo degradado (UPS/geradores, comunicações alternativas) e plano de comunicação pública RTP
  3. Arquitetura resiliente para suportar falhas com segurança: segmentação, break‑glass accounts, backups imutáveis, multirregião e planos de degradação funcional (serviços mínimos viáveis).
  4. Governança e reporte: para as entidades financeiras, o DORA exige testes de resiliência, gestão de terceiros e demonstração de evidências para os supervisores; os setores NIS 2 devem alertar em 24h, notificar em 72h e emitir relatório final em e mês. Digital Strategy

 

7 métricas que importam (e que o Board percebe)

  • RTO / RPO por serviço crítico (alvo vs. conseguido em teste)
  • MTTR por tipo de incidente (média e p95)
  • Cobertura de backups restaurados (últimos 90 dias)
  • Cobertura EDR/SIEM em endpoints e servidores
  • % de runbooks testados com sucesso (e com owners)
  • Dependências de terceiros mapeadas por serviço
  • Tempo para comunicação a clientes/reguladores

 

Programa em 100 dias

  • 0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
  • 31–60 dias: exercícios executivos (table‑top NIS 2 — 24h/72h/1 mês), teste de restore, plano de comunicação.
  • 61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after‑action review com melhorias. Google Cloud Status

 

Cursos Behaviour recomendados

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Os Maiores Desafios Operacionais das Empresas em 2025

Date: Setembro 15, 2025 Author: Editor
Maiores Desafios Operacionais Empresas

 

Num cenário económico e tecnológico em constante evolução, as organizações enfrentam um desafio permanente: como alcançar eficiência, resiliência e inovação, enquanto navegam por custos elevados, riscos crescentes e uma regulação cada vez mais complexa.

Embora os desafios variem consoante o setor e o grau de maturidade das empresas, há padrões recorrentes que emergem em praticamente todas as análises de mercado. Grandes consultoras internacionais, como a McKinsey e a PwC, têm produzido estudos estratégicos que identificam os principais entraves operacionais da atualidade. Paralelamente, a ENISA — Agência da União Europeia para a Cibersegurança — desempenha um papel central na definição de políticas e na coordenação da resposta europeia a ameaças digitais, publicando relatórios técnicos e análises setoriais de elevada relevância, que complementam e aprofundam a compreensão dos riscos e desafios enfrentados pelas organizações. Destacam-se:

 

1. Eficiência e Redução de Custos

A pressão para fazer mais com menos é uma constante transversal a todos os setores. Muitas organizações continuam a operar com processos redundantes e manuais, refletindo uma digitalização ainda incompleta. A busca por ganhos de produtividade, através da automação e da integração tecnológica, deixou de ser uma opção — tornou-se uma necessidade estratégica.

 

2. Talento e Competências

Atrair e reter profissionais qualificados tornou-se um dos maiores desafios organizacionais da atualidade. A escassez de competências digitais, tecnológicas e de liderança é real e transversal a múltiplos setores. Mais do que recrutar, é essencial investir no desenvolvimento contínuo e na motivação das equipas, promovendo culturas organizacionais sólidas, inclusivas e orientadas para o crescimento.

 

3. Resiliência e Continuidade do Negócio

Crises globais, ciberataques e disrupções nas cadeias de fornecimento têm exposto vulnerabilidades estruturais em muitas organizações. Em vários casos, os planos de contingência revelaram-se desatualizados, inadequados — ou simplesmente inexistentes. Mesmo quando existem, muitos nunca foram testados, o que compromete a sua eficácia em situações reais. A resiliência deixou de ser uma vantagem competitiva: tornou-se uma prioridade estratégica para garantir a continuidade operacional em cenários de elevada imprevisibilidade.

 

4. Gestão da Cadeia de Fornecimento

A globalização trouxe eficiência, mas também dependências perigosas. Hoje, riscos geopolíticos, ambientais e tecnológicos podem paralisar operações em poucas horas. Ter visibilidade ponta a ponta da cadeia é essencial para gerir vulnerabilidades.

 

5. Transformação Digital e Tecnologia

A migração para a cloud, a adoção da inteligência artificial e a integração de IoT e automação estão a transformar profundamente os modelos operacionais das empresas. O verdadeiro desafio reside em equilibrar a inovação com a manutenção de sistemas legados, ao mesmo tempo que se assegura a proteção de dados num cenário de ameaças digitais cada vez mais sofisticadas.

 

6. Conformidade e Regulamentação

Com exigências cada vez mais rigorosas — do RGPD ao DORA, da NIS 2 aos critérios ESG —, as organizações enfrentam o desafio de alinhar os seus processos com padrões legais e normativos internacionais. A crescente complexidade do enquadramento regulatório exige que os requisitos de conformidade sejam integrados desde o planeamento estratégico até às operações do dia a dia, tornando-se um elemento central da gestão empresarial moderna.

 

7. Sustentabilidade e Pressão ESG

A responsabilidade ambiental e social deixou de ser opcional. Clientes, investidores e reguladores exigem resultados concretos. Incorporar práticas sustentáveis e de economia circular tornou-se condição para competir e manter credibilidade. Hoje, o ESG não é apenas uma mera tendência — é um novo padrão de legitimidade empresarial.

 

O maior desafio operacional das empresas não está apenas em reduzir custos ou inovar, mas em conseguir equilibrar múltiplas exigências ao mesmo tempo:

  • ser eficiente sem perder qualidade;
  • ser resiliente sem deixar de inovar;
  • ser sustentável sem comprometer resultados.

As organizações que conseguirem alinhar estes eixos — eficiência, resiliência e inovação — terão maior capacidade de competir num mercado global cada vez mais imprevisível.

 

 

Como a Behaviour pode ajudar?

Na Behaviour, acreditamos que a preparação é o alicerce da resiliência organizacional. Por isso, desenvolvemos formações especializadas que capacitam equipas para enfrentar os desafios regulatórios e operacionais mais exigentes:

 

Porque cada desafio exige conhecimento especializado, as nossas formações foram desenhadas para dar às empresas a capacidade de agir antes da crise e transformar a conformidade em vantagem competitiva.

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

 

A IA não vai substituir auditores

Date: Setembro 8, 2025 Author: Editor
inteligencia artificial auditores

 

Mas vai substituir quem a ignora.

 

A Inteligência Artificial deixou de ser futuro — é presente.
Transforma a forma como lidamos com dados, controlo, decisão e risco. E a auditoria não escapa a essa revolução.

A IA já não é uma ferramenta “nice to have”.
É uma competência crítica para quem quer continuar relevante.

Mas atenção: a IA não vai eliminar o papel do auditor humano – vai deixar obsoletos os profissionais que continuam a trabalhar como se nada tivesse mudado.

 

O que a IA já faz — e bem

 1. Análise massiva de dados em segundos
Processa milhões de registos de transações e logs em tempo real — detetando padrões invisíveis.

2. Deteção de desvios e comportamentos atípicos
Algoritmos de machine learning antecipam fraudes ou falhas operacionais.

3. Interpretação automatizada de textos
Softwares de NLP (Processamento de Linguagem Natural) avaliam contratos, políticas ou cláusulas e identificam lacunas.

4. Apoio à decisão com base no risco
A IA pode simular cenários, sugerir medidas corretivas e priorizar ações com base em risco, custo ou impacto — com rapidez e lógica.

 

Mas o que a IA ainda não faz (ou pode não fazer tão cedo)

  • Contextualizar decisões num ambiente cultural e organizacional específico
  • Interpretar intenções humanas e fatores políticos internos
  • Avaliar consequências éticas e sociais
  • Conduzir entrevistas e avaliar linguagem não verbal
  • Construir confiança e facilitar mudança cultural nas equipas

A IA amplifica o auditor — mas não o substitui.

 

O risco de ignorar a IA

Os profissionais que continuam presos a modelos manuais, a decisões baseadas em checklists ou nos resultados de análises de amostragens limitadas, vão ficar para trás.
Não porque a IA os “substituiu”, mas porque o mercado deixou de os procurar.

Não se trata apenas de “usar novas ferramentas”.
Trata-se de trabalhar com inteligência aumentada.

 

O que fazer agora? 

  • Compreender os fundamentos da IA
    Não precisa de ser programador, mas precisa de entender o básico de modelos, algoritmos, machine learning, NLP, etc.
  • Conhecer os riscos da IA
    Viés algorítmico, falta de transparência (black box), responsabilidade ética, conformidade com o AI Act europeu (Reg. 2024/1689).
  • Saber aplicar a IA em auditoria e GRC
    Usar IA para a identificação automática de riscos, apoiar na tomada de decisão, detetar padrões em relatórios ou validar controlos com maior rapidez.
  • Preparar-se para auditar sistemas que usam IA
    Hoje, já não usa apenas — já tem de estar preparado para auditar sistemas baseados em IA.
    Isso exige novos conhecimentos, normas e frameworks (ex. º ISO/IEC 42001, AI Act, NIS 2, DORA).

 

Como se pode preparar com a Behaviour

A Behaviour prepara profissionais e equipas para atuar com confiança e visão num mundo onde a IA já é parte do processo de auditoria e gestão de risco.

Cursos Behaviour que já integram estas competências — Profissionais que dominam IA, auditoria e governança de risco digital:

 

A Inteligência Artificial não vai substituir o auditor.
Vai tornar irrelevante quem continuar a ignorar o que ela representa — e como está a transformar o mundo do controlo.

Compreender, integrar e aplicar a IA com discernimento é o que vai separar os profissionais indispensáveis dos que ficarão para trás.

Porque o futuro da auditoria não pertence a quem repete.
Pertence a quem evolui.

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Como preparar a sua organização para um teste de stress cibernético sem entrar em pânico

Date: Setembro 1, 2025 Author: Editor
Testes_Stress_Ciberneticos

 

Os Cyber Stress Tests estão a chegar.
E não são uma moda passageira — são uma exigência crescente para organizações críticas, financeiras e reguladas.

A ENISA (Agência Europeia para a Cibersegurança) e os reguladores setoriais estão a empurrar as organizações para um novo patamar: simular, testar e demonstrar a sua resiliência operacional e cibernética sob pressão realista.

A pergunta já não é “se” a sua organização vai ser colocada à prova.
É “quando” — e como vai responder.”

Neste artigo explicamos o que é um teste de stress cibernético, o que pode correr mal e como preparar a sua organização com método, sem pânico e com resultados reais.

 

 

O que é um teste de stress cibernético?

Um Cyber Stress Test é um exercício estruturado que simula cenários reais de ataque ou falhas críticas com o objetivo de:

  • Testar os sistemas técnicos
  • Avaliar a prontidão das equipas
  • Verificar a capacidade de resposta, comunicação e recuperação
  • Expor pontos fracos antes que seja tarde demais

Estes testes podem ser internos ou mandatados por reguladores – como a EBA para instituições financeiras, ou a ENISA no contexto europeu.

 


O que pode falhar — se não estiver preparado

  • Falta de coordenação entre equipas (TI, segurança, operações, jurídico)
  • Processos teóricos que não funcionam sob pressão
  • Pessoas que não sabem o que fazer, ou pior: entram em pânico
  • Sistemas que falham porque ninguém os testou fora do “modo normal”
  • Comunicação desorganizada, tanto interna e externa

Um teste de stress mal preparado não só falha — como expõe fragilidades críticas que podem ser fatais num cenário real.

 

Como preparar um teste de stress cibernético com método

1. Defina o objetivo do teste
O que está a testar?

  • Resposta a incidentes?
  • Comunicação interna?
  • Recuperação de backups?
  • Continuidade de serviços críticos?
  • Tempo de reação da gestão?

O objetivo do teste define o cenário.

2. Escolha o tipo de teste

  • Tabletop exercise (TTX) – simulação em sala, com discussão de papéis e decisões
  • Walkthrough – execução guiada de procedimentos
  • Live simulation – ataque realista em ambiente de testes (ou produção controlada)

Comece com exercícios simples. Escale à medida que a maturidade da organização aumenta.

3. Simule o caos — mas com controlo
Crie um cenário credível, desafiante e ligeiramente desconfortável.

Exemplo:
“Sexta-feira, 18h10. Recebem um alerta de atividade anómala em múltiplas contas privilegiadas. Os backups parecem comprometidos. O responsável de segurança está incontactável.”
Foca a tensão real. É isso que testa a resiliência.

4. Defina papéis e responsabilidades com clareza

  • Quem coordena?
  • Quem comunica?
  • Quem aprova decisões críticas?
  • Quem ativa os planos de resposta?

Um bom exercício mede a capacidade de tomar decisões com clareza — não apenas a competência técnica.

5. Avalie, aprenda e ajuste
Após o teste:

  • O que correu bem?
  • O que falhou?
  • Que medidas devem ser revistas?
  • Quem precisa de formação adicional?

O objetivo do teste é melhorar continuamente — não obter uma nota máxima.

 

Ferramentas que pode usar

  • Matriz de impacto vs probabilidade (para definição de cenários)
  • Mapas RACI (para clarificar papéis e responsabilidades durante o exercício)
  • Playbooks de resposta a incidentes
  • Cadernos de lições aprendidas
  • Dashboards de acompanhamento em tempo real

 

Formação para equipas que precisam de estar prontas?

A Behaviour desenvolve formações que preparam equipas técnicas, operacionais e de gestão para responder com eficácia e confiança:

 

 

A verdadeira resiliência não está no plano.
Está na capacidade de agir sob stress — com foco, clareza e eficácia.

Um bom teste de stress não serve para impressionar.
Serve para corrigir antes que seja tarde demais.

Na Behaviour, ajudamos as organizações a transformar teoria em prática — e a preparar equipas que sabem o que fazerquando tudo parece estar a falhar.

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

 

Segurança em Período de Férias

Date: Agosto 4, 2025 Author: Editor
Seguranca Periodo Ferias

 

 

Cuidados essenciais para profissionais e equipas que não podem dar férias aos riscos

 

Agosto chegou. Para muitos, é tempo de descanso. Para os riscos — é oportunidade.

Quando entramos em modo verão, relaxamos, as equipas rodam e os processos abrandam. Mas os riscos mantêm-se atentos. É precisamente nesses períodos de menor vigilância que muitos dos incidentes mais graves têm origem.

Partilhamos os principais cuidados a ter antes, durante e após o período de férias, com foco na segurança da informação, continuidade do negócio e resiliência organizacional.

 

Antes das férias: preparar, proteger, delegar

 

1. Reveja e limite contas e acessos

  • Elimine acessos temporários ou não utilizados
  • Verifique permissões atribuídas a prestadores externos
  • Restrinja acessos privilegiados e garanta rastreabilidade
  • Aplique regras claras para órgãos de gestão, se necessário
  • Registe tudo — acções de desativação e reativação futuras

Acesso mínimo. Tempo limitado. Tudo rastreável.

2. Defina substitutos e procedimentos claros

  • Quem substitui quem?
  • Que decisões podem ser tomadas?
  • O que fazer em caso de incidente?

Continuidade não é só presença — é preparação e resposta.

3. Reforce a vigilância contra fraudes e phishing

  • Pagamentos urgentes em nome do CEO ausente
  • Pedidos falsos de mudança de IBAN
  • Mensagens urgentes com penalizações
  • Prémios ou sorteios falsos
  • Links fraudulentos sobre entregas
  • Cuidado com deepfakes: voz ou vídeo falsos com pedidos de acessos, transferências ou extorsão

Redobre a atenção. Aplique ciber-higiene. Reporte sempre.

4. Reveja os planos de continuidade e resposta a incidentes

  • Planos atualizados e testados com equipa reduzida?
  • Quem ativa o plano em agosto?
  • Fornecedores continuam prontos nesse período?

Um plano que não funciona em férias… não é plano.

 

Durante as férias: manter o essencial a funcionar

 

5. Cuidado com redes e Wi-Fi públicas

  • Desligue redes e equipamentos não necessários
  • Evite Wi-Fi públicas para aceder a sistemas
  • Se inevitável, use VPN da organização

A conveniência de hoje pode ser o incidente de amanhã.

6. Proteja e automatize — sem desligar totalmente

  • Automatize backups (de preferência imutáveis)
  • Ative alertas e notificações para incidentes
  • Garanta visibilidade mínima — mesmo em férias

Automação inteligente protege mesmo quando desliga.

7. Evite expor a sua ausência nas redes

  • Evite frases como “fora até setembro”
  • Evite fotos e vídeos com localização em tempo real
  • Prefira grupos fechados para partilhas pessoais

Maior pegada digital = mais oportunidade para ataques de engenharia social.

 

Depois das férias: validação e reativação

 

8. Revalide acessos e alterações feitas

  • Alguma conta temporária ainda ativa?
  • Configurações alteradas sem reversão?
  • Algum incidente não detetado?
  • Reveja logs e relatórios de segurança

Pós-férias = check-up obrigatório.

9. Atualize e valide sistemas

  • Aplique atualizações de segurança pendentes
  • Verifique backups e relatórios
  • Confirme integridade dos logs, incluindo o antivírus e a firewall

Comece com confiança. Sem dúvidas técnicas.

 

Formação recomendada?

A Behaviour ajuda equipas a antecipar riscos, responder a incidentes e reforçar a continuidade — antes, durante e depois das férias.

Cursos recomendados:

 

Preparar é proteger. Mesmo quando todos estão a desligar.

A segurança não tira férias. Mas com o planeamento certo, você pode.

Ver calendário de formações

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.