5 erros que arruínam um teste de stress cibernético

Date: Outubro 29, 2025 Author: Editor

Porque testar é necessário? Mas testar mal pode ser pior do que não testar

Os Cyber Stress Tests (testes de stress cibernético) tornaram-se uma exigência crescente em setores como o financeiro, a saúde, os serviços digitais e as infraestruturas críticas.

Mais do que uma tendência, são hoje uma ferramenta essencial para testar a capacidade real de resposta da organização a um cenário de crise. Mas atenção que, um teste mal planeado, mal executado ou mal acompanhado pode gerar falsas certezas, e ocultar fragilidades que ninguém viu chegar.

Abaixo destacamos os 5 erros mais comuns que, por si só ou em conjunto, descredibilizam e anulam o impacto de um teste de stress.

1. Falta de um objetivo claro

“Misturámos tudo para ver o que acontecia.”
Este tipo de abordagem leva a exercícios caóticos, onde ninguém sabe o que está a ser avaliado, quais os indicadores de sucesso ou que lições se pretendem tirar.

Um teste eficaz tem foco: Resposta? Comunicação? Continuidade? Recuperação?
Tudo ao mesmo tempo = nada com clareza.

O objetivo define o cenário, desafios inesperados, os participantes, os critérios e o impacto.

2. Cenários pouco realistas (ou demasiado previsíveis)

Testes que simulam “ataques genéricos” ou que apenas repetem exercícios antigos não acrescentam valor a um novo ambiente que espelha uma nova realidade tecnológica em que a exposição ao risco aumenta exponencialmente e, muitas vezes, de forma silenciosa, tirando partido de novos cenários.
Por outro lado, testes excessivamente técnicos, sem contexto de negócio, afastam os decisores e confundem os participantes.

O segredo está no equilíbrio: um cenário plausível, com elementos de surpresa, mas ligado à realidade da organização.

Exemplo eficaz:
“É sexta-feira, 18h10. A conta do administrador está a ser usada para apagar bases de dados. O gestor de segurança está fora. Quem é responsável por responder? Quando responde? Como responde?”

3. Falta de envolvimento da gestão

Se os órgãos de gestão apenas veem relatórios, perde-se a componente mais importante: a capacidade de decisão sob pressão.
Muitos testes falham porque os papéis críticos não estão atribuídos… ou estão atribuídos a quem não está presente.

Resiliência não é só técnica e prontidão, mas também liderança e governação. É decidir e ter certezas no meio de um ambiente de incertezas.

4. Não documentar, não avaliar, não corrigir

Um teste só se justifica se gerar conhecimento útil e melhoria contínua.
Realizar um exercício sem registo, sem avaliar desempenhos, sem estabelecer planos corretivos é teatro, não é preparação.

“Correr bem” não significa não falhar.
Significa identificar falhas, aprender e corrigir.

5. Testar com a equipa ideal, no cenário correto

Muitos testes são feitos com os protagonistas certos, no momento certo e com tudo preparado ao minuto.
Mas… e se o responsável estiver de férias? E se o fornecedor não responder? E se a decisão tiver de ser tomada com apenas 50% da informação?

O objetivo é testar a resposta no caos, não num laboratório. Nenhum cenário se irá materializar da forma exata que planeámos, pelo que introduzir incerteza e medir a resiliência são fatores críticos para uma resposta eficaz aquando de um cenário real.

Como fazer bem?

Definir um objetivo claro e específico
Criar um cenário credível, desafiante e relevante para o negócio
Introduzir incerteza nos momentos que tínhamos como certos
Envolver todos os níveis da organização, incluindo liderança
Medir desempenhos, identificar falhas e apresentar um plano sólido de melhoria
Repetir periodicamente e escalar a dificuldade com maturidade

Preparar equipas para testes exigentes

Com a Behaviour, as organizações aprendem a planear, executar e melhorar os seus testes de stress tendo por base normas, frameworks e a realização de exercícios reais:

Testar é mais do que cumprir uma exigência interna ou um requisito externo.
É a única forma real de saber se estamos prontos.

Mas atenção: testar mal pode ser mais perigoso do que não testar.
Porque cria a ilusão de que estamos preparados… quando ainda não estamos.

Aplicando os métodos, cenários e objetivos certos, os testes de stress transformam-se em poderosas ferramentas de maturidade organizacional.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Cibersegurança não é um departamento. É uma responsabilidade coletiva

Date: Outubro 27, 2025 Author: Editor

Ciberseguranca Responsabilidade Coletiva

Por muito robusta que seja a tecnologia, nenhuma firewall consegue proteger contra um clique errado.

A cibersegurança é, muitas vezes, vista como um território técnico, exclusivo de equipas especializadas. No entanto, os ataques mais eficazes exploram o elo mais fraco de todos: o comportamento humano.

E é por isso que a verdadeira resiliência começa nas pessoas.

A falácia da “equipa de ciber”

Ao delegar a segurança digital apenas ao “departamento de IT”, as organizações esquecem-se de um dado essencial: os agentes maliciosos já contam com essa divisão interna.

Não é preciso hackear servidores. Basta um único email bem pensado e desenhado, um ficheiro partilhado num grupo errado, um link partilhado numa mensagem de SMS ou WhatsApp ou uma password fraca usada por alguém bem-intencionado.

O risco não existe apenas nos sistemas. Está presente nas nossas rotinas, hábitos, ou mesmo nas pequenas distrações do dia a dia.

Cibersegurança começa na cultura

Organizações verdadeiramente seguras partilham um traço comum: a cibersegurança está enraizada na cultura, não apenas nos sistemas.

Um colaborador que questiona sobre um pedido que não é comum.
Um gestor que solicita provas antes de aprovar uma transferência urgente.
Uma equipa que sabe o que reportar e quando.

Tudo isto não depende de firewalls ou qualquer outra tecnologia. Depende de consciência. Formação. Liderança.

Exemplos reais de falhas humanas

Caso 1: uma empresa de retalho perdeu 3,4 milhões de euros após um email de phishing enviado ao CFO. A mensagem imitava o CEO e pedia uma transferência urgente.
Caso 2: uma colaboradora partilhou acidentalmente um link com permissões administrativas num grupo de WhatsApp da empresa.
Caso 3: um assistente comercial, sem qualquer má intenção, utilizou a mesma password em plataformas diferentes — e abriu a porta a um ataque que permitiu realizar um movimento lateral devastador.

Todos estes cenários têm algo em comum: não foram os firewalls ou a tecnologia que falharam. Foram as pessoas que não estavam preparadas.

O que cada pessoa pode (e deve) fazer

Para todos os colaboradores:

Duvidar de mensagens urgentes e fora do habitual, a urgência obriga à reação rápida sem pensar.
Nunca partilhar passwords ou quaisquer outras credenciais (ex.º cartões de acesso; tokens) — nem com colegas, uma boa intenção hoje é um risco para a organização e para o próprio colaborador.
Denunciar comportamentos suspeitos sem receio utilizando os canais apropriados.

Para líderes e gestores:

Reforçar a cultura de reporte, não basta apenas definir a direção, tem de se saber o que está a acontecer.
Garantir que a formação é prática, e não genérica – exercitar cenários reais e desafiantes permite aumentar a resiliência das pessoas e, por conseguinte, da organização.
Dar o exemplo: não clicar, não ignorar alertas, não facilitar, não solicitar exceções que possam, inadvertidamente, aumentar a exposição ao risco da organização.

Para RHs e diretores:

Incluir a cibersegurança nos planos de onboarding, acompanhar a aplicação das práticas, reforçar, consciencializar ao longo da relação contratual, e integrar práticas de cibersegurança na mudança de funções ou nos processos de offboarding.
Mapear os riscos comportamentais por função, com particular atenção para as funções com acessos privilegiados.
Investir em programas de literacia digital contínua – uma formação, workshops online, acompanhar as notícias da área, subscrever newsletters e outras informações que possamos receber de entidade reputadas de forma regular, permite-nos acompanhar a mudança digital, novos riscos e desafios.

A segurança começa na formação

Cibersegurança não se compra. Constrói-se com conhecimento, responsabilidade e compromisso coletivo.

Na Behaviour, acreditamos que as Melhores Práticas existem por uma razão: proteger, capacitar e tornar as pessoas e organizações mais resilientes.

Cursos como ISO 27001, CISSP, NIS 2 ou DORA Compliance Lead Manager não são apenas formaçãos ou certificações. São oportunidades de mudar o mindset das equipas e preparar todas as partes, não apenas os técnicos, para enfrentar os riscos com confiança e clareza.

Segurança não é um papel. É uma atitude.

Se há uma coisa que os últimos anos nos ensinaram é que nenhuma tecnologia é suficiente quando a cultura falha.

A cibersegurança do futuro não será feita apenas de firewalls, criptografia ou IA. Será feita de pessoas conscientes, equipas preparadas e decisões seguras, mesmo quando suportadas por tecnologias, mas validadas por pessoas.

Porque no fim, a pergunta certa não é “quem é responsável pela segurança?”.
A pergunta certa é: “de que forma estamos todos a contribuir para ela?”

Formação Behaviour relacionada

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

O que mudou com a NIS 2 — e por que não se pode continuar a ignorar a mudança

Date: Outubro 22, 2025 Author: Editor

A Diretiva NIS 2 (UE 2022/2555) já está em vigor em toda a União Europeia — e a maioria das organizações afetadas ainda não está preparada.

Esta não é apenas “mais uma diretiva europeia”.
É um verdadeiro divisor de águas na forma como os setores importantes, essencias e críticos (com a Diretiva CER (EU 2022/2557)) devem lidar com cibersegurança, gestão de risco e reporte de incidentes.

Se a sua organização atua em setores como energia, transportes, saúde, financeiro, digital, ou se presta serviços a entidades essenciais, este artigo é obrigatório.

O que é a NIS 2?

A NIS 2 substitui a anterior Diretiva NIS (2016/1148) e estabelece regras mais rigorosas e abrangentes para garantir a segurança das redes e sistemas de informação na UE.

Entre os principais objetivos estão:

Reduzir disparidades de segurança entre Estados-Membros
Reforçar a resiliência dos setores essenciais e digitais
Criar uma abordagem comum à gestão e reporte de riscos e incidentes

O que mudou, na prática?

1. Mais setores incluídos
A NIS 2 aplica-se agora a muito mais áreas — incluindo serviços digitais, alimentação, produtos químicos, resíduos, correios, e gestão de água potável.

2. Mais entidades abrangidas
A regra agora é: se a sua organização é essencial para o funcionamento da sociedade ou da economia, está incluída.
Não importa se a organização é pública ou privada.
Importa o impacto que se teria se parasse de funcionar.

3. Responsabilidades da gestão de topo
Os membros da administração podem ser responsabilizados pessoalmente pela não implementação de medidas adequadas de cibersegurança.

4. Reportes obrigatórios de incidentes
As organizações devem:

Notificar incidentes críticos até 24 horas após detetarem.
Atualizar informações até 72h.
Submeter relatório final até 1 mês.

5. Fiscalização, coimas e sanções
Reguladores nacionais têm agora poderes reforçados de auditoria e penalização.
Coimas podem atingir milhões de euros — e a reputação… bem, essa pode não ter recuperação.

O que as organizações devem fazer agora

Identificar se estão abrangidas
Consultar a lista de setores e tipos de entidades incluídos. A legislação nacional (como a Lei do Ciberespaço, em Portugal) já estabelece os critérios.

Avaliar o grau de maturidade atual

Existe na organização uma política formal de cibersegurança?
Existe uma abordagem sistemática à gestão de riscos TIC?
A organização está preparada para reportar incidentes em menos de 24 horas?

Implementar controlos técnicos e organizativos
Deve-se cumprir os requisitos mínimos de segurança previstos no Art. 21 da Diretiva, como:

Gestão de riscos
Gestão de incidentes
Continuidade de negócio
Segurança na cadeia de fornecimento
Ciber-higiene e formação
Criptografia, controlo de acesso e demais requisitos

Nomear responsáveis e criar governança clara
Definir quem lidera, quem executa e quem aprova as medidas de segurança.
A responsabilidade tem de ser visível, rastreável e eficaz.

Preparação exige mais do que “ler a diretiva”

A aplicação prática da NIS 2 requer:

Formação especializada
Simulações de resposta a incidentes
Auditorias internas
Atualização de políticas, procedimentos e assegurar planos de continuidade testados

Como a Behaviour pode ajudar

Somos especialistas em formar profissionais e equipas para liderarem a implementação, a auditoria e a conformidade com a NIS 2:

Estes cursos não são apenas técnicos.
São pensados para quem lidera, decide, implementa e responde.

A NIS 2 já está em vigor. A fiscalização já começou. E a sua organização?

Preparar-se não é uma opção.
É uma responsabilidade legal, ética e estratégica.

O que está em jogo não é só a conformidade.
É a continuidade do teu negócio, a confiança dos clientes e o futuro da reputação da organização.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Gestão do Risco em 2025: como decidir melhor, priorizar investimentos e provar que controla o que mais importa

Date: Outubro 20, 2025 Author: Editor

Reguladores, clientes e conselhos de administração já não querem apenas promessas — necessitam de evidências de gestão do risco, e o garante da gestão do risco integrada nas práticas do dia‑a‑dia.

Porque ganhou destaque este tema agora?

São quatro os requisitos que estão a colocar a gestão do risco no centro das decisões:

DORA aplica‑se desde 17 de janeiro de 2025 ao setor financeiro e impõe avaliação contínua de riscos TIC, testes de resiliência e controlo de terceiros críticos. ESMA
NIS 2 em Portugal: em setembro de 2025, a Assembleia da República aprovou a transposição, faltando promulgação e publicação — com obrigações claras de gestão de risco e reporting de incidentes em 24h/72h/1 mês. apdc.pt
AI Act: em vigor desde 1 de agosto de 2024, com fases de aplicação em 2025–2027, exige sistema de gestão de risco para IA de alto risco e regras específicas para modelos de propósito geral. Digital Strategy
Cyber Resilience Act (CRA): em vigor desde 10 de dezembro de 2024; as principais obrigações aplicam‑se a partir de 11 de dezembro de 2027, reforçando segurança por conceção e gestão de vulnerabilidades em produtos digitais. Digital Strategy

E a realidade confirma a necessidade: paragens operacionais e ataques à cadeia de fornecimento estão a gerar perdas elevadas em 2024/25 — do outage global causado por atualização defeituosa de software (efeito dominó em vários setores) a incidentes recentes que paralisam a produção e a distribuição. Reuters

O que é gestão do risco “moderna” (e acionável)?

A boa gestão do risco não é um relatório anual: é disciplina de gestão com quatro camadas.

1) Governo e apetite ao risco

Apetite e tolerância aprovados pela gestão de topo: o que aceitamos perder (financeiro, reputacional, legal, operacional)?
Papéis claros: quem é risk owner, control owner e process owner na gestão do risco?
Ciclo de decisão: como priorizamos? Quem aprova aceitar/transferir/mitigar/evitar?

2) Processo baseado em normas (ISO 31000 + ISO/IEC 27005)

Identificar: riscos estratégicos, operacionais, de informação, terceiros, regulatórios e IA.
Analisar e avaliar: probabilidade/impacto, cenários (melhor, provável, pior), dependências.
Tratar: mitigar, transferir (seguros/contratos), aceitar ou evitar, com planos e donos.
Monitorizar e rever: KRIs, auditoria interna, testes e lessons learned.

3) Integração com continuidade, segurança e conformidade

Incidentes: um risco materializado alimenta o processo (causa‑raiz, perdas, melhorias).
Continuidade: alinhar BIA, RTO, RPO com o registo de riscos e testes de crise.
Conformidade: mapear controlos exigidos por DORA/NIS 2/AI Act/CRA ao tratamento de riscos (um controlo pode cobrir vários requisitos).

4) Evidências e métricas (para auditor e para o Board)

Mapa de riscos “vivo” com status dos planos de tratamento.
KPIs/KRIs:
- % de riscos críticos com tratamento em dia
- Tempo médio até mitigação (por prioridade)
- Cobertura de controlos (ex.: MFA, EDR/SIEM, backups testados)
- Exposição de fornecedores críticos por serviço
- Tempo de reporte (NIS 2: early warning 24h, notificação 72h, relatório final 1 mês). Digital Strategy

Taxonomia prática de riscos para 2025

Use uma linguagem comum e completa — e evite “caixas‑outros”:

Tecnologia & Operações: indisponibilidade (cloud, M365), mudança mal sucedida, latência, perda de dados.
Cibersegurança: ransomware, phishing com deepfakes, exploração de vulnerabilidades, supply chain.
Informação & Privacidade: violação de dados, retenção excessiva, base legal frágil, shadow data.
Terceiros & Quarto Nível: SaaS, outsourcing TIC, fabricantes de software, integradores.
Regulatório & Legal: sanções por DORA/NIS 2/RGPD/CRA, falhas de reporte, cláusulas contratuais.

IA & Modelos: erro sistémico de modelo, drift, uso de dados pessoais sem base legal, violações do AI Act (alto risco).

Como priorizar (sem complicar)

0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
31–60 dias: exercícios executivos (table‑top NIS 2 — 24h/72h/1 mês), teste de restore, plano de comunicação.
61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after‑action review com melhorias. Google Cloud Status

Programa de 90 dias (executável)

Dias 0–30 — Foto realista

Workshop de contexto, apetites e critérios (topo e risk owners).
Inventário de serviços críticos e fornecedores críticos (contratos, RTO/RPO, cláusulas de segurança).
Rapid gap‑assessment face a DORA/NIS 2/AI Act (só controlos e evidências).

Dias 31–60 — Reduzir risco material

Fechar quick wins: MFA universal, hardening de endpoints/identidades, backups imutáveis testados, cobertura EDR/SIEM ≥95%.
Runbooks de incidente e continuidade: comunicação, decisão, reporte (NIS 2).

Dias 61–90 — Provar que funciona

Exercício de crise com cenário realista (ex.: atualização defeituosa de software/fornecedor crítico indisponível).
Table‑top NIS 2 (24h/72h/1 mês) e simulation audit DORA.
Dashboard de KRIs/KPIs para o Board e plano de melhorias trimestral.

Checklist rápido (para não falhar o essencial)

Apetite ao risco aprovado e comunicado
Registo único de riscos (com donos e prazos)
Avaliações de risco documentadas e repetíveis (ISO 31000/27005)
Controlo de terceiros: due diligence, SLAs, RTO/RPO, direito de auditoria
Mapa de dependências (serviços ↔ fornecedores ↔ dados críticos)
Métricas ativas (KRIs) e triggers de escalamento
Plano de resposta a incidentes e continuidade testados
Evidências prontas para auditor/regulador (logs, relatórios, atas, decisões)
Calendário de reporte NIS 2 e playbooks preenchidos
Revisões trimestrais e after‑action reviews

Três erros comuns (e o antídoto)

“Um mapa bonito, mas nada acontece” → converta cada risco em tarefa com dono e data; reporte ao Board o delta mês a mês.
Terceiros “de confiança”, mas sem evidências → solicite relatórios independentes, teste o restore, valide cláusulas de notificação e segurança.
Riscos de IA ignorados → crie um ciclo de vida de modelos com avaliação de risco, drift, explicabilidade e base legal para dados pessoais.

Cursos Behaviour recomendados (para transformar este artigo em prática)

ISO 31000 Lead Manager (framework transversal, apetite ao risco, KRIs, integração com continuidade)
ISO 27005 Manager (métodos de avaliação de risco aplicados à Segurança da Informação, alinhado com ISO/IEC 27001)
NIS 2 Compliance Lead Manager (gestão de risco, medidas do Art. 21 e regime de reporte 24h/72h/1 mês)
DORA Compliance Lead Manager (integração de riscos TIC, terceiros críticos e testes de resiliência em entidades financeiras)
ISO 27001 Lead Implementer (do risco aos controlos e evidências auditáveis no SGSI)
ISO 27001 Lead Auditor (do risco aos controlos e evidências auditáveis no SGSI)

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Frameworks vs Regulamentos: o que realmente precisa de implementar?

Date: Outubro 15, 2025 Author: Editor

Frameworks_Regulamentos_realmente_precisa_implementar

Num mundo saturado de normas, standards, diretivas e regulamentos, muitas organizações enfrentam a mesma dúvida:

Afinal, devemos implementar o quê? A ISO/IEC 27001? O NIST? A NIS 2? O DORA? Tudo?

A resposta certa não é “um ou outro”.
É: o que faz sentido e é exigido para a sua realidade, os seus riscos e as suas obrigações legais.

Neste artigo, vamos clarificar as diferenças entre frameworks e regulamentos, e ajudar a perceber o que deve mesmo implementar — e porquê.

Frameworks: linhas orientadoras, não imposições

Frameworks são conjuntos de boas práticas, estruturas lógicas e recomendações que orientam a implementação de sistemas de gestão, segurança ou governação.

São voluntárias, mas altamente valorizadas por serem práticas comprovadas e testadas pelo mercado, especialmente em auditorias, concursos públicos, relações com clientes e gestão de risco reputacional.

Exemplos de frameworks:
- ISO/IEC 27001 – Gestão da segurança da informação
- ISO 22301 – Continuidade de negócio
- NIST CSF – Framework de cibersegurança (EUA)
- COBIT 2019 – Governação e gestão de IT
- CSA CCM – Controlo de segurança em cloud
- CSA AICM – Controlo de tecnologias de IA

Porque implementar?
- Demonstram maturidade organizacional
- Permitem alinhamento com normas internacionais
- São reconhecidas globalmente
- Ajudam a preparar para regulamentos futuros
- Suportam certificações que aumentam credibilidade

Regulamentos e diretivas: obrigações legais

Os regulamentos e diretivas são instrumentos jurídicos da União Europeia. Têm força legal e devem ser cumpridos por todas as entidades abrangidas.

A não conformidade pode resultar em sanções, coimas, perda de contratos ou processos judiciais.

Exemplos:
- NIS 2 (2022/2555) – Segurança de redes e sistemas em setores essenciais
- DORA (2022/2554) – Resiliência operacional no setor financeiro
- Cyber Resilience Act (2024/2847) – Segurança de produtos digitais no mercado europeu
- RGPD (2016/679) – Proteção de dados pessoais
- AI Act (2024/1689) – Regulação de sistemas de inteligência artificial
Porque cumprir?
- Obrigação legal direta
- Fiscalização por entidades reguladoras nacionais
- Penalizações significativas em caso de incumprimento
- Reputação em risco em caso de incidente não reportado ou não gerido

O erro comum: aplicar só frameworks… quando já tem obrigações legais

Muitas organizações implementam a ISO/IEC 27001 ou o NIST CSF e assumem que isso é suficiente para cumprir regulamentos como a NIS 2 ou o DORA. Mas, não é suficiente, é preciso ir mais longe.

As frameworks ajudam, mas não substituem as obrigações específicas.

Exemplo:

A ISO/IEC 27001 ajuda a estruturar e a gerir a segurança da informação definindo requisitos genéricos.
Mas a NIS 2 exige o cumprimento de requisitos específicos, por exemplo, reporting em 24h, responsabilização e compromissos específicos da gestão de topo, mapeamento da cadeia de fornecimento, entre outros pontos que vão além da ISO.

O que implementar, então?

Se está num setor importante, essencial ou crítico:

Implemente os regulamentos aplicáveis (NIS 2, DORA, CRE, CRA…)
Complemente com frameworks como a ISO/IEC 27001, ISO 22301, NIST CSF para garantir robustez e maturidade

Se ainda não tem obrigações legais diretas:

Comece por frameworks reconhecidas (ex: ISO/IEC 27001, NIST CSF)
Antecipe regulamentação futura
Reduza riscos e aumente a confiança do mercado

Dica prática: mapa cruzado

Muitas formações da Behaviour incluem mapas de correspondência entre regulamentos e frameworks. Por exemplo:

Com a ISO/IEC 27001 suporta a conformidade com a NIS 2
Com a ISO 22301 suporta os requisitos do DORA
Com os NIST CSF e SSDF reforça a preparação para o CRA

Isto permite maximizar esforços e evitar trabalho duplicado.

Formação recomendada para alinhar frameworks e regulamentos

Frameworks guiam.
Regulamentos obrigam.

A chave está em saber quando usar cada um e como integrá-los.

Quem aposta só no mínimo legal, cumpre.
Quem combina frameworks + regulamentos, lidera.

Na Behaviour, formamos profissionais e equipas para atuarem com confiança, clareza e visão, seja para obter certificação, garantir conformidade ou criar vantagem competitiva.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Continuidade do Negócio: o risco deixou de ser uma hipótese, tornou-se o novo normal

Date: Outubro 13, 2025 Author: Editor

Continuidade_Negocio_Risco_deixou_hipotese_tornou

Incidentes tecnológicos e falhas de terceiros mostram que resiliência é disciplina diária, não um dossiê guardado na gaveta.

Casos recentes que provaram este facto são:

Outage global do CrowdStrike (jul/2024): atualização defeituosa provocou BSOD (Blue Screen of Death) em milhões de sistemas Windows e parou operações em múltiplos setores — um “mega‑incidente” sem intrusão maliciosa Reuters
Apagão ibérico (28/abr/2025): falha elétrica massiva imobilizou Portugal e Espanha durante horas (transportes, semáforos, redes móveis), com reposição gradual do serviço. Relatórios nacionais indicam como origem técnica a rede ibérica (não existindo indícios de ciberataque) RTP
Google Cloud (12/jun/2025): interrupção com impacto em plataformas populares (ex.: Spotify, Fitbit), expondo dependência de hyperscalers. Google Cloud Status
Microsoft 365/Outlook (jul/2025): perturbação prolongada (~19h) com paralisação de e‑mail/calendários — erros de configuração, não existindo indícios de ciberataque. Computerworld
Ataques via fornecedores: aumento significativo de incidentes na e através da supply chain em 2024/25. Financial Times
Custos de indisponibilidade: estudos de 2025 demonstram perdas por hora significativas e uma tendência de subestimação pelas empresas. IT Pro

O que é continuidade “moderna”?

Do cenário técnico ao impacto no cliente: comece pelo BIA (serviços críticos, RTO/RPO), não por uma simples lista de servidores.
Cenários obrigatórios de teste (5)
- Falha de update (tipo CrowdStrike) — indisponibilidade massiva sem violação de segurança. Reuters
- Falha de hyperscaler (GCP/Azure/M365) — perda temporária de serviços partilhados. Google Cloud Status
- Terceiro crítico indisponível — SaaS/outsourcer falha além do seu RTO. Financial Times
- Ransomware/compromisso de dados — decisão entre recuperação e reconstrução.
- Falha de infraestrutura (energia/telecom) — blackout regional com operação em modo degradado (UPS/geradores, comunicações alternativas) e plano de comunicação pública RTP
Arquitetura resiliente para suportar falhas com segurança: segmentação, break‑glass accounts, backups imutáveis, multirregião e planos de degradação funcional (serviços mínimos viáveis).
Governança e reporte: para as entidades financeiras, o DORA exige testes de resiliência, gestão de terceiros e demonstração de evidências para os supervisores; os setores NIS 2 devem alertar em 24h, notificar em 72h e emitir relatório final em e mês. Digital Strategy

7 métricas que importam (e que o Board percebe)

RTO / RPO por serviço crítico (alvo vs. conseguido em teste)
MTTR por tipo de incidente (média e p95)
Cobertura de backups restaurados (últimos 90 dias)
Cobertura EDR/SIEM em endpoints e servidores
% de runbooks testados com sucesso (e com owners)
Dependências de terceiros mapeadas por serviço
Tempo para comunicação a clientes/reguladores

Programa em 100 dias

0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
31–60 dias: exercícios executivos (table‑top NIS 2 — 24h/72h/1 mês), teste de restore, plano de comunicação.
61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after‑action review com melhorias. Google Cloud Status

Cursos Behaviour recomendados

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Os Maiores Desafios Operacionais das Empresas em 2025

Date: Setembro 15, 2025 Author: Editor

Num cenário económico e tecnológico em constante evolução, as organizações enfrentam um desafio permanente: como alcançar eficiência, resiliência e inovação, enquanto navegam por custos elevados, riscos crescentes e uma regulação cada vez mais complexa.

Embora os desafios variem consoante o setor e o grau de maturidade das empresas, há padrões recorrentes que emergem em praticamente todas as análises de mercado. Grandes consultoras internacionais, como a McKinsey e a PwC, têm produzido estudos estratégicos que identificam os principais entraves operacionais da atualidade. Paralelamente, a ENISA — Agência da União Europeia para a Cibersegurança — desempenha um papel central na definição de políticas e na coordenação da resposta europeia a ameaças digitais, publicando relatórios técnicos e análises setoriais de elevada relevância, que complementam e aprofundam a compreensão dos riscos e desafios enfrentados pelas organizações. Destacam-se:

1. Eficiência e Redução de Custos

A pressão para fazer mais com menos é uma constante transversal a todos os setores. Muitas organizações continuam a operar com processos redundantes e manuais, refletindo uma digitalização ainda incompleta. A busca por ganhos de produtividade, através da automação e da integração tecnológica, deixou de ser uma opção — tornou-se uma necessidade estratégica.

2. Talento e Competências

Atrair e reter profissionais qualificados tornou-se um dos maiores desafios organizacionais da atualidade. A escassez de competências digitais, tecnológicas e de liderança é real e transversal a múltiplos setores. Mais do que recrutar, é essencial investir no desenvolvimento contínuo e na motivação das equipas, promovendo culturas organizacionais sólidas, inclusivas e orientadas para o crescimento.

3. Resiliência e Continuidade do Negócio

Crises globais, ciberataques e disrupções nas cadeias de fornecimento têm exposto vulnerabilidades estruturais em muitas organizações. Em vários casos, os planos de contingência revelaram-se desatualizados, inadequados — ou simplesmente inexistentes. Mesmo quando existem, muitos nunca foram testados, o que compromete a sua eficácia em situações reais. A resiliência deixou de ser uma vantagem competitiva: tornou-se uma prioridade estratégica para garantir a continuidade operacional em cenários de elevada imprevisibilidade.

4. Gestão da Cadeia de Fornecimento

A globalização trouxe eficiência, mas também dependências perigosas. Hoje, riscos geopolíticos, ambientais e tecnológicos podem paralisar operações em poucas horas. Ter visibilidade ponta a ponta da cadeia é essencial para gerir vulnerabilidades.

5. Transformação Digital e Tecnologia

A migração para a cloud, a adoção da inteligência artificial e a integração de IoT e automação estão a transformar profundamente os modelos operacionais das empresas. O verdadeiro desafio reside em equilibrar a inovação com a manutenção de sistemas legados, ao mesmo tempo que se assegura a proteção de dados num cenário de ameaças digitais cada vez mais sofisticadas.

6. Conformidade e Regulamentação

Com exigências cada vez mais rigorosas — do RGPD ao DORA, da NIS 2 aos critérios ESG —, as organizações enfrentam o desafio de alinhar os seus processos com padrões legais e normativos internacionais. A crescente complexidade do enquadramento regulatório exige que os requisitos de conformidade sejam integrados desde o planeamento estratégico até às operações do dia a dia, tornando-se um elemento central da gestão empresarial moderna.

7. Sustentabilidade e Pressão ESG

A responsabilidade ambiental e social deixou de ser opcional. Clientes, investidores e reguladores exigem resultados concretos. Incorporar práticas sustentáveis e de economia circular tornou-se condição para competir e manter credibilidade. Hoje, o ESG não é apenas uma mera tendência — é um novo padrão de legitimidade empresarial.

O maior desafio operacional das empresas não está apenas em reduzir custos ou inovar, mas em conseguir equilibrar múltiplas exigências ao mesmo tempo:

ser eficiente sem perder qualidade;
ser resiliente sem deixar de inovar;
ser sustentável sem comprometer resultados.

As organizações que conseguirem alinhar estes eixos — eficiência, resiliência e inovação — terão maior capacidade de competir num mercado global cada vez mais imprevisível.

Como a Behaviour pode ajudar?

Na Behaviour, acreditamos que a preparação é o alicerce da resiliência organizacional. Por isso, desenvolvemos formações especializadas que capacitam equipas para enfrentar os desafios regulatórios e operacionais mais exigentes:

ISO 27001 Lead Auditor – para fortalecer sistemas de gestão da segurança da informação e reduzir riscos tecnológicos.
ISO 22301 Lead Implementer – para estruturar planos de continuidade de negócio sólidos e testados.
NIS 2 Compliance Lead Manager – para alinhar a organização com as novas obrigações legais da União Europeia.
Certified DORA Compliance Lead Manager – para garantir conformidade com o regulamento financeiro que transforma a gestão de riscos TIC.
ISO 31000 Lead Manager – para integrar a gestão de riscos em toda a organização, incluindo cadeia de fornecimento.
Artificial Intelligence Act Foundation & ISO/IEC 42001 (Foundation / Lead Implementer / Lead Auditor) – para preparar equipas na adoção ética e regulada da Inteligência Artificial.

Porque cada desafio exige conhecimento especializado, as nossas formações foram desenhadas para dar às empresas a capacidade de agir antes da crise e transformar a conformidade em vantagem competitiva.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

A IA não vai substituir auditores

Date: Setembro 8, 2025 Author: Editor

Mas vai substituir quem a ignora.

A Inteligência Artificial deixou de ser futuro — é presente.
Transforma a forma como lidamos com dados, controlo, decisão e risco. E a auditoria não escapa a essa revolução.

A IA já não é uma ferramenta “nice to have”.
É uma competência crítica para quem quer continuar relevante.

Mas atenção: a IA não vai eliminar o papel do auditor humano – vai deixar obsoletos os profissionais que continuam a trabalhar como se nada tivesse mudado.

O que a IA já faz — e bem

1. Análise massiva de dados em segundos
Processa milhões de registos de transações e logs em tempo real — detetando padrões invisíveis.

2. Deteção de desvios e comportamentos atípicos
Algoritmos de machine learning antecipam fraudes ou falhas operacionais.

3. Interpretação automatizada de textos
Softwares de NLP (Processamento de Linguagem Natural) avaliam contratos, políticas ou cláusulas e identificam lacunas.

4. Apoio à decisão com base no risco
A IA pode simular cenários, sugerir medidas corretivas e priorizar ações com base em risco, custo ou impacto — com rapidez e lógica.

Mas o que a IA ainda não faz (ou pode não fazer tão cedo)

Contextualizar decisões num ambiente cultural e organizacional específico
Interpretar intenções humanas e fatores políticos internos
Avaliar consequências éticas e sociais
Conduzir entrevistas e avaliar linguagem não verbal
Construir confiança e facilitar mudança cultural nas equipas

A IA amplifica o auditor — mas não o substitui.

O risco de ignorar a IA

Os profissionais que continuam presos a modelos manuais, a decisões baseadas em checklists ou nos resultados de análises de amostragens limitadas, vão ficar para trás.
Não porque a IA os “substituiu”, mas porque o mercado deixou de os procurar.

Não se trata apenas de “usar novas ferramentas”.
Trata-se de trabalhar com inteligência aumentada.

O que fazer agora?

Compreender os fundamentos da IA
Não precisa de ser programador, mas precisa de entender o básico de modelos, algoritmos, machine learning, NLP, etc.
Conhecer os riscos da IA
Viés algorítmico, falta de transparência (black box), responsabilidade ética, conformidade com o AI Act europeu (Reg. 2024/1689).
Saber aplicar a IA em auditoria e GRC
Usar IA para a identificação automática de riscos, apoiar na tomada de decisão, detetar padrões em relatórios ou validar controlos com maior rapidez.
Preparar-se para auditar sistemas que usam IA
Hoje, já não usa apenas — já tem de estar preparado para auditar sistemas baseados em IA.
Isso exige novos conhecimentos, normas e frameworks (ex. º ISO/IEC 42001, AI Act, NIS 2, DORA).

Como se pode preparar com a Behaviour

A Behaviour prepara profissionais e equipas para atuar com confiança e visão num mundo onde a IA já é parte do processo de auditoria e gestão de risco.

Cursos Behaviour que já integram estas competências — Profissionais que dominam IA, auditoria e governança de risco digital:

Artificial Intelligence Act Foundation – Domina os requisitos do Regulamento AI Act e a conformidade legal.
AI ISO 42001 Foundation – Introdução à norma ISO 42001 e sistemas de gestão responsáveis de IA.
AI ISO 42001 Lead Implementer – Implementa sistemas de gestão de IA com base na norma.
AI ISO 42001 Lead Auditor – Audita Sistemas de Gestão de IA conforme a ISO 42001.
Cybersecurity Professional (CSP) – Integra IA, DORA, NIS 2 e segurança técnica.
CISA (Information Systems Auditor) Curso Preparação – Auditoria de sistemas em ambientes IA e GRC.
ISO/IEC 27001 Lead Auditor – Avalia SGSI integrados com IA.
DORA Compliance Lead Manager – Conformidade IA em serviços financeiros regulados.
NIS 2 Compliance Lead Manager – Resiliência e governança digital em cenários IA.

A Inteligência Artificial não vai substituir o auditor.
Vai tornar irrelevante quem continuar a ignorar o que ela representa — e como está a transformar o mundo do controlo.

Compreender, integrar e aplicar a IA com discernimento é o que vai separar os profissionais indispensáveis dos que ficarão para trás.

Porque o futuro da auditoria não pertence a quem repete.
Pertence a quem evolui.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Como preparar a sua organização para um teste de stress cibernético sem entrar em pânico

Date: Setembro 1, 2025 Author: Editor

Os Cyber Stress Tests estão a chegar.
E não são uma moda passageira — são uma exigência crescente para organizações críticas, financeiras e reguladas.

A ENISA (Agência Europeia para a Cibersegurança) e os reguladores setoriais estão a empurrar as organizações para um novo patamar: simular, testar e demonstrar a sua resiliência operacional e cibernética sob pressão realista.

A pergunta já não é “se” a sua organização vai ser colocada à prova.
É “quando” — e como vai responder.”

Neste artigo explicamos o que é um teste de stress cibernético, o que pode correr mal e como preparar a sua organização com método, sem pânico e com resultados reais.

O que é um teste de stress cibernético?

Um Cyber Stress Test é um exercício estruturado que simula cenários reais de ataque ou falhas críticas com o objetivo de:

Testar os sistemas técnicos
Avaliar a prontidão das equipas
Verificar a capacidade de resposta, comunicação e recuperação
Expor pontos fracos antes que seja tarde demais

Estes testes podem ser internos ou mandatados por reguladores – como a EBA para instituições financeiras, ou a ENISA no contexto europeu.

O que pode falhar — se não estiver preparado

Falta de coordenação entre equipas (TI, segurança, operações, jurídico)
Processos teóricos que não funcionam sob pressão
Pessoas que não sabem o que fazer, ou pior: entram em pânico
Sistemas que falham porque ninguém os testou fora do “modo normal”
Comunicação desorganizada, tanto interna e externa

Um teste de stress mal preparado não só falha — como expõe fragilidades críticas que podem ser fatais num cenário real.

Como preparar um teste de stress cibernético com método

1. Defina o objetivo do teste
O que está a testar?

Resposta a incidentes?
Comunicação interna?
Recuperação de backups?
Continuidade de serviços críticos?
Tempo de reação da gestão?

O objetivo do teste define o cenário.

2. Escolha o tipo de teste

Tabletop exercise (TTX) – simulação em sala, com discussão de papéis e decisões
Walkthrough – execução guiada de procedimentos
Live simulation – ataque realista em ambiente de testes (ou produção controlada)

Comece com exercícios simples. Escale à medida que a maturidade da organização aumenta.

3. Simule o caos — mas com controlo
Crie um cenário credível, desafiante e ligeiramente desconfortável.

Exemplo:
“Sexta-feira, 18h10. Recebem um alerta de atividade anómala em múltiplas contas privilegiadas. Os backups parecem comprometidos. O responsável de segurança está incontactável.”
Foca a tensão real. É isso que testa a resiliência.

4. Defina papéis e responsabilidades com clareza

Quem coordena?
Quem comunica?
Quem aprova decisões críticas?
Quem ativa os planos de resposta?

Um bom exercício mede a capacidade de tomar decisões com clareza — não apenas a competência técnica.

5. Avalie, aprenda e ajuste
Após o teste:

O que correu bem?
O que falhou?
Que medidas devem ser revistas?
Quem precisa de formação adicional?

O objetivo do teste é melhorar continuamente — não obter uma nota máxima.

Ferramentas que pode usar

Matriz de impacto vs probabilidade (para definição de cenários)
Mapas RACI (para clarificar papéis e responsabilidades durante o exercício)
Playbooks de resposta a incidentes
Cadernos de lições aprendidas
Dashboards de acompanhamento em tempo real

Formação para equipas que precisam de estar prontas?

A Behaviour desenvolve formações que preparam equipas técnicas, operacionais e de gestão para responder com eficácia e confiança:

DORA Compliance Lead Manager – Concretiza o Regulamento DORA com uma abordagem prática para o setor financeiro e entidades TIC.
NIS 2 Compliance Lead Manager – Aplica a Diretiva NIS 2 com clareza e precisão, incluindo a legislação nacional portuguesa.
ISO 22301 Lead Implementer – Continuidade de Negócio
ISO/IEC 27001 Lead Implementer – Segurança da Informação
Cybersecurity Professional (CSP) – com exercícios práticos

A verdadeira resiliência não está no plano.
Está na capacidade de agir sob stress — com foco, clareza e eficácia.

Um bom teste de stress não serve para impressionar.
Serve para corrigir antes que seja tarde demais.

Na Behaviour, ajudamos as organizações a transformar teoria em prática — e a preparar equipas que sabem o que fazer… quando tudo parece estar a falhar.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Segurança em Período de Férias

Date: Agosto 4, 2025 Author: Editor

Cuidados essenciais para profissionais e equipas que não podem dar férias aos riscos

Agosto chegou. Para muitos, é tempo de descanso. Para os riscos — é oportunidade.

Quando entramos em modo verão, relaxamos, as equipas rodam e os processos abrandam. Mas os riscos mantêm-se atentos. É precisamente nesses períodos de menor vigilância que muitos dos incidentes mais graves têm origem.

Partilhamos os principais cuidados a ter antes, durante e após o período de férias, com foco na segurança da informação, continuidade do negócio e resiliência organizacional.

Antes das férias: preparar, proteger, delegar

1. Reveja e limite contas e acessos

Elimine acessos temporários ou não utilizados
Verifique permissões atribuídas a prestadores externos
Restrinja acessos privilegiados e garanta rastreabilidade
Aplique regras claras para órgãos de gestão, se necessário
Registe tudo — acções de desativação e reativação futuras

Acesso mínimo. Tempo limitado. Tudo rastreável.

2. Defina substitutos e procedimentos claros

Quem substitui quem?
Que decisões podem ser tomadas?
O que fazer em caso de incidente?

Continuidade não é só presença — é preparação e resposta.

3. Reforce a vigilância contra fraudes e phishing

Pagamentos urgentes em nome do CEO ausente
Pedidos falsos de mudança de IBAN
Mensagens urgentes com penalizações
Prémios ou sorteios falsos
Links fraudulentos sobre entregas
Cuidado com deepfakes: voz ou vídeo falsos com pedidos de acessos, transferências ou extorsão

Redobre a atenção. Aplique ciber-higiene. Reporte sempre.

4. Reveja os planos de continuidade e resposta a incidentes

Planos atualizados e testados com equipa reduzida?
Quem ativa o plano em agosto?
Fornecedores continuam prontos nesse período?

Um plano que não funciona em férias… não é plano.

Durante as férias: manter o essencial a funcionar

5. Cuidado com redes e Wi-Fi públicas

Desligue redes e equipamentos não necessários
Evite Wi-Fi públicas para aceder a sistemas
Se inevitável, use VPN da organização

A conveniência de hoje pode ser o incidente de amanhã.

6. Proteja e automatize — sem desligar totalmente

Automatize backups (de preferência imutáveis)
Ative alertas e notificações para incidentes
Garanta visibilidade mínima — mesmo em férias

Automação inteligente protege mesmo quando desliga.

7. Evite expor a sua ausência nas redes

Evite frases como “fora até setembro”
Evite fotos e vídeos com localização em tempo real
Prefira grupos fechados para partilhas pessoais

Maior pegada digital = mais oportunidade para ataques de engenharia social.

Depois das férias: validação e reativação

8. Revalide acessos e alterações feitas

Alguma conta temporária ainda ativa?
Configurações alteradas sem reversão?
Algum incidente não detetado?
Reveja logs e relatórios de segurança

Pós-férias = check-up obrigatório.

9. Atualize e valide sistemas

Aplique atualizações de segurança pendentes
Verifique backups e relatórios
Confirme integridade dos logs, incluindo o antivírus e a firewall

Comece com confiança. Sem dúvidas técnicas.

Formação recomendada?

A Behaviour ajuda equipas a antecipar riscos, responder a incidentes e reforçar a continuidade — antes, durante e depois das férias.

Cursos recomendados:

Preparar é proteger. Mesmo quando todos estão a desligar.

A segurança não tira férias. Mas com o planeamento certo, você pode.

Ver calendário de formações

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.