Cibersegurança

Continuity by Design: reduzir o risco de concentração em cloud e terceiros

Date: Novembro 24, 2025 Author: Editor
Reduzir Risco Cloud Terceiros (Instagram)

Continuidade & Resiliência • Artigo

Depois do que aconteceu, a pergunta já não é “o que pode acontecer” – é “quanto tempo demora a repôr?”

⏱️ Leitura estimada: 9 minutos

Dependências de hyperscalers, falhas sistémicas e concentração de terceiros estão a mudar a exigência: provar capacidade de continuidade e recuperação, com evidência e testes.

Depois de Google Cloud (12/jun/2025), Microsoft 365 (jul/2025) e do apagão ibérico (28/abr/2025), a questão deixou de ser “o que pode acontecer” e passou a ser “quanto tempo irá demorar a repôr os serviços e voltar a servir o cliente?”  

Porque falar disto agora?

  • Dependências de hyperscalers: a falha de 12/jun/2025 afetou múltiplas aplicações populares e expôs o impacto transversal de um único ponto de falha na identidade/serviços partilhados. status.cloud.google.com
  • Impactos na produtividade derivados de SPOF’s: em julho, os utilizadores do Outlook/M365 ficaram horas sem e-mail/calendário até serem aplicadas as medidas corretivas necessárias de configuração. Um lembrete de que para “trabalhar” as organizações dependem de” serviços SaaS críticos”, tais como, aplicações simples e supostamente identificadas como “não críticas” numa avaliação de impacto comum. AP News
  • Falhas na infraestrutura e serviços de suporte, fora do controlo da organização, e não nas TI da organização. O efeito sistémico do evento disruptivo desafiou a resiliência do ecosistema onde vivem muitas orgaizações: o apagão ibérico foi classificado pela ERSE como ICS 3 – Blackout (o nível mais grave da ENTSO-E), e mostrou que energia/telecom são dependências operacionais diretas. Muitas organizações sentiram o impacto real de um evento disruptivo que afetou em cascata todo o seu ecosistema. erse.pt
  • Supervisores europeus alertam para o risco de concentração e dependência: a concentração de muitos serviços críticos em apenas alguns prestadores de TI, ou a utilização por muitas entidades Essencias e Críticas de serviços de apenas alguns prestadores de TI mais visiveis e “reputados” no mercado (devido ao facto de promovem maiores níveis de confiança), com operação na EU (mas, na sua maioria, “Não Europeus”), aumenta o risco e a dependência para essas entidades, e destaca a críticidade desses prestadores de TI específicos. Atentos a este facto, os reguladores e supervisores europeus vêm destacar a necessidade de reforçar as medidas de gestão do risco, cibersegurança e controlo a implementar por estas partes, de modo a reduzir os riscos de concentração e contagio de todo o ecosistema de serviços dependentes. Destacam-se das diretivas europeias transpostas para legilação nacional como o NIS 2 e a CER, e os regulamentos setoriais “lex specialis” como por exemplo, o DORA, para o setor financeiro e prestadores de serviços TI, que já se aplica desde 17 jan 2025. ESMA, ou extensões e regras especificas, como no setor a aviação a Diretiva NIS 2 (lex generalis) + Regras EASA Part IS (lex specialis) – onde se incluem Regras/Regulamentos EASA (aplicação direta ou via regulamentos de execução).

 

 “Continuity-by-design”, não é apenas um dossier!

 1) Multi-região, seguida de multi-cloud
Arranca com redundância na mesma cloud: zonas/regiões distintas, failover testado e dados “imutáveis”, Write Once Read Many (WORM), para suportar a recuperação. Passa a multi-cloud onde o impacto justifica (identidade, faturação, front-ends).

2) Identidade com break-glass
Se IAM cai, tudo cai. Define contas break-glass fora do SSO, dupla custódia de chaves e procedimento de ativação/revogação ensaiado.

3) SaaS “egress-ready”
Para cada SaaS crítico, responde: Como exporto os dados? Em quanto tempo? Consigo operar em serviços mínimos sem a plataforma? Mantém extratos/espelhos do que for vital para o cliente.

4) Observabilidade que não morre com o incidente
Registos, alertas e status fora do prestador afetado (monitorização externa, runbooks e contactos offline).

5) Planos de degradação funcional
Define serviços mínimos viáveis (o que manténs quando perdes 30–50% da capacidade) — e treina o feature toggle sob pressão.

6) Contratos que realmente ajudam
Exige RTO/RPO, notificação antecipada, direito de auditoria e testes conjuntos; mede tempo de resposta e qualidade das evidências.

7) Exercícios recorrentes e mensuráveis
A ENISA recomenda testar BC/DR regularmente (table-tops, simulações, hot sites, digital twins) com registo de lições e revisões. ENISA

 

“Provas” que acalmam reguladores e clientes

  • DORA (financeiro): evidências de gestão de risco TIC, testes de resiliência e modelos de governo de terceiros (relatórios, atas, métricas). EIOPA
  • Concentração de serviços e dependências em terceiros: demonstra que conhece quem o pode parar (3.º e 4.º nível), sabe quem (de facto, é crítico) e como reduzir essa exposição. ESMA
  • Comunicação: playbooks prontos (clientes, media, supervisores) com tempos-objetivo e porta-vozes treinados.

 

Checklist 60 minutos (quando tudo pára)

  1. Ative os runbook e bridge de crise (comunicação out-of-band).
  2. Confirme o âmbito (o que caiu / o que funciona) e ative o modo degradado.
  3. Decida em 15 min: failover automático/manual, bloqueio de mudanças e mensagem inicial a clientes.
  4. Registe tudo (tempos, decisões, evidências).
  5. Atualize status de hora a hora até estabilizar.

 

Métricas que o Board entende

  • RTO/RPO por serviço (objetivo – metas vs. obtido no último teste)
  • MTTR por cenário (média e p95)
  • Percentagem de backups restaurados nos últimos 90 dias
  • Cobertura EDR/SIEM e % de runbooks testados com sucesso
  • Mapa de dependências (3.º/4.º nível) e tempo até 1.ª comunicação a clientes

 

Perguntas que deves fazer ao teu fornecedor esta semana (após verificares o teu contrato)

  • Qual é o RTO/RPO contratual e o observado em testes reais?
  • Como exportar dados em cenário de emergência e em quanto tempo?
  • Que alternativas existem se o SSO/IAM falhar?
  • Se / Como se pode testar em conjunto um cenário de falha regional/serviço? Quando?
  • Que evidências são entregues após o incidente?

 

Plano de 100 dias (novo ângulo, sem repetir o que já tem)

0–30 dias — Fotografia de risco de concentração
Mapeie serviços críticos ↔ regiões/fornecedores ↔ pontos únicos de falha (inclui energia/telecom). Marque quick wins (break-glass, status page externa). erse.pt

31–60 dias — Ensaiar e medir
Table-top “perda de IAM/cloud” + teste de restore cronometrado; prepara dashboards (RTO/RPO, MTTR, comunicação). status.cloud.google.com

61–100 dias — Provar e melhorar
Teste técnico (perda de GCP/Azure/M365) + revisão contratual de SaaS críticos (export, notificação, right to audit) + after-action review. AP News

 

Leituras úteis (2025)

  • Status do incidente GCP (12/jun/2025) e análises independentes. status.cloud.google.com
  • Outage Microsoft 365/Outlook (jul/2025) — correção de configuração e restauro progressivo. AP News
  • Apagão ibérico classificado ICS 3 – Blackout (ERSE). erse.pt
  • Concentração de terceiros em TI preocupa supervisores europeus (JC ESAs). ESMA
  • ENISA: testar BC/DR regularmente e documentar lições. ENISA

 

Cursos Behaviour recomendados

 

Autor: Behaviour
Publicado em: 24 de novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

As 8 frentes que distinguem quem entrega segurança

Date: Novembro 19, 2025 Author: Editor
Frentes_entrega_seguranca (Linkedin)

Segurança da Informação • Artigo

As 8 frentes que distinguem quem entrega segurança

⏱️ Leitura estimada: 8 minutos

Num cenário de exigência crescente, maturidade é sinónimo de confiança.

A segurança deixou de ser apenas uma disciplina técnica. Hoje, é um sinal direto de maturidade organizacional, de capacidade de proteger o negócio e de responder com eficácia quando algo corre mal.
Clientes, parceiros, auditores, reguladores e investidores avaliam a confiança numa organização pela forma como esta controla o risco, protege os seus dados e demonstra evidência real das suas práticas.

As exigências legais e regulatórias – DORA, NIS 2, RGPD, AI Act, CER – reforçam esta necessidade.
E, simultaneamente, o panorama de ameaças continua a evoluir com velocidade.
O caminho exige decisões com impacto, métricas simples e uma visão clara do que realmente distingue as equipas de segurança que entregam valor.

A Behaviour sintetiza essas práticas em oito frentes essenciais, alinhadas com os oito domínios do CISSP e com as melhores práticas internacionais.

1. Segurança e Gestão de Riscos

O coração da maturidade operacional.

Organizações maduras tratam o risco como sistema:

  • definem apetite e tolerância;
  • mantêm um registo único com responsáveis, prazos e planos claros;
  • integram riscos com continuidade do negócio (BIA, RTO/RPO) e com terceiros.

O que distingue um líder: decisões rastreáveis, ligadas a perdas evitadas e a métricas que mostram evolução.

2. Segurança de Activos

Sem inventário, não há segurança.

A base está num inventário vivo – atualizado, abrangente e automatizado – que inclui ativos, dados, contas de serviço, secrets e tudo o que está em SaaS.

  • classificam e protegem dados por defeito,
  • identificam donos,
  • e canalizam o shadow IT para processos seguros.

3. Arquitectura e Engenharia de Segurança

Zero Trust como decisão de arquitetura – não como slogan.

  • identidade no centro,
  • micro-segmentação,
  • políticas como código,
  • resiliência por desenho (multi-zona, break-glass, operação em modo degradado).

É aqui que a engenharia faz a diferença entre “estamos protegidos” e “sabemos proteger”.

4. Segurança de Comunicações e Redes

Da perímetro-centrada à identidade-centrada.

  • acesso condicional,
  • verificação contínua,
  • segmentação por aplicação/dado,
  • inspeção inteligente,
  • criptografia por defeito e governação de chaves.

Mapear fluxos críticos é hoje uma capacidade essencial – e auditável.

5. Gestão de Identidades e Acessos (IAM)

A segurança começa e acaba na identidade.

  • implementam MFA universal e passkeys,
  • automatizam Joiner–Mover–Leaver,
  • reduzem privilégios ao estritamente necessário,
  • mantêm contas break-glass controladas com dupla custódia.

IAM é hoje a fundação de qualquer estratégia Zero Trust.

6. Avaliação de Segurança e Testes

Resiliência comprova-se, não declara-se.

  • gestão de vulnerabilidades orientada ao risco,
  • testes de resiliência alinhados com NIS 2,
  • pentest e red team com foco no impacto no negócio.

O que distingue as equipas maduras: restores cronometrados,
relatórios que originam melhorias reais e métricas que mostram evolução.

7. Operações de Segurança

Da deteção à comunicação, com disciplina e evidência.

  • runbooks executáveis,
  • defesa orientada por ameaças reais,
  • preparação para reporte regulatório,
  • registo integral das decisões.

Velocidade, rigor e evidência são os pilares que sustentam a confiança.

8. Segurança no Desenvolvimento de Software

Secure-by-design não é opcional.

  • SBOM,
  • gestão de dependências,
  • assurance gates,
  • secrets fora do código,
  • builds assinados e reprodutíveis.

A regra é simples: segurança antes de produção, sempre.

Um Roteiro Realista para 60 Dias

Semanas 1–2
Inventário vivo + top-5 riscos por serviço + ativação de MFA universal.

Semanas 3–4
Exercício table-top com prazos NIS 2 + revisão de acessos privilegiados.

Semanas 5–8
Teste técnico de falha crítica + dashboard de RTO/RPO e MTTR.

Simples, concreto e orientado a evidência.

Para quem lidera equipas de segurança

  • tempos de recuperação atingidos,
  • menos cliques em phishing com passkeys,
  • auditorias mais rápidas,
  • menos falhas antes de produção.

É aqui que as equipas deixam de “fazer segurança” para entregar segurança.

Quer consolidar tudo num percurso estruturado?

Estas oito frentes refletem exatamente os oito domínios oficiais do CISSP, a certificação de referência mundial para quem lidera segurança, risco, operações e desenvolvimento seguro.

A Behaviour disponibiliza um percurso completo – orientado a resultados, atualizado para o contexto europeu, e focado na aplicação prática.

Autor: Behaviour
Publicado em: 19 novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Preparar um plano de estudo para consolidar o know how e preparar a certificação CISSP

Date: Novembro 17, 2025 Author: Editor
Preparar Exame CISSP (Instagram)

Segurança da Informação • Artigo

Encontro-me a preparar para realizar o exame CISSP… qual a melhor abordagem?

⏱️ Leitura estimada: 12 minutos

Um plano realista e estruturado de preparação para o CISSP, alinhado com experiência prática, métricas e decisões de segurança.

Encontro-me a preparar para realizar o exame CISSP… qual a melhor abordagem?

 

Quando se prepara para um exame como o CISSP, existem sempre várias abordagens possíveis.

A experiência da Behaviour, com mais de 18 anos a preparar profissionais para realizarem com sucesso este exame,
mostrou que “one size does not fit all“.
Cada profissional adapta-se melhor a determinadas abordagens do que a outras.
Para além do estilo de aprendizagem individual, cada pessoa traz experiências diferentes em várias temáticas, o que pesa na escolha da melhor estratégia de preparação, no tempo de estudo a dedicar e até na probabilidade de sucesso no exame.

O CISSP desafia o profissional no domínio do conhecimento e, definitivamente, põe à prova a sua experiência.
Não basta estudar ou resolver “umas perguntas”.
Cada questão do CISSP coloca o candidato à prova, seja nos conceitos fundamentais dos pilares da cibersegurança,
seja nos requisitos mais recentes de conformidade.
O CISSP não testa apenas profissionais; testa a sua excelência.

Ao longo dos anos, a Behaviour identificou denominadores comuns que, de forma genérica e com ligeiras adaptações,
podem ser utilizados como uma fórmula de sucesso.
Esses denominadores são aplicados durante a frequência do curso CISSP da Behaviour e servem também de base às recomendações para a fase final de preparação após o curso.
Tal como em qualquer exame, o segredo está numa preparação correta.

O curso de preparação CISSP da Behaviour é, definitivamente, o melhor ponto de partida.
Dota os profissionais dos conhecimentos necessários para o exame, revisita e relembra temas já conhecidos e colmata lacunas nas áreas menos familiares.

Após a frequência do curso, o profissional consegue avaliar o seu nível atual de conhecimento e de preparação e, com um plano estruturado, consolidar nas semanas seguintes o que falta.

Esta abordagem permite que, em menos de 10 semanas, esteja preparado para realizar com sucesso o exame CISSP.
É natural que qualquer profissional ambicione sair da formação pronto para realizar o exame.

Não obstante o curso CISSP da Behaviour ser completo, a exigência do CISSP implica um esforço final por parte do participante.
Esta preparação requer compromisso de ambas as partes: o curso funciona como um acelerador, poupando ao profissional, em média, entre 8 e 12 meses de estudo diário dedicado, período durante o qual muitos acabam por perder o ritmo e adiar esta meta para “um dia”.

A este tempo não se somam ainda o esforço e os custos de identificar e selecionar os melhores recursos, bancos de questões, metodologias para chegar às respostas corretas, dicas, “truques”, estratégias e outras técnicas que a Behaviour partilha e que resultam de 18 anos a preparar profissionais de sucesso para o CISSP.

Neste artigo, a Behaviour propõe um resumo de plano que o profissional poderá aplicar após a frequência do curso.
Trata-se de orientações de base, sendo que as lições aprendidas são transmitidas em detalhe durante a formação.
Uma abordagem completa ajuda a estudar de forma estruturada, com cenários práticos e instrumentos de avaliação:
como questões e exame de simulação, que permitem medir e consolidar conhecimentos.

No CISSP, não se trata de decorar conceitos, mas de aprender a pensar e a decidir como um gestor de segurança de excelência.
O maior desafio não é o candidato adaptar-se ao exame, mas o próprio exame adaptar-se ao candidato à medida que este responde e avança nas questões: o CISSP é um exame adaptativo, o que eleva o nível de exigência.

O curso CISSP da Behaviour desafia o profissional para que esteja preparado para todas as circunstâncias, incluindo a incerteza inerente ao exame, porque, se não fosse difícil, não estaria à altura da excelência exigida.

Abaixo apresenta-se um plano sumário com algumas dicas que se espera que despertem o interesse pela certificação CISSP
e que ajudem a demonstrar que, afinal, o “difícil pode ser fácil” quando se aplica a fórmula certa, embora, como tudo na vida, exija dedicação.

Um verdadeiro plano de estudo pós-formação, orientado a resultados (2–3 meses), assenta em casos reais, métricas e evidências
alinhadas com o curso e com os requisitos do CISSP.

 

Autor: Behaviour
Publicado em: 17 novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Segurança da Informação em 2025: já não basta proteger os dados, é preciso provar que os protege

Date: Novembro 5, 2025 Author: Editor
Provar que protege os dados (Linkedin)

Segurança da Informação & Conformidade • Artigo

Reguladores, clientes e auditores querem evidências

⏱️ Leitura estimada: 7 minutos

Controlos implementados, riscos tratados, incidentes reportados e logs auditáveis deixaram de ser opcionais.

Reguladores, clientes e auditores querem evidências: controlos implementados, riscos tratados, incidentes reportados e logs auditáveis.

O que mudou em 2025 (em 60 segundos)
  • DORA: o regulamento europeu para o setor financeiro passou a aplicar-se em 17 de janeiro de 2025 (ex.: bancos, seguradoras, gestoras, prestadores TIC críticos), exigindo registos, testes de resiliência e supervisão de terceiros.
  • CRA: o Cyber Resilience Act entrou em vigor a 10 de dezembro de 2024; a maior parte das obrigações aplica-se a partir de 11 de dezembro de 2027, com regras de reporte e outras disposições já a iniciarem em 11 de setembro de 2026.
  • NIS 2 em Portugal: após atrasos, a Assembleia da República aprovou em setembro de 2025 a transposição da diretiva (aguardando promulgação e publicação em Diário da República).
  • Tendência de risco: ataques via cadeia de fornecedores continuam a crescer e a ser porta de entrada para as grandes organizações.
“Provar” na prática: 10 evidências que um auditor vai pedir
  1. Inventário vivo de ativos (incluindo shadow IT e SaaS críticos) e classificação de informação.
  2. Gestão de vulnerabilidades e patches com SLA por criticidade + relatórios de tendência (backlog, tempo médio de correção).
  3. Logs de segurança centralizados (SIEM/EDR) com retenção definida e trilhas de auditoria.
  4. Gestão de acessos e identidades (IAM) com MFA universal, revogação por evento e revisões periódicas.
  5. Backups testados (restores trimestrais) com imobilização lógica (immutability) e isolamento.
  6. Avaliações de risco e planos de tratamento com owners, prazos e validação de eficácia.
  7. Due diligence de terceiros com evidência: relatórios de auditoria, certificações, cláusulas de segurança e planos de continuidade.
  8. Planos de resposta a incidentes testados e reporting NIS 2 preparado (24h/72h/1 mês).
  9. Formação contínua (phishing, engenharia social, proteção de dados) com métricas de participação e eficácia.
  10. Privacidade em IA: DPIA, minimização/anonimização e base legal clara para dados pessoais usados em modelos.
Erros que ainda vemos (e como corrigi-los)
  1. Políticas excelente papel, fraca operacionalização → transforme políticas em controlos verificáveis (checklists e owners por control).
  2. EDR/SIEM sem cobertura total → meça % de endpoints/serviços cobertos e trate desvios como incidentes de conformidade.
  3. Terceiros “críticos” sem contratos adequados → adicione requisitos de segurança, RTO/RPO, reporte de incidentes e direito de auditoria.
  4. Reporte de incidentes ad-hoc → pré-preencher “kits NIS 2”: modelo de “early warning” (24h), relatório de 72h e relatório final (1 mês). ENISA
Plano de 90 dias para elevar a prova de conformidade

0–30 dias: inventário e criticidade de ativos; mapa de fornecedores; gap-analysis DORA/NIS 2/ISO 27001.

31–60 dias: fechar lacunas prioritárias (MFA universal, backups testados, cobertura EDR/SIEM ≥ 95%); definir SLAs de patching.

61–90 dias: simulação de auditoria; exercício de incidente com reporte NIS 2; dashboard de KPIs (tempo de correção, cobertura, testes).

Cursos Behaviour recomendados (Segurança da Informação)

A Behaviour desenvolve cursos que não só explicam as normas, como te preparam para aplicar, liderar e auditar com segurança:

Autor: Behaviour
Publicado em: 5 novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Os 7 erros mais comuns em auditorias e como evitá-los

Date: Novembro 3, 2025 Author: Editor
7 erros em auditorias (Instagram)

Auditoria & Governação • Artigo

Auditar não é apenas verificar se existe documentação

⏱️ Leitura estimada: 7 minutos

É perceber se há controlo real, práticas aplicadas e maturidade consistente em toda a organização.

Auditar não é apenas verificar se existe documentação. É perceber se há controlo real.

As auditorias são momentos críticos: avaliam se a organização está apenas a “cumprir o mínimo” ou se possuí práticas consistentes e maduras.
No entanto, há erros que se repetem – e podem comprometer não só o sucesso da auditoria, como a credibilidade de toda a estrutura de gestão.


Se a sua organização prepara e necessita de realizar auditorias, seja para verificar o cumprimento de requisitos legislativos (RGPD, DORA, NIS 2…), normas e boas práticas internacionais (ISO/IEC 27001, ISO 22301…), ou outros (clientes, parceiros, fornecedores …), este artigo é para si

Erro 1: Tratar a auditoria como um evento pontual

Muitas organizações encaram a auditoria como uma corrida contra o tempo, só “acordando” semanas antes.
Resultado? Stress, improviso e falhas óbvias.

O que fazer?
planear antes de improvisar – conhecer o cronograma e os critérios das auditorias atempadamente (quando possível); integrar e aplicar de forma contínua as práticas nos processos da organização, o que permite criar uma cultura de prontidão, controlo e evidências.
O objetivo passa por assegurar um elevado nível de preparação da organização, para evidenciar e responder, em qualquer momento, aos mecanismos de controlo, incluindo auditorias, realizadas por quaisquer partes interessadas internas ou externas. A auditoria e os seus resultados são reflexos de um sistema vivo de uma organização diligente – e não de um teatro temporário
e de uma organização reativa.

Erro 2: Ter documentos, mas não práticas reais

Ter políticas assinadas e procedimentos arquivados não significa que sejam utilizados.

O que fazer?
garantir que os processos são compreendidos e aplicados.
Um auditor experiente procura coerência entre o que está escrito e o que se faz.

Erro 3: Falta de preparação das pessoas

Colaboradores apanhados de surpresa, respostas vagas ou “isso é com o IT, ou com área X”, demonstrando improviso, e/ou criando um sistema de “ping-pong” em que umas áreas “empurram” para as outras… são tudo sinais de uma organização com um modelo de governo deficiente e ausência de envolvimento das partes.

O que fazer?
antes da auditoria, simular perguntas reais, clarificar e reforçar responsabilidades e autoridades, explicar o porquê das práticas e controlos.
A segurança começa por compreender como é que as tarefas que realiza no dia-a-dia se mapeiam para os requisitos das práticas e controlos que a organização tem de cumprir.
O colaborador tem de saber demonstrar que são aplicados e evidenciar os resultados da sua execução.

Erro 4: Subestimar o contexto organizacional

Muitas auditorias falham porque os riscos reais do negócio não estão refletidos no seu sistema de gestão, isto acontece, normalmente, porque a organização não se conhece a si própria.
Resultado? Controlos genéricos, sem impacto, ou mesmo, práticas críticas não documentadas ou inexistentes.

O que fazer?
alinhar riscos, objetivos, práticas e controlos com o contexto real da organização.
Conhecer a organização e o seu risco inerente é fundamental para um planeamento com base no risco.
A auditoria avalia consistência, relevância e eficácia, não o volume de documentos ou aplicações de IT que utiliza.

Erro 5: Não evidenciar melhoria contínua

Ter o mesmo plano, os mesmos indicadores e os mesmos erros ano após ano compromete a credibilidade do sistema.
Isto demonstra falta de uma cultura de melhoria continua na organização.
As causas podem ser as mais diversas, desde a falta de compromisso da gestão até à resistência à mudança.

O que fazer?
identificar agentes de melhoria, mostrar ações corretivas eficazes, planos de melhoria e, decisões com base em análise crítica.

Melhoria contínua não é opcional – é esperada e necessária.
O contexto da organização é dinâmico, como tal, a melhoria continua deve acompanhar a necessidade de mudança.

Erro 6: Ignorar os registos

Políticas e procedimentos são essenciais – mas sem registos, não há prova de que algo foi realmente executado.

O que fazer?
manter registos atualizados, acessíveis e coerentes com as atividades realizadas.
O auditor vai querer ver evidência factual – não intenções.
A evidência deve ser objetiva, estar disponível e ser verificável.

Erro 7: Não ligar os pontos

Auditorias falham quando as peças não encaixam:
riscos não refletem os objetivos, controlos não protegem os ativos críticos, planos de resposta não são testados.

O que fazer?
garantir que o sistema de gestão é coerente, integrado e orientado para o negócio.
O auditor procura lógica, não complexidade.
Cumprir os requisitos utilizando práticas simples e consistentes demonstra uma organização madura.
Normalmente, uma organização que aplica práticas de forma complexa ou desconexa demonstra uma maturidade deficiente ou em crescimento – devendo o auditor compreender e recomendar a melhoria do nível de maturidade das práticas da organização
através da melhoria continua.
Recordar que o auditor é, também, um agente de melhoria, e o resultado do seu trabalho deve produzir conclusões e recomendações acionáveis.

O que procuram os auditores experientes?

  • Evidências objetivas
  • Ciclo de melhoria ativo
  • Envolvimento da liderança
  • Consistência entre discurso, documentos e prática
  • Adoção real das Melhores Práticas

Não se trata de agradar ao auditor.
Trata-se de garantir que a organização está realmente preparada – com ou sem auditorias calendarizadas.

Formação que ajuda a preparar auditorias exigentes

A Behaviour desenvolve cursos que não só explicam as normas, como te preparam para aplicar, liderar e auditar com segurança:

A auditoria é um reflexo da maturidade da organização – e não um jogo do que se deve mostrar e esconder ao auditor.


Quem domina o seu sistema, não teme a auditoria.
Usa-a com sabedoria para crescer.

Na Behaviour, formamos profissionais de excelência para atingirem esse nível de domínio.
O objetivo principal não é apenas completar a formação e passar no exame – é conhecer, saber fazer e ser capaz de liderar com confiança, transformando incertezas e dúvidas em: certezas, factos e reconhecimento para o auditor e para as organizações auditadas.

Autor: Behaviour
Publicado em: 3 novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

5 erros que arruínam um teste de stress cibernético

Date: Outubro 29, 2025 Author: Editor
5 erros teste stress cibernetico

Resiliência & Testes • Artigo

Porque testar é necessário – mas testar mal pode ser pior do que não testar

⏱️ Leitura estimada: 6 minutos

Cyber Stress Tests só criam valor quando testam decisões reais, incerteza e capacidade de resposta – não quando criam falsas certezas.

Porque testar é necessário? Mas testar mal pode ser pior do que não testar

Os Cyber Stress Tests (testes de stress cibernético) tornaram-se uma exigência crescente em setores como o financeiro,
a saúde, os serviços digitais e as infraestruturas críticas.

Mais do que uma tendência, são hoje uma ferramenta essencial para testar a capacidade real de resposta da organização
a um cenário de crise.
Mas atenção que, um teste mal planeado, mal executado ou mal acompanhado pode gerar falsas certezas, e ocultar fragilidades que ninguém viu chegar.

Abaixo destacamos os 5 erros mais comuns que, por si só ou em conjunto, descredibilizam e anulam o impacto de um teste de stress.

1. Falta de um objetivo claro

“Misturámos tudo para ver o que acontecia.”
Este tipo de abordagem leva a exercícios caóticos, onde ninguém sabe o que está a ser avaliado, quais os indicadores de sucesso ou que lições se pretendem tirar.

Um teste eficaz tem foco: Resposta? Comunicação? Continuidade? Recuperação?
Tudo ao mesmo tempo = nada com clareza.

O objetivo define o cenário, desafios inesperados, os participantes, os critérios e o impacto.

2. Cenários pouco realistas (ou demasiado previsíveis)

Testes que simulam “ataques genéricos” ou que apenas repetem exercícios antigos não acrescentam valor a um novo ambiente
que espelha uma nova realidade tecnológica em que a exposição ao risco aumenta exponencialmente e, muitas vezes, de forma silenciosa, tirando partido de novos cenários.

Por outro lado, testes excessivamente técnicos, sem contexto de negócio, afastam os decisores e confundem os participantes.

O segredo está no equilíbrio: um cenário plausível, com elementos de surpresa, mas ligado à realidade da organização.

Exemplo eficaz:
“É sexta-feira, 18h10. A conta do administrador está a ser usada para apagar bases de dados. O gestor de segurança está fora.
Quem é responsável por responder?
Quando responde?
Como responde?”

3. Falta de envolvimento da gestão

Se os órgãos de gestão apenas veem relatórios, perde-se a componente mais importante: a capacidade de decisão sob pressão.

Muitos testes falham porque os papéis críticos não estão atribuídos… ou estão atribuídos a quem não está presente.

Resiliência não é só técnica e prontidão, mas também liderança e governação.
É decidir e ter certezas no meio de um ambiente de incertezas.

4. Não documentar, não avaliar, não corrigir

Um teste só se justifica se gerar conhecimento útil e melhoria contínua.

Realizar um exercício sem registo, sem avaliar desempenhos, sem estabelecer planos corretivos é teatro, não é preparação.

“Correr bem” não significa não falhar. Significa identificar falhas, aprender e corrigir.

5. Testar com a equipa ideal, no cenário correto

Muitos testes são feitos com os protagonistas certos, no momento certo e com tudo preparado ao minuto.

Mas… e se o responsável estiver de férias?
E se o fornecedor não responder?
E se a decisão tiver de ser tomada
com apenas 50% da informação?


O objetivo é testar a resposta no caos, não num laboratório.
Nenhum cenário se irá materializar da forma exata que planeámos, pelo que introduzir incerteza e medir a resiliência
são fatores críticos para uma resposta eficaz aquando de um cenário real.

Como fazer bem?

  • Definir um objetivo claro e específico
  • Criar um cenário credível, desafiante e relevante para o negócio
  • Introduzir incerteza nos momentos que tínhamos como certos
  • Envolver todos os níveis da organização, incluindo liderança
  • Medir desempenhos, identificar falhas e apresentar um plano sólido de melhoria
  • Repetir periodicamente e escalar a dificuldade com maturidade

 

Preparar equipas para testes exigentes

Com a Behaviour, as organizações aprendem a planear, executar e melhorar os seus testes de stress tendo por base normas, frameworks e a realização de exercícios reais:

Testar é mais do que cumprir uma exigência interna ou um requisito externo. É a única forma real de saber se estamos prontos.

Mas atenção: testar mal pode ser mais perigoso do que não testar. Porque cria a ilusão de que estamos preparados… quando ainda não estamos.

Aplicando os métodos, cenários e objetivos certos, os testes de stress transformam-se em poderosas ferramentas de maturidade organizacional.

Autor: Behaviour
Publicado em: 29 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Frameworks vs Regulamentos: o que realmente precisa de implementar?

Date: Outubro 15, 2025 Author: Editor
Frameworks_Regulamentos_realmente_precisa_implementar

Frameworks & Regulamentos • Artigo

Frameworks vs Regulamentos: o que implementar e porquê

⏱️ Leitura estimada: 8 minutos

Num mundo saturado de normas e regras, a vantagem está em saber integrar o que é exigido com o que cria maturidade real.

Num mundo saturado de normas, standards, diretivas e regulamentos, muitas organizações enfrentam a mesma dúvida:

Afinal, devemos implementar o quê? A ISO/IEC 27001? O NIST? A NIS 2? O DORA? Tudo?

A resposta certa não é “um ou outro”.
É: o que faz sentido e é exigido para a sua realidade, os seus riscos e as suas obrigações legais.

 

Neste artigo, vamos clarificar as diferenças entre frameworks e regulamentos, e ajudar a perceber o que deve mesmo implementar e porquê.

 

Frameworks: linhas orientadoras, não imposições

Frameworks são conjuntos de boas práticas, estruturas lógicas e recomendações que orientam a implementação de sistemas de gestão, segurança ou governação.

São voluntárias, mas altamente valorizadas por serem práticas comprovadas e testadas pelo mercado, especialmente em auditorias, concursos públicos, relações com clientes e gestão de risco reputacional.

  • Exemplos de frameworks:
    • ISO/IEC 27001 – Gestão da segurança da informação
    • ISO 22301 – Continuidade de negócio
    • NIST CSF – Framework de cibersegurança (EUA)
    • COBIT 2019 – Governação e gestão de IT
    • CSA CCM – Controlo de segurança em cloud
    • CSA AICM – Controlo de tecnologias de IA
  • Porque implementar?
    • Demonstram maturidade organizacional
    • Permitem alinhamento com normas internacionais
    • São reconhecidas globalmente
    • Ajudam a preparar para regulamentos futuros
    • Suportam certificações que aumentam credibilidade

 

Regulamentos e diretivas: obrigações legais

Os regulamentos e diretivas são instrumentos jurídicos da União Europeia. Têm força legal e devem ser cumpridos por todas as entidades abrangidas.

A não conformidade pode resultar em sanções, coimas, perda de contratos ou processos judiciais.

  • Exemplos:
    • NIS 2 (2022/2555) – Segurança de redes e sistemas em setores essenciais
    • DORA (2022/2554) – Resiliência operacional no setor financeiro
    • Cyber Resilience Act (2024/2847) – Segurança de produtos digitais no mercado europeu
    • RGPD (2016/679) – Proteção de dados pessoais
    • AI Act (2024/1689) – Regulação de sistemas de inteligência artificial
  • Porque cumprir?
    • Obrigação legal direta
    • Fiscalização por entidades reguladoras nacionais
    • Penalizações significativas em caso de incumprimento
    • Reputação em risco em caso de incidente não reportado ou não gerido

 

O erro comum: aplicar só frameworks… quando já tem obrigações legais

Muitas organizações implementam a ISO/IEC 27001 ou o NIST CSF e assumem que isso é suficiente para cumprir regulamentos como a NIS 2 ou o DORA. Mas, não é suficiente, é preciso ir mais longe.

As frameworks ajudam, mas não substituem as obrigações específicas.

Exemplo:

  • A ISO/IEC 27001 ajuda a estruturar e a gerir a segurança da informação definindo requisitos genéricos.
  • Mas a NIS 2 exige o cumprimento de requisitos específicos, por exemplo, reporting em 24h, responsabilização e compromissos específicos da gestão de topo, mapeamento da cadeia de fornecimento, entre outros pontos que vão além da ISO.

 

O que implementar, então?

Se está num setor importante, essencial ou crítico:

  • Implemente os regulamentos aplicáveis (NIS 2, DORA, CRE, CRA…)
  • Complemente com frameworks como a ISO/IEC 27001, ISO 22301, NIST CSF para garantir robustez e maturidade

Se ainda não tem obrigações legais diretas:

  • Comece por frameworks reconhecidas (ex: ISO/IEC 27001, NIST CSF)
  • Antecipe regulamentação futura
  • Reduza riscos e aumente a confiança do mercado

 

Dica prática: mapa cruzado

Muitas formações da Behaviour incluem mapas de correspondência entre regulamentos e frameworks. Por exemplo:

  • Com a ISO/IEC 27001 suporta a conformidade com a NIS 2
  • Com a ISO 22301 suporta os requisitos do DORA
  • Com os NIST CSF e SSDF reforça a preparação para o CRA

Isto permite maximizar esforços e evitar trabalho duplicado.

 

Frameworks guiam. Regulamentos obrigam. A chave está em saber quando usar cada um e como integrá-los.

Quem aposta só no mínimo legal, cumpre. Quem combina frameworks + regulamentos, lidera.

Na Behaviour, formamos profissionais e equipas para atuarem com confiança, clareza e visão, seja para obter certificação, garantir conformidade ou criar vantagem competitiva.

Autor: Behaviour
Publicado em: 15 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

 

5 competências que todos os profissionais de cibersegurança precisam, e nenhuma é técnica

Date: Outubro 8, 2025 Author: Editor
5 Competências Ciberseguranca_Linkedin

Pessoas & Cibersegurança • Artigo

As 5 competências não técnicas que fazem a diferença na cibersegurança

⏱️ Leitura estimada: 6 minutos

A tecnologia é essencial, mas são as pessoas, as decisões e o comportamento que determinam a eficácia real da segurança.

Quando se pensa em cibersegurança, muitos imaginam firewalls, criptografia, ferramentas de deteção de intrusão ou testes de penetração. Tudo isto é importante, mas não é suficiente.A verdade é que os profissionais que trabalham de forma mais eficaz em cibersegurança, têm algo mais. E esse “mais” raramente se ensina em cursos técnicos.

Neste artigo, mostramos as 5 competências essenciais não técnicas que fazem toda a diferença, nas equipas, nas auditorias e nos momentos críticos.

1. Comunicação clara e adaptada

  • Ser capaz de traduzir riscos técnicos em impacto real para o negócio é uma das competências mais valiosas na área.
  • Se nãp se consegue explicar por que razão um controlo é crítico… como se pode esperar que o mesmo seja implementado?
  • Um bom profissional de cibersegurança comunica com técnicos, gestores e decisores, cada um na sua linguagem.

2. Gestão de conflitos sob pressão

  • Incidentes de segurança trazem stress, acusações e urgência. Saber gerir desacordos, evitar a atribuição de culpas e focar-se em soluções é o que distingue quem lidera de quem só executa.
  • Um bom analista reage. Um profissional maduro gere a resposta, mesmo quando o caos parece inevitável.

3. Pensamento crítico e visão sistémica

  • Cibersegurança não é seguir checklists. É analisar contexto, questionar suposições, identificar interdependências e antecipar consequências.
  • O que hoje parece uma falha menor pode, em cadeia, pode tornar-se o vetor de um ataque massivo.
  • Saber fazer ligações, entre riscos, sistemas, pessoas e processos, é uma skill estratégica.

4. Ética profissional inabalável

  • O acesso privilegiado a sistemas, dados e decisões exige um sentido ético acima da média. Discrição, responsabilidade e integridade são tão cruciais como qualquer certificação.
  • Uma decisão ética protege mais que qualquer antivírus.

5. Capacidade de aprendizagem contínua

  • A tecnologia muda. Os ataques evoluem. Os regulamentos atualizam-se. O que hoje é boa prática, amanhã pode ser insuficiente.
  • Estar em cibersegurança é assumir que nunca se sabe tudo e agir em conformidade.
  • Profissionais que aprendem de forma constante são os únicos verdadeiramente resilientes.

E como se adquirem estas competências?

  • Experiência em ambientes reais
  • Formações com simulações, casos e cenários práticos
  • Exposição a equipas multidisciplinares
  • Reflexão crítica sobre decisões passadas e lições aprendidas
  • Mentoria, coaching e partilha de boas práticas

Desenvolva estas competências com as nossas formações

Na Behaviour, criamos cursos que não formam apenas técnicos.
Formam profissionais completos, com visão, ética, pensamento crítico e liderança.

A segurança de uma organização não depende apenas da tecnologia que usa. Depende das pessoas que a protegem.

E as pessoas que a protegem com mais eficácia são aquelas que:

  • comunicam com clareza,
  • pensam com rigor,
  • lideram com empatia,
  • aprendem com consistência,
  • e agem com integridade.

Estas são as competências que tornam um técnico… um verdadeiro profissional de cibersegurança.

Autor: Behaviour
Publicado em: 8 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Outubro é o Mês da Cibersegurança: como transformar 31 dias de sensibilização em proteção real

Date: Outubro 6, 2025 Author: Editor
Outubro mês da Ciberseguranca_Instagram

Sensibilização & Phishing • Artigo

Mês Europeu da Cibersegurança 2025: foco no phishing

⏱️ Leitura estimada: 9 minutos

Um plano pronto-a-usar para envolver colaboradores, medir impacto e criar capacidades que ficam para lá de outubro.

Este ano, a campanha europeia coloca o foco no phishing.

Abaixo, apresenta-se um plano pronto-a-usar para envolver colaboradores, medir impacto e deixar resultados que ficam para lá de outubro.

Porquê falar disto agora?

  • Campanha oficial da UE. Todos os anos, em outubro, decorre o Mês Europeu da Cibersegurança (ECSM), coordenado pela ENISA e pela Comissão Europeia, com ações de sensibilização em toda a UE. ECSM
  • Foco 2025: phishing. A edição de 2025 arranca com ênfase explícita em combater o phishing, disponibilizando orientações práticas e materiais para cidadãos e organizações. Digital Strategy EU
  • Ameaças em alta. O ENISA Threat Landscape 2025 analisou 4.875 incidentes (jul/2024–jun/2025) e descreve um cenário de campanhas contínuas e convergentes que corroem a resiliência. ENISA
  • O vetor n.º 1 continua a ser humano. O phishing permanece o principal método de intrusão identificado na UE, com campanhas cada vez mais convincentes, muitas com apoio de IA. Infosecurity Magazine
  • Em Portugal, o CNCS centraliza recursos, notícias e iniciativas de sensibilização úteis para organizações e cidadãos. cncs.gov.pt

O objetivo para as organizações

Passar de “campanhas” a “capacidades”: usar outubro para criar hábitos (e evidências) que reduzem risco ao longo do ano. Pense em mensagem + prática + métrica:

  • Mensagem certa (curta, clara, repetida)
  • Prática guiada (simulações, exercícios, checklists)
  • Métricas objetivas (prova de eficácia e melhoria contínua)

Programa de 31 dias: 4 semanas, 4 temas, métricas simples

Semana 1 — Phishing e Engenharia Social (foco oficial 2025)

O que fazer?
– Micro-aula de 10 minutos: como identificar phishing (remetente, URL, tom de urgência, anexos).
– Lançar simulação de phishing (dois níveis de dificuldade).
– Instalar um “botão de reporte” no e-mail (se ainda não existir).
– Cartaz digital “Pára, Verifica, Encaminha”: Pára → respira; Verifica → verifica remetente e URL; Encaminha → reporta.

Métricas: Taxa de abertura e taxa de reporte da simulação; tempo médio até ao primeiro reporte; taxa de cliques por nível.

Recursos oficiais úteis
Materiais e conteúdos ECSM/ENISA; este ano, o enfoque explícito no phishing facilita mensagens e exercícios. Digital Strategy EU

Semana 2 — Palavras-passe, MFA e Identidades

O que fazer?
– “Clínica” de gestores de passwords (como criar/guardar senhas fortes).
Campanha de MFA: ativação obrigatória para e-mail, VPN e apps críticas.
– Revisão de acessos privilegiados (JIT/JEA) e revogação de contas inativas.

Métricas: % de contas com MFA ativo; nº de acessos privilegiados reduzidos; tempo de revogação após saída interna.

Semana 3 — Dispositivos, Dados e Cloud (higiene e privacidade)

O que fazer?
Hardening rápido: atualizações automáticas, EDR ativo, encriptação de disco.
Backups e restauros: fazer (e validar) pelo menos um teste de restore até ao RPO/RTO aprovados.
Mapeamento de dados: onde residem dados sensíveis (inclui SaaS), quem tem acesso e porquê.

Métricas: Cobertura EDR, sucesso de restore, % de dados críticos com encriptação e dono nomeado.

Semana 4 — Terceiros, Continuidade e Reporte de Incidentes

O que fazer?
Table-top de cibercrise de 90 minutos: cenário de phishing bem-sucedido + perda de SaaS crítico.
– Rever contratos de fornecedores críticos: RTO/RPO, aviso de incidentes, direito a auditar e exit plan.
Playbooks de reporte (incluindo requisitos de reporte regulatório aplicáveis): quem reporta a quem, em que prazos, com que templates.

Métricas: Tempo até decisão executiva; cumprimento de RTO/RPO em teste; % de terceiros críticos com evidências atualizadas.

Conteúdos prontos para enviar (copiar/colar)

Mensagem de arranque (e-mail/Teams/Slack)

Outubro é o Mês da Cibersegurança. Este ano vamos concentrar-nos em detetar e reportar phishing.
Ao longo do mês, vais receber micro-aulas, simulações e dicas simples.
Se suspeitares, reporta — mesmo que seja falso alarme.
A segurança começa contigo. Digital Strategy EU

Aviso rápido para simulações

Esta semana vais receber e-mails de simulação. O objetivo é aprender.
Se algo parecer estranho: pára, olha, passa (reporta).

Cartaz digital para elevadores e backgrounds

“3 segundos antes de clicar” — Remetente • URL • Pedido
“Fala connosco” — Botão de reporte no Outlook/Gmail; canal #segurança

O que medir (e como mostrar ao Board)

  • Phishing: taxa de reporte ↑, cliques ↓ (ajustado à dificuldade), tempo até 1.º reporte.
  • Identidades: % MFA ativo; tempo de revogação; nº de privilégios reduzidos.
  • Resiliência: sucesso de restore; RTO/RPO atingidos no table-top.
  • Terceiros: % de fornecedores críticos com evidência válida (relatórios/auditorias).

Bónus: transforme métricas em gráficos simples e compare base (setembro) vs. outubro (final do mês).

Erros comuns (e o antídoto)

  • Campanhas punitivas que envergonham quem erra → educar, não punir: reforçar o bom reporte, mesmo quando é falso alarme.
  • Mensagens longas e técnicas → micro-conteúdos em português claro, com exemplos reais.
  • Falta de prova → guardar evidências: atas, relatórios de simulação, capturas de dashboards, listas de MFA.

Eventos e recursos que podes aproveitar já

  • Portal oficial do ECSM com explicação, materiais e atividades. ECSM
  • ECSM 2025: foco no phishing — comunicações e guias de boas práticas. Digital Strategy EU
  • Press release ETL 2025 (dados e tendências para enriquecer apresentações internas). ENISA
  • ENISA Threat Landscape 2025 (relatório) — base para briefings a executivos e para justificar investimentos. ENISA
  • Agenda europeia: exemplo — European Cybersecurity Challenge 2025 (6–10 out., Varsóvia), útil para conteúdos e awareness em equipas técnicas. ENISA

Perguntas frequentes (para a equipa de Helpdesk/Segurança)

  • “Recebi um e-mail suspeito. Apago?” → Primeiro reporta pelo botão; o SOC/IT analisa.
  • “Cliquei sem querer. E agora?” → Reporta imediatamente; muda password; corre EDR; fecha sessão em todos os dispositivos.
  • “Como sei se um link é seguro?” → Passa o rato por cima do link; verifica domínio e HTTPS; se tiver encurtador (ex.: https://abrir.link/UuEcO), não cliques — reporta.
  • “Posso usar uma pen USB?” → Apenas dispositivos autorizados. Se for externo, verifica com o IT.

 

Cursos Behaviour recomendados (para transformar sensibilização em capacidade)

Autor: Behaviour
Publicado em: 6 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo, exceto as sugestões delimitadas nos Conteúdos prontos para enviar (copiar/colar).

 

Os Maiores Desafios Operacionais das Empresas em 2025

Date: Setembro 15, 2025 Author: Editor
Maiores Desafios Operacionais Empresas

Estratégia & Resiliência • Artigo

Eficiência, resiliência e inovação num contexto de custos, risco e regulação

⏱️ Leitura estimada: 8 minutos

Padrões recorrentes nos desafios operacionais atuais e como transformar preparação e conformidade em vantagem competitiva.

Num cenário económico e tecnológico em constante evolução, as organizações enfrentam um desafio permanente: como alcançar eficiência, resiliência e inovação, enquanto navegam por custos elevados, riscos crescentes e uma regulação cada vez mais complexa.

Embora os desafios variem consoante o setor e o grau de maturidade das empresas, há padrões recorrentes que emergem em praticamente todas as análises de mercado. Grandes consultoras internacionais, como a McKinsey e a PwC, têm produzido estudos estratégicos que identificam os principais entraves operacionais da atualidade. Paralelamente, a ENISA – Agência da União Europeia para a Cibersegurança – desempenha um papel central na definição de políticas e na coordenação da resposta europeia a ameaças digitais, publicando relatórios técnicos e análises setoriais de elevada relevância, que complementam e aprofundam a compreensão dos riscos e desafios enfrentados pelas organizações. Destacam-se:

 

1. Eficiência e Redução de Custos

A pressão para fazer mais com menos é uma constante transversal a todos os setores. Muitas organizações continuam a operar com processos redundantes e manuais, refletindo uma digitalização ainda incompleta. A busca por ganhos de produtividade, através da automação e da integração tecnológica, deixou de ser uma opção – tornou-se uma necessidade estratégica.

 

2. Talento e Competências

Atrair e reter profissionais qualificados tornou-se um dos maiores desafios organizacionais da atualidade. A escassez de competências digitais, tecnológicas e de liderança é real e transversal a múltiplos setores. Mais do que recrutar, é essencial investir no desenvolvimento contínuo e na motivação das equipas, promovendo culturas organizacionais sólidas, inclusivas e orientadas para o crescimento.

 

3. Resiliência e Continuidade do Negócio

Crises globais, ciberataques e disrupções nas cadeias de fornecimento têm exposto vulnerabilidades estruturais em muitas organizações. Em vários casos, os planos de contingência revelaram-se desatualizados, inadequados – ou simplesmente inexistentes. Mesmo quando existem, muitos nunca foram testados, o que compromete a sua eficácia em situações reais. A resiliência deixou de ser uma vantagem competitiva: tornou-se uma prioridade estratégica para garantir a continuidade operacional em cenários de elevada imprevisibilidade.

 

4. Gestão da Cadeia de Fornecimento

A globalização trouxe eficiência, mas também dependências perigosas. Hoje, riscos geopolíticos, ambientais e tecnológicos podem paralisar operações em poucas horas. Ter visibilidade ponta a ponta da cadeia é essencial para gerir vulnerabilidades.

 

5. Transformação Digital e Tecnologia

A migração para a cloud, a adoção da inteligência artificial e a integração de IoT e automação estão a transformar profundamente os modelos operacionais das empresas. O verdadeiro desafio reside em equilibrar a inovação com a manutenção de sistemas legados, ao mesmo tempo que se assegura a proteção de dados num cenário de ameaças digitais cada vez mais sofisticadas.

 

6. Conformidade e Regulamentação

Com exigências cada vez mais rigorosas, do RGPD ao DORA, da NIS 2 aos critérios ESG, as organizações enfrentam o desafio de alinhar os seus processos com padrões legais e normativos internacionais. A crescente complexidade do enquadramento regulatório exige que os requisitos de conformidade sejam integrados desde o planeamento estratégico até às operações do dia a dia, tornando-se um elemento central da gestão empresarial moderna.

 

7. Sustentabilidade e Pressão ESG

A responsabilidade ambiental e social deixou de ser opcional. Clientes, investidores e reguladores exigem resultados concretos. Incorporar práticas sustentáveis e de economia circular tornou-se condição para competir e manter credibilidade. Hoje, o ESG não é apenas uma mera tendência é um novo padrão de legitimidade empresarial.

 

O maior desafio operacional das empresas não está apenas em reduzir custos ou inovar, mas em conseguir equilibrar múltiplas exigências ao mesmo tempo:

  • ser eficiente sem perder qualidade;
  • ser resiliente sem deixar de inovar;
  • ser sustentável sem comprometer resultados.

As organizações que conseguirem alinhar estes eixos, eficiência, resiliência e inovação, terão maior capacidade de competir num mercado global cada vez mais imprevisível.

 

Como a Behaviour pode ajudar?

Na Behaviour, acreditamos que a preparação é o alicerce da resiliência organizacional. Por isso, desenvolvemos formações especializadas que capacitam equipas para enfrentar os desafios regulatórios e operacionais mais exigentes:

Porque cada desafio exige conhecimento especializado, as nossas formações foram desenhadas para dar às empresas a capacidade de agir antes da crise e transformar a conformidade em vantagem competitiva.

Autor: Behaviour
Publicado em: 15 setembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

A IA não vai substituir auditores

Date: Setembro 8, 2025 Author: Editor
inteligencia artificial auditores

IA & Auditoria • Artigo

A IA não vai substituir o auditor

⏱️ Leitura estimada: 7 minutos

Mas vai substituir quem a ignora.

Mas vai substituir quem a ignora.

A Inteligência Artificial deixou de ser futuro é presente. Transforma a forma como lidamos com dados, controlo, decisão e risco. E a auditoria não escapa a essa revolução.

A IA já não é uma ferramenta “nice to have”. É uma competência crítica para quem quer continuar relevante.

Mas atenção: a IA não vai eliminar o papel do auditor humano – vai deixar obsoletos os profissionais que continuam a trabalhar como se nada tivesse mudado.

O que a IA já faz, e bem

1. Análise massiva de dados em segundos
Processa milhões de registos de transações e logs em tempo real, detetando padrões invisíveis.

2. Deteção de desvios e comportamentos atípicos
Algoritmos de machine learning antecipam fraudes ou falhas operacionais.

3. Interpretação automatizada de textos
Softwares de NLP (Processamento de Linguagem Natural) avaliam contratos, políticas ou cláusulas e identificam lacunas.

4. Apoio à decisão com base no risco
A IA pode simular cenários, sugerir medidas corretivas e priorizar ações com base em risco, custo ou impacto, com rapidez e lógica.

Mas o que a IA ainda não faz (ou pode não fazer tão cedo)

  • Contextualizar decisões num ambiente cultural e organizacional específico
  • Interpretar intenções humanas e fatores políticos internos
  • Avaliar consequências éticas e sociais
  • Conduzir entrevistas e avaliar linguagem não verbal
  • Construir confiança e facilitar mudança cultural nas equipas

A IA amplifica o auditor mas não o substitui.

O risco de ignorar a IA

Os profissionais que continuam presos a modelos manuais, a decisões baseadas em checklists ou nos resultados de análises de amostragens limitadas, vão ficar para trás. Não porque a IA os “substituiu”, mas porque o mercado deixou de os procurar.

Não se trata apenas de “usar novas ferramentas”. Trata-se de trabalhar com inteligência aumentada.

O que fazer agora?

  • Compreender os fundamentos da IA
    Não precisa de ser programador, mas precisa de entender o básico de modelos, algoritmos, machine learning, NLP, etc.
  • Conhecer os riscos da IA
    Viés algorítmico, falta de transparência (black box), responsabilidade ética, conformidade com o AI Act europeu (Reg. 2024/1689).
  • Saber aplicar a IA em auditoria e GRC
    Usar IA para a identificação automática de riscos, apoiar na tomada de decisão, detetar padrões em relatórios ou validar controlos com maior rapidez.
  • Preparar-se para auditar sistemas que usam IA
    Hoje, já não usa apenas já tem de estar preparado para auditar sistemas baseados em IA.
    Isso exige novos conhecimentos, normas e frameworks (ex. º ISO/IEC 42001, AI Act, NIS 2, DORA).

Como se pode preparar com a Behaviour

A Behaviour prepara profissionais e equipas para atuar com confiança e visão num mundo onde a IA já é parte do processo de auditoria e gestão de risco.

Cursos Behaviour que já integram estas competências, Profissionais que dominam IA, auditoria e governança de risco digital:

A Inteligência Artificial não vai substituir o auditor.
Vai tornar irrelevante quem continuar a ignorar o que ela representa, e como está a transformar o mundo do controlo.

Compreender, integrar e aplicar a IA com discernimento é o que vai separar os profissionais indispensáveis dos que ficarão para trás. Porque o futuro da auditoria não pertence a quem repete. Pertence a quem evolui.

 

Autor: Behaviour
Publicado em: 8 setembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

 

Como preparar a sua organização para um teste de stress cibernético sem entrar em pânico

Date: Setembro 1, 2025 Author: Editor
Testes_Stress_Ciberneticos

Resiliência & Testes • Artigo

Cyber Stress Tests: quando a organização é posta à prova

⏱️ Leitura estimada: 7 minutos

Simular, testar e demonstrar resiliência operacional e cibernética sob pressão realista.

Os Cyber Stress Tests estão a chegar. E não são uma moda passageira são uma exigência crescente para organizações críticas, financeiras e reguladas.

A ENISA (Agência Europeia para a Cibersegurança) e os reguladores setoriais estão a empurrar as organizações para um novo patamar: simular, testar e demonstrar a sua resiliência operacional e cibernética sob pressão realista.

A pergunta já não é “se” a sua organização vai ser colocada à prova. É “quando” e como vai responder.

Neste artigo explicamos o que é um teste de stress cibernético, o que pode correr mal e como preparar a sua organização com método, sem pânico e com resultados reais.

O que é um teste de stress cibernético?

Um Cyber Stress Test é um exercício estruturado que simula cenários reais de ataque ou falhas críticas com o objetivo de:

  • Testar os sistemas técnicos
  • Avaliar a prontidão das equipas
  • Verificar a capacidade de resposta, comunicação e recuperação
  • Expor pontos fracos antes que seja tarde demais

Estes testes podem ser internos ou mandatados por reguladores, como a EBA para instituições financeiras, ou a ENISA no contexto europeu.

O que pode falhar, se não estiver preparado

  • Falta de coordenação entre equipas (TI, segurança, operações, jurídico)
  • Processos teóricos que não funcionam sob pressão
  • Pessoas que não sabem o que fazer, ou pior: entram em pânico
  • Sistemas que falham porque ninguém os testou fora do “modo normal”
  • Comunicação desorganizada, tanto interna como externa

Um teste de stress mal preparado não só falha, como expõe fragilidades críticas que podem ser fatais num cenário real.

Como preparar um teste de stress cibernético com método

1. Defina o objetivo do teste
O que está a testar?

  • Resposta a incidentes?
  • Comunicação interna?
  • Recuperação de backups?
  • Continuidade de serviços críticos?
  • Tempo de reação da gestão?

O objetivo do teste define o cenário.

2. Escolha o tipo de teste

  • Tabletop exercise (TTX) – simulação em sala, com discussão de papéis e decisões
  • Walkthrough – execução guiada de procedimentos
  • Live simulation – ataque realista em ambiente de testes (ou produção controlada)

Comece com exercícios simples. Escale à medida que a maturidade da organização aumenta.

3. Simule o caos, mas com controlo

Crie um cenário credível, desafiante e ligeiramente desconfortável.

Exemplo:“Sexta-feira, 18h10. Recebem um alerta de atividade anómala
em múltiplas contas privilegiadas. Os backups parecem comprometidos. O responsável de segurança está incontactável.”

Foca a tensão real. É isso que testa a resiliência.

4. Defina papéis e responsabilidades com clareza

  • Quem coordena?
  • Quem comunica?
  • Quem aprova decisões críticas?
  • Quem ativa os planos de resposta?

Um bom exercício mede a capacidade de tomar decisões com clareza, não apenas a competência técnica.

5. Avalie, aprenda e ajuste

Após o teste:

  • O que correu bem?
  • O que falhou?
  • Que medidas devem ser revistas?
  • Quem precisa de formação adicional?

O objetivo do teste é melhorar continuamente, não obter uma nota máxima.

Ferramentas que pode usar

  • Matriz de impacto vs probabilidade (para definição de cenários)
  • Mapas RACI (para clarificar papéis e responsabilidades durante o exercício)
  • Playbooks de resposta a incidentes
  • Cadernos de lições aprendidas
  • Dashboards de acompanhamento em tempo real

 

Formação para equipas que precisam de estar prontas

A verdadeira resiliência não está no plano. Está na capacidade de agir sob stress, com foco, clareza e eficácia.

Um bom teste de stress não serve para impressionar. Serve para corrigir antes que seja tarde demais.

Na Behaviour, ajudamos as organizações a transformar teoria em prática, e a preparar equipas que sabem o que fazer
quando tudo parece estar a falhar.

Autor: Behaviour
Publicado em: 1 setembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Segurança em Período de Férias

Date: Agosto 4, 2025 Author: Editor
Seguranca Periodo Ferias

Segurança & Continuidade • Artigo

Cuidados essenciais para profissionais e equipas que não podem dar férias aos riscos

⏱️ Leitura estimada: 7 minutos

Preparação prática para proteger a segurança da informação, a continuidade do negócio e a resiliência organizacional durante o período de férias.

Agosto chegou. Para muitos, é tempo de descanso. Para os riscos é oportunidade. Quando entramos em modo verão, relaxamos, as equipas rodam e os processos abrandam. Mas os riscos mantêm-se atentos. É precisamente nesses períodos de menor vigilância que muitos dos incidentes mais graves têm origem.Partilhamos os principais cuidados a ter antes, durante e após o período de férias, com foco na segurança da informação, continuidade do negócio e resiliência organizacional.

Antes das férias: preparar, proteger, delegar

1. Reveja e limite contas e acessos

  • Elimine acessos temporários ou não utilizados
  • Verifique permissões atribuídas a prestadores externos
  • Restrinja acessos privilegiados e garanta rastreabilidade
  • Aplique regras claras para órgãos de gestão, se necessário
  • Registe tudo acções de desativação e reativação futuras

Acesso mínimo. Tempo limitado. Tudo rastreável.

2. Defina substitutos e procedimentos claros

  • Quem substitui quem?
  • Que decisões podem ser tomadas?
  • O que fazer em caso de incidente?

Continuidade não é só presença é preparação e resposta.

3. Reforce a vigilância contra fraudes e phishing

  • Pagamentos urgentes em nome do CEO ausente
  • Pedidos falsos de mudança de IBAN
  • Mensagens urgentes com penalizações
  • Prémios ou sorteios falsos
  • Links fraudulentos sobre entregas
  • Cuidado com deepfakes: voz ou vídeo falsos com pedidos de acessos, transferências ou extorsão

Redobre a atenção. Aplique ciber-higiene. Reporte sempre.

4. Reveja os planos de continuidade e resposta a incidentes

  • Planos atualizados e testados com equipa reduzida?
  • Quem ativa o plano em agosto?
  • Fornecedores continuam prontos nesse período?

Um plano que não funciona em férias… não é plano.

Durante as férias: manter o essencial a funcionar

5. Cuidado com redes e Wi-Fi públicas

  • Desligue redes e equipamentos não necessários
  • Evite Wi-Fi públicas para aceder a sistemas
  • Se inevitável, use VPN da organização

A conveniência de hoje pode ser o incidente de amanhã.

6. Proteja e automatize sem desligar totalmente

  • Automatize backups (de preferência imutáveis)
  • Ative alertas e notificações para incidentes
  • Garanta visibilidade mínima mesmo em férias

Automação inteligente protege mesmo quando desliga.

7. Evite expor a sua ausência nas redes

  • Evite frases como “fora até setembro”
  • Evite fotos e vídeos com localização em tempo real
  • Prefira grupos fechados para partilhas pessoais

Maior pegada digital = mais oportunidade para ataques de engenharia social.

Depois das férias: validação e reativação

8. Revalide acessos e alterações feitas

  • Alguma conta temporária ainda ativa?
  • Configurações alteradas sem reversão?
  • Algum incidente não detetado?
  • Reveja logs e relatórios de segurança

Pós-férias = check-up obrigatório.

9. Atualize e valide sistemas

  • Aplique atualizações de segurança pendentes
  • Verifique backups e relatórios
  • Confirme integridade dos logs, incluindo o antivírus e a firewall

Comece com confiança. Sem dúvidas técnicas.

Formação recomendada?

A Behaviour ajuda equipas a antecipar riscos, responder a incidentes e reforçar a continuidade, antes, durante e depois das férias.

Cursos recomendados:

Preparar é proteger. Mesmo quando todos estão a desligar. A segurança não tira férias. Mas com o planeamento certo, você pode.

Ver calendário de formações

 

Autor: Behaviour
Publicado em: 4 agostode 2025
Não é autorizada a cópia ou reprodução deste artigo.