Continuidade de Negócios

Criar espaço antes de decidir

Date: Dezembro 22, 2025 Author: Editor

Liderança & Estratégia • Artigo

Entre fechar o ano e preparar o próximo, há um tempo que merece atenção

⏱️ Leitura estimada: 6 minutos

O final do ano não é apenas um ponto de chegada. É um espaço intermédio,
muitas vezes invisível, onde se constroem as bases das decisões futuras.

O final do ano traz consigo um ritmo próprio.As agendas começam a aliviar, as equipas entram num modo mais reflexivo e as conversas ganham outro tom.Não é um tempo de urgência. É um tempo de balanço, de organização mental e de preparação silenciosa do que vem a seguir. Este período intermédio, entre o fecho de um ciclo e o início de outro, raramente é visível. Não aparece nos planos formais, nem nos cronogramas de execução.

Ainda assim, é um dos momentos mais importantes para quem lidera equipas e toma decisões com impacto.É aqui que se clarificam prioridades, que se alinham expectativas e que se criam as condições para que o próximo ano comece com mais consistência.

O valor do tempo intermédio

Nem todas as decisões precisam de ser tomadas antes do final do ano.
E nem todas devem ser empurradas para janeiro.
Existe um espaço natural entre um momento e outro, onde o foco não está na ação imediata, mas na preparação consciente.

Neste tempo, muitas organizações fazem algo essencial: param para pensar.
Pensam no que funcionou, no que está a ganhar importância e nos temas que exigem atenção mais estruturada.
Não como resposta a uma urgência, mas como parte de uma liderança mais madura.

Este é também o momento em que as perguntas certas começam a ganhar forma.
E isso, por si só, já é um avanço significativo.

Preparar não é antecipar tudo

Preparar o próximo ano não significa ter todas as respostas.
Significa, muitas vezes, saber quais são as perguntas que importa aprofundar.
Segurança da informação, risco, continuidade, governação, auditoria, compliance ou capacitação das equipas são temas que resultam de um trabalho em equipa e não de uma decisão isolada.

Ganham força quando são pensados com tempo, enquadrados na realidade concreta de cada organização
e integrados na forma como as equipas trabalham no dia a dia.

É neste contexto que a preparação assume um papel estratégico: não como aceleração, mas como consolidação.

Formação como espaço de clareza

Quando bem enquadrada, a formação não surge apenas como resposta a uma obrigação ou a um calendário.
Surge como um espaço de reflexão estruturada, onde conceitos se organizam, experiências se cruzam e prioridades se tornam mais claras.

Para muitas equipas, é neste espaço que se começa a desenhar o caminho do ano seguinte.
Não porque as decisões estejam já fechadas, mas porque existe a oportunidade de pensar com mais profundidade, alinhar linguagem, ganhar visão comum e preparar escolhas futuras com maior segurança.

A formação, neste sentido, não antecipa decisões.
Sustenta-as.

Criar condições para decidir melhor

Os próximos meses trarão, naturalmente, momentos de decisão.
Projetos a arrancar, planos a formalizar, prioridades a executar.
Quanto mais claro for o trabalho feito antes, mais consistente será o que vem depois.

Criar condições para decidir melhor é um exercício de responsabilidade.
Envolve tempo, atenção e a disponibilidade para preparar as equipas antes de lhes pedir ação.

Entre fechar o ano e preparar o próximo, há um tempo que merece atenção.
É nele que se constrói a base para decisões mais conscientes, equipas mais alinhadas e resultados mais sustentáveis.

Algumas escolhas ficam para janeiro.
A clareza pode, e deve, começar agora.

Pode explorar o Catálogo de Formação e Certificação ou falar connosco para refletir sobre prioridades, equipas e próximos passos.


Autor: Behaviour
Publicado em: 22 de dezembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

Continue reading…

Continuity by Design: reduzir o risco de concentração em cloud e terceiros

Date: Novembro 24, 2025 Author: Editor
Reduzir Risco Cloud Terceiros (Instagram)

Continuidade & Resiliência • Artigo

Depois do que aconteceu, a pergunta já não é “o que pode acontecer” – é “quanto tempo demora a repôr?”

⏱️ Leitura estimada: 9 minutos

Dependências de hyperscalers, falhas sistémicas e concentração de terceiros estão a mudar a exigência: provar capacidade de continuidade e recuperação, com evidência e testes.

Depois de Google Cloud (12/jun/2025), Microsoft 365 (jul/2025) e do apagão ibérico (28/abr/2025), a questão deixou de ser “o que pode acontecer” e passou a ser “quanto tempo irá demorar a repôr os serviços e voltar a servir o cliente?”  

Porque falar disto agora?

  • Dependências de hyperscalers: a falha de 12/jun/2025 afetou múltiplas aplicações populares e expôs o impacto transversal de um único ponto de falha na identidade/serviços partilhados. status.cloud.google.com
  • Impactos na produtividade derivados de SPOF’s: em julho, os utilizadores do Outlook/M365 ficaram horas sem e-mail/calendário até serem aplicadas as medidas corretivas necessárias de configuração. Um lembrete de que para “trabalhar” as organizações dependem de” serviços SaaS críticos”, tais como, aplicações simples e supostamente identificadas como “não críticas” numa avaliação de impacto comum. AP News
  • Falhas na infraestrutura e serviços de suporte, fora do controlo da organização, e não nas TI da organização. O efeito sistémico do evento disruptivo desafiou a resiliência do ecosistema onde vivem muitas orgaizações: o apagão ibérico foi classificado pela ERSE como ICS 3 – Blackout (o nível mais grave da ENTSO-E), e mostrou que energia/telecom são dependências operacionais diretas. Muitas organizações sentiram o impacto real de um evento disruptivo que afetou em cascata todo o seu ecosistema. erse.pt
  • Supervisores europeus alertam para o risco de concentração e dependência: a concentração de muitos serviços críticos em apenas alguns prestadores de TI, ou a utilização por muitas entidades Essencias e Críticas de serviços de apenas alguns prestadores de TI mais visiveis e “reputados” no mercado (devido ao facto de promovem maiores níveis de confiança), com operação na EU (mas, na sua maioria, “Não Europeus”), aumenta o risco e a dependência para essas entidades, e destaca a críticidade desses prestadores de TI específicos. Atentos a este facto, os reguladores e supervisores europeus vêm destacar a necessidade de reforçar as medidas de gestão do risco, cibersegurança e controlo a implementar por estas partes, de modo a reduzir os riscos de concentração e contagio de todo o ecosistema de serviços dependentes. Destacam-se das diretivas europeias transpostas para legilação nacional como o NIS 2 e a CER, e os regulamentos setoriais “lex specialis” como por exemplo, o DORA, para o setor financeiro e prestadores de serviços TI, que já se aplica desde 17 jan 2025. ESMA, ou extensões e regras especificas, como no setor a aviação a Diretiva NIS 2 (lex generalis) + Regras EASA Part IS (lex specialis) – onde se incluem Regras/Regulamentos EASA (aplicação direta ou via regulamentos de execução).

 

 “Continuity-by-design”, não é apenas um dossier!

 1) Multi-região, seguida de multi-cloud
Arranca com redundância na mesma cloud: zonas/regiões distintas, failover testado e dados “imutáveis”, Write Once Read Many (WORM), para suportar a recuperação. Passa a multi-cloud onde o impacto justifica (identidade, faturação, front-ends).

2) Identidade com break-glass
Se IAM cai, tudo cai. Define contas break-glass fora do SSO, dupla custódia de chaves e procedimento de ativação/revogação ensaiado.

3) SaaS “egress-ready”
Para cada SaaS crítico, responde: Como exporto os dados? Em quanto tempo? Consigo operar em serviços mínimos sem a plataforma? Mantém extratos/espelhos do que for vital para o cliente.

4) Observabilidade que não morre com o incidente
Registos, alertas e status fora do prestador afetado (monitorização externa, runbooks e contactos offline).

5) Planos de degradação funcional
Define serviços mínimos viáveis (o que manténs quando perdes 30–50% da capacidade) — e treina o feature toggle sob pressão.

6) Contratos que realmente ajudam
Exige RTO/RPO, notificação antecipada, direito de auditoria e testes conjuntos; mede tempo de resposta e qualidade das evidências.

7) Exercícios recorrentes e mensuráveis
A ENISA recomenda testar BC/DR regularmente (table-tops, simulações, hot sites, digital twins) com registo de lições e revisões. ENISA

 

“Provas” que acalmam reguladores e clientes

  • DORA (financeiro): evidências de gestão de risco TIC, testes de resiliência e modelos de governo de terceiros (relatórios, atas, métricas). EIOPA
  • Concentração de serviços e dependências em terceiros: demonstra que conhece quem o pode parar (3.º e 4.º nível), sabe quem (de facto, é crítico) e como reduzir essa exposição. ESMA
  • Comunicação: playbooks prontos (clientes, media, supervisores) com tempos-objetivo e porta-vozes treinados.

 

Checklist 60 minutos (quando tudo pára)

  1. Ative os runbook e bridge de crise (comunicação out-of-band).
  2. Confirme o âmbito (o que caiu / o que funciona) e ative o modo degradado.
  3. Decida em 15 min: failover automático/manual, bloqueio de mudanças e mensagem inicial a clientes.
  4. Registe tudo (tempos, decisões, evidências).
  5. Atualize status de hora a hora até estabilizar.

 

Métricas que o Board entende

  • RTO/RPO por serviço (objetivo – metas vs. obtido no último teste)
  • MTTR por cenário (média e p95)
  • Percentagem de backups restaurados nos últimos 90 dias
  • Cobertura EDR/SIEM e % de runbooks testados com sucesso
  • Mapa de dependências (3.º/4.º nível) e tempo até 1.ª comunicação a clientes

 

Perguntas que deves fazer ao teu fornecedor esta semana (após verificares o teu contrato)

  • Qual é o RTO/RPO contratual e o observado em testes reais?
  • Como exportar dados em cenário de emergência e em quanto tempo?
  • Que alternativas existem se o SSO/IAM falhar?
  • Se / Como se pode testar em conjunto um cenário de falha regional/serviço? Quando?
  • Que evidências são entregues após o incidente?

 

Plano de 100 dias (novo ângulo, sem repetir o que já tem)

0–30 dias — Fotografia de risco de concentração
Mapeie serviços críticos ↔ regiões/fornecedores ↔ pontos únicos de falha (inclui energia/telecom). Marque quick wins (break-glass, status page externa). erse.pt

31–60 dias — Ensaiar e medir
Table-top “perda de IAM/cloud” + teste de restore cronometrado; prepara dashboards (RTO/RPO, MTTR, comunicação). status.cloud.google.com

61–100 dias — Provar e melhorar
Teste técnico (perda de GCP/Azure/M365) + revisão contratual de SaaS críticos (export, notificação, right to audit) + after-action review. AP News

 

Leituras úteis (2025)

  • Status do incidente GCP (12/jun/2025) e análises independentes. status.cloud.google.com
  • Outage Microsoft 365/Outlook (jul/2025) — correção de configuração e restauro progressivo. AP News
  • Apagão ibérico classificado ICS 3 – Blackout (ERSE). erse.pt
  • Concentração de terceiros em TI preocupa supervisores europeus (JC ESAs). ESMA
  • ENISA: testar BC/DR regularmente e documentar lições. ENISA

 

Cursos Behaviour recomendados

 

Autor: Behaviour
Publicado em: 24 de novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Preparar um plano de estudo para consolidar o know how e preparar a certificação CISSP

Date: Novembro 17, 2025 Author: Editor
Preparar Exame CISSP (Instagram)

Segurança da Informação • Artigo

Encontro-me a preparar para realizar o exame CISSP… qual a melhor abordagem?

⏱️ Leitura estimada: 12 minutos

Um plano realista e estruturado de preparação para o CISSP, alinhado com experiência prática, métricas e decisões de segurança.

Encontro-me a preparar para realizar o exame CISSP… qual a melhor abordagem?

 

Quando se prepara para um exame como o CISSP, existem sempre várias abordagens possíveis.

A experiência da Behaviour, com mais de 18 anos a preparar profissionais para realizarem com sucesso este exame,
mostrou que “one size does not fit all“.
Cada profissional adapta-se melhor a determinadas abordagens do que a outras.
Para além do estilo de aprendizagem individual, cada pessoa traz experiências diferentes em várias temáticas, o que pesa na escolha da melhor estratégia de preparação, no tempo de estudo a dedicar e até na probabilidade de sucesso no exame.

O CISSP desafia o profissional no domínio do conhecimento e, definitivamente, põe à prova a sua experiência.
Não basta estudar ou resolver “umas perguntas”.
Cada questão do CISSP coloca o candidato à prova, seja nos conceitos fundamentais dos pilares da cibersegurança,
seja nos requisitos mais recentes de conformidade.
O CISSP não testa apenas profissionais; testa a sua excelência.

Ao longo dos anos, a Behaviour identificou denominadores comuns que, de forma genérica e com ligeiras adaptações,
podem ser utilizados como uma fórmula de sucesso.
Esses denominadores são aplicados durante a frequência do curso CISSP da Behaviour e servem também de base às recomendações para a fase final de preparação após o curso.
Tal como em qualquer exame, o segredo está numa preparação correta.

O curso de preparação CISSP da Behaviour é, definitivamente, o melhor ponto de partida.
Dota os profissionais dos conhecimentos necessários para o exame, revisita e relembra temas já conhecidos e colmata lacunas nas áreas menos familiares.

Após a frequência do curso, o profissional consegue avaliar o seu nível atual de conhecimento e de preparação e, com um plano estruturado, consolidar nas semanas seguintes o que falta.

Esta abordagem permite que, em menos de 10 semanas, esteja preparado para realizar com sucesso o exame CISSP.
É natural que qualquer profissional ambicione sair da formação pronto para realizar o exame.

Não obstante o curso CISSP da Behaviour ser completo, a exigência do CISSP implica um esforço final por parte do participante.
Esta preparação requer compromisso de ambas as partes: o curso funciona como um acelerador, poupando ao profissional, em média, entre 8 e 12 meses de estudo diário dedicado, período durante o qual muitos acabam por perder o ritmo e adiar esta meta para “um dia”.

A este tempo não se somam ainda o esforço e os custos de identificar e selecionar os melhores recursos, bancos de questões, metodologias para chegar às respostas corretas, dicas, “truques”, estratégias e outras técnicas que a Behaviour partilha e que resultam de 18 anos a preparar profissionais de sucesso para o CISSP.

Neste artigo, a Behaviour propõe um resumo de plano que o profissional poderá aplicar após a frequência do curso.
Trata-se de orientações de base, sendo que as lições aprendidas são transmitidas em detalhe durante a formação.
Uma abordagem completa ajuda a estudar de forma estruturada, com cenários práticos e instrumentos de avaliação:
como questões e exame de simulação, que permitem medir e consolidar conhecimentos.

No CISSP, não se trata de decorar conceitos, mas de aprender a pensar e a decidir como um gestor de segurança de excelência.
O maior desafio não é o candidato adaptar-se ao exame, mas o próprio exame adaptar-se ao candidato à medida que este responde e avança nas questões: o CISSP é um exame adaptativo, o que eleva o nível de exigência.

O curso CISSP da Behaviour desafia o profissional para que esteja preparado para todas as circunstâncias, incluindo a incerteza inerente ao exame, porque, se não fosse difícil, não estaria à altura da excelência exigida.

Abaixo apresenta-se um plano sumário com algumas dicas que se espera que despertem o interesse pela certificação CISSP
e que ajudem a demonstrar que, afinal, o “difícil pode ser fácil” quando se aplica a fórmula certa, embora, como tudo na vida, exija dedicação.

Um verdadeiro plano de estudo pós-formação, orientado a resultados (2–3 meses), assenta em casos reais, métricas e evidências
alinhadas com o curso e com os requisitos do CISSP.

 

Autor: Behaviour
Publicado em: 17 novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Os 7 erros mais comuns em auditorias e como evitá-los

Date: Novembro 3, 2025 Author: Editor
7 erros em auditorias (Instagram)

Auditoria & Governação • Artigo

Auditar não é apenas verificar se existe documentação

⏱️ Leitura estimada: 7 minutos

É perceber se há controlo real, práticas aplicadas e maturidade consistente em toda a organização.

Auditar não é apenas verificar se existe documentação. É perceber se há controlo real.

As auditorias são momentos críticos: avaliam se a organização está apenas a “cumprir o mínimo” ou se possuí práticas consistentes e maduras.
No entanto, há erros que se repetem – e podem comprometer não só o sucesso da auditoria, como a credibilidade de toda a estrutura de gestão.


Se a sua organização prepara e necessita de realizar auditorias, seja para verificar o cumprimento de requisitos legislativos (RGPD, DORA, NIS 2…), normas e boas práticas internacionais (ISO/IEC 27001, ISO 22301…), ou outros (clientes, parceiros, fornecedores …), este artigo é para si

Erro 1: Tratar a auditoria como um evento pontual

Muitas organizações encaram a auditoria como uma corrida contra o tempo, só “acordando” semanas antes.
Resultado? Stress, improviso e falhas óbvias.

O que fazer?
planear antes de improvisar – conhecer o cronograma e os critérios das auditorias atempadamente (quando possível); integrar e aplicar de forma contínua as práticas nos processos da organização, o que permite criar uma cultura de prontidão, controlo e evidências.
O objetivo passa por assegurar um elevado nível de preparação da organização, para evidenciar e responder, em qualquer momento, aos mecanismos de controlo, incluindo auditorias, realizadas por quaisquer partes interessadas internas ou externas. A auditoria e os seus resultados são reflexos de um sistema vivo de uma organização diligente – e não de um teatro temporário
e de uma organização reativa.

Erro 2: Ter documentos, mas não práticas reais

Ter políticas assinadas e procedimentos arquivados não significa que sejam utilizados.

O que fazer?
garantir que os processos são compreendidos e aplicados.
Um auditor experiente procura coerência entre o que está escrito e o que se faz.

Erro 3: Falta de preparação das pessoas

Colaboradores apanhados de surpresa, respostas vagas ou “isso é com o IT, ou com área X”, demonstrando improviso, e/ou criando um sistema de “ping-pong” em que umas áreas “empurram” para as outras… são tudo sinais de uma organização com um modelo de governo deficiente e ausência de envolvimento das partes.

O que fazer?
antes da auditoria, simular perguntas reais, clarificar e reforçar responsabilidades e autoridades, explicar o porquê das práticas e controlos.
A segurança começa por compreender como é que as tarefas que realiza no dia-a-dia se mapeiam para os requisitos das práticas e controlos que a organização tem de cumprir.
O colaborador tem de saber demonstrar que são aplicados e evidenciar os resultados da sua execução.

Erro 4: Subestimar o contexto organizacional

Muitas auditorias falham porque os riscos reais do negócio não estão refletidos no seu sistema de gestão, isto acontece, normalmente, porque a organização não se conhece a si própria.
Resultado? Controlos genéricos, sem impacto, ou mesmo, práticas críticas não documentadas ou inexistentes.

O que fazer?
alinhar riscos, objetivos, práticas e controlos com o contexto real da organização.
Conhecer a organização e o seu risco inerente é fundamental para um planeamento com base no risco.
A auditoria avalia consistência, relevância e eficácia, não o volume de documentos ou aplicações de IT que utiliza.

Erro 5: Não evidenciar melhoria contínua

Ter o mesmo plano, os mesmos indicadores e os mesmos erros ano após ano compromete a credibilidade do sistema.
Isto demonstra falta de uma cultura de melhoria continua na organização.
As causas podem ser as mais diversas, desde a falta de compromisso da gestão até à resistência à mudança.

O que fazer?
identificar agentes de melhoria, mostrar ações corretivas eficazes, planos de melhoria e, decisões com base em análise crítica.

Melhoria contínua não é opcional – é esperada e necessária.
O contexto da organização é dinâmico, como tal, a melhoria continua deve acompanhar a necessidade de mudança.

Erro 6: Ignorar os registos

Políticas e procedimentos são essenciais – mas sem registos, não há prova de que algo foi realmente executado.

O que fazer?
manter registos atualizados, acessíveis e coerentes com as atividades realizadas.
O auditor vai querer ver evidência factual – não intenções.
A evidência deve ser objetiva, estar disponível e ser verificável.

Erro 7: Não ligar os pontos

Auditorias falham quando as peças não encaixam:
riscos não refletem os objetivos, controlos não protegem os ativos críticos, planos de resposta não são testados.

O que fazer?
garantir que o sistema de gestão é coerente, integrado e orientado para o negócio.
O auditor procura lógica, não complexidade.
Cumprir os requisitos utilizando práticas simples e consistentes demonstra uma organização madura.
Normalmente, uma organização que aplica práticas de forma complexa ou desconexa demonstra uma maturidade deficiente ou em crescimento – devendo o auditor compreender e recomendar a melhoria do nível de maturidade das práticas da organização
através da melhoria continua.
Recordar que o auditor é, também, um agente de melhoria, e o resultado do seu trabalho deve produzir conclusões e recomendações acionáveis.

O que procuram os auditores experientes?

  • Evidências objetivas
  • Ciclo de melhoria ativo
  • Envolvimento da liderança
  • Consistência entre discurso, documentos e prática
  • Adoção real das Melhores Práticas

Não se trata de agradar ao auditor.
Trata-se de garantir que a organização está realmente preparada – com ou sem auditorias calendarizadas.

Formação que ajuda a preparar auditorias exigentes

A Behaviour desenvolve cursos que não só explicam as normas, como te preparam para aplicar, liderar e auditar com segurança:

A auditoria é um reflexo da maturidade da organização – e não um jogo do que se deve mostrar e esconder ao auditor.


Quem domina o seu sistema, não teme a auditoria.
Usa-a com sabedoria para crescer.

Na Behaviour, formamos profissionais de excelência para atingirem esse nível de domínio.
O objetivo principal não é apenas completar a formação e passar no exame – é conhecer, saber fazer e ser capaz de liderar com confiança, transformando incertezas e dúvidas em: certezas, factos e reconhecimento para o auditor e para as organizações auditadas.

Autor: Behaviour
Publicado em: 3 novembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

5 erros que arruínam um teste de stress cibernético

Date: Outubro 29, 2025 Author: Editor
5 erros teste stress cibernetico

Resiliência & Testes • Artigo

Porque testar é necessário – mas testar mal pode ser pior do que não testar

⏱️ Leitura estimada: 6 minutos

Cyber Stress Tests só criam valor quando testam decisões reais, incerteza e capacidade de resposta – não quando criam falsas certezas.

Porque testar é necessário? Mas testar mal pode ser pior do que não testar

Os Cyber Stress Tests (testes de stress cibernético) tornaram-se uma exigência crescente em setores como o financeiro,
a saúde, os serviços digitais e as infraestruturas críticas.

Mais do que uma tendência, são hoje uma ferramenta essencial para testar a capacidade real de resposta da organização
a um cenário de crise.
Mas atenção que, um teste mal planeado, mal executado ou mal acompanhado pode gerar falsas certezas, e ocultar fragilidades que ninguém viu chegar.

Abaixo destacamos os 5 erros mais comuns que, por si só ou em conjunto, descredibilizam e anulam o impacto de um teste de stress.

1. Falta de um objetivo claro

“Misturámos tudo para ver o que acontecia.”
Este tipo de abordagem leva a exercícios caóticos, onde ninguém sabe o que está a ser avaliado, quais os indicadores de sucesso ou que lições se pretendem tirar.

Um teste eficaz tem foco: Resposta? Comunicação? Continuidade? Recuperação?
Tudo ao mesmo tempo = nada com clareza.

O objetivo define o cenário, desafios inesperados, os participantes, os critérios e o impacto.

2. Cenários pouco realistas (ou demasiado previsíveis)

Testes que simulam “ataques genéricos” ou que apenas repetem exercícios antigos não acrescentam valor a um novo ambiente
que espelha uma nova realidade tecnológica em que a exposição ao risco aumenta exponencialmente e, muitas vezes, de forma silenciosa, tirando partido de novos cenários.

Por outro lado, testes excessivamente técnicos, sem contexto de negócio, afastam os decisores e confundem os participantes.

O segredo está no equilíbrio: um cenário plausível, com elementos de surpresa, mas ligado à realidade da organização.

Exemplo eficaz:
“É sexta-feira, 18h10. A conta do administrador está a ser usada para apagar bases de dados. O gestor de segurança está fora.
Quem é responsável por responder?
Quando responde?
Como responde?”

3. Falta de envolvimento da gestão

Se os órgãos de gestão apenas veem relatórios, perde-se a componente mais importante: a capacidade de decisão sob pressão.

Muitos testes falham porque os papéis críticos não estão atribuídos… ou estão atribuídos a quem não está presente.

Resiliência não é só técnica e prontidão, mas também liderança e governação.
É decidir e ter certezas no meio de um ambiente de incertezas.

4. Não documentar, não avaliar, não corrigir

Um teste só se justifica se gerar conhecimento útil e melhoria contínua.

Realizar um exercício sem registo, sem avaliar desempenhos, sem estabelecer planos corretivos é teatro, não é preparação.

“Correr bem” não significa não falhar. Significa identificar falhas, aprender e corrigir.

5. Testar com a equipa ideal, no cenário correto

Muitos testes são feitos com os protagonistas certos, no momento certo e com tudo preparado ao minuto.

Mas… e se o responsável estiver de férias?
E se o fornecedor não responder?
E se a decisão tiver de ser tomada
com apenas 50% da informação?


O objetivo é testar a resposta no caos, não num laboratório.
Nenhum cenário se irá materializar da forma exata que planeámos, pelo que introduzir incerteza e medir a resiliência
são fatores críticos para uma resposta eficaz aquando de um cenário real.

Como fazer bem?

  • Definir um objetivo claro e específico
  • Criar um cenário credível, desafiante e relevante para o negócio
  • Introduzir incerteza nos momentos que tínhamos como certos
  • Envolver todos os níveis da organização, incluindo liderança
  • Medir desempenhos, identificar falhas e apresentar um plano sólido de melhoria
  • Repetir periodicamente e escalar a dificuldade com maturidade

 

Preparar equipas para testes exigentes

Com a Behaviour, as organizações aprendem a planear, executar e melhorar os seus testes de stress tendo por base normas, frameworks e a realização de exercícios reais:

Testar é mais do que cumprir uma exigência interna ou um requisito externo. É a única forma real de saber se estamos prontos.

Mas atenção: testar mal pode ser mais perigoso do que não testar. Porque cria a ilusão de que estamos preparados… quando ainda não estamos.

Aplicando os métodos, cenários e objetivos certos, os testes de stress transformam-se em poderosas ferramentas de maturidade organizacional.

Autor: Behaviour
Publicado em: 29 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

O que mudou com a NIS 2 — e por que não se pode continuar a ignorar a mudança

Date: Outubro 22, 2025 Author: Editor
O que mudou com a NIS 2 (Linkedin)

NIS 2 & Conformidade • Artigo

A Diretiva NIS 2 já está em vigor – e a maioria das organizações ainda não está preparada

⏱️ Leitura estimada: 7 minutos

Um divisor de águas na gestão do risco, cibersegurança e reporte de incidentes para setores essenciais, importantes e críticos.

A Diretiva NIS 2 (UE 2022/2555) já está em vigor em toda a União Europeia — e a maioria das organizações afetadas ainda não está preparada.

Esta não é apenas “mais uma diretiva europeia”.
É um verdadeiro divisor de águas na forma como os setores importantes, essencias e críticos (com a Diretiva CER (EU 2022/2557)) devem lidar com cibersegurança, gestão de risco e reporte de incidentes.

Se a sua organização atua em setores como energia, transportes, saúde, financeiro, digital, ou se presta serviços a entidades essenciais, este artigo é obrigatório.

O que é a NIS 2?

A NIS 2 substitui a anterior Diretiva NIS (2016/1148) e estabelece regras mais rigorosas e abrangentes para garantir a segurança das redes e sistemas de informação na UE.

Entre os principais objetivos estão:

  • Reduzir disparidades de segurança entre Estados-Membros
  • Reforçar a resiliência dos setores essenciais e digitais
  • Criar uma abordagem comum à gestão e reporte de riscos e incidentes

O que mudou, na prática?

1. Mais setores incluídos
A NIS 2 aplica-se agora a muito mais áreas — incluindo serviços digitais, alimentação, produtos químicos, resíduos, correios, e gestão de água potável.

2. Mais entidades abrangidas
A regra agora é: se a sua organização é essencial para o funcionamento da sociedade ou da economia, está incluída.
Não importa se a organização é pública ou privada. Importa o impacto que se teria se parasse de funcionar.

3. Responsabilidades da gestão de topo
Os membros da administração podem ser responsabilizados pessoalmente pela não implementação de medidas adequadas de cibersegurança.

4. Reportes obrigatórios de incidentes
As organizações devem:

  • Notificar incidentes críticos até 24 horas após detetarem.
  • Atualizar informações até 72h.
  • Submeter relatório final até 1 mês.

5. Fiscalização, coimas e sanções
Reguladores nacionais têm agora poderes reforçados de auditoria e penalização.
Coimas podem atingir milhões de euros — e a reputação… bem, essa pode não ter recuperação.

O que as organizações devem fazer agora

Identificar se estão abrangidas
Consultar a lista de setores e tipos de entidades incluídos. A legislação nacional (como a Lei do Ciberespaço, em Portugal) já estabelece os critérios.

Avaliar o grau de maturidade atual

  • Existe na organização uma política formal de cibersegurança?
  • Existe uma abordagem sistemática à gestão de riscos TIC?
  • A organização está preparada para reportar incidentes em menos de 24 horas?

Implementar controlos técnicos e organizativos
Deve-se cumprir os requisitos mínimos de segurança previstos no Art. 21 da Diretiva, como:

  • Gestão de riscos
  • Gestão de incidentes
  • Continuidade de negócio
  • Segurança na cadeia de fornecimento
  • Ciber-higiene e formação
  • Criptografia, controlo de acesso e demais requisitos

Nomear responsáveis e criar governança clara
Definir quem lidera, quem executa e quem aprova as medidas de segurança.
A responsabilidade tem de ser visível, rastreável e eficaz.

Preparação exige mais do que “ler a diretiva”

A aplicação prática da NIS 2 requer:

  • Formação especializada
  • Simulações de resposta a incidentes
  • Auditorias internas
  • Atualização de políticas, procedimentos e assegurar planos de continuidade testados

Como a Behaviour pode ajudar

Somos especialistas em formar profissionais e equipas para liderarem a implementação, a auditoria e a conformidade com a NIS 2:

Estes cursos não são apenas técnicos. São pensados para quem lidera, decide, implementa e responde.

A NIS 2 já está em vigor. A fiscalização já começou. E a sua organização? Preparar-se não é uma opção. É uma responsabilidade legal, ética e estratégica.

O que está em jogo não é só a conformidade. É a continuidade do teu negócio, a confiança dos clientes e o futuro da reputação da organização.

Autor: Behaviour
Publicado em: 22 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Continuidade do Negócio: o risco deixou de ser uma hipótese, tornou-se o novo normal

Date: Outubro 13, 2025 Author: Editor
Continuidade_Negocio_Risco_deixou_hipotese_tornou

Continuidade & Resiliência • Artigo

Resiliência é disciplina diária, não um dossier na gaveta

⏱️ Leitura estimada: 8 minutos

Incidentes tecnológicos e falhas de terceiros continuam a provar que a continuidade se constrói na prática, todos os dias.

Incidentes tecnológicos e falhas de terceiros mostram que resiliência é disciplina diária, não um dossiê guardado na gaveta.

Casos recentes que provaram este facto são:

  • Outage global do CrowdStrike (jul/2024): atualização defeituosa provocou BSOD (Blue Screen of Death) em milhões de sistemas Windows e parou operações em múltiplos setores – um “mega-incidente” sem intrusão maliciosa Reuters
  • Apagão ibérico (28/abr/2025): falha elétrica massiva imobilizou Portugal e Espanha durante horas (transportes, semáforos, redes móveis), com reposição gradual do serviço. Relatórios nacionais indicam como origem técnica a rede ibérica (não existindo indícios de ciberataque) RTP
  • Google Cloud (12/jun/2025): interrupção com impacto em plataformas populares (ex.: Spotify, Fitbit), expondo dependência de hyperscalers. Google Cloud Status
  • Microsoft 365/Outlook (jul/2025): perturbação prolongada (~19h) com paralisação de e-mail/calendários – erros de configuração, não existindo indícios de ciberataque. Computerworld
  • Ataques via fornecedores: aumento significativo de incidentes na e através da supply chain em 2024/25. Financial Times
  • Custos de indisponibilidade: estudos de 2025 demonstram perdas por hora significativas e uma tendência de subestimação pelas empresas. IT Pro

O que é continuidade “moderna”?

  1. Do cenário técnico ao impacto no cliente: comece pelo BIA (serviços críticos, RTO/RPO), não por uma simples lista de servidores.
  2. Cenários obrigatórios de teste (5)
    • Falha de update (tipo CrowdStrike) –  indisponibilidade massiva sem violação de segurança. Reuters
    • Falha de hyperscaler (GCP/Azure/M365) – perda temporária de serviços partilhados. Google Cloud Status
    • Terceiro crítico indisponível – SaaS/outsourcer falha além do seu RTO. Financial Times
    • Ransomware/compromisso de dados – decisão entre recuperação e reconstrução.
    • Falha de infraestrutura (energia/telecom)blackout regional com operação em modo degradado (UPS/geradores, comunicações alternativas) e plano de comunicação pública RTP
  3. Arquitetura resiliente para suportar falhas com segurança: segmentação, break-glass accounts, backups imutáveis, multirregião e planos de degradação funcional (serviços mínimos viáveis).
  4. Governança e reporte: para as entidades financeiras, o DORA exige testes de resiliência, gestão de terceiros e demonstração de evidências para os supervisores; os setores NIS 2 devem alertar em 24h, notificar em 72h e emitir relatório final em 1 mês. Digital Strategy

7 métricas que importam (e que o Board percebe)

  • RTO / RPO por serviço crítico (alvo vs. conseguido em teste)
  • MTTR por tipo de incidente (média e p95)
  • Cobertura de backups restaurados (últimos 90 dias)
  • Cobertura EDR/SIEM em endpoints e servidores
  • % de runbooks testados com sucesso (e com owners)
  • Dependências de terceiros mapeadas por serviço
  • Tempo para comunicação a clientes/reguladores

Programa em 100 dias

  • 0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
  • 31–60 dias: exercícios executivos (table-top NIS 2 – 24h/72h/1 mês), teste de restore, plano de comunicação.
  • 61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after-action review com melhorias. Google Cloud Status

 

Autor: Behaviour
Publicado em: 13 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Os Maiores Desafios Operacionais das Empresas em 2025

Date: Setembro 15, 2025 Author: Editor
Maiores Desafios Operacionais Empresas

Estratégia & Resiliência • Artigo

Eficiência, resiliência e inovação num contexto de custos, risco e regulação

⏱️ Leitura estimada: 8 minutos

Padrões recorrentes nos desafios operacionais atuais e como transformar preparação e conformidade em vantagem competitiva.

Num cenário económico e tecnológico em constante evolução, as organizações enfrentam um desafio permanente: como alcançar eficiência, resiliência e inovação, enquanto navegam por custos elevados, riscos crescentes e uma regulação cada vez mais complexa.

Embora os desafios variem consoante o setor e o grau de maturidade das empresas, há padrões recorrentes que emergem em praticamente todas as análises de mercado. Grandes consultoras internacionais, como a McKinsey e a PwC, têm produzido estudos estratégicos que identificam os principais entraves operacionais da atualidade. Paralelamente, a ENISA – Agência da União Europeia para a Cibersegurança – desempenha um papel central na definição de políticas e na coordenação da resposta europeia a ameaças digitais, publicando relatórios técnicos e análises setoriais de elevada relevância, que complementam e aprofundam a compreensão dos riscos e desafios enfrentados pelas organizações. Destacam-se:

 

1. Eficiência e Redução de Custos

A pressão para fazer mais com menos é uma constante transversal a todos os setores. Muitas organizações continuam a operar com processos redundantes e manuais, refletindo uma digitalização ainda incompleta. A busca por ganhos de produtividade, através da automação e da integração tecnológica, deixou de ser uma opção – tornou-se uma necessidade estratégica.

 

2. Talento e Competências

Atrair e reter profissionais qualificados tornou-se um dos maiores desafios organizacionais da atualidade. A escassez de competências digitais, tecnológicas e de liderança é real e transversal a múltiplos setores. Mais do que recrutar, é essencial investir no desenvolvimento contínuo e na motivação das equipas, promovendo culturas organizacionais sólidas, inclusivas e orientadas para o crescimento.

 

3. Resiliência e Continuidade do Negócio

Crises globais, ciberataques e disrupções nas cadeias de fornecimento têm exposto vulnerabilidades estruturais em muitas organizações. Em vários casos, os planos de contingência revelaram-se desatualizados, inadequados – ou simplesmente inexistentes. Mesmo quando existem, muitos nunca foram testados, o que compromete a sua eficácia em situações reais. A resiliência deixou de ser uma vantagem competitiva: tornou-se uma prioridade estratégica para garantir a continuidade operacional em cenários de elevada imprevisibilidade.

 

4. Gestão da Cadeia de Fornecimento

A globalização trouxe eficiência, mas também dependências perigosas. Hoje, riscos geopolíticos, ambientais e tecnológicos podem paralisar operações em poucas horas. Ter visibilidade ponta a ponta da cadeia é essencial para gerir vulnerabilidades.

 

5. Transformação Digital e Tecnologia

A migração para a cloud, a adoção da inteligência artificial e a integração de IoT e automação estão a transformar profundamente os modelos operacionais das empresas. O verdadeiro desafio reside em equilibrar a inovação com a manutenção de sistemas legados, ao mesmo tempo que se assegura a proteção de dados num cenário de ameaças digitais cada vez mais sofisticadas.

 

6. Conformidade e Regulamentação

Com exigências cada vez mais rigorosas, do RGPD ao DORA, da NIS 2 aos critérios ESG, as organizações enfrentam o desafio de alinhar os seus processos com padrões legais e normativos internacionais. A crescente complexidade do enquadramento regulatório exige que os requisitos de conformidade sejam integrados desde o planeamento estratégico até às operações do dia a dia, tornando-se um elemento central da gestão empresarial moderna.

 

7. Sustentabilidade e Pressão ESG

A responsabilidade ambiental e social deixou de ser opcional. Clientes, investidores e reguladores exigem resultados concretos. Incorporar práticas sustentáveis e de economia circular tornou-se condição para competir e manter credibilidade. Hoje, o ESG não é apenas uma mera tendência é um novo padrão de legitimidade empresarial.

 

O maior desafio operacional das empresas não está apenas em reduzir custos ou inovar, mas em conseguir equilibrar múltiplas exigências ao mesmo tempo:

  • ser eficiente sem perder qualidade;
  • ser resiliente sem deixar de inovar;
  • ser sustentável sem comprometer resultados.

As organizações que conseguirem alinhar estes eixos, eficiência, resiliência e inovação, terão maior capacidade de competir num mercado global cada vez mais imprevisível.

 

Como a Behaviour pode ajudar?

Na Behaviour, acreditamos que a preparação é o alicerce da resiliência organizacional. Por isso, desenvolvemos formações especializadas que capacitam equipas para enfrentar os desafios regulatórios e operacionais mais exigentes:

Porque cada desafio exige conhecimento especializado, as nossas formações foram desenhadas para dar às empresas a capacidade de agir antes da crise e transformar a conformidade em vantagem competitiva.

Autor: Behaviour
Publicado em: 15 setembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Como preparar a sua organização para um teste de stress cibernético sem entrar em pânico

Date: Setembro 1, 2025 Author: Editor
Testes_Stress_Ciberneticos

Resiliência & Testes • Artigo

Cyber Stress Tests: quando a organização é posta à prova

⏱️ Leitura estimada: 7 minutos

Simular, testar e demonstrar resiliência operacional e cibernética sob pressão realista.

Os Cyber Stress Tests estão a chegar. E não são uma moda passageira são uma exigência crescente para organizações críticas, financeiras e reguladas.

A ENISA (Agência Europeia para a Cibersegurança) e os reguladores setoriais estão a empurrar as organizações para um novo patamar: simular, testar e demonstrar a sua resiliência operacional e cibernética sob pressão realista.

A pergunta já não é “se” a sua organização vai ser colocada à prova. É “quando” e como vai responder.

Neste artigo explicamos o que é um teste de stress cibernético, o que pode correr mal e como preparar a sua organização com método, sem pânico e com resultados reais.

O que é um teste de stress cibernético?

Um Cyber Stress Test é um exercício estruturado que simula cenários reais de ataque ou falhas críticas com o objetivo de:

  • Testar os sistemas técnicos
  • Avaliar a prontidão das equipas
  • Verificar a capacidade de resposta, comunicação e recuperação
  • Expor pontos fracos antes que seja tarde demais

Estes testes podem ser internos ou mandatados por reguladores, como a EBA para instituições financeiras, ou a ENISA no contexto europeu.

O que pode falhar, se não estiver preparado

  • Falta de coordenação entre equipas (TI, segurança, operações, jurídico)
  • Processos teóricos que não funcionam sob pressão
  • Pessoas que não sabem o que fazer, ou pior: entram em pânico
  • Sistemas que falham porque ninguém os testou fora do “modo normal”
  • Comunicação desorganizada, tanto interna como externa

Um teste de stress mal preparado não só falha, como expõe fragilidades críticas que podem ser fatais num cenário real.

Como preparar um teste de stress cibernético com método

1. Defina o objetivo do teste
O que está a testar?

  • Resposta a incidentes?
  • Comunicação interna?
  • Recuperação de backups?
  • Continuidade de serviços críticos?
  • Tempo de reação da gestão?

O objetivo do teste define o cenário.

2. Escolha o tipo de teste

  • Tabletop exercise (TTX) – simulação em sala, com discussão de papéis e decisões
  • Walkthrough – execução guiada de procedimentos
  • Live simulation – ataque realista em ambiente de testes (ou produção controlada)

Comece com exercícios simples. Escale à medida que a maturidade da organização aumenta.

3. Simule o caos, mas com controlo

Crie um cenário credível, desafiante e ligeiramente desconfortável.

Exemplo:“Sexta-feira, 18h10. Recebem um alerta de atividade anómala
em múltiplas contas privilegiadas. Os backups parecem comprometidos. O responsável de segurança está incontactável.”

Foca a tensão real. É isso que testa a resiliência.

4. Defina papéis e responsabilidades com clareza

  • Quem coordena?
  • Quem comunica?
  • Quem aprova decisões críticas?
  • Quem ativa os planos de resposta?

Um bom exercício mede a capacidade de tomar decisões com clareza, não apenas a competência técnica.

5. Avalie, aprenda e ajuste

Após o teste:

  • O que correu bem?
  • O que falhou?
  • Que medidas devem ser revistas?
  • Quem precisa de formação adicional?

O objetivo do teste é melhorar continuamente, não obter uma nota máxima.

Ferramentas que pode usar

  • Matriz de impacto vs probabilidade (para definição de cenários)
  • Mapas RACI (para clarificar papéis e responsabilidades durante o exercício)
  • Playbooks de resposta a incidentes
  • Cadernos de lições aprendidas
  • Dashboards de acompanhamento em tempo real

 

Formação para equipas que precisam de estar prontas

A verdadeira resiliência não está no plano. Está na capacidade de agir sob stress, com foco, clareza e eficácia.

Um bom teste de stress não serve para impressionar. Serve para corrigir antes que seja tarde demais.

Na Behaviour, ajudamos as organizações a transformar teoria em prática, e a preparar equipas que sabem o que fazer
quando tudo parece estar a falhar.

Autor: Behaviour
Publicado em: 1 setembro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

A pergunta que pode comprometer qualquer plano de continuidade:

Date: Agosto 25, 2025 Author: Editor
Plano_Continuidade_Negócio_Instagram

Continuidade & Resiliência • Artigo

E se a sua equipa principal não estiver disponível?

⏱️ Leitura estimada: 6 minutos

A continuidade real mede-se quando as pessoas certas não estão presentes e a organização continua a responder.

E se a sua equipa principal não estiver disponível?

Na maioria dos planos de continuidade ou recuperação, há um erro silencioso, mas crítico: assume-se que as pessoas certas estarão disponíveis no momento certo.

Mas… e se não estiverem?

  • E se não for possível contactar o gestor de TI?
  • E se a responsável de RH estiver de férias?
  • E se a equipa de gestão de crise estiver indisponível por ter sido impactada pelo mesmo incidente?

É aqui que muitos planos falham, antes mesmo de serem testados.

“A ilusão de ter a pessoa certa no papel certo, à hora certa”

Documentos lindos. Organogramas claros. Lista de contactos de emergência disponível e atualizada. Tudo parece sólido… até que o inesperado acontece.

A realidade é esta:

  • As pessoas adoecem.
  • As pessoas entram em pânico.
  • As pessoas ficam sem acesso digital.
  • As pessoas… são humanas, pelo que, também falham.

Planos que não consideram a ausência dos seus protagonistas são estruturalmente frágeis.

O verdadeiro teste de maturidade

A continuidade de negócio não depende apenas da existência de planos. Depende da capacidade de responder a perguntas como:

  • “Quem substitui quem, em cada função crítica?”
  • “Como são tomadas decisões críticas na ausência da liderança habitual?”
  • “O que está automatizado e o que depende exclusivamente de uma pessoa?”
  • “Quais são os pontos únicos de falha humana?”

Organizações maduras planeiam a ausência das pessoas críticas e testam, com rigor, a capacidade de resposta da equipa.

Casos reais de falha no planeamento da continuidade

Caso 1 – Empresa de serviços financeiros
Um incêndio obrigou à evacuação da sede da empresa.
O gestor da continuidade encontrava-se em viagem internacional, sem acesso à rede.
Resultado: três horas perdidas até alguém assumir liderança.

Caso 2 – Fábrica industrial
Um ataque de ransomware paralisou os sistemas.
As credenciais do administrador encontravam-se num cofre digital… acessível apenas por duas pessoas ambas afetadas pelo ataque.

Caso 3 – Empresa de software
A empresa realizou uma simulação bem-sucedida com os membros da equipa.
Numa sexta-feira à noite, durante um incidente real, a equipa encontrava-se incompleta.
Este facto impossibilitou a tomada de decisões adequadas e levou a falhas na coordenação.
Resultado: disrupção na operação.

Preparar equipas — não apenas planos

  1. Criar redundâncias para as funções críticas
    • Não basta nomear substitutos designados: é necessário treiná-los em contexto prático.
  2. Garantir o acesso partilhado a recursos e credenciais
    • Utilizar cofres digitais partilhados, mecanismos de acesso de emergência e sistemas de contingência.
  3. Testar cenários que considerem a ausência de protagonistas
    • Durante os exercícios, simular a ausência de decisores-chave e observar a resposta da equipa.
  4. Mapear pontos de falha humana
    • Identificar situações em que tudo depende de uma só pessoa e mitigar esse risco.
  5. Desenvolver competências interpessoais sob pressão
    • Liderança, comunicação e tomada de decisão treinam-se antes da crise — não durante.

O que distingue os planos que realmente funcionam?

  • São exercitados e testados com realismo e sob pressão.
  • Antecipam a indisponibilidade de pessoas-chave.
  • Privilegiam a capacitação transversal, e não apenas a dependência hierárquica.
  • Têm backups funcionais de liderança, acesso e decisão.

Quer planos que realmente funcionem?

A continuidade real exige responder ao imprevisível.
“Esperar o inesperado” não é um cliché é o princípio da resiliência.

Porque, nos momentos críticos, não é apenas um plano que salva a organização:
são as pessoas preparadas, disponíveis… e substituíveis.

A pergunta certa nunca foi: “Temos plano de continuidade?”
A pergunta certa é: “Se você não estiver lá… tudo continua a funcionar?”

Autor: Behaviour
Publicado em: 25 agosto de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

União Europeia acelera regulação da Inteligência Artificial

Date: Agosto 20, 2025 Author: Editor
Uniao_Europeia_Inteligencia_Artificial_Behaviour_Instagram

Inteligência Artificial & Regulação • Artigo

O AI Act está a redefinir a economia digital

⏱️ Leitura estimada: 6 minutos

E os profissionais qualificados tornam-se peça central na nova economia digital.

E os profissionais qualificados tornam-se peça central na nova economia digital

Num contexto de crescimento acelerado do investimento global em cibersegurança, que deverá atingir os 213 mil milhões de dólares em 2025, segundo previsões da IDC, a União Europeia está a consolidar o seu enquadramento regulatório para garantir que a Inteligência Artificial evolui com segurança, responsabilidade e transparência.

O novo AI Act (Regulamento 2024/1689) coloca a Europa na vanguarda da governação ética da IA e estabelece obrigações concretas para organizações públicas e privadas em toda a cadeia de valor.

Este cenário traz uma nova urgência: a necessidade de profissionais qualificados que compreendam não apenas o potencial da IA, mas também as suas implicações legais, operacionais e éticas.

O que está em causa com o AI Act?

O AI Act é o primeiro regulamento horizontal da União Europeia sobre Inteligência Artificial.
Os seus principais objetivos incluem:

  • Proibir sistemas de IA inaceitáveis (ex: scoring social, manipulação comportamental)
  • Regular sistemas de alto risco (ex: IA aplicada à saúde, transportes, finanças, educação ou justiça)
  • Exigir avaliação, transparência e controlo sobre sistemas integrados em produtos ou serviços críticos
  • Atribuir responsabilidades claras a fornecedores, importadores, distribuidores e utilizadores
  • Criar um novo mercado para auditores, avaliadores de conformidade e responsáveis pela governação de IA

O AI Act entra em vigor de forma faseada, mas as empresas precisam de começar a preparar-se já.

O investimento global cresce e a exposição também

Com o mundo a investir cada vez mais em cibersegurança, cloud e automação inteligente, a Europa dá um passo decisivo ao exigir que as soluções de IA sejam passíveis de auditoria, explicáveis e alinhadas com valores democráticos.

As organizações vão precisar de:

  • Implementadores e auditores qualificados em IA
  • Gestores de risco e conformidade capazes de aplicar o AI Act
  • Equipas com literacia digital, jurídica, técnica e ética em IA

Como a Behaviour está a preparar os profissionais do futuro

A Behaviour é pioneira em Portugal na criação de um programa de formação estruturado em Inteligência Artificial com base em normas internacionais e legislação europeia.

Todos os cursos são práticos, orientados à aplicação profissional e atualizados com o AI Act, ISO/IEC 42001 e os princípios da governação responsável da IA.

Cursos disponíveis:
  • AI Act Foundation
    Curso introdutório sobre o Regulamento Europeu da IA (2024/1689)
    Para profissionais de IT, compliance, jurídico, segurança ou gestão que precisem de compreender o impacto do novo regulamento europeu.
  • ISO/IEC 42001 Foundation
    Primeiro curso em Portugal sobre a norma ISO/IEC 42001 – Sistemas de Gestão da Inteligência Artificial
    Aborda requisitos técnicos, princípios éticos, controlos organizacionais e estrutura de governação.
  • ISO/IEC 42001 Lead Implementer
    Curso avançado e prático para quem vai liderar a implementação da norma ISO/IEC 42001 numa organização.
    Inclui gestão de risco, ética aplicada, governação, controlos técnicos e planos de resposta.
  • ISO/IEC 42001 Lead Auditor
    Preparação completa para conduzir auditorias a sistemas de gestão de IA com base na ISO/IEC 42001.
    Inclui técnicas de auditoria, análise de evidência, simulações e ligação prática com o AI Act.
Para quem são estes cursos?
  • Profissionais de IT, segurança da informação e gestão de risco
  • Juristas e compliance officers
  • Consultores e implementadores de sistemas de IA
  • Auditores de sistemas, qualidade, ESG e cibersegurança
  • Gestores de inovação, transformação digital e ética organizacional

A Inteligência Artificial já está nas organizações.
Agora, tem de estar também nas mãos de quem a sabe governar, implementar e auditar com responsabilidade.

Com a Behaviour, os profissionais preparam-se com conhecimento técnico, visão estratégica e ligação direta às exigências da União Europeia. Porque o futuro da IA não é apenas uma questão de inovação, é uma questão de confiança.

 

Autor: Behaviour
Publicado em: 20 agosto de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Curso CRISC – Torne-se líder na gestão de risco e controlo de sistemas de informação

Date: Agosto 13, 2025 Author: Editor
Curso_CRISC

Gestão do Risco • Artigo

Formação CRISC: gerir risco com clareza, controlo e visão

⏱️ Leitura estimada: 6 minutos

Formação intensiva e imersiva para quem quer liderar decisões de risco em sistemas de informação.

Formação intensiva e imersiva para quem quer gerir risco com clareza, controlo e visão

A certificação CRISC é hoje uma referência internacional para profissionais que gerem risco em sistemas de informação
e que têm um papel ativo nas decisões estratégicas de governação e controlo.

Na Behaviour, a preparação para o exame CRISC vai além do conteúdo.


Com a Behaviour, vai dominar os quatro domínios do CRISC com segurança, estrutura e aplicação real.

O que vai aprender

Ao longo do curso CRISC da Behaviour, vai aprofundar os quatro grandes domínios do programa de certificação:

1. Governança de Riscos Empresariais
– Integração do risco na estratégia, cultura organizacional e tomada de decisão.

2. Avaliação de Risco de TI
– Identificação, análise e avaliação de riscos relacionados com sistemas de informação.

3. Resposta ao Risco e Mitigação
– Planeamento e implementação de respostas eficazes, alinhadas com os objetivos do negócio.

4. Monitorização, Relato e Controlo
– Supervisão contínua, métricas de eficácia e comunicação com as partes interessadas.

Todos os tópicos são abordados com exemplos reais, exercícios de simulação para preparação para o exame, mapas de apoio visual e simulações de exame.

Com a Behaviour vai…

  • Estudar com método, não com pressão
    A formação está organizada por blocos lógicos, com explicações claras, resumos visuais
    e perguntas de revisão no final de cada domínio.
  • Praticar com quem sabe
    Formadores experientes, certificados, e com conhecimento profundo dos conceitos
    e da realidade de quem trabalha com o risco e controlos em TI.
  • Preparar-se para o exame com confiança
    Incluímos exercícios e exame de simulação, técnicas para gerir o tempo no exame
    e dicas para estimular o raciocínio aplicado ao estilo das perguntas.
  • Ter acesso a um conjunto de materiais de estudo realmente úteis
    Aceder a um conjunto de documentos de apoio (diagramas, quadros comparativos, glossários,
    exemplos de frameworks e dicas para acesso a recursos adicionais de valor)
    que pode reutilizar no trabalho diário.

Quem deve frequentar o curso CRISC?

  • Gestores de risco
  • Responsáveis de TI e segurança da informação
  • Consultores e auditores de sistemas de informação
  • Profissionais que integram equipas de compliance, governação ou continuidade
  • Candidatos à certificação internacional CRISC que procuram uma preparação sólida e prática

Benefícios concretos da formação

  • Domínio completo do conteúdo exigido no exame
  • Capacidade real para aplicar frameworks de gestão de risco
  • Preparação para atuar em contextos complexos, com múltiplos stakeholders
  • Reconhecimento profissional num dos perfis mais procurados do mercado

Organização e apoio

O curso é intensivo, com carga horária otimizada para acelerar a preparação sem perder profundidade.
Inclui momentos de avaliação individual, sessões de esclarecimento de dúvidas
e acesso a apoio após o curso, caso precise de reforçar a sua preparação até ao exame.

 

Pronto para evoluir na gestão do risco?

Com a Behaviour, ganha mais do que preparação para o exame ganha a confiança para agir com segurança.
Ganha estrutura, clareza e capacidade para tomar decisões que realmente protegem o negócio.

Garante já o seu lugar e prepara-se com quem leva a certificação a sério.


Autor: Behaviour
Publicado em: 13 agosto de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Gestão de Risco com Método

Date: Agosto 11, 2025 Author: Editor
Gestao_Risco_Metodo

Gestão do Risco • Artigo

Gestão do risco como vantagem competitiva

⏱️ Leitura estimada: 7 minutos

Cursos práticos para profissionais que querem dominar o risco com método, visão e impacto.

Cursos práticos para profissionais que querem fazer da gestão do risco uma vantagem competitiva dominando-a com método, visão e impacto.

Num mundo onde a incerteza é permanente, a gestão de risco já não é opcional é essencial. Deixou de ser uma função de bastidores para se tornar uma capacidade central nas organizações: protege ativos, assegura conformidade e apoia decisões com visão.

Na Behaviour, a gestão do risco é ensinado com método, com ferramentas e com aplicação prática real. Porque um risco não se “analisa por alto”. Avalia-se com técnica, decide-se com base em critérios sólidos e comunica-se com clareza.

Dois cursos, dois focos distintos, mas complementares

1. ISO/IEC 27005 – Risk Methodologies

Aprenda a gerir riscos de segurança da informação com técnica, método e ligação direta à ISO/IEC 27001.

  • Identificação, análise, avaliação e tratamento de riscos TIC
  • Métodos qualitativos, quantitativos e híbridos
  • Integração com o ciclo de vida do SGSI
  • Casos práticos de análise e documentação de risco em contexto real
  • Alinhamento com controlos da ISO/IEC 27002:2022
  • Ferramentas e templates incluídos para uso imediato em auditorias ou projetos

Ideal para profissionais de TI, cibersegurança, SGSI, auditores ou consultores que trabalham com sistemas de gestão da segurança da informação.

2. ISO 31000 Lead Manager – Risk Management

Torne-se especialista na liderança da gestão do risco organizacional, com base na ISO 31000 e aplicação prática real.

  • Princípios, estrutura e processo de gestão de risco
  • Integração com a governação e a tomada de decisão estratégica
  • Criação de políticas, registos, critérios e planos de ação
  • Exercícios práticos com mapas de risco, scoring, apetite e planos de tratamento
  • Aplicação em diferentes áreas: compliance, continuidade, projetos, cadeia de fornecimento
  • Documentação construída com os formandos e pronta a adaptar a qualquer setor

Indicado para gestores de risco, compliance officers, decisores estratégicos e consultores que trabalham em ambientes complexos ou regulados.

Cursos práticos com impacto direto no trabalho

Ambos os cursos da Behaviour são baseados em aplicação prática e não em teoria abstrata.

  • Simulações realistas
  • Modelos de scoring e matrizes de risco construídos em aula
  • Casos de estudo com documentação real
  • Exercícios com resposta individual e em grupo
  • Produção de registos, políticas e planos utilizáveis no terreno

Os formandos levam consigo ferramentas e documentos úteis, prontos a adaptar ao seu contexto profissional.

 

O que torna a nossa abordagem única?

Alinhamento com normas e outras boas práticas internacionais, focado na realidade. Não nos limitamos a explicar as cláusulas. Mostramos como tomar decisões em contextos reais, com base nas normas ISO, mas também nas melhores práticas adotadas por empresas líderes.

Formação orientada à ação
Todos os exercícios e simulações estão desenhados para que o formando aplique imediatamente o que aprendeu na sua organização, com exemplos, modelos e análise crítica de riscos reais.

Certificação Behaviour com impacto na capacitação profissional
Os cursos integram certificações Behaviour emitidas em conformidade com a norma internacional ISO/IEC 17024,
garantindo reconhecimento internacional e alinhamento com os requisitos exigidos para a certificação de pessoas.

Curso Foco Certificação
ISO/IEC 27005 Risk Methodologies Riscos de segurança da informação Certified Risk Management 27005 Manager
ISO 31000 Lead Manager Risco organizacional e estratégico Certified Risk Management 31000 Lead Manager

Para quem se destina estes cursos?

  • Profissionais de TI, segurança da informação e SGSI
  • Gestores de risco, continuidade e conformidade
  • Diretores de operações e decisão estratégica
  • Auditores e consultores
  • Profissionais em setores regulados ou críticos (banca, saúde, energia, tecnologia, administração pública, etc.)

Gerir risco é gerir a incerteza e decidir com método

Os riscos não se materializam e impactam apenas os outros. Os riscos não se evitam com sorte. Evitam-se com visão, técnica e preparação.

Na Behaviour, ajudamos a fazer da gestão do risco uma competência sólida, com base nas normas e boas práticas internacionais, mas com os pés na realidade.


Do risco cibernético ao risco estratégico, o futuro pertence a quem sabe antecipar e responder.

Ligações rápidas


Autor: Behaviour
Publicado em: 11 agosto de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Segurança em Período de Férias

Date: Agosto 4, 2025 Author: Editor
Seguranca Periodo Ferias

Segurança & Continuidade • Artigo

Cuidados essenciais para profissionais e equipas que não podem dar férias aos riscos

⏱️ Leitura estimada: 7 minutos

Preparação prática para proteger a segurança da informação, a continuidade do negócio e a resiliência organizacional durante o período de férias.

Agosto chegou. Para muitos, é tempo de descanso. Para os riscos é oportunidade. Quando entramos em modo verão, relaxamos, as equipas rodam e os processos abrandam. Mas os riscos mantêm-se atentos. É precisamente nesses períodos de menor vigilância que muitos dos incidentes mais graves têm origem.Partilhamos os principais cuidados a ter antes, durante e após o período de férias, com foco na segurança da informação, continuidade do negócio e resiliência organizacional.

Antes das férias: preparar, proteger, delegar

1. Reveja e limite contas e acessos

  • Elimine acessos temporários ou não utilizados
  • Verifique permissões atribuídas a prestadores externos
  • Restrinja acessos privilegiados e garanta rastreabilidade
  • Aplique regras claras para órgãos de gestão, se necessário
  • Registe tudo acções de desativação e reativação futuras

Acesso mínimo. Tempo limitado. Tudo rastreável.

2. Defina substitutos e procedimentos claros

  • Quem substitui quem?
  • Que decisões podem ser tomadas?
  • O que fazer em caso de incidente?

Continuidade não é só presença é preparação e resposta.

3. Reforce a vigilância contra fraudes e phishing

  • Pagamentos urgentes em nome do CEO ausente
  • Pedidos falsos de mudança de IBAN
  • Mensagens urgentes com penalizações
  • Prémios ou sorteios falsos
  • Links fraudulentos sobre entregas
  • Cuidado com deepfakes: voz ou vídeo falsos com pedidos de acessos, transferências ou extorsão

Redobre a atenção. Aplique ciber-higiene. Reporte sempre.

4. Reveja os planos de continuidade e resposta a incidentes

  • Planos atualizados e testados com equipa reduzida?
  • Quem ativa o plano em agosto?
  • Fornecedores continuam prontos nesse período?

Um plano que não funciona em férias… não é plano.

Durante as férias: manter o essencial a funcionar

5. Cuidado com redes e Wi-Fi públicas

  • Desligue redes e equipamentos não necessários
  • Evite Wi-Fi públicas para aceder a sistemas
  • Se inevitável, use VPN da organização

A conveniência de hoje pode ser o incidente de amanhã.

6. Proteja e automatize sem desligar totalmente

  • Automatize backups (de preferência imutáveis)
  • Ative alertas e notificações para incidentes
  • Garanta visibilidade mínima mesmo em férias

Automação inteligente protege mesmo quando desliga.

7. Evite expor a sua ausência nas redes

  • Evite frases como “fora até setembro”
  • Evite fotos e vídeos com localização em tempo real
  • Prefira grupos fechados para partilhas pessoais

Maior pegada digital = mais oportunidade para ataques de engenharia social.

Depois das férias: validação e reativação

8. Revalide acessos e alterações feitas

  • Alguma conta temporária ainda ativa?
  • Configurações alteradas sem reversão?
  • Algum incidente não detetado?
  • Reveja logs e relatórios de segurança

Pós-férias = check-up obrigatório.

9. Atualize e valide sistemas

  • Aplique atualizações de segurança pendentes
  • Verifique backups e relatórios
  • Confirme integridade dos logs, incluindo o antivírus e a firewall

Comece com confiança. Sem dúvidas técnicas.

Formação recomendada?

A Behaviour ajuda equipas a antecipar riscos, responder a incidentes e reforçar a continuidade, antes, durante e depois das férias.

Cursos recomendados:

Preparar é proteger. Mesmo quando todos estão a desligar. A segurança não tira férias. Mas com o planeamento certo, você pode.

Ver calendário de formações

 

Autor: Behaviour
Publicado em: 4 agostode 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

Componentes do Plano de Continuidade do Negócio (BCP): Garantir a resiliência perante eventos disruptivos

Date: Dezembro 6, 2024 Author: Editor

Continuidade do Negócio • Artigo

Os componentes essenciais de um Plano de Continuidade do Negócio (BCP)

⏱️ Leitura estimada: 9 minutos

Como estruturar um BCP robusto para responder a eventos disruptivos, proteger ativos e garantir a resiliência organizacional.

No atual mundo empresarial, onde as organizações se deparam com interligações complexas e num contexto em constante evolução, pode ocorre, a qualquer momento, um evento disruptivo que ameace a própria existência de uma organização.
Eventos como, desastres naturais, ataques cibernéticos, pandemias e outro tipo de cenários de crise podem causar danos
significativos à operação, à reputação e aos resultados financeiros de uma empresa.
Por forma a mitigar esses riscos, as organizações devem desenvolver um Plano de Continuidade do Negócio (BCP) abrangente que descreva os procedimentos e estratégias necessárias para manter as operações do negócio durante e após uma disrupção.Um BCP elaborado corretamente é essencial para garantir a resiliência de uma organização, protegendo os seus ativos e minimizando o impacto de disrupções nos seus clientes, funcionários e partes interessadas. Neste artigo, abordaremos os principais componentes de um Plano de Continuidade de Negócios, fornecendo uma visão abrangente dos elementos essenciais que as organizações devem incluir no seu BCP.

1. Análise de Impacto no Negócio (BIA)

O primeiro passo no desenvolvimento de um BCP é realizar uma Análise de Impacto no Negócio (BIA). Isso envolve identificar os processos críticos do negócio, avaliar o impacto potencial de uma disrupção nesses processos e priorizar a sua recuperação.
Uma BIA ajuda as organizações a compreender as potenciais consequências de uma disrupção, incluindo perdas financeiras, danos à reputação e perdas de confiança dos clientes.

Como parte do processo BIA, a organização identificará os objetivos de continuidade do negócio, que suportam a definição das metas e objetivos do BCP, incluindo os objetivos de tempo de recuperação (RTOs) e objetivos de ponto de recuperação (RPOs).
Os RTOs definem o tempo máximo necessário para recuperar processos ou funções do negócio críticas, enquanto os RPOs definem a quantidade máxima de dados que se podem perder durante uma disrupção.
Estes objetivos serão importantes para que, mais adiante, seja possível selecionar e estabelecer as estratégias de continuidade do negócio e de recuperação de desastres que serão incluídas no BCP.

2. Avaliação de Risco

A avaliação do risco é um componente crítico para estabelecer um BCP, uma vez que auxilia as organizações a identificar potenciais riscos que perturbem as atividades do negócio, impactando os processos críticos, os recursos e outras interdependências, como, por exemplo, um fornecedor de tecnologias de informação que faça parte da cadeia de abastecimento.

Inclui-se a identificação de potenciais desastres naturais, ciberataques, falhas ou avarias em infraestruturas críticas e outros tipos de eventos disruptivos que afetem a organização. Uma avaliação do risco irá também auxiliar as organizações a priorizar o desenvolvimento de estratégias de mitigação e planos de contingência, permitindo reduzir a probabilidade de eventos disruptivos e preparando as capacidades necessárias para uma rápida resposta e consequente redução de impactos.

3. Estratégias de Continuidade e Recuperação do Negócio

3.1 Estratégia de Continuidade do Negócio

A estratégia de continuidade do negócio descreve a abordagem da organização para manter as operações do negócio em caso de disrupções. Inclui-se a identificação de processos, procedimentos e recursos alternativos que podem ser utilizados para manter a continuidade do negócio. A(s) estratégia(s) de continuidade do negócio ajudam as organizações no desenvolvimento de um plano para responder a eventos disruptivos, minimizando o tempo de indisponibilidade e garantindo a continuidade de processos críticos do negócio.

3.2 Estratégia de Recuperação

Pese embora seja fundamental garantir a continuidade do negócio, é também necessário e relevante pensar em como recuperar as funções críticas do mesmo. A organização deve definir uma estratégia de recuperação de modo a delinear as etapas necessárias para restaurar as funções críticas do negócio para o novo “business-as-usual”.

Essa(s) estratégia(s) pode(m) envolver a ativação de equipas de recuperação, a articulação com partes externas previamente identificadas, o contacto com seguradoras, a recuperação de sistemas e dados de backups e outras ações necessárias para assegurar o regresso ao “novo normal”.

4. Plano Operacional de Continuidade de Negócio (BCOP)

O Plano Operacional de Continuidade de Negócio (BCOP) garante a continuidade das operações de cada área de negócio em caso de perturbação ou crise, minimizando o impacto nos clientes, colaboradores e outras partes interessadas. Este plano descreve os procedimentos e protocolos a seguir em caso de incidente disruptivo, garantindo a rápida recuperação das operações e a manutenção da reputação da organização.

5. Plano de Gestão de Emergências

Um plano de gestão de emergências descreve os procedimentos para responder a cenários que representam uma ameaça imediata à vida, à propriedade ou ao meio ambiente. O foco principal é garantir a segurança das pessoas e minimizar os danos à propriedade e ao meio ambiente.

  1. Procedimentos de resposta a emergências
  2. Planos de evacuação
  3. Protocolos de comunicação
  4. Alocação e implantação de recursos
  5. Avaliação de danos e estratégias de recuperação
6. Plano de Recuperação

O plano de recuperação descreve as etapas necessárias para restaurar a normalidade das operações da organização após um evento disruptivo, minimizando o tempo de inatividade e garantindo a continuidade dos processos críticos do negócio.

7. Plano de Gestão de Crises e a CMT

7.1 Plano de Gestão de Crises

O plano de gestão de crises descreve os procedimentos para gerir cenários que possam prejudicar significativamente a reputação, as finanças ou as operações de uma organização.

  1. Identificação e avaliação do cenário de crise
  2. Desenvolvimento de uma estratégia de resposta
  3. Comunicação com partes interessadas
  4. Mitigação do impacto da crise
  5. Restauro da operação normal e da reputação

7.2 Equipa de Gestão de Crises (CMT)

A equipa de gestão de crises coordena, responde e gere eventos disruptivos, envolvendo representantes de várias áreas da organização, com funções e responsabilidades claramente definidas.

8. Formação e Consciencialização

A formação e a consciencialização garantem que todos os membros da equipa compreendem o BCP, as suas funções e responsabilidades, reforçando a importância da continuidade do negócio.

9. Testar e Exercitar

Testar e exercitar o BCP permite validar a sua eficácia, identificar lacunas e preparar as equipas para responderem com confiança.

10. Monitorização, Revisão e Melhoria Contínua

O BCP deve ser revisto e atualizado regularmente, assegurando que permanece eficaz, alinhado com a realidade da organização e com o seu contexto de risco.

11. Outros Sub-planos

11.1 Plano de Recuperação de Desastres de TI (IT DRP)

Define procedimentos para restaurar sistemas e dados de TI em caso de desastre, minimizando tempo de inatividade e perdas de dados.

11.2 Plano de Comunicação

Garante a comunicação clara, atempada e transparente com colaboradores, clientes, fornecedores e outras partes interessadas durante uma disrupção.

11.3 Plano de Continuidade da Cadeia de Abastecimento

Define medidas para assegurar a continuidade da cadeia de abastecimento em cenários de crise.

11.4 Plano de Recursos Humanos

Foca-se na segurança, bem-estar e gestão dos colaboradores durante e após um evento disruptivo.

11.5 Plano Financeiro

Define procedimentos para garantir a continuidade das operações financeiras em cenários de crise.

Conclusão

Para garantir a continuidade das operações do negócio em caso de disrupção, é essencial estabelecer um Plano de Continuidade do Negócio (BCP) abrangente. Um BCP bem elaborado reforça a resiliência, reduz o impacto de eventos inesperados e aumenta a confiança das partes interessadas.

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão.
Explore o Catálogo de Formação e os cursos na Área de Continuidade do Negócio.

Autor: Behaviour
Publicado em: 6 dezembro de 2024
Não é autorizada a cópia ou reprodução deste artigo.

 

Construir Sistemas Robustos: A Chave para Resistir a Disrupções

Author: Editor

Continuidade do Negócio • Artigo

Continuidade do negócio: construir sistemas robustos para resistir a disrupções

⏱️ Leitura estimada: 9 minutos

Melhores práticas e dicas práticas para preparar a organização para eventos disruptivos e recuperar com eficácia.

No atual cenário empresarial, onde as organizações se deparam com interligações complexas e num contexto em constante evolução, os eventos disruptivos são cada vez mais prováveis e fazem parte dos cenários para os quais uma organização deve estar preparada.

Quer se trate de um desastre natural, de um ataque ciberataque ou de uma falha na cadeia de abastecimento, o impacto no seu negócio pode ser significativo. Mas, e se pudesse construir um sistema capaz de resistir e de recuperar com facilidade desses eventos disruptivos? Vamos explorar a importância das melhores práticas de continuidade do negócio e fornecer dicas práticas sobre como construir sistemas robustos para poderem resistir a qualquer “tempestade”.

Por que é a continuidade do negócio importante?

A continuidade do negócio implica garantir que a sua organização possa continuar a operar de forma eficaz, mesmo quando se depara com eventos disruptivos inesperados. Trata-se de ter um plano estabelecido para minimizar o tempo de inatividade, proteger a sua reputação e retornar à operação do negócio normalmente e, o mais rápido possível. Na era digital de hoje, os riscos são maiores do que nunca. Uma única hora de inatividade pode resultar em perdas financeiras significativas, danos à sua marca e perda de confiança do cliente.

Consequências dos eventos disruptivos

As disrupções podem ocorrer de várias formas, desde desastres naturais, como furacões e terramotos, até ciberataques ou falhas na cadeia de abastecimento. As consequências podem ser devastadoras, incluindo:

  • Perdas financeiras: As disrupções podem resultar em perdas financeiras significativas, incluindo perda de receitas, equipamentos danificados e aumento de custos.
  • Danos à reputação: uma disrupção pode prejudicar a sua reputação e impactar a confiança do cliente, dificultando a recuperação.
  • Problemas de conformidade: As interrupções também podem levar a problemas de conformidade, incluindo a não conformidade com requisitos regulamentares.
Construir Sistemas Robustos

Como pode então construir um sistema que consiga resistir e recuperar de eventos disruptivos? Indicamos de seguida algumas dicas práticas:

  1. Desenvolva um Plano de Continuidade do Negócio: Um plano de continuidade do negócio é um componente crítico de qualquer sistema robusto. Este plano descreve os passos que deve executar para responder a uma disrupção, incluindo informações de contactos de emergência, sistemas de backup e procedimentos de recuperação.
  2. Identifique Sistemas Críticos: Identifique os sistemas críticos que são essenciais para as suas operações de negócio. Isto pode incluir sistemas de TI, gestão da cadeia de abastecimento e suporte ao cliente.
  3. Implemente Redundâncias: Implemente redundâncias nos seus sistemas críticos de modo a garantir que continuam a operar mesmo se um sistema falhar.
  4. Realize testes regulares: realize testes regulares do seu plano de continuidade do negócio para garantir que o mesmo é eficaz e que a sua equipa está preparada para responder a um evento disruptivo.
  5. Mantenha-se informado: mantenha-se informado sobre possíveis cenários de eventos disruptivos, incluindo desastres naturais, ciberameaças e problemas na cadeia de abastecimento.
Exemplos de casos reais

Na prática, o que são então sistemas robustos? Indicamos de seguida alguns exemplos de casos reais:

  • Delta Airlines: Após uma falha de energia crítica em 2016, a Delta Airlines conseguiu recuperar a sua operação rapidamente graças ao seu plano de continuidade do negócio. A companhia aérea conseguiu redirecionar os voos e fornecer atualizações aos clientes, minimizando o impacto da disrupção.

Infelizmente, a Delta Airlines, e muitas outras empresas em todo o mundo, não estavam preparadas para um cenário “impensável” e “improvável” e, não foram capazes de se adaptar e responder rapidamente ao mais recente evento disruptivo de TI no início deste ano de 2024, causada pela atualização da CrowdStrike.

Segundo o website avweb.com,
“O CEO da Delta Air Lines, Ed Bastian, criticou a empresa de cibersegurança CrowdStrike e o fornecedor de software Microsoft, reportando que a disrupção de TI custou à companhia aérea US$ 500 milhões.

A enorme disrupção dos computadores da Delta em 19 de julho interrompeu o sistema de rastreamento da tripulação da companhia aérea por quase uma semana, impedindo a empresa de localizar pilotos e comissários de bordo para operar voos. Como resultado, a Delta teve de cancelar cerca de 30% dos seus voos. (…)

Bastian disse que a recuperação da Delta foi prejudicada de forma significativa devido à sua elevada dependência da CrowdStrike e da Microsoft para cibersegurança. A empresa teve que reinstalar manualmente 40.000 servidores para restaurar as operações.”

  • UPS: Quando um ciberataque massivo atingiu a UPS em 2017, a empresa conseguiu responder rapidamente graças ao seu plano de continuidade do negócio. A empresa conseguiu conter o ataque e minimizar o impacto nas suas operações.
  • NHS: Quando um poderoso ciberataque atingiu o NHS e a assistência social em 2022, causou perturbações significativas em muitos sistemas de software de serviços de assistência. Um dos fornecedores de cuidados de saúde foi um dos muitos fornecedores, que foram forçados a operar sem um sistema crítico instalado para suportar o seu serviço. Embora o fornecedor tivesse toda a infraestrutura de cibersegurança relevante e apropriada, o serviço foi interrompido por um ataque de ransomware direcionado ao seu fornecedor de software. Felizmente, a empresa tinha um plano de continuidade do negócio em vigor que incluía um plano robusto para cibersegurança, e o serviço conseguiu continuar as operações graças às práticas estabelecidas no seu plano de continuidade do negócio.

Conclusão
Construir sistemas robustos que possam resistir e recuperar de disrupções é fundamental para o sucesso de qualquer negócio. Ao desenvolver um plano de continuidade do negócio, identificar sistemas críticos, implementar redundâncias, realizar testes regulares e, ao manter-se informado é possível minimizar o impacto das disrupções e garantir que o seu negócio continua a operar de forma eficaz. Lembre-se de que a continuidade do negócio não se trata apenas de evitar períodos de indisponibilidade, trata-se de proteger a sua reputação, minimizar as perdas financeiras e garantir que os seus clientes continuam a confiar em si.

Ainda, a continuidade do negócio ajuda a criar uma cultura de resiliência para a organização estar preparada para consiguir responder aos cenários mais “impensáveis e imprevisíveis”. Desta forma, a empresa pode adaptar-se e responder rapidamente a esses cenários, minimizando o impacto no negócio.

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Continuidade do Negócio.

Autor: Behaviour
Publicado em: 6 dezembro 2024
Não é autorizada a cópia ou reprodução deste artigo.


Isenção de responsabilidade: este artigo é baseado em pesquisas externas públicas obtidas de diversas fontes. As informações fornecidas são apenas para fins de referência e os utilizadores assumem total responsabilidade por confiar nelas. A BEHAVIOUR não assume nenhuma responsabilidade pela precisão ou consequências do uso destas informações.