Os 7 erros mais comuns em auditorias e como evitá-los

Date: Novembro 3, 2025 Author: Editor

Auditar não é apenas verificar se existe documentação. É perceber se há controlo real.

As auditorias são momentos críticos: avaliam se a organização está apenas a “cumprir o mínimo” ou se possuí práticas consistentes e maduras. No entanto, há erros que se repetem — e podem comprometer não só o sucesso da auditoria, como a credibilidade de toda a estrutura de gestão.

Se a sua organização prepara e necessita de realizar auditorias, seja para verificar o cumprimento de requisitos legislativos (RGPD, DORA, NIS 2…), normas e boas práticas internacionais (ISO/IEC 27001, ISO 22301…), ou outros (clientes, parceiros, fornecedores …) , este artigo é para si

Erro 1: Tratar a auditoria como um evento pontual

Muitas organizações encaram a auditoria como uma corrida contra o tempo, só “acordando” semanas antes. Resultado? Stress, improviso e falhas óbvias.

O que fazer? planear antes de improvisar — conhecer o cronograma e os critérios das auditorias atempadamente (quando possível); integrar e aplicar de forma contínua as práticas nos processos da organização, o que permite criar uma cultura de prontidão, controlo e evidências. O objetivo passa por assegurar um elevado nível de preparação da organização, para evidenciar e responder, em qualquer momento, aos mecanismos de controlo, incluindo auditorias, realizadas por quaisquer partes interessadas internas ou externas. A auditoria e os seus resultados são reflexos de um sistema vivo de uma organização diligente — e não de um teatro temporário e de uma organização reativa.

Erro 2: Ter documentos, mas não práticas reais

Ter políticas assinadas e procedimentos arquivados não significa que sejam utilizados.

O que fazer? garantir que os processos são compreendidos e aplicados. Um auditor experiente procura coerência entre o que está escrito e o que se faz.

Erro 3: Falta de preparação das pessoas

Colaboradores apanhados de surpresa, respostas vagas ou “isso é com o IT, ou com área X”, demonstrando improviso, e/ou criando um sistema de “ping-pong” em que umas áreas “empurram” para as outras… são tudo sinais de uma organização com um modelo de governo deficiente e ausência de envolvimento das partes.

O que fazer? antes da auditoria, simular perguntas reais, clarificar e reforçar responsabilidades e autoridades, explicar o porquê das práticas e controlos. A segurança começa por compreender como é que as tarefas que realiza no dia-a-dia se mapeiam para os requisitos das práticas e controlos que a organização tem de cumprir. O colaborador tem de saber demonstrar que são aplicados e evidenciar os resultados da sua execução.

Erro 4: Subestimar o contexto organizacional

Muitas auditorias falham porque os riscos reais do negócio não estão refletidos no seu sistema de gestão, isto acontece, normalmente, porque a organização não se conhece a si própria. Resultado? Controlos genéricos, sem impacto, ou mesmo, práticas críticas não documentadas ou inexistentes.

O que fazer? alinhar riscos, objetivos, práticas e controlos com o contexto real da organização. Conhecer a organização e o seu risco inerente é fundamental para um planeamento com base no risco. A auditoria avalia consistência, relevância e eficácia, não o volume de documentos ou aplicações de IT que utiliza.

Erro 5: Não evidenciar melhoria contínua

Ter o mesmo plano, os mesmos indicadores e os mesmos erros ano após ano compromete a credibilidade do sistema. Isto demonstra falta de uma cultura de melhoria continua na organização. As causas podem ser as mais diversas, desde a falta de compromisso da gestão até à resistência à mudança.

O que fazer? identificar agentes de melhoria, mostrar ações corretivas eficazes, planos de melhoria e, decisões com base em análise crítica. Melhoria contínua não é opcional — é esperada e necessária. O contexto da organização é dinâmico, como tal, a melhoria continua deve acompanhar a necessidade de mudança.

Erro 6: Ignorar os registos

Políticas e procedimentos são essenciais — mas sem registos, não há prova de que algo foi realmente executado.

O que fazer? manter registos atualizados, acessíveis e coerentes com as atividades realizadas. O auditor vai querer ver evidência factual — não intenções. A evidência deve ser objetiva, estar disponível e ser verificável.

Erro 7: Não ligar os pontos

Auditorias falham quando as peças não encaixam: riscos não refletem os objetivos, controlos não protegem os ativos críticos, planos de resposta não são testados.

O que fazer? garantir que o sistema de gestão é coerente, integrado e orientado para o negócio. O auditor procura lógica, não complexidade. Cumprir os requisitos utilizando práticas simples e consistentes, demonstra uma organização madura. Normalmente, uma organização que aplica práticas de forma complexa ou desconexa demonstra uma maturidade deficiente ou em crescimento – devendo o auditor compreender e recomendar (caso faça parte dos objetivos da auditoria) a melhoria do nível de maturidade das práticas da organização através da melhoria continua. Recordar que o auditor é, também, um agente de melhoria, e o resultado do seu trabalho deve produzir conclusões e recomendações acionáveis.

O que procuram os auditores experientes?

Evidências objetivas
Ciclo de melhoria ativo
Envolvimento da liderança
Consistência entre discurso, documentos e prática
Adoção real das Melhores Práticas

Não se trata de agradar ao auditor. Trata-se de garantir que a organização está realmente preparada — com ou sem auditorias calendarizadas.

Formação que ajuda a preparar auditorias exigentes

A Behaviour desenvolve cursos que não só explicam as normas, como te preparam para aplicar, liderar e auditar com segurança:

A auditoria é um reflexo da maturidade da organização — e não um jogo do que se deve mostrar e esconder ao auditor.

Quem domina o seu sistema, não teme a auditoria. Usa-a com sabedoria para crescer.

Na Behaviour, formamos profissionais de excelência para atingirem esse nível de domínio. O objetivo principal não é apenas completar a formação e passar no exame — é conhecer, saber fazer e ser capaz de liderar com confiança, transformando incertezas e dúvidas em: certezas, factos e reconhecimento para o auditor e para as organizações auditadas.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

5 erros que arruínam um teste de stress cibernético

Date: Outubro 29, 2025 Author: Editor

Porque testar é necessário? Mas testar mal pode ser pior do que não testar

Os Cyber Stress Tests (testes de stress cibernético) tornaram-se uma exigência crescente em setores como o financeiro, a saúde, os serviços digitais e as infraestruturas críticas.

Mais do que uma tendência, são hoje uma ferramenta essencial para testar a capacidade real de resposta da organização a um cenário de crise. Mas atenção que, um teste mal planeado, mal executado ou mal acompanhado pode gerar falsas certezas, e ocultar fragilidades que ninguém viu chegar.

Abaixo destacamos os 5 erros mais comuns que, por si só ou em conjunto, descredibilizam e anulam o impacto de um teste de stress.

1. Falta de um objetivo claro

“Misturámos tudo para ver o que acontecia.”
Este tipo de abordagem leva a exercícios caóticos, onde ninguém sabe o que está a ser avaliado, quais os indicadores de sucesso ou que lições se pretendem tirar.

Um teste eficaz tem foco: Resposta? Comunicação? Continuidade? Recuperação?
Tudo ao mesmo tempo = nada com clareza.

O objetivo define o cenário, desafios inesperados, os participantes, os critérios e o impacto.

2. Cenários pouco realistas (ou demasiado previsíveis)

Testes que simulam “ataques genéricos” ou que apenas repetem exercícios antigos não acrescentam valor a um novo ambiente que espelha uma nova realidade tecnológica em que a exposição ao risco aumenta exponencialmente e, muitas vezes, de forma silenciosa, tirando partido de novos cenários.
Por outro lado, testes excessivamente técnicos, sem contexto de negócio, afastam os decisores e confundem os participantes.

O segredo está no equilíbrio: um cenário plausível, com elementos de surpresa, mas ligado à realidade da organização.

Exemplo eficaz:
“É sexta-feira, 18h10. A conta do administrador está a ser usada para apagar bases de dados. O gestor de segurança está fora. Quem é responsável por responder? Quando responde? Como responde?”

3. Falta de envolvimento da gestão

Se os órgãos de gestão apenas veem relatórios, perde-se a componente mais importante: a capacidade de decisão sob pressão.
Muitos testes falham porque os papéis críticos não estão atribuídos… ou estão atribuídos a quem não está presente.

Resiliência não é só técnica e prontidão, mas também liderança e governação. É decidir e ter certezas no meio de um ambiente de incertezas.

4. Não documentar, não avaliar, não corrigir

Um teste só se justifica se gerar conhecimento útil e melhoria contínua.
Realizar um exercício sem registo, sem avaliar desempenhos, sem estabelecer planos corretivos é teatro, não é preparação.

“Correr bem” não significa não falhar.
Significa identificar falhas, aprender e corrigir.

5. Testar com a equipa ideal, no cenário correto

Muitos testes são feitos com os protagonistas certos, no momento certo e com tudo preparado ao minuto.
Mas… e se o responsável estiver de férias? E se o fornecedor não responder? E se a decisão tiver de ser tomada com apenas 50% da informação?

O objetivo é testar a resposta no caos, não num laboratório. Nenhum cenário se irá materializar da forma exata que planeámos, pelo que introduzir incerteza e medir a resiliência são fatores críticos para uma resposta eficaz aquando de um cenário real.

Como fazer bem?

Definir um objetivo claro e específico
Criar um cenário credível, desafiante e relevante para o negócio
Introduzir incerteza nos momentos que tínhamos como certos
Envolver todos os níveis da organização, incluindo liderança
Medir desempenhos, identificar falhas e apresentar um plano sólido de melhoria
Repetir periodicamente e escalar a dificuldade com maturidade

Preparar equipas para testes exigentes

Com a Behaviour, as organizações aprendem a planear, executar e melhorar os seus testes de stress tendo por base normas, frameworks e a realização de exercícios reais:

Testar é mais do que cumprir uma exigência interna ou um requisito externo.
É a única forma real de saber se estamos prontos.

Mas atenção: testar mal pode ser mais perigoso do que não testar.
Porque cria a ilusão de que estamos preparados… quando ainda não estamos.

Aplicando os métodos, cenários e objetivos certos, os testes de stress transformam-se em poderosas ferramentas de maturidade organizacional.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Cibersegurança não é um departamento. É uma responsabilidade coletiva

Date: Outubro 27, 2025 Author: Editor

Ciberseguranca Responsabilidade Coletiva

Por muito robusta que seja a tecnologia, nenhuma firewall consegue proteger contra um clique errado.

A cibersegurança é, muitas vezes, vista como um território técnico, exclusivo de equipas especializadas. No entanto, os ataques mais eficazes exploram o elo mais fraco de todos: o comportamento humano.

E é por isso que a verdadeira resiliência começa nas pessoas.

A falácia da “equipa de ciber”

Ao delegar a segurança digital apenas ao “departamento de IT”, as organizações esquecem-se de um dado essencial: os agentes maliciosos já contam com essa divisão interna.

Não é preciso hackear servidores. Basta um único email bem pensado e desenhado, um ficheiro partilhado num grupo errado, um link partilhado numa mensagem de SMS ou WhatsApp ou uma password fraca usada por alguém bem-intencionado.

O risco não existe apenas nos sistemas. Está presente nas nossas rotinas, hábitos, ou mesmo nas pequenas distrações do dia a dia.

Cibersegurança começa na cultura

Organizações verdadeiramente seguras partilham um traço comum: a cibersegurança está enraizada na cultura, não apenas nos sistemas.

Um colaborador que questiona sobre um pedido que não é comum.
Um gestor que solicita provas antes de aprovar uma transferência urgente.
Uma equipa que sabe o que reportar e quando.

Tudo isto não depende de firewalls ou qualquer outra tecnologia. Depende de consciência. Formação. Liderança.

Exemplos reais de falhas humanas

Caso 1: uma empresa de retalho perdeu 3,4 milhões de euros após um email de phishing enviado ao CFO. A mensagem imitava o CEO e pedia uma transferência urgente.
Caso 2: uma colaboradora partilhou acidentalmente um link com permissões administrativas num grupo de WhatsApp da empresa.
Caso 3: um assistente comercial, sem qualquer má intenção, utilizou a mesma password em plataformas diferentes — e abriu a porta a um ataque que permitiu realizar um movimento lateral devastador.

Todos estes cenários têm algo em comum: não foram os firewalls ou a tecnologia que falharam. Foram as pessoas que não estavam preparadas.

O que cada pessoa pode (e deve) fazer

Para todos os colaboradores:

Duvidar de mensagens urgentes e fora do habitual, a urgência obriga à reação rápida sem pensar.
Nunca partilhar passwords ou quaisquer outras credenciais (ex.º cartões de acesso; tokens) — nem com colegas, uma boa intenção hoje é um risco para a organização e para o próprio colaborador.
Denunciar comportamentos suspeitos sem receio utilizando os canais apropriados.

Para líderes e gestores:

Reforçar a cultura de reporte, não basta apenas definir a direção, tem de se saber o que está a acontecer.
Garantir que a formação é prática, e não genérica – exercitar cenários reais e desafiantes permite aumentar a resiliência das pessoas e, por conseguinte, da organização.
Dar o exemplo: não clicar, não ignorar alertas, não facilitar, não solicitar exceções que possam, inadvertidamente, aumentar a exposição ao risco da organização.

Para RHs e diretores:

Incluir a cibersegurança nos planos de onboarding, acompanhar a aplicação das práticas, reforçar, consciencializar ao longo da relação contratual, e integrar práticas de cibersegurança na mudança de funções ou nos processos de offboarding.
Mapear os riscos comportamentais por função, com particular atenção para as funções com acessos privilegiados.
Investir em programas de literacia digital contínua – uma formação, workshops online, acompanhar as notícias da área, subscrever newsletters e outras informações que possamos receber de entidade reputadas de forma regular, permite-nos acompanhar a mudança digital, novos riscos e desafios.

A segurança começa na formação

Cibersegurança não se compra. Constrói-se com conhecimento, responsabilidade e compromisso coletivo.

Na Behaviour, acreditamos que as Melhores Práticas existem por uma razão: proteger, capacitar e tornar as pessoas e organizações mais resilientes.

Cursos como ISO 27001, CISSP, NIS 2 ou DORA Compliance Lead Manager não são apenas formaçãos ou certificações. São oportunidades de mudar o mindset das equipas e preparar todas as partes, não apenas os técnicos, para enfrentar os riscos com confiança e clareza.

Segurança não é um papel. É uma atitude.

Se há uma coisa que os últimos anos nos ensinaram é que nenhuma tecnologia é suficiente quando a cultura falha.

A cibersegurança do futuro não será feita apenas de firewalls, criptografia ou IA. Será feita de pessoas conscientes, equipas preparadas e decisões seguras, mesmo quando suportadas por tecnologias, mas validadas por pessoas.

Porque no fim, a pergunta certa não é “quem é responsável pela segurança?”.
A pergunta certa é: “de que forma estamos todos a contribuir para ela?”

Formação Behaviour relacionada

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

ISO/IEC 27701:2025 — A Nova Era da Gestão da Informação Privada

Date: Outubro 24, 2025 Author: Editor

Por que esta norma é um marco?

A nova edição da ISO/IEC 27701:2025 marca uma viragem histórica na forma como as organizações gerem a privacidade. Deixa de ser uma extensão da ISO/IEC 27001 e passa a ser uma norma independente, com estrutura própria e alinhada à última versão do Anexo SL, edição de 2024. Esta mudança permite maior flexibilidade, autonomia e maturidade ao Sistema de Gestão de Informação Privada (PIMS), tornando-o acessível a qualquer organização que trate dados pessoais — mesmo sem que possua certificação prévia em segurança da informação.

Principais mudanças estruturais

1. Norma independente e certificável por si só

Antes: A ISO/IEC 27701:2019 era uma extensão da ISO/IEC 27001, exigindo certificação prévia em segurança da informação, ou, que a mesma fosse realizada em paralelo de modo a obter ambas as certificações.
Agora: A ISO/IEC 27701:2025 é uma norma autónoma, permitindo certificação direta em privacidade, sem dependência da 27001, focando-se não só nos controlos de privacidade mas também apenas nos controlos de segurança da informação.

Impacto: Organizações focadas exclusivamente em privacidade (como clínicas, plataformas digitais ou startups de dados) podem certificar-se sem implementar um SGSI completo.

2. Alinhamento com o novo Anexo SL (2024)

A estrutura da norma segue o modelo de alto nível do Anexo SL revisto em 2024, comum às normas ISO de sistemas de gestão.
Isso inclui cláusulas padronizadas como contexto da organização, liderança, planeamento, suporte, operação, avaliação de desempenho e melhoria contínua.

Benefício: Facilita a integração com outras normas como, por exemplo:

ISO 9001 (qualidade)
ISO/IEC 42001 (inteligência artificial)
ISO/IEC 27001 (segurança da informação)

3. Reforço da governança e responsabilidade

A nova versão exige maior envolvimento da liderança na definição de políticas de privacidade.
Introduz requisitos mais claros para avaliação de riscos, gestão de fornecedores e monitorização de conformidade.

Exemplo: Uma empresa que terceiriza o processamento de dados deve demonstrar que avalia e controla os riscos associados aos seus operadores.

4. Nova norma de acreditação: ISO/IEC 27706:2025

Substitui a ISO/IEC 27006-2 como referência para organismos de certificação.
Define critérios específicos para auditar e certificar um PIMS, incluindo competências dos auditores e âmbito da auditoria.

Resultado: Maior rigor e consistência nos processos de certificação, com foco exclusivo na privacidade.

Comparativo detalhado: ISO/IEC 27701:2019 vs 2025

Elemento	Edição 2019	Edição 2025
Tipo de norma	Extensão da ISO/IEC 27001	Norma independente
Certificação	Requer ISO/IEC 27001	Pode ser certificada isoladamente
Base estrutural	Anexo SL anterior, à data 2019	Anexo SL 2024
Âmbito	Complemento à segurança da informação	Sistema de Gestão de Privacidade (PIMS)
Norma de acreditação do Organismo Cerfificador	ISO/IEC 27006-2	ISO/IEC 27706:2025
Integração com outras normas	Limitada, devido a ser uma extensão da ISO/IEC 27001	Totalmente compatível com os vários MSS certificáveis (Type A), como, ISO 9001, 42001, etc.
Governança	Menos exigente	Reforço da liderança e responsabilidade
Flexibilidade	Apenas com SGSI	Abertura a qualquer organização

Aplicabilidade global e conformidade legal

A ISO/IEC 27701:2025 foi desenhada para suportar a conformidade com legislações de proteção de dados pessoais em diversas jurisdições:

Legislação	País/Região	Como a norma ajuda
RGPD	União Europeia	Controlos para direitos dos titulares, consentimento, transferência internacional de dados
Lei 58/2019	Portugal	Apoio à implementação prática do RGPD nacional
UK GDPR	Reino Unido	Alinhamento com o GDPR britânico
LPD	Suíça	Conformidade com a nova Lei Federal de Proteção de Dados
LGPD	Brasil	Controlos para operadores e controladores conforme a ANPD
CCPA / CPRA	EUA	Transparência, direitos dos consumidores e segurança
PIPEDA	Canadá	Responsabilidade, consentimento e segurança da informação

Transição da edição 2019 para 2025

Organizações certificadas na versão anterior têm, por norma, 3 anos para realizar a transição para a edição de 2025, ou seja, até outubro de 2028 para realizar a transição para a nova edição. É importante referir que à data deste artigo ainda não foi publicada pela ISO/CASCO ou pelo IAF informação sobre a data oficial para a transição pelo que, a data apresentada representa o ciclo normal de transição para as normas de sistema de gestão certificáveis (Type A). Existem muitas abordagens possíveis para realizar o processo de transição com sucesso. Apresenta-se abaixo uma abordagem comum:

Etapas da transição

Análise de lacunas entre os requisitos da 2019 e da 2025.
Revisão documental com base na nova estrutura HS do Anexo SL.
Formação especializada para equipas técnicas e de gestão sobre as vantagens e novos requisitos da edição 2025.
Apresentação da abordagem de transição proposta, plano e partes envolvidas. Consciencializar e destacar a importância e papel das várias partes interessadas no processo de transição.
Estabelecer e implementar o programa de transição para a nova edição 2025 tendo por base as lacunas identificadas, os resultados da revisão documental, e outros inputs relevantes.
Operacionalizar, monitorizar e avaliar os requisitos e controlos implementados tendo por base os objetivos da norma e da organização, e assegurar registos de operação e eficácia do sistema (sugere-se 3 meses, suficientes para demonstrar a operação do novo PIMS).
Auditoria interna para validar conformidade e identificar oportunidades de melhoria.
Revisão e aprovação pela gestão de topo do novo Sistema de Gestão de Informação Privada (PIMS) 2025, análise de resultados e benefícios. Aprovação para avançar para a auditoria de transição da certificação.
Auditoria de certificação realizada por Equipa Auditora com profissionais Certificados ISO/IEC 27701:2025 Lead Auditor, aprovação para a transição da certificação da organização pelo Organismo Certificador, acreditado nos requisitos da nova ISO/IEC 27706:2025, e emissão de certificado ISO/IEC 27701:2025.

Caso de uso: Uma empresa de software com certificação ISO/IEC 27701:2019 pode realizar a transição em 6 meses (dependendo da extensão do âmbito da certificação da organização), com apoio de formação e consultoria, reduzindo custos e mantendo a sua certificação ativa.

Formação e certificação profissional

Para apoiar a transição e adoção da nova norma, a Behaviour disponibiliza cursos e certificações de pessoas especializadas:

Curso	Objetivo	Público-alvo
Transition	Migrar da edição 2019 para 2025	Organizações já certificadas que desejem realizar com sucesso a auditoria de transição, e profissionais detentores de certificações de pessoas ISO/IEC 27701:2019 que desejem realizar a transição da sua certificação para a nova Edição 2025.
Foundation	Compreender os requisitos da norma	Profissionais de privacidade, TI, compliance, e demais especialistas, que necessitem de adquirir os conhecimentos fundamentais
Lead Implementer	Implementar um sistema de gestão de informação privada (PIMS) conforme a nova norma	Consultores, gestores de projeto, cujo objetivo seja implementar, ou liderar a implementação de um PIMS baseado na nova edição da ISO/IEC 27701:2025 ou suportar o processo de transição para esta nova edição.
Lead Auditor	Auditar sistemas de gestão de informação privada (PMIS)	Auditores internos e externos, que pretendam adquirir ou atualizar as suas competências na condução de auditorias de primeira, segunda ou terceira partes, como membros de uma equipa auditora, ou com o objetivo de liderar /coordenar auditorias de um PIMS, seja como suporte a uma nova implementação, ou para uma organização em processo de transição.

Conclusão: A privacidade como vantagem competitiva

A ISO/IEC 27701:2025 não é apenas uma norma — é uma ferramenta estratégica para organizações que querem liderar com responsabilidade, transparência e conformidade. Seja para realizar a transição ou iniciar a certificação, esta é a hora de agir.

Formação Behaviour recomendada

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

O que mudou com a NIS 2 — e por que não se pode continuar a ignorar a mudança

Date: Outubro 22, 2025 Author: Editor

A Diretiva NIS 2 (UE 2022/2555) já está em vigor em toda a União Europeia — e a maioria das organizações afetadas ainda não está preparada.

Esta não é apenas “mais uma diretiva europeia”.
É um verdadeiro divisor de águas na forma como os setores importantes, essencias e críticos (com a Diretiva CER (EU 2022/2557)) devem lidar com cibersegurança, gestão de risco e reporte de incidentes.

Se a sua organização atua em setores como energia, transportes, saúde, financeiro, digital, ou se presta serviços a entidades essenciais, este artigo é obrigatório.

O que é a NIS 2?

A NIS 2 substitui a anterior Diretiva NIS (2016/1148) e estabelece regras mais rigorosas e abrangentes para garantir a segurança das redes e sistemas de informação na UE.

Entre os principais objetivos estão:

Reduzir disparidades de segurança entre Estados-Membros
Reforçar a resiliência dos setores essenciais e digitais
Criar uma abordagem comum à gestão e reporte de riscos e incidentes

O que mudou, na prática?

1. Mais setores incluídos
A NIS 2 aplica-se agora a muito mais áreas — incluindo serviços digitais, alimentação, produtos químicos, resíduos, correios, e gestão de água potável.

2. Mais entidades abrangidas
A regra agora é: se a sua organização é essencial para o funcionamento da sociedade ou da economia, está incluída.
Não importa se a organização é pública ou privada.
Importa o impacto que se teria se parasse de funcionar.

3. Responsabilidades da gestão de topo
Os membros da administração podem ser responsabilizados pessoalmente pela não implementação de medidas adequadas de cibersegurança.

4. Reportes obrigatórios de incidentes
As organizações devem:

Notificar incidentes críticos até 24 horas após detetarem.
Atualizar informações até 72h.
Submeter relatório final até 1 mês.

5. Fiscalização, coimas e sanções
Reguladores nacionais têm agora poderes reforçados de auditoria e penalização.
Coimas podem atingir milhões de euros — e a reputação… bem, essa pode não ter recuperação.

O que as organizações devem fazer agora

Identificar se estão abrangidas
Consultar a lista de setores e tipos de entidades incluídos. A legislação nacional (como a Lei do Ciberespaço, em Portugal) já estabelece os critérios.

Avaliar o grau de maturidade atual

Existe na organização uma política formal de cibersegurança?
Existe uma abordagem sistemática à gestão de riscos TIC?
A organização está preparada para reportar incidentes em menos de 24 horas?

Implementar controlos técnicos e organizativos
Deve-se cumprir os requisitos mínimos de segurança previstos no Art. 21 da Diretiva, como:

Gestão de riscos
Gestão de incidentes
Continuidade de negócio
Segurança na cadeia de fornecimento
Ciber-higiene e formação
Criptografia, controlo de acesso e demais requisitos

Nomear responsáveis e criar governança clara
Definir quem lidera, quem executa e quem aprova as medidas de segurança.
A responsabilidade tem de ser visível, rastreável e eficaz.

Preparação exige mais do que “ler a diretiva”

A aplicação prática da NIS 2 requer:

Formação especializada
Simulações de resposta a incidentes
Auditorias internas
Atualização de políticas, procedimentos e assegurar planos de continuidade testados

Como a Behaviour pode ajudar

Somos especialistas em formar profissionais e equipas para liderarem a implementação, a auditoria e a conformidade com a NIS 2:

Estes cursos não são apenas técnicos.
São pensados para quem lidera, decide, implementa e responde.

A NIS 2 já está em vigor. A fiscalização já começou. E a sua organização?

Preparar-se não é uma opção.
É uma responsabilidade legal, ética e estratégica.

O que está em jogo não é só a conformidade.
É a continuidade do teu negócio, a confiança dos clientes e o futuro da reputação da organização.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Gestão do Risco em 2025: como decidir melhor, priorizar investimentos e provar que controla o que mais importa

Date: Outubro 20, 2025 Author: Editor

Reguladores, clientes e conselhos de administração já não querem apenas promessas — necessitam de evidências de gestão do risco, e o garante da gestão do risco integrada nas práticas do dia‑a‑dia.

Porque ganhou destaque este tema agora?

São quatro os requisitos que estão a colocar a gestão do risco no centro das decisões:

DORA aplica‑se desde 17 de janeiro de 2025 ao setor financeiro e impõe avaliação contínua de riscos TIC, testes de resiliência e controlo de terceiros críticos. ESMA
NIS 2 em Portugal: em setembro de 2025, a Assembleia da República aprovou a transposição, faltando promulgação e publicação — com obrigações claras de gestão de risco e reporting de incidentes em 24h/72h/1 mês. apdc.pt
AI Act: em vigor desde 1 de agosto de 2024, com fases de aplicação em 2025–2027, exige sistema de gestão de risco para IA de alto risco e regras específicas para modelos de propósito geral. Digital Strategy
Cyber Resilience Act (CRA): em vigor desde 10 de dezembro de 2024; as principais obrigações aplicam‑se a partir de 11 de dezembro de 2027, reforçando segurança por conceção e gestão de vulnerabilidades em produtos digitais. Digital Strategy

E a realidade confirma a necessidade: paragens operacionais e ataques à cadeia de fornecimento estão a gerar perdas elevadas em 2024/25 — do outage global causado por atualização defeituosa de software (efeito dominó em vários setores) a incidentes recentes que paralisam a produção e a distribuição. Reuters

O que é gestão do risco “moderna” (e acionável)?

A boa gestão do risco não é um relatório anual: é disciplina de gestão com quatro camadas.

1) Governo e apetite ao risco

Apetite e tolerância aprovados pela gestão de topo: o que aceitamos perder (financeiro, reputacional, legal, operacional)?
Papéis claros: quem é risk owner, control owner e process owner na gestão do risco?
Ciclo de decisão: como priorizamos? Quem aprova aceitar/transferir/mitigar/evitar?

2) Processo baseado em normas (ISO 31000 + ISO/IEC 27005)

Identificar: riscos estratégicos, operacionais, de informação, terceiros, regulatórios e IA.
Analisar e avaliar: probabilidade/impacto, cenários (melhor, provável, pior), dependências.
Tratar: mitigar, transferir (seguros/contratos), aceitar ou evitar, com planos e donos.
Monitorizar e rever: KRIs, auditoria interna, testes e lessons learned.

3) Integração com continuidade, segurança e conformidade

Incidentes: um risco materializado alimenta o processo (causa‑raiz, perdas, melhorias).
Continuidade: alinhar BIA, RTO, RPO com o registo de riscos e testes de crise.
Conformidade: mapear controlos exigidos por DORA/NIS 2/AI Act/CRA ao tratamento de riscos (um controlo pode cobrir vários requisitos).

4) Evidências e métricas (para auditor e para o Board)

Mapa de riscos “vivo” com status dos planos de tratamento.
KPIs/KRIs:
- % de riscos críticos com tratamento em dia
- Tempo médio até mitigação (por prioridade)
- Cobertura de controlos (ex.: MFA, EDR/SIEM, backups testados)
- Exposição de fornecedores críticos por serviço
- Tempo de reporte (NIS 2: early warning 24h, notificação 72h, relatório final 1 mês). Digital Strategy

Taxonomia prática de riscos para 2025

Use uma linguagem comum e completa — e evite “caixas‑outros”:

Tecnologia & Operações: indisponibilidade (cloud, M365), mudança mal sucedida, latência, perda de dados.
Cibersegurança: ransomware, phishing com deepfakes, exploração de vulnerabilidades, supply chain.
Informação & Privacidade: violação de dados, retenção excessiva, base legal frágil, shadow data.
Terceiros & Quarto Nível: SaaS, outsourcing TIC, fabricantes de software, integradores.
Regulatório & Legal: sanções por DORA/NIS 2/RGPD/CRA, falhas de reporte, cláusulas contratuais.

IA & Modelos: erro sistémico de modelo, drift, uso de dados pessoais sem base legal, violações do AI Act (alto risco).

Como priorizar (sem complicar)

0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
31–60 dias: exercícios executivos (table‑top NIS 2 — 24h/72h/1 mês), teste de restore, plano de comunicação.
61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after‑action review com melhorias. Google Cloud Status

Programa de 90 dias (executável)

Dias 0–30 — Foto realista

Workshop de contexto, apetites e critérios (topo e risk owners).
Inventário de serviços críticos e fornecedores críticos (contratos, RTO/RPO, cláusulas de segurança).
Rapid gap‑assessment face a DORA/NIS 2/AI Act (só controlos e evidências).

Dias 31–60 — Reduzir risco material

Fechar quick wins: MFA universal, hardening de endpoints/identidades, backups imutáveis testados, cobertura EDR/SIEM ≥95%.
Runbooks de incidente e continuidade: comunicação, decisão, reporte (NIS 2).

Dias 61–90 — Provar que funciona

Exercício de crise com cenário realista (ex.: atualização defeituosa de software/fornecedor crítico indisponível).
Table‑top NIS 2 (24h/72h/1 mês) e simulation audit DORA.
Dashboard de KRIs/KPIs para o Board e plano de melhorias trimestral.

Checklist rápido (para não falhar o essencial)

Apetite ao risco aprovado e comunicado
Registo único de riscos (com donos e prazos)
Avaliações de risco documentadas e repetíveis (ISO 31000/27005)
Controlo de terceiros: due diligence, SLAs, RTO/RPO, direito de auditoria
Mapa de dependências (serviços ↔ fornecedores ↔ dados críticos)
Métricas ativas (KRIs) e triggers de escalamento
Plano de resposta a incidentes e continuidade testados
Evidências prontas para auditor/regulador (logs, relatórios, atas, decisões)
Calendário de reporte NIS 2 e playbooks preenchidos
Revisões trimestrais e after‑action reviews

Três erros comuns (e o antídoto)

“Um mapa bonito, mas nada acontece” → converta cada risco em tarefa com dono e data; reporte ao Board o delta mês a mês.
Terceiros “de confiança”, mas sem evidências → solicite relatórios independentes, teste o restore, valide cláusulas de notificação e segurança.
Riscos de IA ignorados → crie um ciclo de vida de modelos com avaliação de risco, drift, explicabilidade e base legal para dados pessoais.

Cursos Behaviour recomendados (para transformar este artigo em prática)

ISO 31000 Lead Manager (framework transversal, apetite ao risco, KRIs, integração com continuidade)
ISO 27005 Manager (métodos de avaliação de risco aplicados à Segurança da Informação, alinhado com ISO/IEC 27001)
NIS 2 Compliance Lead Manager (gestão de risco, medidas do Art. 21 e regime de reporte 24h/72h/1 mês)
DORA Compliance Lead Manager (integração de riscos TIC, terceiros críticos e testes de resiliência em entidades financeiras)
ISO 27001 Lead Implementer (do risco aos controlos e evidências auditáveis no SGSI)
ISO 27001 Lead Auditor (do risco aos controlos e evidências auditáveis no SGSI)

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Frameworks vs Regulamentos: o que realmente precisa de implementar?

Date: Outubro 15, 2025 Author: Editor

Frameworks_Regulamentos_realmente_precisa_implementar

Num mundo saturado de normas, standards, diretivas e regulamentos, muitas organizações enfrentam a mesma dúvida:

Afinal, devemos implementar o quê? A ISO/IEC 27001? O NIST? A NIS 2? O DORA? Tudo?

A resposta certa não é “um ou outro”.
É: o que faz sentido e é exigido para a sua realidade, os seus riscos e as suas obrigações legais.

Neste artigo, vamos clarificar as diferenças entre frameworks e regulamentos, e ajudar a perceber o que deve mesmo implementar — e porquê.

Frameworks: linhas orientadoras, não imposições

Frameworks são conjuntos de boas práticas, estruturas lógicas e recomendações que orientam a implementação de sistemas de gestão, segurança ou governação.

São voluntárias, mas altamente valorizadas por serem práticas comprovadas e testadas pelo mercado, especialmente em auditorias, concursos públicos, relações com clientes e gestão de risco reputacional.

Exemplos de frameworks:
- ISO/IEC 27001 – Gestão da segurança da informação
- ISO 22301 – Continuidade de negócio
- NIST CSF – Framework de cibersegurança (EUA)
- COBIT 2019 – Governação e gestão de IT
- CSA CCM – Controlo de segurança em cloud
- CSA AICM – Controlo de tecnologias de IA

Porque implementar?
- Demonstram maturidade organizacional
- Permitem alinhamento com normas internacionais
- São reconhecidas globalmente
- Ajudam a preparar para regulamentos futuros
- Suportam certificações que aumentam credibilidade

Regulamentos e diretivas: obrigações legais

Os regulamentos e diretivas são instrumentos jurídicos da União Europeia. Têm força legal e devem ser cumpridos por todas as entidades abrangidas.

A não conformidade pode resultar em sanções, coimas, perda de contratos ou processos judiciais.

Exemplos:
- NIS 2 (2022/2555) – Segurança de redes e sistemas em setores essenciais
- DORA (2022/2554) – Resiliência operacional no setor financeiro
- Cyber Resilience Act (2024/2847) – Segurança de produtos digitais no mercado europeu
- RGPD (2016/679) – Proteção de dados pessoais
- AI Act (2024/1689) – Regulação de sistemas de inteligência artificial
Porque cumprir?
- Obrigação legal direta
- Fiscalização por entidades reguladoras nacionais
- Penalizações significativas em caso de incumprimento
- Reputação em risco em caso de incidente não reportado ou não gerido

O erro comum: aplicar só frameworks… quando já tem obrigações legais

Muitas organizações implementam a ISO/IEC 27001 ou o NIST CSF e assumem que isso é suficiente para cumprir regulamentos como a NIS 2 ou o DORA. Mas, não é suficiente, é preciso ir mais longe.

As frameworks ajudam, mas não substituem as obrigações específicas.

Exemplo:

A ISO/IEC 27001 ajuda a estruturar e a gerir a segurança da informação definindo requisitos genéricos.
Mas a NIS 2 exige o cumprimento de requisitos específicos, por exemplo, reporting em 24h, responsabilização e compromissos específicos da gestão de topo, mapeamento da cadeia de fornecimento, entre outros pontos que vão além da ISO.

O que implementar, então?

Se está num setor importante, essencial ou crítico:

Implemente os regulamentos aplicáveis (NIS 2, DORA, CRE, CRA…)
Complemente com frameworks como a ISO/IEC 27001, ISO 22301, NIST CSF para garantir robustez e maturidade

Se ainda não tem obrigações legais diretas:

Comece por frameworks reconhecidas (ex: ISO/IEC 27001, NIST CSF)
Antecipe regulamentação futura
Reduza riscos e aumente a confiança do mercado

Dica prática: mapa cruzado

Muitas formações da Behaviour incluem mapas de correspondência entre regulamentos e frameworks. Por exemplo:

Com a ISO/IEC 27001 suporta a conformidade com a NIS 2
Com a ISO 22301 suporta os requisitos do DORA
Com os NIST CSF e SSDF reforça a preparação para o CRA

Isto permite maximizar esforços e evitar trabalho duplicado.

Formação recomendada para alinhar frameworks e regulamentos

Frameworks guiam.
Regulamentos obrigam.

A chave está em saber quando usar cada um e como integrá-los.

Quem aposta só no mínimo legal, cumpre.
Quem combina frameworks + regulamentos, lidera.

Na Behaviour, formamos profissionais e equipas para atuarem com confiança, clareza e visão, seja para obter certificação, garantir conformidade ou criar vantagem competitiva.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

5 competências que todos os profissionais de cibersegurança precisam, e nenhuma é técnica

Date: Outubro 8, 2025 Author: Editor

Quando se pensa em cibersegurança, muitos imaginam firewalls, criptografia, ferramentas de deteção de intrusão ou testes de penetração. Tudo isto é importante — mas não é suficiente.

A verdade é que os profissionais que trabalham de forma mais eficaz em cibersegurança, têm algo mais.
E esse “mais” raramente se ensina em cursos técnicos.

Neste artigo, mostramos as 5 competências essenciais não técnicas que fazem toda a diferença — nas equipas, nas auditorias e nos momentos críticos

1. Comunicação clara e adaptada

Ser capaz de traduzir riscos técnicos em impacto real para o negócio é uma das competências mais valiosas na área.
Se não se consegue explicar por que razão um controlo é crítico … como se pode esperar que o mesmo seja implementado?
Um bom profissional de cibersegurança comunica com técnicos, gestores e decisores — cada um na sua linguagem.

2. Gestão de conflitos sob pressão

Incidentes de segurança trazem stress, acusações e urgência. Saber gerir desacordos, evitar a atribuição de culpas e focar-se em soluções é o que distingue quem lidera de quem só executa.
Um bom analista reage. Um profissional maduro gere a resposta, mesmo quando o caos parece inevitável.

3. Pensamento crítico e visão sistémica

Cibersegurança não é seguir checklists. É analisar contexto, questionar suposições, identificar interdependências e antecipar consequências.
O que hoje parece uma falha menor pode, em cadeia, pode tornar-se o vetor de um ataque massivo.
Saber fazer ligações — entre riscos, sistemas, pessoas e processos — é uma skill estratégica.

4. Ética profissional inabalável

O acesso privilegiado a sistemas, dados e decisões exige um sentido ético acima da média. Discrição, responsabilidade e integridade são tão cruciais como qualquer certificação.
Uma decisão ética protege mais que qualquer antivírus.

5. Capacidade de aprendizagem contínua

A tecnologia muda. Os ataques evoluem. Os regulamentos atualizam-se. O que hoje é boa prática, amanhã pode ser insuficiente.
Estar em cibersegurança é assumir que nunca se sabe tudo — e agir em conformidade.
Profissionais que aprendem de forma constante são os únicos verdadeiramente resilientes.

E como se adquirem estas competências?

Experiência em ambientes reais
Formações com simulações, casos e cenários práticos
Exposição a equipas multidisciplinares
Reflexão crítica sobre decisões passadas e lições aprendidas
Mentoria, coaching e partilha de boas práticas

Desenvolva estas competências com as nossas formações

Na Behaviour, criamos cursos que não formam apenas técnicos. Formam profissionais completos — com visão, ética, pensamento crítico e liderança.

A segurança de uma organização não depende apenas da tecnologia que usa. Depende das pessoas que a protegem.

E as pessoas que a protegem com mais eficácia são aquelas que:

comunicam com clareza,
pensam com rigor,
lideram com empatia,
aprendem com consistência,
e agem com integridade.

Estas são as competências que tornam um técnico… um verdadeiro profissional de cibersegurança.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Outubro é o Mês da Cibersegurança: como transformar 31 dias de sensibilização em proteção real

Date: Outubro 6, 2025 Author: Editor

Este ano, a campanha europeia coloca o foco no phishing.

Abaixo, apresenta-se um plano pronto‑a‑usar para envolver colaboradores, medir impacto e deixar resultados que ficam para lá de outubro.

Porquê falar disto agora?

Campanha oficial da UE. Todos os anos, em outubro, decorre o Mês Europeu da Cibersegurança (ECSM), coordenado pela ENISA e pela Comissão Europeia, com ações de sensibilização em toda a UE. ECSM
Foco 2025: phishing. A edição de 2025 arranca com ênfase explícita em combater o phishing, disponibilizando orientações práticas e materiais para cidadãos e organizações. Digital Strategy EU
Ameaças em alta. O ENISA Threat Landscape 2025 analisou 4.875 incidentes (jul/2024–jun/2025) e descreve um cenário de campanhas contínuas e convergentes que corroem a resiliência. ENISA
O vetor n.º 1 continua a ser humano. O phishing permanece o principal método de intrusão identificado na UE, com campanhas cada vez mais convincentes, muitas com apoio de IA. Infosecurity Magazine
Em Portugal, o CNCS centraliza recursos, notícias e iniciativas de sensibilização úteis para organizações e cidadãos. cncs.gov.pt

O objetivo para as organizações

Passar de “campanhas” a “capacidades”: usar outubro para criar hábitos (e evidências) que reduzem risco ao longo do ano. Pense em mensagem + prática + métrica:

Mensagem certa (curta, clara, repetida)
Prática guiada (simulações, exercícios, checklists)
Métricas objetivas (prova de eficácia e melhoria contínua)

Programa de 31 dias: 4 semanas, 4 temas, métricas simples

Semana 1 — Phishing e Engenharia Social (foco oficial 2025)

O que fazer?
– Micro‑aula de 10 minutos: como identificar phishing (remetente, URL, tom de urgência, anexos).
– Lançar simulação de phishing (dois níveis de dificuldade).
– Instalar um “botão de reporte” no e‑mail (se ainda não existir).
– Cartaz digital “Pára, Verifica, Encaminha”: Pára → respira; Verifica → verifica remetente e URL; Encaminha → reporta.

Métricas: Taxa de abertura e taxa de reporte da simulação; tempo médio até ao primeiro reporte; taxa de cliques por nível.

Recursos oficiais úteis
Materiais e conteúdos ECSM/ENISA; este ano, o enfoque explícito no phishing facilita mensagens e exercícios. Digital Strategy EU

Semana 2 — Palavras‑passe, MFA e Identidades

O que fazer?
– “Clínica” de gestores de passwords (como criar/guardar senhas fortes).
– Campanha de MFA: ativação obrigatória para e‑mail, VPN e apps críticas.
– Revisão de acessos privilegiados (JIT/JEA) e revogação de contas inativas.

Métricas: % de contas com MFA ativo; nº de acessos privilegiados reduzidos; tempo de revogação após saída interna.

Semana 3 — Dispositivos, Dados e Cloud (higiene e privacidade)

O que fazer?
– Hardening rápido: atualizações automáticas, EDR ativo, encriptação de disco.
– Backups e restauros: fazer (e validar) pelo menos um teste de restore até ao RPO/RTO aprovados.
– Mapeamento de dados: onde residem dados sensíveis (inclui SaaS), quem tem acesso e porquê.

Métricas: Cobertura EDR, sucesso de restore, % de dados críticos com encriptação e dono nomeado.

Semana 4 — Terceiros, Continuidade e Reporte de Incidentes

O que fazer?
– Table‑top de cibercrise de 90 minutos: cenário de phishing bem‑sucedido + perda de SaaS crítico.
– Rever contratos de fornecedores críticos: RTO/RPO, aviso de incidentes, direito a auditar e exit plan.
– Playbooks de reporte (incluindo requisitos de reporte regulatório aplicáveis): quem reporta a quem, em que prazos, com que templates.

Métricas: Tempo até decisão executiva; cumprimento de RTO/RPO em teste; % de terceiros críticos com evidências atualizadas.

Conteúdos prontos para enviar (copiar/colar)

Mensagem de arranque (e‑mail/Teams/Slack)

Outubro é o Mês da Cibersegurança. Este ano vamos concentrar‑nos em detetar e reportar phishing.
Ao longo do mês, vais receber micro‑aulas, simulações e dicas simples.
Se suspeitares, reporta — mesmo que seja falso alarme.
A segurança começa contigo. Digital Strategy EU

Aviso rápido para simulações

Esta semana vais receber e‑mails de simulação. O objetivo é aprender. Se algo parecer estranho: pára, olha, passa (reporta).

Cartaz digital para elevadores e backgrounds

“3 segundos antes de clicar” — Remetente • URL • Pedido

“Fala connosco” — Botão de reporte no Outlook/Gmail; canal #segurança

O que medir (e como mostrar ao Board)

Phishing: taxa de reporte ↑, cliques ↓ (ajustado à dificuldade), tempo até 1.º reporte.
Identidades: % MFA ativo; tempo de revogação; nº de privilégios reduzidos.
Resiliência: sucesso de restore; RTO/RPO atingidos no table‑top.
Terceiros: % de fornecedores críticos com evidência válida (relatórios/auditorias).

Bónus: transforme métricas em gráficos simples e compare base (setembro) vs. outubro (final do mês).

Erros comuns (e o antídoto)

Campanhas punitivas que envergonham quem erra → educar, não punir: reforçar o bom reporte, mesmo quando é falso alarme.
Mensagens longas e técnicas → micro‑conteúdos em português claro, com exemplos reais.
Falto de prova → guardar evidências: atas, relatórios de simulação, capturas de dashboards, listas de MFA.

Eventos e recursos que podes aproveitar já

Portal oficial do ECSM com explicação, materiais e atividades. ECSM
ECSM 2025: foco no phishing — comunicações e guias de boas práticas. Digital Strategy EU
Press release ETL 2025 (dados e tendências para enriquecer apresentações internas). ENISA
ENISA Threat Landscape 2025 (relatório) — base para briefings a executivos e para justificar investimentos. ENISA
Agenda europeia: exemplo — European Cybersecurity Challenge 2025 (6–10 out., Varsóvia), útil para conteúdos e awareness em equipas técnicas. ENISA

Perguntas frequentes (para a equipa de Helpdesk/Segurança)

“Recebi um e‑mail suspeito. Apago?” → Primeiro reporta pelo botão; o SOC/IT analisa.
“Cliquei sem querer. E agora?” → Reporta imediatamente; muda password; corre EDR; fecha sessão em todos os dispositivos.
“Como sei se um link é seguro?” → Passa o rato por cima do link; verifica domínio e HTTPS; se tiver encurtador (ex. º https://abrir.link/UuEcO), não cliques — reporta.
“Posso usar uma pen USB?” → Apenas dispositivos autorizados. Se for externo, verifica com o IT.

Cursos Behaviour recomendados (para transformar sensibilização em capacidade)

ISO/IEC 27001 Foundation — base para políticas e responsabilidades de segurança.
Cybersecurity Professional — competências técnicas e de gestão para reduzir risco operacional.
NIS 2 Compliance Lead Manager — requisitos, reporte de incidentes e governação.
ISO 22301 Lead Implementer — continuidade e exercícios de cibercrise (apoio ao table‑top da semana 4).

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo, exceto as sugestões delimitadas nos Conteúdos prontos para enviar (copiar/colar).

Os Maiores Desafios Operacionais das Empresas em 2025

Date: Setembro 15, 2025 Author: Editor

Num cenário económico e tecnológico em constante evolução, as organizações enfrentam um desafio permanente: como alcançar eficiência, resiliência e inovação, enquanto navegam por custos elevados, riscos crescentes e uma regulação cada vez mais complexa.

Embora os desafios variem consoante o setor e o grau de maturidade das empresas, há padrões recorrentes que emergem em praticamente todas as análises de mercado. Grandes consultoras internacionais, como a McKinsey e a PwC, têm produzido estudos estratégicos que identificam os principais entraves operacionais da atualidade. Paralelamente, a ENISA — Agência da União Europeia para a Cibersegurança — desempenha um papel central na definição de políticas e na coordenação da resposta europeia a ameaças digitais, publicando relatórios técnicos e análises setoriais de elevada relevância, que complementam e aprofundam a compreensão dos riscos e desafios enfrentados pelas organizações. Destacam-se:

1. Eficiência e Redução de Custos

A pressão para fazer mais com menos é uma constante transversal a todos os setores. Muitas organizações continuam a operar com processos redundantes e manuais, refletindo uma digitalização ainda incompleta. A busca por ganhos de produtividade, através da automação e da integração tecnológica, deixou de ser uma opção — tornou-se uma necessidade estratégica.

2. Talento e Competências

Atrair e reter profissionais qualificados tornou-se um dos maiores desafios organizacionais da atualidade. A escassez de competências digitais, tecnológicas e de liderança é real e transversal a múltiplos setores. Mais do que recrutar, é essencial investir no desenvolvimento contínuo e na motivação das equipas, promovendo culturas organizacionais sólidas, inclusivas e orientadas para o crescimento.

3. Resiliência e Continuidade do Negócio

Crises globais, ciberataques e disrupções nas cadeias de fornecimento têm exposto vulnerabilidades estruturais em muitas organizações. Em vários casos, os planos de contingência revelaram-se desatualizados, inadequados — ou simplesmente inexistentes. Mesmo quando existem, muitos nunca foram testados, o que compromete a sua eficácia em situações reais. A resiliência deixou de ser uma vantagem competitiva: tornou-se uma prioridade estratégica para garantir a continuidade operacional em cenários de elevada imprevisibilidade.

4. Gestão da Cadeia de Fornecimento

A globalização trouxe eficiência, mas também dependências perigosas. Hoje, riscos geopolíticos, ambientais e tecnológicos podem paralisar operações em poucas horas. Ter visibilidade ponta a ponta da cadeia é essencial para gerir vulnerabilidades.

5. Transformação Digital e Tecnologia

A migração para a cloud, a adoção da inteligência artificial e a integração de IoT e automação estão a transformar profundamente os modelos operacionais das empresas. O verdadeiro desafio reside em equilibrar a inovação com a manutenção de sistemas legados, ao mesmo tempo que se assegura a proteção de dados num cenário de ameaças digitais cada vez mais sofisticadas.

6. Conformidade e Regulamentação

Com exigências cada vez mais rigorosas — do RGPD ao DORA, da NIS 2 aos critérios ESG —, as organizações enfrentam o desafio de alinhar os seus processos com padrões legais e normativos internacionais. A crescente complexidade do enquadramento regulatório exige que os requisitos de conformidade sejam integrados desde o planeamento estratégico até às operações do dia a dia, tornando-se um elemento central da gestão empresarial moderna.

7. Sustentabilidade e Pressão ESG

A responsabilidade ambiental e social deixou de ser opcional. Clientes, investidores e reguladores exigem resultados concretos. Incorporar práticas sustentáveis e de economia circular tornou-se condição para competir e manter credibilidade. Hoje, o ESG não é apenas uma mera tendência — é um novo padrão de legitimidade empresarial.

O maior desafio operacional das empresas não está apenas em reduzir custos ou inovar, mas em conseguir equilibrar múltiplas exigências ao mesmo tempo:

ser eficiente sem perder qualidade;
ser resiliente sem deixar de inovar;
ser sustentável sem comprometer resultados.

As organizações que conseguirem alinhar estes eixos — eficiência, resiliência e inovação — terão maior capacidade de competir num mercado global cada vez mais imprevisível.

Como a Behaviour pode ajudar?

Na Behaviour, acreditamos que a preparação é o alicerce da resiliência organizacional. Por isso, desenvolvemos formações especializadas que capacitam equipas para enfrentar os desafios regulatórios e operacionais mais exigentes:

ISO 27001 Lead Auditor – para fortalecer sistemas de gestão da segurança da informação e reduzir riscos tecnológicos.
ISO 22301 Lead Implementer – para estruturar planos de continuidade de negócio sólidos e testados.
NIS 2 Compliance Lead Manager – para alinhar a organização com as novas obrigações legais da União Europeia.
Certified DORA Compliance Lead Manager – para garantir conformidade com o regulamento financeiro que transforma a gestão de riscos TIC.
ISO 31000 Lead Manager – para integrar a gestão de riscos em toda a organização, incluindo cadeia de fornecimento.
Artificial Intelligence Act Foundation & ISO/IEC 42001 (Foundation / Lead Implementer / Lead Auditor) – para preparar equipas na adoção ética e regulada da Inteligência Artificial.

Porque cada desafio exige conhecimento especializado, as nossas formações foram desenhadas para dar às empresas a capacidade de agir antes da crise e transformar a conformidade em vantagem competitiva.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Como preparar a sua organização para um teste de stress cibernético sem entrar em pânico

Date: Setembro 1, 2025 Author: Editor

Os Cyber Stress Tests estão a chegar.
E não são uma moda passageira — são uma exigência crescente para organizações críticas, financeiras e reguladas.

A ENISA (Agência Europeia para a Cibersegurança) e os reguladores setoriais estão a empurrar as organizações para um novo patamar: simular, testar e demonstrar a sua resiliência operacional e cibernética sob pressão realista.

A pergunta já não é “se” a sua organização vai ser colocada à prova.
É “quando” — e como vai responder.”

Neste artigo explicamos o que é um teste de stress cibernético, o que pode correr mal e como preparar a sua organização com método, sem pânico e com resultados reais.

O que é um teste de stress cibernético?

Um Cyber Stress Test é um exercício estruturado que simula cenários reais de ataque ou falhas críticas com o objetivo de:

Testar os sistemas técnicos
Avaliar a prontidão das equipas
Verificar a capacidade de resposta, comunicação e recuperação
Expor pontos fracos antes que seja tarde demais

Estes testes podem ser internos ou mandatados por reguladores – como a EBA para instituições financeiras, ou a ENISA no contexto europeu.

O que pode falhar — se não estiver preparado

Falta de coordenação entre equipas (TI, segurança, operações, jurídico)
Processos teóricos que não funcionam sob pressão
Pessoas que não sabem o que fazer, ou pior: entram em pânico
Sistemas que falham porque ninguém os testou fora do “modo normal”
Comunicação desorganizada, tanto interna e externa

Um teste de stress mal preparado não só falha — como expõe fragilidades críticas que podem ser fatais num cenário real.

Como preparar um teste de stress cibernético com método

1. Defina o objetivo do teste
O que está a testar?

Resposta a incidentes?
Comunicação interna?
Recuperação de backups?
Continuidade de serviços críticos?
Tempo de reação da gestão?

O objetivo do teste define o cenário.

2. Escolha o tipo de teste

Tabletop exercise (TTX) – simulação em sala, com discussão de papéis e decisões
Walkthrough – execução guiada de procedimentos
Live simulation – ataque realista em ambiente de testes (ou produção controlada)

Comece com exercícios simples. Escale à medida que a maturidade da organização aumenta.

3. Simule o caos — mas com controlo
Crie um cenário credível, desafiante e ligeiramente desconfortável.

Exemplo:
“Sexta-feira, 18h10. Recebem um alerta de atividade anómala em múltiplas contas privilegiadas. Os backups parecem comprometidos. O responsável de segurança está incontactável.”
Foca a tensão real. É isso que testa a resiliência.

4. Defina papéis e responsabilidades com clareza

Quem coordena?
Quem comunica?
Quem aprova decisões críticas?
Quem ativa os planos de resposta?

Um bom exercício mede a capacidade de tomar decisões com clareza — não apenas a competência técnica.

5. Avalie, aprenda e ajuste
Após o teste:

O que correu bem?
O que falhou?
Que medidas devem ser revistas?
Quem precisa de formação adicional?

O objetivo do teste é melhorar continuamente — não obter uma nota máxima.

Ferramentas que pode usar

Matriz de impacto vs probabilidade (para definição de cenários)
Mapas RACI (para clarificar papéis e responsabilidades durante o exercício)
Playbooks de resposta a incidentes
Cadernos de lições aprendidas
Dashboards de acompanhamento em tempo real

Formação para equipas que precisam de estar prontas?

A Behaviour desenvolve formações que preparam equipas técnicas, operacionais e de gestão para responder com eficácia e confiança:

DORA Compliance Lead Manager – Concretiza o Regulamento DORA com uma abordagem prática para o setor financeiro e entidades TIC.
NIS 2 Compliance Lead Manager – Aplica a Diretiva NIS 2 com clareza e precisão, incluindo a legislação nacional portuguesa.
ISO 22301 Lead Implementer – Continuidade de Negócio
ISO/IEC 27001 Lead Implementer – Segurança da Informação
Cybersecurity Professional (CSP) – com exercícios práticos

A verdadeira resiliência não está no plano.
Está na capacidade de agir sob stress — com foco, clareza e eficácia.

Um bom teste de stress não serve para impressionar.
Serve para corrigir antes que seja tarde demais.

Na Behaviour, ajudamos as organizações a transformar teoria em prática — e a preparar equipas que sabem o que fazer… quando tudo parece estar a falhar.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Segurança da Informação ISO/IEC 27001 com a Behaviour

Date: Agosto 18, 2025 Author: Editor

Seguranca_Informacao_com_Behaviour_Linkedin

Muito mais do que uma formação — é preparação real para quem quer liderar na segurança da informação

A norma ISO/IEC 27001:2022 é hoje a referência global para quem quer proteger ativos, gerir riscos e construir confiança nos sistemas de informação.
Mas aprender a norma não basta.

É preciso saber aplicá-la, auditá-la, atualizá-la — e fazê-lo com método, confiança e resultados.

Na Behaviour, acreditamos que a formação só faz sentido se transformar conhecimento em prática.
É por isso que cada curso ISO/IEC 27001 que disponibilizamos vai além da teoria — e prepara para agir no mundo real.

Quais são os cursos disponíveis?

1. ISO/IEC 27001 Foundation

Ideal para quem quer compreender os princípios da norma — mesmo sem experiência prévia.

Conceitos fundamentais de SGSI
Estrutura e cláusulas da ISO 27001:2022
Introdução ao Anexo A e ligação com a ISO/IEC 27002:2022
Enquadramento com requisitos legais e melhores práticas
Documentação de apoio criada com os formandos para aplicação imediata

Recomendado para equipas técnicas, operacionais ou decisores que precisam de dominar a base de forma clara e aplicada.

2. ISO/IEC 27001 / ISO/IEC 27002:2022 Transition

Formação orientada para quem já conhece as versões anteriores e/ou é certificado Behaviour na edição 2013 e precisa de adaptar o SGSI às exigências da nova edição ou realizar a transição da sua certificação Lead Implementer ou Lead Auditor para a nova edição.

Alterações nas cláusulas normativas e na estrutura do Anexo A
Nova categorização dos controlos: organizacionais, pessoas, físicos, tecnológicos
Atributos da ISO/IEC 27002:2022 e visão por tópicos
Impacto prático na auditoria e na implementação
Checklist de transição + matriz de impacto adaptável a cada organização

Ideal para consultores, auditores, gestores de segurança ou compliance officers com sistemas ativos.

3. ISO/IEC 27001 Lead Auditor

Formação avançada e certificada para quem quer auditar com excelência, liderar equipas e contribuir para a melhoria contínua do SGSI.

Técnicas de auditoria segundo a ISO 19011:2018
Planeamento, execução, conclusão e follow-up de auditorias internas e externas
Análise de evidência, entrevistas, não conformidades e ações corretivas
Ligação com normas, regulamentos e frameworks (NIS 2, DORA, NIST CSF)
Criação de documentos de auditoria reais durante o curso (planos, checklists, registos de constatações e relatórios)

Recomendado para profissionais com ou sem experiência que querem preparar-se para/ou atuar como auditores líderes com domínio técnico e visão estratégica.

4. ISO/IEC 27001 Lead Implementer

Curso completo para quem quer implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI) em conformidade com a ISO/IEC 27001:2022.

Interpretação prática de todos os requisitos normativos
Aplicação real dos controlos do Anexo A (com base na ISO/IEC 27002:2022)
Integração com a gestão do risco, continuidade, privacidade e cultura organizacional
Elaboração de políticas, planos, registos e procedimentos com base em casos práticos
Todos os documentos essenciais para um SGSI funcional são construídos em aula com os participantes

Indicado para quem assume ou pretende assumir a liderança da implementação do SGSI — técnicos, gestores, consultores, CISO ou responsáveis de compliance.

Cursos práticos, com resultados concretos

Todos os cursos ISO da Behaviour têm uma abordagem 100% prática e aplicada:

Exercícios reais com base em casos de estudo e simulações
Resolução de problemas concretos enfrentados pelas organizações
Documentação criada em aula para utilização imediata no trabalho
Formadores com experiência em real — não apenas na teoria
Apoio contínuo durante e após a formação

Os formandos saem com documentos e templates prontos a adaptar — úteis para auditorias internas ou para projetos reais de consultoria.

O que ganha com a Behaviour

Rigor técnico atualizado
Formações 100% alinhadas com as versões 2022 da ISO/IEC 27001 e 27002, com ligação direta aos regulamentos mais exigentes (NIS 2, DORA, CRA, RGPD).
Metodologia Mastering Best Practices
Não ensinamos apenas a norma. Ensinamos como a transformar em prática real e eficaz, com ligação à realidade das equipas, dos processos e dos riscos.
Certificação profissional com progressão clara
Todas as formações incluem certificações Behaviour emitidas em conformidade com a norma internacional ISO/IEC 17024 e posicionamento por níveis (Foundation, Transition, Lead Auditor, Lead Implementer) — garantindo reconhecimento internacional e alinhamento com os requisitos exigidos para a certificação de pessoas.

Para quem são os cursos?

Técnicos e gestores de segurança da informação
Consultores e auditores internos/externos
Profissionais de TI, risco e compliance
Responsáveis por SGSI ou pela preparação para auditorias
Equipas que querem estruturar, rever ou melhorar o seu sistema

Formação e Certificação que serve para hoje — e para amanhã

A norma está aí. Os riscos também.
O que muda é a qualidade da sua preparação.

Na Behaviour, os cursos não servem apenas para aprender — servem para saber fazer.

Os profissionais certificados Behaviour são submetidos a um processo de avaliação exigente, incluindo um exame de avaliação desafiante e um rigoroso processo de escrutínio da sua experiência e capacidades profissionais (para as certificações aplicáveis conforme os requisitos da ISO/IEC 17024).

Com a Behaviour, não leva só um certificado.
Leva capacidade real, documentos prontos a aplicar, a confiança de quem sabe o que está a fazer, e uma certificação que valida competências — não só conhecimento.

Ligações rápidas

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Segurança em Período de Férias

Date: Agosto 4, 2025 Author: Editor

Cuidados essenciais para profissionais e equipas que não podem dar férias aos riscos

Agosto chegou. Para muitos, é tempo de descanso. Para os riscos — é oportunidade.

Quando entramos em modo verão, relaxamos, as equipas rodam e os processos abrandam. Mas os riscos mantêm-se atentos. É precisamente nesses períodos de menor vigilância que muitos dos incidentes mais graves têm origem.

Partilhamos os principais cuidados a ter antes, durante e após o período de férias, com foco na segurança da informação, continuidade do negócio e resiliência organizacional.

Antes das férias: preparar, proteger, delegar

1. Reveja e limite contas e acessos

Elimine acessos temporários ou não utilizados
Verifique permissões atribuídas a prestadores externos
Restrinja acessos privilegiados e garanta rastreabilidade
Aplique regras claras para órgãos de gestão, se necessário
Registe tudo — acções de desativação e reativação futuras

Acesso mínimo. Tempo limitado. Tudo rastreável.

2. Defina substitutos e procedimentos claros

Quem substitui quem?
Que decisões podem ser tomadas?
O que fazer em caso de incidente?

Continuidade não é só presença — é preparação e resposta.

3. Reforce a vigilância contra fraudes e phishing

Pagamentos urgentes em nome do CEO ausente
Pedidos falsos de mudança de IBAN
Mensagens urgentes com penalizações
Prémios ou sorteios falsos
Links fraudulentos sobre entregas
Cuidado com deepfakes: voz ou vídeo falsos com pedidos de acessos, transferências ou extorsão

Redobre a atenção. Aplique ciber-higiene. Reporte sempre.

4. Reveja os planos de continuidade e resposta a incidentes

Planos atualizados e testados com equipa reduzida?
Quem ativa o plano em agosto?
Fornecedores continuam prontos nesse período?

Um plano que não funciona em férias… não é plano.

Durante as férias: manter o essencial a funcionar

5. Cuidado com redes e Wi-Fi públicas

Desligue redes e equipamentos não necessários
Evite Wi-Fi públicas para aceder a sistemas
Se inevitável, use VPN da organização

A conveniência de hoje pode ser o incidente de amanhã.

6. Proteja e automatize — sem desligar totalmente

Automatize backups (de preferência imutáveis)
Ative alertas e notificações para incidentes
Garanta visibilidade mínima — mesmo em férias

Automação inteligente protege mesmo quando desliga.

7. Evite expor a sua ausência nas redes

Evite frases como “fora até setembro”
Evite fotos e vídeos com localização em tempo real
Prefira grupos fechados para partilhas pessoais

Maior pegada digital = mais oportunidade para ataques de engenharia social.

Depois das férias: validação e reativação

8. Revalide acessos e alterações feitas

Alguma conta temporária ainda ativa?
Configurações alteradas sem reversão?
Algum incidente não detetado?
Reveja logs e relatórios de segurança

Pós-férias = check-up obrigatório.

9. Atualize e valide sistemas

Aplique atualizações de segurança pendentes
Verifique backups e relatórios
Confirme integridade dos logs, incluindo o antivírus e a firewall

Comece com confiança. Sem dúvidas técnicas.

Formação recomendada?

A Behaviour ajuda equipas a antecipar riscos, responder a incidentes e reforçar a continuidade — antes, durante e depois das férias.

Cursos recomendados:

Preparar é proteger. Mesmo quando todos estão a desligar.

A segurança não tira férias. Mas com o planeamento certo, você pode.

Ver calendário de formações

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

ISO 27001 Lead Implementer: Formação para quem quer liderar a segurança da informação com confiança

Date: Julho 29, 2025 Author: Editor

Num mundo onde os riscos se multiplicam e a informação é um dos ativos mais valiosos das organizações, a norma ISO/IEC 27001 tornou-se a referência internacional para proteger dados, sistemas e processos críticos. Mas implementar esta norma com eficácia, e liderar verdadeiramente a sua adoção, exige mais do que conhecer requisitos. Exige visão, competência e capacidade de execução.

É para isso que existe o curso ISO 27001 Lead Implementer da Behaviour: uma formação imersiva, exigente e orientada a resultados reais.

Muito mais do que cumprir a norma, vai aprender a implementar e a adaptar um modelo holístico para a gestão da segurança da informação capaz de responder, de forma proporcional, às necessidades de uma organização, balanceando a exposição ao risco e a seleção dos controlos a um custo óptimo.

Desde a necessidade de agilidade das estratégias do negócio num mercado global cada vez mais competitivo, dos novos desafios do contexto geopolítico atual, dos novos e exigentes requisitos legais e regulatórios, até ao novo normal das tecnologias emergentes e à incerteza dos novos riscos relacionados. Investir em segurança da informação é investir no próprio negócio, É investir na capacitação das equipas. É saber defender, justificar e demonstrar ao negócio o valor do seu investimento, de cada decisão.

Saber demonstrar ao negócio os benefícios do seu investimento, optimizando o risco e o uso dos recursos, é saber entregar valor através da implementação e operação da norma ISO/IEC 27001. Neste curso da Behaviour não vai apenas aprender a implementar, vai preparar-se para responder ao maior desafio da segurança da informação – aprender a entregar valor ao negócio utilizando a ISO/IEC 27001.

Muito além da teoria

Com a Behaviour, vai muito além da teoria. Vai compreender porque é que cada cláusula existe, como se articula com os riscos reais, e de que forma pode (ou deve) ser aplicada à realidade específica de cada organização.

Vai desenvolver a capacidade de:

Identificar e interpretar os requisitos da ISO/IEC 27001:2022 com clareza;
Conduzir avaliações de risco e definir os controlos apropriados;
Planear, implementar e gerir um Sistema de Gestão de Segurança da Informação (SGSI);
Preparar a organização para responder a auditorias internas e externas;
Integrar boas práticas complementares de normas como, por exemplo, as ISO/IEC 27002 e ISO/IEC 27005.

Tudo isto num ambiente de aprendizagem orientado por formadores com experiência prática — e com foco na transferência real de conhecimento, e prática adquirida, para a liderança em projetos de implementação.

O que pode esperar desta formação

Análise prática da norma ISO/IEC 27001:2022, alinhada com as versões mais recentes;
Exercícios aplicados, exemplos de documentos e análise de casos reais de implementação;
Preparação para responder a auditorias e avançar para a certificação ISO/IEC 27001;
Uma metodologia passo-a-passo, com ferramentas, modelos e apoio técnico ao longo da formação;
Um ambiente onde a aprendizagem é acompanhada, prática e desafiante e orientada à aplicação prática.

Com a Behaviour, vai:

Compreender os fundamentos da norma e a sua aplicação de forma estruturada e prática;
Compreender e reconhecer os desafios técnicos, operacionais e culturais da implementação;
Desenvolver a capacidade de planear e executar projetos de SGSI com autonomia;
Trabalhar com conteúdos exigentes, atualizados e preparados para facilitar a sua aprendizagem e a aplicação concreta;
Integrar uma experiência formativa que valoriza o seu percurso e reforça a sua autoridade profissional.

Para quem é esta formação?

Profissionais de segurança da informação, compliance, risco e IT que pretendem liderar projetos de implementação da ISO/IEC 27001;
Gestores e consultores que querem aplicar a norma com confiança em ambientes reais;
Técnicos que procuram desenvolver uma visão completa de todos os requisitos e controlos da norma;
Quem pretende obter uma certificação profissional sólida, com base numa formação exigente e respeitada.

Liderar a implementação da ISO/IEC 27001 é uma responsabilidade séria — e uma vantagem competitiva clara.
Se quer preparar-se com rigor, apoio e uma metodologia que o leva mais longe, esta é a formação certa para si.

Desenvolva estas competências com a nossa formação:

Na Behaviour, criamos cursos que não formam apenas técnicos. Formam profissionais — com visão, ética, pensamento crítico e liderança. Esta formação é ministrada em Português ou Inglês

ISO 27001 Lead Implementer

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

CISSP: Formação para Profissionais que Levam a Segurança a Sério

Date: Julho 23, 2025 Author: Editor

Num cenário em constante mutação, onde os cenários de risco são cada vez mais sofisticados, a segurança da informação deixou de ser uma função de suporte para se tornar uma área estratégica. As organizações exigem profissionais de excelência, com as competências para antecipar ameaças, proteger ativos críticos e liderar com confiança. É aqui que entra o curso CISSP da Behaviour — uma formação de referência, completa e orientada para quem não quer apenas passar no exame, mas aprender e transformar a forma como trabalha a segurança da informação.

Mais do que estudar: compreender, aplicar, liderar

O curso CISSP da Behaviour foi desenhado para preparar profissionais exigentes para os desafios mais complexos da cibersegurança. Com a Behaviour, vai muito além da memorização mecânica. Vai construir uma compreensão sólida dos conceitos críticos de cada domínio, percebendo porque é que cada princípio é importante, como se aplica, e porque tem de ser daquela forma — e não de outra. É uma aprendizagem consciente, orientada à clareza, à lógica e à aplicação prática, e não apenas focada na necessidade de sucesso no exame. Aqui, cada domínio é abordado com profundidade e sentido prático. Vai entender os conceitos críticos, saber aplicá-los a contextos reais e desenvolver a visão necessária para liderar projetos de segurança com autoridade.

O que torna esta formação única

Aprofundamento rigoroso nos 8 domínios do conhecimento exigidos para a certificação internacional;
Explicações claras e contextualizadas, com enfoque nas funções de gestão, auditoria, arquitetura e operação de segurança;
Estratégias de preparação para o exame, com foco no que importa, sem atalhos;
Discussão de exercícios, casos práticos e armadilhas frequentes, para consolidar o raciocínio e evitar os erros comuns;
Apoio de formador reconhecido, com experiência nacional e internacional, e uma abordagem pedagógica próxima e eficaz.

Com a Behaviour, vai mais longe

Esta não é uma formação para cumprir calendário. É uma experiência de aprendizagem completa — rigorosa, envolvente e orientada a resultados concretos.

Vai dominar os fundamentos técnicos e de gestão que sustentam as grandes decisões em cibersegurança;
Vai trabalhar com conteúdos organizados, atualizados e adaptados para facilitar a compreensão e o sucesso no exame;
Vai participar num ambiente imersivo e estimulante, onde a aprendizagem é acompanhada, orientada e onde as questões são abordadas com clareza;
Vai receber apoio contínuo, com materiais complementares, estratégias de estudo e um acompanhamento real — mesmo depois da formação.

Para quem é esta formação?

Profissionais que atuam (ou que pretendem atuar) como CISOs, gestores de segurança da informação, consultores, auditores, arquitetos ou analistas de risco;
Quem pretende consolidar uma carreira internacional com uma das certificações mais valorizadas do setor;
Quem procura formação séria, com profundidade, exigência e impacto real na carreira.

Na Behaviour, preparamos profissionais para fazerem a diferença.
Se está pronto para elevar a segurança da informação a um novo patamar, esta é a formação certa.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Os Maiores Desafios que os Gestores de Segurança da Informação e CISOs Enfrentam no Mundo Atual

Date: Novembro 29, 2024 Author: Editor

Os Gestores de Segurança da Informação e os CISOs enfrentam inúmeros desafios num cenário digital que se encontra em rápida e constante evolução.

À medida que as ciberameaças se tornam mais sofisticadas e o ambiente regulatório mais complexo, os líderes de segurança da informação veem-se perante o desafio de se terem de adaptar, atualizar e, saber como gerir a segurança da informação. Desta forma, surge a necessidade de reforçar as medidas de segurança para proteger os ativos críticos das suas organizações, mantendo a resiliência operacional, num cenário cada vez mais exigente.

Ameaças em Evolução
Um dos desafios mais proeminentes para os líderes de segurança é o facto de o cenário de ciberameaças se encontrar em constante evolução. Os cibercriminosos utilizam táticas, técnicas e procedimentos (TTP) cada vez mais elaboradas, aproveitando tecnologias mais poderosas, tal como a inteligência artificial, para realizar ataques mais sofisticados.
O aumento do ransomware, das ameaças persistentes avançadas (APTs) e dos ataques à cadeia de abastecimento alargou significativamente a superfície de ataque que as equipas de segurança devem e têm que defender.

Restrições de Recursos
Apesar das crescentes ameaças, muitos CISOs gerem a estratégia de segurança das suas organizações com recursos limitados, tornando-se assim difícil implementar medidas de segurança necessárias ao contexto atual em constante evolução. Esta limitação, muitas vezes financeira, agrava-se com a escassez de profissionais de cibersegurança qualificados.

Conformidade Regulatória
A obrigação de estar em conformidade com a legislação cada vez mais complexa, como a publicação de novas leis, regulamentos e diretivas, aumenta o desafio dos CISOs, os quais se deparam, atualmente, com uma avalanche de obrigações, incluindo a nova Diretiva NIS 2 e a Lei de Resiliência Operacional Digital (DORA) da União Europeia. Assim, garantir a conformidade, enquanto se mantém a eficiência operacional, é um ato de equilíbrio delicado que consome tempo e recursos significativos.

Segurança na Nuvem e Transformação Digital
As organizações continuam a adotar serviços na nuvem e a passar por transformações digitais, conduzindo a novos desafios para garantir a proteção de dados e de outros ativos em ambientes diversos.
Gerir a segurança em infraestruturas multinuvem e híbridas requer novas competências e ferramentas de ponta, sobrecarregando, muitas vezes, os recursos disponíveis que já são escassos.

Risco de Terceiros e da Cadeia de Abastecimento
A crescente dependência de terceiros, incluindo fornecedores e parceiros, e as cadeias de abastecimento cada vez mais complexas vêm aumentar a superfície de ataque, acrescentando vulnerabilidades adicionais.
Os CISOs devem avaliar os riscos de segurança que advêm de terceiros, estabelecendo os requisitos necessários para a subcontratação e, assegurando medidas de segurança adaptados às políticas de segurança definidas pela sua organização. Esta necessidade surge do facto da organização não ter toda a visibilidade, nem deter o controlo sobre as práticas de segurança desta parte terceira. Este desafio aumenta com o uso crescente de software de código aberto, o cenário geopolítico cibernético atual e a complexidade e interdependências da cadeia de abastecimento destas partes, com relevância para os fornecedores e as entidades de infraestruturas críticas.

Tecnologias Emergentes
A rápida adoção de tecnologias emergentes, particularmente a inteligência artificial e a aprendizagem automática, apresenta tanto oportunidades como desafios para os líderes de segurança.
Embora estas tecnologias ofereçam ferramentas poderosas para deteção e resposta a ameaças, também introduzem novos riscos e vulnerabilidades que devem ser geridos.
Os CISOs devem equilibrar os potenciais benefícios destas tecnologias com as implicações de segurança associadas, adotando a implementação de boas práticas que permitam mitigar ameaças de forma rápida e eficiente em vários sistemas complexos.

Comunicação com a Administração e Gestão de Risco
Espera-se cada vez mais que os CISOs comuniquem os conceitos de segurança complexos e as avaliações dos riscos aos membros do conselho de administração e executivos.
Traduzir e simplificar temáticas técnicas em temáticas relevantes para o negócio e, demonstrar o retorno sobre o investimento em segurança (ROSI), continua a ser um desafio significativo. Os CISOs devem desenvolver assim competências de comunicação para serem capazes de transmitir, de forma eficaz e simples, a importância das iniciativas de cibersegurança, para conseguirem os recursos necessários, e demonstrarem os benefícios para o negócio.

Ameaças Internas e Cultura de Segurança
Construir uma cultura de segurança robusta nas organizações apresenta-se como um desafio diário para os CISOs.
O erro humano continua a ser uma das principais causas de incidentes de segurança, tornando crucial incluir no plano de formação anual, a frequência em programas de formação que capacitem os colaboradores com as competências necessárias para a utilização de práticas seguras na organização. A capacitação dos colaboradores permite mitigar os riscos, reduzir incidentes, melhorar a experiência na utilização dos recursos e aumentar a produtividade.

Resiliência Operacional
Face ao aumento das ameaças cibernéticas e potenciais interrupções na operação do negócio, os CISOs têm a responsabilidade de assegurar a melhoria da resiliência operacional das suas organizações. Isso envolve desenvolver planos adequados para responder a incidentes, implementar sistemas robustos de backup, e assegurar medidas e planos de continuidade do negócio, de recuperação de sistemas de informação e, de gestão de crises, em caso de ciberataques.

Adaptação ao Trabalho Remoto
A mudança para modelos de trabalho remoto e híbrido expandiu a superfície de ataque e introduziu novos desafios de segurança.
Os CISOs devem adaptar as suas estratégias de segurança para proteger uma força de trabalho distribuída, garantir a segurança das redes domésticas e gerir os riscos associados a dispositivos pessoais que acedem a recursos corporativos.

Em conclusão, os Gestores de Segurança da Informação e os CISOs, como líderes de segurança, enfrentam um conjunto complexo e dinâmico de desafios no panorama digital atual.
O sucesso nestas funções requer, uma combinação de conhecimentos técnicos, pensamento estratégico e fortes competências de liderança, mantendo-se informados e sempre atualizados sobre ameaças emergentes, fomentando uma cultura consciente da segurança e, aproveitando tecnologias inovadoras. Desta forma, torna-se mais fácil para os líderes de segurança responder a estes desafios e construir organizações resilientes, capazes de resistir às ameaças cibernéticas em evolução.

A Behaviour apresenta um catálogo de formação e certificação dedicada à área das Melhores Práticas, Metodologias e Sistemas de Gestão. Explore o Catálogo de Formação e os cursos na Área de Segurança da Informação.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

10 Áreas Essenciais para Profissionais de Segurança da Informação

Author: Editor

10 Áreas Essenciais que TODOS os Profissionais de Segurança da Informação devem Desenvolver para serem Melhores Gestores

Os profissionais de Segurança da Informação que aspiram ser gestores eficazes devem possuir um conjunto diversificado de competências e conhecimentos.
Se este é o seu caso, saiba quais são as 10 áreas essenciais que o podem auxiliar a destacar-se nas funções de gestão:

1. Visão Estratégica
Os gestores de segurança da informação devem desenvolver uma forte visão estratégica para a postura de segurança da sua organização. Isso envolve compreender os objetivos gerais de negócio da empresa e, alinhar as iniciativas de segurança com esses objetivos. Um gestor de segurança da informação bem-sucedido sabe antecipar novas e emergentes ameaças e conceber estratégias proativas para as combater.

2. Gestão de Risco
Dominar a gestão do risco é crucial para os gestores de segurança da informação na medida, em que precisam de identificar e analisar riscos, determinar se o nível de risco se encontra dentro do critério de aceitação da organização e, apoiar o planeamento e implementação de controlos. Esta competência permite compreender e responder melhor às necessidades de segurança da organização, em alinhamento com os objetivos do negócio, transformando potenciais cenários de risco em oportunidades para o negócio.

3. Competências de Comunicação
A comunicação eficaz é fundamental para os gestores de segurança da informação, que devem ser capazes de comunicar, de forma simplificada, conceitos técnicos às partes interessadas não técnicas, incluindo executivos e membros do conselho de administração. Ao construir relações fortes entre departamentos, asseguram que a segurança da informação é integrada nos processos da organização.

4. Conhecimento Técnico
Embora os gestores de segurança da informação não precisem de ser especialistas em todos os aspetos técnicos, devem possuir uma sólida compreensão das tecnologias fundamentais de TIC e conceitos emergentes. Este conhecimento permite-lhes tomar decisões informadas, liderar equipas de forma eficaz e, avaliar medidas de segurança de forma fiável.

5. Adaptabilidade
O panorama da cibersegurança encontra-se em constante evolução, exigindo que os gestores de segurança da informação possuam a capacidade e flexibilidade para se adaptarem à mudança. Devem, por isso, manter-se atualizados com as mais recentes ameaças, melhores práticas e tecnologias de ponta, ajustando as suas estratégias às necessidades atuais do negócio.

6. Liderança e Construção de Equipas
Os gestores de segurança da informação devem ser capazes de motivar as suas equipas, o que envolve definir as expectativas, fornecer apoio e orientação e, fomentar uma cultura de consciencialização de segurança da Informação na organização. Líderes eficazes também se devem concentrar no desenvolvimento de talentos, identificando o potencial nos membros da equipa, alinhando o capital humano com os objetivos estratégicos da organização, o que se traduz numa maior competitividade, inovação e sucesso sustentável para a organização a longo prazo.

7. Conhecimento em Conformidade
Ter conhecimento atualizado sobre a temática da conformidade é essencial para os gestores de segurança da informação, o quais devem estar familiarizados com legislação, diretivas, normas e frameworks relevantes, como, por exemplo, NIS 2, DORA, RGPD, PCI, ISO/IEC 27001 e ISO/IEC 27701. Este conhecimento permite assegurar a implementação das medidas necessárias e garantir que a organização cumpre com todas as obrigações legais e regulamentares aplicáveis.

8. Resposta a Incidentes e Gestão de Crises
Os gestores de segurança da informação devem estar preparados para gerir de forma eficaz, incidentes e crises de segurança da informação. Isto, envolve desenvolver e implementar planos de resposta a incidentes, coordenar esforços com várias partes interessadas e definir critérios para a ativar as respostas necessários em cenários de crise.

9. Aprendizagem Contínua
A área da segurança da informação encontra-se em constante evolução. Esta evolução impõe a necessidade de os gestores de segurança da informação assumirem uma postura de aprendizagem contínua, ao longo da vida, devendo manter-se atualizados com os novos conhecimentos, participar em formações, webinars, conferências relevantes sobre a área e incentivar as suas equipas a fazer o mesmo.

10. Conduta Ética
Por fim, os gestores de segurança da informação devem aderir a códigos de conduta e adotar comportamentos éticos no desempenho das suas funções. Isto inclui, entre outros, proteger a privacidade e confidencialidade de dados sensíveis, reportar violações de segurança, quando necessário e, manter a integridade em todas as relações profissionais.

Ao dominar estas 10 áreas, na qualidade de profissional de segurança da informação, pode melhorar significativamente a sua eficácia de gestão e conduzir a sua organização para um futuro mais resiliente e seguro.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.