Encontro-me a preparar para realizar o exame CISSP… qual a melhor abordagem?

A segurança deixou de ser apenas uma disciplina técnica. Hoje, é um sinal direto de maturidade organizacional, de capacidade de proteger o negócio e de responder com eficácia quando algo corre mal. Clientes, parceiros, auditores, reguladores e investidores avaliam a confiança numa organização pela forma como esta controla o risco, protege os seus dados e demonstra evidência real das suas práticas.

As exigências legais e regulatórias — DORA, NIS 2, RGPD, AI Act, CER — reforçam esta necessidade. E, simultaneamente, o panorama de ameaças continua a evoluir com velocidade. O caminho exige decisões com impacto, métricas simples e uma visão clara do que realmente distingue as equipas de segurança que entregam valor.

A Behaviour sintetiza essas práticas em oito frentes essenciais, alinhadas com os oito domínios do CISSP e com as melhores práticas internacionais.

1. Segurança e Gestão de Riscos

O coração da maturidade operacional.

Organizações maduras tratam o risco como sistema:

• definem apetite e tolerância;
• mantêm um registo único com responsáveis, prazos e planos claros;
• integram riscos com continuidade do negócio (BIA, RTO/RPO) e com terceiros.

O que distingue um líder: decisões rastreáveis, ligadas a perdas evitadas e a métricas que mostram evolução.

2. Segurança de Activos

Sem inventário, não há segurança.

A base está num inventário vivo — atualizado, abrangente e automatizado — que inclui ativos, dados, contas de serviço, secrets e tudo o que está em SaaS.

As organizações mais resilientes:

• classificam e protegem dados por defeito,
• identificam donos,
• e canalizam o shadow IT para processos seguros.

3. Arquitectura e Engenharia de Segurança

Zero Trust como decisão de arquitetura — não como slogan.

Zero Trust significa:

• identidade no centro,
• micro-segmentação,
• políticas como código,
• e resiliência por desenho (multi-zona, break-glass, operação em modo degradado).

É aqui que a engenharia faz a diferença entre “estamos protegidos” e “sabemos proteger”.

4. Segurança de Comunicações e Redes

Da perímetro-centrada à identidade-centrada.

Os modelos modernos assentam em:

• acesso condicional,
• verificação contínua,
• segmentação por aplicação/dado,
• inspeção inteligente,
• criptografia por defeito e governação de chaves.

Mapear fluxos críticos é hoje uma capacidade essencial — e auditável.

5. Gestão de Identidades e Acessos (IAM)

A segurança começa e acaba na identidade.

As equipas de referência:

• implementam MFA universal e passkeys,
• automatizam Joiner–Mover–Leaver,
• reduzem privilégios ao estritamente necessário,
• mantêm contas break-glass controladas com dupla custódia.

IAM é hoje a fundação de qualquer estratégia Zero Trust.

6. Avaliação de Segurança e Testes

Resiliência comprova-se, não declara-se.

Práticas chave:

• gestão de vulnerabilidades orientada ao risco,
• testes de resiliência alinhados com NIS 2,
• pentest e red team com foco no impacto no negócio.

O que distingue as equipas maduras: restores cronometrados, relatórios que originam melhorias reais e métricas que mostram evolução.

7. Operações de Segurança

Da deteção à comunicação, com disciplina e evidência.

As operações de segurança ganham maturidade com:

• runbooks executáveis,
• defesa orientada por ameaças reais,
• preparação para reporte regulatório,
• registo integral das decisões.

Velocidade, rigor e evidência são os pilares que sustentam a confiança.

8. Segurança no Desenvolvimento de Software

Secure-by-design não é opcional.

As equipas modernas adotam o NIST SSDF e integram segurança desde o primeiro commit:

• SBOM,
• gestão de dependências,
• assurance gates,
• secrets fora do código,
• builds assinados e reprodutíveis.

A regra é simples: segurança antes de produção, sempre.

Um Roteiro Realista para 60 Dias

As organizações podem começar já, com impacto visível:

Semanas 1–2
Inventário vivo + top-5 riscos por serviço + ativação de MFA universal.

Semanas 3–4
Exercício table-top com prazos NIS 2 + revisão de acessos privilegiados.

Semanas 5–8
Teste técnico de falha crítica + dashboard de RTO/RPO e MTTR.

Simples, concreto e orientado a evidência.

Para quem lidera equipas de segurança

Esta abordagem transforma conversas com o Board em resultados visíveis:

• tempos de recuperação atingidos,
• menos cliques em phishing com passkeys,
• auditorias mais rápidas,
• menos falhas antes de produção.

É aqui que as equipas deixam de “fazer segurança” para entregar segurança.

Quer consolidar tudo num percurso estruturado?

Estas oito frentes refletem exatamente os oito domínios oficiais do CISSP, a certificação de referência mundial para quem lidera segurança, risco, operações e desenvolvimento seguro.

A Behaviour disponibiliza um percurso completo — orientado a resultados, atualizado para o contexto europeu, e focado na aplicação prática.

Cursos Behaviour recomendados

• CISSP Curso de Preparação

Outros cursos relacionados

• CISM Curso Preparação
• CRISC Curso Preparação
• ISO 31000 Lead Manager + ISO 27005 Manager
• ISO 27001 Lead Implementer
• ISO 27001 Lead Auditor
• ISO 27701 Lead Implementer
• ISO 22301 Lead Implementer
• Certified Cloud Computing Auditor
• CCSP Cloud Security Curso Preparação
• CEH  Ethical Hacker

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Quando se pensa em cibersegurança, muitos imaginam firewalls, criptografia, ferramentas de deteção de intrusão ou testes de penetração. Tudo isto é importante — mas não é suficiente.

A verdade é que os profissionais que trabalham de forma mais eficaz em cibersegurança, têm algo mais.
E esse “mais” raramente se ensina em cursos técnicos.

Neste artigo, mostramos as 5 competências essenciais não técnicas que fazem toda a diferença — nas equipas, nas auditorias e nos momentos críticos

1. Comunicação clara e adaptada

• Ser capaz de traduzir riscos técnicos em impacto real para o negócio é uma das competências mais valiosas na área.
• Se não se consegue explicar por que razão um controlo é crítico … como se pode esperar que o mesmo seja implementado?
• Um bom profissional de cibersegurança comunica com técnicos, gestores e decisores — cada um na sua linguagem.

2. Gestão de conflitos sob pressão

• Incidentes de segurança trazem stress, acusações e urgência. Saber gerir desacordos, evitar a atribuição de culpas e focar-se em soluções é o que distingue quem lidera de quem só executa.
• Um bom analista reage. Um profissional maduro gere a resposta, mesmo quando o caos parece inevitável.

3. Pensamento crítico e visão sistémica

• Cibersegurança não é seguir checklists. É analisar contexto, questionar suposições, identificar interdependências e antecipar consequências.
• O que hoje parece uma falha menor pode, em cadeia, pode tornar-se o vetor de um ataque massivo.
• Saber fazer ligações — entre riscos, sistemas, pessoas e processos — é uma skill estratégica.

4. Ética profissional inabalável

• O acesso privilegiado a sistemas, dados e decisões exige um sentido ético acima da média. Discrição, responsabilidade e integridade são tão cruciais como qualquer certificação.
• Uma decisão ética protege mais que qualquer antivírus.

5. Capacidade de aprendizagem contínua

• A tecnologia muda. Os ataques evoluem. Os regulamentos atualizam-se. O que hoje é boa prática, amanhã pode ser insuficiente.
• Estar em cibersegurança é assumir que nunca se sabe tudo — e agir em conformidade.
• Profissionais que aprendem de forma constante são os únicos verdadeiramente resilientes.

E como se adquirem estas competências?

• Experiência em ambientes reais
• Formações com simulações, casos e cenários práticos
• Exposição a equipas multidisciplinares
• Reflexão crítica sobre decisões passadas e lições aprendidas
• Mentoria, coaching e partilha de boas práticas

Desenvolva estas competências com as nossas formações

Na Behaviour, criamos cursos que não formam apenas técnicos. Formam profissionais completos — com visão, ética, pensamento crítico e liderança.

• ISO/IEC 27001 Lead Implementer
• CISSP Curso Preparação
• Cybersecurity Professional
• NIST CSF 2.0 Essentials
• NIS 2 Compliance Lead Manager
• DORA Compliance Lead Manager
• Certified Cloud Computing Auditor

A segurança de uma organização não depende apenas da tecnologia que usa. Depende das pessoas que a protegem.

E as pessoas que a protegem com mais eficácia são aquelas que:

• comunicam com clareza,
• pensam com rigor,
• lideram com empatia,
• aprendem com consistência,
• e agem com integridade.

Estas são as competências que tornam um técnico… um verdadeiro profissional de cibersegurança.

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Este ano, a campanha europeia coloca o foco no phishing.

Abaixo, apresenta-se um plano pronto‑a‑usar para envolver colaboradores, medir impacto e deixar resultados que ficam para lá de outubro.

Porquê falar disto agora?

• Campanha oficial da UE. Todos os anos, em outubro, decorre o Mês Europeu da Cibersegurança (ECSM), coordenado pela ENISA e pela Comissão Europeia, com ações de sensibilização em toda a UE. ECSM
• Foco 2025: phishing. A edição de 2025 arranca com ênfase explícita em combater o phishing, disponibilizando orientações práticas e materiais para cidadãos e organizações. Digital Strategy EU
• Ameaças em alta. O ENISA Threat Landscape 2025 analisou 4.875 incidentes (jul/2024–jun/2025) e descreve um cenário de campanhas contínuas e convergentes que corroem a resiliência. ENISA
• O vetor n.º 1 continua a ser humano. O phishing permanece o principal método de intrusão identificado na UE, com campanhas cada vez mais convincentes, muitas com apoio de IA. Infosecurity Magazine
• Em Portugal, o CNCS centraliza recursos, notícias e iniciativas de sensibilização úteis para organizações e cidadãos. cncs.gov.pt

O objetivo para as organizações

Passar de “campanhas” a “capacidades”: usar outubro para criar hábitos (e evidências) que reduzem risco ao longo do ano. Pense em mensagem + prática + métrica:

• Mensagem certa (curta, clara, repetida)
• Prática guiada (simulações, exercícios, checklists)
• Métricas objetivas (prova de eficácia e melhoria contínua)

Programa de 31 dias: 4 semanas, 4 temas, métricas simples

Semana 1 — Phishing e Engenharia Social (foco oficial 2025)

O que fazer?
– Micro‑aula de 10 minutos: como identificar phishing (remetente, URL, tom de urgência, anexos).
– Lançar simulação de phishing (dois níveis de dificuldade).
– Instalar um “botão de reporte” no e‑mail (se ainda não existir).
– Cartaz digital “Pára, Verifica, Encaminha”: Pára → respira; Verifica → verifica remetente e URL; Encaminha → reporta.

Métricas: Taxa de abertura e taxa de reporte da simulação; tempo médio até ao primeiro reporte; taxa de cliques por nível.

Recursos oficiais úteis
Materiais e conteúdos ECSM/ENISA; este ano, o enfoque explícito no phishing facilita mensagens e exercícios. Digital Strategy EU

Semana 2 — Palavras‑passe, MFA e Identidades

O que fazer?
– “Clínica” de gestores de passwords (como criar/guardar senhas fortes).
– Campanha de MFA: ativação obrigatória para e‑mail, VPN e apps críticas.
– Revisão de acessos privilegiados (JIT/JEA) e revogação de contas inativas.

Métricas: % de contas com MFA ativo; nº de acessos privilegiados reduzidos; tempo de revogação após saída interna.

Semana 3 — Dispositivos, Dados e Cloud (higiene e privacidade)

O que fazer?
– Hardening rápido: atualizações automáticas, EDR ativo, encriptação de disco.
– Backups e restauros: fazer (e validar) pelo menos um teste de restore até ao RPO/RTO aprovados.
– Mapeamento de dados: onde residem dados sensíveis (inclui SaaS), quem tem acesso e porquê.

Métricas: Cobertura EDR, sucesso de restore, % de dados críticos com encriptação e dono nomeado.

Semana 4 — Terceiros, Continuidade e Reporte de Incidentes

O que fazer?
– Table‑top de cibercrise de 90 minutos: cenário de phishing bem‑sucedido + perda de SaaS crítico.
– Rever contratos de fornecedores críticos: RTO/RPO, aviso de incidentes, direito a auditar e exit plan.
– Playbooks de reporte (incluindo requisitos de reporte regulatório aplicáveis): quem reporta a quem, em que prazos, com que templates.

Métricas: Tempo até decisão executiva; cumprimento de RTO/RPO em teste; % de terceiros críticos com evidências atualizadas.

Conteúdos prontos para enviar (copiar/colar)

Mensagem de arranque (e‑mail/Teams/Slack)

Outubro é o Mês da Cibersegurança. Este ano vamos concentrar‑nos em detetar e reportar phishing.
Ao longo do mês, vais receber micro‑aulas, simulações e dicas simples.
Se suspeitares, reporta — mesmo que seja falso alarme.
A segurança começa contigo. Digital Strategy EU

Aviso rápido para simulações

Esta semana vais receber e‑mails de simulação. O objetivo é aprender. Se algo parecer estranho: pára, olha, passa (reporta).

Cartaz digital para elevadores e backgrounds

“3 segundos antes de clicar” — Remetente • URL • Pedido

“Fala connosco” — Botão de reporte no Outlook/Gmail; canal #segurança

O que medir (e como mostrar ao Board)

• Phishing: taxa de reporte ↑, cliques ↓ (ajustado à dificuldade), tempo até 1.º reporte.
• Identidades: % MFA ativo; tempo de revogação; nº de privilégios reduzidos.
• Resiliência: sucesso de restore; RTO/RPO atingidos no table‑top.
• Terceiros: % de fornecedores críticos com evidência válida (relatórios/auditorias).

Bónus: transforme métricas em gráficos simples e compare base (setembro) vs. outubro (final do mês).

Erros comuns (e o antídoto)

• Campanhas punitivas que envergonham quem erra → educar, não punir: reforçar o bom reporte, mesmo quando é falso alarme.
• Mensagens longas e técnicas → micro‑conteúdos em português claro, com exemplos reais.
• Falto de prova → guardar evidências: atas, relatórios de simulação, capturas de dashboards, listas de MFA.

Eventos e recursos que podes aproveitar já

• Portal oficial do ECSM com explicação, materiais e atividades. ECSM
• ECSM 2025: foco no phishing — comunicações e guias de boas práticas. Digital Strategy EU
• Press release ETL 2025 (dados e tendências para enriquecer apresentações internas). ENISA
• ENISA Threat Landscape 2025 (relatório) — base para briefings a executivos e para justificar investimentos. ENISA
• Agenda europeia: exemplo — European Cybersecurity Challenge 2025 (6–10 out., Varsóvia), útil para conteúdos e awareness em equipas técnicas. ENISA

Perguntas frequentes (para a equipa de Helpdesk/Segurança)

• “Recebi um e‑mail suspeito. Apago?” → Primeiro reporta pelo botão; o SOC/IT analisa.
• “Cliquei sem querer. E agora?” → Reporta imediatamente; muda password; corre EDR; fecha sessão em todos os dispositivos.
• “Como sei se um link é seguro?” → Passa o rato por cima do link; verifica domínio e HTTPS; se tiver encurtador (ex. º https://abrir.link/UuEcO), não cliques — reporta.
• “Posso usar uma pen USB?” → Apenas dispositivos autorizados. Se for externo, verifica com o IT.

Cursos Behaviour recomendados (para transformar sensibilização em capacidade)

• ISO/IEC 27001 Foundation — base para políticas e responsabilidades de segurança.
• Cybersecurity Professional — competências técnicas e de gestão para reduzir risco operacional.
• NIS 2 Compliance Lead Manager — requisitos, reporte de incidentes e governação.
• ISO 22301 Lead Implementer — continuidade e exercícios de cibercrise (apoio ao table‑top da semana 4).

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo, exceto as sugestões delimitadas nos Conteúdos prontos para enviar (copiar/colar).