Este ano, a campanha europeia coloca o foco no phishing.

Abaixo, apresenta-se um plano pronto-a-usar para envolver colaboradores, medir impacto e deixar resultados que ficam para lá de outubro.

Porquê falar disto agora?

• Campanha oficial da UE. Todos os anos, em outubro, decorre o Mês Europeu da Cibersegurança (ECSM), coordenado pela ENISA e pela Comissão Europeia, com ações de sensibilização em toda a UE. ECSM
• Foco 2025: phishing. A edição de 2025 arranca com ênfase explícita em combater o phishing, disponibilizando orientações práticas e materiais para cidadãos e organizações. Digital Strategy EU
• Ameaças em alta. O ENISA Threat Landscape 2025 analisou 4.875 incidentes (jul/2024–jun/2025) e descreve um cenário de campanhas contínuas e convergentes que corroem a resiliência. ENISA
• O vetor n.º 1 continua a ser humano. O phishing permanece o principal método de intrusão identificado na UE, com campanhas cada vez mais convincentes, muitas com apoio de IA. Infosecurity Magazine
• Em Portugal, o CNCS centraliza recursos, notícias e iniciativas de sensibilização úteis para organizações e cidadãos. cncs.gov.pt

O objetivo para as organizações

Passar de “campanhas” a “capacidades”: usar outubro para criar hábitos (e evidências) que reduzem risco ao longo do ano. Pense em mensagem + prática + métrica:

• Mensagem certa (curta, clara, repetida)
• Prática guiada (simulações, exercícios, checklists)
• Métricas objetivas (prova de eficácia e melhoria contínua)

Programa de 31 dias: 4 semanas, 4 temas, métricas simples

Semana 1 — Phishing e Engenharia Social (foco oficial 2025)

O que fazer?
– Micro-aula de 10 minutos: como identificar phishing (remetente, URL, tom de urgência, anexos).
– Lançar simulação de phishing (dois níveis de dificuldade).
– Instalar um “botão de reporte” no e-mail (se ainda não existir).
– Cartaz digital “Pára, Verifica, Encaminha”: Pára → respira; Verifica → verifica remetente e URL; Encaminha → reporta.

Métricas: Taxa de abertura e taxa de reporte da simulação; tempo médio até ao primeiro reporte; taxa de cliques por nível.

Recursos oficiais úteis
Materiais e conteúdos ECSM/ENISA; este ano, o enfoque explícito no phishing facilita mensagens e exercícios. Digital Strategy EU

Semana 2 — Palavras-passe, MFA e Identidades

O que fazer?
– “Clínica” de gestores de passwords (como criar/guardar senhas fortes).
– Campanha de MFA: ativação obrigatória para e-mail, VPN e apps críticas.
– Revisão de acessos privilegiados (JIT/JEA) e revogação de contas inativas.

Métricas: % de contas com MFA ativo; nº de acessos privilegiados reduzidos; tempo de revogação após saída interna.

Semana 3 — Dispositivos, Dados e Cloud (higiene e privacidade)

O que fazer?
– Hardening rápido: atualizações automáticas, EDR ativo, encriptação de disco.
– Backups e restauros: fazer (e validar) pelo menos um teste de restore até ao RPO/RTO aprovados.
– Mapeamento de dados: onde residem dados sensíveis (inclui SaaS), quem tem acesso e porquê.

Métricas: Cobertura EDR, sucesso de restore, % de dados críticos com encriptação e dono nomeado.

Semana 4 — Terceiros, Continuidade e Reporte de Incidentes

O que fazer?
– Table-top de cibercrise de 90 minutos: cenário de phishing bem-sucedido + perda de SaaS crítico.
– Rever contratos de fornecedores críticos: RTO/RPO, aviso de incidentes, direito a auditar e exit plan.
– Playbooks de reporte (incluindo requisitos de reporte regulatório aplicáveis): quem reporta a quem, em que prazos, com que templates.

Métricas: Tempo até decisão executiva; cumprimento de RTO/RPO em teste; % de terceiros críticos com evidências atualizadas.

Conteúdos prontos para enviar (copiar/colar)

Mensagem de arranque (e-mail/Teams/Slack)

Outubro é o Mês da Cibersegurança. Este ano vamos concentrar-nos em detetar e reportar phishing.
Ao longo do mês, vais receber micro-aulas, simulações e dicas simples.
Se suspeitares, reporta — mesmo que seja falso alarme.
A segurança começa contigo. Digital Strategy EU

Aviso rápido para simulações

Esta semana vais receber e-mails de simulação. O objetivo é aprender.
Se algo parecer estranho: pára, olha, passa (reporta).

Cartaz digital para elevadores e backgrounds

“3 segundos antes de clicar” — Remetente • URL • Pedido
“Fala connosco” — Botão de reporte no Outlook/Gmail; canal #segurança

O que medir (e como mostrar ao Board)

• Phishing: taxa de reporte ↑, cliques ↓ (ajustado à dificuldade), tempo até 1.º reporte.
• Identidades: % MFA ativo; tempo de revogação; nº de privilégios reduzidos.
• Resiliência: sucesso de restore; RTO/RPO atingidos no table-top.
• Terceiros: % de fornecedores críticos com evidência válida (relatórios/auditorias).

Bónus: transforme métricas em gráficos simples e compare base (setembro) vs. outubro (final do mês).

Erros comuns (e o antídoto)

• Campanhas punitivas que envergonham quem erra → educar, não punir: reforçar o bom reporte, mesmo quando é falso alarme.
• Mensagens longas e técnicas → micro-conteúdos em português claro, com exemplos reais.
• Falta de prova → guardar evidências: atas, relatórios de simulação, capturas de dashboards, listas de MFA.

Eventos e recursos que podes aproveitar já

• Portal oficial do ECSM com explicação, materiais e atividades. ECSM
• ECSM 2025: foco no phishing — comunicações e guias de boas práticas. Digital Strategy EU
• Press release ETL 2025 (dados e tendências para enriquecer apresentações internas). ENISA
• ENISA Threat Landscape 2025 (relatório) — base para briefings a executivos e para justificar investimentos. ENISA
• Agenda europeia: exemplo — European Cybersecurity Challenge 2025 (6–10 out., Varsóvia), útil para conteúdos e awareness em equipas técnicas. ENISA

Perguntas frequentes (para a equipa de Helpdesk/Segurança)

• “Recebi um e-mail suspeito. Apago?” → Primeiro reporta pelo botão; o SOC/IT analisa.
• “Cliquei sem querer. E agora?” → Reporta imediatamente; muda password; corre EDR; fecha sessão em todos os dispositivos.
• “Como sei se um link é seguro?” → Passa o rato por cima do link; verifica domínio e HTTPS; se tiver encurtador (ex.: , não cliques — reporta.
• “Posso usar uma pen USB?” → Apenas dispositivos autorizados. Se for externo, verifica com o IT.

Autor: Behaviour
Publicado em: 6 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo, exceto as sugestões delimitadas nos Conteúdos prontos para enviar (copiar/colar).