Articles tagged with: Destaques

Frameworks vs Regulamentos: o que realmente precisa de implementar?

Date: Outubro 15, 2025 Author: Editor
Frameworks_Regulamentos_realmente_precisa_implementar

Frameworks & Regulamentos • Artigo

Frameworks vs Regulamentos: o que implementar e porquê

⏱️ Leitura estimada: 8 minutos

Num mundo saturado de normas e regras, a vantagem está em saber integrar o que é exigido com o que cria maturidade real.

Num mundo saturado de normas, standards, diretivas e regulamentos, muitas organizações enfrentam a mesma dúvida:

Afinal, devemos implementar o quê? A ISO/IEC 27001? O NIST? A NIS 2? O DORA? Tudo?

A resposta certa não é “um ou outro”.
É: o que faz sentido e é exigido para a sua realidade, os seus riscos e as suas obrigações legais.

 

Neste artigo, vamos clarificar as diferenças entre frameworks e regulamentos, e ajudar a perceber o que deve mesmo implementar e porquê.

 

Frameworks: linhas orientadoras, não imposições

Frameworks são conjuntos de boas práticas, estruturas lógicas e recomendações que orientam a implementação de sistemas de gestão, segurança ou governação.

São voluntárias, mas altamente valorizadas por serem práticas comprovadas e testadas pelo mercado, especialmente em auditorias, concursos públicos, relações com clientes e gestão de risco reputacional.

  • Exemplos de frameworks:
    • ISO/IEC 27001 – Gestão da segurança da informação
    • ISO 22301 – Continuidade de negócio
    • NIST CSF – Framework de cibersegurança (EUA)
    • COBIT 2019 – Governação e gestão de IT
    • CSA CCM – Controlo de segurança em cloud
    • CSA AICM – Controlo de tecnologias de IA
  • Porque implementar?
    • Demonstram maturidade organizacional
    • Permitem alinhamento com normas internacionais
    • São reconhecidas globalmente
    • Ajudam a preparar para regulamentos futuros
    • Suportam certificações que aumentam credibilidade

 

Regulamentos e diretivas: obrigações legais

Os regulamentos e diretivas são instrumentos jurídicos da União Europeia. Têm força legal e devem ser cumpridos por todas as entidades abrangidas.

A não conformidade pode resultar em sanções, coimas, perda de contratos ou processos judiciais.

  • Exemplos:
    • NIS 2 (2022/2555) – Segurança de redes e sistemas em setores essenciais
    • DORA (2022/2554) – Resiliência operacional no setor financeiro
    • Cyber Resilience Act (2024/2847) – Segurança de produtos digitais no mercado europeu
    • RGPD (2016/679) – Proteção de dados pessoais
    • AI Act (2024/1689) – Regulação de sistemas de inteligência artificial
  • Porque cumprir?
    • Obrigação legal direta
    • Fiscalização por entidades reguladoras nacionais
    • Penalizações significativas em caso de incumprimento
    • Reputação em risco em caso de incidente não reportado ou não gerido

 

O erro comum: aplicar só frameworks… quando já tem obrigações legais

Muitas organizações implementam a ISO/IEC 27001 ou o NIST CSF e assumem que isso é suficiente para cumprir regulamentos como a NIS 2 ou o DORA. Mas, não é suficiente, é preciso ir mais longe.

As frameworks ajudam, mas não substituem as obrigações específicas.

Exemplo:

  • A ISO/IEC 27001 ajuda a estruturar e a gerir a segurança da informação definindo requisitos genéricos.
  • Mas a NIS 2 exige o cumprimento de requisitos específicos, por exemplo, reporting em 24h, responsabilização e compromissos específicos da gestão de topo, mapeamento da cadeia de fornecimento, entre outros pontos que vão além da ISO.

 

O que implementar, então?

Se está num setor importante, essencial ou crítico:

  • Implemente os regulamentos aplicáveis (NIS 2, DORA, CRE, CRA…)
  • Complemente com frameworks como a ISO/IEC 27001, ISO 22301, NIST CSF para garantir robustez e maturidade

Se ainda não tem obrigações legais diretas:

  • Comece por frameworks reconhecidas (ex: ISO/IEC 27001, NIST CSF)
  • Antecipe regulamentação futura
  • Reduza riscos e aumente a confiança do mercado

 

Dica prática: mapa cruzado

Muitas formações da Behaviour incluem mapas de correspondência entre regulamentos e frameworks. Por exemplo:

  • Com a ISO/IEC 27001 suporta a conformidade com a NIS 2
  • Com a ISO 22301 suporta os requisitos do DORA
  • Com os NIST CSF e SSDF reforça a preparação para o CRA

Isto permite maximizar esforços e evitar trabalho duplicado.

 

Frameworks guiam. Regulamentos obrigam. A chave está em saber quando usar cada um e como integrá-los.

Quem aposta só no mínimo legal, cumpre. Quem combina frameworks + regulamentos, lidera.

Na Behaviour, formamos profissionais e equipas para atuarem com confiança, clareza e visão, seja para obter certificação, garantir conformidade ou criar vantagem competitiva.

Autor: Behaviour
Publicado em: 15 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.

 

 

Continuidade do Negócio: o risco deixou de ser uma hipótese, tornou-se o novo normal

Date: Outubro 13, 2025 Author: Editor
Continuidade_Negocio_Risco_deixou_hipotese_tornou

Continuidade & Resiliência • Artigo

Resiliência é disciplina diária, não um dossier na gaveta

⏱️ Leitura estimada: 8 minutos

Incidentes tecnológicos e falhas de terceiros continuam a provar que a continuidade se constrói na prática, todos os dias.

Incidentes tecnológicos e falhas de terceiros mostram que resiliência é disciplina diária, não um dossiê guardado na gaveta.

Casos recentes que provaram este facto são:

  • Outage global do CrowdStrike (jul/2024): atualização defeituosa provocou BSOD (Blue Screen of Death) em milhões de sistemas Windows e parou operações em múltiplos setores – um “mega-incidente” sem intrusão maliciosa Reuters
  • Apagão ibérico (28/abr/2025): falha elétrica massiva imobilizou Portugal e Espanha durante horas (transportes, semáforos, redes móveis), com reposição gradual do serviço. Relatórios nacionais indicam como origem técnica a rede ibérica (não existindo indícios de ciberataque) RTP
  • Google Cloud (12/jun/2025): interrupção com impacto em plataformas populares (ex.: Spotify, Fitbit), expondo dependência de hyperscalers. Google Cloud Status
  • Microsoft 365/Outlook (jul/2025): perturbação prolongada (~19h) com paralisação de e-mail/calendários – erros de configuração, não existindo indícios de ciberataque. Computerworld
  • Ataques via fornecedores: aumento significativo de incidentes na e através da supply chain em 2024/25. Financial Times
  • Custos de indisponibilidade: estudos de 2025 demonstram perdas por hora significativas e uma tendência de subestimação pelas empresas. IT Pro

O que é continuidade “moderna”?

  1. Do cenário técnico ao impacto no cliente: comece pelo BIA (serviços críticos, RTO/RPO), não por uma simples lista de servidores.
  2. Cenários obrigatórios de teste (5)
    • Falha de update (tipo CrowdStrike) –  indisponibilidade massiva sem violação de segurança. Reuters
    • Falha de hyperscaler (GCP/Azure/M365) – perda temporária de serviços partilhados. Google Cloud Status
    • Terceiro crítico indisponível – SaaS/outsourcer falha além do seu RTO. Financial Times
    • Ransomware/compromisso de dados – decisão entre recuperação e reconstrução.
    • Falha de infraestrutura (energia/telecom)blackout regional com operação em modo degradado (UPS/geradores, comunicações alternativas) e plano de comunicação pública RTP
  3. Arquitetura resiliente para suportar falhas com segurança: segmentação, break-glass accounts, backups imutáveis, multirregião e planos de degradação funcional (serviços mínimos viáveis).
  4. Governança e reporte: para as entidades financeiras, o DORA exige testes de resiliência, gestão de terceiros e demonstração de evidências para os supervisores; os setores NIS 2 devem alertar em 24h, notificar em 72h e emitir relatório final em 1 mês. Digital Strategy

7 métricas que importam (e que o Board percebe)

  • RTO / RPO por serviço crítico (alvo vs. conseguido em teste)
  • MTTR por tipo de incidente (média e p95)
  • Cobertura de backups restaurados (últimos 90 dias)
  • Cobertura EDR/SIEM em endpoints e servidores
  • % de runbooks testados com sucesso (e com owners)
  • Dependências de terceiros mapeadas por serviço
  • Tempo para comunicação a clientes/reguladores

Programa em 100 dias

  • 0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
  • 31–60 dias: exercícios executivos (table-top NIS 2 – 24h/72h/1 mês), teste de restore, plano de comunicação.
  • 61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after-action review com melhorias. Google Cloud Status

 

Autor: Behaviour
Publicado em: 13 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.