Articles tagged with: Destaques

Frameworks vs Regulamentos: o que realmente precisa de implementar?

Date: Outubro 15, 2025 Author: Editor
Frameworks_Regulamentos_realmente_precisa_implementar

Num mundo saturado de normas, standards, diretivas e regulamentos, muitas organizações enfrentam a mesma dúvida:

Afinal, devemos implementar o quê? A ISO/IEC 27001? O NIST? A NIS 2? O DORA? Tudo?

A resposta certa não é “um ou outro”.
É: o que faz sentido e é exigido para a sua realidade, os seus riscos e as suas obrigações legais.

 

Neste artigo, vamos clarificar as diferenças entre frameworks e regulamentos, e ajudar a perceber o que deve mesmo implementar — e porquê.

 

Frameworks: linhas orientadoras, não imposições

Frameworks são conjuntos de boas práticas, estruturas lógicas e recomendações que orientam a implementação de sistemas de gestão, segurança ou governação.

São voluntárias, mas altamente valorizadas por serem práticas comprovadas e testadas pelo mercado, especialmente em auditorias, concursos públicos, relações com clientes e gestão de risco reputacional.

  • Exemplos de frameworks:
    • ISO/IEC 27001 – Gestão da segurança da informação
    • ISO 22301 – Continuidade de negócio
    • NIST CSF – Framework de cibersegurança (EUA)
    • COBIT 2019 – Governação e gestão de IT
    • CSA CCM – Controlo de segurança em cloud
    • CSA AICM – Controlo de tecnologias de IA
  • Porque implementar?
    • Demonstram maturidade organizacional
    • Permitem alinhamento com normas internacionais
    • São reconhecidas globalmente
    • Ajudam a preparar para regulamentos futuros
    • Suportam certificações que aumentam credibilidade

 

Regulamentos e diretivas: obrigações legais

Os regulamentos e diretivas são instrumentos jurídicos da União Europeia. Têm força legal e devem ser cumpridos por todas as entidades abrangidas.

A não conformidade pode resultar em sanções, coimas, perda de contratos ou processos judiciais.

  • Exemplos:
    • NIS 2 (2022/2555) – Segurança de redes e sistemas em setores essenciais
    • DORA (2022/2554) – Resiliência operacional no setor financeiro
    • Cyber Resilience Act (2024/2847) – Segurança de produtos digitais no mercado europeu
    • RGPD (2016/679) – Proteção de dados pessoais
    • AI Act (2024/1689) – Regulação de sistemas de inteligência artificial
  • Porque cumprir?
    • Obrigação legal direta
    • Fiscalização por entidades reguladoras nacionais
    • Penalizações significativas em caso de incumprimento
    • Reputação em risco em caso de incidente não reportado ou não gerido

 

O erro comum: aplicar só frameworks… quando já tem obrigações legais

Muitas organizações implementam a ISO/IEC 27001 ou o NIST CSF e assumem que isso é suficiente para cumprir regulamentos como a NIS 2 ou o DORA. Mas, não é suficiente, é preciso ir mais longe.

As frameworks ajudam, mas não substituem as obrigações específicas.

Exemplo:

  • A ISO/IEC 27001 ajuda a estruturar e a gerir a segurança da informação definindo requisitos genéricos.
  • Mas a NIS 2 exige o cumprimento de requisitos específicos, por exemplo, reporting em 24h, responsabilização e compromissos específicos da gestão de topo, mapeamento da cadeia de fornecimento, entre outros pontos que vão além da ISO.

 

O que implementar, então?

Se está num setor importante, essencial ou crítico:

  • Implemente os regulamentos aplicáveis (NIS 2, DORA, CRE, CRA…)
  • Complemente com frameworks como a ISO/IEC 27001, ISO 22301, NIST CSF para garantir robustez e maturidade

Se ainda não tem obrigações legais diretas:

  • Comece por frameworks reconhecidas (ex: ISO/IEC 27001, NIST CSF)
  • Antecipe regulamentação futura
  • Reduza riscos e aumente a confiança do mercado

 

Dica prática: mapa cruzado

Muitas formações da Behaviour incluem mapas de correspondência entre regulamentos e frameworks. Por exemplo:

  • Com a ISO/IEC 27001 suporta a conformidade com a NIS 2
  • Com a ISO 22301 suporta os requisitos do DORA
  • Com os NIST CSF e SSDF reforça a preparação para o CRA

Isto permite maximizar esforços e evitar trabalho duplicado.

 

Formação recomendada para alinhar frameworks e regulamentos

 

Frameworks guiam.
Regulamentos obrigam.

A chave está em saber quando usar cada um e como integrá-los.

Quem aposta só no mínimo legal, cumpre.
Quem combina frameworks + regulamentos, lidera.

Na Behaviour, formamos profissionais e equipas para atuarem com confiança, clareza e visão, seja para obter certificação, garantir conformidade ou criar vantagem competitiva.

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Continuidade do Negócio: o risco deixou de ser uma hipótese, tornou-se o novo normal

Date: Outubro 13, 2025 Author: Editor
Continuidade_Negocio_Risco_deixou_hipotese_tornou

 

Incidentes tecnológicos e falhas de terceiros mostram que resiliência é disciplina diária, não um dossiê guardado na gaveta.

 

Casos recentes que provaram este facto são:

  • Outage global do CrowdStrike (jul/2024): atualização defeituosa provocou BSOD (Blue Screen of Death) em milhões de sistemas Windows e parou operações em múltiplos setores — um “mega‑incidente” sem intrusão maliciosa Reuters
  • Apagão ibérico (28/abr/2025): falha elétrica massiva imobilizou Portugal e Espanha durante horas (transportes, semáforos, redes móveis), com reposição gradual do serviço. Relatórios nacionais indicam como origem técnica a rede ibérica (não existindo indícios de ciberataque) RTP
  • Google Cloud (12/jun/2025): interrupção com impacto em plataformas populares (ex.: Spotify, Fitbit), expondo dependência de hyperscalers. Google Cloud Status
  • Microsoft 365/Outlook (jul/2025): perturbação prolongada (~19h) com paralisação de e‑mail/calendários — erros de configuração, não existindo indícios de ciberataque. Computerworld
  • Ataques via fornecedores: aumento significativo de incidentes na e através da supply chain em 2024/25. Financial Times
  • Custos de indisponibilidade: estudos de 2025 demonstram perdas por hora significativas e uma tendência de subestimação pelas empresas. IT Pro

 

O que é continuidade “moderna”?

  1. Do cenário técnico ao impacto no cliente: comece pelo BIA (serviços críticos, RTO/RPO), não por uma simples lista de servidores.
  2. Cenários obrigatórios de teste (5)
    • Falha de update (tipo CrowdStrike) — indisponibilidade massiva sem violação de segurança. Reuters
    • Falha de hyperscaler (GCP/Azure/M365) — perda temporária de serviços partilhados. Google Cloud Status
    • Terceiro crítico indisponível — SaaS/outsourcer falha além do seu RTO. Financial Times
    • Ransomware/compromisso de dados — decisão entre recuperação e reconstrução.
    • Falha de infraestrutura (energia/telecom)blackout regional com operação em modo degradado (UPS/geradores, comunicações alternativas) e plano de comunicação pública RTP
  3. Arquitetura resiliente para suportar falhas com segurança: segmentação, break‑glass accounts, backups imutáveis, multirregião e planos de degradação funcional (serviços mínimos viáveis).
  4. Governança e reporte: para as entidades financeiras, o DORA exige testes de resiliência, gestão de terceiros e demonstração de evidências para os supervisores; os setores NIS 2 devem alertar em 24h, notificar em 72h e emitir relatório final em e mês. Digital Strategy

 

7 métricas que importam (e que o Board percebe)

  • RTO / RPO por serviço crítico (alvo vs. conseguido em teste)
  • MTTR por tipo de incidente (média e p95)
  • Cobertura de backups restaurados (últimos 90 dias)
  • Cobertura EDR/SIEM em endpoints e servidores
  • % de runbooks testados com sucesso (e com owners)
  • Dependências de terceiros mapeadas por serviço
  • Tempo para comunicação a clientes/reguladores

 

Programa em 100 dias

  • 0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
  • 31–60 dias: exercícios executivos (table‑top NIS 2 — 24h/72h/1 mês), teste de restore, plano de comunicação.
  • 61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after‑action review com melhorias. Google Cloud Status

 

Cursos Behaviour recomendados

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

 

Gestão de Risco com Método

Date: Agosto 11, 2025 Author: Editor
Gestao_Risco_Metodo

 

Cursos práticos para profissionais que querem fazer da gestão do risco uma vantagem competitiva — dominando-a com método, visão e impacto.

 

Num mundo onde a incerteza é permanente, a gestão de risco já não é opcional — é essencial.
Deixou de ser uma função de bastidores para se tornar uma capacidade central nas organizações: protege ativos, assegura conformidade e apoia decisões com visão.

Na Behaviour, a gestão do risco é ensinado com método, com ferramentas e com aplicação prática real.
Porque um risco não se “analisa por alto”. Avalia-se com técnica, decide-se com base em critérios sólidos e comunica-se com clareza.

 

Dois cursos, dois focos distintos — mas complementares

 

1. ISO/IEC 27005 – Risk Methodologies

Aprenda a gerir riscos de segurança da informação com técnica, método e ligação direta à ISO/IEC 27001.

  • Identificação, análise, avaliação e tratamento de riscos TIC
  • Métodos qualitativos, quantitativos e híbridos
  • Integração com o ciclo de vida do SGSI
  • Casos práticos de análise e documentação de risco em contexto real
  • Alinhamento com controlos da ISO/IEC 27002:2022
  • Ferramentas e templates incluídos para uso imediato em auditorias ou projetos

Ideal para profissionais de TI, cibersegurança, SGSI, auditores ou consultores que trabalham com sistemas de gestão da segurança da informação.

 

2. ISO 31000 Lead Manager – Risk Management

Torne-se especialista na liderança da gestão do risco organizacional — com base na ISO 31000 e aplicação prática real.

  • Princípios, estrutura e processo de gestão de risco
  • Integração com a governação e a tomada de decisão estratégica
  • Criação de políticas, registos, critérios e planos de ação
  • Exercícios práticos com mapas de risco, scoring, apetite e planos de tratamento
  • Aplicação em diferentes áreas: compliance, continuidade, projetos, cadeia de fornecimento
  • Documentação construída com os formandos e pronta a adaptar a qualquer setor

Indicado para gestores de risco, compliance officers, decisores estratégicos e consultores que trabalham em ambientes complexos ou regulados.

 

Cursos práticos com impacto direto no trabalho

Ambos os cursos da Behaviour são baseados em aplicação prática e não em teoria abstrata.

  • Simulações realistas
  • Modelos de scoring e matrizes de risco construídos em aula
  • Casos de estudo com documentação real
  • Exercícios com resposta individual e em grupo
  • Produção de registos, políticas e planos utilizáveis no terreno

Os formandos levam consigo ferramentas e documentos úteis, prontos a adaptar ao seu contexto profissional.

 

O que torna a nossa abordagem única?

Alinhamento com normas e outras boas práticas internacionais, focado na realidade
Não nos limitamos a explicar as cláusulas. Mostramos como tomar decisões em contextos reais, com base nas normas ISO, mas também nas melhores práticas adotadas por empresas líderes.

Formação orientada à ação
Todos os exercícios e simulações estão desenhados para que o formando aplique imediatamente o que aprendeu na sua organização — com exemplos, modelos e análise crítica de riscos reais.

Certificação Behaviour com impacto na capacitação profissional
Os cursos integram certificações Behaviour emitidas em conformidade com a norma internacional ISO/IEC 17024 — garantindo reconhecimento internacional e alinhamento com os requisitos exigidos para a certificação de pessoas.

 

Curso Foco Certificação
ISO/IEC 27005 Risk Methodologies         Riscos de segurança da informação Certified Risk Management 27005 Manager
ISO 31000 Lead Manager Risco organizacional e estratégico Certified Risk Management 31000 Lead Manager

 

Para quem se destina estes cursos?

  • Profissionais de TI, segurança da informação e SGSI
  • Gestores de risco, continuidade e conformidade
  • Diretores de operações e decisão estratégica
  • Auditores e consultores
  • Profissionais em setores regulados ou críticos (banca, saúde, energia, tecnologia, administração pública, etc.)

 

 

Gerir risco é gerir a incerteza e decidir com método

Os riscos não se materializam e impactam apenas os outros.
Os riscos não se evitam com sorte.
Evitam-se com visão, técnica e preparação.

Na Behaviour, ajudamos a fazer da gestão do risco uma competência sólida — com base nas normas e boas práticas internacionais, mas com os pés na realidade.

Do risco cibernético ao risco estratégico, o futuro pertence a quem sabe antecipar — e responder.
Escolha o curso certo e comece já. Garanta a sua vaga e leve a gestão do risco para outro nível.

 

 

Ligações rápidas

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.