ISO 22301 Archives

E se a tua equipa principal não estiver disponível?

Na maioria dos planos de continuidade ou recuperação, há um erro silencioso, mas crítico: assume-se que as pessoas certas estarão disponíveis no momento certo.

Mas… e se não estiverem?

E se não for possível contactar o gestor de IT?
E se a responsável de RH estiver de férias?
E se a equipa de gestão de crise estiver indisponível por ter sido impactada pelo mesmo incidente?

É aqui que muitos planos falham — antes mesmo de serem testados.

“A ilusão de ter a pessoa certa no papel certo, à hora certa”

Documentos lindos. Organogramas claros. Lista de contactos de emergência disponível e atualizada.
Tudo parece sólido… até que o inesperado acontece.

A realidade é esta:

As pessoas adoecem.
As pessoas entram em pânico.
As pessoas ficam sem acesso digital.
As pessoas… são humanas, pelo que, também falham..

Planos que não consideram a ausência dos seus protagonistas são estruturalmente frágeis.

O verdadeiro teste de maturidade

A continuidade de negócio não depende apenas da existência de planos.
Depende da capacidade de responder a perguntas como:

“Quem substitui quem, em cada função crítica?”
“Como são tomadas decisões críticas na ausência da liderança habitual?”
“O que está automatizado e o que depende exclusivamente de uma pessoa?”
“Quais são os pontos únicos de falha humana?”

Organizações maduras planeiam a ausência das pessoas críticas — e testam, com rigor, a capacidade de resposta da equipa.

Casos reais de falha no planeamento da continuidade

Caso 1 – Empresa de serviços financeiros
Um incêndio obrigou à evacuação da sede da empresa.
O gestor da continuidade encontrava-se em viagem internacional, sem acesso à rede.
Resultado: três horas perdidas até alguém assumir liderança.

Caso 2 – Fábrica industrial
Um ataque de ransomware paralisou os sistemas.
As credenciais do administrador encontravam-se num cofre digital…
acessível apenas por duas pessoas — ambas afetadas pelo ataque.

Caso 3 – Empresa de software
A empresa realizou uma simulação bem-sucedida com os membros da equipa.
Numa sexta-feira à noite, durante um incidente real, a equipa encontrava-se incompleta.
Este facto impossibilitou a tomada de decisões adequadas e levou a falhas na coordenação.
Resultado: disrupção na operação.

Preparar equipas — não apenas planos

Criar redundâncias para as funções críticas
- Não basta nomear substitutos designados: é necessário treiná-los em contexto prático.
Garantir o acesso partilhado a recursos e credenciais
- Utilizar cofres digitais partilhados, mecanismos de acesso de emergência e sistemas de contingência.
Testar cenários que considerem a ausência de protagonistas
- Durante os exercícios, simular a ausência de decisores-chave e observar a resposta da equipa.
Mapear pontos de falha humana
- Identificar situações em que tudo depende de uma só pessoa — e mitigar esse risco.
Desenvolver competências interpessoais sob pressão
- Liderança, comunicação e tomada de decisão treinam-se antes da crise — não durante.

O que distingue os planos que realmente funcionam?

São exercitados e testados com realismo e sob pressão.
Antecipam a indisponibilidade de pessoas-chave.
Privilegiam a capacitação transversal, e não apenas a dependência hierárquica.
Têm backups funcionais de liderança, acesso e decisão.

? Queres planos que realmente funcionem?

Na Behaviour, os nossos cursos vão além da teoria — preparam profissionais e equipas para responder com confiança, mesmo nos piores cenários:

ISO 22301 Lead Implementer – Lidera a implementação de planos de continuidade robustos e eficazes, com impacto real na operação.
ISO 22301 Lead Auditor – Audita, avalia e melhora sistemas de continuidade do negócio com confiança e visão estratégica.
NIS 2 Compliance Lead Manager – Aplica a Diretiva NIS 2 com clareza e precisão, incluindo a legislação nacional portuguesa.
DORA Compliance Lead Manager– Concretiza o Regulamento DORA com uma abordagem prática para o setor financeiro e entidades TIC.

A continuidade real exige responder ao imprevisível
“Esperar o inesperado” não é um cliché — é o princípio da resiliência.

Porque, nos momentos críticos, não é apenas um plano que salva a organização:
são as pessoas preparadas, disponíveis… e substituíveis.

A pergunta certa nunca foi: “Temos plano de continuidade?”
A pergunta certa é: “Se tu não estiveres lá… tudo continua a funcionar?”

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.

Cuidados essenciais para profissionais e equipas que não podem dar férias aos riscos

Agosto chegou. Para muitos, é tempo de descanso. Para os riscos — é oportunidade.

Quando entramos em modo verão, relaxamos, as equipas rodam e os processos abrandam. Mas os riscos mantêm-se atentos. É precisamente nesses períodos de menor vigilância que muitos dos incidentes mais graves têm origem.

Partilhamos os principais cuidados a ter antes, durante e após o período de férias, com foco na segurança da informação, continuidade do negócio e resiliência organizacional.

Antes das férias: preparar, proteger, delegar

1. Revê e limita contas e acessos

Elimina acessos temporários ou não utilizados
Verifica permissões atribuídas a prestadores externos
Restringe acessos privilegiados e garante rastreabilidade
Aplica regras claras para órgãos de gestão, se necessário
Regista tudo — acções de desativação e reativação futuras

Acesso mínimo. Tempo limitado. Tudo rastreável.

2. Define substitutos e procedimentos claros

Quem substitui quem?
Que decisões podem ser tomadas?
O que fazer em caso de incidente?

Continuidade não é só presença — é preparação e resposta.

3. Reforça a vigilância contra fraudes e phishing

Pagamentos urgentes em nome do CEO ausente
Pedidos falsos de mudança de IBAN
Mensagens urgentes com penalizações
Prémios ou sorteios falsos
Links fraudulentos sobre entregas
Cuidado com deepfakes: voz ou vídeo falsos com pedidos de acessos, transferências ou extorsão

Redobra a atenção. Aplica ciber-higiene. Reporta sempre.

4. Revê os planos de continuidade e resposta a incidentes

Planos atualizados e testados com equipa reduzida?
Quem ativa o plano em agosto?
Fornecedores continuam prontos nesse período?

Um plano que não funciona em férias… não é plano.

Durante as férias: manter o essencial a funcionar

5. Cuidado com redes e Wi-Fi públicas

Desliga redes e equipamentos não necessários
Evita Wi-Fi públicas para aceder a sistemas
Se inevitável, usa VPN da organização

A conveniência de hoje pode ser o incidente de amanhã.

6. Protege e automatiza — sem desligar totalmente

Automatiza backups (de preferência imutáveis)
Ativa alertas e notificações para incidentes
Garante visibilidade mínima — mesmo em férias

Automação inteligente protege mesmo quando desligas.

7. Evita expor a tua ausência nas redes

Evita frases como “fora até setembro”
Evita fotos e vídeos com localização em tempo real
Prefere grupos fechados para partilhas pessoais

Maior pegada digital = mais oportunidade para ataques de engenharia social.

Depois das férias: validação e reativação

8. Revalida acessos e alterações feitas

Alguma conta temporária ainda ativa?
Configurações alteradas sem reversão?
Algum incidente não detetado?
Revê logs e relatórios de segurança

Pós-férias = check-up obrigatório.

9. Atualiza e valida sistemas

Aplica atualizações de segurança pendentes
Verifica backups e relatórios
Confirma integridade dos logs, incluindo o antivírus e a firewall

Começa com confiança. Sem dúvidas técnicas.

? Formação recomendada

A Behaviour ajuda equipas a antecipar riscos, responder a incidentes e reforçar a continuidade — antes, durante e depois das férias.

Cursos recomendados:

Preparar é proteger. Mesmo quando todos estão a desligar.

A segurança não tira férias. Mas com o planeamento certo, tu podes.

Ver calendário de formações