As 9 medidas do Art. 27.o (parte 2)
Eficacia, formacao, criptografia, RH e MFA
Cenario de abertura
Um auditor externo visita a vossa organizacao. Faz uma pergunta simples mas desafiante: «Como sabem que as vossas medidas de seguranca realmente funcionam?» A maioria das organizacoes responde: «Temos politicas escritas.» O auditor sorri e diz: «Politicas escritas nao sao medidas implementadas.»
e) Avaliacao da eficacia das medidas
A quinta medida (Art. 27.o, al. e) exige que as entidades avaliem regularmente a eficacia das suas medidas de ciberseguranca. As formas aceites de demonstrar esta avaliacao incluem: auditorias internas e externas documentadas, testes de intrusao (pentests) por terceiros qualificados, exercicios de tabletop (simulacao de incidentes com a equipa de gestao) e revisoes periodicas de politicas e controlos. Os resultados devem ser reportados ao orgao de gestao e as constatacoes devem originar planos de remediacao com prazos.
f) Ciber-higiene e formacao continua
A sexta medida (Art. 27.o, al. f) abrange a formacao em ciberseguranca e a ciber-higiene. Segundo a ENISA, 81% dos incidentes de ciberseguranca comecam com um erro humano, seja um clique num link de phishing, uma password fraca ou uma configuracao incorreta. A resposta e uma cultura de seguranca sustentada por formacao regular (pelo menos anual), simulacoes de phishing, sensibilizacao para engenharia social e procedimentos claros para reportar comportamentos suspeitos. A formacao deve ser adaptada ao perfil de cada colaborador.
g) Criptografia e gestao de chaves
A setima medida (Art. 27.o, al. g) exige a utilizacao de criptografia adequada para proteger dados em repouso e em transito. Os padroes atuais recomendam AES-256 para dados em repouso e TLS 1.3 para dados em transito. A gestao de chaves criptograficas e tao importante quanto os algoritmos: chaves mal geridas (sem rotacao, armazenadas em plaintext, partilhadas) anulam a protecao que a criptografia oferece. O diploma menciona tambem a preparacao para a criptografia pos-quantica, dada a evolucao dos computadores quanticos e o risco de retroativa desencriptacao de dados capturados hoje.
h) Recursos humanos, controlo de acessos e gestao de ativos
A oitava medida (Art. 27.o, al. h) cobre tres dominios interligados. Na dimensao de RH: verificacoes de antecedentes para funcoes criticas, acordos de confidencialidade, processos de onboarding e offboarding de seguranca. No controlo de acessos: implementacao de RBAC (controlo de acesso baseado em papeis) e principio do menor privilegio, eliminando contas com acesso excessivo. Na gestao de ativos: inventario atualizado de hardware e software, essencial para avaliar superficies de ataque e responder rapidamente a incidentes.
i) Autenticacao multifator obrigatoria
A nona medida (Art. 27.o, al. i) e talvez a mais direta em termos de implementacao tecnica: a MFA (autenticacao multifator) deve ser utilizada em todos os acessos a sistemas criticos. A ENISA especifica na sua Technical Implementation Guidance que a MFA deve ser resistente a phishing, preferindo solucoes baseadas em FIDO2/WebAuthn em vez de SMS ou TOTP quando o risco e elevado. A MFA consistente e ainda hoje a medida com melhor relacao custo-beneficio na prevencao de comprometimento de contas.
Defense-in-depth: camadas de protecao
Caso real
81% dos incidentes comecam com erro humano (ENISA)O relatorio ENISA Threat Landscape 2024 confirma que mais de 81% dos incidentes de ciberseguranca analisados tiveram como vetor inicial um erro humano: phishing bem-sucedido, uso de passwords fracas ou reutilizadas, ou configuracoes incorretas realizadas por utilizadores sem formacao adequada. A medida mais custo-eficaz continua a ser a formacao regular combinada com MFA. Um colaborador formado e com MFA ativa resiste a mais de 99% dos ataques de phishing automatizados.
Templates relacionados
Quiz do modulo 5
Responda a 5 perguntas sobre o conteudo deste modulo. E necessario obter 70% ou mais para avancar.