NIS2 Portugal

📋 O que é:

Avaliação sistemática e documentada dos riscos de cibersegurança que a organização enfrenta. Inclui a identificação de ativos críticos, ameaças potenciais, vulnerabilidades existentes e o impacto que incidentes podem ter nas operações.

• Identificação e classificação de ativos de informação (hardware, software, dados)
• Análise de ameaças internas e externas relevantes para o setor
• Avaliação de vulnerabilidades técnicas e organizacionais
• Determinação do nível de risco e priorização de tratamento
• Documentação formal de políticas de segurança da informação

🛠️ Como implementar:

• Realizar avaliação de riscos anual: Estabelecer um processo formal de risk assessment com metodologia reconhecida (ISO 27005, NIST, etc.)
• Inventariar e classificar ativos: Criar um registo completo de todos os ativos de TI e classificá-los por criticidade (crítico, importante, normal)
• Definir políticas documentadas: Escrever políticas de segurança claras cobrindo todos os aspetos da operação (acesso, backup, uso aceitável, etc.)
• Aprovar no conselho de administração: Garantir que a gestão de topo aprova formalmente as políticas e risk appetite
• Comunicar às equipas: Assegurar que todos os colaboradores conhecem e compreendem as políticas aplicáveis
• Rever regularmente: Atualizar a análise de riscos sempre que há mudanças significativas ou, no mínimo, anualmente

📋 O que é:

Capacidade de detetar, responder e recuperar de incidentes de cibersegurança de forma coordenada e eficaz. Inclui procedimentos para identificar anomalias, conter ameaças, erradicar malware e restaurar operações normais.

• Deteção proativa de incidentes através de monitorização contínua
• Procedimentos de resposta imediata para conter e mitigar impactos
• Comunicação interna e externa durante crises
• Notificação obrigatória às autoridades (CNCS em Portugal) em 24h/72h/30 dias úteis
• Análise forense e lições aprendidas pós-incidente

Nota: A gestão de incidentes exigida pela NIS2 alinha-se com as práticas ITIL de Incident Management.

🛠️ Como implementar:

• Criar plano de resposta a incidentes (IRP): Documentar procedimentos passo-a-passo para diferentes tipos de incidentes (ransomware, DDoS, data breach, etc.)
• Definir equipa de resposta (CSIRT): Constituir equipa interna ou contratar serviços externos com funções claras (líder, técnicos, comunicação, jurídico)
• Implementar ferramentas de deteção: SIEM, IDS/IPS, EDR, XDR para identificar anomalias e comportamentos suspeitos
• Estabelecer procedimentos de notificação: Templates e workflows para notificar CNCS dentro dos prazos legais (24h early warning, 72h notificação completa, 30 dias úteis relatório final)
• Realizar exercícios de simulação: Tabletop exercises e simulações de incidentes reais trimestralmente
• Documentar todos os incidentes: Manter registo detalhado de todos os eventos para análise de tendências e auditorias

📋 O que é:

Planeamento e preparação para manter as operações críticas durante e após um incidente grave de cibersegurança. Garante que a organização pode continuar a fornecer serviços essenciais mesmo em cenários adversos.

• Identificação de processos e sistemas críticos de negócio
• Definição de objetivos de recuperação (RTO - Recovery Time Objective e RPO - Recovery Point Objective)
• Planos de recuperação de desastres (Disaster Recovery)
• Procedimentos de comunicação de crise
• Testes regulares de resiliência e recuperação

🛠️ Como implementar:

• Criar plano de continuidade de negócio (BCP): Documento abrangente que define estratégias para manter operações durante crises
• Definir RTO e RPO: Para cada sistema crítico, estabelecer tempo máximo de inatividade aceitável e perda máxima de dados aceitável
• Implementar backups robustos: Estratégia 3-2-1 (3 cópias, 2 meios diferentes, 1 offsite), com testes de restore mensais
• Sites alternativos: Considerar hot/warm/cold sites para sistemas críticos, ou soluções cloud de alta disponibilidade
• Testar planos semestralmente: Exercícios de recuperação completos para validar que os planos funcionam na prática
• Documentar procedimentos: Runbooks detalhados para recuperação de cada sistema crítico

📋 O que é:

Gestão dos riscos de cibersegurança provenientes de fornecedores, prestadores de serviços e parceiros que têm acesso aos sistemas ou dados da organização. Reconhece que a segurança é tão forte quanto o elo mais fraco da cadeia.

• Avaliação de riscos de cibersegurança de fornecedores
• Due diligence antes de contratar serviços críticos
• Cláusulas de segurança em contratos
• Monitorização contínua da conformidade de fornecedores
• Gestão de acessos de terceiros aos sistemas

🛠️ Como implementar:

• Inventariar fornecedores críticos: Identificar todos os prestadores de serviços com acesso a sistemas ou dados sensíveis (cloud providers, MSPs, software vendors)
• Avaliar riscos por fornecedor: Classificar fornecedores por nível de risco (alto, médio, baixo) baseado no acesso e criticidade do serviço
• Due diligence na seleção: Verificar certificações (ISO 27001, SOC 2), políticas de segurança, histórico de incidentes antes de contratar
• Incluir requisitos em contratos: Cláusulas específicas sobre segurança, direito a auditoria, notificação de incidentes, SLAs de segurança
• Monitorizar conformidade: Auditorias regulares, questionários de segurança, revisão de relatórios SOC 2
• Gerir acessos granularmente: Princípio do least privilege para acessos de terceiros, com MFA obrigatório

📋 O que é:

Integração de práticas de segurança em todo o ciclo de vida dos sistemas de informação, desde a conceção até ao desmantelamento. O princípio "security by design" garante que a segurança não é uma reflexão tardia.

• Requisitos de segurança desde a fase de conceção
• Desenvolvimento seguro de software (Secure SDLC)
• Code reviews e análise estática de código (SAST)
• Testes de segurança (DAST, penetration testing)
• Gestão de patches e atualizações de segurança

🛠️ Como implementar:

• Implementar DevSecOps: Integrar segurança no pipeline CI/CD com verificações automatizadas
• Code reviews obrigatórios: Peer reviews focados em segurança antes de merge para produção
• Ferramentas SAST/DAST: Análise estática (SonarQube, Checkmarx) e dinâmica (OWASP ZAP, Burp Suite) de código
• Dependency scanning: Verificação automática de vulnerabilidades em bibliotecas e dependencies (Snyk, Dependabot)
• Patch management rigoroso: Processo formal para aplicar patches de segurança críticos em 24-48h
• Gestão de configurações seguras: Hardening de sistemas baseado em CIS Benchmarks ou DISA STIGs
• Testes de penetração: Pentests anuais por entidade externa certificada

📋 O que é:

Identificação proativa, avaliação e correção de vulnerabilidades nos sistemas antes que possam ser exploradas por atacantes. Inclui monitorização contínua de novas ameaças e gestão coordenada de patches.

• Scanning regular de vulnerabilidades em infraestrutura e aplicações
• Priorização baseada em risco e exploitabilidade
• Correção atempada conforme criticidade (SLAs definidos)
• Threat intelligence para antecipar ameaças emergentes
• Vulnerability disclosure policy para receção de reports externos

🛠️ Como implementar:

• Vulnerability scans automáticos: Scans semanais com ferramentas como Nessus, Qualys, OpenVAS
• Asset discovery contínuo: Identificar automaticamente novos assets na rede para garantir cobertura completa
• Subscrever threat intelligence feeds: CERT-PT, ENISA, vendor advisories para estar informado sobre novas vulnerabilidades
• Definir SLAs de correção: Crítico (24h), Alto (7 dias), Médio (30 dias), Baixo (90 dias)
• Priorização com CVSS e EPSS: Usar Common Vulnerability Scoring System e Exploit Prediction Scoring System para priorizar
• Virtual patching: Quando patch não pode ser aplicado imediatamente, usar WAF ou IPS para mitigar
• Vulnerability disclosure program: Canal seguro para pesquisadores reportarem vulnerabilidades (bug bounty opcional)

📋 O que é:

Medidas básicas de segurança que constituem a fundação de qualquer programa de cibersegurança. São práticas essenciais e universalmente aplicáveis que reduzem drasticamente a superfície de ataque.

• Gestão completa de ativos de TI (hardware e software)
• Hardening de sistemas operativos e aplicações
• Controlo de portas e serviços desnecessários
• Proteção endpoint (antivírus, EDR)
• Gestão de logs e monitorização de eventos

🛠️ Como implementar:

• Inventário completo de ativos (CMDB): Registo atualizado de todo o hardware, software, licenças, responsáveis
• Desativar serviços desnecessários: Princípio do least functionality - remover ou desabilitar tudo que não seja estritamente necessário
• Aplicar configurações seguras: Usar CIS Benchmarks, DISA STIGs ou vendor hardening guides
• Antivírus + EDR atualizado: Proteção endpoint moderna com deteção comportamental e response capabilities
• Centralizar logs: SIEM ou log management para agregar, correlacionar e analisar logs de segurança
• Retenção adequada de logs: Mínimo de 12 meses para fins de auditoria e investigação forense
• Network segmentation: VLANs, firewalls internos, zero trust network architecture
• Remover software legacy: Desinstalar aplicações obsoletas e não suportadas

📋 O que é:

Proteção de dados através de criptografia forte, tanto em trânsito (durante transmissão) como em repouso (armazenados). Inclui gestão segura de chaves criptográficas e certificados digitais.

• Encriptação de dados sensíveis em repouso (bases de dados, discos, backups)
• Encriptação de comunicações (TLS/SSL para tráfego web, VPN para acesso remoto)
• Gestão de chaves criptográficas e ciclo de vida
• Certificados digitais e PKI (Public Key Infrastructure)
• Compliance com standards criptográficos (FIPS 140-2/3, eIDAS)

🛠️ Como implementar:

• TLS 1.3 para web: Deprecar TLS 1.0/1.1, usar apenas TLS 1.2+ com cipher suites fortes
• Encriptação de disco full-disk: BitLocker (Windows), LUKS (Linux), FileVault (macOS) para todos os dispositivos
• Encriptação de bases de dados: TDE (Transparent Data Encryption) para SQL Server, Oracle; encryption at rest para cloud databases
• VPN para acesso remoto: IPsec ou WireGuard com autenticação forte
• Gestão centralizada de certificados: PKI interno ou serviços cloud como AWS ACM, Azure Key Vault
• HSM para chaves críticas: Hardware Security Modules para chaves mestras e certificados de alta segurança
• Key rotation regular: Rotação de chaves de encriptação anualmente ou após compromisso
• Backups encriptados: Todos os backups devem ser encriptados com chaves diferentes dos sistemas de produção

📋 O que é:

Reconhecimento que os colaboradores são simultaneamente o maior ativo e o maior risco de segurança. Inclui formação, sensibilização, políticas de acesso e procedimentos de entrada/saída.

• Formação obrigatória de cibersegurança para todos os colaboradores
• Sensibilização contínua sobre phishing e engenharia social
• Políticas de uso aceitável (Acceptable Use Policy)
• Controlos de acesso baseados em funções (RBAC)
• Processos de onboarding e offboarding seguros

🛠️ Como implementar:

• Formação anual obrigatória: Curso de segurança básica para 100% dos colaboradores, com certificado de conclusão
• Phishing simulations mensais: Testes surpresa para medir consciencialização e identificar áreas de melhoria
• Formação específica por função: Developers (secure coding), IT (hardening), gestores (governance)
• Políticas de acceptable use: Documento claro sobre o que é permitido/proibido no uso de recursos corporativos
• RBAC rigoroso: Princípio do least privilege - cada user apenas tem os acessos estritamente necessários para a função
• Background checks: Verificações de antecedentes para posições críticas de segurança
• NDAs de segurança: Acordos de confidencialidade específicos para informação sensível
• Offboarding imediato: Desativar acessos no momento do término do contrato, recolher equipamentos e credenciais

📋 O que é:

Obrigatoriedade de usar pelo menos dois fatores independentes para autenticação: algo que sabe (password), algo que tem (token, smartphone) ou algo que é (biometria). Torna muito mais difícil o acesso não autorizado mesmo com passwords comprometidas.

• MFA obrigatório para todos os acessos remotos
• MFA obrigatório para contas administrativas e privilegiadas
• Suporte a múltiplos fatores (SMS, app, FIDO2, biometria)
• Políticas de conditional access baseadas em risco
• Zero trust approach - never trust, always verify

🛠️ Como implementar:

• MFA para VPN e acesso remoto: 100% dos acessos remotos devem exigir MFA, sem exceções
• MFA para administradores: Todas as contas com privilégios elevados (admin, root, domain admin) têm MFA obrigatório
• MFA para aplicações críticas: ERP, CRM, sistemas financeiros, bases de dados de produção
• Suporte a FIDO2/WebAuthn: Chaves de segurança físicas (YubiKey, Titan) para máxima segurança
• Authenticator apps preferencialmente: Microsoft/Google Authenticator, Authy - mais seguro que SMS
• Conditional access policies: MFA adaptive baseado em risco (localização anómala, dispositivo novo, acesso sensível)
• Passwordless onde possível: Evoluir para autenticação sem password (Windows Hello, passkeys)
• Processo de recovery seguro: Procedimento verificado para utilizadores que perdem acesso ao 2º fator