Risco Empresarial e Cibersegurança

E dição

FCA – Editora de Informática

Av. Praia da Vitória, 14 A – 1000-247 Lisboa

Tel: +351 213 511 448 fca@fca.pt www.fca.pt

d istribuição

Lidel – Edições Técnicas, Lda.

Rua D. Estefânia, 183, R/C Dto. – 1049-057 Lisboa

Tel: +351 213 511 448 lidel@lidel.pt www.lidel.pt

L ivraria

Av. Praia da Vitória, 14 A – 1000-247 Lisboa

Tel: +351 213 541 418 livraria@lidel.pt

Copyright © 2024, FCA – Editora de Informática ® Marca registada da FCA PACTOR Editores, Lda. ISBN edição impressa: 978-972-722-934-5 1.ª edição impressa: maio de 2024

Paginação: Carlos Mendes

Impressão e acabamento: Tipografia Lousanense, Lda. – Lousã

Depósito Legal n.º 532287/24

Capa: José M. Ferrão – Look-Ahead

Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.

Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma.

Os nomes comerciais referenciados neste livro têm patente registada.

Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, fotocópia, digitalização, gravação, sistema de armazenamento e disponibilização de informação, sítio Web, blogue ou outros, sem prévia autorização escrita da Editora, exceto o permitido pelo CDADC, em termos de cópia privada pela AGECOP –– Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas.

3.7.6.4

3.7.7.3

3.7.8

3.7.7.7

3.7.9.1

PREFÁCIOS

Ainda que sejamos seres analógicos por natureza, vivemos cada vez mais num mundo onde, sem nos darmos conta disso, procuramos manter um equilíbrio, ténue e por vezes precário, entre o mundo físico e o virtual, amplificado pelo uso quase permanente das tecnologias digitais para realizarmos um cada vez maior número das nossas tarefas diárias, quer pessoais quer profissionais.

Por essa razão, é óbvia a nossa incremental exposição ao risco associado a essa nossa quase permanente interação com algo que não foi concebido para ser seguro, i.e., a Internet.

Por outro lado, por razões culturais, somos uma sociedade que tem demonstrado valorizar prioritariamente a segurança e a estabilidade, evidenciando uma relativa relutância em assumir riscos significativos, por oposição a sociedades de outra matriz cultural, em que se fomenta, desde cedo, o empreendedorismo, a busca de oportunidades e o apetite pelo risco.

Ora, num cenário em constante evolução dos negócios e da tecnologia que os impulsiona, a intersecção entre a gestão de riscos, a segurança de informação e a cibersegurança tornou-se um ponto focal crítico. À medida que tentamos compreender as complexidades da era digital, a necessidade de nos capacitarmos coletiva e pessoalmente para fazer face às ameaças que decorrem da alta exposição do mundo digital nunca foi tão relevante.

Com este pano de fundo, é com grande gosto que apresento este livro de grande interesse e oportunidade intitulado Risco Empresarial e Cibersegurança, da autoria do Professor António Miguel, no qual o autor analisa a intrincada relação entre a gestão do risco, a segurança da informação e a cibersegurança, com a mestria que decorre da larga experiência que detém e fornece uma exploração abrangente destes interligados domínios, nas suas mais diversas dimensões.

A viagem inicia-se com uma comparação sistematizada entre as práticas tradicionais e modernas de gestão de riscos, examinando a forma como esta disciplina evoluiu de um modelo reativo, em silos e orientada predominantemente para a conformidade, para uma disciplina proativa, adaptável e estratégica. O autor elucida os processos, ferramentas e técnicas que capacitam as organizações a navegar pelo risco no ambiente de grande dinâmica geoestratégica e tecnológica que caracteriza os dias de hoje. De seguida, aprofunda o tema da relação entre a segurança da informação e a cibersegurança, analisa a anatomia das ciberameaças, realçando os imperativos de salvaguardar os diversos tipos de dados sensíveis que hoje coexistem no ciberespaço onde vivemos, e explora as metodologias de avaliação de risco, estruturas de resposta a incidentes e o importante papel da respetiva governação no reforço das nossas defesas digitais.

Dado que a gestão de risco é uma disciplina complexa e transversal à sociedade, o autor conduz-nos na estrutura de normas existente e nas melhoras práticas que devem ser seguidas, identificando as normas internacionais, diretrizes da indústria e conformidade regulamentar. Das normas ISO às estruturas NIST, desvendam-se a arquitetura dos protocolos

de gestão de riscos que devem servir de farol às organizações para a resiliência e a conformidade.

A incontornável inteligência artificial (IA) transformou, de forma inexorável, a gestão de riscos. Nesta linha, o autor revela o papel desta impactante tecnologia na análise preditiva, na deteção de anomalias e na compreensão das ameaças e explora a forma como os algoritmos de aprendizagem automática melhoram a avaliação do risco, automatizam a tomada de decisões e incrementam o conhecimento dos seres humanos e assim dos processos de mitigação dos riscos.

Finalmente, o Professor António Miguel fornece uma visão geral das diretivas pertinentes da União Europeia e da legislação portuguesa que moldam as práticas de segurança da informação, de cibersegurança e desse modo de gestão do risco. Desde os regulamentos de proteção de dados até aos requisitos de notificação de violações, percorremos os contornos legais que as organizações têm de trilhar e cumprir.

Nesta jornada esclarecedora, o Professor António Miguel convida os leitores a adotarem uma perspetiva que transcende os silos e promove a colaboração entre profissionais de risco, especialistas em cibersegurança e da área jurídica, numa convergência de conhecimento com o propósito de preparar a sociedade para os desafios que o já mencionado e ténue equilíbrio entre o mundo analógico e o virtual em que permanentemente vivemos nos impõe. Ao embarcarmos nesta viagem, iremos munir-nos com um amplo leque de conhecimento que nos habilitará a retirarmos mais proveito das oportunidades que o futuro no mundo digital em que cada vez mais vivemos nos proporcionará.

Para concluir, gostaria de relembrar que não existe qualquer possibilidade de desenvolvimento económico sustentado, seja no mundo físico, seja no virtual, sem segurança. Se dúvidas existissem, os acontecimentos ocorridos na nossa Europa desde 24 de fevereiro de 2022 são disso um exemplo paradigmático. Cabe, por isso, a todos nós, setor público, setor privado e academia, coletivamente pugnar, através do incremento do nosso conhecimento, para a construção de um futuro com base na capacitação digital das organizações como acelerador do desenvolvimento, alicerçando-a na sólida preparação da sociedade e sempre na estrita observância dos valores que são os pilares de uma sociedade democrática.

Convida-se, assim, todos os leitores, sejam eles estudantes, profissionais, decisores ou cidadãos interessados, a mergulhar nas páginas deste livro. Aqui, encontrarão um guia completo e por isso essencial para compreender o papel fundamental da tecnologia e dos riscos que lhe são inerentes, na proteção do nosso futuro coletivo.

Que esta obra inspire discussões críticas, catalise inovações e, acima de tudo, contribua para nos preparar para um futuro mais seguro e mais resiliente.

Contra-almirante António Gameiro Marques

Autoridade Nacional de Segurança

Diretor-Geral do Gabinete Nacional de Segurança

Caro(a) Leitor(a),

É hoje uma constatação empírica consensual que vivemos num mundo cada vez mais interdependente e interligado pela via digital, e simultaneamente mais assimétrico e diverso dos pontos de vista político, económico, sociológico, tecnológico, legal e ambiental.

A sociedade global contemporânea enfrenta hoje um ambiente de policrise, propenso a diversos riscos que podem provocar impactos danosos, mas também representar oportunidades para os agentes estatais, públicos e privados, que melhor capacidade tiverem de se adaptarem.

No final deste período histórico que estamos a viver, é certo que irá emergir uma nova Ordem Global, seja ela uma nova versão daquela em que vivemos desde o final da II Guerra Mundial, seja ela uma outra, com características, sistemas de governação, regras e tecnologias bem diferentes do que nos é possível hoje imaginar.

Vivemos por isso num contexto de incerteza sem precedentes no século xxi, o que obriga todos os elementos-chave das organizações a contribuir para uma adequada gestão dessa incerteza, em primeiro lugar para garantir a sobrevivência, em segundo lugar para saber atuar neste ambiente, e em terceiro lugar para explorar as oportunidades que se perspetivam.

Para nós portugueses e países de língua e expressão portuguesa, navegar por mares nunca dantes navegados e descobrir novos mundos é parte intrínseca da nossa história, é o maior contributo que demos para a humanidade. Por tudo isto, estamos “nativamente” preparados para ajudar os gestores das organizações a enfrentar diariamente um mar de incertezas e desafios, tal como os destemidos marinheiros que desafiaram as águas desconhecidas há quase seis séculos.

Faltava, porém, um manual, um mapa que nos guiasse pelas latitudes e longitudes dos riscos, escrito na língua de Camões, adaptada aos novos tempos e à geopolítica da língua portuguesa.

Pela hábil e bem estruturada escrita de António Miguel, este livro convida-nos a bordo de uma jornada rumo ao vasto oceano da gestão de risco. Este livro acrescenta ciência à arte lusófona de navegar à vista, levando-nos à descoberta dos princípios fundamentais da gestão de risco moderna. De navegar à vista, junto à costa, para evitar as maiores tempestades, aproveitando os ventos e sem perder de vista a Terra.

É por isso que a bolina, a manobra ou o processo que permitia às caravelas enfrentarem ventos contrários é uma metáfora poderosa para a capacidade de adaptação e flexibilidade necessária na gestão de risco.

Tal como os navegadores portugueses ajustavam as velas para tirar proveito dos ventos, os gestores vão aprender, ao longo destes capítulos, a estarem preparados para ajustar as suas estratégias, modelos de governação e políticas de acordo com as alterações impostas pelo ambiente externo e interno.

A caravela, um feito tecnológico ímpar na sua época, com a sua estrutura leve e ágil, simboliza a importância da agilidade e da capacidade de resposta rápida às mudanças no ambiente de negócios. Os gestores de risco devem ser capazes de tomar decisões rápidas e eficazes, antecipando e mitigando os impactos das ameaças emergentes.

Já o astrolábio, uma ferramenta de navegação-chave para o sucesso dos navegadores portugueses, representa a importância da análise e da previsão na gestão de risco. Assim como os navegadores usavam o astrolábio para determinar a sua posição em relação às estrelas, os gestores precisam de utilizar ferramentas analíticas avançadas para avaliar os riscos e as oportunidades que se apresentam.

António Miguel realça muito bem a importância da boa definição de indicadores de risco e de indicadores de performance de risco que sejam mensuráveis, previsíveis, comparáveis e informativos. Permitirá aos gestores compreender rapidamente a trajetória da organização e atuar atempadamente. Neste particular, gostava de destacar a audácia com que António Miguel aborda os desafios da integração da inteligência artificial com a gestão do risco, através da análise empírica de vários casos de uso.

Tal como a resiliência dos navegadores foi uma característica essencial para enfrentar e superar inúmeras ameaças, durante viagens que duravam meses, e até anos, encontramos neste livro práticas e métodos para introduzir o conceito de “resiliência” nas políticas, processos, procedimentos e formação nas nossas organizações.

Espera-se hoje dos gestores de risco, responsáveis de Security e Safety, responsáveis de Cibersegurança e Chief Information Security Officers, que deixem de ser vistos como os “arautos da desgraça”, que se transformem nos embaixadores da resiliência.

Prepare-se para embarcar numa viagem, em que os métodos, modelos referenciais, frameworks e conceitos são enriquecidos pela experiência de mais de 25 anos de António Miguel, enquanto consultor e formador.

A gestão do risco merecia uma obra em português desta envergadura e aplicabilidade prática, e desejo que esta obra sirva de inspiração a todos os atuais e futuros gestores de risco, tal como me inspirou a mim para escrever este prefácio.

Despeço-me com as palavras intemporais de Mia Couto:

“O mar foi ontem o que o idioma pode ser hoje, basta vencer alguns Adamastores”.

Felicidades e boa viagem!

João Miguel Annes CISO da ANA Aeroportos Vice-presidente do Comité de Cibersegurança da ACI Europe

INTRODUÇÃO

Numa era definida pela estrutura BANI – Frágil, Ansiosa, Não Linear e Incompreensível (Brittle, Anxious, Nonlinear and Incomprehensible) –, o cenário empresarial global apresenta um conjunto único de desafios, impactando profundamente a forma como as organizações abordam a gestão do risco.

O mundo BANI é uma realidade na qual os pontos fortes tradicionais podem tornar-se inesperadamente pontos fracos, o desconforto e a imprevisibilidade são as normas, a causa e o efeito já não são lineares e a complexidade muitas vezes leva a cenários desconcertantes. Este novo paradigma exige uma reavaliação das práticas de gestão do risco nas organizações. Já se foi o tempo em que os riscos podiam ser abordados isoladamente; os riscos atuais estão interligados, exigindo uma abordagem holística, ágil e adaptativa.

A gestão do risco empresarial (GRE) no mundo BANI transcende as fronteiras tradicionais, integrando várias perspetivas de risco numa estratégia unificada. Trata-se de criar sistemas que não sejam apenas robustos, mas também resilientes, capazes de antecipar e responder ao inesperado. Esta abordagem é essencial para navegar na natureza frágil dos sistemas modernos, e também para abordar as ansiedades profundas sobre ameaças futuras, os impactos não lineares dos riscos e a incompreensibilidade dos desafios emergentes.

Particularmente no domínio da cibersegurança, o quadro BANI lança luz sobre novas dimensões de risco. A fragilidade da infraestrutura digital, a ansiedade em torno da escalada das ameaças cibernéticas, o impacto não linear e muitas vezes devastador das violações de dados e a incompreensibilidade dos ataques cibernéticos sofisticados exigem uma estratégia de cibersegurança proativa e abrangente. Esta estratégia deve ser integrada na trama mais ampla da gestão do risco empresarial para garantir uma defesa robusta contra a miríade de perigos digitais que as organizações modernas enfrentam.

Em 2023, o cibercrime custou ao mundo 8,4 triliões de dólares. Este número enorme inclui uma variedade de custos, como danos e destruição de dados, dinheiro roubado, perda de produtividade, roubo de propriedade intelectual e muito mais. Espera-se que os custos globais dos danos do crime cibernético cresçam 15% ao ano, atingindo 10,5 triliões de dólares anuais até 2025. Estes números sublinham o impacto económico substancial do crime cibernético e a importância crítica das medidas de segurança cibernética.

O custo dos ataques cibernéticos não é apenas uma preocupação económica premente, mas também uma questão crítica que afeta todas as facetas da sociedade e salienta a necessidade de estratégias robustas de segurança cibernética a nível individual, organizacional e nacional. À medida que as ameaças cibernéticas evoluem, o mesmo acontece com as nossas defesas, exigindo investimento contínuo, inovação e cooperação internacional para salvaguardar o nosso mundo digital. Os números associados ao cibercrime são um lembrete claro dos riscos envolvidos e da importância em dar prioridade à segurança cibernética num mundo cada vez mais interligado.

Politicamente, a segurança cibernética tornou-se uma questão de preocupação nacional. Os ataques cibernéticos podem ser usados como ferramentas para influência política, perturbação ou espionagem. Está em jogo a integridade das infraestruturas críticas, das eleições e das informações de segurança nacional, tornando a segurança cibernética uma prioridade estratégica. A dimensão internacional da cibersegurança, com ameaças muitas vezes originadas através das fronteiras, acrescenta uma camada de complexidade às relações políticas e exige cooperação e acordos internacionais.

A cibersegurança desempenha um papel fundamental no panorama global, em permanente evolução, da segurança da informação. Novas tendências na mobilidade e na conectividade apresentam um amplo espetro de desafios à medida que surgem novos ataques para as novas tecnologias. A crescente expansão da Inteligência Artificial (IA) veio não só acrescentar novas e significativas dificuldades à cibersegurança, mas igualmente proporcionar formas sofisticadas de gerir o risco da informação e a cibersegurança.

A integração da gestão do risco empresarial com a cibersegurança é mais do que um imperativo estratégico; é um mecanismo de sobrevivência no mundo atual. A cibersegurança não é apenas uma preocupação de Tecnologias de Informação (TI), mas uma pedra angular da gestão do risco em toda a empresa. Esta abordagem integrada não só ajuda a compreender o complexo cenário dos riscos, mas também a tomar decisões informadas, a alocar recursos de forma eficaz e a criar resiliência.

A importância desta integração torna-se particularmente evidente quando se consideram as rigorosas regulamentações da União Europeia (UE) sobre gestão do risco, segurança da informação e privacidade. Leis como o Regulamento Geral sobre a Proteção de Dados (RGPD) e a Diretiva de Redes e Sistemas de Informação (NIS2) não são meros obstáculos jurídicos, mas ferramentas estratégicas para navegar nas complexidades do mundo moderno. A conformidade com estes regulamentos é fundamental, servindo como um símbolo de confiança e fiabilidade num mercado global cada vez mais cético.

Este livro é uma incursão na compreensão deste mundo complexo e do papel fundamental da gestão integrada do risco empresarial e da segurança cibernética, à luz das normas, estruturas1 e boas práticas internacionalmente reconhecidas e das rigorosas regulamentações da UE sobre gestão do risco, segurança da informação e privacidade de dados.

À medida que embarcamos nesta jornada através dos temas abordados nos capítulos que se seguem, aprofundamo-nos em estratégias, estruturas, normas, ferramentas e melhores práticas para navegar no mundo imprevisível e complexo da gestão global do risco e da cibersegurança.

O objetivo é equipar os leitores com os conhecimentos e habilidades necessários para prosperar num mundo em que a mudança é a única constante e a proatividade e adaptabilidade são a chave para o sucesso.

1 Adotaremos aqui o termo “estrutura” como tradução de framework, para usar a mesma terminologia da norma portuguesa NP ISO 31000:2018.

Este livro está organizado em seis capítulos:

■ No Capítulo 1, abordam-se os conceitos fundamentais e a terminologia da gestão do risco, confronta-se a gestão tradicional e a gestão integrada do risco, salienta-se a importância da governação do risco e descrevem-se os passos para a criação de uma política, uma estratégia e um processo para gerir de forma eficaz, coerente e holística os riscos das organizações nas suas variadas formas, desde os riscos estratégicos até aos operacionais, passando pelos riscos da informação e do uso intensivo e extensivo da tecnologia e da Internet;

■ No Capítulo 2, aprofundam-se os processos, as técnicas e as ferramentas da gestão do risco empresarial à luz das normas, estruturas e boas práticas internacionalmente reconhecidas;

■ No Capítulo 3, aborda-se, de forma profunda, a gestão dos riscos da informação e da cibersegurança e exploram-se as vantagens da integração destes riscos com os outros que afetam as organizações. Detalham-se os tipos de ameaças a que as organizações estão sujeitas atualmente e explicam-se as medidas de controlo mais eficazes para as identificar e combater;

■ No Capítulo 4, descrevem-se as principais normas e estruturas disponíveis no mercado para uma eficaz gestão do risco – ISO 31000, ISO/IEC 27001, ISO/IEC 27005, Committee of Sponsoring Organizations of the Treadway Commission (COSO) e NIST Framework 2.0 – e a respetiva importância e aplicabilidade nas organizações;

■ O Capítulo 5 é uma viagem pelo excitante mundo da IA e o seu impacto na gestão do risco empresarial e da cibersegurança. Exploram-se os usos positivos e negativos desta tecnologia, bem como as ameaças e oportunidades com que se defrontam os profissionais da gestão do risco e as organizações aos diversos níveis operacionais e de gestão;

■ No Capítulo 6, aborda-se o edifício jurídico da gestão do risco da informação e da cibersegurança, nomeadamente as normas europeias e a respetiva transposição para as leis portuguesas. Descrevem-se igualmente os diversos órgãos criados na União Europeia e em Portugal para a aplicação dessa legislação.

As fontes de informação usadas incluem uma extensa bibliografia listada na Bibliografia, bem como um conjunto significativo de websites relevantes, que se encontram discriminados ao longo do livro, à medida que são referenciados.

O livro inclui igualmente um Glossário de termos abrangente, cobrindo os diversos termos técnicos utilizados ao longo dos capítulos, bem como um Índice Remissivo destinado a auxiliar a pesquisa por termos específicos.

Este livro destina-se a uma variedade de perfis que tenham interesse em aprofundar os seus conhecimentos de gestão do risco – profissionais de gestão do risco, profissionais de segurança da informação e cibersegurança, gestores funcionais, gestores de projetos e de programas, estudantes e docentes universitários, bem como quem tenha curiosidade em conhecer o mundo fascinante da gestão do risco.

PROCESSOS, FERRAMENTAS E TÉCNICAS DA GESTÃO DO RISCO EMPRESARIAL

2.1 INTRODUÇÃO

As estruturas e metodologias de gestão do risco vigentes no mercado – como as definidas pelo Project Management Institute (PMI), pelo Institute of Risk Management, pela ISO/IEC 31000:2018, pela ISO 27005:2022, pela Comissão Europeia9, pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), ou pela AXELOS – preconizam um conjunto de etapas genéricas similares, com algumas variações, para uma correta gestão do risco:

1. Identificação do contexto e dos riscos.

2. Avaliação e hierarquização dos riscos.

3. Planeamento de medidas de gestão dos riscos.

4. Implementação das medidas de gestão dos riscos.

5. Monitorização e controlo dos riscos.

Este conjunto de etapas repete-se de forma iterativa, à medida que a situação vai evoluindo e novos riscos aparecem, ou os inicialmente identificados mudam de perfil. Para que todo o processo funcione de forma eficiente e eficaz, é fundamental que a comunicação com as partes interessadas envolvidas em todas as etapas se processe de forma fluida e transparente. A gestão do risco deve ser uma preocupação e uma responsabilidade de todos numa organização. A Figura 2.1 mostra esquematicamente este processo cíclico.

A execução de cada uma destas etapas requer o recurso a determinados inputs e a aplicação de técnicas ou ferramentas específicas para a produção dos resultados (outputs) que se pretende alcançar. Detalham-se, em seguida, essas etapas.

9 A Comissão Europeia implementou uma metodologia de gestão do risco para ser usada por todos os organismos da Comissão (EC, 2018).

Identificar o contexto e os riscos

Monitorizar e controlar os riscos

Implementar respostas aos riscos

COMUNICAR

Avaliar e hierarquizar os riscos

Planear respostas aos riscos

2.2 IDENTIFICAÇÃO DOS RISCOS

A etapa de identificação dos riscos é fundamental para identificar ameaças e oportunidades que podem afetar os objetivos da organização. Esse processo é a base para o desenvolvimento de estratégias de mitigação e é essencial para o sucesso da gestão do risco. Nesta etapa, é crucial ter em atenção os seguintes aspetos:

Contextualização e estabelecimento de objetivos

Envolvimento das partes interessadas

Definição de critérios de risco

Identificação de fontes de risco

Antes de iniciar a identificação dos riscos, é fundamental entender o contexto em que a organização opera. Isso inclui compreender a sua missão, a visão, as estratégias, os objetivos e as partes interessadas.

Envolver partes interessadas relevantes – como a Administração, gestores, colaboradores, clientes, fornecedores, etc. – é crucial para obter diferentes perspetivas e insights sobre os riscos.

Estabelecer critérios de risco claros para avaliar a probabilidade e o impacto dos riscos. Isso ajuda a classificar os riscos de acordo com a sua significância.

Identificar as diversas fontes de risco, que podem incluir riscos estratégicos, operacionais, financeiros, de conformidade e reputacionais.

A Figura 2.2 mostra esquematicamente esta etapa, na forma inputs, técnicas e outputs.

NORMAS, DIRETRIZES E BOAS PRÁTICAS DE GESTÃO DO RISCO

4.1 PANORÂMICA DAS NORMAS, DIRETRIZES E BOAS PRÁTICAS INTERNACIONAIS

Existe um vasto conjunto de normas, regulamentos e boas práticas a nível internacional que rege e orienta a prática da gestão do risco e da segurança da informação nas organizações. Em seguida, vamos listar as normas mais comummente usadas.

4.1.1 NORMA INTERNACIONAIS

A International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC) disponibilizam um conjunto abrangente de normas para a gestão do risco, a segurança da informação, a cibersegurança e a proteção da privacidade:

■ ISO/IEC 31000:2018 – Gestão do Risco – Princípios e Diretrizes;

■ ISO/IEC 31010:2019 – Gestão do Risco – Técnicas de Avaliação do Risco;

■ ISO/IEC 27000:2018 – Técnicas de Segurança de Tecnologia de Informação – Sistemas de Gestão de Segurança da Informação;

■ ISO/IEC 27001:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Requisitos para a Gestão dos Riscos de Segurança da Informação;

■ ISO/IEC 27002:2022 – Código de Prática para Controlos de Segurança da Informação;

■ ISO/IEC 27005:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Orientações para a Gestão dos Riscos de Segurança da Informação;

■ ISO/IEC 27017:2015 – Código de Prática para Controlos de Segurança da Informação Baseados na Nuvem;

■ ISO/IEC 27018:2019 – Proteção de Informações Pessoais em Nuvens Públicas;

■ ISO/IEC 27032:2012 – Cibersegurança e Ciber-resiliência;

■ ISO/IEC 27033-1:2015 – Tecnologia da Informação – Técnicas de Segurança – Segurança de Redes;

■ ISO/IEC 27701:2019 – Gestão de Informações de Privacidade;

■ ISO/IEC 29002:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Controlos de Segurança da Informação;

■ ISO 22301:2019 – Segurança e Resiliência – Sistemas de Gestão da Continuidade de Negócios – Requisitos.

4.1.2 NORMAS E DIRETRIZES DA UNIÃO EUROPEIA

Na União Europeia (UE), as normas e os regulamentos para a gestão do risco e para a segurança da informação são frequentemente influenciados pelas diretrizes da UE e pelas normas internacionais ISO. Estes regulamentos complementam as normas internacionais, focando-se na proteção de dados, cibersegurança e confiabilidade de serviços digitais.

Alguns dos principais quadros e regulamentos da UE incluem:

■ General Data Protection Regulation (GDPR) – Regulamento Geral de Proteção de Dados (RGPD) – define normas para a proteção de dados pessoais;

■ Diretiva NIS2 (Network and Information Security Directive) – publicada a 14 de dezembro de 2022, a Diretiva NIS2 substituiu a Diretiva NIS de 2016. Esta norma visa melhorar a cibersegurança em toda a UE;

■ eIDAS (Electronic Identification, Authentication and Trust Services) – estabelece um quadro para serviços de identificação eletrónica e serviços de confiança para transações eletrónicas.

A Agência da União Europeia para a Cibersegurança (European Network and Information Security Agency [ENISA]) não emite normas da mesma forma que entidades como a ISO, mas sim diretrizes, recomendações e relatórios sobre cibersegurança e gestão do risco. Estes documentos são atualizados periodicamente para refletir as mudanças no cenário da cibersegurança.

Algumas das principais publicações incluem:

■ Diretrizes para a gestão de riscos de segurança da informação – oferece orientações sobre como identificar, avaliar e gerenciar riscos de segurança da informação;

■ Relatório sobre as ameaças do ciberespaço – fornece uma análise abrangente das ameaças cibernéticas atuais;

■ Diretrizes para resposta a incidentes de segurança – oferece procedimentos e práticas recomendadas para lidar com incidentes de cibersegurança;