# Cyber Academy (Português) > GRC & cybersecurity certification training. Led by Christophe Mazzola (a practicing CISO) alongside a small team of practitioners. > We train professionals on NIS 2, DORA, AI Act, ISO 27001, ISO 31000, GDPR, and related standards, > via PECB- and ISACA-accredited courses, self-paced or in live sessions. > Content language of this file: Português. **Canonical URL:** https://cyberacademy.net/pt/ **Authoritative author:** Christophe Mazzola. Active CISO, author of "Être en Cybersécurité", 20+ certifications. See https://cyberacademy.net/pt/christophe. **Organization:** Cyber Academy. PECB Gold Partner, ISACA partner. See https://cyberacademy.net/pt/about. **Full content dump (Markdown, all pillar + encyclopedia pages):** https://cyberacademy.net/pt/llms-full.txt **This index in other languages:** - English: https://cyberacademy.net/llms.txt - Français: https://cyberacademy.net/fr/llms.txt - Español: https://cyberacademy.net/es/llms.txt - Italiano: https://cyberacademy.net/it/llms.txt - Deutsch: https://cyberacademy.net/de/llms.txt - Português: https://cyberacademy.net/pt/llms.txt (this file) --- ## Reference pages (pillars) > In-depth, long-form reference on a single regulation or framework. Definition, context, scope, deadlines, sources. Updated regularly. - [NIS 2: o guia que substitui a sua monitorização jurídica.](https://cyberacademy.net/pt/resources/pillars/nis-2): Tudo o que um CISO, responsável de GRC ou membro do conselho de administração precisa para operar ao abrigo da NIS 2 em 2026: âmbito de aplicação, dez medidas de controlo, prazos de notificação de incidentes, sanções e a realidade da sala d - [DORA: o que o seu RSSI não lhe contou.](https://cyberacademy.net/pt/resources/pillars/dora): Uma leitura prática do Digital Operational Resilience Act para as entidades financeiras europeias e os seus prestadores de TIC críticos. Cinco pilares, o que fazer primeiro, a realidade da sala de auditoria. - [ISO 27001: Foundation, Lead Implementer, Lead Auditor, qual escolher?](https://cyberacademy.net/pt/resources/pillars/iso-27001-foundation-li-la): Uma árvore de decisão prática para os níveis de certificação ISO 27001. Para quem se destina cada um, o que cada exame avalia, o que o próximo passo lhe traz, e os preços de referência na Europa em 2026. - [ISO 42001 e governança de IA: o mapa de certificações e formações.](https://cyberacademy.net/pt/resources/pillars/iso-42001-ai-governance): Onde as credenciais de governança de IA realmente se encaixam. ISO 42001 (a norma de AIMS), as certificações ISACA Advanced in AI (AAIA, AAIR, AAISM), PECB AI Risk Manager e CAIP, como se mapeiam para o EU AI Act e o NIST AI RMF, e para que - [AI Act: conformidade sem a abstração.](https://cyberacademy.net/pt/resources/pillars/ai-act): Uma leitura prática do AI Act da UE para equipas de produto, segurança e conformidade. Quatro níveis de risco, o que significa alto risco na operação, o calendário até 2027 e como a ISO 42001 se encaixa. - [Resiliência operacional: DORA, NIS 2 e ISO 22301 num só lugar.](https://cyberacademy.net/pt/resources/pillars/operational-resilience-dora-nis-2-iso-22301): Como os três referenciais se articulam entre si, onde as obrigações se sobrepõem, e como conduzir um único programa de resiliência que satisfaça as três auditorias. - [GDPR em 2026: o que mudou desde 2018.](https://cyberacademy.net/pt/resources/pillars/gdpr-2026): Onde a legislação europeia de proteção de dados realmente se encontra em 2026. O Schrems II e o EU-US DPF, a interação com o AI Act, a recente aplicação da CNIL e do EDPB, o que atualizar no seu programa de privacidade. - [EBIOS RM vs ISO 27005: o confronto.](https://cyberacademy.net/pt/resources/pillars/ebios-rm-vs-iso-27005): Uma comparação prática dos dois métodos de referência de risco em segurança da informação. Quando cada um vence, como se mapeiam à ISO 27001 e qual deles o seu setor e a sua auditoria realmente esperam. - [O preço real de um ISO 27001 Lead Implementer na Europa.](https://cyberacademy.net/pt/resources/pillars/iso-27001-lead-implementer-price-europe): Um benchmark de 2026 sobre o custo real das turmas de ISO 27001 Lead Implementer na Europa. Autoformação versus formação com formador, preços in-house, o que está incluído no pacote, como negociar o orçamento corporativo. - [ISO 31000: Foundation → Risk Manager → Lead Risk Manager.](https://cyberacademy.net/pt/resources/pillars/iso-31000-foundation-risk-manager-lead-risk-manager): O percurso PECB completo para a gestão de risco empresarial. Por que a ISO 31000 não tem Lead Auditor, a quem cada nível se adequa, como complementa a ISO 27005 e o EBIOS RM. - [CISO vs DPO vs RSSI: quem faz o quê, na prática.](https://cyberacademy.net/pt/resources/pillars/ciso-dpo-rssi): As fronteiras práticas entre três papéis que as organizações confundem. Aquilo de que cada um é responsável, onde se sobrepõem e quais certificações sinalizam qual papel. ## Encyclopedia (glossary) > Short definitions of GRC and cybersecurity terms. Each entry is self-contained and citable. - [AI Risk Manager](https://cyberacademy.net/pt/resources/encyclopedia/ai-risk-manager): AI Risk Manager é a credencial (PECB / ISACA emergente) para profissionais que gerem programas de risco específicos de IA: risco de modelo, viés, deriva, transparência, risco de modelo de terceiros. Camada operacional que complementa a ISO - [Advanced in AI Audit](https://cyberacademy.net/pt/resources/encyclopedia/aaia): AAIA é a credencial avançada da ISACA para auditoria de sistemas, modelos e governação de IA. Mais recente (a partir de 2024). Requer CISA ou equivalente. Concebida para auditores sénior que pretendem adquirir competências em IA, alinhada c - [Agência Nacional de Cibersegurança Francesa](https://cyberacademy.net/pt/resources/encyclopedia/anssi): A ANSSI é a agência nacional de cibersegurança francesa, sob tutela do Primeiro-Ministro desde 2009. É a autoridade nacional em matéria de política de cibersegurança em França, qualifica produtos e prestadores de serviços, publica o EBIOS R - [Agência da União Europeia para a Cibersegurança](https://cyberacademy.net/pt/resources/encyclopedia/enisa): A ENISA é a agência de cibersegurança da UE, com sede em Atenas. Apoia os Estados-Membros e as instituições da UE em matéria de política de cibersegurança, cooperação operacional e o quadro de certificação da UE. Está operacionalmente envol - [Apetite ao risco](https://cyberacademy.net/pt/resources/encyclopedia/risk-appetite): O apetite ao risco é a quantidade e o tipo de risco que a organização está disposta a aceitar para atingir os seus objetivos. Definido ao nível executivo ou do conselho de administração, por escrito. Sem ele, cada decisão de tratamento do r - [Auditoria de Fase 1 / Fase 2](https://cyberacademy.net/pt/resources/encyclopedia/stage-1-2-audit): A certificação ISO inicial divide-se em fase 1 (revisão da documentação e prontidão, normalmente 1 a 2 dias) e fase 2 (auditoria de evidências operacionais, 2 a 5 dias). A fase 1 confirma que o sistema de gestão existe no papel; a fase 2 ve - [Autenticação Multi-Fator](https://cyberacademy.net/pt/resources/encyclopedia/mfa): MFA é o requisito de que a autenticação utilize dois ou mais fatores de categorias distintas (conhecimento, posse, inerência). Nem todos os MFA são equivalentes: códigos por SMS e e-mail são suscetíveis a phishing, as notificações push prov - [Business Email Compromise](https://cyberacademy.net/pt/resources/encyclopedia/bec): BEC é o ataque de engenharia social direcionado que se faz passar por um executivo ou fornecedor para redirecionar um pagamento ou induzir um colaborador a aprová-lo. Não requer malware; é puro pretexting. A perda média por incidente supera - [Business Impact Analysis](https://cyberacademy.net/pt/resources/encyclopedia/bia): Uma BIA é a análise estruturada que quantifica o impacto da interrupção em cada atividade crítica ao longo do tempo. Os resultados incluem o objetivo de tempo de recuperação, o objetivo de ponto de recuperação e o objetivo mínimo de continu - [CIS Controls](https://cyberacademy.net/pt/resources/encyclopedia/cis-controls): Os CIS Critical Security Controls são um conjunto priorizado de 18 categorias de controlos publicado pelo Center for Internet Security. Os grupos de implementação (IG1, IG2, IG3) correspondem à maturidade da organização. A forma mais rápida - [COBIT](https://cyberacademy.net/pt/resources/encyclopedia/cobit): COBIT é o framework da ISACA para a governação e gestão das tecnologias de informação empresariais. A edição atual é o COBIT 2019. É o framework utilizado pelas Big Four para avaliar a maturidade da governação de TI e a referência para a cr - [Certificate of Cloud Auditing Knowledge](https://cyberacademy.net/pt/resources/encyclopedia/ccak): CCAK é a credencial conjunta ISACA / Cloud Security Alliance para auditores de cloud. Abrange governação cloud, CCM, o programa STAR e considerações de auditoria específicas a hiperscalers. A extensão natural para um titular de CISA cujo âm - [Certificação CSX-P de Profissional em Cibersegurança](https://cyberacademy.net/pt/resources/encyclopedia/csx-p): O CSX-P é a credencial prática de cibersegurança da ISACA, baseada em desempenho. Avaliado num ambiente de cyber-range em direto, cobrindo as cinco funções do NIST CSF. Menos conhecido do que o CISM ou o CISA, mas é a credencial rara em que - [Certified Cybersecurity Operations Analyst](https://cyberacademy.net/pt/resources/encyclopedia/ccoa): CCOA é a credencial prática de operações de cibersegurança da ISACA, centrada no trabalho de SOC: monitorização, deteção, resposta e recuperação. O complemento técnico do CISM. Mais adequado para analistas e responsáveis por resposta a inci - [Certified Data Privacy Solutions Engineer](https://cyberacademy.net/pt/resources/encyclopedia/cdpse): CDPSE é a credencial técnica de privacidade da ISACA. Três domínios: governação de privacidade, arquitetura de privacidade, ciclo de vida dos dados. O complemento técnico das credenciais DPO/CDPO orientadas para a política. Indicado para eq - [Certified Information Security Manager](https://cyberacademy.net/pt/resources/encyclopedia/cism): CISM é a credencial ISACA para gestores de segurança da informação: governação, gestão de programas, gestão do risco, gestão de incidentes. O padrão de referência para funções de liderança em segurança, exigido em cerca de 60% das ofertas d - [Certified Information Systems Auditor](https://cyberacademy.net/pt/resources/encyclopedia/cisa): CISA é a certificação de referência em auditoria de TI, atribuída pela ISACA desde 1978. Cinco domínios que abrangem o processo de auditoria, governação, aquisição, operações e proteção de ativos. A certificação de eleição nos projetos das - [Certified in Risk and Information Systems Control](https://cyberacademy.net/pt/resources/encyclopedia/crisc): CRISC é a credencial de risco da ISACA para profissionais de risco de TI. Identificação, avaliação, resposta e monitorização ligadas aos sistemas de informação. Faz a ponte entre o risco de negócio e o risco de TI. Complemento natural do CI - [Certified in the Governance of Enterprise IT](https://cyberacademy.net/pt/resources/encyclopedia/cgeit): CGEIT é a credencial ISACA para profissionais sénior que assessoram a governação de TI empresarial: alinhamento estratégico, criação de valor, otimização de risco e de recursos. Fundamentada no COBIT. Mercado mais restrito do que o CISA / C - [Chief Information Security Officer](https://cyberacademy.net/pt/resources/encyclopedia/ciso): O CISO é o executivo responsável pela estratégia de segurança da informação. É titular do registo de riscos, lidera a resposta a incidentes, informa o conselho de administração e aprova o risco residual. Ao abrigo do NIS 2 e do DORA, a resp - [Cláusulas Contratuais Padrão](https://cyberacademy.net/pt/resources/encyclopedia/scc): As SCCs são as cláusulas modelo aprovadas pela Comissão Europeia para transferir dados pessoais para países terceiros sem uma decisão de adequação. As SCCs de 2021 substituíram as versões anteriores e exigem uma Avaliação de Impacto da Tran - [Commission nationale de l'informatique et des libertés](https://cyberacademy.net/pt/resources/encyclopedia/cnil): A CNIL é a autoridade francesa de proteção de dados, criada em 1978. Aplica o GDPR em França, emite decisões vinculativas e coimas, publica orientações (cookies, biometria, IA) e disponibiliza a ferramenta PIA. É uma das autoridades de supe - [Cyber Resilience Act](https://cyberacademy.net/pt/resources/encyclopedia/cra): O Cyber Resilience Act é o regulamento europeu que impõe obrigações de segurança de base a produtos de hardware e software com elementos digitais comercializados na Europa. Obrigações do fornecedor ao longo do ciclo de vida: segurança por d - [Cybersecurity Maturity Model Certification](https://cyberacademy.net/pt/resources/encyclopedia/cmmc): CMMC é o modelo de maturidade em cibersegurança que o Departamento de Defesa dos EUA impõe aos seus contratantes que lidam com informação contratual federal e informação não classificada controlada. O CMMC 2.0 foi consolidado em três níveis - [Data Protection Impact Assessment](https://cyberacademy.net/pt/resources/encyclopedia/dpia): Uma DPIA é a análise estruturada que o GDPR exige antes de qualquer tratamento de dados de alto risco. Documenta a natureza, o âmbito, o contexto e as finalidades; avalia a necessidade e a proporcionalidade; identifica medidas de mitigação. - [Data Protection Officer](https://cyberacademy.net/pt/resources/encyclopedia/dpo): O DPO é o cargo exigido pelo GDPR que monitoriza a conformidade, aconselha o responsável pelo tratamento e atua como ponto de contacto com a autoridade de controlo. Obrigatório para entidades públicas e para tratamentos que impliquem monito - [Declaração de Aplicabilidade](https://cyberacademy.net/pt/resources/encyclopedia/soa): A SoA é o documento controlado que indica ao auditor quais controlos do Anexo A se aplicam à organização, com que fundamento e onde reside a evidência. Obrigatória ao abrigo da ISO 27001. A incoerência entre a SoA, o plano de tratamento de - [Defesa em profundidade](https://cyberacademy.net/pt/resources/encyclopedia/defense-in-depth): A defesa em profundidade é o princípio de sobrepor controlos de forma a que nenhuma falha isolada comprometa o sistema. Rede, endpoint, aplicação, dados, pessoas, físico: cada camada atrasa o atacante, aumenta o custo e ganha tempo de deteç - [Digital Operational Resilience Act](https://cyberacademy.net/pt/resources/encyclopedia/dora): DORA é o regulamento da UE que impõe um quadro de resiliência unificado às entidades financeiras e aos seus prestadores críticos de TIC. Cinco pilares: gestão do risco de TIC, reporte de incidentes, testes de resiliência incluindo TLPT, ris - [Diretiva NIS 1](https://cyberacademy.net/pt/resources/encyclopedia/nis-1): A NIS 1 (Diretiva 2016/1148) foi a primeira diretiva europeia de cibersegurança transversal a todos os setores, abrangendo operadores de serviços essenciais e prestadores de serviços digitais. Foi substituída pela NIS 2 em outubro de 2024 p - [Diretiva NIS 2](https://cyberacademy.net/pt/resources/encyclopedia/nis-2): NIS 2 é a diretiva europeia que coloca a responsabilidade de cibersegurança nos conselhos de administração. Se a organização for de média ou grande dimensão e operar num dos 18 setores listados, está em âmbito. O relógio começa no primeiro - [Diretiva ePrivacy](https://cyberacademy.net/pt/resources/encyclopedia/eprivacy): A Diretiva ePrivacy (2002/58/CE, alterada em 2009) é a «lei dos cookies» que toda a gente implementa a meias. Rege a confidencialidade das comunicações eletrónicas e as tecnologias de rastreamento em dispositivos de utilizadores. Mais antig - [Disaster Recovery](https://cyberacademy.net/pt/resources/encyclopedia/disaster-recovery): Disaster recovery é o subconjunto de BCM orientado às TI: restaurar infraestrutura, aplicações e dados após uma perturbação. O RPO, o RTO e os runbooks residem aqui. O plano de DR que nunca foi testado de ponta a ponta é uma ficção. O ISO 2 - [Distributed Denial of Service](https://cyberacademy.net/pt/resources/encyclopedia/ddos): DDoS é o ataque que inunda um serviço a partir de múltiplas origens para esgotar a capacidade disponível. Pode ser volumétrico, ao nível do protocolo ou da camada aplicacional. A mitigação tornou-se uma commodity (Cloudflare, Akamai, AWS Sh - [EBIOS Risk Manager](https://cyberacademy.net/pt/resources/encyclopedia/ebios-rm): EBIOS Risk Manager é o método de gestão do risco cibernético da ANSSI, centrado em cenários de ataque estratégicos. Mapeia os processos de negócio face aos objetivos dos atacantes e daí deriva os controlos técnicos. É a referência no setor - [EU AI Act](https://cyberacademy.net/pt/resources/encyclopedia/ai-act): O EU AI Act é o primeiro regulamento abrangente sobre IA no mundo. Quatro níveis de risco: inaceitável (proibido), elevado (obrigações pesadas e avaliação de conformidade), limitado (transparência), mínimo. Aplica-se por fases até agosto de - [Endpoint Detection and Response](https://cyberacademy.net/pt/resources/encyclopedia/edr): EDR é a plataforma baseada em agente que regista a atividade dos endpoints, deteta comportamentos suspeitos e permite aos analistas isolar ou remediar hosts comprometidos. XDR alarga a visibilidade a endpoints, rede e cloud; MDR é a camada - [Exercício de mesa](https://cyberacademy.net/pt/resources/encyclopedia/tabletop): Um exercício de mesa é uma simulação baseada em discussão de um cenário perturbador com a equipa de resposta reunida à mesa. Barato, rápido, expõe as lacunas que nenhuma revisão documental revela. Prática exigida ao abrigo do ISO 22301, NIS - [Gestão da Continuidade de Negócio](https://cyberacademy.net/pt/resources/encyclopedia/bcm): BCM é a disciplina que identifica ameaças às operações críticas e define os planos e procedimentos para as manter em funcionamento durante uma perturbação. Não é um projeto pontual. A equipa de BCM que responde eficazmente num incidente rea - [Gestão de Identidade e Acesso](https://cyberacademy.net/pt/resources/encyclopedia/iam): IAM é a disciplina que gere quem pode aceder a quê, quando, como e em que condições. Aprovisionamento, autenticação, autorização, desaprovisionamento. A identidade é o novo perímetro. Toda a arquitetura Zero Trust é, no fundo, um problema c - [Gestão de Risco de Terceiros](https://cyberacademy.net/pt/resources/encyclopedia/tprm): TPRM é a disciplina que governa o risco introduzido por fornecedores, subcontratados e prestadores de serviços. Diligência prévia no onboarding, cláusulas contratuais, garantia contínua, offboarding. Exigida pelo NIS 2 (segurança da cadeia - [Gestão de patches](https://cyberacademy.net/pt/resources/encyclopedia/patch-management): A gestão de patches é o processo operacional que aplica uma correção publicada em todo o parque, com um SLA definido e verificação. Frequentemente o elo mais fraco: os patches de emergência colidem com as janelas de mudança, a compatibilida - [Gestão de vulnerabilidades](https://cyberacademy.net/pt/resources/encyclopedia/vulnerability-management): A gestão de vulnerabilidades é o ciclo de descoberta, priorização, remediação e verificação de vulnerabilidades no parque tecnológico. Os scanners identificam milhares; a disciplina está na priorização (criticidade do ativo + disponibilidad - [ISO 19011](https://cyberacademy.net/pt/resources/encyclopedia/iso-19011): ISO 19011 é a norma de diretrizes para auditoria de sistemas de gestão. Genérica, aplica-se igualmente a auditorias ISO 27001, 9001 e 22301. Define os princípios de auditoria, a gestão do programa, o ciclo de auditoria e a competência dos a - [ISO 22301](https://cyberacademy.net/pt/resources/encyclopedia/iso-22301): ISO 22301 é a norma internacional para sistemas de gestão da continuidade de negócio (BCMS). Define os requisitos para planear, operar, monitorizar e melhorar um BCMS que permita retomar as operações críticas após uma interrupção. É cada ve - [ISO 31000](https://cyberacademy.net/pt/resources/encyclopedia/iso-31000): ISO 31000 é a norma genérica de gestão do risco. Princípios, enquadramento e processo iterativo. NÃO é um sistema de gestão certificável, não existe ISO 31000 Lead Auditor, apesar do que alguns catálogos afirmam. O percurso PECB é Foundatio - [ISO/IEC 27001](https://cyberacademy.net/pt/resources/encyclopedia/iso-27001): ISO 27001 é o referencial certificável que os auditores utilizam para avaliar a segurança da informação. A revisão de 2022 reduziu o Anexo A para 93 controlos organizados em quatro temas (organizacional, pessoas, físico, tecnológico). O SGS - [ISO/IEC 27002](https://cyberacademy.net/pt/resources/encyclopedia/iso-27002): ISO 27002 é o guia de implementação dos controlos do Anexo A da ISO 27001. Não é certificável por si só. Os auditores recorrem a ele quando pretendem questionar COMO se opera um controlo, e não apenas se está "em vigor". Trate-o como o manu - [ISO/IEC 27005](https://cyberacademy.net/pt/resources/encyclopedia/iso-27005): ISO 27005 é a metodologia de gestão do risco de segurança da informação que se articula com a ISO 27001. Identificação, análise, avaliação, tratamento, aceitação. A revisão de 2022 alinha-se com os princípios da ISO 31000 e clarifica a rela - [ISO/IEC 27017](https://cyberacademy.net/pt/resources/encyclopedia/iso-27017): ISO 27017 é a extensão de controlos de segurança na nuvem ao ISO 27001. Acrescenta controlos específicos para ambientes cloud e clarifica a divisão de responsabilidade partilhada entre fornecedor e cliente. Se o âmbito do seu ISMS incluir c - [ISO/IEC 27018](https://cyberacademy.net/pt/resources/encyclopedia/iso-27018): ISO 27018 é a extensão de controlos de privacidade ao ISO 27001 para fornecedores cloud que atuam como subcontratantes de informação pessoalmente identificável. Estabelece a ponte entre o ISO 27001 e as obrigações do subcontratante ao abrig - [ISO/IEC 27034](https://cyberacademy.net/pt/resources/encyclopedia/iso-27034): ISO 27034 é a norma de segurança de aplicações. Multi-parte. Cobre o ciclo de vida seguro do software: requisitos, conceção, construção, testes, implementação e manutenção. Menos conhecida do que a 27001 porque vive dentro do SDLC, mas é a - [ISO/IEC 27037](https://cyberacademy.net/pt/resources/encyclopedia/iso-27037): ISO 27037 é a norma de forense digital para identificar, recolher, adquirir e preservar prova digital. A referência que uma equipa forense interna, um CERT ou um consultor de apoio a litígio utiliza para manter a cadeia de custódia íntegra. - [ISO/IEC 27701](https://cyberacademy.net/pt/resources/encyclopedia/iso-27701): ISO 27701 é a extensão de gestão de informações de privacidade ao ISO 27001. Acrescenta obrigações de responsável pelo tratamento e subcontratante ao ISMS. Útil para organizações que pretendem um sistema de gestão único e certificável, cobr - [ISO/IEC 42001](https://cyberacademy.net/pt/resources/encyclopedia/iso-42001): ISO 42001 é a primeira norma internacional para sistemas de gestão de inteligência artificial, publicada no final de 2023. O equivalente AIMS do ISMS do ISO 27001. Concebida para organizações que necessitam de gerir a conceção, implementaçã - [Information Systems Audit and Control Association](https://cyberacademy.net/pt/resources/encyclopedia/isaca): A ISACA é a associação global para profissionais de auditoria de TI, segurança, risco e governança. Fundada em 1969, com sede em Schaumburg (IL), conta com mais de 165 000 membros em 188 países. Atribui as certificações CISA, CISM, CRISC, C - [Lead Auditor](https://cyberacademy.net/pt/resources/encyclopedia/lead-auditor): Lead Auditor é a credencial PECB para profissionais que planeiam e conduzem auditorias de terceira parte ou internas a um sistema de gestão. Curso de cinco dias baseado na ISO 19011. Ponto de entrada para se tornar auditor de organismo de c - [Lead Ethical Hacker](https://cyberacademy.net/pt/resources/encyclopedia/lead-ethical-hacker): Lead Ethical Hacker é a credencial certificada pela PECB para profissionais de segurança ofensiva. Abrange metodologia, definição de âmbito, reconhecimento, exploração, reporte e ética. O complemento de acreditação para credenciais práticas - [Lead Implementer](https://cyberacademy.net/pt/resources/encyclopedia/lead-implementer): Lead Implementer é a credencial PECB para profissionais que planeiam, constroem e gerem um sistema de gestão baseado numa norma ISO específica (mais frequentemente ISO/IEC 27001, ISO/IEC 42001 ou ISO 22301). Curso de cinco dias, exame e cer - [MITRE ATT&CK](https://cyberacademy.net/pt/resources/encyclopedia/mitre-attack): MITRE ATT&CK é a base de conhecimento aberta sobre táticas, técnicas e procedimentos (TTPs) de adversários observados em ambiente real. Vocabulário normalizado para a defesa orientada por ameaças: regras de deteção, cenários de red team, fo - [Mean Time to Detect / Recover](https://cyberacademy.net/pt/resources/encyclopedia/mttd-mttr): MTTD é o tempo médio entre o início de um incidente e a sua deteção. MTTR é o tempo médio entre a deteção e a recuperação. Em conjunto, constituem as métricas operacionais de referência de um SOC e de um programa de resposta a incidentes. O - [Mínimo privilégio](https://cyberacademy.net/pt/resources/encyclopedia/least-privilege): O mínimo privilégio é o princípio segundo o qual cada identidade (humana ou máquina) recebe as permissões mínimas necessárias para a função, e nada mais. Parece óbvio; raramente é aplicado. A maioria dos incidentes de exfiltração de dados c - [NIST Cybersecurity Framework](https://cyberacademy.net/pt/resources/encyclopedia/nist-csf): O NIST CSF é o framework de cibersegurança publicado pelo Instituto Nacional de Normas e Tecnologia dos EUA. A revisão 2.0 (2024) acrescentou "Govern" às cinco funções existentes (Identify, Protect, Detect, Respond, Recover). Não é certific - [NIST SP 800-171](https://cyberacademy.net/pt/resources/encyclopedia/nist-800-171): NIST SP 800-171 é a norma americana que define os requisitos de segurança para a proteção de informação não classificada controlada em sistemas não federais. É a base técnica do CMMC para contratantes de defesa. A Revisão 3 (2024) reforçou - [Não conformidade (NC)](https://cyberacademy.net/pt/resources/encyclopedia/non-conformity): Uma não conformidade é a constatação, por parte do auditor, de que um requisito não está a ser cumprido. As NC maiores colocam em risco a certificação; as NC menores exigem um plano de ações corretivas com prazo definido. NC menores repetid - [Objetivos de Tempo de Recuperação e de Ponto de Recuperação](https://cyberacademy.net/pt/resources/encyclopedia/rto-rpo): O RTO é a duração máxima aceitável durante a qual um processo de negócio pode estar indisponível antes de causar danos inaceitáveis. O RPO é a perda máxima de dados medida em tempo antes da perturbação. Ambos resultam da BIA. Os números que - [PCI DSS](https://cyberacademy.net/pt/resources/encyclopedia/pci-dss): PCI DSS é o Payment Card Industry Data Security Standard. Obrigatório para qualquer entidade que armazene, processe ou transmita dados de titulares de cartão. A versão 4.0.1 é a revisão atual, totalmente obrigatória desde 31 de março de 202 - [Phishing](https://cyberacademy.net/pt/resources/encyclopedia/phishing): Phishing é o ataque de engenharia social que engana um utilizador levando-o a clicar numa ligação maliciosa, abrir um ficheiro malicioso ou revelar credenciais. Variantes: spear phishing (dirigido), whaling (executivos), smishing (SMS), vis - [Privacy by design e by default](https://cyberacademy.net/pt/resources/encyclopedia/privacy-by-design): Privacy by design (artigo 25.º do GDPR) é a obrigação de incorporar controlos de privacidade nos sistemas desde a fase de requisitos. Privacy by default é a obrigação de tornar a opção de maior proteção a opção padrão. Os auditores procuram - [Privileged Access Management](https://cyberacademy.net/pt/resources/encyclopedia/pam): PAM é o subconjunto do IAM centrado nas contas privilegiadas: administradores, root, contas de serviço, break-glass. Coloca credenciais em cofre, faz brokers de sessões, regista a atividade. É o primeiro alvo do atacante após o foothold ini - [Professional Evaluation and Certification Board](https://cyberacademy.net/pt/resources/encyclopedia/pecb): PECB é o organismo de certificação acreditado, sediado em Montreal, que emite credenciais profissionais sobre mais de 30 normas ISO em mais de 150 países. Segurança da informação, risco, BCM, governação de IA, privacidade, qualidade. A Cybe - [Pseudonimização](https://cyberacademy.net/pt/resources/encyclopedia/pseudonymisation): A pseudonimização é a técnica prevista no artigo 4.º, n.º 5, do GDPR que consiste em substituir identificadores diretos por tokens reversíveis, com a chave armazenada separadamente. Reduz o risco e gera boa vontade regulatória, mas os dados - [Ransomware](https://cyberacademy.net/pt/resources/encyclopedia/ransomware): Ransomware é a classe de malware que cifra dados e exige pagamento pela chave, frequentemente combinada com roubo de dados e extorsão (dupla extorsão). Vetores de ataque: phishing, exposição a sistemas com acesso à internet, cadeia de abast - [Registo das Atividades de Tratamento](https://cyberacademy.net/pt/resources/encyclopedia/ropa): O ROPA é o inventário documentado das atividades de tratamento exigido pelo Artigo 30.º do GDPR. Os responsáveis pelo tratamento registam a finalidade, as categorias, os destinatários, a retenção e as transferências; os subcontratantes regi - [Registo de riscos](https://cyberacademy.net/pt/resources/encyclopedia/risk-register): O registo de riscos é a lista canónica e dinâmica dos riscos identificados, com a respetiva análise, avaliação, tratamento e responsabilidade. Não é uma folha de cálculo pontual. Os auditores esperam entradas datadas, responsáveis nomeados, - [Regulamento Geral sobre a Proteção de Dados](https://cyberacademy.net/pt/resources/encyclopedia/gdpr): O GDPR regula os dados pessoais na UE e em qualquer organização que sirva residentes da UE. Base jurídica, direitos dos titulares dos dados, responsabilização, notificação de violações, fiscalização pelas autoridades de controlo. As coimas - [Risco inerente vs risco residual](https://cyberacademy.net/pt/resources/encyclopedia/inherent-residual-risk): O risco inerente é a exposição antes dos controlos. O risco residual é o que permanece após a aplicação dos controlos. Os auditores analisam o desfasamento: deve ser justificado, aceite (ou tratado adicionalmente) por um responsável identif - [SOC 2](https://cyberacademy.net/pt/resources/encyclopedia/soc-2): SOC 2 é o relatório de atestação da AICPA sobre os controlos de uma organização de serviços, abrangendo cinco critérios de confiança (segurança, disponibilidade, integridade do processamento, confidencialidade, privacidade). Referência canó - [Schrems II](https://cyberacademy.net/pt/resources/encyclopedia/schrems-ii): Schrems II é o acórdão do TJUE de 2020 que anulou o Privacy Shield UE-EUA e introduziu o requisito de Avaliação de Impacto da Transferência. Cada transferência para um país terceiro exige agora uma análise documentada da legislação local em - [Security Information and Event Management](https://cyberacademy.net/pt/resources/encyclopedia/siem): Um SIEM agrega logs, normaliza eventos e executa regras de deteção em toda a sua infraestrutura. É a camada de visibilidade da qual o SOC depende. Os principais fornecedores de SIEM (Splunk, Sentinel, Elastic, Sumo) integram cada vez mais S - [Security Operations Center](https://cyberacademy.net/pt/resources/encyclopedia/soc): Um SOC é a equipa e o conjunto de ferramentas que monitoriza, deteta, analisa e responde a eventos de segurança em tempo real. Analistas por níveis (T1 deteção, T2 investigação, T3 threat hunting), 8x5 ou 24x7. Interno, externalizado (MSSP) - [Security Orchestration, Automation and Response](https://cyberacademy.net/pt/resources/encyclopedia/soar): SOAR é a camada que recebe alertas do SIEM e executa playbooks: enriquecimento, triagem, contenção, gestão de tickets. Objetivo: reduzir o MTTR e libertar os analistas de trabalho repetitivo. Atenção às promessas excessivas dos fornecedores - [Sistema de Gestão de Segurança da Informação](https://cyberacademy.net/pt/resources/encyclopedia/isms): Um ISMS é o sistema documentado que gere para proteger os ativos de informação. Baseia-se no risco, sustenta-se em evidências e está sujeito a revisão pela gestão. Não é um dossier de políticas. Os auditores não avaliam as suas políticas; a - [Teste de intrusão](https://cyberacademy.net/pt/resources/encyclopedia/penetration-testing): Um teste de intrusão é uma simulação de ataque autorizada e delimitada, com o objetivo de identificar vulnerabilidades exploráveis antes que atacantes reais o façam. Black box / grey box / white box, interno / externo, aplicação / infraestr - [Threat-Led Penetration Testing](https://cyberacademy.net/pt/resources/encyclopedia/tlpt): TLPT é o exercício de red team supervisionado pelo regulador, exigido pelo DORA às entidades financeiras significativas. Baseia-se no framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Decorre ao longo de vários meses, é or - [Tratamento do risco](https://cyberacademy.net/pt/resources/encyclopedia/risk-treatment): O tratamento do risco é o que se faz depois de conhecer o risco: evitar, reduzir, transferir, aceitar. Cada decisão é documentada, justificada pelo apetite ao risco e rastreada através da SoA até aos controlos e às evidências operacionais. - [Zero Trust](https://cyberacademy.net/pt/resources/encyclopedia/zero-trust): Zero Trust é o modelo de segurança em que se abandona a confiança no perímetro de rede. Cada decisão de acesso é autenticada, autorizada e avaliada contextualmente, sempre. A identidade torna-se o perímetro. Nasceu na Forrester, foi popular ## Courses catalogue > Formal training programs with a certification at the end (PECB, ISACA). Available in live sessions and self-paced formats. - [CISA: Certified Information Systems Auditor](https://cyberacademy.net/pt/courses/cisa): A credencial de referência da ISACA para auditoria de TI. Cinco domínios, exame de quatro horas, a certificação de auditoria por defeito nas missões das Big Four. Coorte de quatro dias com uma repetição de exame incluída. - [CISM: Certified Information Security Manager](https://cyberacademy.net/pt/courses/cism): A credencial de referência ISACA para a gestão de segurança. Quatro domínios, a certificação exigida em cerca de 60% das ofertas de emprego para CISO. Formação de quatro dias com uma repetição de exame incluída. - [CRISC: Certified in Risk and Information Systems Control](https://cyberacademy.net/pt/courses/crisc): A credencial de referência da ISACA em risco de TI. Quatro domínios que ligam o risco de negócio aos controlos de SI. O complemento natural do CISA e do ISO 31000 / 27005 para o vocabulário ISACA. - [AAIA: Advanced in AI Audit](https://cyberacademy.net/pt/courses/aaia): A credencial avançada da ISACA para auditores que transitam para a IA. Metodologia de auditoria de sistemas de IA, avaliação de risco de IA, frameworks de governação de IA. Intensivo de três dias; CISA recomendado como base. - [AAIR: Advanced in AI Risk](https://cyberacademy.net/pt/courses/aair): A credencial avançada ISACA para gestores de risco que constroem um programa de risco em IA. Avaliação do risco de IA, tratamento do risco, governação do risco de IA. Três dias intensivos; CRISC recomendado como base. - [AAISM: Advanced in AI Security Management](https://cyberacademy.net/pt/courses/aaism): A credencial avançada da ISACA para gestores de segurança que constroem um programa de segurança em IA. Modelação de ameaças em IA, ciclo de vida seguro de modelos, operações de segurança em IA. Formação intensiva de três dias; CISM recomen - [CGEIT: Certified in the Governance of Enterprise IT](https://cyberacademy.net/pt/courses/cgeit): A credencial de referência da ISACA em governação de TI ao nível executivo. Cinco domínios que cobrem framework, gestão estratégica, realização de benefícios, otimização do risco e otimização dos recursos. Concebida para CIOs, responsáveis - [CDPSE: Certified Data Privacy Solutions Engineer](https://cyberacademy.net/pt/courses/cdpse): A credencial ISACA na interseção entre privacidade e tecnologia. Três domínios que abrangem governação de privacidade, arquitetura de privacidade e ciclo de vida dos dados. A certificação para engenheiros de privacidade que constroem sistem - [CCOA: Certified Cybersecurity Operations Analyst](https://cyberacademy.net/pt/courses/ccoa): A credencial prática da ISACA para analistas de SOC e operadores de ciberdefesa. Cinco domínios que cobrem monitorização, resposta a incidentes, threat hunting e threat intelligence. Nível practitioner; o exame combina cenários com pergunta - [COBIT 2019 Foundation](https://cyberacademy.net/pt/courses/cobit-foundation): A credencial de entrada para o framework de governação COBIT 2019. Formação de dois dias em grupo, cobrindo a estrutura do framework, princípios, fatores de design e componentes do sistema de governação. Grupo ao vivo com exame ISACA incluí - [COBIT 2019 Design & Implementation](https://cyberacademy.net/pt/courses/cobit-design-implementation): A credencial avançada de COBIT. Coorte de três dias centrada na aplicação dos fatores de conceção para construir um sistema de governação à medida, seguida da condução do roteiro de implementação. Coorte ao vivo com exame ISACA incluído. Fo - [Cybersecurity Audit Certificate (ISACA)](https://cyberacademy.net/pt/courses/cybersecurity-audit-certificate): O certificado ISACA dedicado à auditoria de cibersegurança. Dois dias em coorte, orientado por cenários, concebido para ligar a auditoria clássica de SI (CISA) às operações modernas de ciberdefesa. Útil para auditores que avaliam programas - [IT Audit Fundamentals (ISACA)](https://cyberacademy.net/pt/courses/it-audit-fundamentals): O certificado de entrada da ISACA em auditoria de TI. Formação de dois dias em grupo, cobrindo planeamento de auditoria, trabalho de campo, evidências e reporte através do vocabulário ISACA. Uma rampa de acesso clara antes do CISA. - [IT Risk Fundamentals (ISACA)](https://cyberacademy.net/pt/courses/it-risk-fundamentals): O certificado de entrada da ISACA em risco de TI. Formação de dois dias em coorte, introduzindo identificação, avaliação, resposta e monitorização do risco através do vocabulário ISACA. Uma base sólida antes do CRISC. - [ISO27001 - Foundation](https://cyberacademy.net/pt/courses/iso27001-foundation): Formação oficial de certificação ISO27001 - Foundation acreditada pela PECB. Curso online em direto com instrutores especializados e garantia de certificação ou reembolso. Inscreva-se... - [AI Risk Manager](https://cyberacademy.net/pt/courses/ai-risk-manager): Certificação PECB AI Risk Manager. Formação online ao vivo com garantia de certificação ou reembolso. - [Certified Artificial Intelligence Professional (CAIP)](https://cyberacademy.net/pt/courses/certified-artificial-intelligence-professional-caip): Certificação PECB Certified Artificial Intelligence Professional (CAIP). Formação online ao vivo com garantia de certificação ou reembolso. - [Certified CISO by PECB](https://cyberacademy.net/pt/courses/certified-ciso-by-pecb): Formação oficial para a certificação Certified CISO by PECB, acreditada pela PECB. Curso online em direto com instrutores especializados e garantia de certificação ou reembolso. Inscreva-se... - [Certified Lead Crisis Manager](https://cyberacademy.net/pt/courses/certified-lead-crisis-manager): Certificação PECB Certified Lead Crisis Manager. Formação online em direto com garantia de certificação ou reembolso. - [PECB CMMC Foundations](https://cyberacademy.net/pt/courses/cmmc-foundations): Formação oficial certificada PECB CMMC Foundations. Curso online ao vivo com instrutores especializados e garantia de certificação ou reembolso. Inscreva-se... - [Cyber Threat Analyst](https://cyberacademy.net/pt/courses/cyber-threat-analyst): Certificação Cyber Threat Analyst acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. - [Cybersecurity Foundation](https://cyberacademy.net/pt/courses/cybersecurity-foundation): Certificação Cybersecurity Foundation acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [DORA Foundation](https://cyberacademy.net/pt/courses/dora-foundation): DORA Foundation para o setor financeiro. Gestão de risco TIC e reporte de incidentes. Acreditado PECB. - [DORA Lead Manager](https://cyberacademy.net/pt/courses/dora-lead-manager): Torne-se um DORA Lead Manager certificado. Implemente a resiliência operacional digital em instituições financeiras. Curso acreditado pela PECB com exame incluído. - [EBIOS Risk Manager](https://cyberacademy.net/pt/courses/ebios-risk-manager): Formação oficial para certificação EBIOS RM. Aprenda a metodologia de avaliação de risco ANSSI de 5 workshops. Curso acreditado pela PECB com exercícios práticos e exame. - [GDPR - Certified Data Protection Officer](https://cyberacademy.net/pt/courses/gdpr-certified-data-protection-officer): Certificação GDPR - Certified Data Protection Officer acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [GDPR Foundation](https://cyberacademy.net/pt/courses/gdpr-foundation): Certificação GDPR Foundation acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 22301 Foundation](https://cyberacademy.net/pt/courses/iso-22301-foundation): Certificação ISO 22301 Foundation acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 22301 Lead Auditor](https://cyberacademy.net/pt/courses/iso-22301-lead-auditor): Certificação ISO 22301 Lead Auditor acreditada pela PECB. Formação online em direto com garantia certificado ou reembolso. - [ISO 22301 Lead Implementer](https://cyberacademy.net/pt/courses/iso-22301-lead-implementer): Certificação ISO 22301 Lead Implementer acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. - [ISO 27005 Foundation](https://cyberacademy.net/pt/courses/iso-27005-foundation): Formação oficial de certificação ISO 27005 Foundation acreditada pela PECB. Curso online ao vivo com instrutores especializados e garantia de certificação ou reembolso. Inscreva-se ... - [ISO 27005 Lead Risk Manager](https://cyberacademy.net/pt/courses/iso-27005-lead-risk-manager): Formação oficial PECB para certificação ISO 27005 Lead Risk Manager. Curso online ao vivo com instrutores especializados e garantia de certificação ou reembolso. ... - [ISO 27005 Risk Manager](https://cyberacademy.net/pt/courses/iso-27005-risk-manager): Formação certificada PECB ISO 27005 Risk Manager. Domine a avaliação, o tratamento e a monitorização do risco de segurança da informação. Metodologia prática com exame incluído... - [ISO 27033 Lead Network Security Manager](https://cyberacademy.net/pt/courses/iso-27033-lead-network-security-manager): Certificação ISO 27033 Lead Network Security Manager acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 27034 Lead Application Security Auditor](https://cyberacademy.net/pt/courses/iso-27034-lead-application-security-auditor): Certificação ISO 27034 Lead Application Security Auditor acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 27034 Lead Application Security Implementer](https://cyberacademy.net/pt/courses/iso-27034-lead-application-security-implementer): Certificação PECB ISO 27034 Lead Application Security Implementer. Formação online em direto com garantia certificado ou reembolso. - [ISO 27035 Foundation](https://cyberacademy.net/pt/courses/iso-27035-foundation): Formação oficial PECB para a certificação ISO 27035 Foundation. Curso online ao vivo com instrutores especializados e garantia de certificação ou reembolso. Inscreva-se ... - [ISO 27035 Lead Incident Manager](https://cyberacademy.net/pt/courses/iso-27035-lead-incident-manager): Certificação ISO 27035 Lead Incident Manager acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. - [ISO 27701 Foundation](https://cyberacademy.net/pt/courses/iso-27701-foundation): Certificação ISO 27701 Foundation acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 27701 Lead Auditor](https://cyberacademy.net/pt/courses/iso-27701-lead-auditor): Certificação ISO 27701 Lead Auditor acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 27701 Lead Implementer](https://cyberacademy.net/pt/courses/iso-27701-lead-implementer): Certificação ISO 27701 Lead Implementer acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 31000 Foundation](https://cyberacademy.net/pt/courses/iso-31000-foundation): Certificação ISO 31000 Foundation acreditada pela PECB. Formação online em direto com garantia certificado ou reembolso. - [ISO 31000 Lead Risk Manager](https://cyberacademy.net/pt/courses/iso-31000-lead-risk-manager): Certificação ISO 31000 Lead Risk Manager acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 31000 Risk Manager](https://cyberacademy.net/pt/courses/iso-31000-risk-manager): Certificação PECB ISO 31000 Risk Manager. Formação online em direto com garantia de certificação ou reembolso. - [ISO 42001 Foundation](https://cyberacademy.net/pt/courses/iso-42001-foundation): Certificação ISO 42001 Foundation acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. - [ISO 42001 Lead Auditor](https://cyberacademy.net/pt/courses/iso-42001-lead-auditor): Certificação ISO 42001 Lead Auditor acreditada pela PECB. Formação online em direto com garantia certificado-ou-reembolso. - [ISO 42001 Lead Implementer](https://cyberacademy.net/pt/courses/iso-42001-lead-implementer): Certificação ISO 42001 Lead Implementer acreditada pela PECB. Formação online em direto com garantia certificado ou reembolso. - [ISO 9001 Foundation](https://cyberacademy.net/pt/courses/iso-9001-foundation): Certificação ISO 9001 Foundation acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 9001 Lead Auditor](https://cyberacademy.net/pt/courses/iso-9001-lead-auditor): Certificação ISO 9001 Lead Auditor acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO 9001 Lead Implementer](https://cyberacademy.net/pt/courses/iso-9001-lead-implementer): Certificação ISO 9001 Lead Implementer acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [ISO27001 - Lead Auditor](https://cyberacademy.net/pt/courses/iso27001-lead-auditor): Formação oficial de certificação ISO27001 - Lead Auditor acreditada pela PECB. Curso online ao vivo com instrutores especializados e garantia de certificação ou reembolso. Insc... - [ISO27001 - Lead Implementer](https://cyberacademy.net/pt/courses/iso27001-lead-implementer): Formação oficial certificada PECB para ISO27001 - Lead Implementer. Curso online em direto com instrutores especializados e garantia de certificação ou reembolso. ... - [ISO27002 Foundation](https://cyberacademy.net/pt/courses/iso27002-foundation): Formação oficial de certificação ISO27002 Foundation acreditada pela PECB. Curso online ao vivo com instrutores especializados e garantia de certificação ou reembolso. Inscreva-se j... - [ISO27002 Lead Manager](https://cyberacademy.net/pt/courses/iso27002-lead-manager): Formação oficial certificada PECB para ISO27002 Lead Manager. Curso online ao vivo com instrutores especializados e garantia certificado-ou-reembolso. Inscreva-se... - [ISO27002 Manager](https://cyberacademy.net/pt/courses/iso27002-manager): Formação oficial para a certificação PECB ISO27002 Manager, acreditada pela PECB. Curso online ao vivo com instrutores especializados e garantia de certificação ou reembolso. Inscreva-se hoje. - [Lead Cloud Security Manager](https://cyberacademy.net/pt/courses/lead-cloud-security-manager): Certificação Lead Cloud Security Manager acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. - [Lead Cybersecurity Manager](https://cyberacademy.net/pt/courses/lead-cybersecurity-manager): Certificação PECB Lead Cybersecurity Manager. Formação online em direto com garantia certificado ou reembolso. - [Lead Disaster Recovery Manager](https://cyberacademy.net/pt/courses/lead-disaster-recovery-manager): Certificação PECB Lead Disaster Recovery Manager. Formação online ao vivo com garantia de certificação ou reembolso. - [Lead Ethical Hacker](https://cyberacademy.net/pt/courses/lead-ethical-hacker): Certificação Lead Ethical Hacker acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. - [Lead Operational Resilience Manager](https://cyberacademy.net/pt/courses/lead-operational-resilience-manager): Certificação Lead Operational Resilience Manager acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [Lead SOC 2 Analyst](https://cyberacademy.net/pt/courses/lead-soc-2-analyst): Certificação Lead SOC 2 Analyst acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. - [NIS 2 Directive Foundation](https://cyberacademy.net/pt/courses/nis-2-directive-foundation): Certificação NIS 2 Directive Foundation acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso. - [NIS 2 Directive Lead Implementer](https://cyberacademy.net/pt/courses/nis-2-directive-lead-implementer): Certificação PECB NIS 2 Directive Lead Implementer. Formação online em direto com garantia de certificação ou reembolso. - [NIST Cybersecurity Consultant](https://cyberacademy.net/pt/courses/nist-cybersecurity-consultant): Certificação NIST Cybersecurity Consultant acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso. ## Articles (blog) > Short-form articles on regulatory news, practical templates, and career guidance. Most recent first. - [Como Preparar a Sua Organização para a Conformidade com o NIS 2](https://cyberacademy.net/pt/resources/blog/how-to-prepare-your-organization-for-nis2-compliance): A aplicação do NIS 2 começa em 2026. Este é o roteiro prático, direto e sem rodeios para tornar a sua organização conforme. Sem se afogar em papelada nem desperdiçar meses em teoria. - [Como Planear Auditorias Internas em Múltiplas Normas](https://cyberacademy.net/pt/resources/blog/how-to-plan-internal-audits-across-multiple-standards): Gerir ISO/IEC 27001, GDPR, NIS2, DORA, SOC 2 e outros em simultâneo pode parecer impossível. Eis como construir um programa único e eficiente de auditoria interna que funcione em todos os referenciais. - [Como Integrar o Risco de IA no Seu ISMS e Registo de Riscos Existentes](https://cyberacademy.net/pt/resources/blog/how-to-integrate-ai-risk-into-your-existing-isms-and-risk-register): A IA introduz novos riscos para os quais o seu ISMS nunca foi concebido. Aqui está o método claro e prático para integrar o risco de IA no seu registo de riscos ISO 27001 existente, sem reinventar todo o modelo de governação. - [Como Avaliar Fornecedores Terceiros como um CISO (Da Forma Certa)](https://cyberacademy.net/pt/resources/blog/how-to-evaluate-third-party-vendors-like-a-ciso-the-real-way): A segurança de fornecedores não se resume a checklists; trata-se de contexto, contratos, governação e credibilidade. Aqui está o guia direto e testado em campo para avaliar terceiros da forma como um CISO moderno realmente o faz. - [Como Construir uma Trilha de Auditoria que Resiste ao Escrutínio](https://cyberacademy.net/pt/resources/blog/how-to-build-an-audit-trail-that-stands-up-to-scrutiny): Reguladores, auditores e tribunais não se preocupam com aquilo que pretendia fazer; preocupam-se com o que consegue provar. Eis como construir uma trilha de auditoria que sobrevive a NIS2, DORA, GDPR, AI Act e a uma análise forense. - [Como Construir um Registo de Riscos de IA (com Modelo)](https://cyberacademy.net/pt/resources/blog/how-to-build-an-ai-risk-register-with-template): A IA introduz novos riscos que os registos de riscos tradicionais não conseguem capturar. Aqui está o método claro e pragmático para construir um registo de riscos de IA; e um modelo pronto a usar que pode aplicar hoje. - [Como a IA Está a Transformar a Auditoria e a Gestão de Conformidade](https://cyberacademy.net/pt/resources/blog/how-ai-is-changing-audit-and-compliance-management): A IA não substitui auditores nem equipas de conformidade; remodela a forma como trabalham. Uma análise prática e testada no terreno sobre como a IA transforma o risco, a auditoria, a evidência e a governação em 2026 e além. - [Avaliar Fornecedores de Cloud ao Abrigo do DORA e do NIS2](https://cyberacademy.net/pt/resources/blog/evaluating-cloud-providers-under-dora-nis2): Os fornecedores de cloud estão agora no centro da atenção regulatória. Veja como avaliá-los corretamente ao abrigo do DORA e do NIS2, sem se perder em burocracia nem ignorar riscos críticos. - [Conformidade Contínua: Transformar Auditorias em Prática Permanente](https://cyberacademy.net/pt/resources/blog/continuous-compliance-turning-audits-into-ongoing-practice): As auditorias anuais estão mortas. A conformidade contínua é o único modelo que resiste ao NIS2, ao DORA, ao ISO 27001, ao SOC 2, ao GDPR e ao AI Act. Eis como transformar a conformidade num hábito operacional vivo e respirante; não num ata - [O ChatGPT Consegue Redigir a Sua Política SGSI? Um Teste Real](https://cyberacademy.net/pt/resources/blog/can-chatgpt-draft-your-isms-policy-a-real-test): A IA consegue redigir as suas políticas de SGSI? Sim; mas não da forma que a maioria das pessoas imagina. Uma análise testada em contexto real sobre o que funciona, o que falha e como utilizar a IA com segurança no seu programa de governaçã - [Construir um Dashboard de Conformidade que Fale a Linguagem do Conselho](https://cyberacademy.net/pt/resources/blog/building-a-compliance-dashboard-that-speaks-board-language): A maioria dos dashboards de conformidade sobrecarrega os executivos com ruído. Eis como construir um que fale a linguagem do Conselho: claro, estratégico e pronto para a decisão. - [O Próximo Passo de Bruxelas: O Que Vem Depois do NIS2 e do DORA](https://cyberacademy.net/pt/resources/blog/brussels-next-move-what-comes-after-nis2-and-dora): NIS2 e DORA foram apenas a Fase 1. AI Act, Data Act, CRA, EUCS e novas regras de responsabilização estão prestes a definir a Fase 2. Este é o roteiro concreto que os responsáveis de GRC devem preparar. - [Articular o GDPR, o NIS2 e o DORA para uma conformidade unificada](https://cyberacademy.net/pt/resources/blog/bridging-gdpr-nis2-and-dora-for-unified-compliance): O GDPR, o NIS2 e o DORA sobrepõem-se mais do que a maioria das organizações percebe. Eis como construir um modelo de conformidade único em vez de três processos separados e problemáticos. - [O Programa de Sensibilização está morto.](https://cyberacademy.net/pt/resources/blog/awareness-program-is-dead): A formação de sensibilização reduz o risco, mas apenas quando é concebida para pessoas reais, incentivos reais e contexto do mundo real. Eis por que a maioria dos programas falha; e o que realmente funciona. - [ISO 27001: Herdei um SGSI. Era uma Pasta do SharePoint com 200 Documentos e uma Oração.](https://cyberacademy.net/pt/resources/blog/iso27001-i-inherited-an-isms): O que ninguém lhe conta sobre implementar o ISO 27001, e como deixar de fingir em 5 dias. 11 a 15 de maio, online. - [NIS 2 está em vigor. O seu regulador não vai esperar.](https://cyberacademy.net/pt/resources/blog/nis-2-is-live-your-regulator-wont-wait): Como passar de "li a diretiva" para "consigo implementá-la" em 5 dias. De 4 a 8 de maio, online. - [O Seu BIA É Provavelmente uma Folha de Cálculo Preenchida por Alguém Sozinho.](https://cyberacademy.net/pt/resources/blog/your-bia-is-probably-a-spreadsheet-someone-filled-in-alone): Modelo gratuito de Business Impact Assessment. Três secções. Matriz de impacto pré-construída. Pronto para ISO 22301. - [O Modelo de Política de BC/DR Que Não Morre no SharePoint](https://cyberacademy.net/pt/resources/blog/the-bc-dr-policy-template-that-doesnt-die-in-sharepoint): Download gratuito. Construído a partir de projetos reais. Não é mais um copy-paste de ISO. - [Storytelling para Líderes de Compliance](https://cyberacademy.net/pt/resources/blog/storytelling-for-compliance-leaders): Porque os factos informam, mas as histórias fazem as pessoas preocupar-se com o compliance. - [KPIs de GRC que Importam: Como Provar a Conformidade com Números](https://cyberacademy.net/pt/resources/blog/grc-kpis-that-matter-how-to-prove-compliance-with-numbers): A maioria dos KPIs de GRC é inútil. Aqui estão os que realmente provam a conformidade; e orientam decisões. - [Como Levar os Executivos a Preocuparem-se com o Risco](https://cyberacademy.net/pt/resources/blog/how-to-get-executives-to-care-about-risk): Como fazer com que os executivos se preocupem genuinamente com o risco; e ajam em conformidade. - [Dashboards GRC que os Executivos Realmente Leem](https://cyberacademy.net/pt/resources/blog/grc-dashboards-executives-actually-read): Se quer que os executivos prestem atenção, tem de deixar de reportar como um compliance officer e começar a reportar como um parceiro de negócio. - [Como Conduzir uma Avaliação de Risco que Não Aborrecerá o Conselho](https://cyberacademy.net/pt/resources/blog/how-to-run-a-risk-assessment-that-doesnt-bore-the-board): Se quer que o conselho se envolva de facto, e não apenas suporte os seus slides, é preciso transformar a avaliação de risco de um ritual de reporte numa conversa de decisão. Eis como. - [Como Falar de Compliance a Pessoas Sem Experiência em GRC (e Fazê-las Interessar-se pelo Tema)](https://cyberacademy.net/pt/resources/blog/how-to-talk-compliance-to-non-grc-people-and-make-them-care): Como Falar de GRC a Pessoas Sem Experiência em GRC (e Fazê-las Interessar-se pelo Tema) - [5 Erros nos Registos de Risco (e Como Corrigi-los)](https://cyberacademy.net/pt/resources/blog/5-mistakes-in-risk-registers-and-how-to-fix-them): Porque a maioria dos registos de risco são apenas folhas de cálculo dispendiosas cheias de boa vontade. - [Top 10 Lacunas que os Auditores Vão Procurar no Âmbito da NIS 2](https://cyberacademy.net/pt/resources/blog/top-10-gaps-auditors-will-look-for-under-nis2): E porque razão "temos uma política para isso" não será suficiente desta vez com a NIS 2 - [Da Lista de Verificação à Estratégia: O Fim da Conformidade Fictícia](https://cyberacademy.net/pt/resources/blog/from-checkbox-to-strategy-the-death-of-fake-compliance): A conformidade assente em listas de verificação está a morrer. Veja como as organizações passam de uma maturidade aparente para uma segurança estratégica real. - [AI Governance vs. AI Compliance: Qual é a Diferença?](https://cyberacademy.net/pt/resources/blog/ai-governance-vs-ai-compliance-whats-the-difference): E porque confundir AI Governance e AI Compliance vai colocá-lo em apuros. - [O Guia Definitivo sobre Certificações ISO para Profissionais de GRC](https://cyberacademy.net/pt/resources/blog/the-ultimate-guide-to-iso-certifications-for-grc-pros): Um guia prático e testado no terreno sobre as certificações ISO que todo profissional de GRC deve conhecer; e porque é que são relevantes na prática. - [Como Escrever Políticas que as Pessoas Realmente Seguem](https://cyberacademy.net/pt/resources/blog/how-to-write-policies-people-actually-follow): Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this. - [Políticas de Classificação de Dados que Realmente Funcionam](https://cyberacademy.net/pt/resources/blog/data-classification-policies-that-actually-work): Porque a maioria das etiquetas "Confidencial / Interno / Público" é meramente decorativa. - [De estagiário a CISO: Como construir uma carreira em GRC com escala](https://cyberacademy.net/pt/resources/blog/from-intern-to-ciso-how-to-build-a-grc-career-that-scales): Um roteiro testado no terreno para a sua carreira, de analista GRC júnior a CISO, sem se perder em templates, auditorias ou confusão corporativa. - [Lições de Auditorias Falhadas: O Que Cada Organização Deve Aprender](https://cyberacademy.net/pt/resources/blog/lessons-from-failed-audits-what-every-organization-should-learn): Por que as auditorias falham, o que isso significa realmente, e as lições que cada organização deve aprender para não repetir os mesmos erros. - [Lead Auditor vs. Lead Implementer: Qual a Certificação Adequada para Si?](https://cyberacademy.net/pt/resources/blog/lead-auditor-vs-lead-implementer-which-certification-fits-you): Como Falar de GRC com Pessoas Não Especializadas em GRC (e Fazê-las Interessar-se pelo Tema) - [Top 10 Constatações de Auditoria em 2025: As Reais](https://cyberacademy.net/pt/resources/blog/top-10-audit-findings-in-2025-the-real-ones): Notas de campo de avaliações de lacunas reais em toda a Europa, não de manuais. - [Como Construir uma Cultura de Conformidade Para Além das Listas de Verificação](https://cyberacademy.net/pt/resources/blog/how-to-build-a-compliance-culture-beyond-checklists): A cultura de conformidade não se constrói com políticas ou listas de verificação; constrói-se com comportamentos, responsabilização e clareza. - [Como se Destacar como vCISO](https://cyberacademy.net/pt/resources/blog/how-to-stand-out-as-a-vciso): Como um vCISO pode verdadeiramente destacar-se num mercado saturado, sendo prático, humano e incansavelmente útil. - [Por que 2026 é o Ano da Convergência de Conformidade](https://cyberacademy.net/pt/resources/blog/why-2026-is-the-year-of-compliance-convergence): Como Falar de GRC com Pessoas que Não São de GRC (e Fazer com que se Importem) Em 2026, as empresas que sobreviverão à tempestade regulatória, NIS2, DORA, AI Act, CRA Act, DATA Act, ESG, privacidade, entre outras, serão aquelas que finalmen - [Quando o Excel Chega e Quando Precisa de uma Plataforma GRC a Sério](https://cyberacademy.net/pt/resources/blog/when-excel-is-enough-and-when-you-need-a-real-grc-platform): O Excel funciona... até deixar de funcionar. Aqui está a linha pragmática entre folhas de cálculo "suficientemente boas" e o momento em que a sua organização precisa mesmo de uma plataforma GRC. --- ## Optional - Upcoming live sessions: https://cyberacademy.net/pt/sessions - Sitemap: https://cyberacademy.net/sitemap.xml