Field notes

Top 10 Constatações de Auditoria em 2025: As Reais

Notas de campo de avaliações de lacunas reais em toda a Europa, não de manuais.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy2 min de leitura
Top 10 Audit Findings in 2025: The Real Ones

(Notas de campo de avaliações de lacunas reais realizadas em toda a Europa, não de manuais.)

Toda a gente diz que está a "amadurecer o GRC".A realidade: a maioria das organizações ainda improvisa a segurança e chama-lhe governação.É o que encontramos de facto com a Cresco Cybersecurity e o que pode fazer antes de a próxima auditoria o expor.

#O Que EncontramosO Que SignificaComo Corrigir (De Verdade)1Sem políticas reais, ou totalmente desatualizadasAs equipas acreditam que as políticas existem porque um consultor as escreveu uma vez. Ninguém encontra a versão mais recente.Comece com 5 essenciais: Segurança da Informação, Controlo de Acessos, Resposta a Incidentes, Utilização Aceitável, Gestão de Terceiros. Mantenha-as abaixo de 5 páginas e reveja anualmente.2Sem responsabilidade clara"A TI trata disso." "O Jurídico é o responsável." Tradução: ninguém o faz.Atribua nomes, não departamentos. A responsabilidade não é coletiva, é individual.3Segurança = problema de TIAs unidades de negócio acreditam que o risco cibernético começa e termina na firewall.Transfira a conversa para o impacto: indisponibilidade, coimas, reputação. O risco é linguagem de negócio; use-a.4O negócio quer segurança, mas não consegue provar o ROIQuerem melhores ferramentas, mas não conseguem justificar orçamentos porque nunca traduziram o risco em dinheiro.Quantifique a exposição: "Este risco = 300 000 € se se concretizar." De repente, a segurança tem ROI.5Governação é apenas uma palavra da moda"Temos um comité." Sem ordens de trabalho. Sem atas. Sem decisões.Torne a governação visível: uma reunião por mês, um registo de decisões, uma linha de reporte à gestão. Feito.6Gestão de terceiros = confiança cega"Os nossos fornecedores são certificados." Ótimo. Quais? Ninguém sabe.Mantenha uma lista de risco de fornecedores. Comece pelos 10 principais. Faça-lhes uma pergunta: "Quem vos audita?"7Formação = PowerPoint dos Recursos HumanosA sensibilização é tratada como teatro de conformidade. Ninguém se lembra de nada.Substitua os slides estáticos por sessões de refresco de 10 minutos baseadas em histórias reais. Faça as pessoas sentir o risco.8Os ativos são "geridos" (no papel)Os inventários existem apenas para o relatório de auditoria. Na prática, ninguém sabe o que está em produção.Automatize a descoberta. Classifique os ativos críticos. Reveja trimestralmente. Se não consegue nomear, não consegue proteger.9Os sistemas de deteção são uma ilusãoOs dashboards do SIEM piscam, mas ninguém investiga os alertas. "Monitorização" = existência, não ação.Meça a resposta, não a visibilidade. Acompanhe o tempo desde o alerta até à triagem e ao encerramento.10Sem visão holística do riscoCada risco "baixo" é tratado isoladamente, até três riscos baixos se combinarem numa crise de negócio.Correlacione os riscos por domínio. Mostre a exposição acumulada. Ensine a gestão que "baixo + baixo + baixo = crítico".

As políticas, a responsabilidade e o alinhamento falham muito antes das firewalls.

Corrija primeiro a governação e a conformidade torna-se prova, não sofrimento.

Quer Deixar de Constar Desta Lista?

Inscreva-se num dos nossos programas Lead Implementer/Manager na Cyber Academy.

Porque em 2026, a maior lacuna numa auditoria não são os seus controlos, é a sua disciplina.

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.