Articles
Artigos de profissionais por Christophe Mazzola e o corpo de formadores da Cyber Academy. Auditorias reais, conselhos de administração reais, incidentes reais, registados e datados. Sem comunicados de imprensa.
Os artigos que gostaríamos de ter lido quando começámos em GRC.

As normas ISO podem parecer uma selva impenetrável: 27001, 27002, 27005, 31000, 42001… Aqui está o mapa claro e direto ao assunto de que os profissionais de GRC realmente precisam.

A ISO/IEC 27701 passou pela sua maior transformação desde o lançamento. A edição de 2025 deixou de ser um complemento à ISO/IEC 27001; é agora uma norma de gestão de privacidade autónoma e completa. Eis o que mudou, por que é relevante e como se preparar.

A aplicação do NIS 2 começa em 2026. Este é o roteiro prático, direto e sem rodeios para tornar a sua organização conforme. Sem se afogar em papelada nem desperdiçar meses em teoria.

Gerir ISO/IEC 27001, GDPR, NIS2, DORA, SOC 2 e outros em simultâneo pode parecer impossível. Eis como construir um programa único e eficiente de auditoria interna que funcione em todos os referenciais.

A IA introduz novos riscos para os quais o seu ISMS nunca foi concebido. Aqui está o método claro e prático para integrar o risco de IA no seu registo de riscos ISO 27001 existente, sem reinventar todo o modelo de governação.

A segurança de fornecedores não se resume a checklists; trata-se de contexto, contratos, governação e credibilidade. Aqui está o guia direto e testado em campo para avaliar terceiros da forma como um CISO moderno realmente o faz.

Reguladores, auditores e tribunais não se preocupam com aquilo que pretendia fazer; preocupam-se com o que consegue provar. Eis como construir uma trilha de auditoria que sobrevive a NIS2, DORA, GDPR, AI Act e a uma análise forense.

A IA introduz novos riscos que os registos de riscos tradicionais não conseguem capturar. Aqui está o método claro e pragmático para construir um registo de riscos de IA; e um modelo pronto a usar que pode aplicar hoje.

A IA não substitui auditores nem equipas de conformidade; remodela a forma como trabalham. Uma análise prática e testada no terreno sobre como a IA transforma o risco, a auditoria, a evidência e a governação em 2026 e além.

Os fornecedores de cloud estão agora no centro da atenção regulatória. Veja como avaliá-los corretamente ao abrigo do DORA e do NIS2, sem se perder em burocracia nem ignorar riscos críticos.

As auditorias anuais estão mortas. A conformidade contínua é o único modelo que resiste ao NIS2, ao DORA, ao ISO 27001, ao SOC 2, ao GDPR e ao AI Act. Eis como transformar a conformidade num hábito operacional vivo e respirante; não num ataque de pânico anual.

A IA consegue redigir as suas políticas de SGSI? Sim; mas não da forma que a maioria das pessoas imagina. Uma análise testada em contexto real sobre o que funciona, o que falha e como utilizar a IA com segurança no seu programa de governação.

A maioria dos dashboards de conformidade sobrecarrega os executivos com ruído. Eis como construir um que fale a linguagem do Conselho: claro, estratégico e pronto para a decisão.

NIS2 e DORA foram apenas a Fase 1. AI Act, Data Act, CRA, EUCS e novas regras de responsabilização estão prestes a definir a Fase 2. Este é o roteiro concreto que os responsáveis de GRC devem preparar.

O GDPR, o NIS2 e o DORA sobrepõem-se mais do que a maioria das organizações percebe. Eis como construir um modelo de conformidade único em vez de três processos separados e problemáticos.

A formação de sensibilização reduz o risco, mas apenas quando é concebida para pessoas reais, incentivos reais e contexto do mundo real. Eis por que a maioria dos programas falha; e o que realmente funciona.

O que ninguém lhe conta sobre implementar o ISO 27001, e como deixar de fingir em 5 dias. 11 a 15 de maio, online.

Como passar de "li a diretiva" para "consigo implementá-la" em 5 dias. De 4 a 8 de maio, online.

Modelo gratuito de Business Impact Assessment. Três secções. Matriz de impacto pré-construída. Pronto para ISO 22301.

Porque os factos informam, mas as histórias fazem as pessoas preocupar-se com o compliance.

A maioria dos KPIs de GRC é inútil. Aqui estão os que realmente provam a conformidade; e orientam decisões.

Como fazer com que os executivos se preocupem genuinamente com o risco; e ajam em conformidade.

Se quer que os executivos prestem atenção, tem de deixar de reportar como um compliance officer e começar a reportar como um parceiro de negócio.

Se quer que o conselho se envolva de facto, e não apenas suporte os seus slides, é preciso transformar a avaliação de risco de um ritual de reporte numa conversa de decisão. Eis como.

Como Falar de GRC a Pessoas Sem Experiência em GRC (e Fazê-las Interessar-se pelo Tema)

Porque a maioria dos registos de risco são apenas folhas de cálculo dispendiosas cheias de boa vontade.

E porque razão "temos uma política para isso" não será suficiente desta vez com a NIS 2

A conformidade assente em listas de verificação está a morrer. Veja como as organizações passam de uma maturidade aparente para uma segurança estratégica real.

E porque confundir AI Governance e AI Compliance vai colocá-lo em apuros.

Um guia prático e testado no terreno sobre as certificações ISO que todo profissional de GRC deve conhecer; e porque é que são relevantes na prática.

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

Porque a maioria das etiquetas "Confidencial / Interno / Público" é meramente decorativa.

Um roteiro testado no terreno para a sua carreira, de analista GRC júnior a CISO, sem se perder em templates, auditorias ou confusão corporativa.

Por que as auditorias falham, o que isso significa realmente, e as lições que cada organização deve aprender para não repetir os mesmos erros.

Como Falar de GRC com Pessoas Não Especializadas em GRC (e Fazê-las Interessar-se pelo Tema)

Notas de campo de avaliações de lacunas reais em toda a Europa, não de manuais.

A cultura de conformidade não se constrói com políticas ou listas de verificação; constrói-se com comportamentos, responsabilização e clareza.

Como um vCISO pode verdadeiramente destacar-se num mercado saturado, sendo prático, humano e incansavelmente útil.

Como Falar de GRC com Pessoas que Não São de GRC (e Fazer com que se Importem) Em 2026, as empresas que sobreviverão à tempestade regulatória, NIS2, DORA, AI Act, CRA Act, DATA Act, ESG, privacidade, entre outras, serão aquelas que finalmente deixarem de gerir frameworks de forma isolada. Entramos na era da convergên

O Excel funciona... até deixar de funcionar. Aqui está a linha pragmática entre folhas de cálculo "suficientemente boas" e o momento em que a sua organização precisa mesmo de uma plataforma GRC.
A newsletter The GRC Brief envia uma edição curta todas as segundas-feiras às 8h CET. Cinco ligações, um breve comentário. Leitura de três minutos, sem fluff de IA.