Notas de campo da sala de auditoria.

Artigos de profissionais por Christophe Mazzola e o corpo de formadores da Cyber Academy. Auditorias reais, conselhos de administração reais, incidentes reais, registados e datados. Sem comunicados de imprensa.

Os artigos que gostaríamos de ter lido quando começámos em GRC.

junho de 2026

10 articles
Mapping the ISO Jungle: 27001, 27002, 27005, 31000, 42001
AI Act

A Cartografia da Selva ISO: 27001, 27002, 27005, 31000, 42001

As normas ISO podem parecer uma selva impenetrável: 27001, 27002, 27005, 31000, 42001… Aqui está o mapa claro e direto ao assunto de que os profissionais de GRC realmente precisam.

30 Jun 2026Read
ISO 27701:2025: What Changed and Why It Matters
GDPR & privacy

ISO 27701:2025, O Que Mudou e Por Que É Relevante

A ISO/IEC 27701 passou pela sua maior transformação desde o lançamento. A edição de 2025 deixou de ser um complemento à ISO/IEC 27001; é agora uma norma de gestão de privacidade autónoma e completa. Eis o que mudou, por que é relevante e como se preparar.

27 Jun 2026Read
How to Prepare Your Organization for NIS2 Compliance
NIS 2

Como Preparar a Sua Organização para a Conformidade com o NIS 2

A aplicação do NIS 2 começa em 2026. Este é o roteiro prático, direto e sem rodeios para tornar a sua organização conforme. Sem se afogar em papelada nem desperdiçar meses em teoria.

24 Jun 2026Read
How to Plan Internal Audits Across Multiple Standards
Audit room

Como Planear Auditorias Internas em Múltiplas Normas

Gerir ISO/IEC 27001, GDPR, NIS2, DORA, SOC 2 e outros em simultâneo pode parecer impossível. Eis como construir um programa único e eficiente de auditoria interna que funcione em todos os referenciais.

21 Jun 2026Read
How to Integrate AI Risk into Your Existing ISMS and Risk Register
AI Act

Como Integrar o Risco de IA no Seu ISMS e Registo de Riscos Existentes

A IA introduz novos riscos para os quais o seu ISMS nunca foi concebido. Aqui está o método claro e prático para integrar o risco de IA no seu registo de riscos ISO 27001 existente, sem reinventar todo o modelo de governação.

18 Jun 2026Read
How to Evaluate Third-Party Vendors Like a CISO
CISO life

Como Avaliar Fornecedores Terceiros como um CISO (Da Forma Certa)

A segurança de fornecedores não se resume a checklists; trata-se de contexto, contratos, governação e credibilidade. Aqui está o guia direto e testado em campo para avaliar terceiros da forma como um CISO moderno realmente o faz.

15 Jun 2026Read
How to Build an Audit Trail that Stands Up to Scrutiny
Audit room

Como Construir uma Trilha de Auditoria que Resiste ao Escrutínio

Reguladores, auditores e tribunais não se preocupam com aquilo que pretendia fazer; preocupam-se com o que consegue provar. Eis como construir uma trilha de auditoria que sobrevive a NIS2, DORA, GDPR, AI Act e a uma análise forense.

12 Jun 2026Read
How to Build an AI Risk Register
AI Act

Como Construir um Registo de Riscos de IA (com Modelo)

A IA introduz novos riscos que os registos de riscos tradicionais não conseguem capturar. Aqui está o método claro e pragmático para construir um registo de riscos de IA; e um modelo pronto a usar que pode aplicar hoje.

09 Jun 2026Read
How AI Is Changing Audit and Compliance Management
AI Act

Como a IA Está a Transformar a Auditoria e a Gestão de Conformidade

A IA não substitui auditores nem equipas de conformidade; remodela a forma como trabalham. Uma análise prática e testada no terreno sobre como a IA transforma o risco, a auditoria, a evidência e a governação em 2026 e além.

06 Jun 2026Read
Evaluating Cloud Providers under DORA and NIS2
NIS 2

Avaliar Fornecedores de Cloud ao Abrigo do DORA e do NIS2

Os fornecedores de cloud estão agora no centro da atenção regulatória. Veja como avaliá-los corretamente ao abrigo do DORA e do NIS2, sem se perder em burocracia nem ignorar riscos críticos.

03 Jun 2026Read

maio de 2026

6 articles
Continuous Compliance: Turning Audits into Ongoing Practice
Audit room

Conformidade Contínua: Transformar Auditorias em Prática Permanente

As auditorias anuais estão mortas. A conformidade contínua é o único modelo que resiste ao NIS2, ao DORA, ao ISO 27001, ao SOC 2, ao GDPR e ao AI Act. Eis como transformar a conformidade num hábito operacional vivo e respirante; não num ataque de pânico anual.

31 May 2026Read
Can ChatGPT Draft Your ISMS Policy
AI Act

O ChatGPT Consegue Redigir a Sua Política SGSI? Um Teste Real

A IA consegue redigir as suas políticas de SGSI? Sim; mas não da forma que a maioria das pessoas imagina. Uma análise testada em contexto real sobre o que funciona, o que falha e como utilizar a IA com segurança no seu programa de governação.

28 May 2026Read
Building a Compliance Dashboard that Speaks Board Language
Audit room

Construir um Dashboard de Conformidade que Fale a Linguagem do Conselho

A maioria dos dashboards de conformidade sobrecarrega os executivos com ruído. Eis como construir um que fale a linguagem do Conselho: claro, estratégico e pronto para a decisão.

25 May 2026Read
Brussels' Next Move: What Comes After NIS2 and DORA
NIS 2

O Próximo Passo de Bruxelas: O Que Vem Depois do NIS2 e do DORA

NIS2 e DORA foram apenas a Fase 1. AI Act, Data Act, CRA, EUCS e novas regras de responsabilização estão prestes a definir a Fase 2. Este é o roteiro concreto que os responsáveis de GRC devem preparar.

22 May 2026Read
Bridging GDPR, NIS2, and DORA for Unified Compliance
NIS 2

Articular o GDPR, o NIS2 e o DORA para uma conformidade unificada

O GDPR, o NIS2 e o DORA sobrepõem-se mais do que a maioria das organizações percebe. Eis como construir um modelo de conformidade único em vez de três processos separados e problemáticos.

19 May 2026Read
Awareness Program is dead
CISO life

O Programa de Sensibilização está morto.

A formação de sensibilização reduz o risco, mas apenas quando é concebida para pessoas reais, incentivos reais e contexto do mundo real. Eis por que a maioria dos programas falha; e o que realmente funciona.

16 May 2026Read

março de 2026

3 articles

fevereiro de 2026

1 article

janeiro de 2026

21 articles
Storytelling for Compliance Leaders

Storytelling para Líderes de Compliance

Porque os factos informam, mas as histórias fazem as pessoas preocupar-se com o compliance.

01 Jan 2026Read
GRC KPIs That Matter: How to Prove Compliance with Numbers

KPIs de GRC que Importam: Como Provar a Conformidade com Números

A maioria dos KPIs de GRC é inútil. Aqui estão os que realmente provam a conformidade; e orientam decisões.

01 Jan 2026Read
How to Get Executives to Care About Risk

Como Levar os Executivos a Preocuparem-se com o Risco

Como fazer com que os executivos se preocupem genuinamente com o risco; e ajam em conformidade.

01 Jan 2026Read
GRC Dashboards Executives Actually Read

Dashboards GRC que os Executivos Realmente Leem

Se quer que os executivos prestem atenção, tem de deixar de reportar como um compliance officer e começar a reportar como um parceiro de negócio.

01 Jan 2026Read
How to Run a Risk Assessment that Doesn't Bore the Board

Como Conduzir uma Avaliação de Risco que Não Aborrecerá o Conselho

Se quer que o conselho se envolva de facto, e não apenas suporte os seus slides, é preciso transformar a avaliação de risco de um ritual de reporte numa conversa de decisão. Eis como.

01 Jan 2026Read
How to Talk Compliance to Non-GRC People (and Make Them Care)

Como Falar de Compliance a Pessoas Sem Experiência em GRC (e Fazê-las Interessar-se pelo Tema)

Como Falar de GRC a Pessoas Sem Experiência em GRC (e Fazê-las Interessar-se pelo Tema)

01 Jan 2026Read
5 Mistakes in Risk Registers (and How to Fix Them)

5 Erros nos Registos de Risco (e Como Corrigi-los)

Porque a maioria dos registos de risco são apenas folhas de cálculo dispendiosas cheias de boa vontade.

01 Jan 2026Read
Top 10 Gaps Auditors Will Look for Under NIS2

Top 10 Lacunas que os Auditores Vão Procurar no Âmbito da NIS 2

E porque razão "temos uma política para isso" não será suficiente desta vez com a NIS 2

01 Jan 2026Read
From Checkbox to Strategy: The Death of Fake Compliance

Da Lista de Verificação à Estratégia: O Fim da Conformidade Fictícia

A conformidade assente em listas de verificação está a morrer. Veja como as organizações passam de uma maturidade aparente para uma segurança estratégica real.

01 Jan 2026Read
AI Governance vs. AI Compliance: What's the Difference

AI Governance vs. AI Compliance: Qual é a Diferença?

E porque confundir AI Governance e AI Compliance vai colocá-lo em apuros.

01 Jan 2026Read
The Ultimate Guide to ISO Certifications for GRC Pros

O Guia Definitivo sobre Certificações ISO para Profissionais de GRC

Um guia prático e testado no terreno sobre as certificações ISO que todo profissional de GRC deve conhecer; e porque é que são relevantes na prática.

01 Jan 2026Read
How to Write Policies People Actually Follow

Como Escrever Políticas que as Pessoas Realmente Seguem

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

01 Jan 2026Read
Data Classification Policies that Actually Work

Políticas de Classificação de Dados que Realmente Funcionam

Porque a maioria das etiquetas "Confidencial / Interno / Público" é meramente decorativa.

01 Jan 2026Read
From intern to CISO: How to Build a GRC Career That Scales

De estagiário a CISO: Como construir uma carreira em GRC com escala

Um roteiro testado no terreno para a sua carreira, de analista GRC júnior a CISO, sem se perder em templates, auditorias ou confusão corporativa.

01 Jan 2026Read
Lessons from Failed Audits: What Every Organization Should Learn

Lições de Auditorias Falhadas: O Que Cada Organização Deve Aprender

Por que as auditorias falham, o que isso significa realmente, e as lições que cada organização deve aprender para não repetir os mesmos erros.

01 Jan 2026Read
Lead Auditor vs. Lead Implementer: Which Certification Fits You

Lead Auditor vs. Lead Implementer: Qual a Certificação Adequada para Si?

Como Falar de GRC com Pessoas Não Especializadas em GRC (e Fazê-las Interessar-se pelo Tema)

01 Jan 2026Read
Top 10 Audit Findings in 2025: The Real Ones

Top 10 Constatações de Auditoria em 2025: As Reais

Notas de campo de avaliações de lacunas reais em toda a Europa, não de manuais.

01 Jan 2026Read
How to Build a Compliance Culture Beyond Checklists

Como Construir uma Cultura de Conformidade Para Além das Listas de Verificação

A cultura de conformidade não se constrói com políticas ou listas de verificação; constrói-se com comportamentos, responsabilização e clareza.

01 Jan 2026Read
How to Stand Out as a vCISO

Como se Destacar como vCISO

Como um vCISO pode verdadeiramente destacar-se num mercado saturado, sendo prático, humano e incansavelmente útil.

01 Jan 2026Read
Why 2026 Is the Year of Compliance Convergence

Por que 2026 é o Ano da Convergência de Conformidade

Como Falar de GRC com Pessoas que Não São de GRC (e Fazer com que se Importem) Em 2026, as empresas que sobreviverão à tempestade regulatória, NIS2, DORA, AI Act, CRA Act, DATA Act, ESG, privacidade, entre outras, serão aquelas que finalmente deixarem de gerir frameworks de forma isolada. Entramos na era da convergên

01 Jan 2026Read
When Excel Is Enough and When You Need a Real GRC Platform

Quando o Excel Chega e Quando Precisa de uma Plataforma GRC a Sério

O Excel funciona... até deixar de funcionar. Aqui está a linha pragmática entre folhas de cálculo "suficientemente boas" e o momento em que a sua organização precisa mesmo de uma plataforma GRC.

01 Jan 2026Read

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief envia uma edição curta todas as segundas-feiras às 8h CET. Cinco ligações, um breve comentário. Leitura de três minutos, sem fluff de IA.

Notas de campo da sala de auditoria · Cyber Academy