{"id":24874,"date":"2025-09-03T16:16:14","date_gmt":"2025-09-03T16:16:14","guid":{"rendered":"https:\/\/rgpd.com\/eficacia-das-medidas\/"},"modified":"2025-09-23T13:20:28","modified_gmt":"2025-09-23T13:20:28","slug":"eficacia-das-medidas","status":"publish","type":"page","link":"https:\/\/rgpd.com\/pt-pt\/requisitos-do-nis2-lista-de-verificacao\/eficacia-das-medidas\/","title":{"rendered":"Efic\u00e1cia das medidas"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">A tua organiza\u00e7\u00e3o deve estabelecer pol\u00edticas e procedimentos para avaliar a efic\u00e1cia das <a href=\"https:\/\/rgpd.com\/pt-pt\/requisitos-do-nis2-lista-de-verificacao\/\" data-type=\"page\" data-id=\"24292\">medidas<\/a> implementadas.<\/p>\n\n<h2 class=\"wp-block-heading\">Avalia a efic\u00e1cia das medidas<\/h2>\n\n<p class=\"wp-block-paragraph\">Tens de garantir que as medidas de seguran\u00e7a implementadas s\u00e3o suficientes para fazer face aos riscos que a organiza\u00e7\u00e3o enfrenta. As medidas devem ser proporcionais ao <a href=\"https:\/\/www.upguard.com\/blog\/cyber-threat-landscape\" data-type=\"link\" data-id=\"https:\/\/www.upguard.com\/blog\/cyber-threat-landscape\" target=\"_blank\" rel=\"noreferrer noopener\">cen\u00e1rio de amea\u00e7as<\/a>. <\/p>\n\n<h3 class=\"wp-block-heading\">Medida<\/h3>\n\n<p class=\"wp-block-paragraph\">Deves ter uma pol\u00edtica para avaliar continuamente se as tuas medidas de seguran\u00e7a s\u00e3o eficazes. A avalia\u00e7\u00e3o deve confirmar que as medidas continuam a proteger contra os riscos relevantes e que a pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o cumpre os requisitos internos e a legisla\u00e7\u00e3o.   <\/p>\n\n<p class=\"wp-block-paragraph\">Em seguida, tens de estabelecer procedimentos para realizar estas avalia\u00e7\u00f5es e para decidir quando realizar testes t\u00e9cnicos, por exemplo, an\u00e1lises de vulnerabilidades. Estes procedimentos devem incluir: <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Ferramentas e m\u00e9todos espec\u00edficos para avaliar e testar continuamente a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o,<\/li>\n\n\n\n<li>verifica se as medidas est\u00e3o em conformidade com as leis e regulamentos em vigor,<\/li>\n\n\n\n<li>m\u00e9todos para avaliar se as pol\u00edticas s\u00e3o seguidas e como a organiza\u00e7\u00e3o garante que as medidas s\u00e3o efetivamente aplicadas e mantidas para os activos que se destinam a proteger,<\/li>\n\n\n\n<li>um tratamento das medidas que se revelem ineficazes, incluindo o seu acompanhamento e melhoria,<\/li>\n\n\n\n<li>clarifica\u00e7\u00e3o de quem \u00e9 respons\u00e1vel pela realiza\u00e7\u00e3o das avalia\u00e7\u00f5es.<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">Tanto as tuas pol\u00edticas como os teus procedimentos devem ter em considera\u00e7\u00e3o:<\/p>\n\n<ul class=\"wp-block-list\">\n<li>os resultados das tuas <a href=\"https:\/\/www.ncsc.gov.uk\/collection\/risk-management\/a-basic-risk-assessment-and-management-method\" data-type=\"link\" data-id=\"https:\/\/www.ncsc.gov.uk\/collection\/risk-management\/a-basic-risk-assessment-and-management-method\" target=\"_blank\" rel=\"noreferrer noopener\">avalia\u00e7\u00f5es de risco<\/a> e as li\u00e7\u00f5es aprendidas com incidentes anteriores,<\/li>\n\n\n\n<li>o que as medidas se destinam a proteger, se proporcionam um n\u00edvel de prote\u00e7\u00e3o adequado e se a sua organiza\u00e7\u00e3o disp\u00f5e dos recursos necess\u00e1rios para as gerir eficazmente.<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">Estas pol\u00edticas e procedimentos devem estar ligados \u00e0 pol\u00edtica de seguran\u00e7a do sistema de informa\u00e7\u00e3o da tua organiza\u00e7\u00e3o, \u00e0 <a href=\"https:\/\/rgpd.com\/pt-pt\/requisitos-do-nis2-lista-de-verificacao\/politica-de-gestao-de-riscos-e-de-seguranca-dos-sistemas-de-informacao\/\" data-type=\"page\" data-id=\"24296\">pol\u00edtica de gest\u00e3o de riscos<\/a> e ao <a href=\"https:\/\/rgpd.com\/pt-pt\/requisitos-do-nis2-lista-de-verificacao\/tratamento-de-incidentes\/\" data-type=\"page\" data-id=\"24300\">tratamento de incidentes<\/a>.<\/p>\n\n<p class=\"wp-block-paragraph\">Por \u00faltimo, podes tamb\u00e9m garantir que os respons\u00e1veis pela gest\u00e3o do risco, medidas e relat\u00f3rios de gest\u00e3o est\u00e3o familiarizados com os requisitos das avalia\u00e7\u00f5es de efic\u00e1cia, para que possam planear os controlos relevantes e acompanhar os resultados.<\/p>\n\n<h3 class=\"wp-block-heading\">Documenta\u00e7\u00e3o<\/h3>\n\n<p class=\"wp-block-paragraph\">As suas pol\u00edticas e procedimentos para avaliar a efic\u00e1cia devem ser actualizados regularmente e sempre que se verifiquem altera\u00e7\u00f5es importantes nos objectivos comerciais, nas vulnerabilidades ou no panorama de amea\u00e7as da organiza\u00e7\u00e3o. Isto pode, por exemplo, ter lugar antes da revis\u00e3o programada da pol\u00edtica de seguran\u00e7a dos sistemas de informa\u00e7\u00e3o da organiza\u00e7\u00e3o. <\/p>\n\n<h2 class=\"wp-block-heading\">Ensaios t\u00e9cnicos<\/h2>\n\n<p class=\"wp-block-paragraph\">A realiza\u00e7\u00e3o de testes t\u00e9cnicos permite identificar vulnerabilidades e avaliar a efic\u00e1cia das medidas implementadas.<\/p>\n\n<h3 class=\"wp-block-heading\">Requisitos<\/h3>\n\n<p class=\"wp-block-paragraph\">Tens de avaliar regularmente a necessidade de testes t\u00e9cnicos para avaliar a efic\u00e1cia das tuas medidas de seguran\u00e7a. Com base numa avalia\u00e7\u00e3o dos riscos, tens de definir o tipo e a frequ\u00eancia dos testes, bem como os componentes, sistemas e elementos organizacionais que devem ser testados para garantir a seguran\u00e7a das opera\u00e7\u00f5es. <\/p>\n\n<p class=\"wp-block-paragraph\">Exemplos de ensaios t\u00e9cnicos incluem:<\/p>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.ncsc.gov.uk\/guidance\/vulnerability-scanning-tools-and-services\" target=\"_blank\" rel=\"noreferrer noopener\">Verifica as vulnerabilidades<\/a>,<\/li>\n\n\n\n<li><a href=\"https:\/\/www.dubex.dk\/services\/offensive-security\/penetration-tests\/\" data-type=\"link\" data-id=\"https:\/\/www.dubex.dk\/services\/offensive-security\/penetration-tests\/\" target=\"_blank\" rel=\"noreferrer noopener\">testes de penetra\u00e7\u00e3o<\/a> e testes de <a href=\"https:\/\/www.infosecinstitute.com\/resources\/penetration-testing\/what-is-red-team-testing-how-does-it-work\/\" data-type=\"link\" data-id=\"https:\/\/www.infosecinstitute.com\/resources\/penetration-testing\/what-is-red-team-testing-how-does-it-work\/\" target=\"_blank\" rel=\"noreferrer noopener\">equipa vermelha<\/a>,  <\/li>\n\n\n\n<li>actividades <a href=\"https:\/\/en.wikipedia.org\/wiki\/Blue_team_(computer_security)\" target=\"_blank\" rel=\"noreferrer noopener\">da equipa azul<\/a>,<\/li>\n\n\n\n<li><a href=\"https:\/\/www.tracesecurity.com\/blog\/articles\/what-is-a-configuration-review\" target=\"_blank\" rel=\"noreferrer noopener\">an\u00e1lises de configura\u00e7\u00e3o<\/a> de sistemas e redes em rela\u00e7\u00e3o \u00e0s melhores pr\u00e1ticas e \u00e0s suas pol\u00edticas de seguran\u00e7a,<\/li>\n\n\n\n<li><a href=\"https:\/\/www.atlassian.com\/agile\/software-development\/code-reviews\" target=\"_blank\" rel=\"noreferrer noopener\">revis\u00f5es de c\u00f3digo<\/a>,<\/li>\n\n\n\n<li>revis\u00f5es de gest\u00e3o de patches,<\/li>\n\n\n\n<li>testes <a href=\"https:\/\/rgpd.com\/pt-pt\/formacao-de-sensibilizacao\/engenharia-social\/\" data-type=\"page\" data-id=\"23738\">de engenharia social<\/a>,<\/li>\n\n\n\n<li>testes de controlo de acesso e <a href=\"https:\/\/rgpd.com\/pt-pt\/formacao-de-sensibilizacao\/seguranca-da-palavra-passe\/\" data-type=\"page\" data-id=\"23632\">de seguran\u00e7a das palavras-passe<\/a>,<\/li>\n<\/ul>\n\n<p class=\"wp-block-paragraph\">A tua rede e os teus sistemas de informa\u00e7\u00e3o devem ser testados quanto \u00e0 seguran\u00e7a durante a instala\u00e7\u00e3o, manuten\u00e7\u00e3o, actualiza\u00e7\u00f5es ou outras altera\u00e7\u00f5es significativas.  <\/p>\n\n<p class=\"wp-block-paragraph\">Al\u00e9m disso, devem ser efectuados testes t\u00e9cnicos planeados e regulares em toda a organiza\u00e7\u00e3o. Os testes podem ser efectuados internamente ou por terceiros e devem seguir uma metodologia documentada. O \u00e2mbito, o tipo, o calend\u00e1rio e os resultados dos testes devem ser documentados de forma clara, mesmo para peritos externos.  <\/p>\n\n<p class=\"wp-block-paragraph\">Os resultados dos testes t\u00e9cnicos podem ser utilizados para atualizar as pol\u00edticas e os procedimentos de avalia\u00e7\u00e3o da efic\u00e1cia das medidas de seguran\u00e7a. No m\u00ednimo, a documenta\u00e7\u00e3o deve incluir uma avalia\u00e7\u00e3o do grau de criticidade dos resultados e as medidas corretivas tomadas se os resultados indicarem riscos para a confidencialidade, integridade, autenticidade ou disponibilidade. Qualquer risco remanescente deve ser formalmente aceite pelos propriet\u00e1rios do risco e comunicado \u00e0 dire\u00e7\u00e3o relevante.  <\/p>\n\n<h3 class=\"wp-block-heading\">Documenta\u00e7\u00e3o<\/h3>\n\n<p class=\"wp-block-paragraph\">Deves efetuar testes a intervalos regulares e ap\u00f3s grandes altera\u00e7\u00f5es ou incidentes significativos. A documenta\u00e7\u00e3o deve ser revista pelo pessoal competente e os resultados devem ser comunicados \u00e0 dire\u00e7\u00e3o. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Deves avaliar a efic\u00e1cia das medidas de seguran\u00e7a implementadas para saberes se deves adaptar o teu programa de seguran\u00e7a.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":24933,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"class_list":["post-24874","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/24874","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=24874"}],"version-history":[{"count":0,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/24874\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/24933"}],"wp:attachment":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=24874"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}