Governação da CISA KEV para ISO 27001, NIS2 e DORA
A vulnerabilidade de sexta-feira que se tornou uma questão para o conselho de administração
São 16:40 de uma sexta-feira. O responsável do SOC encaminha um alerta da CISA KEV, a ferramenta de análise de vulnerabilidades confirma exposição num gateway exposto à Internet e a ENISA EUVD contém um registo correspondente de vulnerabilidade explorada. O fornecedor disponibilizou um patch, mas o proprietário de produção alerta que a sua aplicação imediata pode interromper um serviço orientado para clientes. O departamento jurídico pergunta se podem existir dados pessoais afetados. O responsável DORA pergunta se a plataforma suporta uma função crítica ou importante. O coordenador NIS2 pergunta se isto pode evoluir para um incidente significativo.
O CISO faz a única pergunta que importa:
“Conseguimos provar que tomámos a decisão certa, com rapidez suficiente e com as aprovações corretas?”
Esse é o verdadeiro problema da governação de vulnerabilidades conhecidas e exploradas em 2026. Não se trata apenas de identificar CVE ou de acelerar a aplicação de patches. Trata-se de converter informação sobre exploração num modelo operacional defensável: receção, triagem, priorização, alteração de emergência, controlos compensatórios, escalonamento de fornecedores, aprovação de exceções, retenção de evidência, reporte à gestão e decisões de remediação prontas para escrutínio regulatório.
Muitas organizações já dispõem de SLA para vulnerabilidades. Algumas têm fontes de inteligência sobre ameaças. Algumas executam gestão contínua da exposição. Mas, quando uma vulnerabilidade já está a ser explorada em ambiente real, o contexto de risco muda. Uma vulnerabilidade conhecida e explorada listada na CISA KEV ou na ENISA EUVD não deve ficar na mesma fila que o backlog normal de patches. Deve acionar uma via de governação diferente, porque o risco deixou de ser teórico.
A posição da Clarysec é simples: a remediação orientada por exploração deve ser gerida como um processo de negócio que produz evidência, não como uma corrida técnica informal. Esse processo pode ser construído sobre a ISO/IEC 27001:2022 ISO/IEC 27001:2022, reforçado pela ISO/IEC 27002:2022 ISO/IEC 27002:2022, e mapeado para as expectativas de governação da NIS2, DORA, RGPD da UE, NIST CSF 2.0 e COBIT 19.
Da aplicação de patches à governação demonstrável
A gestão de vulnerabilidades tradicional começa frequentemente pela severidade: pontuação CVSS, criticidade do ativo, exposição e disponibilidade de patch. A governação orientada por exploração acrescenta uma pergunta mais precisa: esta vulnerabilidade já está a ser utilizada por atacantes e temos ativos, fornecedores, serviços na nuvem ou fluxos de dados afetados?
Essa mudança altera o fluxo de trabalho. Uma vulnerabilidade conhecida e explorada deve desencadear:
- Validação de inteligência sobre ameaças a partir de fontes de confiança, como CISA, ENISA, CERT nacionais, fornecedores, ISAC e MSSP.
- Correlação com ativos, incluindo exposição à Internet, função de negócio, classificação de dados e dependência de fornecedores.
- Decisão de risco de emergência, incluindo aplicar patch imediatamente, isolar, desativar funcionalidade, aplicar solução de contorno, monitorizar ou aceitar temporariamente o risco residual.
- Aprovação da alteração com rastreabilidade, mesmo quando a alteração é acelerada.
- Captura de evidência, incluindo carimbos temporais, aprovações, registos, capturas de ecrã, resultados de análises de vulnerabilidades, declarações de fornecedores e registos de controlos compensatórios.
- Reporte à gestão, especialmente quando a vulnerabilidade afeta serviços críticos, dados pessoais, serviços financeiros regulados ou serviços essenciais ou importantes ao abrigo da NIS2.
- Validação pós-remediação e lições aprendidas.
A ISO 27001:2022 fornece a estrutura de governação deste fluxo de trabalho. As cláusulas 4.1 a 4.4 exigem que a organização compreenda questões internas e externas, partes interessadas, requisitos legais e regulamentares, interfaces e dependências, e que depois defina e mantenha o âmbito do SGSI. Na governação de vulnerabilidades, isso significa que o âmbito deve incluir os sistemas reais, serviços na nuvem, terceiros e serviços regulados onde a exposição a vulnerabilidades exploradas pode gerar impacto no negócio.
As cláusulas 5.1 a 5.3 retiram o tema do domínio exclusivo das operações de TI. A alta direção deve alinhar o SGSI com a direção estratégica, atribuir responsabilidades, alocar recursos, comunicar a importância da conformidade e receber reporte de desempenho. Na prática, uma correspondência CISA KEV num serviço crítico não é apenas um ticket de patch. É um evento de responsabilização executiva.
As cláusulas 6.1.1 a 6.1.3 fornecem a espinha dorsal do risco: critérios de risco, proprietários do risco, avaliação da probabilidade e das consequências, opções de tratamento, Declaração de Aplicabilidade, plano de tratamento e aceitação do risco residual. É este mecanismo que transforma “ainda não conseguimos aplicar o patch” numa exceção documentada, aprovada, limitada no tempo e suportada por controlos compensatórios.
A cláusula 8.1 torna-se relevante quando a equipa passa da decisão para a execução. Exige planeamento e controlo operacional, incluindo controlo de alterações planeadas e revisão de alterações não intencionais. Num evento KEV, a organização deve ser rápida sem perder controlo.
O triângulo de controlos da Clarysec para vulnerabilidades exploradas
O Zenith Controls: The Cross-Compliance Guide Zenith Controls da Clarysec trata a governação de vulnerabilidades conhecidas e exploradas como uma combinação de três temas centrais de controlo da ISO/IEC 27002:2022. Cita os controlos relacionados com o tema como “Inteligência sobre ameaças (5.7)”, “Gestão de vulnerabilidades técnicas (8.8)” e “Gestão de alterações (8.32)”.
Em conjunto, estes controlos formam um triângulo prático:
| Pergunta de governação | Tema de controlo ISO/IEC 27002:2022 | Evidência operacional |
|---|---|---|
| Como soubemos que esta vulnerabilidade era relevante? | 5.7 Inteligência sobre ameaças | Receção CISA KEV ou ENISA EUVD, aviso do fornecedor, alerta CERT, notas de validação, consulta de ativos afetados |
| Como a avaliámos e remediámos? | 8.8 Gestão de vulnerabilidades técnicas | Registo de vulnerabilidade, resultado da análise de vulnerabilidades, classificação de risco, proprietário, SLA, patch ou solução de contorno, verificação de validação |
| Como alterámos a produção em segurança? | 8.32 Gestão de alterações | Ticket de alteração de emergência, aprovação, resultado de teste, plano de reversão, registo de implementação, revisão pós-alteração |
Este triângulo evita uma falha comum de auditoria: tratar a gestão de vulnerabilidades como a saída de uma ferramenta de análise, e não como uma cadeia de decisões governada. Um auditor, regulador ou equipa de garantia para clientes não perguntará apenas se o patch foi aplicado. Perguntará como a organização tomou conhecimento, priorizou, aprovou, implementou e verificou a decisão.
O Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint torna isto concreto na fase Controls in Action, passo 22, onde instrui as equipas a criarem um registo de inteligência sobre ameaças:
Estabeleça uma lista documentada de fontes de inteligência sobre ameaças (5.7), provenientes de fornecedores, ISAC ou fontes abertas, e determine como a informação é validada e integrada na tomada de decisão. Defina quem recebe atualizações sobre ameaças e como estas são aplicadas (por exemplo, priorização de patches, formação de sensibilização).
No passo 19, o Zenith Blueprint enquadra a gestão de vulnerabilidades como higiene de cibersegurança moderna e sublinha a remediação acelerada de vulnerabilidades críticas:
Gerir vulnerabilidades é uma das áreas mais críticas da higiene de cibersegurança moderna. Embora firewalls e ferramentas antivírus proporcionem proteção, podem ser enfraquecidas se sistemas sem patches ou serviços configurados incorretamente ficarem expostos.
Também alerta que as constatações de análises de vulnerabilidades não devem ser arquivadas passivamente. Devem ser triadas, atribuídas e acompanhadas até ao encerramento. Essa disciplina é exatamente o que a governação CISA KEV e ENISA EUVD exige.
A política transforma urgência em regras
Um modelo de governação só funciona quando está refletido em política. A Política de Gestão de Vulnerabilidades e Patches empresarial da Clarysec Política de Gestão de Vulnerabilidades e Patches, também referida em contextos de toolkit como P19 Política de Gestão de Vulnerabilidades e Patches, atribui claramente o requisito de monitorização e escalonamento:
Monitorizar avisos de ameaça (por exemplo, CVE, CISA KEV, boletins de fornecedores) e escalar vulnerabilidades críticas.
Da secção “Papéis e responsabilidades”, cláusula da política 4.5.1.
A mesma política empresarial define uma expectativa exigente de remediação para vulnerabilidades críticas:
Crítica (CVSS 9.0-10.0): revisão imediata; prazo máximo de 72 horas para aplicação do patch.
Da secção “Requisitos de governação”, cláusula da política 5.2.1.
Para PME, a Vulnerability and Patch Management Policy-sme da Clarysec Vulnerability and Patch Management Policy-sme - PME, também referida como P19S Vulnerability and Patch Management Policy-sme, torna o mesmo conceito operacional e direto:
Avisos de inteligência sobre ameaças provenientes de fontes de confiança (por exemplo, CISA, ENISA, alertas de CERT nacionais)
Da secção “Requisitos de implementação da política”, cláusula da política 6.2.1.3.
Também define a norma prática para aplicação de patches:
Os patches críticos devem ser aplicados no prazo de 3 dias após o lançamento, especialmente em sistemas expostos à Internet
Da secção “Requisitos de implementação da política”, cláusula da política 6.1.1.
A expressão “especialmente em sistemas expostos à Internet” é relevante. A governação de vulnerabilidades conhecidas e exploradas deve priorizar sistemas expostos, serviços de acesso remoto, infraestrutura de identidade, dispositivos de perímetro, painéis de administração SaaS e sistemas que tratam dados sensíveis ou regulados.
Mas o que acontece quando o negócio não consegue aplicar o patch dentro do SLA? A política empresarial fecha o ciclo:
Se uma vulnerabilidade não puder ser remediada dentro dos SLA definidos devido a restrições operacionais, técnicas ou do fornecedor, deve ser submetido um Pedido de Exceção formal.
Da secção “Tratamento do risco e exceções”, cláusula da política 7.1.
A versão para PME exige registos de patches que suportem a auditabilidade:
Os registos devem incluir o nome do dispositivo, a atualização aplicada, a data de aplicação do patch e o motivo de qualquer atraso
Da secção “Requisitos de governação”, cláusula da política 5.4.2.
Estas cláusulas de política criam a espinha dorsal da evidência. Permitem ao CISO afirmar: temos regras para receção de informação, priorização, prazos de aplicação de patches, exceções e motivos de atraso. Essa é a diferença entre aplicação reativa de patches e remediação governada.
Alteração de emergência sem perder controlo
As vulnerabilidades conhecidas e exploradas forçam frequentemente alterações de emergência. Esperar pela próxima reunião do Comité Consultivo de Alterações pode ser negligente. Contornar por completo a gestão de alterações pode ser imprudente. A resposta é um controlo de alterações acelerado e rastreável.
A Política de Gestão de Alterações empresarial da Clarysec Política de Gestão de Alterações, também referida como P05 Política de Gestão de Alterações, estabelece:
As alterações de emergência podem avançar com aprovação verbal acelerada ou aprovação delegada por funções autorizadas.
Da secção “Requisitos de implementação da política”, cláusula da política 6.5.1.
Para PME, a Política de Gestão de Alterações da Clarysec Política de Gestão de Alterações - PME reconhece a mesma realidade operacional:
Alterações de emergência ou não planeadas podem ser implementadas imediatamente em resposta a indisponibilidades críticas ou ameaças. No entanto:
Da secção “Tratamento do risco e exceções”, cláusula da política 7.4.1.
A expressão “no entanto” é onde a governação se materializa. A alteração de emergência deve ainda documentar o gatilho, os sistemas afetados, a decisão de risco, o aprovador, a hora de implementação, o resultado da validação e a revisão retrospetiva. O Zenith Blueprint, na fase Controls in Action, passo 21, descreve a gestão de alterações como um fluxo de trabalho repetível em que as alterações são avaliadas, autorizadas, implementadas e revistas. Alerta que muitos incidentes não são causados por atacantes, mas por alterações mal geridas: uma regra de firewall demasiado permissiva, uma definição de depuração deixada ativa ou uma dependência esquecida após uma migração.
Para a remediação de vulnerabilidades conhecidas e exploradas, a evidência mínima de alteração de emergência deve incluir:
| Item de evidência | Porque é relevante |
|---|---|
| Fonte da ameaça e carimbo temporal | Demonstra quando a organização tomou conhecimento da exploração ativa |
| Lista de ativos afetados | Demonstra a análise de âmbito e a priorização |
| Proprietário do negócio e proprietário do risco | Demonstra tomada de decisão com responsabilização |
| Decisão de patch ou solução de contorno | Demonstra a opção de tratamento selecionada |
| Aprovação de emergência | Demonstra autorização controlada sob pressão |
| Nota de teste ou de reversão | Demonstra que o risco operacional foi considerado |
| Registos de implementação | Demonstra que a implementação ocorreu |
| Verificação de validação ou verificação de configuração | Demonstra a eficácia da remediação |
| Registo de exceção se não tiver sido aplicado patch | Demonstra que o risco residual foi tratado formalmente |
| Notificação à gestão | Demonstra escalonamento para exposição crítica |
Isto não é burocracia. É o trilho de auditoria mínimo viável para uma decisão tomada sob pressão adversarial.
Mapear CISA KEV e ENISA EUVD para evidência ISO 27001
A ISO 27001:2022 não exige uma fonte específica de inteligência sobre ameaças. Exige que a organização identifique requisitos, gira riscos, implemente controlos, retenha informação documentada e melhore. A CISA KEV e a ENISA EUVD podem tornar-se entradas autoritativas nesse sistema de gestão.
| Atividade orientada por exploração | Evidência ISO 27001:2022 e Anexo A |
|---|---|
| Manter um registo de fontes KEV e EUVD | Evidência das cláusulas 4.1, 4.2, 4.4 e do Anexo A 5.7 |
| Correlacionar CVE exploradas com ativos e fornecedores | Evidência da avaliação de riscos da cláusula 6.1 e do Anexo A 5.9, 5.19, 5.20, 5.21, 5.22 e 5.23 |
| Priorizar serviços expostos à Internet e críticos | Critérios de risco da cláusula 6.1 e priorização do tratamento |
| Aplicar patches ou mitigações | Anexo A 8.8 Gestão de vulnerabilidades técnicas |
| Utilizar aprovação de alteração de emergência | Cláusula 8.1 e Anexo A 8.32 Gestão de alterações |
| Registar atrasos e exceções | Aceitação do risco residual e plano de tratamento da cláusula 6.1.3 |
| Preservar evidência | Anexo A 5.28 Recolha de evidência e informação documentada da cláusula 7.5 |
| Reportar tendências à gestão | Desempenho e revisão pela gestão das cláusulas 5.3, 9.1 e 9.3 |
| Atualizar controlos após incidentes ou quase-incidentes | Anexo A 5.27 Aprendizagem com incidentes de segurança da informação e melhoria da cláusula 10 |
O Zenith Blueprint, na fase de Gestão de Riscos, passo 13, recomenda rastreabilidade entre riscos, controlos e cláusulas:
Faça referência cruzada a regulamentos: se determinados controlos forem implementados especificamente para cumprir o RGPD da UE, a NIS2 ou o DORA, pode assinalá-lo no Registo de Riscos (como parte da justificação do impacto do risco) ou nas notas da SoA.
Para uma vulnerabilidade conhecida e explorada, a entrada no Registo de Riscos não deve dizer apenas “Aplicar patch ao CVE”. Deve identificar a fonte da ameaça, o serviço afetado, a relevância regulamentar, o proprietário do risco, o tratamento, as referências de controlos e a localização da evidência.
Mapeamento de conformidade cruzada para NIS2, DORA, RGPD da UE e reporte de governação
O valor da governação orientada por exploração é permitir que um único fluxo de trabalho controlado responda a várias questões regulamentares. O mesmo ticket, registo de alteração, formulário de exceção, mensagem de fornecedor e verificação de validação podem suportar diferentes narrativas de evidência quando são mapeados deliberadamente.
| Referencial | Requisitos relevantes | Como a governação orientada por exploração fornece evidência |
|---|---|---|
| ISO/IEC 27001:2022 | Cláusulas 6.1.2, 6.1.3 e 8.1, Anexo A 5.7, 8.8 e 8.32 | Demonstra avaliação de riscos, tratamento de riscos, controlo operacional, inteligência sobre ameaças, gestão de vulnerabilidades e alteração controlada |
| Diretiva NIS2 | Article 20, Article 21 e Article 23 | Demonstra supervisão pela gestão, tratamento de vulnerabilidades, higiene de cibersegurança, consideração da cadeia de fornecimento e avaliação de reporte de incidentes |
| DORA | Articles 5, 6, 9, 13, 17, 28 e 30 | Demonstra governação de TIC, gestão do risco das TIC, proteção, inteligência sobre ameaças, gestão de incidentes e controlo do risco de terceiros |
| RGPD da UE | Articles 5(2), 25 e 32 | Demonstra responsabilização, proteção de dados desde a conceção e por defeito, e medidas técnicas e organizativas de segurança adequadas |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND e RECOVER | Traduz o fluxo de trabalho em risco executivo, contexto de ativos, controlos, telemetria, escalonamento e resultados de recuperação |
| COBIT 19 | Governação, otimização do risco, monitorização do desempenho e garantia | Demonstra direitos de decisão, propriedade, métricas, alinhamento com o apetite ao risco, supervisão de exceções e garantia independente |
A NIS2 altera a conversa para entidades essenciais e importantes, porque o Article 20 torna a cibersegurança uma matéria de responsabilização do órgão de administração. O Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionadas, incluindo tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, tratamento e divulgação de vulnerabilidades, higiene de cibersegurança, controlo de acesso, gestão de ativos e autenticação.
O Article 23 acrescenta reporte faseado para incidentes significativos, incluindo alerta precoce no prazo de 24 horas, notificação no prazo de 72 horas e relatório final no prazo de um mês após a notificação do incidente. Uma correspondência CISA KEV ou ENISA EUVD não é automaticamente um incidente reportável. Mas deve desencadear uma avaliação de incidente documentada quando a exploração, a interrupção de serviços, o dano para clientes ou o impacto nos dados forem plausíveis.
O DORA acrescenta uma perspetiva setorial para entidades financeiras. Aplica-se a partir de 17 de janeiro de 2025 e exige governação, gestão do risco das TIC documentada, testes, resiliência, gestão de incidentes e controlo do risco de terceiros de TIC. O Article 13 é particularmente relevante porque exige capacidades relacionadas com vulnerabilidades e inteligência sobre ciberameaças, lições aprendidas e monitorização de desenvolvimentos tecnológicos. O Article 17 exige um processo de gestão de incidentes relacionados com TIC que registe incidentes e ameaças cibernéticas significativas, classifique por prioridade e severidade, escale, identifique causas raiz e restaure operações seguras.
Os Articles 28 e 30 do DORA também impõem disciplina sobre fornecedores. Se uma plataforma de pagamentos depender de um WAF na nuvem, de uma base de dados gerida, de um fornecedor de identidade ou de um motor de fluxo de trabalho SaaS afetado por uma vulnerabilidade conhecida e explorada, a evidência não pode terminar em “o fornecedor diz que aplicou o patch”. Deve incluir notificação do fornecedor, avaliação de criticidade, direitos contratuais utilizados, controlos compensatórios, avaliação de impacto nos clientes e verificação pós-remediação.
O RGPD da UE acrescenta a questão centrada nos dados. O Article 32 exige segurança do tratamento, enquanto o Article 5(2) cria responsabilização. A revisão de privacidade deve começar antes de uma violação confirmada, e não apenas depois de a exfiltração estar provada.
| Pergunta de evidência do RGPD da UE | Resposta prática |
|---|---|
| O ativo afetado trata dados pessoais? | Referência ao inventário de dados e papel de responsável pelo tratamento ou subcontratante |
| Que categorias de dados pessoais estão envolvidas? | Classificação de dados e finalidade do tratamento |
| A exploração poderia afetar a confidencialidade, integridade ou disponibilidade? | Avaliação de impacto CID |
| Existiam cifragem, controlos de acesso ou segmentação? | Evidência de controlo e referência de configuração |
| Foi suspeitada ou confirmada uma violação de dados pessoais? | Avaliação de incidente e revisão jurídica |
| Foi considerada a notificação à autoridade de controlo? | Registo de decisão sobre violação ao abrigo do RGPD da UE |
| Os titulares dos dados foram afetados? | Avaliação de impacto e comunicação |
Um registo prático de remediação KEV e EUVD
Considere um cenário realista. A ENISA EUVD e a CISA KEV indicam exploração ativa de uma vulnerabilidade que afeta um serviço de transferência de ficheiros exposto à Internet. O serviço suporta a integração de clientes e armazena dados pessoais limitados. Existe um patch do fornecedor, mas o proprietário da aplicação solicita uma janela de manutenção e um componente SaaS relacionado depende da remediação pelo fornecedor.
Crie um registo no registo de governação de vulnerabilidades com estes campos:
| Campo | Exemplo de entrada |
|---|---|
| Fonte de informação | CISA KEV, ENISA EUVD, boletim do fornecedor, aviso de CERT nacional |
| Data e hora de identificação | 2026-05-29 16:40 UTC |
| Vulnerabilidade | Identificador CVE, produto do fornecedor, versões afetadas |
| Estado da exploração | Conhecida e explorada, exploração pública disponível, fornecedor confirma alvos ativos |
| Correlação com ativos | Gateway de transferência de ficheiros de integração exposto à Internet, produção |
| Serviço de negócio | Integração de clientes, fluxo de trabalho regulado de clientes |
| Impacto nos dados | Dados pessoais presentes, identificadores limitados e documentos carregados |
| Sinalizações regulamentares | Âmbito do SGSI ISO 27001, avaliação de serviço NIS2, evidência do Article 32 do RGPD da UE, DORA se se aplicar suporte a serviço financeiro |
| Classificação inicial de risco | Crítica devido a exploração ativa e exposição à Internet |
| Decisão de tratamento | Patch de emergência em 24 horas, regra WAF imediata, aumento do registo |
| Via de alteração | Alteração de emergência com aprovação delegada |
| Aprovador | Delegado do CISO e proprietário do serviço |
| Controlos compensatórios | Restrição por IP, patch virtual WAF, regra EDR, monitorização SIEM, limites temporários de carregamento |
| Exceção necessária | Necessária apenas para o componente SaaS enquanto aguarda remediação pelo fornecedor |
| Validação | Ferramenta de análise sem constatações, versão verificada, registos revistos para indicadores |
| Localização da evidência | Ligação do ticket, consulta SIEM, registo de alteração, registo de patches, captura de ecrã, aviso do fornecedor |
| Lições aprendidas | Adicionar o serviço à verificação semanal de exposição e ao playbook de notificação de fornecedores |
Em seguida, aplique as regras de política da Clarysec:
- Utilize a Política de Gestão de Vulnerabilidades e Patches empresarial se opera uma organização de maior dimensão com papéis formais, SLA e escalonamento.
- Utilize a Vulnerability and Patch Management Policy-sme para PME se precisar de um modelo leve, mas auditável.
- Utilize a Política de Gestão de Alterações empresarial ou a Política de Gestão de Alterações para PME para documentar a aprovação de emergência, testes, implementação e revisão retrospetiva.
- Ligue o registo ao Registo de Riscos e à Declaração de Aplicabilidade, conforme recomendado no Zenith Blueprint, passo 13.
- Etiquete os controlos no Zenith Controls como 5.7, 8.8 e 8.32, e adicione evidência de suporte para gestão de fornecedores, governação da nuvem, registos, gestão de incidentes e continuidade de negócio quando relevante.
Por fim, preserve a evidência de auditoria. A Política de Auditoria e Monitorização da Conformidade empresarial da Clarysec Política de Auditoria e Monitorização da Conformidade, também referida como P33 Política de Auditoria e Monitorização da Conformidade, define um objetivo explícito:
Gerar evidência defensável e um trilho de auditoria em apoio a pedidos de esclarecimento regulamentar, processos judiciais ou pedidos de garantia por parte de clientes.
Da secção “Objetivos”, cláusula da política 3.4.
Esse é o objetivo do fluxo de trabalho. Não está apenas a corrigir uma vulnerabilidade. Está a produzir evidência defensável de que a organização atuou de forma proporcional, tempestiva e controlada.
Como os auditores testarão a mesma decisão KEV
Um processo maduro de vulnerabilidades conhecidas e exploradas deve resistir a diferentes perspetivas de auditoria.
Um auditor ISO 27001:2022 começará pelo âmbito do SGSI, partes interessadas, obrigações regulamentares, método de avaliação de riscos, Declaração de Aplicabilidade e informação documentada. Perguntará se a inteligência sobre ameaças está integrada na avaliação de riscos, se a gestão de vulnerabilidades é repetível, se as alterações de emergência são controladas, se o risco residual é aceite pelo proprietário do risco correto e se a evidência é retida.
Um avaliador orientado à NIS2 focar-se-á na responsabilização da gestão, nas medidas de gestão de riscos do Article 21, vulnerabilidades de fornecedores, tratamento de incidentes, continuidade de negócio e avaliação de incidente significativo do Article 23. Prestará atenção a carimbos temporais, escalonamento, registos de decisão e a saber se os órgãos de administração foram informados quando apropriado.
Um auditor DORA ou uma autoridade competente perguntará se o quadro de gestão do risco das TIC capturou o ativo afetado, a função de negócio, a dependência e o serviço de terceiros. Esperará classificação de incidentes, registos de ameaças cibernéticas significativas, escalonamento para a gestão, seguimento da causa raiz, evidência de fornecedores, testes e acompanhamento da remediação.
Um revisor do RGPD da UE perguntará se estavam envolvidos dados pessoais, se a confidencialidade, integridade ou disponibilidade poderiam ter sido afetadas, que medidas técnicas e organizativas estavam implementadas, se a notificação de violação foi avaliada e se existe evidência de responsabilização.
Um avaliador NIST CSF 2.0 pode usar o núcleo do CSF e os perfis para testar se os resultados de governação, identificação, proteção, deteção, resposta e recuperação estão definidos e medidos. Um perfil-alvo prático poderia declarar: “Todas as vulnerabilidades conhecidas e exploradas que afetam ativos críticos expostos à Internet são triadas no prazo de 24 horas, tratadas no prazo de 72 horas ou formalmente excecionadas com controlos compensatórios e aprovação do proprietário do risco.”
Um auditor COBIT 19 perguntará quem é responsável, se os objetivos de governação estão definidos, se o apetite ao risco determina a urgência, se os indicadores de desempenho são revistos, se as exceções são monitorizadas e se as funções de garantia testam o processo de forma independente.
O mesmo registo de evidência deve responder a todos. Esse é o valor da engenharia de conformidade cruzada.
Métricas que o conselho de administração deve ver
Os conselhos de administração não precisam de uma lista de todos os CVE. Precisam de métricas com qualidade de decisão que demonstrem exposição, capacidade de resposta e risco residual. Para a governação de vulnerabilidades conhecidas e exploradas, a Clarysec recomenda um reporte de gestão conciso com:
| Métrica | Porque é relevante |
|---|---|
| Número de correspondências KEV ou EUVD no período | Demonstra o volume de exposição a ameaças |
| Percentagem que afeta ativos expostos à Internet | Demonstra o risco da superfície externa de ataque |
| Percentagem que afeta serviços críticos ou dados pessoais | Demonstra a relevância para o negócio e regulamentar |
| Tempo mediano até à triagem | Demonstra a rapidez de receção |
| Tempo mediano até à remediação | Demonstra a eficácia operacional |
| Contagem de violações de SLA | Demonstra problemas de desempenho dos controlos |
| Exceções abertas por proprietário do risco | Demonstra responsabilização pelo risco residual |
| Atrasos de remediação causados por fornecedores | Demonstra risco de dependência de terceiros |
| Eventos de exploração confirmados | Demonstra relevância para incidentes |
| Ativos repetidamente vulneráveis | Demonstra problemas sistémicos de higiene |
Estas métricas suportam a revisão pela gestão ISO 27001, a responsabilização da gestão NIS2, o reporte de risco de TIC DORA e a comunicação de governação NIST CSF. Também ajudam os proprietários do negócio a compreender porque a capacidade de aplicação de patches, a qualidade do inventário de ativos, os contratos com fornecedores e as janelas de manutenção não são “detalhes de TI”. São decisões de resiliência.
Padrões comuns de falha a eliminar
Nas avaliações da Clarysec, a governação de vulnerabilidades conhecidas e exploradas falha normalmente de formas previsíveis.
Primeiro, as fontes de informação são informais. Um engenheiro de segurança acompanha a CISA KEV, outro acompanha boletins de fornecedores e um terceiro depende da saída da ferramenta de análise de vulnerabilidades. Não existe registo de inteligência sobre ameaças documentado, regra de validação nem propriedade.
Segundo, a correlação com ativos é fraca. A organização sabe que existe um CVE, mas não consegue identificar rapidamente onde o produto é executado, se está exposto à Internet, quem é o proprietário, que dados trata ou que fornecedor o gere.
Terceiro, a alteração de emergência é demasiado lenta ou demasiado descontrolada. As equipas esperam dias por aprovação ou aplicam patches em produção sem notas de reversão, validação ou revisão retrospetiva.
Quarto, as exceções são vagas. “Não é possível aplicar o patch devido a impacto no negócio” não é aceitação do risco. Uma exceção adequada deve definir a restrição, os ativos afetados, os controlos compensatórios, o risco residual, o aprovador, a data de expiração e a cadência de revisão.
Quinto, a evidência está dispersa. Capturas de ecrã da ferramenta de análise, aprovações em chat, emails de fornecedores, consultas SIEM e registos de alteração vivem em locais diferentes. Durante uma auditoria ou pedido de esclarecimento regulamentar, a organização não consegue reconstruir a cronologia da decisão.
A solução não é mais ruído. É um único fluxo de trabalho de governação orientado por exploração que integra processos de informação, risco, alteração, incidente, fornecedor e evidência.
Construa o seu motor de evidência orientado por exploração
As vulnerabilidades conhecidas e exploradas continuarão a ser uma preocupação operacional de elevado volume em 2026. A CISA KEV e a ENISA EUVD tornam a informação sobre exploração mais visível, mas a visibilidade por si só não satisfaz as expectativas de evidência da ISO 27001:2022, NIS2, DORA ou RGPD da UE. É necessário um processo governado que converta informação em ação e ação em evidência.
Comece com quatro movimentos:
- Crie um registo de inteligência sobre ameaças usando o Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, fase Controls in Action, passo 22.
- Alinhe as regras de política com a Política de Gestão de Vulnerabilidades e Patches da Clarysec Política de Gestão de Vulnerabilidades e Patches ou a Vulnerability and Patch Management Policy-sme Vulnerability and Patch Management Policy-sme - PME.
- Utilize o Zenith Controls: The Cross-Compliance Guide Zenith Controls para mapear 5.7 Inteligência sobre ameaças, 8.8 Gestão de Vulnerabilidades Técnicas e 8.32 Gestão de Alterações para necessidades de evidência ISO, NIS2, DORA, RGPD da UE, NIST e COBIT.
- Teste um caso KEV ou EUVD real de ponta a ponta, desde a receção até à remediação, tratamento de exceções, alteração de emergência, validação e reporte à gestão.
A Clarysec pode ajudar a transformar isto num modelo operacional funcional e preparado para auditoria: políticas, registos, modelos de evidência, mapeamentos de conformidade cruzada e reporte ao nível do conselho de administração que tornam a remediação orientada por exploração defensável perante o auditor, o regulador e os seus clientes.
Descarregue o Zenith Blueprint, explore o Zenith Controls ou solicite uma avaliação de preparação da Clarysec para construir o seu fluxo de trabalho de governação CISA KEV e ENISA EUVD antes de a próxima vulnerabilidade de sexta-feira se tornar uma questão para o conselho de administração.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
