Gestão de chaves criptográficas para ISO 27001, NIS2 e DORA
Às 08:17 de uma segunda-feira, o CISO de uma empresa SaaS europeia recebe uma mensagem do responsável de engenharia: “Fizemos a rotação da chave de cifragem da base de dados durante o fim de semana, mas uma integração deixou de conseguir decifrar registos. Fizemos a reversão usando uma chave antiga do cofre.”
Dez minutos depois, o EPD pergunta se os registos afetados incluem dados pessoais da UE. A área de Compras pergunta se isto pode tornar-se um incidente operacional reportável para um cliente regulado. A equipa de aquisições pergunta se a chave gerida pelo cliente pertence ao prestador de serviços na nuvem ou à própria empresa. O CEO faz a única pergunta que importa na sala do conselho: “Conseguimos provar que gerimos isto corretamente?”
É nesse momento que “usamos cifragem” deixa de ser uma frase tranquilizadora e passa a ser um problema de evidência.
Em 2026, a gestão de chaves criptográficas situa-se na interseção entre os controlos da ISO/IEC 27001:2022, a higiene de cibersegurança da NIS2, a gestão do risco de TIC da DORA, a evidência de segurança do tratamento do Article 32 do RGPD da UE, a responsabilidade partilhada na nuvem e o planeamento de criptoagilidade pós-quântica. A questão central não é saber se existe cifragem. A questão central é saber se a organização consegue demonstrar, através de registos, que as chaves são geradas de forma segura, atribuídas a proprietários, armazenadas em ambientes KMS ou HSM aprovados, sujeitas a rotação programada, recuperadas em segurança, revogadas quando comprometidas e mapeadas para o risco de negócio.
A Clarysec observa repetidamente o mesmo padrão em trabalhos de preparação. A cifragem é implementada sistema a sistema, mas a governação das chaves está fragmentada. Os certificados vivem em folhas de cálculo. As permissões de KMS na nuvem são herdadas de projetos antigos. Os programadores sabem quais são os segredos relevantes, mas o SGSI não sabe. Os auditores recebem capturas de ecrã em vez de evidência do ciclo de vida. As equipas NIS2 e DORA falam de resiliência, as equipas de privacidade falam de cifragem e pseudonimização ao abrigo do RGPD da UE, e ninguém é responsável pelo plano de controlo criptográfico de ponta a ponta.
Uma resposta madura não consiste em mais criptografia isolada. Consiste numa gestão de chaves criptográficas governada, ligada ao tratamento de riscos, à arquitetura de nuvem, à supervisão de fornecedores, ao controlo de acessos, ao registo de eventos, à resposta a incidentes e à evidência regulamentar.
Porque a gestão de chaves é agora uma questão de governação
A NIS2 torna as políticas de criptografia e cifragem parte das medidas mínimas de gestão de riscos de cibersegurança para entidades essenciais e importantes. O Article 21 exige medidas técnicas, operacionais e organizativas adequadas e proporcionadas, incluindo análise de riscos, tratamento de incidentes, continuidade, segurança da cadeia de fornecimento, desenvolvimento seguro, higiene de cibersegurança, controlo de acessos, gestão de ativos e políticas de criptografia e cifragem. Exige também que os órgãos de direção aprovem e supervisionem as medidas de gestão de riscos de cibersegurança.
Para prestadores SaaS, de nuvem, de serviços geridos e de cibersegurança, a aplicabilidade pode ser mais ampla do que muitas equipas presumem. A NIS2 abrange setores como infraestrutura digital, prestadores de serviços de computação em nuvem, prestadores de centros de dados, prestadores DNS, prestadores de serviços de confiança, prestadores de serviços geridos, prestadores de serviços de segurança geridos, mercados em linha, motores de pesquisa e plataformas de redes sociais quando os limiares de dimensão ou criticidade são cumpridos.
A DORA eleva o nível de exigência para entidades financeiras. Desde 17 de janeiro de 2025, a DORA exige um quadro documentado de gestão do risco de TIC, responsabilização do conselho de administração, continuidade de negócio das TIC e planos de resposta e recuperação, testes de resiliência operacional digital, gestão do risco de terceiros de TIC e notificação de incidentes. Para entidades financeiras identificadas ao abrigo das regras nacionais da NIS2, a DORA atua como o ato jurídico setorial da União para obrigações NIS2 equivalentes. Uma fintech não deve manter uma governação criptográfica separada para NIS2, DORA e ISO. Precisa de um único modelo de controlo defensável.
O RGPD da UE acrescenta a dimensão da evidência de privacidade. O Article 32 do RGPD da UE é o ponto em que a cifragem é normalmente avaliada como salvaguarda de segurança do tratamento, mas “os dados estão cifrados” não é uma resposta completa. Reguladores e auditores perguntam quem controla as chaves, como o acesso é restringido, como o comprometimento é detetado, como a recuperação funciona e se a conceção corresponde ao risco para os titulares dos dados.
A ISO/IEC 27001:2022 fornece às organizações o sistema de gestão para ligar estas obrigações. As cláusulas 4.1 a 4.4 exigem contexto, requisitos das partes interessadas, âmbito do SGSI e processos interligados. As cláusulas 5.1 a 5.3 exigem liderança, política, recursos e responsabilidades atribuídas. As cláusulas 6.1.1 a 6.1.3 exigem avaliação de riscos, tratamento de riscos, seleção de controlos, uma Declaração de Aplicabilidade e aprovação pelo proprietário do risco. As cláusulas 8.1 a 8.3 exigem operação controlada, reavaliação de riscos quando ocorrem alterações, implementação de planos de tratamento e retenção de resultados documentados.
Para a gestão de chaves criptográficas, o SGSI deve responder a cinco perguntas:
- Que ativos de informação, fluxos de dados e serviços exigem proteção criptográfica?
- Que chaves, certificados, segredos e serviços criptográficos os protegem?
- Quem possui, administra, aprova e monitoriza esses ativos criptográficos?
- Como são controlados a geração, o armazenamento, a utilização, a rotação, o depósito de chaves, a recuperação, a revogação e a destruição?
- Que evidência prova que os controlos funcionaram conforme previsto?
A espinha dorsal de controlos ISO 27001 para a gestão de chaves criptográficas
A Clarysec trata a gestão de chaves criptográficas como uma cadeia de controlos, não como um controlo isolado. Em Zenith Controls: o guia de conformidade cruzada Zenith Controls, o tema mapeia principalmente para o controlo 8.24 da ISO/IEC 27002:2022, utilização de criptografia, com relações de suporte importantes com 5.17, informação de autenticação, e 5.23, segurança da informação na utilização de serviços na nuvem.
Essa relação é importante. Uma falha de gestão de chaves raramente é apenas “má cifragem”. Muitas vezes é um problema de autenticação, um problema de governação da nuvem, um problema de fornecedor, uma lacuna de registo de eventos ou uma falha de gestão de alterações.
| Área da ISO/IEC 27002:2022 | Porque é importante para a gestão de chaves | Evidência típica |
|---|---|---|
| 8.24 Utilização de criptografia | Define casos de utilização criptográfica aprovados, algoritmos, protocolos, ciclo de vida das chaves e expectativas de implementação | Política criptográfica, norma de algoritmos, procedimento de ciclo de vida das chaves, configuração de KMS, registos de rotação |
| 5.17 Informação de autenticação | Protege credenciais, segredos, tokens e material de autenticação associados a operações criptográficas privilegiadas | Inventário de segredos, logs de acesso ao cofre, revisões de acessos privilegiados, evidência de MFA |
| 5.23 Segurança da informação na utilização de serviços na nuvem | Define responsabilidade partilhada, propriedade de chaves na nuvem, decisões sobre CMK ou BYOK e governação do prestador | Registo de Serviços na Nuvem, matriz de responsabilidade partilhada, arquitetura KMS, revisão de segurança de fornecedores |
| 5.19 a 5.22 Segurança de fornecedores | Garante que fornecedores e prestadores de serviços de TIC cumprem requisitos de cifragem, custódia de chaves, incidentes e auditoria | Contratos, diligência prévia, garantia de fornecedores, revisões de monitorização |
| 5.24 a 5.28 Gestão de incidentes | Liga suspeitas de comprometimento de chaves à avaliação de eventos, resposta, aprendizagem e recolha de evidência | Procedimentos operacionais de incidentes, playbooks de comprometimento de chaves, logs forenses, lições aprendidas |
| 8.15 e 8.16 Registo de eventos e monitorização | Deteta utilização não autorizada de chaves, chamadas API suspeitas, tentativas falhadas de decifragem e alterações de políticas | Alertas SIEM, logs de auditoria de KMS, regras de deteção de anomalias |
| 8.32 Gestão de alterações | Controla rotações, migrações, atualizações de algoritmos, revogação de emergência e trabalho de transição pós-quântica | Tickets de alteração, aprovações, planos de reversão, resultados dos testes |
O Zenith Blueprint: roteiro de 30 passos para auditores Zenith Blueprint torna isto operacional na fase de Gestão de Riscos, passo 14, políticas de tratamento de riscos e referências cruzadas regulamentares. O exemplo de política de criptografia indica que a organização deve definir onde a criptografia é necessária, aprovar algoritmos e protocolos, definir a gestão de chaves, cobrir casos de utilização como cifragem integral de disco e comunicações seguras, e ligar a política ao Article 32 do RGPD da UE.
“As chaves de cifragem devem ser armazenadas de forma segura (por exemplo, num cofre de chaves/HSM) e o acesso limitado a pessoal autorizado.”
Atribuição: Zenith Blueprint, fase de Gestão de Riscos, passo 14, políticas de tratamento de riscos e referências cruzadas regulamentares Zenith Blueprint
Na fase Controlos em Ação, passo 20, o Zenith Blueprint aprofunda o tema. A criptografia não consiste em “ligar a cifragem”. Consiste em incorporar a criptografia na conceção, na política e na gestão do ciclo de vida. Isto inclui dados em repouso, dados em trânsito, autenticação de identidades e transações, algoritmos aprovados, cofres de chaves, HSM, rotação programada, revogação e validação através de testes de intrusão e revisão de código.
O que os auditores esperam quando pedem evidência sobre chaves
A maioria das constatações de auditoria começa com um pedido simples: “Mostre-me a sua política de cifragem e os registos de gestão de chaves.”
Respostas fracas incluem:
- “O prestador de serviços na nuvem cifra tudo por defeito.”
- “Usamos TLS.”
- “Os segredos estão no cofre.”
- “A equipa de engenharia trata da rotação.”
- “A chave é gerida pela aplicação.”
Estas afirmações podem ser tecnicamente verdadeiras, mas não constituem evidência completa. Um auditor ISO ligará a gestão de chaves à avaliação de riscos, à Declaração de Aplicabilidade, aos requisitos da política, ao controlo operacional e à documentação retida. Um avaliador do NIST CSF perguntará se os ativos criptográficos estão identificados, protegidos, monitorizados e recuperáveis. Um auditor DORA procurará governação do risco de TIC aprovada pelo conselho de administração, dependências de terceiros, gestão de incidentes e testes de resiliência. Um revisor do RGPD da UE perguntará se a cifragem e a separação de chaves reduzem o risco para os titulares dos dados e se o responsável pelo tratamento consegue demonstrar responsabilização.
A Política de Controlos Criptográficos empresarial da Clarysec Política de Controlos Criptográficos aborda diretamente a lacuna de evidência:
“Deve ser mantido um Registo de Gestão de Chaves centralizado para registar todas as chaves criptográficas, o seu estado no ciclo de vida, os custodiantes atribuídos e os contextos de utilização.”
Atribuição: política empresarial, Política de Controlos Criptográficos, requisitos de governação, cláusula 5.2 Política de Controlos Criptográficos
Esta frase muda a conversa de auditoria. Em vez de procurar conhecimento tribal, a organização pode apresentar um registo que liga chaves a ativos, proprietários, classificações de dados, sistemas, contas de nuvem, datas de rotação, contextos de utilização e evidência.
Para PME, a Política de Controlos Criptográficos para PME da Clarysec Política de Controlos Criptográficos para PME escala a mesma expectativa:
“O prestador de suporte de TI deve manter um inventário atualizado das ferramentas criptográficas e dos certificados em utilização”
Atribuição: política para PME, Política de Controlos Criptográficos para PME, requisitos de governação, cláusula 5.1.2 Política de Controlos Criptográficos para PME
Uma instituição financeira regulada pode precisar de cerimónias HSM, conhecimento dividido, controlo dual, nomeações formais de custodiantes e revisões trimestrais de acesso. Um pequeno prestador SaaS pode começar com um inventário mantido, algoritmos aprovados, propriedade de KMS documentada e evidência de rotação. Ambos precisam de governação proporcional ao risco.
O ciclo de vida das chaves que o seu SGSI deve controlar
Um programa prático de gestão de chaves segue o ciclo de vida. Cada fase precisa de um proprietário, método aprovado, controlo técnico, registo de alteração e evidência de auditoria.
| Fase do ciclo de vida | Pergunta de governação de chaves | Expectativa de controlo | Exemplo de evidência |
|---|---|---|---|
| Classificação | Que dados ou transação precisam de proteção criptográfica? | A classificação de dados identifica dados pessoais, dados financeiros, credenciais, logs, cópias de segurança e configurações sensíveis | Registo de classificação de dados, matriz de requisitos de cifragem |
| Conceção | Que método criptográfico está aprovado? | Algoritmos, protocolos, bibliotecas e comprimentos de chave aprovados são definidos e revistos | Norma criptográfica, registo de decisão arquitetural |
| Geração | Como são criadas as chaves de forma segura? | As chaves são geradas em KMS, HSM ou módulos validados aprovados, não manualmente nem em código-fonte | Logs de criação de chaves KMS, registo de cerimónia HSM |
| Atribuição | Quem é proprietário e administrador da chave? | São atribuídos um proprietário de negócio, um custodiante técnico e um custodiante suplente | Registo de Gestão de Chaves |
| Armazenamento | Onde é armazenada a chave? | As chaves são armazenadas em KMS, HSM ou cofre com controlos de acesso e registo para trilho de auditoria | Política KMS, configuração do cofre, logs de acesso |
| Utilização | Que sistemas podem usar a chave? | São aplicados o princípio do menor privilégio, identidade de carga de trabalho, segregação de funções e acesso API aprovado | Política IAM, mapeamento de contas de serviço |
| Rotação | Quando e por que motivo ocorre a rotação da chave? | Rotação programada e rotação acionada por evento em caso de comprometimento ou alteração de função | Calendário de rotação, tickets de alteração, resultados dos testes |
| Depósito e recuperação | Como podem os serviços recuperar sem expor chaves? | Os procedimentos de cópia de segurança e recuperação são testados e o acesso é controlado | Teste de recuperação, registo de aprovação de depósito de chaves |
| Revogação | O que acontece após comprometimento ou retirada de serviço? | Chaves e certificados são revogados ou desativados, e os sistemas dependentes são atualizados | Ticket de incidente, log de revogação |
| Destruição | Como são destruídas as chaves retiradas de serviço? | A eliminação segura ou o apagamento criptográfico segue os requisitos de retenção e os requisitos legais | Registo de destruição, calendário de eliminação KMS |
A Política de Controlos Criptográficos empresarial reforça a geração segura:
“Geração de chaves: realizada utilizando módulos seguros de hardware ou software (por exemplo, HSM, sistemas validados FIPS 140-2).”
Atribuição: política empresarial, Política de Controlos Criptográficos, requisitos de implementação da política, cláusula 6.3.1 Política de Controlos Criptográficos
Também especifica a rotação:
“Rotação de chaves: exigida em intervalos definidos ou imediatamente após comprometimento ou alteração de função.”
Atribuição: política empresarial, Política de Controlos Criptográficos, requisitos de implementação da política, cláusula 6.3.4 Política de Controlos Criptográficos
Para PME, o mesmo princípio surge em linguagem operacional mais simples:
“A rotação de chaves deve ocorrer de acordo com calendários de expiração ou perante suspeita de comprometimento”
Atribuição: política para PME, Política de Controlos Criptográficos para PME, requisitos de implementação da política, cláusula 6.3.4 Política de Controlos Criptográficos para PME
Estas cláusulas são relevantes para NIS2 e DORA porque chaves obsoletas ou mal governadas não são apenas fragilidades de confidencialidade. Podem tornar-se bloqueadores de resposta a incidentes, problemas de dependência de fornecedores, falhas de recuperação de desastre e problemas de notificação a clientes.
KMS na nuvem, HSM e BYOK: a armadilha da responsabilidade partilhada
A cifragem na nuvem é uma das fontes mais comuns de falsa garantia. Um prestador de serviços na nuvem pode cifrar armazenamento por defeito, mas isso não significa automaticamente que a sua organização tenha governado a chave.
O Zenith Blueprint, fase Controlos em Ação, passo 23, explica o controlo 5.23 da ISO/IEC 27002:2022 com foco na governação da nuvem, visibilidade e responsabilidade partilhada. Sublinha que o prestador pode proteger a infraestrutura, mas o cliente continua responsável pelos dados, configurações, políticas de acesso e preparação de resposta a incidentes.
“Os prestadores de serviços na nuvem protegem a infraestrutura, mas continua a ser responsável pelos seus dados, pelas suas configurações, pelas suas políticas de acesso e pela sua preparação de resposta a incidentes.”
Atribuição: Zenith Blueprint, fase Controlos em Ação, passo 23, controlos organizacionais 5.19-5.37 Zenith Blueprint
É aqui que a responsabilidade pelas chaves na nuvem se torna um risco ao nível do conselho de administração. Uma empresa SaaS pode usar cifragem gerida pelo prestador para logs de baixo risco, chaves geridas pelo cliente para bases de dados de clientes, BYOK para ambientes de clientes regulados e chaves raiz suportadas por HSM para assinatura ou tokenização. Cada escolha tem implicações de conformidade.
A Política de Utilização da Nuvem empresarial da Clarysec Política de Utilização da Nuvem fornece uma orientação de controlo clara:
“Devem ser usadas chaves geridas pelo cliente (CMK) ou Bring Your Own Key (BYOK) sempre que suportado pelo prestador de serviços na nuvem.”
Atribuição: política empresarial, Política de Utilização da Nuvem, requisitos de implementação da política, cláusula 6.4.2 Política de Utilização da Nuvem
Isto não significa que todos os serviços na nuvem tenham de usar BYOK. Significa que a organização deve decidir deliberadamente, com base no risco, nos compromissos com clientes, nos requisitos contratuais e na recuperabilidade.
| Modelo de propriedade da chave | Caso de utilização adequado | Foco de governação |
|---|---|---|
| Chaves geridas pelo prestador | Telemetria de baixo risco, logs não sensíveis, cifragem padrão da plataforma | Confirmar controlos do prestador, documentar a base de risco, monitorizar a configuração do serviço |
| Chaves geridas pelo cliente | Bases de dados de produção, cópias de segurança, registos de clientes, cargas de trabalho reguladas | Atribuir proprietário, restringir acesso, registar utilização da chave, fazer rotação e testar recuperação |
| BYOK ou gestão externa de chaves | Ambientes de clientes de alto risco, segregação contratual, compromissos com clientes regulados | Gerir importação, custódia, revogação, termos de fornecedor e testes de resiliência |
| Chaves suportadas por HSM | Chaves raiz de assinatura, autoridades de certificação, tokenização e segredos de elevado valor | Aplicar controlo dual, registos de cerimónia, segregação de funções e monitorização rigorosa de acesso |
O Article 28 e o Article 30 da DORA tornam isto especialmente relevante para entidades financeiras. Exigem gestão do risco de terceiros de TIC, registos de acordos contratuais de TIC, diligência prévia, direitos de auditoria e inspeção, assistência em incidentes, proteção de dados e acesso, disposições de recuperação e devolução. Se um prestador de serviços na nuvem ou fornecedor SaaS gere chaves de cifragem para uma função crítica ou importante, essa relação deve estar visível no registo de terceiros de TIC e nos controlos contratuais.
A NIS2 também exige segurança da cadeia de fornecimento, incluindo vulnerabilidades específicas de fornecedores, práticas de cibersegurança e procedimentos de desenvolvimento seguro. Se um fornecedor crítico detém as suas chaves, opera o seu KMS, fornece o seu HSM, gere o ciclo de vida dos seus certificados ou aloja cópias de segurança cifradas, esse fornecedor faz parte do seu ambiente de controlo criptográfico.
Aprovação de algoritmos e criptoagilidade em 2026
Uma política de gestão de chaves em 2026 não deve limitar-se a listar “AES-256” e “TLS 1.2 ou posterior”. Deve estabelecer um processo de aprovação e revisão que suporte criptoagilidade. Criptoagilidade significa que a organização consegue identificar onde são usados algoritmos, protocolos, certificados e comprimentos de chave, avaliar a exposição a fraquezas ou obsolescência e migrar sem pânico.
A política para PME da Clarysec estabelece:
“Só podem ser usados algoritmos e protocolos de melhores práticas da indústria aprovados pelo prestador de suporte de TI (por exemplo, AES-256, RSA 2048, TLS 1.2 ou posterior)”
Atribuição: política para PME, Política de Controlos Criptográficos para PME, requisitos de implementação da política, cláusula 6.2.1 Política de Controlos Criptográficos para PME
Também exige documentação:
“Todos os métodos de cifragem (por exemplo, AES-256, TLS 1.2+) e processos de gestão de chaves devem ser documentados”
Atribuição: política para PME, Política de Controlos Criptográficos para PME, requisitos de governação, cláusula 5.3.1 Política de Controlos Criptográficos para PME
A versão preparada para auditoria é uma norma criptográfica aprovada com:
- Algoritmos e protocolos permitidos para dados em repouso, dados em trânsito, assinaturas, hashing de palavras-passe, tokenização e cópias de segurança.
- Algoritmos, protocolos e bibliotecas não permitidos.
- Comprimentos mínimos de chave e períodos de validade de certificados.
- Plataformas aprovadas de KMS, HSM, autoridade de certificação e gestão de segredos.
- Requisitos de geração segura de números aleatórios.
- Orientações para programadores sobre bibliotecas criptográficas.
- Processo de exceção para sistemas legados.
- Desencadeadores de revisão para vulnerabilidades, alterações regulamentares, alterações de fornecedores e planeamento da transição pós-quântica.
O planeamento pós-quântico não exige que todas as organizações substituam imediatamente toda a criptografia. Exige inventário. Sem um inventário criptográfico, não é possível saber que sistemas usam cifragem de chave pública de longa duração, que certificados protegem serviços críticos, onde residem as chaves de assinatura ou que fornecedores têm de suportar a migração. O Registo de Gestão de Chaves não é burocracia. É a base da criptoagilidade.
Um sprint de evidência de gestão de chaves em 90 minutos
A Clarysec usa frequentemente um sprint curto de evidência com equipas de liderança, segurança, nuvem e conformidade. O objetivo é transformar rapidamente conhecimento disperso sobre chaves em evidência de auditoria.
Passo 1: Selecione um serviço crítico
Escolha um sistema relevante para NIS2, DORA ou RGPD da UE. Exemplos incluem identidade de clientes, processamento de pagamentos, monitorização de transações, base de dados de clientes em produção, plataforma de cópias de segurança cifradas ou API orientada para clientes.
Passo 2: Abra o Registo de Gestão de Chaves
Use o requisito da Política de Controlos Criptográficos para um registo centralizado como estrutura. Se ainda não tiver um, crie um registo simples com estes campos:
| Campo do registo | Exemplo de entrada |
|---|---|
| ID da chave ou certificado | prod-db-cmk-eu-west-01 |
| Contexto de utilização | Cifragem da base de dados de clientes em produção |
| Dados protegidos | Dados pessoais de clientes da UE e metadados de faturação |
| Proprietário | Responsável da Plataforma |
| Custodiante | Responsável de Segurança na Nuvem |
| Local de armazenamento | KMS na nuvem, região da UE |
| Tipo de chave | Chave simétrica gerida pelo cliente |
| Data de criação | 2026-01-14 |
| Frequência de rotação | 180 dias |
| Última rotação | 2026-04-10 |
| Próxima rotação | 2026-10-07 |
| Modelo de acesso | Apenas função de serviço, administração via grupo de acesso de emergência |
| Registo de eventos | Logs da API KMS encaminhados para o SIEM |
| Método de recuperação | Cópia de segurança KMS e procedimento de restauro testado |
| Dependência de fornecedor | KMS do prestador de serviços na nuvem |
| Mapeamento de conformidade | ISO 8.24, 5.17, 5.23, Article 32 do RGPD da UE, Article 21 da NIS2, risco de TIC DORA |
| Ligação de evidência | Ticket de alteração, captura de ecrã KMS, revisão IAM, consulta de logs, teste de recuperação |
Passo 3: Trace o acesso e o controlo dual
Para operações criptográficas de elevado impacto, aplique controlo dual e princípio do menor privilégio. A Política de Controlos Criptográficos empresarial estabelece:
“Devem ser aplicados mecanismos de controlo dual e princípio do menor privilégio a operações criptográficas sensíveis (por exemplo, importação de chaves raiz, administração HSM).”
Atribuição: política empresarial, Política de Controlos Criptográficos, requisitos de implementação da política, cláusula 6.6.2 Política de Controlos Criptográficos
Pergunte:
- Quem pode desativar ou eliminar a chave?
- Quem pode alterar a política da chave?
- Quem pode decifrar dados diretamente?
- As funções de acesso de emergência são monitorizadas e limitadas no tempo?
- A MFA é aplicada em operações privilegiadas sobre chaves?
- As ações privilegiadas são registadas em logs e revistas?
Passo 4: Recolha cinco registos de evidência
Recolha cinco registos que provem que o controlo funciona:
- Log de criação ou importação da chave.
- Política de acesso KMS ou HSM atual.
- Último ticket de alteração de rotação de chave.
- Consulta SIEM que mostra utilização da chave ou ações administrativas.
- Evidência de teste de recuperação ou restauro.
Passo 5: Mapeie para risco e regulamentação
Adicione uma declaração curta de risco: “A utilização não autorizada ou perda desta chave poderia expor dados pessoais da UE, interromper o serviço ao cliente e prejudicar a recuperação de sistemas críticos.” Em seguida, mapeie-a para as obrigações relevantes.
| Obrigação | O que a evidência suporta |
|---|---|
| Cláusulas 6 e 8 da ISO/IEC 27001:2022 | Tratamento de riscos, controlo operacional, resultados documentados |
| ISO/IEC 27002:2022 8.24 | Utilização aprovada de criptografia e controlo do ciclo de vida das chaves |
| NIS2 Article 21 | Políticas de criptografia e cifragem, higiene de cibersegurança, controlo de acessos, gestão de ativos |
| DORA Articles 5, 6, 17, 28 e 30 | Governação das TIC, quadro de risco de TIC, processo de incidentes, dependências de terceiros e contratos |
| GDPR Article 5 e Article 32 | Responsabilização, integridade e confidencialidade, segurança do tratamento |
| NIST CSF 2.0 | Identificar ativos, proteger dados, detetar anomalias, responder e recuperar |
Em 90 minutos, a equipa normalmente consegue identificar se a governação de chaves é real ou presumida.
Notificação de incidentes: quando o comprometimento de chaves inicia o relógio
Uma suspeita de comprometimento de chaves não é automaticamente uma violação notificável, mas pode iniciar o relógio regulamentar.
Ao abrigo da NIS2, as entidades essenciais e importantes devem notificar incidentes significativos que afetem a prestação de serviços sem demora injustificada. O modelo faseado inclui um alerta precoce no prazo de 24 horas após tomada de conhecimento, uma notificação de incidente no prazo de 72 horas, atualizações de estado quando solicitadas e um relatório final no máximo um mês após a notificação do incidente.
Ao abrigo da DORA, as entidades financeiras devem detetar, gerir e notificar incidentes relacionados com as TIC, registar incidentes e ameaças cibernéticas significativas, classificar incidentes por severidade e criticidade do serviço afetado, comunicar com as partes interessadas, reportar incidentes de maior impacto à alta direção e às autoridades competentes, realizar análise de causa raiz e remediar. A externalização do reporte pode ser possível, mas a responsabilidade continua a pertencer à entidade financeira.
Ao abrigo do RGPD da UE, a questão passa a ser se ocorreu uma violação de dados pessoais, ou seja, destruição, perda, alteração, divulgação não autorizada ou acesso a dados pessoais, de forma acidental ou ilícita. A cifragem robusta com chaves não comprometidas pode alterar materialmente a análise do risco de violação. Uma gestão de chaves fraca pode enfraquecer esse argumento.
Os playbooks de comprometimento de chaves devem definir:
- Como é detetada a suspeita de exposição de chaves.
- Quem declara um incidente criptográfico.
- Como são identificados os dados, serviços, clientes e jurisdições afetados.
- Como as chaves são revogadas ou sujeitas a rotação.
- Como os sistemas dependentes são restaurados.
- Como a integridade da evidência é preservada.
- Como são tomadas decisões de notificação jurídica, regulamentar e a clientes.
O Registo de Gestão de Chaves torna-se essencial durante este processo. Sem ele, os respondentes perdem tempo a identificar o que uma chave protegia. Com ele, conseguem delimitar rapidamente o impacto.
A perspetiva de auditoria: um conjunto de controlos, muitos consumidores de evidência
Auditores diferentes abordam a gestão de chaves criptográficas a partir de perspetivas diferentes, mas convergem na mesma evidência.
| Perspetiva do auditor | Pergunta provável de auditoria | Evidência eficaz |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | A gestão de chaves criptográficas é selecionada através do tratamento de riscos, documentada na Declaração de Aplicabilidade e operada conforme planeado? | Avaliação de riscos, Declaração de Aplicabilidade, política criptográfica, Registo de Gestão de Chaves, registos de rotação |
| Avaliador NIST CSF | Os ativos criptográficos estão identificados, protegidos, monitorizados e recuperáveis? | Inventários de ativos e dados, controlos de acesso, logs KMS, alertas SIEM, registos de resposta e recuperação |
| Auditor DORA | As dependências de chaves fazem parte da gestão do risco de TIC, supervisão de terceiros, testes de resiliência e notificação de incidentes? | Quadro de risco de TIC, registo de terceiros, contratos de KMS na nuvem, testes de continuidade, processo de classificação de incidentes |
| Revisor RGPD da UE | A cifragem reduz o risco para os titulares dos dados, e o responsável pelo tratamento consegue demonstrar responsabilização? | Classificação de dados, separação de chaves, logs de acesso, desenho de cifragem, avaliação do risco de violação |
| Auditor ISACA ou COBIT 2019 | Estão definidos objetivos de governação, propriedade do risco, desempenho dos controlos e responsabilização da gestão? | RACI, métricas de controlo, revisão pela gestão, Registo de Exceções, acompanhamento da remediação de auditoria |
Um pacote de auditoria robusto para gestão de chaves criptográficas normalmente contém:
- Política de Controlos Criptográficos aprovada.
- Política de Utilização da Nuvem aprovada quando a cifragem na nuvem é relevante.
- Norma criptográfica e lista de algoritmos.
- Registo de Gestão de Chaves.
- Inventário de certificados e segredos.
- Arquitetura de KMS, HSM e cofres.
- Evidência de IAM e revisão de acessos privilegiados.
- Registos de rotação e revogação.
- Evidência de testes de cópia de segurança, depósito de chaves e recuperação.
- Regras de registo de eventos e monitorização para atividade de chaves.
- Mapeamento de fornecedores e responsabilidade partilhada na nuvem.
- Playbook de incidente para suspeita de comprometimento de chaves.
- Exceções e aceitações de risco.
- Registos de revisão pela gestão e remediação de auditoria.
Este pacote transforma uma afirmação de controlo em prova.
Constatações comuns em auditorias de gestão de chaves
As constatações mais comuns são evitáveis:
- Ausência de um inventário único de chaves, certificados e ferramentas criptográficas.
- Cifragem predefinida do prestador de serviços na nuvem tratada como governação completa de chaves.
- Ausência de proprietário ou custodiante atribuído a chaves de produção.
- Existe rotação para certificados, mas não para chaves de aplicação ou CMK de bases de dados.
- Segredos e chaves misturados no mesmo cofre sem classificação.
- Programadores conseguem criar chaves fora dos padrões aprovados.
- Ausência de evidência de que os administradores KMS são revistos.
- Existem procedimentos de recuperação, mas nunca foram testados.
- O comprometimento de chaves não está incluído nos playbooks de resposta a incidentes.
- Algoritmos legados permanecem em serviços internos porque ninguém é responsável pela remediação.
- Compromissos BYOK são assumidos em contratos com clientes, mas não refletidos nas operações.
- A cifragem gerida por fornecedores não está incluída nas revisões de risco de fornecedor.
Cada constatação remete para a governação. É por isso que a criptografia não pode ser tratada como um projeto puramente de engenharia. Deve ligar-se ao âmbito do SGSI, ao tratamento de riscos, à política, a fornecedores, à nuvem, ao acesso, ao registo de eventos, aos incidentes e à continuidade.
Prepare a governação de chaves para auditoria antes do próximo incidente
Se a sua organização está a preparar-se para a NIS2, DORA, evidência do Article 32 do RGPD da UE, certificação ISO/IEC 27001:2022 ou criptoagilidade pós-quântica, comece por uma pergunta: consegue produzir hoje um Registo de Gestão de Chaves completo?
Se não, a Clarysec pode ajudá-lo a construir o sistema de controlo em torno dele.
Use o Zenith Blueprint Zenith Blueprint para estruturar o trabalho através da fase de Gestão de Riscos, passo 14, e da fase Controlos em Ação, passo 20. Use Zenith Controls Zenith Controls para mapear os controlos 8.24, 5.17 e 5.23 da ISO/IEC 27002:2022 face a NIS2, DORA, RGPD da UE, NIST e expectativas de auditoria. Use a Política de Controlos Criptográficos da Clarysec Política de Controlos Criptográficos, a Política de Controlos Criptográficos para PME Política de Controlos Criptográficos para PME e a Política de Utilização da Nuvem Política de Utilização da Nuvem para transformar requisitos em regras operacionais.
O próximo passo prático é simples: escolha um serviço crítico, inventarie as suas chaves, prove a propriedade, valide o acesso, recolha evidência de rotação e teste a recuperação. Se isso demorar mais de um dia, a sua governação criptográfica precisa de atenção antes que o regulador, auditor ou equipa de resposta a incidentes faça a mesma pergunta sob pressão.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
