Governação de DNS em 2026: controlos do agente de registo preparados para auditoria
Às 07:42 de uma segunda-feira de manhã, o Diretor de Segurança da Informação de uma scale-up fintech recebe a mensagem que ninguém quer ver. Os clientes não conseguem aceder ao portal de pagamentos, o helpdesk está inundado de pedidos, o correio eletrónico está a falhar e o SOC não encontrou malware, indisponibilidade de firewall nem incidente do prestador de serviços cloud.
A causa raiz é mais silenciosa e mais embaraçosa. Uma conta do agente de registo foi acedida com uma credencial administrativa obsoleta, partilhada por vários antigos elementos da equipa de TI. O atacante alterou os servidores de nomes autoritativos, modificou registos MX, desativou o DNSSEC e redirecionou o tráfego durante tempo suficiente para recolher credenciais e perturbar APIs de parceiros. O portal de pagamentos não foi comprometido no sentido tradicional. O ativo comprometido foi a âncora de confiança da empresa: o seu domínio.
Às 09:30, a crise operacional transformou-se numa crise de conformidade. O conselho de administração pergunta se o Registry Lock estava ativado. A área jurídica pergunta se houve exposição de dados pessoais. O EPD pergunta se se trata de uma violação de dados pessoais ao abrigo do RGPD da UE. O regulador quer saber se uma função crítica ou importante foi afetada. Um auditor de cliente solicita o ticket de alteração que aprovou a modificação de DNS.
Em demasiadas organizações, a resposta é uma folha de cálculo, uma caixa de correio partilhada e uma consola do agente de registo que ninguém revê há seis meses.
A governação de DNS e dos agentes de registo de domínios em 2026 já não é um tema de infraestrutura de nicho. Faz parte da resiliência contra ransomware, da prevenção de phishing, da disponibilidade da cloud, da gestão de riscos de fornecedores, da resposta a incidentes, da continuidade de negócio e da conformidade baseada em evidência. Se o seu domínio puder ser sequestrado, a sua plataforma SaaS pode desaparecer. Se os seus registos DNS puderem ser alterados sem aprovação, a segurança do correio eletrónico, o SSO, os certificados TLS, os endpoints de API e a confiança dos clientes podem ser comprometidos em minutos.
Porque a governação de DNS e dos agentes de registo pertence ao SGSI
Um nome de domínio não é apenas um ativo de marca. É um ativo lógico, uma dependência de autenticação, uma dependência de encaminhamento e, frequentemente, um serviço gerido por fornecedor. Liga fornecedores de identidade, autenticação de correio eletrónico, validação de certificados TLS, endpoints cloud, portais de clientes, APIs, serviços CDN, sondas de monitorização e comunicações de incidentes.
A Política de gestão de ativos - PME da Clarysec Política de gestão de ativos - PME torna isto explícito no seu âmbito:
Credenciais e serviços digitais: nomes de domínio, certificados digitais, chaves de API, contas de correio eletrónico, credenciais de acesso à nuvem
Da secção “Âmbito”, cláusula 2.2.4 da política.
A mesma política exige mais do que listar o nome de domínio:
A propriedade, a finalidade, os Privilégios de acesso e os prazos de renovação devem ser documentados.
Da secção “Requisitos de implementação da política”, cláusula 6.6.2 da política.
Para ambientes empresariais, a Política de gestão de ativos da Clarysec Política de gestão de ativos também inclui ativos lógicos no âmbito:
Ativos lógicos: nomes de domínio, licenças, contas de utilizador, configurações de referência
Da secção “Âmbito”, cláusula 2.2.5 da política.
Este é o ponto de partida da governação. Um inventário de DNS e do agente de registo deve documentar:
- Nome de domínio, registry, agente de registo, fornecedor de alojamento DNS e servidores de nomes autoritativos
- Proprietário de negócio, proprietário técnico, proprietário de segurança e aprovador de emergência
- Finalidade, como portal de produção, API, correio eletrónico, SSO, marketing, ambiente de teste ou registo defensivo
- Classificação de criticidade e mapeamento de dependências para serviços de negócio
- Estado do DNSSEC, estado do registo DS, propriedade das chaves e processo de rotação de chaves
- Estado do Registry Lock e do Registrar Lock
- MFA e modelo de acesso privilegiado para contas do agente de registo e do fornecedor de DNS
- Data de renovação, estado de renovação automática, responsável pelo pagamento e alertas de expiração
- Requisitos de controlo de alterações para edições de zona e alterações de delegação
- Registo, geração de alertas, monitorização e retenção de evidência
É por isso que a governação de domínios deve constar do âmbito do SGSI e da avaliação de riscos ISO/IEC 27001:2022. A ISO/IEC 27001:2022 exige que as organizações determinem o contexto, os requisitos das partes interessadas, as obrigações legais e contratuais, as interfaces e as dependências com organizações externas. O DNS depende de agentes de registo, registries, fornecedores de alojamento DNS, prestadores de serviços cloud, autoridades de certificação, MSP e, por vezes, agências de marketing. Se essas interfaces forem excluídas do SGSI, o trilho de auditoria ficará incompleto.
O modelo de ameaças de DNS em 2026
As falhas de DNS com maior impacto são frequentemente simples:
- Um domínio expira porque a responsabilidade pela renovação não estava clara.
- Uma antiga agência ainda tem acesso a uma conta do agente de registo.
- O DNSSEC está ativado, mas os registos DS estão incorretos após uma migração de fornecedor de DNS.
- Um registo wildcard encaminha tráfego para um serviço cloud abandonado.
- Um registo TXT é alterado para validar um tenant SaaS controlado por atacante ou um pedido de certificado.
- Registos MX são modificados durante uma campanha de phishing ou de interceção de correio eletrónico.
- Um CNAME para uma plataforma de terceiros torna-se vulnerável a takeover.
- Existe Registry Lock para o domínio principal, mas não para domínios nacionais orientados a clientes.
- O SOC monitoriza endpoints, mas ninguém monitoriza alterações ao ficheiro de zona.
As salvaguardas técnicas são bem conhecidas. O DNSSEC ajuda a proteger a integridade dos dados DNS e a autenticação da origem. O Registry Lock faz com que alterações de alto risco ao nível do registry exijam verificação adicional fora de banda. O Registrar Lock reduz o risco de transferência não autorizada. A MFA e as revisões de acessos privilegiados reduzem a probabilidade de comprometimento de contas. O controlo de alterações previne perturbações acidentais. A monitorização deteta alterações não autorizadas ou inesperadas.
O desafio de conformidade é diferente: consegue provar que estas salvaguardas existem, têm proprietário, são revistas e funcionam durante um incidente?
É nessa questão de evidência que muitas organizações falham.
Mapeamento da governação de DNS para ISO/IEC 27001:2022 e ISO/IEC 27002:2022
A ISO/IEC 27001:2022 fornece a estrutura de sistema de gestão para transformar controlos de DNS em processos repetíveis e auditáveis. O Anexo A da ISO/IEC 27001:2022 e a orientação de controlos da ISO/IEC 27002:2022 fornecem a linguagem de controlo que os auditores esperam.
| Área de governação de DNS | Tema de evidência do Anexo A da ISO/IEC 27001:2022 e da ISO/IEC 27002:2022 | O que os auditores esperam ver |
|---|---|---|
| Inventário de domínios | 5.9 Inventário de informação e outros ativos associados | Registo de domínios com proprietários, criticidade, datas de renovação, fornecedor de DNS, agente de registo e dependências |
| Acesso ao agente de registo | 5.15 Controlo de acesso, 5.16 Gestão de identidades, 5.18 Direitos de acesso, 8.5 Autenticação segura | Utilizadores nominativos, evidência de MFA, registos de aprovação, revisões periódicas de acesso e processo de acesso de emergência |
| DNSSEC | 8.24 Utilização de criptografia | Estado do DNSSEC, registos DS, custódia de chaves, plano de rotação e monitorização de validação |
| Registry Lock e Registrar Lock | 5.15 Controlo de acesso, 8.20 Segurança de redes, 8.21 Segurança dos serviços de rede, 8.32 Gestão de alterações | Estado do bloqueio, procedimento de desbloqueio, contactos autorizados e processo de verificação fora de banda |
| Controlo de alterações de zona | 8.9 Gestão da configuração, 8.32 Gestão de alterações | Tickets de alteração, avaliação de riscos, aprovações, evidência de implementação e plano de reversão |
| Governação do fornecedor de DNS | 5.19 Segurança da informação nas relações com fornecedores, 5.20 Tratamento da segurança da informação em acordos com fornecedores, 5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores | Cláusulas contratuais, SLA, responsabilidades de segurança, revisões de serviço e expectativas de notificação de incidentes |
| Registo e monitorização de DNS | 8.15 Registo, 8.16 Atividades de monitorização | Logs, alertas, ingestão no SIEM, retenção e evidência de teste de alertas |
| Resposta a indisponibilidade de DNS | 5.24 Planeamento e preparação da gestão de incidentes de segurança da informação, 5.29 Segurança da informação durante perturbações, 5.30 Preparação das TIC para continuidade de negócio | Runbooks, lista de escalonamento, procedimentos de recuperação e lições aprendidas pós-incidente |
O Zenith Blueprint: Roteiro de 30 passos de um auditor da Clarysec Zenith Blueprint trata os serviços de rede como objetos explícitos de auditoria. Na fase Controlos em Ação, passo 20, instrui as equipas a validar a segurança dos serviços de rede:
Liste todos os serviços de rede internos e externos (DNS, VPN, SMTP, DHCP, gateways de API, etc.).
✓ Para cada um, confirme que utilizam protocolos seguros (por exemplo, DNSSEC, TLS 1.2+, SSH em vez de Telnet). ✓ Reveja como o acesso a cada serviço é controlado (por exemplo, listas de permissões de IP, autenticação, certificados). ✓ Se forem geridos por terceiros (por exemplo, DNS, SD-WAN, VPN alojada), reveja as cláusulas de segurança no SLA ou no contrato com o fornecedor. Atualize o seu Registo de Serviços e indique onde residem as responsabilidades de segurança, internas ou externas.
Da fase Controlos em Ação, passo 20: controlos 8.18 a 8.26.
Isto fornece uma via prática de auditoria: tratar o DNS como um serviço de rede externo, documentar como é protegido e registar se a responsabilidade é interna, do agente de registo, do fornecedor de DNS ou de um MSP.
O Zenith Controls: Guia de Conformidade Transversal da Clarysec Zenith Controls é útil porque a governação de DNS raramente se mapeia para uma única framework. A mesma decisão sobre DNSSEC ou Registry Lock suporta evidência para ISO/IEC 27001:2022, NIS2, DORA, RGPD da UE, NIST CSF 2.0 e COBIT 2019.
Para a monitorização de fornecedores, o Zenith Controls mapeia o controlo 5.22 da ISO/IEC 27002:2022, Monitorização, revisão e gestão de alterações dos serviços de fornecedores, como um controlo preventivo que suporta confidencialidade, integridade e disponibilidade. Para DNS, isto significa que o seu agente de registo e o seu fornecedor de DNS não são fornecedores que se configuram uma vez e se esquecem. A sua postura de segurança, alterações de serviço, indisponibilidades, subcontratantes subsequentes e práticas de notificação devem ser revistas.
Para DNSSEC e integridade criptográfica, o Zenith Controls mapeia o controlo 8.24 da ISO/IEC 27002:2022, Utilização de criptografia, como um controlo preventivo alinhado com configuração segura. DNSSEC não é cifragem do tráfego DNS, mas é uma garantia criptográfica da integridade dos dados DNS e da autenticação da origem.
Para edições de zona DNS, o Zenith Controls mapeia o controlo 8.32 da ISO/IEC 27002:2022, Gestão de alterações, como um controlo preventivo que suporta confidencialidade, integridade e disponibilidade. Uma alteração de DNS é uma alteração de configuração. Uma atualização de registo DS, alteração de registo MX, migração CNAME, atualização SPF ou DMARC, transição de CDN ou alteração de delegação de servidores de nomes deve ter ticket, avaliação de riscos, aprovação, resultado de teste e plano de reversão.
DNSSEC, Registry Lock e gestão de chaves para domínios críticos
Nem todos os domínios têm o mesmo risco. Um domínio defensivo usado apenas para prevenir personificação indevida pode necessitar de monitorização e disciplina de renovação. Um domínio primário de portal de clientes exige os controlos mais fortes disponíveis.
Para domínios críticos, a Clarysec recomenda normalmente esta linha de base:
- DNSSEC ativado e validado quando suportado pelo registry, pelo agente de registo e pelo fornecedor de DNS
- Registos DS revistos após qualquer migração de fornecedor de DNS
- Processo documentado de rotação de KSK e ZSK, quando as chaves são geridas pelo cliente
- Registry Lock ativado para domínios primários de produção, identidade, API, pagamento e correio eletrónico
- Registrar Lock ativado para todos os domínios, salvo exceção temporária documentada
- MFA imposta para todos os utilizadores do agente de registo e do fornecedor de DNS
- Utilizadores privilegiados restringidos, nominativos, aprovados e revistos
- Acesso break-glass documentado e testado
- Monitorização de ficheiros de zona com alertas sobre alterações NS, DS, DNSKEY, MX, TXT, A, AAAA, CNAME, CAA e wildcard
- Monitorização externa a partir de múltiplos resolvedores e regiões
- Evidência retida no repositório do SGSI
A Política de Controlos Criptográficos empresarial da Clarysec Política de Controlos Criptográficos fornece o ponto de governação para chaves DNSSEC:
Deve ser mantido um Registo de Gestão de Chaves centralizado para registar todas as chaves criptográficas, o seu estado no ciclo de vida, os custodiantes designados e os contextos de utilização.
Da secção “Requisitos de governação”, cláusula 5.2 da política.
Se a sua organização gerir diretamente chaves DNSSEC, ou controlar a publicação de DS no agente de registo, o Registo de Gestão de Chaves deve documentar a custódia, o estado no ciclo de vida, as datas de rotação e a autoridade de aprovação. Se o fornecedor de DNS gerir as chaves DNSSEC, o registo de fornecedor deve explicar essa responsabilidade e incluir evidência de garantia.
Governação do acesso ao agente de registo: MFA, princípio do menor privilégio e controlo de emergência
As contas do agente de registo são frequentemente criadas numa fase inicial da vida da empresa e depois esquecidas à medida que a empresa amadurece. Fundadores, agências, programadores, utilizadores financeiros e MSP podem manter acessos históricos. Isto constitui uma deficiência de controlo séria.
A Política de Gestão de Contas de Utilizador e Privilégios - PME da Clarysec Política de Gestão de Contas de Utilizador e Privilégios - PME estabelece:
Privilégios elevados ou administrativos exigem aprovação adicional pelo Diretor-Geral (GM) ou pelo Responsável de TI e devem ser documentados, limitados no tempo e sujeitos a revisão periódica.
Da secção “Requisitos de implementação da política”, cláusula 6.2.2 da política.
Aplique isto literalmente ao acesso ao agente de registo e ao fornecedor de DNS:
- Não devem existir contas de administrador do agente de registo partilhadas
- MFA para todos os utilizadores, preferencialmente resistente a phishing quando suportada
- Contactos de emergência nominativos com autoridade documentada
- Segregação entre utilizadores de faturação e administradores técnicos, quando possível
- Remoção imediata de antigos colaboradores, agências e fornecedores
- Revisão trimestral de acesso privilegiado para domínios críticos
- Exceções registadas com datas de expiração
- Procedimentos de desbloqueio e recuperação de emergência testados que não criem alterações inseguras em produção
A evidência de Registry Lock deve incluir capturas de ecrã ou atestados do agente de registo que demonstrem o estado ativado, os contactos autorizados, o processo de desbloqueio e a data da última revisão.
Controlo de alterações de zona: pequenas edições DNS, grande impacto no negócio
As alterações de DNS são enganosamente pequenas. Um registo TXT pode validar a propriedade de uma plataforma SaaS. Um CNAME pode redirecionar clientes para um novo ambiente. Um registo MX pode redirecionar correio. Um registo CAA pode influenciar a emissão de certificados. Um registo DS incorreto pode fazer com que um domínio assinado falhe a validação.
A Política de Gestão de Mudanças - PME da Clarysec Política de Gestão de Mudanças - PME estabelece:
Todas as alterações devem ser submetidas como Pedido de alteração (correio eletrónico, formulário ou ticket de helpdesk).
Da secção “Requisitos de governação”, cláusula 5.1.1 da política.
Para clientes empresariais, a Política de gestão de alterações da Clarysec Política de gestão de alterações eleva a expectativa de evidência:
Todos os pedidos de alteração, revisões, aprovações e evidência de suporte devem ser registados no Sistema de Gestão de Alterações centralizado.
Da secção “Requisitos de implementação da política”, cláusula 6.1.1 da política.
O Zenith Blueprint reforça isto na fase Controlos em Ação, passo 21:
Selecione 2–3 alterações recentes de sistema ou de configuração e verifique se foram processadas através do seu fluxo formal de aprovação de gestão de alterações.
✓ Os riscos foram avaliados? ✓ As aprovações foram documentadas? ✓ Foi incluído um plano de reversão?
Valide que as alterações foram implementadas conforme planeado e que quaisquer incidentes ou impactos inesperados foram registados. Reveja logs, diffs de controlo de versões ou trilhos de auditoria de ferramentas como ServiceNow, Jira ou Git. Registe este processo num Registo Resumido de Alterações para referência de auditoria.
Da fase Controlos em Ação, passo 21: controlos 8.27 a 8.34.
Um ticket de alteração específico de DNS deve incluir o domínio e a zona afetados, o tipo de registo, os valores antes e depois, a justificação de negócio, a avaliação de riscos, a janela de implementação, o aprovador, o implementador, o verificador, as verificações de propagação DNS, a validação DNSSEC, o plano de reversão, a monitorização pós-alteração e a evidência exportada.
O princípio de auditoria é simples: as alterações de DNS devem ser rastreáveis desde o pedido até à aprovação, implementação e verificação.
Monitorização e registo: detetar a alteração DNS antes dos clientes
Um programa robusto de governação de DNS assume que a prevenção pode falhar. A monitorização deve detetar alterações inesperadas com rapidez suficiente para suportar a resposta a incidentes.
A Política de Segurança de Redes - PME da Clarysec Política de Segurança de Redes - PME é explícita:
O registo de DNS deve estar ativado para suportar threat hunting e resposta a incidentes
Da secção “Requisitos de implementação da política”, cláusula 6.6.3 da política.
A Política de registo e monitorização empresarial Política de registo e monitorização parte da mesma expectativa operacional:
Todos os sistemas abrangidos devem gerar logs que capturem:
Da secção “Requisitos de implementação da política”, cláusula 6.1.1 da política.
Para a governação de DNS e do agente de registo, os sistemas abrangidos devem incluir portais do agente de registo, consolas de alojamento DNS, gestão de DNS baseada em API, pipelines de CI/CD que implementam DNS como código, alertas SIEM e ferramentas externas de monitorização.
| Evento | Porque importa | Evidência mínima |
|---|---|---|
| Alteração de registo NS | Pode redirecionar todo o domínio para DNS controlado por atacante | Alerta, ticket, aprovador e valores antes/depois |
| Alteração de DS ou DNSKEY | Pode interromper a validação DNSSEC ou permitir ataques à integridade | Relatório de validação DNSSEC e registo de alteração |
| Alteração de MX | Pode redirecionar correio eletrónico e suportar phishing ou interceção de dados | Alerta, teste de fluxo de correio e aprovação |
| Alteração de TXT | Pode validar propriedade SaaS, autenticação de correio eletrónico ou emissão de certificados | Ticket de alteração, solicitante e justificação de negócio |
| Alteração de CAA | Pode influenciar controlos de emissão de certificados | Revisão da governação de certificados |
| Adição de registo wildcard | Pode criar risco amplo de encaminhamento ou takeover | Avaliação de riscos e aprovação |
| Autenticação no agente de registo a partir de localização invulgar | Indica risco de comprometimento de conta | Alerta SIEM e nota de investigação |
| Pedido de desbloqueio de Registry Lock | Alteração de alto risco que exige escalonamento | Aprovação de emergência e revisão pós-ação |
A monitorização deve estar integrada na resposta a incidentes. Um alerta DNS sem proprietário, classificação de severidade ou runbook é apenas ruído.
NIS2, DORA e RGPD da UE: governação de DNS como evidência regulatória
O NIS2 Article 21 exige medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir riscos para redes e sistemas de informação e minimizar o impacto dos incidentes. A governação de DNS mapeia naturalmente para gestão de ativos, controlo de acesso, criptografia, proteção da cadeia de fornecimento, tratamento de incidentes, continuidade de negócio e avaliação da eficácia.
O NIS2 Article 20 também torna a cibersegurança uma responsabilidade do órgão de gestão. Os conselhos de administração não precisam de aprovar todos os registos TXT, mas devem compreender se os domínios críticos estão protegidos por DNSSEC, Registry Lock, MFA, monitorização e recuperação testada. Para incidentes significativos, o NIS2 Article 23 introduz reporte faseado, incluindo alerta precoce no prazo de 24 horas, notificação de incidente no prazo de 72 horas e relatório final o mais tardar um mês após a notificação de incidente.
Para entidades financeiras reguladas, o DORA é aplicável desde 17 de janeiro de 2025 e funciona como o quadro setorial de resiliência das TIC quando se sobrepõe ao NIS2. O DNS suporta frequentemente funções críticas ou importantes, como aplicações de pagamento, banca móvel, portais de negociação, identidade de clientes, sistemas de fraude, gateways de API e integrações de terceiros. A evidência DORA deve demonstrar o mapeamento de dependências de ativos de TIC, a classificação de incidentes, testes de resiliência, gestão de riscos de terceiros e planeamento de recuperação para cenários de falha de DNS e do agente de registo.
Um incidente de DNS não é automaticamente uma violação de dados pessoais ao abrigo do RGPD da UE. Pode tornar-se uma se os utilizadores forem redirecionados para um site de phishing, forem recolhidas credenciais, o correio eletrónico que contenha dados pessoais for redirecionado, o tráfego para sistemas de tratamento de dados pessoais for intercetado ou a disponibilidade dos dados pessoais for materialmente afetada. O RGPD da UE Article 5 exige integridade, confidencialidade e responsabilização. O Article 32 exige medidas de segurança adequadas para o tratamento. A governação de DNS fornece evidência de que o encaminhamento de domínios e os serviços dependentes de DNS estão protegidos com medidas técnicas e organizativas proporcionadas.
| Medida de controlo | Anexo A da ISO/IEC 27001:2022 e ISO/IEC 27002:2022 | NIS2 | DORA | RGPD da UE |
|---|---|---|---|---|
| Inventário de ativos de domínio | 5.9 Inventário de informação e outros ativos associados | Article 21(2)(i) | Article 8 | Articles 5 and 32 |
| Agente de registo como fornecedor | 5.19, 5.20, 5.22 | Article 21(2)(d) | Chapter V | Article 28 and Article 32 |
| Controlo de acesso ao agente de registo e MFA | 5.15, 5.16, 5.18, 8.5 | Article 21(2)(i) and 21(2)(j) | Article 9 | Article 32 |
| Registry Lock e Registrar Lock | 5.15, 8.20, 8.21, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Article 32 |
| Controlo de alterações de zona DNS | 8.9, 8.32 | Article 21(2)(a) and 21(2)(e) | Articles 9, 10 and 11 | Articles 5 and 32 |
| Implementação de DNSSEC | 8.24 Utilização de criptografia | Article 21(2)(h) | Articles 9 and 10 | Article 32 |
| Registo e monitorização de DNS | 8.15 Registo, 8.16 Atividades de monitorização | Article 21(2)(a), 21(2)(b) and 21(2)(f) | Articles 10 and 17 | Articles 5, 32 and 33 |
Criar um pacote de evidência DNS em uma semana
Um plano prático de remediação da governação de DNS pode ser concluído rapidamente se for orientado por evidência.
Dia 1: criar o Registo de Domínios e Serviços DNS
Comece pelo requisito da Política de gestão de ativos - PME de documentar propriedade, finalidade, Privilégios de acesso e prazos de renovação.
| Campo | Exemplo |
|---|---|
| Domínio | example.com |
| Finalidade de negócio | Portal de clientes, API, correio eletrónico |
| Criticidade | Crítico |
| Agente de registo | Agente de registo A |
| Registry Lock | Ativado |
| Registrar Lock | Ativado |
| Fornecedor de DNS | Fornecedor de DNS gerido B |
| DNSSEC | Ativado, DS publicado |
| Proprietário | Responsável de Plataforma |
| Proprietário de segurança | Diretor de Segurança da Informação |
| Data de renovação | 2027-04-12 |
| Monitorização | Alerta SIEM mais monitor DNS externo |
| Fluxo de alteração | Tipo de alteração DNS no Jira |
| Data de revisão do fornecedor | 2026-03-15 |
Dia 2: rever acesso e privilégios
Exporte os utilizadores do agente de registo e do fornecedor de DNS. Remova contas obsoletas. Imponha MFA. Identifique administradores. Registe evidência de aprovação para utilizadores privilegiados e documente o acesso de emergência.
Dia 3: validar DNSSEC e bloqueios
Para cada domínio crítico, verifique a validação da cadeia DNSSEC, a exatidão do registo DS, a visibilidade DNSKEY, o Registrar Lock e o Registry Lock. Se o DNSSEC for gerido pelo fornecedor, documente a responsabilidade do fornecedor. Se for gerido pelo cliente, adicione as chaves DNSSEC e os custodiantes ao Registo de Gestão de Chaves.
Dia 4: converter alterações DNS em registos formais de alteração
Selecione as três últimas alterações DNS e teste-as contra os critérios do passo 21 do Zenith Blueprint: risco avaliado, aprovação documentada, plano de reversão incluído, implementação conforme planeado e impacto inesperado registado. Crie um Registo Resumido de Alterações.
Dia 5: ligar a monitorização à resposta a incidentes
Confirme logs e alertas para autenticação no agente de registo, alterações de zona, alterações DNSSEC, alterações NS, alterações MX, alterações TXT, alterações CAA e notificações do fornecedor. Envie alertas de teste para o SOC ou para o proprietário de TI. Anexe a evidência ao repositório do SGSI.
Dia 6: rever obrigações dos fornecedores
Use a orientação do passo 23 do Zenith Blueprint para procedimentos de alteração e monitorização de fornecedores:
Estabeleça um procedimento simples e escalável para avaliar alterações aos serviços de fornecedores (5.21), tais como migração para a nuvem, novos subcontratantes subsequentes ou redesenho de infraestrutura. Defina desencadeadores que exijam reavaliação de segurança. Em seguida, implemente uma cadência recorrente de monitorização de fornecedores (5.22), atribuindo proprietários a fornecedores críticos e garantindo que desempenho, conformidade e riscos são revistos pelo menos anualmente.
Da fase Controlos em Ação, passo 23: controlos organizacionais 5.19 a 5.37.
A Política de segurança de terceiros e fornecedores empresarial da Clarysec Política de segurança de terceiros e fornecedores fornece a âncora contratual:
Os contratos com fornecedores devem incluir:
Da secção “Requisitos de governação”, cláusula 5.3 da política.
| Tema contratual | Requisito específico de DNS |
|---|---|
| Responsabilidades de segurança | Quem gere DNSSEC, bloqueios, logs, acesso, cópias de segurança e aprovações de alterações |
| Notificação de incidente | Prazos e canais para comprometimento do agente de registo, indisponibilidade de DNS ou alteração não autorizada |
| Escalonamento de suporte | Via de emergência 24/7 para domínios críticos |
| Notificação de alteração | Aviso prévio para migrações de plataforma, alterações de API e alterações de subcontratantes subsequentes |
| Evidência | Logs de acesso, histórico de alterações, estado de bloqueio, estado DNSSEC e relatórios de uptime |
| Saída | Procedimento de transferência de domínio, exportação de zona, migração DNSSEC e remoção de bloqueio |
Dia 7: executar um exercício de tabletop
Simule uma alteração não autorizada de registo NS. A equipa deve detetá-la, classificá-la, escalá-la, contactar o agente de registo, invocar procedimentos de Registry Lock se necessário, repor a delegação correta, validar DNSSEC, notificar partes interessadas, avaliar o impacto RGPD da UE e decidir se os limiares de reporte NIS2 ou DORA são cumpridos. Capture as lições aprendidas e atualize os procedimentos.
Perguntas de auditoria, constatações comuns e métricas para o conselho de administração
Uma auditoria à governação de DNS raramente é realizada através de uma única perspetiva.
| Perspetiva do auditor | Pergunta provável de auditoria | Evidência robusta |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Os domínios estão no âmbito, sujeitos a avaliação de risco, com proprietário, controlados, monitorizados e incluídos na governação de fornecedores? | Âmbito do SGSI, Registo de Riscos, registo de ativos, Declaração de Aplicabilidade, tickets de alteração, revisões de fornecedores e logs |
| Avaliador NIST CSF 2.0 | Os riscos DNS são governados, identificados, protegidos, detetados, respondidos e recuperados? | Perfil Atual e Perfil-Alvo, plano de lacunas, inventário de ativos, controlos de acesso, alertas de monitorização e registos de recuperação |
| Revisor DORA | O DNS suporta funções críticas ou importantes, e a dependência é governada, testada e recuperável? | Mapa de dependências de ativos de TIC, plano de testes de resiliência, processo de classificação de incidentes, registo de terceiros e evidência de recuperação |
| Revisor RGPD da UE | Um incidente de DNS pode afetar dados pessoais, e a organização consegue demonstrar segurança adequada? | Evidência Article 32, avaliação de incidente, supervisão de subcontratantes, controlo de acesso, registos de alteração e monitorização |
| Auditor COBIT 2019 ou ISACA | Os objetivos de governação relacionados com domínios são traduzidos em processos geridos com propriedade, métricas e garantia? | RACI, objetivos de processo, KPI, KRI, revisões de desempenho de fornecedores, reporte à gestão e acompanhamento de remediação |
As constatações mais comuns são previsíveis.
| Constatação | Risco | Correção Clarysec |
|---|---|---|
| Domínios ausentes do registo de ativos | Expiração, confusão de propriedade e avaliação de riscos incompleta | Adicionar domínios ao registo de ativos com proprietário, finalidade, criticidade, renovação e dependências |
| Conta de administrador do agente de registo partilhada | Sem responsabilização e com efeitos forenses de incidente fracos | Migrar para utilizadores nominativos, MFA, princípio do menor privilégio e revisões trimestrais |
| Sem Registry Lock em domínio crítico | Delegação ou transferência não autorizada de alto impacto | Ativar Registry Lock e documentar o procedimento de desbloqueio de emergência |
| DNSSEC parcialmente ativado | Falhas de validação ou falsa garantia | Validar cadeia, registos DS, propriedade de chaves e plano de rotação |
| Alterações DNS realizadas fora de tickets | Indisponibilidade, encaminhamento incorreto e falha de auditoria | Exigir tipo formal de alteração DNS com aprovação e reversão |
| Sem alertas sobre alterações NS ou MX | Deteção lenta de sequestro ou redirecionamento de correio | Integrar monitorização DNS com SIEM e runbook de escalonamento |
| Agente de registo não revisto como fornecedor | Lacunas contratuais e de resposta a incidentes | Adicionar agente de registo e fornecedor de DNS à cadência de monitorização de fornecedores |
| Sem playbook de incidente | Recuperação atrasada e incerteza no reporte | Criar runbooks de sequestro de DNS e indisponibilidade de DNS e testá-los em tabletop |
Os conselhos de administração e as equipas de gestão precisam de métricas DNS em linguagem de resiliência. Medidas úteis incluem percentagem de domínios críticos com DNSSEC ativado e validado, percentagem com Registry Lock, número de administradores do agente de registo, percentagem de utilizadores privilegiados revistos no último trimestre, número de alterações DNS implementadas sem tickets formais, tempo médio até à deteção de alteração DNS não autorizada, tempo médio para repor a configuração DNS correta, domínios que expiram nos próximos 90 dias, revisões de fornecedores concluídas e alertas de monitorização DNS não resolvidos.
Transformar DNS de risco oculto em evidência preparada para auditoria
Se a sua organização não reviu a governação de domínios e DNS nos últimos seis meses, assuma que existem desvios. Comece pelos domínios críticos de produção e depois expanda para domínios regionais, domínios defensivos, domínios de teste, domínios de aquisições e domínios geridos por agências ou subsidiárias.
A Clarysec pode ajudá-lo a evoluir de capturas de ecrã dispersas de agentes de registo para um pacote de evidência estruturado usando:
- Zenith Blueprint: Roteiro de 30 passos de um auditor Zenith Blueprint para validação passo a passo de serviços de rede, gestão de alterações, registo, monitorização e controlos de fornecedores
- Zenith Controls: Guia de Conformidade Transversal Zenith Controls para mapear DNSSEC, Registry Lock, monitorização de fornecedores e governação de alterações de zona nas perspetivas ISO/IEC 27001:2022, NIS2, DORA, RGPD da UE, NIST e COBIT 2019
- Modelos de políticas da Clarysec, incluindo Política de gestão de ativos - PME, Política de Gestão de Mudanças - PME, Política de Gestão de Contas de Utilizador e Privilégios - PME, Política de Segurança de Redes - PME, Política de gestão de ativos, Política de gestão de alterações, Política de registo e monitorização, Política de Controlos Criptográficos e Política de segurança de terceiros e fornecedores
O seu domínio é a porta de entrada do seu negócio digital. Em 2026, auditores, reguladores, clientes e conselhos de administração esperarão que consiga provar que essa porta está trancada, monitorizada, recuperável e governada.
Descarregue o toolkit da Clarysec, execute o exercício de pacote de evidência DNS de uma semana ou agende uma avaliação Clarysec para transformar a governação de DNS e do agente de registo em evidência preparada para auditoria antes da sua própria crise de segunda-feira de manhã.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
