Programa de testes DORA: mapear testes para ISO 27001
É fevereiro de 2026. O CISO de uma instituição de pagamentos de média dimensão tem uma reunião do conselho de administração dentro de dois dias, uma auditoria de acompanhamento ISO/IEC 27001:2022 dentro de seis semanas e um pedido da autoridade de supervisão DORA na caixa de entrada da equipa de conformidade.
O regulador não está a pedir uma estratégia de cibersegurança vistosa. O pedido é prático:
- Apresente o seu programa de testes de resiliência operacional digital para 2026.
- Indique que testes cobrem funções críticas ou importantes.
- Demonstre como as constatações são remediadas e novamente testadas.
- Evidencie a supervisão pelo órgão de administração.
- Explique como são incluídos os prestadores terceiros de serviços TIC.
- Apresente registos relativos a avaliações de vulnerabilidades, testes baseados em cenários, testes de desempenho e capacidade e testes de intrusão.
O CISO abre quatro pastas. Os varrimentos de vulnerabilidades estão no sistema de tickets do SOC. As notas dos exercícios de tabletop estão numa unidade partilhada. Os resultados dos testes de carga pertencem à engenharia. Os relatórios de testes de intrusão estão no repositório restrito da área jurídica. O acompanhamento da remediação está dividido entre Jira, correio eletrónico e uma folha de cálculo criada para a auditoria ISO do ano passado.
Nada é falso. Muito desse trabalho é bom. Mas ainda não constitui um programa governado de testes de resiliência operacional digital DORA. É uma coleção de testes.
Essa diferença é relevante em 2026. DORA é aplicável desde 17 de janeiro de 2025 e estabelece um quadro uniforme da UE para a resiliência operacional digital, abrangendo gestão do risco das TIC, notificação de incidentes, testes de resiliência, partilha de informações sobre ciberameaças e vulnerabilidades, gestão do risco de terceiros TIC, requisitos contratuais e supervisão de prestadores terceiros críticos de serviços TIC. Abrange um vasto conjunto de entidades financeiras, incluindo instituições de crédito, instituições de pagamento, empresas de investimento, prestadores de serviços de criptoativos, empresas de seguros e outras entidades reguladas. DORA atua também como o ato jurídico setorial da União para as entidades financeiras que, de outra forma, estariam sujeitas a obrigações equivalentes de cibersegurança ao abrigo da NIS2.
A questão prática para conselhos de administração, CISOs, gestores de conformidade e prestadores de serviços TIC já não é saber se existem testes. A questão é saber se os testes são planeados, baseados no risco, evidenciados, remediados, revistos e reutilizáveis entre DORA e ISO/IEC 27001:2022.
O modelo operativo da Clarysec foi concebido exatamente para este problema. Com o Zenith Blueprint: roteiro de 30 passos para auditores, o conjunto de políticas da Clarysec alinhado com ISO e o Zenith Controls: guia de conformidade cruzada, as organizações podem transformar atividades de resiliência dispersas num catálogo anual de testes controlado que satisfaça supervisores, auditores, clientes e conselhos de administração.
Porque DORA transforma os testes numa questão de governação
DORA é explícito quanto à responsabilização executiva. O Artigo 5 atribui ao órgão de administração a responsabilidade pela gestão do risco das TIC. O Artigo 6 exige um quadro de gestão do risco das TIC sólido, abrangente e bem documentado, integrado no sistema global de gestão de riscos da organização. O Artigo 4 acrescenta a proporcionalidade, significando que os requisitos devem ser aplicados com base na dimensão, no perfil de risco global e na natureza, escala e complexidade dos serviços, atividades e operações.
Isto torna os testes de resiliência operacional digital mais do que uma tarefa técnica. Passam a ser evidência de que o órgão de administração compreende o risco, aprovou uma estratégia, recebe reporte significativo e impulsiona a remediação.
ISO/IEC 27001:2022 utiliza uma lógica semelhante de sistema de gestão. As Cláusulas 4.1 a 4.4 exigem que a organização compreenda o contexto, as partes interessadas, as obrigações legais e contratuais, o âmbito, as interfaces e as dependências. As Cláusulas 5.1 a 5.3 exigem liderança, alinhamento da política, recursos, comunicação, responsabilidades atribuídas e reporte à gestão de topo. A Cláusula 6.1 exige avaliação e tratamento dos riscos de segurança da informação.
Um programa de testes DORA deve, por isso, ligar:
- Serviços de negócio e funções críticas ou importantes
- Ativos TIC, dados e dependências de terceiros
- Avaliação de riscos, proprietários do risco e planos de tratamento
- Tipos de teste, frequência e fatores desencadeadores
- Autorização, independência e regras de atuação
- Constatações, prazos de remediação e novos testes
- Retenção de evidência e controlo de acesso
- Reporte à gestão e melhoria contínua
Para entidades financeiras mais pequenas ou de menor risco, o Artigo 16 prevê um quadro simplificado de gestão do risco das TIC, mas simplificado não significa informal. Mesmo programas dimensionados de forma proporcional continuam a necessitar de gestão do risco das TIC documentada, monitorização, sistemas resilientes, identificação de fontes de risco TIC e anomalias, dependências principais de terceiros TIC, medidas de continuidade e recuperação, testes regulares e lições aprendidas.
Por outras palavras, DORA não recompensa o volume de testes. Recompensa testes governados e baseados no risco que comprovam a resiliência dos serviços mais relevantes.
O que deve integrar um programa de testes DORA para 2026?
Um programa de testes DORA maduro deve funcionar como um catálogo anual de testes. Não deve limitar-se a um teste de intrusão anual ou a um conjunto de exportações de varrimentos de vulnerabilidades. Deve incluir testes básicos e avançados, planeados em função do risco, da criticidade do serviço, das obrigações regulamentares, das dependências de fornecedores, de alterações de maior impacto e de constatações anteriores.
O Artigo 24 de DORA estabelece o programa de testes de resiliência operacional digital. O Artigo 25 descreve um conjunto de testes, incluindo avaliações e varrimentos de vulnerabilidades, análises de fontes abertas, avaliações de segurança de rede, análises de lacunas, revisões de segurança física, questionários, soluções de software de varrimento, revisões de código-fonte quando viável, testes baseados em cenários, testes de compatibilidade, testes de desempenho, testes ponta a ponta e testes de intrusão. O Artigo 26 acrescenta testes de intrusão orientados por ameaças para entidades financeiras identificadas pelas autoridades competentes.
Para a maioria das organizações, o catálogo prático é construído em torno de quatro famílias de testes.
| Família de testes | O que valida | Evidência típica | Valor como evidência ISO/IEC 27001:2022 |
|---|---|---|---|
| Avaliações de vulnerabilidades | Fraquezas conhecidas em infraestrutura, aplicações, serviços na nuvem e endpoints | Relatórios de varrimento, âmbito de ativos, classificações de severidade, tickets, SLA de remediação, registos de novo teste | Avaliação de riscos, gestão de vulnerabilidades técnicas, evidência de controlos operacionais, progresso do plano de tratamento |
| Testes baseados em cenários | Resposta a perturbações realistas, incidentes cibernéticos, falha de terceiros, violação de dados, ransomware ou indisponibilidade de pagamentos | Pacotes de tabletop, logs de participantes, registos de decisão, comunicações, lições aprendidas, atualizações de planos | Gestão de incidentes, continuidade de negócio, recolha de evidência, formação, contributos para revisão pela gestão |
| Testes de desempenho e resiliência | Capacidade, carga, failover, Objetivos de Tempo de Recuperação (RTO), Objetivos de Ponto de Recuperação (RPO), integridade de cópias de segurança e degradação do serviço | Relatórios de carga, limiares de capacidade, evidência de monitorização, logs de failover, resultados de reposição de cópias de segurança, aprovação formal do proprietário do serviço | Gestão da capacidade, testes de cópias de segurança, preparação das TIC para continuidade de negócio, planeamento operacional |
| Testes de intrusão e red teaming | Explorabilidade, caminhos de ataque, evasão de controlos, capacidade de deteção e resposta | Regras de atuação, autorização, relatório final, capturas de ecrã de evidência, classificações de risco, relatório de remediação e novo teste | Testes de segurança, revisão independente, garantia de fornecedores, revisão de auditoria e conformidade |
A Política de Testes de Segurança e Red Teaming da Clarysec fornece uma âncora de política forte para este catálogo:
“Tipos de testes: O programa de testes de segurança deve incluir, no mínimo: (a) varrimento de vulnerabilidades, composto por varrimentos automatizados semanais ou mensais de redes e aplicações para identificar vulnerabilidades conhecidas; (b) testes de intrusão, compostos por testes manuais aprofundados de sistemas ou aplicações específicos, realizados por testadores qualificados, para identificar fraquezas complexas; e (c) exercícios de red teaming, compostos por simulações baseadas em cenários de ataques reais, incluindo engenharia social e outras táticas, para testar as capacidades de deteção e resposta da organização como um todo.”
A mesma política exige calendarização regular:
“Calendário de testes: A organização deve realizar testes de segurança de acordo com um calendário regular. Sistemas expostos à Internet e aplicações internas críticas devem ser sujeitos a testes de intrusão pelo menos anualmente. Alterações de alto risco, como a implementação de um novo sistema crítico ou upgrades de maior impacto, exigem testes ad hoc antes e/ou pouco depois da entrada em produção.”
Isto é crítico para DORA. Um plano anual estático não é suficiente se a entidade implementar um novo gateway de pagamentos, migrar um sistema core para a nuvem, mudar de prestador de serviços geridos ou lançar um novo fluxo de autenticação de clientes. Alterações de alto risco devem desencadear testes adicionais.
Construir o catálogo anual de testes como fonte única de verdade
A forma mais eficiente de satisfazer DORA e ISO/IEC 27001:2022 é criar um catálogo anual de testes controlado. Pode residir numa plataforma GRC, num fluxo de trabalho de tickets ou numa folha de cálculo controlada. O formato é menos importante do que a rastreabilidade.
Cada teste deve responder a cinco perguntas de auditoria:
- Que serviço, ativo, fornecedor, aplicação ou processo foi testado?
- Que risco, obrigação ou requisito de controlo desencadeou o teste?
- Quem autorizou e executou o teste?
- Que constatações foram identificadas, aceites, remediadas ou adiadas?
- Que evidência comprova que o teste ocorreu e que o resultado foi revisto?
Um catálogo prático ao estilo da Clarysec inclui estes campos.
| Campo | Porque é importante para DORA e para evidência ISO |
|---|---|
| ID do teste | Cria rastreabilidade entre planos, relatórios, tickets e pacotes para o conselho de administração |
| Tipo de teste | Distingue avaliação de vulnerabilidades, teste baseado em cenários, teste de desempenho, teste de intrusão ou exercício de red team |
| Serviço de negócio | Liga o teste à resiliência do serviço e ao impacto nas partes interessadas |
| Função crítica ou importante | Apoia a proporcionalidade e a priorização DORA |
| Ativos TIC e dados | Liga ao inventário de ativos, à classificação de dados e ao impacto GDPR |
| Dependências de terceiros TIC | Demonstra se prestadores, plataformas cloud ou serviços geridos estão incluídos |
| Desencadeador | Calendário anual, alteração de alto risco, lição de incidente, constatação de auditoria ou requisito regulamentar |
| Mapeamento de controlos | Liga ao Anexo A da ISO/IEC 27001:2022, ao tratamento de riscos e ao Zenith Controls |
| Proprietário | Atribui responsabilização pelo planeamento e pela remediação |
| Independência do testador | Demonstra o modelo de revisão interna, externa ou independente |
| Localização da evidência | Evita que a evidência de auditoria fique dispersa por ferramentas |
| Constatações e severidade | Cria responsabilização pela remediação |
| Estado do novo teste | Demonstra encerramento, mitigação ou risco residual aceite |
| Data de reporte à gestão | Demonstra supervisão e melhoria contínua |
A Política de Auditoria e Monitorização da Conformidade para PME da Clarysec estabelece uma regra de governação concisa que se ajusta a esta estrutura:
“Cada auditoria deve incluir âmbito definido, objetivos, pessoal responsável e evidência exigida.”
Embora escrita para auditorias, a mesma regra deve aplicar-se a testes de resiliência. Se um varrimento de vulnerabilidades, um exercício de tabletop, uma simulação de failover ou um teste de intrusão não tiver âmbito, objetivo, proprietário e evidência exigida definidos, será fraco perante o escrutínio de auditoria DORA e ISO.
A mesma política afirma:
“A evidência deve ser retida durante pelo menos dois anos, ou por período superior quando exigido por certificação ou acordos com clientes.”
Para entidades financeiras reguladas por DORA e prestadores de serviços TIC, dois anos devem ser tratados como um mínimo. Obrigações contratuais, expectativas de supervisão, ciclos de certificação e investigações de incidentes podem exigir retenção mais longa.
Mapear tipos de testes DORA para evidência ISO 27001
A força de um programa integrado é que um teste pode satisfazer múltiplas obrigações. A chave é etiquetar corretamente a evidência e ligá-la ao SGSI.
O Zenith Blueprint explica isto na fase de Auditoria, Revisão e Melhoria, Passo 24:
“A sua SoA deve ser consistente com o seu Registo de Riscos e com o Plano de Tratamento de Riscos. Confirme que cada controlo escolhido como tratamento de risco está marcado como “Aplicável” na SoA.”
Para um programa de testes DORA, o catálogo de testes torna-se a ponte entre o tratamento de riscos e a evidência operacional. A Declaração de Aplicabilidade não deve indicar que um controlo se aplica enquanto a evidência do teste está noutro local, sem mapeamento e sem gestão.
| Tipo de teste DORA | Âncora do Anexo A da ISO/IEC 27001:2022 | Ligação | Artefactos de evidência ISO | Política ou toolkit da Clarysec |
|---|---|---|---|---|
| Avaliação de vulnerabilidades | 8.8 Gestão de vulnerabilidades técnicas | Identifica, avalia, prioriza e remedia fraquezas conhecidas | Relatórios de varrimento, classificações de risco, tickets, registos de patches, exceções, registos de novo teste | Política de Gestão de Vulnerabilidades e Patches para PME |
| Testes de intrusão | 5.35 Revisão independente da segurança da informação | Fornece avaliação independente da eficácia dos controlos e da explorabilidade | Âmbito, proposta, autorização, regras de atuação, relatório final, plano de remediação, relatório de novo teste | Política de Testes de Segurança e Red Teaming |
| Testes de desempenho e capacidade | 8.6 Gestão da capacidade | Valida desempenho, capacidade, limiares e pressupostos de crescimento | Relatórios de carga, painéis de gestão, planos de capacidade, incidentes de desempenho, ações de escalabilidade | Mapeamento Zenith Controls e procedimentos operacionais |
| Testes baseados em cenários | 5.30 Preparação das TIC para a continuidade de negócio | Valida resposta, recuperação, escalonamento e disposições de continuidade | Guiões de tabletop, planos de failover, logs de participantes, lições aprendidas, ações de melhoria | Política de Continuidade de Negócio e Recuperação de Desastre para PME |
| Testes de lançamento de aplicações | 8.29 Testes de segurança no desenvolvimento e aceitação | Verifica a segurança antes da implementação e após alterações de alto risco | Casos de teste, aprovação formal de segurança, defeitos, aprovações de lançamento, evidência de novo teste | Política de Requisitos de Segurança das Aplicações para PME |
| Testes de auditoria protegidos | 8.34 Proteção dos sistemas de informação durante testes de auditoria | Impede que os testes causem perturbação ou exposição não autorizada | Registos de aprovação, janelas de teste, contactos de emergência, controlos de acesso, planos de reversão | Zenith Blueprint Passo 21 e Política de Testes de Segurança e Red Teaming |
Esta tabela ajuda um CISO a responder à pergunta comum do CEO: “Os nossos testes de intrusão e varrimentos de vulnerabilidades ISO são suficientes para DORA?”
A resposta é: podem fazer parte da conformidade DORA, mas apenas se forem baseados no risco, ligados a funções críticas ou importantes, governados por política, acompanhados até à remediação e reportados à gestão.
Avaliações de vulnerabilidades: evidência contínua, não apenas resultados de varrimento
A avaliação de vulnerabilidades é frequentemente a atividade de teste mais fácil de executar e a mais fácil de gerir incorretamente. Muitas organizações conseguem produzir relatórios de varrimento. Menos conseguem provar que os varrimentos cobrem os ativos certos, priorizam serviços críticos, geram remediação atempada e alimentam decisões de tratamento de riscos.
A Política de Gestão de Vulnerabilidades e Patches para PME da Clarysec começa com o objetivo correto:
“Identificar e avaliar vulnerabilidades conhecidas em todos os ativos de TI de forma atempada e consistente”
Para DORA, isto apoia a identificação de fontes de risco TIC, sistemas resilientes e atualizados, monitorização, deteção de anomalias e melhoria contínua. Para ISO/IEC 27001:2022, mapeia diretamente para 8.8 Gestão de vulnerabilidades técnicas, e depende também de 5.9 Inventário de informação e outros ativos associados, 8.16 Atividades de monitorização e 8.32 Gestão de alterações.
Um registo sólido de avaliação de vulnerabilidades deve incluir:
- Snapshot do inventário de ativos utilizado para definição do âmbito
- Data do varrimento, ferramenta e método autenticado ou não autenticado
- Exclusões e justificação de negócio
- Constatações por severidade, explorabilidade e serviço de negócio
- Mapeamento para funções críticas ou importantes e tipos de dados
- Referências de tickets e proprietário do risco
- SLA de remediação e data limite
- Resultado do novo teste
- Exceções com aprovação de risco residual
Zenith Controls posiciona 8.8 Gestão de vulnerabilidades técnicas como uma área central de evidência para identificação, avaliação, priorização e acompanhamento da remediação. Mostra também por que razão os auditores irão testar processos adjacentes. Se o inventário de ativos estiver incompleto, a cobertura de vulnerabilidades estará incompleta. Se a gestão de alterações for contornada, a aplicação de patches pode criar novo risco operacional. Se a monitorização for fraca, as tentativas de exploração podem não ser detetadas.
Testes baseados em cenários: comprovar a tomada de decisão antes do incidente real
Os testes baseados em cenários são onde a resiliência operacional se torna visível para os executivos. Um tabletop de ransomware, uma simulação de indisponibilidade de uma região cloud, um exercício de comprometimento de acesso privilegiado ou um cenário de falha de prestador crítico de TIC revelarão fraquezas que um varrimento não consegue identificar.
Os Artigos 17 a 20 de DORA exigem um ciclo de vida formal para incidentes relacionados com TIC: detetar, gerir, notificar, registar, monitorizar, tratar, acompanhar, documentar a causa raiz, remediar, classificar a severidade, atribuir papéis, escalar incidentes graves e reportar através das etapas exigidas. Quando os interesses financeiros dos clientes forem afetados, os clientes devem ser informados sem demora injustificada.
NIS2 tem urgência semelhante para entidades dentro do seu âmbito, incluindo alerta precoce, notificação, reporte intermédio e reporte final. Para entidades financeiras dentro do âmbito, DORA é o ato jurídico setorial para deveres equivalentes de gestão e reporte de riscos de cibersegurança. Prestadores de serviços TIC, plataformas SaaS, MSPs e MSSPs continuam a ter de verificar se estão diretamente dentro do âmbito da NIS2 ou se são contratualmente integrados em garantias DORA por clientes regulados.
O Zenith Blueprint, na fase Controlos em Ação, Passo 23, fornece o modelo prático de evidência:
“Selecione um evento recente ou realize um exercício de tabletop para validar o seu plano. Capture e registe em logs todas as decisões, papéis e comunicações (5.26), e atualize o plano com as lições aprendidas (5.27).”
Um teste de cenário DORA deve produzir registos auditáveis, não apenas notas de reunião:
- Briefing do cenário e objetivos
- Participantes e papéis, incluindo Jurídico, Comunicações, TI, SOC, proprietário do negócio e contactos de fornecedores
- Cronologia de injects e decisões
- Decisão de classificação e análise dos limiares de reporte
- Minutas de comunicações internas e externas
- Ações de preservação de evidência
- Lições aprendidas
- Proprietários de ações e datas limite
- Procedimentos de incidente, continuidade ou comunicação atualizados
A Política de Continuidade de Negócio e Recuperação de Desastre para PME da Clarysec reforça a expectativa de testes anuais:
“A organização deve testar tanto o seu BCP como as suas capacidades de DR pelo menos anualmente. Os testes devem incluir:”
O catálogo de testes deve traduzir essa obrigação em exercícios específicos, como tabletop de gestão de crise, teste de reposição de cópias de segurança, teste de failover cloud, teste da árvore de contactos e simulação de perturbação de fornecedor.
Testes de desempenho, capacidade e recuperação: a evidência de resiliência negligenciada
Os testes de desempenho são frequentemente tratados como uma preocupação da engenharia. Ao abrigo de DORA, tornam-se evidência de resiliência.
Uma plataforma de negociação, serviço de pagamentos, sistema de sinistros, plataforma de identidade ou portal de clientes não precisa de um ciberataque para falhar perante os clientes. Esgotamento de capacidade, saturação de filas, estrangulamentos de base de dados, autoscaling mal configurado ou failover avariado podem criar a mesma perturbação operacional que um incidente de segurança.
ISO/IEC 27001:2022 Anexo A 8.6 Gestão da capacidade é a âncora principal. A evidência pode incluir testes de carga, testes de stress, testes de degradação de serviço, validação de limiares de infraestrutura, testes de reposição de cópias de segurança e simulações de failover.
Um bom registo de teste de desempenho e capacidade deve capturar:
- Pressupostos de carga normal de referência e de carga de pico
- Jornadas transacionais críticas testadas
- Limites de infraestrutura e cloud testados
- Painéis de monitorização e limiares de alerta
- Modos de falha, como saturação de filas ou estrangulamentos de base de dados
- Relevância de RTO e RPO quando é testado failover ou recuperação
- Impacto no negócio se os limiares forem excedidos
- Ações de remediação, decisões de escalabilidade ou alterações arquiteturais
- Aceitação pela gestão do risco residual de capacidade
O Zenith Blueprint, Passo 23, liga as expectativas de recuperação à evidência:
“Verifique que os Objetivos de Tempo de Recuperação (RTO) e os Objetivos de Ponto de Recuperação (RPO) para sistemas críticos estão alinhados com as expectativas de continuidade de negócio (5.30). Realize pelo menos um teste técnico de recuperação ou simulação de failover e documente os resultados.”
Essa é a diferença entre dizer “temos cópias de segurança” e provar que um serviço crítico foi restaurado dentro da tolerância acordada, com resultados documentados e visibilidade pela gestão.
Testes de intrusão e red teaming: evidência forte exige controlo forte
Os testes de intrusão são evidência de elevado valor, mas também comportam risco operacional. Testes mal governados podem afetar sistemas de produção, expor dados sensíveis, desencadear alarmes não controlados, criar questões jurídicas ou perturbar clientes.
A Política de Requisitos de Segurança das Aplicações para PME estabelece uma gate de lançamento clara:
“Antes da implementação, todas as Aplicações devem ser sujeitas a testes de segurança para verificar as funcionalidades de referência listadas acima.”
Para aplicações críticas, isto deve alimentar o catálogo DORA como testes de segurança em pré-produção, validação pós-entrada em produção para alterações de alto risco e testes de intrusão periódicos com base na exposição e criticidade.
A Política de Testes de Segurança e Red Teaming reforça a cadeia de remediação:
“Remediação de constatações: Todas as vulnerabilidades ou fraquezas identificadas devem ser documentadas num relatório de constatações com classificações de severidade. Após a receção do relatório, os proprietários de sistemas são responsáveis por criar um plano de remediação com datas limite; por exemplo, constatações críticas devem ser remediadas no prazo de 30 dias e constatações de severidade elevada no prazo de 60 dias, de acordo com a Política de Gestão de Vulnerabilidades e Patches da organização. O STC deve acompanhar o progresso da remediação. Devem ser realizados novos testes para confirmar que problemas críticos foram resolvidos ou adequadamente mitigados.”
A mesma política define as expectativas de reporte:
“Reporte: Deve ser emitido um relatório formal no final de cada teste. Para testes de intrusão, o relatório deve incluir um resumo executivo, metodologia e constatações detalhadas com evidência de suporte e recomendações.”
O Zenith Blueprint, Passo 21, também destaca a proteção durante auditorias e testes:
“Nenhum teste ou auditoria deve avançar sem aprovação documentada dos proprietários de sistemas ou das partes interessadas relevantes.”
Regras de atuação, janelas de teste, contactos de emergência, acesso temporário, tratamento de dados, registo em logs, procedimentos de reversão e aprovações jurídicas não são burocracia. São salvaguardas de resiliência.
Incluir prestadores terceiros de serviços TIC antes de o teste falhar
DORA torna o risco de terceiros TIC uma questão central de resiliência. O Artigo 28 exige que as entidades financeiras façam a gestão do risco de terceiros TIC no âmbito do quadro de gestão do risco das TIC, permaneçam responsáveis quando utilizam serviços TIC, mantenham um registo de informação, comuniquem determinados acordos, realizem avaliações pré-contratuais e utilizem prestadores que cumpram normas adequadas de segurança da informação. Os Artigos 29 e 30 abordam risco de concentração, subcontratação, recuperação de dados, proteções contratuais, níveis de serviço, assistência em incidentes, direitos de auditoria, testes de contingência do prestador, participação em testes quando relevante e disposições de saída.
ISO/IEC 27001:2022 Anexo A fornece controlos de suporte para fornecedores, incluindo 5.19 Segurança da informação nas relações com fornecedores, 5.20 Tratamento da segurança da informação em acordos com fornecedores, 5.21 Gestão da segurança da informação na cadeia de fornecimento TIC, 5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores e 5.23 Segurança da informação para utilização de serviços na nuvem.
Um catálogo de testes DORA deve identificar que testes exigem participação de fornecedores ou evidência de fornecedores. Exemplos incluem:
- Pressupostos de failover do prestador cloud
- Escalonamento e preservação de evidência pelo SOC gerido
- Comunicação de incidentes da plataforma de core banking
- Cenário de indisponibilidade do processador de pagamentos
- Teste de recuperação do fornecedor de identidade
- Atestados de testes de intrusão do fornecedor SaaS
- Avaliação de impacto da cadeia de subcontratantes críticos
Um programa que exclui prestadores críticos de TIC falhará o teste da realidade. O serviço orientado para o cliente pode ser seu, mas a dependência de resiliência pode residir numa região cloud, num Centro de Operações de Segurança externalizado, num fornecedor de identidade, fornecedor de software, processador de pagamentos ou centro de dados.
Mapeamento de conformidade cruzada: um conjunto de evidência, muitas obrigações
Um programa de testes DORA bem desenhado reduz a fadiga de auditoria. A mesma evidência pode apoiar DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 e revisões de governação COBIT 2019 se for etiquetada, retida e reportada corretamente.
| Item de evidência | Relevância DORA | Relevância ISO/IEC 27001:2022 | Relevância de conformidade cruzada |
|---|---|---|---|
| Catálogo anual de testes | Governação e proporcionalidade dos testes de resiliência operacional digital | Planeamento operacional, tratamento de riscos e revisão pela gestão | Perfis NIST CSF e GOVERN, governação COBIT e revisão de desempenho |
| Varrimento de vulnerabilidades e remediação | Identificação de fontes de risco TIC e sistemas resilientes | 8.8 Gestão de vulnerabilidades técnicas e evidência de tratamento | Tratamento de vulnerabilidades NIS2, resultados NIST CSF ID.RA e DE.CM |
| Tabletop de incidentes | Classificação de incidentes, escalonamento, comunicação e preparação para reporte | Planeamento de incidentes, resposta, lições aprendidas e recolha de evidência | Alinhamento com notificação de incidentes NIS2, apoio à decisão sobre violação de dados ao abrigo do GDPR |
| Teste de reposição de cópias de segurança | Continuidade e recuperação de funções críticas | 5.30 Preparação das TIC para continuidade de negócio e evidência de testes de cópias de segurança | Resultados NIST CSF RECOVER, evidência de resiliência contratual para clientes |
| Teste de capacidade | Resiliência sob carga e continuidade do serviço | 8.6 Gestão da capacidade e monitorização operacional | Mecanismos de resiliência NIST CSF PR.IR, governação de níveis de serviço |
| Teste de intrusão | Eficácia dos controlos de segurança e validação de caminhos de ataque | 5.35 Revisão independente da segurança da informação e ação corretiva | Garantia de fornecedores, reporte ao conselho de administração, diligência prévia de clientes |
O GDPR não deve ser esquecido. Se os testes de resiliência envolverem dados pessoais, logs, registos de clientes, dados de identidade, registos de Recursos Humanos, biometria ou categorias especiais de dados, a organização deve respeitar os princípios do GDPR, incluindo licitude, lealdade, transparência, minimização dos dados, limitação da conservação, integridade, confidencialidade e responsabilização. Cópias de dados de teste, logs exportados e evidência de testes de intrusão podem tornar-se repositórios de dados regulados. O programa de testes deve definir quem pode aceder, durante quanto tempo são retidos e como são eliminados de forma segura.
Como os auditores irão testar o mesmo programa
Um supervisor DORA, auditor ISO, avaliador baseado no NIST, revisor COBIT e auditor de cliente podem inspecionar a mesma evidência através de lentes diferentes.
| Lente do auditor | Pergunta provável de auditoria | Evidência esperada |
|---|---|---|
| Supervisor DORA | Os testes são baseados no risco, proporcionais, governados e ligados a funções críticas ou importantes? | Catálogo anual de testes aprovado, mapeamento de funções críticas, reporte ao órgão de administração, estado da remediação, participação de terceiros |
| Auditor ISO/IEC 27001:2022 | Os testes suportam a avaliação de riscos do SGSI, a SoA, o tratamento de riscos e os controlos operacionais? | Registo de Riscos, mapeamento da SoA, planos de teste, relatórios, ações corretivas, evidência retida, contributos para revisão pela gestão |
| Avaliador NIST CSF | A organização está a passar da postura atual para a postura-alvo através de planos de ação priorizados? | Perfil atual e alvo, análise de lacunas, POA&M, registos de vulnerabilidades, evidência de monitorização e resposta |
| Auditor COBIT ou ISACA | Os objetivos de governação, a propriedade de controlos, as métricas de desempenho e as atividades de garantia estão a operar eficazmente? | RACI, KPIs, KRI, resultados de testes de controlo, logs de problemas, aprovações da gestão e evidência de revisão independente |
| Auditor de cliente | O prestador consegue provar resiliência operacional para os serviços contratados? | Relatórios de teste específicos do serviço, evidência de SLA, processo de apoio a incidentes, garantia de fornecedores, evidência de saída e continuidade |
Zenith Controls é útil aqui como bússola de conformidade cruzada. Para testes DORA, a Clarysec destaca 5.35 Revisão independente da segurança da informação, 8.8 Gestão de vulnerabilidades técnicas e 8.6 Gestão da capacidade como âncoras especialmente importantes do Anexo A da ISO/IEC 27001:2022. Ajudam os proprietários dos controlos a ligar testes a garantia independente, tratamento de vulnerabilidades e capacidade operacional.
A Política de Segurança da Informação da Clarysec também apoia o trilho de auditoria:
“Os proprietários dos controlos devem manter resultados de testes, logs e registos de revisão para suportar auditorias periódicas.”
Esta frase deve tornar-se uma regra operacional. Cada proprietário de teste deve saber o que reter, onde reter, como proteger e como ligar essa evidência a riscos e controlos.
Construir um pacote de evidência DORA-ISO numa semana
Uma entidade financeira ou prestador de serviços TIC consegue progredir significativamente em cinco dias úteis.
Dia 1: Definir âmbito e criticidade
Utilize a lógica das Cláusulas 4.1 a 4.4 da ISO/IEC 27001:2022. Identifique partes interessadas, obrigações regulamentares, obrigações contratuais, interfaces e dependências. Liste serviços de negócio, funções críticas ou importantes, ativos principais, tipos de dados e prestadores TIC.
Resultado: registo de âmbito dos testes DORA.
Dia 2: Criar o catálogo anual de testes
Utilize as quatro famílias de testes: vulnerabilidades, cenários, desempenho e intrusão. Para cada serviço, defina que testes se aplicam, frequência, proprietário, nível de independência e fator desencadeador. Inclua desencadeadores de alterações de alto risco.
Resultado: catálogo de testes de resiliência operacional digital para 2026.
Dia 3: Mapear controlos e obrigações
Mapeie cada teste para o Anexo A da ISO/IEC 27001:2022, o Registo de Riscos, a SoA, artigos DORA, obrigações de fornecedores e entradas relevantes do Zenith Controls. Por exemplo, varrimentos mensais de vulnerabilidades externas mapeiam para 8.8 Gestão de vulnerabilidades técnicas, tratamento de riscos, monitorização, gestão do risco das TIC DORA e resultados de vulnerabilidades do NIST CSF.
Resultado: matriz de mapeamento de controlos.
Dia 4: Normalizar pastas de evidência
Crie uma estrutura de evidência controlada:
- 01 Plano e autorização
- 02 Âmbito e regras de atuação
- 03 Resultados brutos
- 04 Relatório final
- 05 Registo de constatações
- 06 Tickets de remediação
- 07 Evidência de novo teste
- 08 Reporte à gestão
- 09 Lições aprendidas e atualizações de políticas
Resultado: repositório de evidência com regras de retenção.
Dia 5: Rever constatações e reporte
Consolide constatações em aberto por severidade, serviço, proprietário do risco e data limite. Identifique remediação em atraso, riscos aceites e lacunas de novo teste. Prepare um painel de gestão para o órgão de administração que mostre cobertura de testes, constatações relevantes, ações em atraso, questões de terceiros e risco residual.
Resultado: painel DORA e ISO de testes pronto para o conselho de administração.
Armadilhas comuns nos programas de testes DORA
A falha mais comum não é a falta de testes. É a falta de governação.
Esteja atento a estes problemas:
- Testes de intrusão realizados anualmente, mas constatações sem acompanhamento até ao encerramento
- Varrimentos de vulnerabilidades frequentes, mas ativos críticos ausentes do âmbito
- Exercícios de tabletop realizados, mas sem registo de decisões nem plano de ações de lições aprendidas
- Testes de reposição de cópias de segurança concluídos, mas sem mapeamento para RTO e RPO
- Testes de carga realizados pela engenharia, mas não reportados a risco ou conformidade
- Prestadores TIC excluídos de testes de cenários e recuperação
- Evidência armazenada em pastas pessoais, conversas de chat ou unidades não geridas
- Relatórios ao conselho de administração focados em contagens de atividade em vez de risco de resiliência por resolver
- A SoA indica que um controlo se aplica, mas não existe evidência de teste
- Os testes criam risco em produção porque a autorização e os limites não são claros
Cada lacuna é resolúvel. A solução não é mais testes aleatórios. A solução é um programa controlado que liga risco, atividade de teste, remediação, evidência e supervisão pela gestão.
O que o conselho de administração deve realmente ver
DORA torna a resiliência TIC uma responsabilidade do órgão de administração. Um relatório útil para o conselho de administração não deve incluir todas as constatações técnicas. Deve responder se a organização é suficientemente resiliente face ao seu apetite pelo risco e à sua tolerância a perturbações.
Um relatório trimestral ou semestral forte inclui:
- Cobertura de testes face a funções críticas ou importantes
- Testes concluídos versus planeados
- Constatações críticas e elevadas por serviço
- Remediação em atraso por proprietário
- Taxa de aprovação em novos testes
- Constatações relacionadas com fornecedores e preocupações de concentração
- Lições de testes baseados em cenários que afetam planos de crise ou de incidentes
- Riscos de capacidade face ao crescimento do negócio e a períodos de pico
- Riscos residuais que exigem aceitação pela gestão
- Restrições de orçamento, recursos ou ferramentas
Este relatório torna-se contributo para a revisão pela gestão ISO, evidência de governação DORA e uma ferramenta prática de decisão.
De testes dispersos a resiliência estratégica
O problema original do CISO não era a ausência de testes. A organização tinha varrimentos, tabletops, relatórios de carga e PDFs de testes de intrusão. O problema era que essas atividades ainda não contavam uma história de evidência coerente.
Um programa unificado de testes DORA e ISO/IEC 27001:2022 muda isso. A avaliação de riscos orienta o catálogo. O catálogo orienta testes autorizados. Os testes produzem constatações. As constatações impulsionam remediação e novos testes. Os resultados alimentam o reporte à gestão. As lições aprendidas atualizam políticas, procedimentos, contratos e controlos.
É assim que uma carga de conformidade se transforma numa capacidade estratégica.
A Clarysec ajuda as organizações a evitar programas de conformidade paralelos. DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST CSF 2.0 e COBIT 2019 não precisam de universos de evidência separados. Precisam de um único modelo operativo governado, que possa ser apresentado através de diferentes lentes de auditoria.
A nossa abordagem combina:
- O Zenith Blueprint para implementação faseada de ISO e preparação para auditoria
- Zenith Controls para mapeamento de conformidade cruzada entre controlos, frameworks e expectativas de auditoria
- Políticas empresariais e para PME sobre testes de segurança, monitorização de auditoria, gestão de vulnerabilidades, segurança das aplicações, continuidade e segurança da informação
- Registos práticos, estruturas de evidência e modelos de reporte à gestão
Se a sua evidência de testes DORA para 2026 está dispersa por ferramentas de varrimento, pastas de engenharia, notas de tabletop e PDFs de testes de intrusão, este é o momento de a consolidar.
Comece com um catálogo anual de testes mapeado para o tratamento de riscos ISO/IEC 27001:2022, a sua SoA, funções críticas ou importantes, terceiros TIC e reporte à gestão. Depois utilize o Zenith Blueprint, o Zenith Controls e o toolkit de políticas da Clarysec para transformar esse catálogo em evidência de auditoria defensável.
A Clarysec pode ajudá-lo a conceber o programa, mapear os controlos, estruturar o pacote de evidência e preparar o relatório de resiliência ao nível do conselho de administração antes de chegar o próximo pedido da autoridade de supervisão.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
