⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
PT EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL RO SK SL SV
NIS2 DORA GDPR NIST

NIST SP 800-63-4: evidência para palavras-passe, MFA e passkeys

Igor Petreski
14 min read
#Controlo de acesso #Auditoria #SGSI #MFA #Registo e monitorização #Proteção de dados
Diagrama de mapeamento de evidência do NIST SP 800-63-4 para palavras-passe, MFA e passkeys

Às 08:10 de uma segunda-feira, o Responsável pela Segurança da Informação (CISO) de uma fintech recebe a mensagem que qualquer responsável de segurança receia: “Temos autenticações suspeitas no portal de administração financeira. A MFA foi aprovada, mas o utilizador diz que não foi ele.”

Às 08:25, o SOC identifica o padrão. O atacante não quebrou a cifragem, não explorou uma vulnerabilidade zero-day nem contornou uma firewall. Fez phishing a uma palavra-passe, acionou uma notificação push e esperou pela fadiga do utilizador. Uma aprovação bastou. A conta tinha acesso elevado a exportações de faturação de clientes, logs de auditoria e a um painel de gestão de liquidação de terceiros.

Às 09:00, a área jurídica quer saber se isto constitui uma violação de dados pessoais ao abrigo do RGPD. A equipa de risco quer saber se o evento aciona obrigações de reporte ao abrigo do DORA. O Conselho de Administração quer saber se a declaração “MFA em todo o lado” da empresa era, de facto, verdadeira. O auditor ISO 27001, já agendado para o mês seguinte, quer agora evidência de autenticação segura, controlo de acesso, registo de eventos e ação corretiva.

É por isso que o NIST SP 800-63-4 é relevante em 2026.

Para Responsáveis pela Segurança da Informação, gestores de conformidade e responsáveis de negócio, o NIST SP 800-63-4 não é apenas mais um documento sobre identidade. Está a tornar-se a referência prática para políticas modernas de palavras-passe, MFA resistente ao phishing, passkeys, autenticação sem palavra-passe e governação do ciclo de vida dos autenticadores. O verdadeiro desafio não é ler as orientações. O desafio é demonstrar a implementação perante expectativas de ISO/IEC 27001:2022, NIS2, DORA, RGPD, NIST CSF 2.0, COBIT 2019 e auditoria interna.

A posição da Clarysec é simples: os controlos de identidade falham quando são tratados como meras configurações, e não como governação. Palavras-passe, MFA, passkeys, fluxos de recuperação, tokens de sessão, acesso privilegiado, contas de serviço e logs de autenticação devem ser concebidos como um único sistema de controlo gerador de evidência.

É essa a perspetiva usada no Zenith Blueprint: roteiro de 30 passos para auditores, na biblioteca de políticas da Clarysec e no Zenith Controls: guia de conformidade transversal. O Zenith Controls não cria novos controlos. Mapeia as expectativas de controlo da ISO/IEC 27001:2022 e da ISO/IEC 27002:2022 para outras normas, regulamentos e perspetivas de auditoria, para que as organizações evitem evidência fragmentada e trabalho de conformidade duplicado.

“MFA ativada” não é uma resposta de auditoria

Muitas organizações entraram nos últimos anos convencidas de que a implementação de MFA encerrava a discussão sobre risco de identidade. Em 2026, essa premissa é insegura.

Auditores e reguladores fazem agora perguntas mais precisas:

  • A MFA é imposta para todos os acessos privilegiados, remotos e de alto risco?
  • A autenticação é resistente ao phishing quando o risco o exige?
  • As passkeys ou autenticadores FIDO2 são governados ao longo do registo, recuperação, revogação e ciclo de vida do dispositivo?
  • As palavras-passe são verificadas contra listas de credenciais comprometidas e comuns?
  • As alterações de palavra-passe são desencadeadas por compromisso, em vez de rotação arbitrária baseada em calendário?
  • Os utilizadores podem colar palavras-passe a partir de gestores de palavras-passe?
  • Os eventos dos autenticadores são registados em logs e revistos?
  • Os fluxos de recuperação de conta são tão robustos como os fluxos de autenticação?
  • Os segredos de API, tokens OAuth, chaves SSH e credenciais de contas de serviço são controlados com a mesma disciplina?

O NIST SP 800-63-4 orienta as organizações para garantia de identidade digital baseada no risco, robustez dos autenticadores e evidência do ciclo de vida. Para a modernização de palavras-passe, isto significa abandonar práticas desatualizadas, como alterações periódicas forçadas quando não existe indicação de compromisso, reforçando simultaneamente o comprimento, a verificação contra palavras-passe comprometidas, a limitação de taxa, o armazenamento seguro e os controlos de recuperação. Para MFA e passkeys, significa focar a garantia do autenticador, a resistência ao phishing, o registo seguro, a vinculação à conta, a revogação e a auditabilidade.

O Zenith Blueprint captura esta mudança em Controls in Action, Passo 19, Controlos tecnológicos I, ao discutir autenticação segura:

A autenticação é a primeira e mais crítica linha de defesa entre um agente de ameaça e os seus sistemas, dados e serviços. Se a autenticação for fraca, tudo o resto — cifragem, monitorização, segmentação — pode ser contornado. O Controlo 8.5 assegura que os mecanismos de autenticação são concebidos de forma segura, aplicados de forma consistente e resistentes a métodos de ataque conhecidos.

Essa frase está no centro da auditoria de identidade em 2026. A pergunta já não é “Têm palavras-passe e MFA?” A pergunta é “Conseguem demonstrar que a vossa arquitetura de autenticação é baseada no risco, resistente a métodos de ataque conhecidos, aplicada de forma consistente e monitorizada?”

Construir o sistema de controlo em torno de identidade, informação de autenticação e autenticação segura

A forma mais útil de traduzir o NIST SP 800-63-4 em evidência ISO/IEC 27001:2022 é tratar a identidade como um sistema de controlo interligado.

Através do Zenith Controls, a Clarysec identifica três áreas centrais de controlo da ISO/IEC 27002:2022 para alinhamento com o NIST SP 800-63-4: 5.16 Gestão de identidades, 5.17 Informação de autenticação e 8.5 Autenticação segura. No Anexo A da ISO/IEC 27001:2022, estas correspondem a A.5.16, A.5.17 e A.8.5.

Área de controloO que governaTema de evidência NIST SP 800-63-4Evidência típica de auditoria
ISO/IEC 27002:2022 5.16 Gestão de identidadesCiclo de vida da identidade, unicidade, processos de admissão, alteração de funções e cessação, titularidade da contaProva de que as identidades são únicas, verificadas, atribuídas, revistas e removidasExportações do IdP, tickets de Recursos Humanos de admissão, alteração de funções e cessação, revisão de acessos, fluxo de verificação de identidade
ISO/IEC 27002:2022 5.17 Informação de autenticaçãoPalavras-passe, PIN, chaves, certificados, tokens, segredos de API, códigos de recuperaçãoCiclo de vida do autenticador, armazenamento, transmissão, rotação, revogação e recuperaçãoPolítica de palavras-passe, registos de cofres de segredos, logs de revogação de tokens, logs de registo de passkeys, procedimentos de reposição
ISO/IEC 27002:2022 8.5 Autenticação seguraConceção da autenticação, MFA, gestão de sessões, requisitos específicos dos sistemasMFA baseada no risco, passkeys, resistência ao phishing, aplicação de autenticação sem palavra-passe, proteção de sessõesPolíticas de acesso condicional, relatórios de cobertura de MFA, definições WebAuthn e FIDO2, configuração de tempo limite de sessão

A distinção é importante. A.5.16 pergunta: “Quem tem uma identidade?” A.5.17 pergunta: “Como é protegida a prova dessa identidade?” A.8.5 pergunta: “Como é executada a autenticação segura nos sistemas?”

Quando as organizações falham auditorias, frequentemente é porque implementam uma camada sem as restantes. Implementam passkeys, mas não conseguem apresentar evidência de revogação. Impõem MFA, mas não numa consola administrativa legada. Definem regras de palavra-passe, mas não verificam palavras-passe comprometidas. Desativam uma conta de utilizador, mas esquecem sessões ativas ou tokens de recuperação.

No Zenith Blueprint, Controls in Action, Passo 22, Controlos organizacionais, a Clarysec explica A.5.17 como uma questão de ciclo de vida:

Se identidade é a pergunta “Quem é?”, então autenticação é a prova. O Controlo 5.17 é onde a teoria se transforma em confiança. Exige que a informação de autenticação seja gerida de forma segura durante todo o seu ciclo de vida, assegurando que os métodos e credenciais usados para verificar a identidade não se tornam, eles próprios, o elo mais fraco.

Uma passkey não é conforme apenas por existir. Torna-se defensável quando é possível demonstrar como é registada, vinculada, protegida, recuperada, revogada, registada em logs e revista.

Modernizar palavras-passe sem perder rastreabilidade de auditoria

Muitas empresas ainda têm políticas de palavras-passe escritas para um modelo de ameaça diferente. “Doze caracteres, símbolos, alteração a cada 90 dias” é familiar, mas familiaridade não é o mesmo que resiliência.

O NIST SP 800-63-4 reforça uma abordagem mais moderna: palavras-passe e frases-passe mais longas, verificação contra palavras-passe comprometidas ou frequentemente usadas, limitação de taxa, reposição segura, ausência de alterações periódicas arbitrárias salvo suspeita de compromisso e controlos centrados no utilizador que suportem gestores de palavras-passe. Isto não significa que todas as organizações tenham de reescrever todas as políticas de um dia para o outro. Significa que os requisitos de palavras-passe devem ser baseados no risco, aplicados tecnicamente e reconciliados com a evidência ISO 27001.

A biblioteca de políticas para PME da Clarysec dá às organizações mais pequenas uma linha de base prática que pode ser melhorada à medida que amadurecem. A Política de Gestão de Contas de Utilizador e Privilégios - PME estabelece:

As palavras-passe devem cumprir requisitos de complexidade (por exemplo, pelo menos 12 caracteres, alfanuméricos com símbolos) e ser alteradas pelo menos a cada 90 dias.

Este é um ponto de partida útil e aplicável para PME. No entanto, um projeto de modernização alinhado com o NIST SP 800-63-4 em 2026 deve rever se a expiração fixa a 90 dias continua adequada para cada sistema, especialmente quando existem MFA, verificação contra palavras-passe comprometidas, comprimento robusto de palavra-passe e fluxos de reposição desencadeados por compromisso. Na prática, muitas organizações mantêm a linha de base durante a transição e depois acrescentam um aditamento de modernização de palavras-passe aprovado através do tratamento de riscos e da Declaração de Aplicabilidade.

Para ambientes empresariais, a Política de Gestão de Contas de Utilizador e Privilégios da Clarysec fornece um ponto de governação em vez de codificar rigidamente todas as regras de palavra-passe:

Todas as contas de utilizador devem impor a complexidade e expiração de palavras-passe de acordo com a Política de Palavras-passe da organização.

Esta formulação permite ao Responsável pela Segurança da Informação atualizar a Política de Palavras-passe para alinhamento com o NIST SP 800-63-4 sem reescrever todo o quadro de gestão de acessos.

Um pacote prático de evidência de modernização de palavras-passe deve incluir:

  • Política de palavras-passe atual e aditamento de modernização aprovado.
  • Configuração do IdP que demonstre comprimento mínimo, comprimento máximo e caracteres permitidos.
  • Evidência de que os gestores de palavras-passe são permitidos, incluindo a funcionalidade de colar quando relevante.
  • Configuração de verificação contra palavras-passe comprometidas, fracas e comuns.
  • Limitação de taxa ou política de bloqueio contra ataques de adivinhação online.
  • Fluxo de reposição de palavra-passe que exige verificação adequada de identidade.
  • Arquitetura de armazenamento de hashes de palavra-passe para aplicações que armazenam credenciais.
  • Registo de Exceções para sistemas legados incapazes de suportar definições modernas.
  • Procedimento de reposição desencadeada por compromisso com ligação à resposta a incidentes.
  • Evidência de comunicação e formação dos utilizadores.

O objetivo não é ganhar um debate sobre um determinado comprimento de palavra-passe. O objetivo é demonstrar que a autenticação por palavra-passe é controlada, mensurável e integrada no SGSI.

Levar MFA e passkeys de “segundo fator” para garantia

O incidente de segunda-feira de manhã começou com fadiga de MFA. É por isso que os auditores perguntam cada vez mais se a MFA é resistente ao phishing, e não apenas se existe.

Métodos tradicionais de MFA, como SMS, OTP por correio eletrónico, aplicações TOTP e notificações push, podem reduzir o risco, mas não são equivalentes. As passkeys e os autenticadores FIDO2/WebAuthn oferecem maior resistência ao phishing porque a autenticação está vinculada à origem legítima e utiliza criptografia de chave pública. Para utilizadores de alto risco, administradores privilegiados, aprovadores financeiros, programadores com acesso à produção e vias de acesso remoto, a MFA resistente ao phishing deve ser tratada como estado-alvo, salvo exceção documentada e aprovada.

A política empresarial Política de Comunicações Seguras e Autenticação Multifator (MFA) da Clarysec define a linha de base:

Autenticação multifator (MFA): Todo o acesso à rede e aos sistemas de informação da organização, em particular o acesso privilegiado ou o acesso remoto, deve exigir autenticação multifator (MFA) (por exemplo, palavra-passe mais token OTP ou fator biométrico). As soluções de autenticação multifator (MFA) devem alinhar-se com as melhores práticas da indústria (por exemplo, códigos únicos baseados no tempo ou chaves de hardware) e devem ser configuradas para proteger contra acesso não autorizado.

Para PME, a Política de Controlo de Acesso - PME estabelece:

As contas privilegiadas devem usar autenticação multifator (MFA) sempre que suportado.

A expressão “sempre que suportado” dá às PME um caminho de implementação realista, mas também cria uma obrigação de auditoria. Se um sistema privilegiado não suportar MFA, a organização deve documentar controlos compensatórios, como restrições de rede, gestão de acessos privilegiados, bastion hosts, sessões mais curtas, monitorização, cofre de credenciais e plano de migração.

O Zenith Blueprint, Controls in Action, Passo 19, é direto quanto à direção a seguir:

Sempre que possível, a autenticação apenas por palavra-passe deve ser evitada, especialmente para contas administrativas, consolas cloud, ferramentas de acesso remoto e qualquer sistema exposto à Internet. A MFA, usando um segundo fator como uma chave de hardware, aplicação móvel ou biometria, é agora uma linha de base, não um luxo.

As passkeys encaixam naturalmente nesta narrativa. A implementação de passkeys não deve ser apresentada apenas como uma atualização tecnológica. Deve ser documentada como tratamento de riscos para phishing, credential stuffing, fadiga de MFA, reutilização de palavras-passe e tomada de controlo de contas.

O modelo de evidência de passkeys de que os auditores precisam

As passkeys podem ser sincronizáveis, vinculadas ao dispositivo, suportadas por hardware, baseadas na plataforma ou móveis, dependendo do autenticador e do ecossistema. A garantia depende do registo, da confiança no dispositivo, da recuperação, da vinculação à conta e da revogação. Um projeto de passkeys sem evidência pode criar ambiguidade de auditoria, mesmo quando a tecnologia é robusta.

Use este modelo para preparar uma implementação de passkeys pronta para auditoria.

Pergunta de evidênciaO que demonstrarArtefacto
Quem pode registar passkeys?O registo está limitado a utilizadores verificados e contextos aprovadosPolítica de registo, regras do IdP, elegibilidade por grupo de utilizadores
Que tipo de passkey é permitido?O tipo de autenticador corresponde ao nível de riscoNorma de garantia do autenticador, AAGUID permitido ou política de dispositivo quando suportado
Como é protegido o registo?Atacantes não conseguem adicionar o seu próprio autenticador após furtarem uma palavra-passeMFA step-up, verificação pela helpdesk, alertas de registo
Como é tratada a recuperação?A recuperação não é mais fraca do que a autenticaçãoProcedimento de recuperação, scripts de suporte, logs de verificação de identidade
Como são tratados os dispositivos perdidos?Autenticadores perdidos são revogados rapidamenteTickets de revogação, inventário de dispositivos, logs de eventos do IdP
Como é tratado o acesso privilegiado?Administradores usam métodos resistentes ao phishing quando exigidoPolíticas de acesso condicional, atribuições de funções privilegiadas
Como é registada a atividade do utilizador?Eventos de autenticação são retidos e revistosLogs de autenticação, consultas SIEM, regras de alerta
Como são governadas as exceções?Sistemas legados e utilizadores excluídos têm tratamento de riscos aprovadoRegisto de Exceções, datas de expiração, controlos compensatórios

Isto alinha diretamente com a ISO/IEC 27001:2022. As cláusulas 4.1 a 4.4 exigem que as organizações compreendam o contexto, as partes interessadas, o âmbito do SGSI e os processos operacionais. As cláusulas 5.1 a 5.3 exigem liderança, política, papéis organizacionais e responsabilização. As cláusulas 6.1.2 e 6.1.3 exigem uma avaliação de riscos de segurança da informação e um processo de tratamento de riscos repetível, incluindo seleção de controlos, comparação com o Anexo A, uma Declaração de Aplicabilidade e aprovação do risco residual pelo Proprietário do Risco. A cláusula 6.2 exige objetivos mensuráveis de segurança da informação.

Isto significa que uma implementação de passkeys deve aparecer no SGSI como:

  • Um tratamento de riscos para furto de credenciais e phishing.
  • Um objetivo, como “90 por cento do acesso privilegiado migrado para MFA resistente ao phishing até ao T3”.
  • Uma fundamentação na Declaração de Aplicabilidade ligada a A.5.16, A.5.17 e A.8.5.
  • Uma atualização da Política de Controlo de Acesso.
  • Um caso de uso de registo de logs e monitorização.
  • Um pacote de evidência de auditoria.

No Zenith Blueprint, fase de Gestão de Riscos, Passo 13, Planeamento do Tratamento de Riscos e Declaração de Aplicabilidade, a Clarysec descreve a SoA como uma ponte:

A SoA é, na prática, um documento de ponte: liga a sua avaliação/tratamento de riscos aos controlos reais que tem. Ao concluí-la, também verifica novamente se deixou algum controlo por considerar.

Para o NIST SP 800-63-4, essa ponte é onde as decisões sobre palavras-passe, MFA e passkeys se tornam auditáveis.

Mapeamento de conformidade transversal para ISO 27001, NIS2, DORA, RGPD, NIST CSF e COBIT

A evidência de identidade ganha valor quando um único conjunto de controlos satisfaz várias obrigações.

O Article 21 da NIS2 exige que entidades essenciais e importantes implementem medidas técnicas, operacionais e organizacionais adequadas e proporcionais que reflitam o risco, o estado da arte, o custo de implementação, a dimensão e o impacto dos incidentes. O Article 21(2) inclui análise de riscos, políticas, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, desenvolvimento seguro, avaliação da eficácia dos controlos, higiene de cibersegurança e formação, criptografia, segurança de Recursos Humanos, controlo de acesso, gestão de ativos e, quando adequado, autenticação multifator ou contínua. O Article 20 torna a aprovação pela gestão, a supervisão e a formação em cibersegurança uma obrigação de governação.

O DORA traz o mesmo tema de identidade para a resiliência operacional financeira. As entidades financeiras abrangidas devem manter um quadro documentado de gestão do risco das TIC com responsabilidade do órgão de administração, controlos de proteção e prevenção, controlo de acesso, autenticação, monitorização, deteção de anomalias, continuidade, resposta, recuperação e formação. Os Articles 8 a 10 são especialmente relevantes para identificar ativos de TIC e dependências, proteger sistemas de TIC, controlo de acesso, autenticação forte, monitorização e deteção. Os Articles 17 a 19 ligam a mesma evidência à gestão e reporte de incidentes relacionados com as TIC.

O RGPD aplica-se sempre que dados pessoais sejam tratados no seu âmbito territorial e material. O Article 5(1)(f) exige que os dados pessoais sejam tratados com segurança adequada. O Article 5(2) exige responsabilização. O Article 32 exige medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco. Uma palavra-passe furtada ou um autenticador comprometido pode tornar-se uma violação de dados pessoais se causar acesso não autorizado a dados pessoais.

O NIST CSF 2.0 acrescenta uma camada útil de gestão. A sua função GOVERN exige que requisitos legais, regulamentares e contratuais de cibersegurança, incluindo obrigações de privacidade, sejam compreendidos e geridos. Os perfis CSF ajudam as organizações a comparar estados atuais e alvo e a criar planos de ação priorizados.

O COBIT 2019 e as abordagens de auditoria da ISACA perguntam se os controlos de identidade e acesso suportam objetivos de governação, se as práticas de gestão estão definidas, se a robustez da autenticação corresponde ao risco e se a operação dos controlos é evidenciada.

Tema do requisitoISO/IEC 27001:2022 e ISO/IEC 27002:2022NIS2DORARGPDNIST CSF 2.0
Responsabilização da governaçãoCláusulas 5.1 a 5.3, 6.1.3, controlos de acesso e monitorização do Anexo AArticle 20 aprovação e supervisão pela gestãoArticles 5 e 6 responsabilidade do órgão de administração e quadro de risco das TICArticle 5(2) responsabilizaçãoGV.OC, GV.RM, GV.RR, GV.PO, GV.OV
Autenticação forteA.5.16, A.5.17, A.8.5Article 21 controlo de acesso e MFA quando adequadoArticle 9 proteção, prevenção e autenticação forteArticle 32 segurança do tratamentoPR.AA gestão de identidades, autenticação e controlo de acesso
Ciclo de vida do autenticadorA.5.17 informação de autenticaçãoArticle 21 medidas baseadas no riscoArticle 9 salvaguardas de controlo de acesso e autenticaçãoArticles 5 e 32 proteção contra acesso não autorizadoGV.RM, PR.AA
Registo de eventos e deteçãoA.8.15 Registo de eventos, A.8.16 Monitorização de atividadesArticle 21 tratamento de incidentes e eficácia dos controlosArticles 10, 17 e 18 deteção e classificação de incidentesA deteção de violações suporta decisões dos Articles 33 e 34DE.CM, RS.MA
Reporte de incidentesA.5.24 a A.5.28 gestão de incidentes de segurança da informaçãoArticle 23 aviso prévio, notificação de incidente e cadência do relatório finalArticles 17 a 19 processo e relatórios de incidentes relacionados com as TICArticles 33 e 34 notificação de violação de dados pessoaisRS.CO, RC.RP
Dependências de identidade de terceirosA.5.19 a A.5.23 relações com fornecedores e serviços cloudArticle 21 segurança da cadeia de fornecimentoArticles 28 a 30 risco de terceiros no âmbito das TICResponsabilização do responsável pelo tratamento e do subcontratanteGV.SC

O mesmo relatório de acesso condicional do IdP pode suportar controlo de acesso ISO 27001, MFA NIS2, autenticação DORA, responsabilização de segurança no RGPD e progresso do perfil-alvo NIST CSF.

Construir um pacote de evidência de autenticadores numa tarde

Um Responsável pela Segurança da Informação, gestor de conformidade ou responsável de TI pode criar rapidamente um pacote de evidência de elevado valor concentrando-se num sistema de alto risco, como uma consola cloud, plataforma financeira, portal administrativo de clientes ou ambiente de implementação em produção.

Primeiro, defina o âmbito. Identifique o responsável de negócio, classificação de dados, grupos de utilizadores, funções privilegiadas, vias de acesso remoto, autenticadores atuais, dados pessoais envolvidos e dependências de terceiros. Isto suporta as cláusulas 4.1 a 4.4 da ISO/IEC 27001:2022, porque o âmbito, os requisitos das partes interessadas e as dependências devem ser compreendidos.

Segundo, capture as definições atuais de autenticação. Exporte ou faça capturas de ecrã da política de palavras-passe, aplicação de MFA, configuração de passkeys ou FIDO2, regras de acesso condicional, tempo limite de sessão, métodos de recuperação, contas break-glass e estado de autenticação legada. Se o sistema usar autenticação local, documente a razão e defina um caminho de migração.

Terceiro, compare com um estado-alvo claro:

  • Palavras-passe verificadas contra credenciais fracas, comuns e comprometidas.
  • Ausência de acesso apenas por palavra-passe para sistemas privilegiados, remotos ou expostos à Internet.
  • MFA resistente ao phishing para administradores e utilizadores de alto risco.
  • Registo e recuperação seguros.
  • Revogação de autenticadores durante a cessação ou perda de dispositivo.
  • Registo em logs de autenticação bem-sucedida e falhada, uso de MFA e alterações de autenticador.
  • Alertas para viagens impossíveis, falhas repetidas, novo registo de autenticador e autenticações de risco.

Quarto, anexe evidência de política. A Política de Controlo de Acesso - PME exige:

São exigidos nomes de utilizador únicos; as contas partilhadas são proibidas.

Para evidência do ciclo de vida da conta, a Política de Gestão de Contas de Utilizador e Privilégios - PME estabelece:

Os logs de criação de contas, desativação de contas e alterações de privilégios devem ser retidos de forma segura durante pelo menos 12 meses.

Para registo da autenticação, a Política de Registo de Logs e Monitorização - PME especifica:

Logs de autenticação: tentativas de autenticação bem-sucedidas e falhadas, duração das sessões, uso de MFA

Para implementações empresariais, a Política de Registo de Logs e Monitorização exige o registo em logs de:

Tentativas de autenticação e acesso de utilizadores

Quinto, atualize a Declaração de Aplicabilidade. Marque A.5.16, A.5.17 e A.8.5 como aplicáveis e acrescente notas como:

  • Suporta expectativas do NIST SP 800-63-4 relativas ao ciclo de vida dos autenticadores.
  • Suporta expectativas da NIS2 Article 21 relativas a controlo de acesso e MFA.
  • Suporta requisitos do DORA de autenticação e monitorização na gestão do risco das TIC.
  • Suporta o Article 32 do RGPD relativo a segurança e responsabilização no acesso a dados pessoais.
  • Exceção: o portal legado de liquidação não suporta FIDO2. Os controlos compensatórios incluem restrição por VPN, monitorização de sessões privilegiadas, plano de remediação do fornecedor e revisão mensal de acessos.

Por fim, prepare uma pasta chamada “Pacote de Evidência de Autenticação - T2 2026” com excertos de políticas, avaliação de riscos, registo de tratamento, extrato da SoA, configuração do IdP, relatório de cobertura de MFA e passkeys, lista de utilizadores privilegiados, Registo de Exceções, logs de registo e revogação, amostra de teste de cessação, consultas SIEM, capturas de ecrã de alertas, excerto do playbook de resposta a incidentes e comunicação de sensibilização aos utilizadores.

Esta é a diferença entre “usamos MFA” e “conseguimos demonstrar a governação da autenticação segura”.

Como diferentes auditores testam os mesmos controlos de identidade

Um programa de identidade maduro antecipa diferentes perspetivas de auditoria.

O auditor ISO 27001 começará pelo sistema de gestão. Perguntará como os riscos de identidade foram avaliados, por que motivo os controlos foram selecionados, como aparecem na SoA, se as políticas estão aprovadas, se as responsabilidades estão atribuídas e se a evidência demonstra operação ao longo do tempo. Testará a consistência entre o Registo de Riscos, a Política de Controlo de Acesso, as definições do IdP e os logs.

O Zenith Blueprint, fase Controls in Action, Passo 19, Lista de Verificação de Auditoria para os Controlos 8.1 a 8.5, descreve o pedido prático de auditoria:

Os auditores irão questionar as definições de complexidade de palavra-passe e a forma como são aplicadas (GPOs do Active Directory, políticas do IdP, etc.). Apresente documentação sobre a implementação de MFA, a quem se aplica, onde é imposta e que sistemas protege.

Um auditor DORA ou NIS2 focar-se-á na governação, resiliência e risco sistémico. Poderá solicitar evidência de supervisão pelo Conselho de Administração ou órgão de administração, cobertura de sistemas críticos, obrigações de autenticação de terceiros, testes de continuidade e evidência de que os procedimentos de recuperação só podem ser iniciados por pessoal autenticado.

Um revisor do RGPD focar-se-á nos dados pessoais. Perguntará se a autenticação protege os dados pessoais contra acesso não autorizado, se o acesso está limitado ao necessário, se os logs suportam a avaliação de violação e se a organização consegue demonstrar responsabilização.

Um avaliador orientado pelo NIST pode usar perfis NIST CSF 2.0 para comparar estados atual e alvo. Esperará um plano de ação priorizado que cubra governação, política, controlo de acesso, deteção e resultados de resposta.

Um auditor COBIT 2019 ou ISACA avaliará se as práticas de identidade e autenticação suportam objetivos de governação, desenho dos controlos, operação dos controlos, segregação de funções, acesso privilegiado e monitorização. Pode não se preocupar com a marca de passkey utilizada. Preocupar-se-á em saber se o controlo é governado, medido, detido e melhorado.

Não esquecer cessação, recuperação e identidade não humana

Muitos programas de autenticação parecem fortes no login e fracos em todo o resto.

A cessação é um ponto comum de falha. A Política de Admissão e Cessação da Clarysec inclui especificamente:

revogação de tokens MFA/SSO, cartões inteligentes ou certificados

Essa cláusula deve ser testada. Selecione três utilizadores cujo vínculo cessou e demonstre que contas, sessões, dispositivos MFA, passkeys, certificados e métodos de recuperação foram revogados atempadamente. Se não conseguir demonstrar a revogação de tokens, o seu controlo de cessação está incompleto.

A recuperação é outro ponto fraco. Se uma helpdesk conseguir repor MFA após duas perguntas fáceis, o atacante atacará a recuperação da helpdesk em vez do login. Os procedimentos de recuperação devem exigir verificação robusta, registo de tickets, aprovação para utilizadores privilegiados, notificação ao utilizador e monitorização da atividade pós-recuperação.

A identidade não humana é o terceiro ponto cego. O Zenith Blueprint Passo 22 deixa claro que a informação de autenticação inclui “palavras-passe, PIN, chaves criptográficas, modelos biométricos, cartões inteligentes, tokens, certificados, tokens OAuth, chaves SSH, segredos de API”. Os atacantes usam frequentemente tokens de API, chaves de contas de serviço e concessões OAuth para persistir. Trate essas credenciais ao abrigo de A.5.17, com armazenamento em cofre, titularidade, rotação, revogação e registo em logs.

Como se apresenta um bom estado em 2026

Um ambiente maduro de controlos de identidade em 2026 tem estas características:

  • O Conselho de Administração ou órgão de administração compreende o risco de identidade e aprova a direção.
  • A política de palavras-passe está modernizada, é orientada para o utilizador e é aplicada tecnicamente.
  • O acesso apenas por palavra-passe é eliminado para sistemas privilegiados, remotos e expostos à Internet.
  • Passkeys ou autenticadores FIDO2 são priorizados para acessos de alto risco.
  • As exceções de MFA são documentadas, aprovadas, limitadas no tempo e compensadas.
  • O registo, recuperação e revogação de autenticadores são controlados.
  • A cessação inclui revogação de contas, tokens, certificados, sessões e passkeys.
  • Os logs de autenticação incluem sucessos, falhas, uso de MFA, duração das sessões e alterações de autenticador.
  • Casos de uso SIEM detetam credential stuffing, viagens impossíveis, registo suspeito e fadiga de MFA.
  • A SoA explica por que A.5.16, A.5.17 e A.8.5 se aplicam.
  • Os mapeamentos NIS2, DORA, RGPD e NIST CSF são registados uma vez e reutilizados.
  • A evidência é recolhida continuamente, não montada em pânico antes da auditoria.

É assim que o NIST SP 800-63-4 se torna mais do que um documento de referência. Torna-se um sistema de controlo vivo que suporta segurança, privacidade, resiliência e capacidade de demonstrar conformidade em auditoria.

Transformar controlos de identidade em evidência pronta para auditoria

Se a sua organização está a atualizar regras de palavras-passe, a implementar MFA resistente ao phishing, a introduzir passkeys ou a preparar-se para questões de auditoria ISO 27001, NIS2, DORA ou RGPD, não comece apenas pela configuração de ferramentas.

Comece pelo modelo de evidência.

A Clarysec pode ajudar a:

  • Mapear as expectativas do NIST SP 800-63-4 relativas a palavras-passe, MFA e passkeys para a ISO/IEC 27001:2022.
  • Construir uma política de ciclo de vida de autenticadores e um pacote de evidência.
  • Atualizar políticas de controlo de acesso, MFA, registo de logs, admissão e cessação.
  • Preparar uma Declaração de Aplicabilidade que ligue o risco de identidade aos controlos.
  • Usar o Zenith Blueprint para estruturar etapas de implementação e preparação para auditoria.
  • Usar o Zenith Controls para mapear controlos de identidade transversalmente entre NIS2, DORA, RGPD, NIST CSF 2.0 e COBIT 2019.

O melhor momento para descobrir recuperação fraca, revogação de passkeys em falta ou aplicação incompleta de MFA é antes do incidente, antes do regulador e antes de o auditor perguntar.

Transforme a sua próxima revisão de controlo de acesso numa revisão de evidência NIST SP 800-63-4. Descarregue as políticas relevantes da Clarysec, explore o Zenith Blueprint e use o Zenith Controls para transformar a implementação de palavras-passe, MFA e passkeys numa narrativa de conformidade prática, proporcional e pronta para auditoria.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Evidência da higiene de cibersegurança da NIS2 mapeada para a ISO 27001

Evidência da higiene de cibersegurança da NIS2 mapeada para a ISO 27001

Um guia prático para CISO sobre como transformar a higiene de cibersegurança e a formação em cibersegurança do Article 21 da NIS2 em evidência ISO/IEC 27001:2022 pronta para auditoria, com cláusulas de política, mapeamento de controlos, alinhamento com DORA e RGPD da UE e um sprint de remediação de 10 dias.

DLP em 2026: ISO 27001 para GDPR da UE, NIS2 e DORA

DLP em 2026: ISO 27001 para GDPR da UE, NIS2 e DORA

A Prevenção contra Perda de Dados deixou de ser uma configuração isolada de ferramenta. Em 2026, os CISO precisam de um programa de DLP orientado por políticas e sustentado por evidências, que ligue a classificação de dados, a transferência segura, o registo, a resposta a incidentes, a governação de fornecedores e os controlos ISO/IEC 27001:2022 ao GDPR Article 32, à NIS2 e à DORA.