Arquitetura de confiança zero em 2026: evidência pronta para auditoria

A auditoria de confiança zero de segunda-feira de manhã que ninguém tinha planeado
Às 08:12 de uma segunda-feira, o CISO de uma fintech SaaS europeia recebe três mensagens em cinco minutos.
A primeira vem de um cliente bancário: “Solicitamos o pacote de evidência da vossa arquitetura de confiança zero para a nossa revisão anual de terceiros de TIC.”
A segunda vem do departamento jurídico: “Podemos ser classificados como entidade importante ao abrigo da NIS2 num Estado-Membro, e alguns clientes estão a perguntar se a DORA se repercute sobre nós enquanto prestador de serviços de TIC.”
A terceira vem do responsável de engenharia: “Temos MFA, SSO, EDR, políticas de rede Kubernetes e alertas SIEM. Isso é confiança zero?”
É aqui que muitas organizações ficam bloqueadas. Têm ferramentas de segurança, mas não têm um modelo operacional de conformidade para confiança zero. Conseguem apontar para capturas de ecrã de MFA, mas não conseguem explicar como identidade, postura do dispositivo, princípio do menor privilégio, segmentação, monitorização, comunicação de incidentes, salvaguardas de privacidade e dependências de fornecedores se articulam. Conseguem demonstrar controlos, mas não rastreabilidade.
Em 2026, a arquitetura de confiança zero baseada no NIST SP 800-207 tem de ser mais do que “nunca confiar, verificar sempre”. Para CISO, responsáveis de conformidade, auditores e responsáveis de negócio, a pergunta prática é mais exigente:
Como transformamos a confiança zero em evidência que satisfaça a ISO/IEC 27001:2022, as expectativas de higiene de cibersegurança da NIS2, a gestão do risco das TIC da DORA, a segurança do tratamento prevista no Article 32 do RGPD da UE, a diligência prévia de clientes e a supervisão do conselho de administração?
A resposta não é outra ferramenta. É um modelo de evidência baseado no risco que liga política, controlos, implementação técnica, monitorização e responsabilização da gestão.
Confiança zero em 2026: da estratégia de segurança à evidência de conformidade
O NIST SP 800-207 define confiança zero como um conjunto de princípios para conceber e operar sistemas seguros nos quais a confiança nunca é implícita. O acesso é concedido com base na identidade, no contexto, na política, na postura do ativo e na avaliação contínua.
Os sete princípios NIST de confiança zero são particularmente úteis porque transformam um slogan de segurança vago em algo que pode ser mapeado, testado e auditado:
- Todas as fontes de dados e serviços computacionais são considerados recursos.
- Todas as comunicações são protegidas, independentemente da localização na rede.
- O acesso a recursos empresariais individuais é concedido por sessão.
- O acesso aos recursos é determinado por políticas dinâmicas, incluindo atributos de identidade, dispositivo, aplicação e comportamento.
- A organização monitoriza e mede a integridade e a postura de segurança de todos os ativos próprios e associados.
- Toda a autenticação e autorização de recursos é dinâmica e rigorosamente aplicada antes de permitir o acesso.
- A organização recolhe informação sobre ativos, infraestrutura e comunicações, e utiliza-a para melhorar a postura de segurança.
Para um prestador SaaS moderno, um banco digital, um prestador de serviços geridos ou uma plataforma nativa da nuvem, estes princípios traduzem-se em domínios práticos de controlo:
- A identidade é verificada e governada.
- Os dispositivos são avaliados antes de o acesso ser concedido.
- O acesso privilegiado é minimizado e revisto.
- Os caminhos de rede são segmentados e controlados.
- As aplicações, API e repositórios de dados aplicam a autorização.
- Registos e telemetria suportam monitorização contínua.
- Os incidentes acionam contenção, reporte e recuperação.
- A evidência demonstra que os controlos estão a operar, e não apenas que foram desenhados.
É neste último ponto que entra a conformidade.
A ISO/IEC 27001:2022 exige que as organizações definam o contexto, as partes interessadas, os requisitos legais e contratuais aplicáveis, o âmbito, as interfaces e as dependências. Exige também avaliação de riscos, tratamento de riscos, Declaração de Aplicabilidade, responsabilização da liderança, auditoria interna, revisão pela gestão e melhoria contínua.
A confiança zero encaixa naturalmente nessa estrutura quando é tratada como um sistema de controlos. Não deve ficar fora do SGSI como uma iniciativa de engenharia. Deve integrar a avaliação de riscos, a seleção de controlos, a governação de políticas, a gestão de fornecedores, a proteção da privacidade, a resposta a incidentes e o reporte ao conselho de administração.
A pressão regulamentar por trás da evidência de confiança zero
A pressão para apresentar evidência de confiança zero resulta normalmente da sobreposição de obrigações, e não de uma única norma.
A NIS2 pode aplicar-se a entidades públicas ou privadas dos setores do Anexo I ou do Anexo II que cumpram limiares de dimensão e atividade, e também pode aplicar-se a determinadas entidades mais pequenas mas críticas. O Anexo I inclui prestadores de serviços de computação em nuvem, prestadores de centros de dados, prestadores de redes de distribuição de conteúdos, prestadores de serviços de confiança, prestadores de serviços geridos, prestadores de serviços de segurança geridos, entidades bancárias e entidades de infraestruturas dos mercados financeiros. O Anexo II inclui prestadores digitais, como mercados em linha, motores de busca e plataformas de redes sociais.
O Article 20 da NIS2 torna a cibersegurança uma responsabilidade do órgão de gestão. O conselho de administração deve aprovar medidas de gestão de riscos de cibersegurança, supervisionar a implementação e receber formação em cibersegurança. O Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionadas que cubram análise de riscos, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, desenvolvimento seguro, tratamento de vulnerabilidades, avaliação da eficácia, higiene de cibersegurança, formação, criptografia, segurança de recursos humanos, controlo de acesso, gestão de ativos e, quando adequado, MFA ou autenticação contínua. O Article 23 introduz a comunicação faseada de incidentes significativos, incluindo alerta precoce em 24 horas, notificação em 72 horas e relatório final.
A DORA aplica-se desde 17 de janeiro de 2025 e cria um regime uniforme de resiliência operacional digital para entidades financeiras. Abrange gestão do risco das TIC, comunicação de incidentes graves relacionados com TIC, testes de resiliência operacional, partilha de informações sobre ameaças e risco de terceiros de TIC. Os Articles 5 e 6 da DORA exigem governação e um quadro documentado de gestão do risco das TIC. O Article 9 aborda proteção e prevenção, incluindo políticas, procedimentos, protocolos e ferramentas para proteger sistemas de TIC. O Article 17 exige um processo de gestão de incidentes relacionados com TIC.
O RGPD da UE aplica-se ao tratamento no contexto de um estabelecimento na UE e também a responsáveis pelo tratamento ou subcontratantes fora da UE que ofereçam bens ou serviços a pessoas na UE ou monitorizem o seu comportamento. O Article 5 do RGPD da UE exige responsabilização. O Article 32 exige medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco. O Article 33 exige a notificação de violação de dados pessoais à autoridade de controlo sem demora injustificada e, sempre que possível, no prazo de 72 horas após tomar conhecimento da violação.
Um modelo de evidência de confiança zero ajuda porque o mesmo controlo pode suportar múltiplos referenciais. A MFA pode suportar o controlo de acesso da ISO/IEC 27001:2022, medidas de autenticação da NIS2, requisitos de proteção da DORA e segurança do tratamento do RGPD da UE. Mas apenas se a organização conseguir demonstrar âmbito, propriedade, implementação, monitorização e revisão.
Mapeamento dos princípios NIST de confiança zero para os controlos ISO/IEC 27001:2022
Os controlos do Anexo A da ISO/IEC 27001:2022, suportados pelas orientações de implementação da ISO/IEC 27002:2022, fornecem a linguagem de auditoria de que a maioria das organizações necessita. A tabela abaixo traduz os princípios NIST de confiança zero em áreas de controlo ISO reconhecidas pelos auditores.
| Princípio NIST SP 800-207 de confiança zero | Princípio essencial de confiança zero | Controlos relevantes do Anexo A da ISO/IEC 27001:2022 |
|---|---|---|
| Todas as fontes de dados e serviços computacionais são recursos | Identificação de ativos e dados | A.5.9 Inventário de informação e outros ativos associados, A.5.10 Utilização aceitável de informação e outros ativos associados, A.5.12 Classificação da informação |
| Todas as comunicações são protegidas, independentemente da localização na rede | Comunicação segura e canais cifrados | A.8.20 Segurança de redes, A.8.22 Segregação de redes, A.8.24 Utilização de criptografia |
| O acesso é concedido por sessão | Autenticação e autorização baseadas na sessão | A.5.17 Informação de autenticação, A.8.5 Autenticação segura |
| O acesso é determinado por políticas dinâmicas | Acesso contextual e baseado no princípio do menor privilégio | A.5.15 Controlo de acesso, A.5.18 Direitos de acesso, A.8.3 Restrição de acesso à informação |
| A integridade dos ativos e a postura de segurança são monitorizadas | Verificação da postura de endpoints e cargas de trabalho | A.8.1 Dispositivos endpoint de utilizador, A.8.8 Gestão de vulnerabilidades técnicas |
| A autenticação e a autorização são dinâmicas e rigorosamente aplicadas | Ciclo de vida da identidade e gestão de acessos privilegiados | A.5.16 Gestão de identidades, A.8.2 Direitos de acesso privilegiado, A.8.5 Autenticação segura |
| A informação é recolhida para melhorar a postura de segurança | Monitorização contínua, registo e melhoria | A.8.15 Registo, A.8.16 Atividades de monitorização, A.8.23 Filtragem Web |
Este mapeamento não é apenas um exercício de desenho técnico. Passa a ser a estrutura do Registo de Riscos, da Declaração de Aplicabilidade, do pacote de evidência e da agenda de revisão pela gestão.
Por exemplo, um cenário de risco como “conta de programador comprometida altera código de produção e acede a dados de clientes” deve mapear para gestão de identidades, MFA, acesso privilegiado, segregação de redes, registo, monitorização, desenvolvimento seguro, gestão de alterações e resposta a incidentes. Esse único cenário pode suportar a ISO/IEC 27001:2022, o Article 21 da NIS2, a gestão do risco das TIC da DORA e o Article 32 do RGPD da UE.
A stack de controlos de confiança zero da Clarysec
A Clarysec estrutura a confiança zero em torno de cinco domínios de evidência: identidade, dispositivo, rede, aplicação e dados, com monitorização e governação transversais aos cinco.
A base é o controlo de acesso e a gestão de identidades. Em Zenith Controls: The Cross-Compliance Guide, o controlo 5.15 da ISO/IEC 27002:2022, Controlo de acesso, é classificado como controlo preventivo que suporta confidencialidade, integridade e disponibilidade, alinhado com o conceito de cibersegurança Protect e a capacidade de gestão de identidades e acessos. O controlo 5.16, Gestão de identidades, também é preventivo e está associado às mesmas propriedades CID e à capacidade IAM. O controlo 8.16, Atividades de monitorização, é classificado como detetivo e corretivo, suportando Detect e Respond através da gestão de eventos de segurança da informação.
Esta combinação é importante. A confiança zero não é apenas controlo de acesso. É controlo de acesso mais ciclo de vida da identidade, mais postura do dispositivo, mais segregação de redes, mais monitorização, mais resposta.
As cláusulas das políticas da Clarysec transformam esse modelo em governação aplicável.
Da Política empresarial de controlo de acesso, secção Objetivos, cláusula 3.4:
Apoiar os princípios de confiança zero ao negar o acesso por defeito, salvo quando explicitamente aprovado e justificado.
Da Política empresarial de gestão de contas de utilizador e privilégios, secção Requisitos de implementação da política, cláusula 6.2.1:
Todos os utilizadores devem receber o nível mínimo de acesso necessário para desempenhar as suas funções.
Da Política empresarial de segurança de redes, secção Requisitos de governação, cláusula 5.2:
Todo o tráfego entre zonas deve ser controlado por firewalls ou por soluções de perímetro definido por software, com configurações explícitas de negação por defeito.
Da Política empresarial de registo e monitorização, secção Objetivos, cláusula 3.4:
Estabelecer sistemas de registo centralizado e de alerta (por exemplo, SIEM) para agregar, correlacionar e escalar atividade suspeita em tempo quase real.
Da Política empresarial de segurança da informação, secção Requisitos de implementação da política, cláusula 6.6.1:
Todos os controlos implementados devem ser auditáveis, suportados por procedimentos documentados e por evidência retida da sua operação.
Para PME, a mesma intenção de governação pode ser implementada com documentação de políticas mais leve. A Política de gestão de contas de utilizador e privilégios - PME, secção Objetivos, cláusula 3.2, estabelece:
Aplicar o princípio do menor privilégio, assegurando que os utilizadores recebem apenas o nível mínimo de acesso necessário para desempenhar as suas funções.
A Política de controlo de acesso - PME, secção Requisitos de governação, cláusula 5.4.3, acrescenta:
As contas privilegiadas devem utilizar autenticação multifator (MFA) quando suportado.
A Política de segurança de redes - PME, secção Requisitos de implementação da política, cláusula 6.2.3, estabelece:
O tráfego entre segmentos deve ser filtrado, e o acesso entre segmentos deve seguir o princípio do menor privilégio.
A Política de registo e monitorização - PME, secção Finalidade, cláusula 1.3, explica:
O registo e a monitorização suportam a deteção de ameaças, a conformidade regulamentar, a comunicação e gestão de incidentes e a análise forense.
Para confiança zero orientada pela privacidade, a Política de proteção de dados e privacidade - PME, secção Requisitos de governação, cláusula 5.3.2, estabelece:
O acesso dos utilizadores a dados pessoais deve limitar-se a funções com necessidade de negócio documentada.
Estas cláusulas criam âncoras de auditoria. Um auditor pode testar se o acesso é negado por defeito, se o privilégio é minimizado, se o tráfego entre zonas é controlado, se os registos são centralizados e se a evidência é retida.
Mapa de evidência de confiança zero entre referenciais
Um modelo robusto de evidência de confiança zero deve evitar capturas de ecrã fragmentadas. A evidência deve demonstrar governação, desenho, implementação, monitorização e revisão.
| Capacidade de confiança zero | Evidência ISO/IEC 27001:2022 e ISO/IEC 27002:2022 | Evidência NIS2 | Evidência DORA | Evidência RGPD da UE |
|---|---|---|---|---|
| Verificação e ciclo de vida da identidade | Âmbito do SGSI, Registo de Riscos, entradas da SoA para A.5.15 e A.5.16, registos de admissões, alterações de função e desligamentos | Medidas do Article 21 para segurança de recursos humanos, controlo de acesso e gestão de ativos | Governação de ativos de TIC e de acessos de utilizadores no quadro de risco das TIC | Acesso limitado a funções autorizadas, registos de responsabilização do responsável pelo tratamento |
| MFA e autenticação contínua | Política de controlo de acesso, procedimento de acesso privilegiado, relatórios de aplicação de MFA | Medidas do Article 21 para MFA ou autenticação contínua, quando adequado | Controlos que suportam acesso seguro a sistemas de TIC e funções críticas | Evidência de segurança do tratamento do Article 32 para acesso a dados pessoais |
| Postura do dispositivo e confiança no endpoint | Inventário de ativos, configuração de referência de endpoints, cobertura EDR, aprovações de exceções | Higiene de cibersegurança, tratamento de vulnerabilidades e políticas de sistemas seguros | Inventário de ativos de TIC, testes de resiliência, monitorização de sistemas de TIC | Proteção contra tratamento não autorizado ou ilícito a partir de endpoints comprometidos |
| Segmentação de rede e microssegmentação | Diagramas de rede, regras de firewall, resultados de testes de segmentação, registos de alterações | Medidas para prevenir ou minimizar o impacto de incidentes e suportar a continuidade de negócio | Arquitetura de referência, tolerância ao impacto, testes de sistemas críticos | Isolamento de dados, minimização do âmbito da violação |
| Princípio do menor privilégio em aplicações e API | Matrizes RBAC ou ABAC, políticas IAM na nuvem, âmbitos de tokens, revisões de acesso a API | Aquisição, desenvolvimento e manutenção seguros, tratamento de vulnerabilidades | Mapeamento de funções suportadas por TIC e documentação de dependências | Limitação da finalidade, acesso a dados pessoais baseado em necessidade de negócio |
| Monitorização e deteção contínuas | Casos de utilização SIEM, triagem de alertas, procedimento de monitorização, registos de incidentes | Tratamento de incidentes e preparação para comunicação de incidentes significativos | Classificação de incidentes, escalonamento de gestão e ciclo de vida de reporte | Deteção de violação de dados pessoais e evidência de responsabilização |
| Confiança em fornecedores e na nuvem | Acordos com fornecedores, plano de saída da nuvem, monitorização de fornecedores, mapeamento de responsabilidade partilhada | Segurança da cadeia de fornecimento para fornecedores diretos e prestadores de serviços | Estratégia de risco de terceiros de TIC, registo de contratos de TIC, direitos de auditoria e planos de saída | Diligência prévia de subcontratantes, salvaguardas contratuais e controlos de segurança |
Esta tabela é o núcleo de um programa de confiança zero adequado ao conselho de administração. Mostra como um único ambiente de controlos pode suportar múltiplas exigências de garantia sem criar pacotes de evidência separados para cada referencial.
Utilizar o Zenith Blueprint para criar rastreabilidade
O Zenith Blueprint: An Auditor’s 30-Step Roadmap da Clarysec foi desenhado para impedir que a confiança zero se torne uma filosofia de engenharia não documentada. Na fase de Gestão de Riscos, passo 13, Planeamento do tratamento de riscos e Declaração de Aplicabilidade, explica:
A SoA é, na prática, um documento de ligação: liga a sua avaliação/tratamento de riscos aos
controlos reais que tem. Ao concluí-la, também confirma se deixou algum controlo por considerar.
O mesmo passo recomenda mapear controlos para riscos, adicionar referências de controlos do Anexo A às entradas de tratamento de riscos e cruzar regulamentos como o RGPD da UE, NIS2 ou DORA quando os controlos são implementados para satisfazer essas obrigações.
Para a confiança zero, esta é a ponte em falta. Se um auditor perguntar por que razão implementou acesso condicional, a resposta não deve ser “porque a confiança zero o exige”. Uma resposta melhor é:
- O cenário de risco é acesso não autorizado a dados de clientes através de credenciais comprometidas.
- O responsável pelo risco é o CTO ou o responsável de engenharia.
- O tratamento inclui SSO, MFA, acesso condicional, validação da postura de endpoints, princípio do menor privilégio, segmentação e monitorização.
- A SoA mapeia o tratamento para controlo de acesso, gestão de identidades, registo, monitorização, criptografia, gestão de vulnerabilidades e gestão de serviços na nuvem.
- O mesmo tratamento suporta o Article 21 da NIS2, a gestão do risco das TIC da DORA e o Article 32 do RGPD da UE.
- A evidência inclui cláusulas de políticas, revisões de acessos, alertas SIEM, relatórios de postura EDR, regras de firewall, exportações IAM, exercícios de incidentes e atas de revisão pela gestão.
É assim que a arquitetura de confiança zero se torna pronta para auditoria.
Confiança no endpoint, API e segregação de redes na prática
A confiança zero falha frequentemente porque as organizações se concentram na identidade e ignoram o contexto do dispositivo, da carga de trabalho, dos dados e da rede.
O passo 19 do Zenith Blueprint, Controlos tecnológicos I, explica claramente o requisito de postura do endpoint:
O acesso à informação através de endpoints deve ser contextual. Por exemplo, o dispositivo
cumpre as normas mínimas de segurança antes de aceder aos recursos da empresa? Passou
recentemente uma análise de malware? Está a ligar-se a partir de uma localização ou rede
invulgar? Integrada com os princípios de confiança zero, a postura do endpoint pode alimentar
o acesso condicional, recusando a entrada até que o dispositivo prove que é seguro.
Isto transforma o dispositivo em parte da decisão de autorização. Uma palavra-passe válida a partir de um portátil não gerido não deve ser tratada da mesma forma que uma autenticação válida a partir de um endpoint corporativo conforme, cifrado e monitorizado.
O mesmo passo sublinha que as restrições de acesso se aplicam a aplicações, serviços e API, não apenas a utilizadores:
As restrições de acesso também devem ser aplicadas a aplicações, serviços e Interfaces de Programação de Aplicações, e não apenas a pessoas.
Por exemplo, um microsserviço pode precisar apenas de acesso de leitura a uma tabela de base de dados, e não de direitos CRUD
completos. Uma ferramenta de cópia de segurança pode precisar apenas de acesso a buckets de armazenamento específicos, e não a todos os recursos do tenant.
Esta orientação é crítica para ambientes nativos da nuvem. Âmbitos de API, contas de serviço, identidades de cargas de trabalho, funções Kubernetes e políticas IAM na nuvem devem seguir o princípio do menor privilégio. O acesso humano é apenas uma parte da superfície de controlo.
O passo 20 do Zenith Blueprint aborda a segregação de redes:
A segregação é um dos princípios mais antigos e eficazes em cibersegurança: limitar a
propagação, reduzir o risco e conter o dano. O controlo 8.22 centra-se na segregação de redes,
a prática de separar sistemas, serviços e utilizadores em diferentes zonas lógicas ou
físicas para prevenir acesso não autorizado e restringir a movimentação lateral em caso de
comprometimento.
Isto é crítico para a resiliência DORA e NIS2. Uma rede de confiança zero deve assumir que uma conta, carga de trabalho ou endpoint pode ser comprometido. A segmentação impede que um evento local se transforme num incidente sistémico.
Um pacote de evidência de confiança zero em 10 dias
Imagine uma fintech SaaS que fornece análise de fraude a bancos. Trata dados pessoais, utiliza infraestrutura na nuvem, depende de Kubernetes gerido, integra-se com API de clientes e utiliza um fornecedor de identidade terceiro. Um cliente pede evidência de confiança zero, e a empresa tem dez dias úteis.
Um sprint prático de evidência Clarysec seria assim.
| Cronologia | Ação | Evidência produzida |
|---|---|---|
| Dia 1 a 2 | Definir o âmbito de confiança zero em contas de produção na nuvem, fornecedor de identidade, CI/CD, postos de trabalho de administradores, gateway de API de clientes, data warehouse, SIEM, EDR e fornecedores críticos | Declaração de âmbito, mapa de dependências, diagrama de perímetro |
| Dia 3 | Construir rastreabilidade risco-controlo utilizando o passo 13 do Zenith Blueprint | Entradas do Registo de Riscos, plano de tratamento, mapeamentos SoA |
| Dia 4 a 5 | Aplicar cláusulas de políticas empresariais ou para PME e documentar exceções | Políticas aprovadas, Registo de Exceções, registos de aceitação do risco |
| Dia 6 a 7 | Recolher evidência técnica | Relatórios MFA, políticas de acesso condicional, registos PAM, painéis de endpoints, regras de firewall, políticas de rede Kubernetes, exportações IAM, casos de utilização SIEM |
| Dia 8 | Adicionar evidência de privacidade e proteção de dados | Matriz função-dados, registos de tratamento, evidência de cifragem, regras de retenção, procedimento de escalonamento de violação |
| Dia 9 | Adicionar camadas NIS2 e DORA | Mapeamento do Article 21, preparação para reporte de incidentes, mapa de funções de TIC, registo centralizado de fornecedores, evidência de plano de saída |
| Dia 10 | Criar o resumo executivo | Narrativa adequada ao conselho de administração, resumo de risco residual, roteiro de melhoria |
O objetivo não é fingir que a organização alcançou confiança zero perfeita em dez dias. O objetivo é criar uma cadeia de evidência defensável para os riscos mais importantes e demonstrar que o programa é governado, mensurável e está a melhorar.
Como diferentes auditores irão testar a confiança zero
Um erro comum é preparar uma narrativa técnica única e assumir que todos os auditores farão as mesmas perguntas. Não farão.
Um auditor ISO/IEC 27001:2022 procurará o sistema de gestão. Perguntará se os riscos de confiança zero estão incluídos na avaliação de riscos, se os tratamentos estão aprovados, se a SoA está completa, se as políticas são documentos controlados, se ocorrem revisões de acessos, se as auditorias internas testam os controlos e se as revisões pela gestão acompanham o desempenho.
Um revisor DORA perguntará se os controlos de confiança zero fazem parte do quadro documentado de gestão do risco das TIC. Esperará inventários de ativos e dependências, mapeamento de funções críticas ou importantes, classificação de incidentes, escalonamento para o conselho de administração, testes, requisitos contratuais de terceiros, direitos de auditoria, estratégias de saída e acompanhamento de remediação.
Um avaliador NIS2 focar-se-á na responsabilização do órgão de gestão, nas medidas de gestão de riscos de cibersegurança do Article 21 e na preparação para comunicação de incidentes do Article 23. Também esperará evidência de que a segurança da cadeia de fornecimento, a continuidade de negócio, o tratamento de vulnerabilidades, o controlo de acesso e a higiene de cibersegurança são geridos.
Um revisor do RGPD da UE ou auditor de privacidade perguntará se o acesso a dados pessoais é necessário, documentado, limitado, monitorizado e alinhado com as finalidades do tratamento. Examinará os papéis de responsável pelo tratamento e subcontratante, a deteção de violação de dados pessoais, o acesso baseado em funções, a cifragem, a pseudonimização quando adequada, a retenção e a responsabilização.
| Perspetiva do auditor | Pergunta provável | Evidência que responde |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | A confiança zero é baseada no risco, aprovada e refletida na SoA? | Registo de Riscos, SoA, plano de tratamento de riscos, aprovações de políticas, atas de revisão pela gestão |
| Avaliador NIST CSF | Os resultados de governação, identidade, proteção, deteção, resposta e recuperação estão integrados? | Perfil CSF, plano de lacunas, controlos IAM, casos de utilização de registo, playbooks de resposta, testes de recuperação |
| Revisor DORA | A confiança zero suporta a gestão do risco das TIC e a resiliência de funções críticas? | Inventário de ativos de TIC, mapa de dependências, programa de testes, classificação de incidentes, registo centralizado de fornecedores |
| Auditor RGPD da UE/privacidade | O acesso a dados pessoais é limitado e comprovadamente protegido? | Matriz função-dados, revisões de acessos, evidência de cifragem, procedimentos de violação, registos de tratamento |
| Auditor COBIT 2019/ISACA | As responsabilidades, métricas e desempenho dos controlos são governados? | RACI, KPIs, Registo de Exceções, constatações de auditoria, rastreador de remediação |
O mesmo controlo pode satisfazer múltiplas perguntas, mas apenas se a evidência estiver organizada.
Fornecedores, nuvem e risco de terceiros de TIC
A confiança zero não termina na firewall e, em ambientes de nuvem, pode nem existir um perímetro tradicional de firewall. Fornecedores de identidade, plataformas de nuvem, ferramentas CI/CD, prestadores de deteção gerida, processadores de pagamento, gateways de API e equipas de desenvolvimento externalizado tornam-se todos parte do tecido de confiança.
O Article 21 da NIS2 inclui explicitamente a segurança da cadeia de fornecimento para fornecedores diretos e prestadores de serviços, incluindo vulnerabilidades de fornecedores, resiliência de produtos e serviços, práticas de cibersegurança de fornecedores e procedimentos de desenvolvimento seguro.
A DORA exige que o risco de terceiros de TIC seja gerido como parte do quadro de gestão do risco das TIC, com um registo de contratos de serviços de TIC, diligência prévia pré-contratual, avaliação de criticidade, risco de concentração, requisitos contratuais de segurança, assistência em incidentes, cooperação com autoridades, direitos de auditoria, direitos de cessação, estratégias de saída e planos de transição.
Para a confiança zero, a regra prática é simples: não confie numa ligação de fornecedor apenas porque é contratual. Exija controlos técnicos e evidência.
Uma integração de API de cliente deve ter tokens com âmbito definido, limites de taxa, monitorização, rotação, propriedade e revogação. Um prestador de serviços geridos deve utilizar MFA, contas nominativas de utilizador, princípio do menor privilégio, registo de sessões e acesso limitado no tempo. Uma relação com um prestador de serviços de nuvem deve incluir mapeamento de responsabilidade partilhada, configuração de cifragem, retenção de registos, testes de cópia de segurança e planeamento de saída.
É por isso que a evidência de fornecedores e de nuvem deve estar dentro do modelo de confiança zero, e não numa pasta de contratação separada.
Métricas que demonstram que a confiança zero está a operar
Os conselhos de administração e os auditores não querem apenas diagramas de arquitetura. Querem evidência operacional e tendências de melhoria.
Métricas úteis de confiança zero incluem:
- Percentagem de contas privilegiadas protegidas por MFA.
- Percentagem de utilizadores abrangidos por acesso condicional.
- Número de contas privilegiadas permanentes em comparação com contas just-in-time.
- Número de revisões de acessos em atraso.
- Percentagem de endpoints conformes com os requisitos de postura.
- Cobertura EDR em ativos críticos.
- Número de tentativas de acesso negadas devido a risco do dispositivo ou da localização.
- Tempo médio até à deteção de atividade privilegiada suspeita.
- Tempo médio até à revogação de acessos após cessação.
- Percentagem de regras de firewall entre zonas revistas no último trimestre.
- Número de fornecedores críticos com evidência de segurança atualizada.
- Número de exceções de confiança zero para além da data de remediação.
- Percentagem de aplicações críticas que enviam registos para o SIEM.
- Resultados de simulações de incidentes para comprometimento de credenciais.
Estas métricas suportam a melhoria contínua da ISO/IEC 27001:2022, a avaliação da eficácia da NIS2, as expectativas de testes e remediação da DORA e a responsabilização do RGPD da UE.
Falhas comuns na evidência de confiança zero
As falhas mais frequentes não são causadas por falta de ferramentas. São causadas por fraca rastreabilidade.
Primeiro, as organizações implementam MFA mas não conseguem demonstrar que as contas privilegiadas estão totalmente cobertas. Contas de serviço, contas break-glass e contas de administrador local ficam frequentemente fora do controlo.
Segundo, as revisões de acessos são executadas manualmente, mas não estão associadas a funções de negócio, sensibilidade dos dados ou responsáveis pelo risco. A evidência mostra que alguém clicou em “revisto”, não que o acesso desnecessário foi removido.
Terceiro, a segmentação de rede existe nos diagramas, mas não em regras testadas. Os auditores perguntarão se o acesso entre segmentos é negado por defeito e se as exceções estão aprovadas.
Quarto, os registos são recolhidos mas não são acionáveis. Um SIEM sem casos de utilização definidos, triagem de alertas e procedimentos de resposta não demonstra monitorização contínua.
Quinto, o acesso de fornecedores não é gerido. Os fornecedores podem utilizar contas partilhadas, acesso VPN persistente ou funções amplas na nuvem sem gravação de sessões.
Sexto, a evidência de privacidade está separada da evidência de segurança. O RGPD da UE exige proteção demonstrável dos dados pessoais, pelo que os controlos de identidade e acesso têm de estar ligados a categorias de dados e finalidades do tratamento.
Por fim, as exceções não estão documentadas. A confiança zero pode tolerar exceções se estiverem sujeitas a avaliação de risco, aprovadas, limitadas no tempo e monitorizadas. Não pode tolerar exceções invisíveis.
Crie o seu pacote de evidência de confiança zero com a Clarysec
A arquitetura de confiança zero em 2026 não é um slogan. É um modelo operacional de conformidade que liga identidade, dispositivos, aplicações, segmentação de rede, princípio do menor privilégio, monitorização contínua, controlo de fornecedores e salvaguardas de privacidade num único sistema auditável.
Se está a preparar a certificação ISO/IEC 27001:2022, a responder a pedidos de clientes sobre NIS2, a alinhar-se com a gestão do risco das TIC da DORA ou a demonstrar a segurança do tratamento prevista no Article 32 do RGPD da UE, comece pela rastreabilidade.
Utilize o Zenith Blueprint: An Auditor’s 30-Step Roadmap para mapear riscos de confiança zero no seu Registo de Riscos, plano de tratamento e SoA. Utilize o Zenith Controls: The Cross-Compliance Guide para alinhar controlo de acesso, gestão de identidades e monitorização com expectativas entre referenciais. Utilize a biblioteca de políticas da Clarysec, incluindo a Política empresarial de controlo de acesso, a Política empresarial de gestão de contas de utilizador e privilégios, a Política empresarial de segurança de redes, a Política empresarial de registo e monitorização, a Política empresarial de segurança da informação e a Política de proteção de dados e privacidade - PME, para transformar arquitetura em governação aplicável.
O próximo passo prático é selecionar um cenário de alto risco, como acesso privilegiado comprometido a dados de clientes, e construir uma cadeia completa de evidência de confiança zero em torno dele. Se conseguir demonstrar esse cenário de ponta a ponta, terá a base para um programa de confiança zero escalável, auditável e preparado para reguladores.
Descarregue os pacotes de políticas da Clarysec ou agende uma chamada estratégica para ver como o Zenith Blueprint e o Zenith Controls podem transformar a confiança zero de um risco de auditoria numa vantagem de conformidade.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


