⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Arquitetura de confiança zero em 2026: evidência pronta para auditoria

Igor Petreski
14 min read
Mapeamento de evidência de arquitetura de confiança zero para ISO 27001, NIS2, DORA e RGPD da UE

A auditoria de confiança zero de segunda-feira de manhã que ninguém tinha planeado

Às 08:12 de uma segunda-feira, o CISO de uma fintech SaaS europeia recebe três mensagens em cinco minutos.

A primeira vem de um cliente bancário: “Solicitamos o pacote de evidência da vossa arquitetura de confiança zero para a nossa revisão anual de terceiros de TIC.”

A segunda vem do departamento jurídico: “Podemos ser classificados como entidade importante ao abrigo da NIS2 num Estado-Membro, e alguns clientes estão a perguntar se a DORA se repercute sobre nós enquanto prestador de serviços de TIC.”

A terceira vem do responsável de engenharia: “Temos MFA, SSO, EDR, políticas de rede Kubernetes e alertas SIEM. Isso é confiança zero?”

É aqui que muitas organizações ficam bloqueadas. Têm ferramentas de segurança, mas não têm um modelo operacional de conformidade para confiança zero. Conseguem apontar para capturas de ecrã de MFA, mas não conseguem explicar como identidade, postura do dispositivo, princípio do menor privilégio, segmentação, monitorização, comunicação de incidentes, salvaguardas de privacidade e dependências de fornecedores se articulam. Conseguem demonstrar controlos, mas não rastreabilidade.

Em 2026, a arquitetura de confiança zero baseada no NIST SP 800-207 tem de ser mais do que “nunca confiar, verificar sempre”. Para CISO, responsáveis de conformidade, auditores e responsáveis de negócio, a pergunta prática é mais exigente:

Como transformamos a confiança zero em evidência que satisfaça a ISO/IEC 27001:2022, as expectativas de higiene de cibersegurança da NIS2, a gestão do risco das TIC da DORA, a segurança do tratamento prevista no Article 32 do RGPD da UE, a diligência prévia de clientes e a supervisão do conselho de administração?

A resposta não é outra ferramenta. É um modelo de evidência baseado no risco que liga política, controlos, implementação técnica, monitorização e responsabilização da gestão.

Confiança zero em 2026: da estratégia de segurança à evidência de conformidade

O NIST SP 800-207 define confiança zero como um conjunto de princípios para conceber e operar sistemas seguros nos quais a confiança nunca é implícita. O acesso é concedido com base na identidade, no contexto, na política, na postura do ativo e na avaliação contínua.

Os sete princípios NIST de confiança zero são particularmente úteis porque transformam um slogan de segurança vago em algo que pode ser mapeado, testado e auditado:

  1. Todas as fontes de dados e serviços computacionais são considerados recursos.
  2. Todas as comunicações são protegidas, independentemente da localização na rede.
  3. O acesso a recursos empresariais individuais é concedido por sessão.
  4. O acesso aos recursos é determinado por políticas dinâmicas, incluindo atributos de identidade, dispositivo, aplicação e comportamento.
  5. A organização monitoriza e mede a integridade e a postura de segurança de todos os ativos próprios e associados.
  6. Toda a autenticação e autorização de recursos é dinâmica e rigorosamente aplicada antes de permitir o acesso.
  7. A organização recolhe informação sobre ativos, infraestrutura e comunicações, e utiliza-a para melhorar a postura de segurança.

Para um prestador SaaS moderno, um banco digital, um prestador de serviços geridos ou uma plataforma nativa da nuvem, estes princípios traduzem-se em domínios práticos de controlo:

  • A identidade é verificada e governada.
  • Os dispositivos são avaliados antes de o acesso ser concedido.
  • O acesso privilegiado é minimizado e revisto.
  • Os caminhos de rede são segmentados e controlados.
  • As aplicações, API e repositórios de dados aplicam a autorização.
  • Registos e telemetria suportam monitorização contínua.
  • Os incidentes acionam contenção, reporte e recuperação.
  • A evidência demonstra que os controlos estão a operar, e não apenas que foram desenhados.

É neste último ponto que entra a conformidade.

A ISO/IEC 27001:2022 exige que as organizações definam o contexto, as partes interessadas, os requisitos legais e contratuais aplicáveis, o âmbito, as interfaces e as dependências. Exige também avaliação de riscos, tratamento de riscos, Declaração de Aplicabilidade, responsabilização da liderança, auditoria interna, revisão pela gestão e melhoria contínua.

A confiança zero encaixa naturalmente nessa estrutura quando é tratada como um sistema de controlos. Não deve ficar fora do SGSI como uma iniciativa de engenharia. Deve integrar a avaliação de riscos, a seleção de controlos, a governação de políticas, a gestão de fornecedores, a proteção da privacidade, a resposta a incidentes e o reporte ao conselho de administração.

A pressão regulamentar por trás da evidência de confiança zero

A pressão para apresentar evidência de confiança zero resulta normalmente da sobreposição de obrigações, e não de uma única norma.

A NIS2 pode aplicar-se a entidades públicas ou privadas dos setores do Anexo I ou do Anexo II que cumpram limiares de dimensão e atividade, e também pode aplicar-se a determinadas entidades mais pequenas mas críticas. O Anexo I inclui prestadores de serviços de computação em nuvem, prestadores de centros de dados, prestadores de redes de distribuição de conteúdos, prestadores de serviços de confiança, prestadores de serviços geridos, prestadores de serviços de segurança geridos, entidades bancárias e entidades de infraestruturas dos mercados financeiros. O Anexo II inclui prestadores digitais, como mercados em linha, motores de busca e plataformas de redes sociais.

O Article 20 da NIS2 torna a cibersegurança uma responsabilidade do órgão de gestão. O conselho de administração deve aprovar medidas de gestão de riscos de cibersegurança, supervisionar a implementação e receber formação em cibersegurança. O Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionadas que cubram análise de riscos, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, desenvolvimento seguro, tratamento de vulnerabilidades, avaliação da eficácia, higiene de cibersegurança, formação, criptografia, segurança de recursos humanos, controlo de acesso, gestão de ativos e, quando adequado, MFA ou autenticação contínua. O Article 23 introduz a comunicação faseada de incidentes significativos, incluindo alerta precoce em 24 horas, notificação em 72 horas e relatório final.

A DORA aplica-se desde 17 de janeiro de 2025 e cria um regime uniforme de resiliência operacional digital para entidades financeiras. Abrange gestão do risco das TIC, comunicação de incidentes graves relacionados com TIC, testes de resiliência operacional, partilha de informações sobre ameaças e risco de terceiros de TIC. Os Articles 5 e 6 da DORA exigem governação e um quadro documentado de gestão do risco das TIC. O Article 9 aborda proteção e prevenção, incluindo políticas, procedimentos, protocolos e ferramentas para proteger sistemas de TIC. O Article 17 exige um processo de gestão de incidentes relacionados com TIC.

O RGPD da UE aplica-se ao tratamento no contexto de um estabelecimento na UE e também a responsáveis pelo tratamento ou subcontratantes fora da UE que ofereçam bens ou serviços a pessoas na UE ou monitorizem o seu comportamento. O Article 5 do RGPD da UE exige responsabilização. O Article 32 exige medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco. O Article 33 exige a notificação de violação de dados pessoais à autoridade de controlo sem demora injustificada e, sempre que possível, no prazo de 72 horas após tomar conhecimento da violação.

Um modelo de evidência de confiança zero ajuda porque o mesmo controlo pode suportar múltiplos referenciais. A MFA pode suportar o controlo de acesso da ISO/IEC 27001:2022, medidas de autenticação da NIS2, requisitos de proteção da DORA e segurança do tratamento do RGPD da UE. Mas apenas se a organização conseguir demonstrar âmbito, propriedade, implementação, monitorização e revisão.

Mapeamento dos princípios NIST de confiança zero para os controlos ISO/IEC 27001:2022

Os controlos do Anexo A da ISO/IEC 27001:2022, suportados pelas orientações de implementação da ISO/IEC 27002:2022, fornecem a linguagem de auditoria de que a maioria das organizações necessita. A tabela abaixo traduz os princípios NIST de confiança zero em áreas de controlo ISO reconhecidas pelos auditores.

Princípio NIST SP 800-207 de confiança zeroPrincípio essencial de confiança zeroControlos relevantes do Anexo A da ISO/IEC 27001:2022
Todas as fontes de dados e serviços computacionais são recursosIdentificação de ativos e dadosA.5.9 Inventário de informação e outros ativos associados, A.5.10 Utilização aceitável de informação e outros ativos associados, A.5.12 Classificação da informação
Todas as comunicações são protegidas, independentemente da localização na redeComunicação segura e canais cifradosA.8.20 Segurança de redes, A.8.22 Segregação de redes, A.8.24 Utilização de criptografia
O acesso é concedido por sessãoAutenticação e autorização baseadas na sessãoA.5.17 Informação de autenticação, A.8.5 Autenticação segura
O acesso é determinado por políticas dinâmicasAcesso contextual e baseado no princípio do menor privilégioA.5.15 Controlo de acesso, A.5.18 Direitos de acesso, A.8.3 Restrição de acesso à informação
A integridade dos ativos e a postura de segurança são monitorizadasVerificação da postura de endpoints e cargas de trabalhoA.8.1 Dispositivos endpoint de utilizador, A.8.8 Gestão de vulnerabilidades técnicas
A autenticação e a autorização são dinâmicas e rigorosamente aplicadasCiclo de vida da identidade e gestão de acessos privilegiadosA.5.16 Gestão de identidades, A.8.2 Direitos de acesso privilegiado, A.8.5 Autenticação segura
A informação é recolhida para melhorar a postura de segurançaMonitorização contínua, registo e melhoriaA.8.15 Registo, A.8.16 Atividades de monitorização, A.8.23 Filtragem Web

Este mapeamento não é apenas um exercício de desenho técnico. Passa a ser a estrutura do Registo de Riscos, da Declaração de Aplicabilidade, do pacote de evidência e da agenda de revisão pela gestão.

Por exemplo, um cenário de risco como “conta de programador comprometida altera código de produção e acede a dados de clientes” deve mapear para gestão de identidades, MFA, acesso privilegiado, segregação de redes, registo, monitorização, desenvolvimento seguro, gestão de alterações e resposta a incidentes. Esse único cenário pode suportar a ISO/IEC 27001:2022, o Article 21 da NIS2, a gestão do risco das TIC da DORA e o Article 32 do RGPD da UE.

A stack de controlos de confiança zero da Clarysec

A Clarysec estrutura a confiança zero em torno de cinco domínios de evidência: identidade, dispositivo, rede, aplicação e dados, com monitorização e governação transversais aos cinco.

A base é o controlo de acesso e a gestão de identidades. Em Zenith Controls: The Cross-Compliance Guide, o controlo 5.15 da ISO/IEC 27002:2022, Controlo de acesso, é classificado como controlo preventivo que suporta confidencialidade, integridade e disponibilidade, alinhado com o conceito de cibersegurança Protect e a capacidade de gestão de identidades e acessos. O controlo 5.16, Gestão de identidades, também é preventivo e está associado às mesmas propriedades CID e à capacidade IAM. O controlo 8.16, Atividades de monitorização, é classificado como detetivo e corretivo, suportando Detect e Respond através da gestão de eventos de segurança da informação.

Esta combinação é importante. A confiança zero não é apenas controlo de acesso. É controlo de acesso mais ciclo de vida da identidade, mais postura do dispositivo, mais segregação de redes, mais monitorização, mais resposta.

As cláusulas das políticas da Clarysec transformam esse modelo em governação aplicável.

Da Política empresarial de controlo de acesso, secção Objetivos, cláusula 3.4:

Apoiar os princípios de confiança zero ao negar o acesso por defeito, salvo quando explicitamente aprovado e justificado.

Da Política empresarial de gestão de contas de utilizador e privilégios, secção Requisitos de implementação da política, cláusula 6.2.1:

Todos os utilizadores devem receber o nível mínimo de acesso necessário para desempenhar as suas funções.

Da Política empresarial de segurança de redes, secção Requisitos de governação, cláusula 5.2:

Todo o tráfego entre zonas deve ser controlado por firewalls ou por soluções de perímetro definido por software, com configurações explícitas de negação por defeito.

Da Política empresarial de registo e monitorização, secção Objetivos, cláusula 3.4:

Estabelecer sistemas de registo centralizado e de alerta (por exemplo, SIEM) para agregar, correlacionar e escalar atividade suspeita em tempo quase real.

Da Política empresarial de segurança da informação, secção Requisitos de implementação da política, cláusula 6.6.1:

Todos os controlos implementados devem ser auditáveis, suportados por procedimentos documentados e por evidência retida da sua operação.

Para PME, a mesma intenção de governação pode ser implementada com documentação de políticas mais leve. A Política de gestão de contas de utilizador e privilégios - PME, secção Objetivos, cláusula 3.2, estabelece:

Aplicar o princípio do menor privilégio, assegurando que os utilizadores recebem apenas o nível mínimo de acesso necessário para desempenhar as suas funções.

A Política de controlo de acesso - PME, secção Requisitos de governação, cláusula 5.4.3, acrescenta:

As contas privilegiadas devem utilizar autenticação multifator (MFA) quando suportado.

A Política de segurança de redes - PME, secção Requisitos de implementação da política, cláusula 6.2.3, estabelece:

O tráfego entre segmentos deve ser filtrado, e o acesso entre segmentos deve seguir o princípio do menor privilégio.

A Política de registo e monitorização - PME, secção Finalidade, cláusula 1.3, explica:

O registo e a monitorização suportam a deteção de ameaças, a conformidade regulamentar, a comunicação e gestão de incidentes e a análise forense.

Para confiança zero orientada pela privacidade, a Política de proteção de dados e privacidade - PME, secção Requisitos de governação, cláusula 5.3.2, estabelece:

O acesso dos utilizadores a dados pessoais deve limitar-se a funções com necessidade de negócio documentada.

Estas cláusulas criam âncoras de auditoria. Um auditor pode testar se o acesso é negado por defeito, se o privilégio é minimizado, se o tráfego entre zonas é controlado, se os registos são centralizados e se a evidência é retida.

Mapa de evidência de confiança zero entre referenciais

Um modelo robusto de evidência de confiança zero deve evitar capturas de ecrã fragmentadas. A evidência deve demonstrar governação, desenho, implementação, monitorização e revisão.

Capacidade de confiança zeroEvidência ISO/IEC 27001:2022 e ISO/IEC 27002:2022Evidência NIS2Evidência DORAEvidência RGPD da UE
Verificação e ciclo de vida da identidadeÂmbito do SGSI, Registo de Riscos, entradas da SoA para A.5.15 e A.5.16, registos de admissões, alterações de função e desligamentosMedidas do Article 21 para segurança de recursos humanos, controlo de acesso e gestão de ativosGovernação de ativos de TIC e de acessos de utilizadores no quadro de risco das TICAcesso limitado a funções autorizadas, registos de responsabilização do responsável pelo tratamento
MFA e autenticação contínuaPolítica de controlo de acesso, procedimento de acesso privilegiado, relatórios de aplicação de MFAMedidas do Article 21 para MFA ou autenticação contínua, quando adequadoControlos que suportam acesso seguro a sistemas de TIC e funções críticasEvidência de segurança do tratamento do Article 32 para acesso a dados pessoais
Postura do dispositivo e confiança no endpointInventário de ativos, configuração de referência de endpoints, cobertura EDR, aprovações de exceçõesHigiene de cibersegurança, tratamento de vulnerabilidades e políticas de sistemas segurosInventário de ativos de TIC, testes de resiliência, monitorização de sistemas de TICProteção contra tratamento não autorizado ou ilícito a partir de endpoints comprometidos
Segmentação de rede e microssegmentaçãoDiagramas de rede, regras de firewall, resultados de testes de segmentação, registos de alteraçõesMedidas para prevenir ou minimizar o impacto de incidentes e suportar a continuidade de negócioArquitetura de referência, tolerância ao impacto, testes de sistemas críticosIsolamento de dados, minimização do âmbito da violação
Princípio do menor privilégio em aplicações e APIMatrizes RBAC ou ABAC, políticas IAM na nuvem, âmbitos de tokens, revisões de acesso a APIAquisição, desenvolvimento e manutenção seguros, tratamento de vulnerabilidadesMapeamento de funções suportadas por TIC e documentação de dependênciasLimitação da finalidade, acesso a dados pessoais baseado em necessidade de negócio
Monitorização e deteção contínuasCasos de utilização SIEM, triagem de alertas, procedimento de monitorização, registos de incidentesTratamento de incidentes e preparação para comunicação de incidentes significativosClassificação de incidentes, escalonamento de gestão e ciclo de vida de reporteDeteção de violação de dados pessoais e evidência de responsabilização
Confiança em fornecedores e na nuvemAcordos com fornecedores, plano de saída da nuvem, monitorização de fornecedores, mapeamento de responsabilidade partilhadaSegurança da cadeia de fornecimento para fornecedores diretos e prestadores de serviçosEstratégia de risco de terceiros de TIC, registo de contratos de TIC, direitos de auditoria e planos de saídaDiligência prévia de subcontratantes, salvaguardas contratuais e controlos de segurança

Esta tabela é o núcleo de um programa de confiança zero adequado ao conselho de administração. Mostra como um único ambiente de controlos pode suportar múltiplas exigências de garantia sem criar pacotes de evidência separados para cada referencial.

Utilizar o Zenith Blueprint para criar rastreabilidade

O Zenith Blueprint: An Auditor’s 30-Step Roadmap da Clarysec foi desenhado para impedir que a confiança zero se torne uma filosofia de engenharia não documentada. Na fase de Gestão de Riscos, passo 13, Planeamento do tratamento de riscos e Declaração de Aplicabilidade, explica:

A SoA é, na prática, um documento de ligação: liga a sua avaliação/tratamento de riscos aos
controlos reais que tem. Ao concluí-la, também confirma se deixou algum controlo por considerar.

O mesmo passo recomenda mapear controlos para riscos, adicionar referências de controlos do Anexo A às entradas de tratamento de riscos e cruzar regulamentos como o RGPD da UE, NIS2 ou DORA quando os controlos são implementados para satisfazer essas obrigações.

Para a confiança zero, esta é a ponte em falta. Se um auditor perguntar por que razão implementou acesso condicional, a resposta não deve ser “porque a confiança zero o exige”. Uma resposta melhor é:

  • O cenário de risco é acesso não autorizado a dados de clientes através de credenciais comprometidas.
  • O responsável pelo risco é o CTO ou o responsável de engenharia.
  • O tratamento inclui SSO, MFA, acesso condicional, validação da postura de endpoints, princípio do menor privilégio, segmentação e monitorização.
  • A SoA mapeia o tratamento para controlo de acesso, gestão de identidades, registo, monitorização, criptografia, gestão de vulnerabilidades e gestão de serviços na nuvem.
  • O mesmo tratamento suporta o Article 21 da NIS2, a gestão do risco das TIC da DORA e o Article 32 do RGPD da UE.
  • A evidência inclui cláusulas de políticas, revisões de acessos, alertas SIEM, relatórios de postura EDR, regras de firewall, exportações IAM, exercícios de incidentes e atas de revisão pela gestão.

É assim que a arquitetura de confiança zero se torna pronta para auditoria.

Confiança no endpoint, API e segregação de redes na prática

A confiança zero falha frequentemente porque as organizações se concentram na identidade e ignoram o contexto do dispositivo, da carga de trabalho, dos dados e da rede.

O passo 19 do Zenith Blueprint, Controlos tecnológicos I, explica claramente o requisito de postura do endpoint:

O acesso à informação através de endpoints deve ser contextual. Por exemplo, o dispositivo
cumpre as normas mínimas de segurança antes de aceder aos recursos da empresa? Passou
recentemente uma análise de malware? Está a ligar-se a partir de uma localização ou rede
invulgar? Integrada com os princípios de confiança zero, a postura do endpoint pode alimentar
o acesso condicional, recusando a entrada até que o dispositivo prove que é seguro.

Isto transforma o dispositivo em parte da decisão de autorização. Uma palavra-passe válida a partir de um portátil não gerido não deve ser tratada da mesma forma que uma autenticação válida a partir de um endpoint corporativo conforme, cifrado e monitorizado.

O mesmo passo sublinha que as restrições de acesso se aplicam a aplicações, serviços e API, não apenas a utilizadores:

As restrições de acesso também devem ser aplicadas a aplicações, serviços e Interfaces de Programação de Aplicações, e não apenas a pessoas.
Por exemplo, um microsserviço pode precisar apenas de acesso de leitura a uma tabela de base de dados, e não de direitos CRUD
completos. Uma ferramenta de cópia de segurança pode precisar apenas de acesso a buckets de armazenamento específicos, e não a todos os recursos do tenant.

Esta orientação é crítica para ambientes nativos da nuvem. Âmbitos de API, contas de serviço, identidades de cargas de trabalho, funções Kubernetes e políticas IAM na nuvem devem seguir o princípio do menor privilégio. O acesso humano é apenas uma parte da superfície de controlo.

O passo 20 do Zenith Blueprint aborda a segregação de redes:

A segregação é um dos princípios mais antigos e eficazes em cibersegurança: limitar a
propagação, reduzir o risco e conter o dano
. O controlo 8.22 centra-se na segregação de redes,
a prática de separar sistemas, serviços e utilizadores em diferentes zonas lógicas ou
físicas para prevenir acesso não autorizado e restringir a movimentação lateral em caso de
comprometimento.

Isto é crítico para a resiliência DORA e NIS2. Uma rede de confiança zero deve assumir que uma conta, carga de trabalho ou endpoint pode ser comprometido. A segmentação impede que um evento local se transforme num incidente sistémico.

Um pacote de evidência de confiança zero em 10 dias

Imagine uma fintech SaaS que fornece análise de fraude a bancos. Trata dados pessoais, utiliza infraestrutura na nuvem, depende de Kubernetes gerido, integra-se com API de clientes e utiliza um fornecedor de identidade terceiro. Um cliente pede evidência de confiança zero, e a empresa tem dez dias úteis.

Um sprint prático de evidência Clarysec seria assim.

CronologiaAçãoEvidência produzida
Dia 1 a 2Definir o âmbito de confiança zero em contas de produção na nuvem, fornecedor de identidade, CI/CD, postos de trabalho de administradores, gateway de API de clientes, data warehouse, SIEM, EDR e fornecedores críticosDeclaração de âmbito, mapa de dependências, diagrama de perímetro
Dia 3Construir rastreabilidade risco-controlo utilizando o passo 13 do Zenith BlueprintEntradas do Registo de Riscos, plano de tratamento, mapeamentos SoA
Dia 4 a 5Aplicar cláusulas de políticas empresariais ou para PME e documentar exceçõesPolíticas aprovadas, Registo de Exceções, registos de aceitação do risco
Dia 6 a 7Recolher evidência técnicaRelatórios MFA, políticas de acesso condicional, registos PAM, painéis de endpoints, regras de firewall, políticas de rede Kubernetes, exportações IAM, casos de utilização SIEM
Dia 8Adicionar evidência de privacidade e proteção de dadosMatriz função-dados, registos de tratamento, evidência de cifragem, regras de retenção, procedimento de escalonamento de violação
Dia 9Adicionar camadas NIS2 e DORAMapeamento do Article 21, preparação para reporte de incidentes, mapa de funções de TIC, registo centralizado de fornecedores, evidência de plano de saída
Dia 10Criar o resumo executivoNarrativa adequada ao conselho de administração, resumo de risco residual, roteiro de melhoria

O objetivo não é fingir que a organização alcançou confiança zero perfeita em dez dias. O objetivo é criar uma cadeia de evidência defensável para os riscos mais importantes e demonstrar que o programa é governado, mensurável e está a melhorar.

Como diferentes auditores irão testar a confiança zero

Um erro comum é preparar uma narrativa técnica única e assumir que todos os auditores farão as mesmas perguntas. Não farão.

Um auditor ISO/IEC 27001:2022 procurará o sistema de gestão. Perguntará se os riscos de confiança zero estão incluídos na avaliação de riscos, se os tratamentos estão aprovados, se a SoA está completa, se as políticas são documentos controlados, se ocorrem revisões de acessos, se as auditorias internas testam os controlos e se as revisões pela gestão acompanham o desempenho.

Um revisor DORA perguntará se os controlos de confiança zero fazem parte do quadro documentado de gestão do risco das TIC. Esperará inventários de ativos e dependências, mapeamento de funções críticas ou importantes, classificação de incidentes, escalonamento para o conselho de administração, testes, requisitos contratuais de terceiros, direitos de auditoria, estratégias de saída e acompanhamento de remediação.

Um avaliador NIS2 focar-se-á na responsabilização do órgão de gestão, nas medidas de gestão de riscos de cibersegurança do Article 21 e na preparação para comunicação de incidentes do Article 23. Também esperará evidência de que a segurança da cadeia de fornecimento, a continuidade de negócio, o tratamento de vulnerabilidades, o controlo de acesso e a higiene de cibersegurança são geridos.

Um revisor do RGPD da UE ou auditor de privacidade perguntará se o acesso a dados pessoais é necessário, documentado, limitado, monitorizado e alinhado com as finalidades do tratamento. Examinará os papéis de responsável pelo tratamento e subcontratante, a deteção de violação de dados pessoais, o acesso baseado em funções, a cifragem, a pseudonimização quando adequada, a retenção e a responsabilização.

Perspetiva do auditorPergunta provávelEvidência que responde
Auditor ISO/IEC 27001:2022A confiança zero é baseada no risco, aprovada e refletida na SoA?Registo de Riscos, SoA, plano de tratamento de riscos, aprovações de políticas, atas de revisão pela gestão
Avaliador NIST CSFOs resultados de governação, identidade, proteção, deteção, resposta e recuperação estão integrados?Perfil CSF, plano de lacunas, controlos IAM, casos de utilização de registo, playbooks de resposta, testes de recuperação
Revisor DORAA confiança zero suporta a gestão do risco das TIC e a resiliência de funções críticas?Inventário de ativos de TIC, mapa de dependências, programa de testes, classificação de incidentes, registo centralizado de fornecedores
Auditor RGPD da UE/privacidadeO acesso a dados pessoais é limitado e comprovadamente protegido?Matriz função-dados, revisões de acessos, evidência de cifragem, procedimentos de violação, registos de tratamento
Auditor COBIT 2019/ISACAAs responsabilidades, métricas e desempenho dos controlos são governados?RACI, KPIs, Registo de Exceções, constatações de auditoria, rastreador de remediação

O mesmo controlo pode satisfazer múltiplas perguntas, mas apenas se a evidência estiver organizada.

Fornecedores, nuvem e risco de terceiros de TIC

A confiança zero não termina na firewall e, em ambientes de nuvem, pode nem existir um perímetro tradicional de firewall. Fornecedores de identidade, plataformas de nuvem, ferramentas CI/CD, prestadores de deteção gerida, processadores de pagamento, gateways de API e equipas de desenvolvimento externalizado tornam-se todos parte do tecido de confiança.

O Article 21 da NIS2 inclui explicitamente a segurança da cadeia de fornecimento para fornecedores diretos e prestadores de serviços, incluindo vulnerabilidades de fornecedores, resiliência de produtos e serviços, práticas de cibersegurança de fornecedores e procedimentos de desenvolvimento seguro.

A DORA exige que o risco de terceiros de TIC seja gerido como parte do quadro de gestão do risco das TIC, com um registo de contratos de serviços de TIC, diligência prévia pré-contratual, avaliação de criticidade, risco de concentração, requisitos contratuais de segurança, assistência em incidentes, cooperação com autoridades, direitos de auditoria, direitos de cessação, estratégias de saída e planos de transição.

Para a confiança zero, a regra prática é simples: não confie numa ligação de fornecedor apenas porque é contratual. Exija controlos técnicos e evidência.

Uma integração de API de cliente deve ter tokens com âmbito definido, limites de taxa, monitorização, rotação, propriedade e revogação. Um prestador de serviços geridos deve utilizar MFA, contas nominativas de utilizador, princípio do menor privilégio, registo de sessões e acesso limitado no tempo. Uma relação com um prestador de serviços de nuvem deve incluir mapeamento de responsabilidade partilhada, configuração de cifragem, retenção de registos, testes de cópia de segurança e planeamento de saída.

É por isso que a evidência de fornecedores e de nuvem deve estar dentro do modelo de confiança zero, e não numa pasta de contratação separada.

Métricas que demonstram que a confiança zero está a operar

Os conselhos de administração e os auditores não querem apenas diagramas de arquitetura. Querem evidência operacional e tendências de melhoria.

Métricas úteis de confiança zero incluem:

  • Percentagem de contas privilegiadas protegidas por MFA.
  • Percentagem de utilizadores abrangidos por acesso condicional.
  • Número de contas privilegiadas permanentes em comparação com contas just-in-time.
  • Número de revisões de acessos em atraso.
  • Percentagem de endpoints conformes com os requisitos de postura.
  • Cobertura EDR em ativos críticos.
  • Número de tentativas de acesso negadas devido a risco do dispositivo ou da localização.
  • Tempo médio até à deteção de atividade privilegiada suspeita.
  • Tempo médio até à revogação de acessos após cessação.
  • Percentagem de regras de firewall entre zonas revistas no último trimestre.
  • Número de fornecedores críticos com evidência de segurança atualizada.
  • Número de exceções de confiança zero para além da data de remediação.
  • Percentagem de aplicações críticas que enviam registos para o SIEM.
  • Resultados de simulações de incidentes para comprometimento de credenciais.

Estas métricas suportam a melhoria contínua da ISO/IEC 27001:2022, a avaliação da eficácia da NIS2, as expectativas de testes e remediação da DORA e a responsabilização do RGPD da UE.

Falhas comuns na evidência de confiança zero

As falhas mais frequentes não são causadas por falta de ferramentas. São causadas por fraca rastreabilidade.

Primeiro, as organizações implementam MFA mas não conseguem demonstrar que as contas privilegiadas estão totalmente cobertas. Contas de serviço, contas break-glass e contas de administrador local ficam frequentemente fora do controlo.

Segundo, as revisões de acessos são executadas manualmente, mas não estão associadas a funções de negócio, sensibilidade dos dados ou responsáveis pelo risco. A evidência mostra que alguém clicou em “revisto”, não que o acesso desnecessário foi removido.

Terceiro, a segmentação de rede existe nos diagramas, mas não em regras testadas. Os auditores perguntarão se o acesso entre segmentos é negado por defeito e se as exceções estão aprovadas.

Quarto, os registos são recolhidos mas não são acionáveis. Um SIEM sem casos de utilização definidos, triagem de alertas e procedimentos de resposta não demonstra monitorização contínua.

Quinto, o acesso de fornecedores não é gerido. Os fornecedores podem utilizar contas partilhadas, acesso VPN persistente ou funções amplas na nuvem sem gravação de sessões.

Sexto, a evidência de privacidade está separada da evidência de segurança. O RGPD da UE exige proteção demonstrável dos dados pessoais, pelo que os controlos de identidade e acesso têm de estar ligados a categorias de dados e finalidades do tratamento.

Por fim, as exceções não estão documentadas. A confiança zero pode tolerar exceções se estiverem sujeitas a avaliação de risco, aprovadas, limitadas no tempo e monitorizadas. Não pode tolerar exceções invisíveis.

Crie o seu pacote de evidência de confiança zero com a Clarysec

A arquitetura de confiança zero em 2026 não é um slogan. É um modelo operacional de conformidade que liga identidade, dispositivos, aplicações, segmentação de rede, princípio do menor privilégio, monitorização contínua, controlo de fornecedores e salvaguardas de privacidade num único sistema auditável.

Se está a preparar a certificação ISO/IEC 27001:2022, a responder a pedidos de clientes sobre NIS2, a alinhar-se com a gestão do risco das TIC da DORA ou a demonstrar a segurança do tratamento prevista no Article 32 do RGPD da UE, comece pela rastreabilidade.

Utilize o Zenith Blueprint: An Auditor’s 30-Step Roadmap para mapear riscos de confiança zero no seu Registo de Riscos, plano de tratamento e SoA. Utilize o Zenith Controls: The Cross-Compliance Guide para alinhar controlo de acesso, gestão de identidades e monitorização com expectativas entre referenciais. Utilize a biblioteca de políticas da Clarysec, incluindo a Política empresarial de controlo de acesso, a Política empresarial de gestão de contas de utilizador e privilégios, a Política empresarial de segurança de redes, a Política empresarial de registo e monitorização, a Política empresarial de segurança da informação e a Política de proteção de dados e privacidade - PME, para transformar arquitetura em governação aplicável.

O próximo passo prático é selecionar um cenário de alto risco, como acesso privilegiado comprometido a dados de clientes, e construir uma cadeia completa de evidência de confiança zero em torno dele. Se conseguir demonstrar esse cenário de ponta a ponta, terá a base para um programa de confiança zero escalável, auditável e preparado para reguladores.

Descarregue os pacotes de políticas da Clarysec ou agende uma chamada estratégica para ver como o Zenith Blueprint e o Zenith Controls podem transformar a confiança zero de um risco de auditoria numa vantagem de conformidade.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Governação do acesso remoto seguro e de VPN para NIS2 e DORA

Governação do acesso remoto seguro e de VPN para NIS2 e DORA

O acesso remoto deixou de ser um tema exclusivamente de TI. Em 2026, VPN, MFA, acesso de fornecedores, postura de endpoint, registo e evidência de aplicação de patches devem satisfazer auditores ISO 27001, a responsabilização da gestão prevista na NIS2, as regras de gestão do risco das TIC da DORA e as obrigações de segurança do Article 32 do GDPR da UE.

Governação da segurança de pipelines CI/CD para auditorias em 2026

Governação da segurança de pipelines CI/CD para auditorias em 2026

Um guia prático para Diretores de Segurança da Informação sobre a governação de pipelines CI/CD como sistemas auditáveis da cadeia de fornecimento de software, com proveniência de build, runners endurecidos, artefactos assinados, evidência de implementação e mapeamentos de políticas Clarysec.