🏛️ Gestão Executiva / CISO
Visão Geral
Gestão Executiva dá direção e garante condições de aplicação.
Sem patrocínio ao mais alto nível, segurança perde prioridade e recursos. CISO traduz estratégia em programas executáveis.
Responsabilidades Principais
- Patrocinam e asseguram condições de aplicação do SbD-ToE
- Definem orçamento e apoiam a escolha de ferramentas e formação
- Assumem responsabilidade final pela governação da segurança
- Tomam decisões estratégicas sobre risco residual
Contexto Organizacional
Este papel é central em NIS2 e DORA, que explicitamente atribuem ao órgão de gestão a responsabilidade pela supervisão e execução de medidas de cibersegurança e resiliência operacional digital.
Enquadramento Regulatório
NIS2 e DORA atribuem responsabilidade explícita ao órgão de gestão pela segurança digital e resiliência operacional.
Atividades por Capítulo
Cap. 01 - Classificação de Aplicações
Publicar políticas organizacionais formais (Classificação de Risco, Aceitação de Risco, Revisão Periódica, Rastreabilidade/Auditoria) para assegurar critérios uniformes.
User Stories:
- US-09: Políticas organizacionais formais — Operação uniforme e auditável
Cap. 02 - Requisitos de Segurança
Aprovar modelos de requisitos mínimos e publicar política de aplicação com formação para equipas técnicas.
User Stories:
- US-07: Publicação de política de aplicação — Procedimentos e SLAs claros (com GRC)
Cap. 04 - Arquitetura Segura
Estabelecer processo formal de aprovação de arquitetura para L3, com comité técnico ou governance review.
User Stories:
- US-15: Aprovação formal de arquitetura L3 — Mitigar riscos estruturais antes do go-live (com Arquitetos)
Cap. 05-09 - Tooling e Infraestrutura
Apoiar investimento em ferramentas (SCA, SAST, DAST, SBOM, policy engines) e processos automatizados.
Cap. 07 - CI/CD Seguro
Visualizar dashboard de métricas de CI/CD (cobertura, exceções, gate blocks, tempo remediação) para decisão informada.
User Stories:
- US-12: Dashboard de métricas CI/CD — Ação corretiva estratégica
Cap. 10 - Testes de Segurança
Estabelecer critérios de aceitação de segurança por release e processo de aceitação de risco residual.
User Stories:
- US-07: Critérios de aceitação por release — Decisões go/no-go informadas
Cap. 11 - Deploy e Operações
Decidir sobre riscos elevados em produção, garantir rastreabilidade commit → build → release → deploy.
User Stories:
- US-07: Rastreabilidade ponta-a-ponta — Auditar decisões de risco
Cap. 13 - Formação e Onboarding
Executar simulações de incidentes (war room) regularmente, definir KPIs de capacitação, garantir formação mínima para terceiros, definir trilho obrigatório por perfil de contractor.
User Stories:
- US-04: Simulações de incidentes (war room) — Validar processos de resposta (com GRC)
- US-11: KPIs de capacitação — Avaliar impacto real (com GRC)
- US-12: Formação mínima para terceiros — Cumprir NIS2/DORA (com GRC)
- US-13: Trilho formativo para contractors — SLA antes de acesso técnico (com Training Manager)
Cap. 14 - Governança e Contratação
Definir e monitorizar KPIs de governação, designar Security Champion por aplicação crítica, consolidar e reportar KPIs, formalizar modelo de governação com alçadas.
User Stories:
- US-01: KPIs de governação — Avaliar eficácia SbD-ToE
- US-05: Designação de Security Champion — Responsabilização clara
- US-08: Consolidação e reporte de KPIs — Avaliar maturidade organizacional
- US-09: Modelo de governação formal — Autoridade apropriada (com AppSec)
Referências aos Capítulos
Para contexto e enquadramento completo:
- Cap. 01 - Classificação de Aplicações
- Cap. 02 - Requisitos de Segurança
- Cap. 04 - Arquitetura Segura
- Cap. 05 - Dependências e SBOM
- Cap. 07 - CI/CD Seguro
- Cap. 09 - Containers e Imagens
- Cap. 10 - Testes de Segurança
- Cap. 11 - Deploy Seguro
- Cap. 12 - Monitorização e Operações
- Cap. 13 - Formação e Onboarding
- Cap. 14 - Governança e Contratação