Agendar diagnóstico →

← Recursos Segurança · PME 19 de Abril de 2026 7 min de leitura

Cibersegurança para PME — o mínimo viável.

A maior parte das PMEs portuguesas não tem ataques de filme. Tem phishing ao CFO, credenciais partilhadas entre três pessoas, backup que ninguém testou nos últimos dois anos. A cibersegurança útil não começa em firewalls — começa em quatro decisões simples que cobrem 80% do risco. Antes de NIS2 entrar em vigor sancionatório.

Há um género literário em cibersegurança que se especializou em assustar: listas de tipos de ataque, estatísticas dramáticas, guias com dez páginas sobre ransomware e APTs chinesas. O problema com esse género é que deixa o leitor com medo e sem ação — o espectro é demasiado largo para se priorizar.

Este artigo tem uma lente diferente: o que é que uma PME portuguesa de 20 a 200 colaboradores, com Cegid, com Microsoft 365, com um ou dois servidores em Azure, tem de fazer hoje para cobrir a esmagadora maioria do risco? Quatro decisões. Cada uma tem um custo operacional concreto, nenhuma é opcional.

Quatro decisões, por ordem

1. MFA em todos os utilizadores Microsoft 365 (Entra ID).
2. Microsoft Defender ativo nos endpoints.
3. Backup fora da rede com teste trimestral.
4. Plano de resposta em uma folha, treinado uma vez por ano.

1 — MFA em todos, sempre

A maior porta de entrada de incidentes em PMEs com Microsoft 365 é a combinação utilizador + palavra-passe sem segundo fator. Phishing para obter credenciais funciona em cerca de uma em cada cinco tentativas se a vítima tiver dia cansado. Com MFA ativo, a credencial sozinha deixa de ser suficiente — o atacante precisa de aprovar uma notificação na app Microsoft Authenticator no telemóvel do utilizador.

Configuração concreta no Entra ID:

  • Security Defaults ativos, ou política de Conditional Access que exige MFA para qualquer aplicação Microsoft 365 acedida de fora da rede corporativa.
  • Métodos aceites: Microsoft Authenticator como primeiro (mais seguro), SMS como fallback (menos, mas ainda melhor que nada), chaves FIDO2 para utilizadores-chave (CFO, CEO, administrador IT).
  • Sem exceções para "utilizador especial" — se uma conta de administração não tem MFA, é essa que vai ser comprometida. A única exceção defensável é uma conta break-glass com password muito longa e guardada em cofre físico.

Custo: incluído em qualquer licença Microsoft 365 Business Premium e superior. Configuração: 4–8 horas com um administrador que conhece Entra ID.

2 — Defender em todo o lado

Microsoft Defender cobre três áreas que interessam a uma PME: Defender for Endpoint (antivírus e EDR nos postos de trabalho e servidores), Defender for Office 365 (filtragem de phishing e anexos maliciosos em e-mail), e Defender for Cloud (hardening de recursos Azure).

Para a maior parte das PMEs, o que conta mesmo é Endpoint e Office 365. A dica operacional:

  • Endpoint em modo attack surface reduction ativo. Bloqueia automaticamente os vetores mais usados por ransomware — macros Office obscuras, processos filhos de navegador, credential theft.
  • Office 365 com Safe Links e Safe Attachments ativos. Links em e-mail são reescritos para passar por análise; anexos são detonados em ambiente isolado antes de chegar ao utilizador.
  • Alertas: configurar para chegarem a uma caixa monitorizada, não para o e-mail pessoal do administrador. Se não há ninguém a olhar para os alertas, não há segurança — há teatro.

Custo: incluído em Microsoft 365 Business Premium (Endpoint + Office) ou como add-on em planos inferiores. Configuração: 2 a 5 dias para PME média.

3 — Backup fora da rede, testado trimestralmente

O ataque de ransomware típico numa PME encripta os ficheiros locais, os partilhados da rede, e o backup se estiver na mesma rede. Por isso "backup" não basta — precisa de backup fora da rede, tipicamente em armazenamento imutável em Azure (Blob Storage com immutability policy) ou serviço equivalente.

O segundo ponto, ainda mais importante: testar o restauro. Um backup nunca testado é uma incerteza que só se resolve no pior momento possível. Recomendação operacional:

  • Trimestralmente: restauro de um conjunto de ficheiros escolhidos aleatoriamente para ambiente isolado. Verificar integridade.
  • Anualmente: restauro completo de uma máquina crítica (um servidor de ficheiros, por exemplo) para ambiente de contingência. Cronometrar o tempo de recuperação.

Custo Azure para uma PME de 50 colaboradores: tipicamente €40–€120/mês de armazenamento + egress. Configuração de backup Cegid + file shares + M365: 1 a 2 semanas de projeto.

4 — Plano de resposta em uma folha

Quando um incidente acontece — phishing bem-sucedido, ransomware, vazamento de base de dados — os primeiros 60 minutos determinam o impacto. Em PME sem plano, a primeira hora perde-se a descobrir quem sabe o quê. Com plano de uma folha, a primeira hora é de ação.

O plano mínimo tem quatro linhas:

  • Quem decide — nome concreto (CEO, COO, CFO) e nome do substituto se o primeiro estiver contactável.
  • Quem isola — nome do responsável IT interno ou contacto do parceiro externo. Desligar a rede, suspender contas comprometidas.
  • Quem comunica — clientes afetados, CNPD se há dados pessoais envolvidos (prazo de 72 horas em RGPD), CNCS se é incidente NIS2 (prazo de 24 h para notificação inicial).
  • Quem recupera — parceiro técnico que faz o restauro (interno ou externo). Contactar nas primeiras horas, não no dia seguinte.

O treino anual consiste em 90 minutos uma vez por ano: simular um cenário (por exemplo, ransomware descoberto ao domingo à noite) e fazer o grupo passar pelos quatro papéis. Não é teatro de consultoria — é prática.

O que NIS2 acrescenta a isto

O regime NIS2 (Diretiva UE 2022/2555, transposta em Portugal pelo DL 125/2025) está em vigor desde 3 de Abril de 2026 e fica plenamente sancionatório a partir de 3 de Abril de 2027. Para entidades essenciais ou importantes (critério de dimensão e sector), as quatro decisões acima tornam-se, na prática, mínimo obrigatório — somadas a:

  • Avaliação formal de risco documentada.
  • Política de gestão de incidentes escrita.
  • Política de gestão da cadeia de fornecimento (fornecedores IT).
  • Formação obrigatória à gestão de topo.
  • Notificação ao CNCS em 24 horas de incidente significativo.

Mais detalhe na página dedicada ao NIS2.

A seguir

Se nenhuma das quatro decisões acima está feita na vossa empresa, é porque há outras prioridades — e está tudo bem. Mas cada decisão em atraso é uma exposição crescente. Um diagnóstico de 30 minutos cobre o estado actual e entrega a sequência recomendada — qual decisão primeiro, qual a seguir, com que prazo. Sem alarmismo, sem upsell.

Fontes consultadas: Diretiva (UE) 2022/2555 — NIS2 · Decreto-Lei n.º 125/2025 (transposição) · Regulamento (UE) 2016/679 — RGPD · Documentação técnica Microsoft Entra ID, Defender for Endpoint e Defender for Office 365 · Boas práticas publicadas pelo CNCS (Centro Nacional de Cibersegurança).

Diagnóstico de segurança

Quatro decisões. Quais faltam?

30 minutos. Verificamos o estado de cada uma das quatro decisões, identificamos lacunas, entregamos a sequência recomendada para a vossa empresa.

Agendar diagnóstico → Ver serviço segurança

Continue a ler

Segurança e continuidade.

NIS2 · Regulatório 3 Abr 2027

NIS2 — DL 125/2025

Em vigor desde 3 Abril 2026; regime plenamente sancionatório a partir de 3 Abril 2027. Entidades essenciais, importantes, e o que cai sobre PMEs via cadeia de fornecimento.

Ver página →
Continuidade 6 min

Continuidade quando a corrente vai — lições de um apagão

Quem parou, quem não parou, e porquê. Sete pontos técnicos de resiliência.

Ler artigo →
Segurança Serviço

Segurança e Identidade

Defender, Entra ID, baseline de segurança e preparação NIS2. Um relatório mensal.

Ver serviço →