O que é, o que não é, a quem serve e por que razão se tornou uma exigência verificável. Os fundamentos da função, antes de qualquer trabalho.
A auditoria de cibersegurança é a actividade que confere credibilidade às afirmações de uma organização sobre a sua própria segurança. Sem auditoria, a postura de segurança é uma declaração de intenções; com auditoria, passa a ser uma garantia sustentada em evidência, suscetível de ser apresentada a um regulador, a um cliente, a um parceiro ou ao próprio órgão de administração.
É uma avaliação independente e objectiva, conduzida segundo uma metodologia formal, que compara a realidade observada com um referencial previamente definido. Recolhe evidência por exame documental, entrevista, observação e teste técnico; analisa essa evidência; e conclui sobre a conformidade, a eficácia e o risco residual de cada controlo. A conclusão é fundamentada e rastreável: cada afirmação remete para a evidência que a sustenta.
Não é uma consultoria de implementação, ainda que dela possa decorrer um plano de remediação. Não é um teste de intrusão isolado, embora o possa integrar. Não é uma inspeção de natureza sancionatória. E não é uma certificação, embora a prepare e a sustente. A independência face ao objeto auditado é a condição que separa a auditoria de todas estas figuras.
Serve primeiro o órgão de administração, sobre quem recai, ao abrigo da NIS2, a responsabilidade pela gestão do risco de cibersegurança. Serve a função de gestão de risco e a função de conformidade, a quem fornece evidência. Serve os reguladores sectoriais e o Centro Nacional de Cibersegurança, perante quem a organização tem de demonstrar diligência. E serve os clientes e parceiros, cada vez mais exigentes quanto à segurança da cadeia em que se inserem.
O auditor não avalia o que desenhou nem o que opera. A separação entre quem implementa e quem audita é estrutural e inegociável.
A auditoria técnica exige conhecimento técnico real. As conclusões são tão sólidas quanto a competência de quem recolhe e interpreta a evidência.
O conhecimento das vulnerabilidades de uma organização é informação sensível. Protege-se com o mesmo rigor que se exige àquilo que se audita.
O âmbito, a profundidade e os métodos ajustam-se ao risco, à dimensão e à criticidade — nem mais, nem menos do que o necessário.
Nenhuma conclusão sem prova. Toda a afirmação remete para evidência documentada, recolhida de forma metódica e verificável.
Os testes técnicos só ocorrem com autorização expressa e regras de empenhamento. A intrusão sem mandato é ilícita, não auditoria.
Veja como tudo se enquadra no ordenamento jurídico e nas normas internacionais.
Ver enquadramento normativoQuer avaliar a maturidade da sua cibersegurança, preparar-se para a NIS2, obter uma auditoria de conformidade ou externalizar a função? Diga-nos em que momento está. Respondemos com uma proposta de abordagem adequada ao seu perfil de risco, à sua dimensão e ao seu enquadramento regulatório.