Início
A Auditoria de Cibersegurança
A Auditoria de CibersegurançaEnquadramento NormativoDomínios e ComponentesTipologias de AuditoriaMetodologia e Ciclo de Vida
Componentes
Governação e Gestão de RiscoIdentidades e Acessos (IAM)Redes e InfraestruturaAplicações e DevSecOpsSegurança CloudOT, ICS e IoTResposta a Incidentes e ResiliênciaCadeia de FornecimentoRed Team e Testes de Intrusão
Serviços e Ciclo de Vida
Diagnóstico e MaturidadeAuditoria de ConformidadeAuditoria Técnica e TestesImplementação da FunçãoAuditoria de Ciber as a ServiceCatálogo de PMV
Ecossistema
Sectores e Entidades Formação e Capacitação Articulação Ecossistémica Recursos e Documentação Contacto
Componente C8 · Cadeia de fornecimento

Segurança da cadeia de fornecimento

Risco de terceiros, fornecedores críticos, cláusulas contratuais e monitorização. A componente que reconhece que a segurança de uma organização é, hoje, indissociável da segurança de quem a serve.

A NIS2 elevou a segurança da cadeia de fornecimento a obrigação explícita: a organização responde também pelo risco que os seus fornecedores lhe transmitem. Auditar esta componente é verificar se a organização conhece os seus fornecedores críticos, se avalia o risco que representam e se dispõe de mecanismos contratuais e de monitorização adequados.

O trabalho cobre o processo de gestão de risco de terceiros, desde a seleção e a contratação à monitorização contínua e à gestão da cessação.

O que auditamos

  • Inventário e classificação de fornecedores por criticidade;
  • Processo de avaliação de risco de terceiros (due diligence);
  • Cláusulas contratuais de segurança e de notificação;
  • Monitorização contínua dos fornecedores críticos;
  • Dependências de quarta parte e concentração de risco;
  • Gestão da cessação e da reversibilidade.

Como auditamos

  • Revisão do processo de gestão de risco de terceiros;
  • Análise da carteira de fornecedores e da sua criticidade;
  • Verificação das cláusulas contratuais de segurança;
  • Avaliação dos mecanismos de monitorização e de reporte;
  • Análise de concentração e de dependências críticas.
Referenciais

Enquadramento normativo e técnico

Esta componente é avaliada à luz dos quadros de referência regulatórios e das normas técnicas internacionais aplicáveis.

NIS2ISO/IEC 27001 · A.5.19-23ISO/IEC 27036NIST CSF · GovernNIST SP 800-161DORA (quando aplicável)
Resultados

O que entregamos

Produto ou serviço minimamente viável relacionado: Avaliação de Fornecedores Críticos — análise delimitada do risco dos fornecedores mais críticos.

Ver no catálogo de PMV
Articulação ecossistémica

Uma peça do continuum regulatório e técnico

A auditoria de cibersegurança não opera isolada. Liga o que a lei exige, o modo como se verifica o cumprimento, o conhecimento técnico do domínio e a transposição concreta da NIS2.

regimesjuridicos.pt — a norma auditorias.pt — o processo ciberseguranca.net — o domínio dnis2.pt — a NIS2

auditoriadeciberseguranca.pt acrescenta a dimensão específica da auditoria de cibersegurança, em todas as suas componentes e em todo o ciclo de vida da prestação.

Conhecer o ecossistema
Iniciar contacto

Falemos sobre a sua auditoria de cibersegurança

Diga-nos qual a componente que pretende auditar e em que contexto regulatório se enquadra. Propomos um âmbito proporcional ao risco, com autorização expressa para os testes técnicos e total confidencialidade.

Correio electrónicogeral@auditoriadeciberseguranca.pt
Telefone(+351) 213 243 750
PresençaLisboa · Porto