Quem acede a quê, com que prova de identidade e com que privilégios. A componente onde a maioria dos comprometimentos efetivamente acontece — e onde a auditoria produz alguns dos ganhos de risco mais imediatos.
A gestão de identidades e acessos (IAM) é, na prática, a fronteira mais explorada pelos atacantes. Credenciais comprometidas, privilégios excessivos e contas órfãs estão na origem de uma fração desproporcionada dos incidentes. Auditar esta componente é verificar se apenas as pessoas certas acedem aos recursos certos, pelo tempo certo e com a prova de identidade adequada.
A auditoria cobre todo o ciclo de vida da identidade — criação, alteração, revisão e revogação — e a robustez dos mecanismos de autenticação e autorização, com particular atenção às contas privilegiadas e aos acessos de terceiros.
Esta componente é avaliada à luz dos quadros de referência regulatórios e das normas técnicas internacionais aplicáveis.
Produto ou serviço minimamente viável relacionado: Revisão Rápida de Acessos Privilegiados — análise delimitada das contas privilegiadas e da cobertura de MFA.
Ver no catálogo de PMVA auditoria de cibersegurança não opera isolada. Liga o que a lei exige, o modo como se verifica o cumprimento, o conhecimento técnico do domínio e a transposição concreta da NIS2.
auditoriadeciberseguranca.pt acrescenta a dimensão específica da auditoria de cibersegurança, em todas as suas componentes e em todo o ciclo de vida da prestação.
Conhecer o ecossistemaDiga-nos qual a componente que pretende auditar e em que contexto regulatório se enquadra. Propomos um âmbito proporcional ao risco, com autorização expressa para os testes técnicos e total confidencialidade.