Início
A Auditoria de Cibersegurança
A Auditoria de CibersegurançaEnquadramento NormativoDomínios e ComponentesTipologias de AuditoriaMetodologia e Ciclo de Vida
Componentes
Governação e Gestão de RiscoIdentidades e Acessos (IAM)Redes e InfraestruturaAplicações e DevSecOpsSegurança CloudOT, ICS e IoTResposta a Incidentes e ResiliênciaCadeia de FornecimentoRed Team e Testes de Intrusão
Serviços e Ciclo de Vida
Diagnóstico e MaturidadeAuditoria de ConformidadeAuditoria Técnica e TestesImplementação da FunçãoAuditoria de Ciber as a ServiceCatálogo de PMV
Ecossistema
Sectores e Entidades Formação e Capacitação Articulação Ecossistémica Recursos e Documentação Contacto
Componente C1 · Governação e gestão de risco

Governação e gestão de risco

A camada que sustenta todas as outras. Sem governação, os controlos técnicos são ilhas; com ela, formam um sistema coerente, dirigido pelo órgão de administração e proporcional ao risco.

Auditar a governação da cibersegurança é avaliar se a organização sabe o que tem de proteger, quem responde por isso e com que meios. É a primeira componente porque condiciona todas as demais: a melhor tecnologia não compensa a ausência de uma estratégia, de papéis claros e de uma gestão de risco estruturada.

Com a NIS2, esta componente ganhou peso jurídico: a responsabilidade pela gestão do risco de cibersegurança recai diretamente sobre o órgão de administração, que tem de aprovar as medidas, supervisionar a sua execução e demonstrar formação adequada. A auditoria verifica precisamente essa diligência.

O que auditamos

  • Estratégia e política de segurança da informação e respetiva aprovação pelo órgão de administração;
  • Estrutura de papéis e responsabilidades, incluindo a função de CISO ou equivalente;
  • Processo de gestão de risco: identificação, avaliação, tratamento e aceitação;
  • Apetite e tolerância ao risco, definidos e comunicados;
  • Métricas, reporte ao órgão de administração e evidência de supervisão;
  • Programa de sensibilização e formação, incluindo a do próprio órgão de administração.

Como auditamos

  • Exame documental de políticas, estratégias e atas de aprovação;
  • Entrevistas ao órgão de administração, ao CISO e às funções de risco;
  • Análise do registo de risco e da sua articulação com o risco corporativo;
  • Verificação da cadeia de responsabilização e dos mecanismos de reporte;
  • Avaliação da maturidade da governação face ao NIST CSF (função Govern).
Referenciais

Enquadramento normativo e técnico

Esta componente é avaliada à luz dos quadros de referência regulatórios e das normas técnicas internacionais aplicáveis.

NIS2RJSCISO/IEC 27001ISO/IEC 27005NIST CSF · GovernModelo das Três Linhas
Resultados

O que entregamos

Produto ou serviço minimamente viável relacionado: Diagnóstico Express de Governação — avaliação delimitada da maturidade de governação e gestão de risco em duas semanas.

Ver no catálogo de PMV
Articulação ecossistémica

Uma peça do continuum regulatório e técnico

A auditoria de cibersegurança não opera isolada. Liga o que a lei exige, o modo como se verifica o cumprimento, o conhecimento técnico do domínio e a transposição concreta da NIS2.

regimesjuridicos.pt — a norma auditorias.pt — o processo ciberseguranca.net — o domínio dnis2.pt — a NIS2

auditoriadeciberseguranca.pt acrescenta a dimensão específica da auditoria de cibersegurança, em todas as suas componentes e em todo o ciclo de vida da prestação.

Conhecer o ecossistema
Iniciar contacto

Falemos sobre a sua auditoria de cibersegurança

Diga-nos qual a componente que pretende auditar e em que contexto regulatório se enquadra. Propomos um âmbito proporcional ao risco, com autorização expressa para os testes técnicos e total confidencialidade.

Correio electrónicogeral@auditoriadeciberseguranca.pt
Telefone(+351) 213 243 750
PresençaLisboa · Porto