Da delimitação do âmbito ao acompanhamento da remediação, toda a prestação segue uma sequência metodológica disciplinada. É esta sequência que garante rigor, rastreabilidade e valor para a organização.
A metodologia é o que distingue uma auditoria de uma opinião. Cada fase produz resultados intermédios verificáveis e prepara a fase seguinte, num percurso que vai do planeamento à melhoria contínua. O ciclo aplica-se quer a uma auditoria pontual, quer ao programa anual de uma função permanente.
Delimitação do universo auditável, definição dos objetivos e dos critérios, identificação dos referenciais aplicáveis, avaliação preliminar de risco e estabelecimento das regras de empenhamento e das autorizações necessárias para os testes técnicos.
Exame documental, entrevistas, observação e inventário de ativos. Reconstituição do desenho dos controlos tal como descritos pela organização, antes da sua verificação prática.
Verificação da eficácia operacional: testes técnicos, análise de configurações, análise de vulnerabilidades e, quando contratados, testes de intrusão, sempre dentro das regras de empenhamento autorizadas.
Confronto da evidência com os critérios, identificação de lacunas e não conformidades, classificação por severidade e probabilidade, e determinação do risco residual de cada achado.
Relatório fundamentado e rastreável, com sumário executivo, achados priorizados, recomendações acionáveis e plano de remediação. Apresentação ao órgão de administração e às funções responsáveis.
Verificação da implementação das recomendações, reavaliação do risco residual e integração das lições aprendidas no plano de auditoria seguinte. O ciclo recomeça.
O posicionamento numa escala de maturidade permite comunicar o estado da cibersegurança ao órgão de administração de forma compreensível, medir a evolução entre auditorias e priorizar o investimento onde produz maior redução de risco.
A metodologia aplica-se a todas as componentes e a todos os modelos de prestação.
Começar por um diagnósticoQuer avaliar a maturidade da sua cibersegurança, preparar-se para a NIS2, obter uma auditoria de conformidade ou externalizar a função? Diga-nos em que momento está. Respondemos com uma proposta de abordagem adequada ao seu perfil de risco, à sua dimensão e ao seu enquadramento regulatório.