Simulação de adversário e validação prática das defesas. A componente que responde à pergunta definitiva: perante um atacante real e determinado, as defesas resistem?
Os testes de intrusão e os exercícios de red team levam a auditoria ao seu extremo prático: em vez de verificar se os controlos existem, verificam se resistem a um adversário que ativamente tenta contorná-los. É a forma mais direta de medir o risco real e de validar a capacidade de deteção e de resposta.
Estes trabalhos exigem o mais elevado rigor ético e legal: autorização expressa e por escrito, regras de empenhamento detalhadas, delimitação clara do âmbito e total confidencialidade. Sem mandato, a intrusão não é auditoria — é ilícito.
Esta componente é avaliada à luz dos quadros de referência regulatórios e das normas técnicas internacionais aplicáveis.
Produto ou serviço minimamente viável relacionado: Teste de Intrusão Externo Delimitado — teste de intrusão de âmbito reduzido, com regras de empenhamento e relatório.
Ver no catálogo de PMVA auditoria de cibersegurança não opera isolada. Liga o que a lei exige, o modo como se verifica o cumprimento, o conhecimento técnico do domínio e a transposição concreta da NIS2.
auditoriadeciberseguranca.pt acrescenta a dimensão específica da auditoria de cibersegurança, em todas as suas componentes e em todo o ciclo de vida da prestação.
Conhecer o ecossistemaDiga-nos qual a componente que pretende auditar e em que contexto regulatório se enquadra. Propomos um âmbito proporcional ao risco, com autorização expressa para os testes técnicos e total confidencialidade.