Auditamos a cibersegurança em todas as suas componentes — da governação e da gestão de risco à segurança técnica de redes, aplicações, cloud e sistemas industriais — e acompanhamos toda a prestação, do diagnóstico de maturidade à auditoria de conformidade NIS2, à auditoria técnica e à função externalizada. Tudo no quadro do ordenamento jurídico português e das normas internacionais.
A auditoria de cibersegurança é uma avaliação independente, objectiva e sistemática da postura de segurança de uma organização. Confronta o desenho e a eficácia operacional dos controlos — técnicos, organizacionais e processuais — com um referencial, seja ele uma norma internacional, um quadro regulatório ou a política interna da própria organização.
Distingue-se do teste de intrusão pontual, que mede a resistência a um ataque simulado num dado momento, e da consultoria de implementação, que desenha e instala controlos. A auditoria emite uma garantia fundamentada: declara o que está em conformidade, o que apresenta lacunas e qual o risco residual, sustentando essa conclusão em evidência recolhida segundo uma metodologia rigorosa e rastreável.
No quadro do ordenamento jurídico português, esta função ganhou centralidade com a transposição da Diretiva NIS2 e o reforço das obrigações de gestão de risco, de notificação de incidentes e de responsabilização dos órgãos de administração. Auditar a cibersegurança deixou de ser uma boa prática facultativa para se tornar, em muitos sectores, uma exigência legal verificável.
Acompanhamos a auditoria de cibersegurança onde quer que a organização se encontre na sua maturidade — do primeiro diagnóstico à função plenamente externalizada.
Avaliação inicial da postura de segurança e do nível de maturidade face a um referencial (NIS2, ISO/IEC 27001 ou NIST CSF), com identificação de lacunas e priorização do risco.
Conhecer o serviçoVerificação formal do cumprimento de um quadro regulatório ou de uma norma certificável, com relatório de conformidade, não conformidades e plano de remediação.
Conhecer o serviçoAvaliação técnica de vulnerabilidades, testes de intrusão, revisão de configurações e exercícios de red team, com autorização expressa e regras de empenhamento.
Conhecer o serviçoDesenho e instalação de raiz de uma função de auditoria de cibersegurança interna: carta, plano baseado no risco, metodologia, ferramentas e perfis de competência.
Conhecer o serviçoPrestação completa da auditoria de cibersegurança em regime externalizado, com plano anual, execução dos trabalhos, relato ao órgão de administração e acompanhamento das recomendações.
Conhecer o serviçoProdutos e serviços minimamente viáveis — pacotes delimitados, de baixo custo e rápida execução, concebidos como porta de entrada para a auditoria de cibersegurança.
Ver o catálogoA auditoria cobre todo o espectro técnico e organizacional da cibersegurança. Cada componente pode ser auditada de forma autónoma ou integrada num trabalho transversal.
Políticas, papéis, apetite de risco, responsabilização do órgão de administração.
Ver componenteIAM, autenticação forte, privilégios, ciclo de vida das contas.
Ver componenteSegmentação, perímetro, endpoints, hardening e gestão de patches.
Ver componenteCiclo de desenvolvimento seguro, código, APIs, pipeline e dependências.
Ver componenteDeteção, resposta, continuidade, recuperação e notificação NIS2.
Ver componenteRisco de terceiros, fornecedores críticos, cláusulas e monitorização.
Ver componenteConheça o quadro completo das componentes e a forma como se articulam.
Ver domínios e componentesDistinguimos com clareza a auditoria que decorre de um plano aprovado da auditoria desencadeada por um evento concreto.
Resultam de um plano anual ou plurianual, construído sobre uma avaliação de risco e aprovado pelo órgão de administração. São previsíveis, calendarizadas e cobrem ciclicamente o universo auditável — componentes, sistemas e processos.
Respondem a um incidente, a uma suspeita de comprometimento, a uma alteração regulatória ou a um pedido específico do órgão de administração. São desencadeadas fora do plano, com âmbito delimitado e prazo curto, sem prejuízo do rigor metodológico.
Conheça o quadro completo das tipologias de auditoria de cibersegurança.
Ver tipologias de auditoriaA auditoria de cibersegurança não opera isolada. Liga o que a lei exige, o modo como se verifica o cumprimento, o conhecimento técnico do domínio e a transposição concreta da NIS2.
auditoriadeciberseguranca.pt acrescenta a dimensão específica da auditoria de cibersegurança, em todas as suas componentes e em todo o ciclo de vida da prestação.
Conhecer o ecossistemaQuer avaliar a maturidade da sua cibersegurança, preparar-se para a NIS2, obter uma auditoria de conformidade ou externalizar a função? Diga-nos em que momento está. Respondemos com uma proposta de abordagem adequada ao seu perfil de risco, à sua dimensão e ao seu enquadramento regulatório.