O desafio
Com a transposição da diretiva NIS2 para a ordem jurídica nacional, a entidade passou a estar abrangida por um conjunto alargado de obrigações de cibersegurança, com responsabilidade direta da gestão de topo. O problema não era falta de vontade, era falta de visibilidade: a organização não sabia, com rigor, onde estava face aos novos requisitos, o que faltava e por onde começar.
Precisava de duas coisas em concreto: um retrato honesto do seu nível de conformidade e um plano realista para lá chegar, que respeitasse o orçamento e a capacidade de execução de uma entidade pública.
Âmbito
A avaliação abrangeu a organização de forma transversal, e não apenas o departamento de informática:
- Governação da segurança da informação e gestão de risco
- Políticas, procedimentos e responsabilidades definidas
- Gestão e resposta a incidentes
- Continuidade de negócio e recuperação
- Segurança na cadeia de fornecedores
- Controlo de acessos, cifra e higiene técnica
- Sensibilização e cultura de segurança dos colaboradores
A nossa abordagem
Fizemos uma auditoria de gap estruturada face às medidas exigidas pela NIS2, combinando três fontes de evidência para chegar a um resultado defensável:
- Entrevistas com as pessoas certas, da gestão de topo às equipas operacionais, para perceber como as coisas funcionam na prática e não apenas no papel.
- Revisão documental e técnica das políticas, configurações e controlos existentes.
- Uma campanha de phishing simulado seguida de formação de sensibilização, para medir o risco humano com dados reais e não com suposições.
Cada requisito foi classificado quanto ao nível de maturidade, e cada lacuna traduzida em ações concretas, com esforço, risco associado e prioridade.
Principais eixos avaliados
- Estratégia e governação de cibersegurança
- Análise e tratamento de risco
- Deteção, resposta e reporte de incidentes
- Continuidade e resiliência operacional
- Segurança de fornecedores e terceiros
- Sensibilização e formação das pessoas
Resultados
Entregámos um relatório de gap claro, legível pela direção e pela equipa técnica, com o posicionamento da entidade em cada medida da NIS2 e a distância até à conformidade. A partir daí construímos um roteiro priorizado por risco e custo, que separa o que é urgente do que pode esperar e evita gastar cedo demais no sítio errado.
No plano das pessoas, a formação teve efeito medível, com uma queda acentuada dos cliques em simulações de phishing após a ação:
Impacto
A direção passou a decidir com base em evidência, não em intuição. O roteiro foi aprovado e deu à entidade uma sequência clara de investimentos, defensável perante a tutela e a auditoria. E, tão importante como os controlos técnicos, a organização começou a mudar a cultura: a segurança deixou de ser assunto exclusivo do departamento de informática para passar a ser responsabilidade de todos.
Serviços neste projeto:
Tem um desafio semelhante?
Entre em contacto e a nossa equipa responde em menos de 24 horas.