CyberS3c, Cybersecurity Artisans
Consultor de segurança a liderar uma reunião de estratégia com a equipa de gestão

CISO as a Service

Não tem capacidade para contratar um CISO a tempo inteiro? Emprestamos-lhe um dos nossos, profissionais experientes e com certificação internacional, num modelo ajustado à sua empresa.

Não tem capacidade financeira para contratar um Chief Information Security Officer a tempo inteiro? Não faz mal. Nós emprestamos-lhe um dos nossos!

10–15
anos de experiência em TI e segurança da informação
certificações internacionais, CISSP, CCISO, CISM e CISA
−70%*
de poupança potencial face à contratação a tempo inteiro
Dias
não meses, para ter um CISO a trabalhar consigo

Estimativa ilustrativa, depende do nível de alocação contratado.

A importância do CISO

O CISO é o responsável pela segurança da informação e pela estratégia de CiberSegurança: define a política de segurança alinhada com o negócio e a regulamentação, gere o risco, coordena a resposta a incidentes e promove a cultura de segurança. A sua importância transcende a técnica, sustenta a confiança de clientes e parceiros.

O CISO articula a Administração com as equipas de TI, o DPO, os fornecedores e os auditores.
Administração
CISO CyberS3c Estratégia, risco e reporting
Equipas de TI Implementação de controlos
DPO Proteção de dados e RGPD
Fornecedores Gestão de risco de terceiros
Auditores & Reguladores Conformidade e evidências

Sinais de que a sua empresa precisa de um CISO

A empresa cresceu

A segurança continua a ser "um chapéu extra" de alguém das TI.

Pressão regulatória

NIS2, RGPD, DORA ou ISO 27001 à porta, e não sabe por onde começar.

Clientes exigem provas

Parceiros e seguradoras pedem evidências da sua postura de segurança.

Um susto recente

Um incidente mostrou que não havia plano nem responsável.

Projetos sem crivo

As iniciativas de TI avançam sem avaliação de risco.

Contratar não é opção

Um CISO executivo a tempo inteiro não cabe no orçamento.

O nosso CISO em prol do seu negócio

Modelo completamente personalizável, para qualquer dimensão ou setor. A nossa equipa irá:

Elaborar políticas de segurança
Participar em reuniões estratégicas
Executar análises de risco periódicas
Elaborar relatórios para a gestão
Articular com o DPO
Planear ações proativas e reativas
Validar e implementar normas
Gerir fornecedores
Apoiar todos os projetos de TI

Modelos de alocação

Três níveis de alocação, do acompanhamento pontual à presença quase diária, sempre com o mesmo CISO nomeado e acesso à restante equipa da CyberS3c.

Comparação entre contratar um CISO interno e o CISO as a Service
CISO interno CISO as a Service
Custo anual Salário executivo + encargos, formação e ferramentas Fração do custo, ajustada ao nível de alocação
Tempo até arrancar 3–6 meses de recrutamento Dias, a equipa já existe
Leque de competências Uma pessoa, uma especialização Acesso a toda a equipa CyberS3c (pentest, forense, conformidade)
Férias, ausências e turnover Sem cobertura; risco de saída Continuidade garantida pela equipa
Escalabilidade Fixa Aumenta ou reduz a alocação conforme a necessidade
Independência Sujeito à política interna Visão externa e imparcial
Comparação qualitativa; os custos concretos dependem do mercado e do âmbito contratado.
Custo anual estimado (milhares de €) Valores ilustrativos de mercado, salário, encargos, formação e ferramentas incluídos no cenário interno.
CISO interno a tempo inteiro ≈ 130 k€
CISO as a Service, alocação alta (2–3 dias/semana) ≈ 60 k€
CISO as a Service, alocação média (1 dia/semana) ≈ 36 k€
CISO as a Service, alocação pontual ≈ 18 k€
Contratação interna CISO as a Service

Como arranca o serviço

Nos primeiros 90 dias, o nosso CISO passa do diagnóstico à rotina de gestão de segurança instalada:

  1. 1 Dias 0–30

    Diagnóstico e quick wins

    • Avaliação da postura de segurança atual
    • Levantamento de ativos, riscos e obrigações legais
    • Correções imediatas de maior impacto
  2. 2 Dias 31–60

    Políticas e prioridades

    • Políticas de segurança essenciais aprovadas
    • Plano de tratamento de riscos priorizado
    • Definição de indicadores e reporting
  3. 3 Dias 61–90

    Plano diretor e rotina

    • Plano diretor de segurança a 12–24 meses
    • Processos de gestão de incidentes e fornecedores
    • Primeiro reporte formal à administração
  4. 4 Dia 90+

    Operação contínua

    • Reuniões periódicas de acompanhamento
    • Análises de risco e auditorias regulares
    • Evolução contínua da maturidade
Evolução típica da maturidade de segurança Escala de maturidade 1–5 ao longo dos primeiros 12 meses de serviço, curva ilustrativa.
Curva ilustrativa: a maturidade de segurança sobe de nível 1,6 para 4,1 em 12 meses 1 2 3 4 5 Mês 036912 Mês 1: Avaliação inicial, maturidade 1,9 Avaliação inicial Mês 3: Políticas base, maturidade 2,7 Políticas base Mês 6: Plano diretor, maturidade 3,4 Plano diretor Mês 12: Rotina consolidada, maturidade 4,1 Rotina consolidada 4,1 / 5
Marcos da evolução de maturidade (ilustrativo)
MêsMarcoMaturidade (1–5)
1Avaliação inicial1,9
3Políticas base2,7
6Plano diretor3,4
12Rotina consolidada4,1

Quem são os nossos CISOs

Formação exemplar

Engenharia Informática e Sistemas de Informação, com mestrados em Segurança da Informação ou MBAs em tecnologia.

Certificações de topo

CISSP, CCISO, CISM e CISA, os padrões internacionais da liderança em segurança.

10–15 anos de terreno

Liderança de equipas, estratégias bem-sucedidas e resposta real a incidentes.

Executivo a analisar gráficos e indicadores num tablet

Reporting à administração

A administração sabe sempre em que ponto está a segurança.

Indicadores claros e reporting regular, o primeiro reporte formal chega até ao dia 90.

Perguntas frequentes

O CISO as a Service substitui a minha equipa de TI?

Não. O CISO lidera a estratégia de segurança e trabalha com a sua equipa de TI (interna ou subcontratada), que continua a operar os sistemas. Onde não existam competências específicas, a CyberS3c pode complementar com os restantes serviços.

Como é garantida a confidencialidade?

O serviço é formalizado com acordo de confidencialidade (NDA) e o CISO nomeado fica sujeito às políticas internas da sua organização. Trabalhamos diariamente com informação sensível, a discrição é parte do ofício.

Que dimensão de empresa faz sentido para este serviço?

Desde PMEs que precisam de poucas horas por mês até organizações maiores que querem um CISO vários dias por semana enquanto não recrutam internamente. O nível de alocação é ajustável em qualquer momento.

Qual é a relação entre o CISO e o DPO?

São papéis complementares: o DPO zela pela proteção de dados pessoais e o CISO pela segurança da informação no seu todo. O nosso CISO articula a estratégia e a comunicação com o DPO da sua organização, e, se não tiver DPO, podemos apoiar também nessa vertente através do serviço de Conformidade Legal.

Existe um período mínimo de contratação?

O modelo é pensado para acompanhamento continuado, a maturidade de segurança constrói-se ao longo de meses, mas o âmbito e a duração são definidos em proposta, à medida de cada organização.

Que visibilidade tem a administração sobre o trabalho do CISO?

Reporting regular com indicadores definidos no arranque do serviço: estado do plano de tratamento de riscos, incidentes, conformidade e evolução da maturidade. O primeiro reporte formal acontece tipicamente até ao dia 90.

Interessado neste serviço?

Entre em contacto e a nossa equipa responde em menos de 24 horas.