consultoria em cibersegurança & Information Assurance
A nossa abordagem à cibersegurança e information assurance, como como os nossos serviços de consultoria nestas matérias são globais, assentes primordialmente no principio da defesa em profundidade, materializados num conjunto de ações e técnicas com o objetivo de proteger sistemas, programas, redes e equipamentos, de ações indesejadas.
Alicerçado em processos custo/beneficio, baseado na avaliação de impacto, as áreas da gestão do risco, da segurança física dos sistemas, da segurança das pessoas, a segurança criptográfica, a segurança aplicacional e segurança da transmissão, entre outras, são vertentes fundamentais.
Na prática, a aplicação integrada de medidas, assentes numa criteriosa avaliação do risco (impacto), permite objetivar a proteção da informação e os recursos “digitais”.
avaliação e/ou implementação das obrigações do Decreto-Lei 125/2025 (Transposição da Diretiva NIS 2)
O Decreto-Lei n.º 125/2025 transpõe a Diretiva NIS 2 e estabelece um novo regime jurídico da cibersegurança em Portugal, introduzindo exigências substancialmente mais rigorosas e uma abordagem claramente orientada ao risco. Na perspetiva da CONFIDEBAT, este diploma constitui um marco estrutural para o reforço da resiliência nacional, alargando o número de entidades abrangidas, fortalecendo as obrigações de gestão de riscos, reporte e supervisão, e consolidando o papel do CNCS como autoridade coordenadora.
De forma muito resumida, destacam-se as seguintes necessidades, cuja não execução pode resultar em contraordenações muito graves e outras medidas de supervisão:
- Designar e comunicar ao CNCS o ponto de contacto permanente e o responsável pela cibersegurança, assegurando capacidade de resposta contínua.
- Implementar medidas de gestão de risco, incluindo políticas, procedimentos e controlos proporcionais ao impacto da entidade.
- Manter um inventário atualizado de ativos críticos e identificar dependências relevantes, internas e externas.
- Implementar as medidas mínimas de cibersegurança definidas pelo CNCS (controlo de acessos, MFA, monitorização, criptografia, gestão de vulnerabilidades, etc.).
- Preparar e manter planos de continuidade de negócio e de resposta a incidentes, devidamente testados.
- Realizar avaliações de risco periódicas, documentadas e alinhadas com as matrizes setoriais publicadas pelo CNCS.
- Notificar incidentes de cibersegurança ao CNCS nos prazos exigidos:
- Notificação inicial em 24 horas,
- Atualização em 72 horas,
- Relatório final em 30 dias úteis.
- Cooperar com auditorias, inspeções e pedidos de informação por parte das autoridades de supervisão (CNCS e autoridades setoriais).
- Comunicar aos destinatários dos serviços qualquer incidente significativo que os possa afetar.
- Garantir formação adequada para o órgão de gestão, assegurando o cumprimento das responsabilidades de supervisão estabelecidas no diploma.
Este conjunto de medidas representa uma evolução significativa face ao regime anterior, refletindo o alinhamento com a Diretiva NIS2 e reforçando o foco na gestão preventiva do risco, na resposta a incidentes e na responsabilidade da liderança.
apoio à implantação de PKI em organizações
A nossa definição de PKI (Public-Key Infrastucture) é materializada, no conjunto de sistemas (hardware e software), alojados em instalações físicas seguras, geridos por pessoal qualificado, enquadrados num conjunto documental de politicas, práticas e procedimentos, com o objetivo de emitir, distribuir e revogar certificados (credenciais) digitais, de forma controlada.
As PKI, por si só, não proporcionam a tão ambicionada segurança de sistemas, que todos procuramos. No entanto, são o meio mais eficaz para disponibilizar os meios e as ferramentas necessárias para implementar os diversos mecanismos criptográficos capazes de garantir a adequada segurança da informação/dados, armazenados, processados ou transmitidos pelos diversos produtos e sistemas.
apoio à implementação de sistemas e plataformas eletrónicas seguras
Dependendo da missão e do negócio para o qual o sistema é concebido, assim se deverá materializar o nível de robustez e profundidade nos mecanismos que proporcionam cada uma das propriedades de segurança.
Os requisitos específicos do sistema devem estar direcionados para proteger o “core” das funções do sistema.
Apesar destas aproximações “à medida”, sempre sustentadas em avaliação do risco, quando estamos na presença de sistemas “seguros”, devem ser verificados um conjunto mínimo de requisitos “by default“, que devem ser “obrigatoriamente” implementados pelo dono do sistema.