cibersegurança
A nossa abordagem à cibersegurança e os nossos serviços de consultoria em cibersegurança são globais, assentes primordialmente no principio da defesa em profundidade, materializados num conjunto de ações e técnicas com o objetivo de proteger sistemas, programas, redes e equipamentos, de ações indesejadas.
Alicerçado em processos custo/beneficio, baseado na avaliação de impacto, as áreas da gestão do risco, da segurança física dos sistemas, da segurança das pessoas, a segurança criptográfica, a segurança aplicacional e segurança da transmissão, entre outras, são vertentes fundamentais.
Na prática, a aplicação integrada de medidas, assentes numa criteriosa avaliação do risco (impacto), permite objetivar a proteção da informação e os recursos “digitais”.
avaliação e/ou implementação do Decreto-Lei 65/2021
Na sua generalidade, o Decreto-Lei 65/2021, visa promover um ciberespaço mais seguro, estabelecendo um conjunto de obrigações que devem ser cumpridas por diversas entidades.
De forma muito resumida, destacamos as seguintes necessidades, que necessitam de ser realizadas pela entidades abrangidas pelo D-L 65, sob pena de poderem ser alvo de contraordenações:
- designar e comunicar ao CNCS o respetivo ponto de contacto permanente e o responsável de segurança;
- elaborar o inventário de ativos e apresentar ao CNCS uma lista de ativos elaborada com base no inventário;
- elaborar um plano de segurança;
- realizar uma avaliação de riscos;
- reportar incidentes de segurança ao CNCS; e
- elaborar e apresentar ao CNCS o relatório anual.
apoio à implantação de PKI em organizações
A nossa definição de PKI (Public-Key Infrastucture) é materializada, no conjunto de sistemas (hardware e software), alojados em instalações físicas seguras, geridos por pessoal qualificado, enquadrados num conjunto documental de politicas, práticas e procedimentos, com o objetivo de emitir, distribuir e revogar certificados (credenciais) digitais, de forma controlada.
As PKI, por si só, não proporcionam a tão ambicionada segurança de sistemas, que todos procuramos. No entanto, são o meio mais eficaz para disponibilizar os meios e as ferramentas necessárias para implementar os diversos mecanismos criptográficos capazes de garantir a adequada segurança da informação/dados, armazenados, processados ou transmitidos pelos diversos produtos e sistemas.
apoio à implementação de sistemas e plataformas eletrónicas seguras
Dependendo da missão e do negócio para o qual o sistema é concebido, assim se deverá materializar o nível de robustez e profundidade nos mecanismos que proporcionam cada uma das propriedades de segurança.
Os requisitos específicos do sistema devem estar direcionados para proteger o “core” das funções do sistema.
Apesar destas aproximações “à medida”, sempre sustentadas em avaliação do risco, quando estamos na presença de sistemas “seguros”, devem ser verificados um conjunto mínimo de requisitos “by default“, que devem ser “obrigatoriamente” implementados pelo dono do sistema.