consultoria em cibersegurança
“Na CONFIDEBAT, a nossa visão de Information Assurance transcende a mera implementação tecnológica. Entendemos a cibersegurança como um ecossistema dinâmico e resiliente, onde a proteção da informação é o pilar que sustenta a continuidade e a confiança do negócio.
A nossa abordagem é global e estratégica, estruturada primordialmente no princípio da Defesa em Profundidade. Esta metodologia não se limita a erguer barreiras isoladas; materializa-se numa arquitetura de múltiplas camadas — técnicas, processuais e humanas — desenhadas de forma redundante e integrada para detetar, retardar e neutralizar ações indesejadas em sistemas, redes e equipamentos.
Para garantir que a segurança é um facilitador e não um entrave, alicerçamos a nossa consultoria em modelos rigorosos de custo/benefício. Cada medida proposta nasce de uma avaliação de impacto criteriosa, assegurando que o investimento é proporcional ao risco. É nesta intersecção entre a eficácia técnica e a viabilidade económica que atuamos em vertentes fundamentais:
- Gestão do Risco e Conformidade: Onde enquadramos a transição para o novo regime jurídico NIS 2, garantindo que a resiliência organizacional cumpre os mais elevados padrões normativos.
- Segurança Criptográfica e Identidade: Através do apoio especializado à implementação de PKI (Public-Key Infrastructure), estabelecendo as bases de confiança para a autenticidade e integridade dos dados.
- Segurança Aplicacional e de Transmissão: Garantindo que, desde a sua conceção (Security by Design), as plataformas eletrónicas são robustas e imunes a vulnerabilidades críticas.
Na prática, a aplicação integrada destas medidas permite-nos objetivar a proteção integral dos recursos digitais, transformando a complexidade da cibersegurança numa vantagem competitiva e numa garantia de soberania sobre a informação.”
Serviços/ferramentas normalizadas:
Áreas onde podemos ajudar com soluções à medida:
avaliação e/ou implementação das obrigações do Decreto-Lei 125/2025 (Transposição da Diretiva NIS 2)
O Decreto-Lei n.º 125/2025 transpõe a Diretiva NIS 2 e estabelece um novo regime jurídico da cibersegurança em Portugal, introduzindo exigências substancialmente mais rigorosas e uma abordagem claramente orientada ao risco. Na perspetiva da CONFIDEBAT, este diploma constitui um marco estrutural para o reforço da resiliência nacional, alargando o número de entidades abrangidas, fortalecendo as obrigações de gestão de riscos, reporte e supervisão, e consolidando o papel do CNCS como autoridade coordenadora.
De forma muito resumida, destacam-se as seguintes necessidades, cuja não execução pode resultar em contraordenações muito graves e outras medidas de supervisão:
- Designar e comunicar ao CNCS o ponto de contacto permanente e o responsável pela cibersegurança, assegurando capacidade de resposta contínua.
- Implementar medidas de gestão de risco, incluindo políticas, procedimentos e controlos proporcionais ao impacto da entidade.
- Manter um inventário atualizado de ativos críticos e identificar dependências relevantes, internas e externas.
- Implementar as medidas mínimas de cibersegurança definidas pelo CNCS (controlo de acessos, MFA, monitorização, criptografia, gestão de vulnerabilidades, etc.).
- Preparar e manter planos de continuidade de negócio e de resposta a incidentes, devidamente testados.
- Realizar avaliações de risco periódicas, documentadas e alinhadas com as matrizes setoriais publicadas pelo CNCS.
- Notificar incidentes de cibersegurança ao CNCS nos prazos exigidos:
- Notificação inicial em 24 horas,
- Atualização em 72 horas,
- Relatório final em 30 dias úteis.
- Cooperar com auditorias, inspeções e pedidos de informação por parte das autoridades de supervisão (CNCS e autoridades setoriais).
- Comunicar aos destinatários dos serviços qualquer incidente significativo que os possa afetar.
- Garantir formação adequada para o órgão de gestão, assegurando o cumprimento das responsabilidades de supervisão estabelecidas no diploma.
Este conjunto de medidas representa uma evolução significativa face ao regime anterior, refletindo o alinhamento com a Diretiva NIS2 e reforçando o foco na gestão preventiva do risco, na resposta a incidentes e na responsabilidade da liderança.
apoio à implantação de PKI em organizações
A nossa definição de PKI (Public-Key Infrastucture) é materializada, no conjunto de sistemas (hardware e software), alojados em instalações físicas seguras, geridos por pessoal qualificado, enquadrados num conjunto documental de politicas, práticas e procedimentos, com o objetivo de emitir, distribuir e revogar certificados (credenciais) digitais, de forma controlada.
As PKI, por si só, não proporcionam a tão ambicionada segurança de sistemas, que todos procuramos. No entanto, são o meio mais eficaz para disponibilizar os meios e as ferramentas necessárias para implementar os diversos mecanismos criptográficos capazes de garantir a adequada segurança da informação/dados, armazenados, processados ou transmitidos pelos diversos produtos e sistemas.
apoio à implementação de sistemas e plataformas eletrónicas seguras
Dependendo da missão e do negócio para o qual o sistema é concebido, assim se deverá materializar o nível de robustez e profundidade nos mecanismos que proporcionam cada uma das propriedades de segurança.
Os requisitos específicos do sistema devem estar direcionados para proteger o “core” das funções do sistema.
Apesar destas aproximações “à medida”, sempre sustentadas em avaliação do risco, quando estamos na presença de sistemas “seguros”, devem ser verificados um conjunto mínimo de requisitos “by default“, que devem ser “obrigatoriamente” implementados pelo dono do sistema.