O mapa de capacidades
Onde realmente está em governar, identificar, proteger, detetar, responder e recuperar — vinculado à evidência, segmentado por equipa e senioridade, com a distância entre política e prática tornada explícita.
Uma IA neutra entrevista de forma confidencial as pessoas que operam, usam e dependem da sua segurança — do SOC à administração — ao longo das seis funções do NIST CSF 2.0, e entrega-lhe um retrato segmentado da maturidade mais um plano de remediação priorizado.
As auditorias e os questionários medem o que está documentado, não o que é praticado. Os engenheiros, os administradores de sistemas e os responsáveis de negócio que convivem com os contornos raramente são consultados — por isso a administração vê um estado RAG enquanto a exposição real vive na distância entre a política e o comportamento.
Onde realmente está em governar, identificar, proteger, detetar, responder e recuperar — vinculado à evidência, segmentado por equipa e senioridade, com a distância entre política e prática tornada explícita.
A higiene de segurança, a consciencialização e a cultura que decide se os controlos aguentam quando conta — o fator que os questionários não veem e os incidentes encontram sempre.
Um programa de remediação sequenciado — ganhos rápidos e mudanças estruturais — cada recomendação remontando a uma lacuna evidenciada e enquadrada face às suas obrigações regulatórias.
Onde é que o nosso controlo documentado diverge de facto da prática do dia a dia?
Que funções — governar, identificar, proteger, detetar, responder, recuperar — são genuinamente fracas, e não apenas mal documentadas?
As nossas pessoas sabem o que fazer no momento em que algo parece errado?
Onde está a exposição a terceiros e à cadeia de fornecimento que ainda não mapeámos?
Se pudéssemos corrigir três coisas antes da próxima avaliação, o que faria mais diferença?
As suas pessoas respondem de forma anónima — e a honestidade sobre as lacunas de segurança depende disso. As respostas são agregadas em segmentos; qualquer grupo demasiado pequeno para proteger uma pessoa é suprimido ou fundido antes de o ver. Vê a exposição e os padrões, nunca o indivíduo que os sinalizou.
Defina o âmbito de um diagnóstico de maturidade em cibersegurança em minutos. Confidencial, self-service e assente no que as suas pessoas realmente vivem.