Leite, Jorge Manuel Canelhas PintoCORREIA, NUNO ANDRÉ ALVES2025-09-102025-09-102025-07-23http://hdl.handle.net/10400.22/30434O setor da Saúde em Portugal, à semelhança de outros setores, tem atravessado uma significativa transformação digital, que contribui para a melhoria dos cuidados de saúde prestados aos portugueses. A adoção de tecnologias, como a Telemedicina, os Registos de Saúde Eletrónico, a Prescrição Eletrónica de Medicamentos e as aplicações móveis, tornou os serviços mais eficientes e acessíveis, resultando assim para uma redução de custos do Serviço Nacional de Saúde e numa melhoria dos cuidados de saúde prestados, devido à informação disponibilizada aos profissionais de saúde. Contudo, com esta evolução rápida nos serviços digitais do Serviço Nacional de Saúde, o potencial de fragilidades associadas aumentou exponencialmente, colocando em risco a privacidade dos utentes, a continuidade dos serviços médicos e a segurança financeira das diferentes organizações que constituem o SNS. Perante isto, o investimento em Cibersegurança tornou-se prioritário, numa área critica como a saúde, devido ao seu principal objetivo, assegurar o bem-estar da sociedade portuguesa. Os constrangimentos de um possível ataque bem-sucedido, vão desde o comprometimento da confidencialidade dos dados pessoais dos utentes, até à impossibilidade de realização de consultas, cirurgias, exames médicos, ou até mesmo a impossibilidade de realizar um funeral, sendo por isso fundamental que o SNS adote as melhores práticas de Cibersegurança, introduzindo frameworks de Cibersegurança reconhecidas internacionalmente, que oferecem diretrizes claras para proteger os sistemas de informação e dados sensíveis, como por exemplo as frameworks da NIST CSF, CIS Controls, Cybersecurity Capability Maturity Model (C2M2) e a ISO 27032:2023 que são amplamente utilizados pela indústria de Cibersegurança e fornecem um conjunto de melhores práticas, que podem ajudar as diferentes organizações do SNS a avaliar, melhorar e monitorizar de forma contínua a sua postura de Cibersegurança. Além disso, a incorporação sistemática destas diretrizes no desenho da estratégia organizacional revelouse fundamental não apenas para o reforço dos mecanismos de segurança, mas também para a promoção de uma cultura de conformidade com os normativos legais em vigor, nomeadamente o Regulamento Geral sobre a Proteção de Dados (RGPD). Tal alinhamento é particularmente crítico no contexto do setor da saúde, dada a natureza sensível e pessoal da informação tratada. Ainda que não tenha sido concretizada a implementação prática da solução proposta, considera-se que o trabalho desenvolvido contribuiu de forma significativa para uma reconfiguração do olhar sobre a Cibersegurança por parte dos decisores da CCMSNS, oferecendo-lhes uma perspetiva estruturada, informada e alinhada com as melhores práticas internacionais, capaz de sustentar futuras decisões estratégicas em matéria de proteção da informação. Ainda que não tenha sido concretizada a implementação prática da solução proposta, considera-se que o trabalho desenvolvido contribuiu de forma significativa para uma reconfiguração do olhar sobre a Cibersegurança por parte dos decisores da CCMSNS, oferecendo-lhes uma perspetiva estruturada, informada e alinhada com as melhores práticas internacionais, capaz de sustentar futuras decisões estratégicas em matéria de proteção da informação.The health sector in Portugal, like other sectors, has undergone a significant digital transformation that has helped to improve the healthcare provided to the Portuguese. The adoption of technologies such as Telemedicine, Electronic Health Records, Electronic Prescription of Medicines and mobile applications has made services more efficient and accessible, thus contributing to a reduction in costs for the National Health Service, and an improvement in the healthcare provided due to the information made available to healthcare professionals. However, with this rapid evolution in the NHS's digital services, the potential for associated weaknesses has increased exponentially, putting the privacy of users, the continuity of medical services and the financial security of the different organizations that make up the NHS at risk. In view of this, investment in cybersecurity has become a priority in a critical area due to its main objective, ensuring the well-being of Portuguese society. The health sector in Portugal, like other sectors, has been undergoing a significant digital transformation, which has contributed to the The constraints of a possible successful attack range from compromising the confidentiality of users' personal data, to the impossibility of carrying out consultations, surgeries, medical examinations, or even the impossibility of holding a funeral, which is why it is essential that the SNS adopts the best cybersecurity practices, introducing internationally recognized cybersecurity frameworks that offer clear guidelines for protecting information systems and sensitive data, such as the NIST CSF, CIS Controls, Cybersecurity Capability Maturity Model (C2M2) and ISO 27032: 2023, which are widely used by the cybersecurity industry and provide a set of best practices that can help different NHS organizations assess, improve and continuously monitor their cybersecurity posture. In addition, the systematic incorporation of these guidelines into the design of the organizational strategy proved to be fundamental not only for strengthening security mechanisms, but also for promoting a culture of compliance with the legal regulations in force, namely the General Data Protection Regulation (GDPR). This alignment is especially critical in the healthcare sector, where the sensitive nature of patient information demands rigorous protection. Although a real-world implementation of the proposed solution was not carried out, it is believed that the work developed contributed significantly to reshaping the cybersecurity perspective of decision-makers within CCMSNS, providing them with a structured, informed, and internationally aligned approach capable of supporting future strategic decisions regarding information security. Although the practical implementation of the proposed solution has not been achieved, the work carried out is considered to have made a significant contribution to reconfiguring the way CCMSNS decision-makers look at cybersecurity, offering them a structured, informed perspective in line with international best practices, capable of supporting future strategic decisions on information protection.porServiço Nacional de Saúde (SNS)CibersegurançaNIST CSF 2CIS Controls 81Cybersecurity Capability Maturity Model (C2M2)ISO27032:2023ISO27799NIS2Regulamento Geral sobre a Proteção de Dados (RGPD)SPMSNational Health Service (SNS)CybersecutityControls 8.1General Data Protection Regulation (GDPR)master thesis203996011