Informações básicas para identificação e personalização do relatório. Preenchido pelo engenheiro junto ao responsável da empresa.
01 · Identificação
Razão social ou nome fantasia da empresa
02 · Segmento
Qual o segmento principal de atuação?
Contabilidade / Escritório Contábil
Advocacia / Escritório Jurídico
Saúde / Clínica / Hospital
Indústria / Manufatura
Comércio / Varejo
Logística / Transporte
Serviços / Consultoria
Outro
03 · Tamanho
Quantos funcionários a empresa possui?
colaboradores
04 · Regime de Trabalho
Qual o modelo de trabalho predominante?
Presencial (100% no escritório)
Híbrido (parte presencial, parte home office)
Remoto (100% home office)
05 · Localização
Cidade e estado onde a empresa está sediada
Bloco 02 · Visibilidade do AmbienteCIS Controls #1 e #2
Inventário de Ativos
O CIS Controls define que não é possível proteger o que não se sabe que existe. Este é o primeiro controle prioritário para PMEs.
💡 Por que isso importa: Dispositivos não mapeados (notebooks pessoais, celulares, roteadores antigos) são pontos cegos que atacantes exploram. Empresas sem inventário levam em média 3x mais tempo para detectar uma invasão.
06 · Inventário de Hardware
A empresa tem controle de quais equipamentos (computadores, notebooks, celulares, impressoras) estão conectados à rede?
Não — nenhum controle de dispositivos na rede
Alto risco
Controle manual informal (planilha ou memória)
Médio
Inventário atualizado periodicamente (semestral ou anual)
Médio
Inventário automatizado e atualizado em tempo real
Adequado
07 · Inventário de Software
A empresa sabe quais softwares e aplicativos estão instalados nos computadores dos funcionários?
Não — cada um instala o que quer livremente
Alto risco
Existe lista básica de softwares permitidos mas sem controle
Médio
Controle via política de TI — só softwares aprovados
Atenção
Gestão centralizada com bloqueio automático de softwares não autorizados
Adequado
08 · Dispositivos Pessoais (BYOD)
Funcionários usam dispositivos pessoais (celular, notebook próprio) para acessar sistemas ou e-mail da empresa?
Sim — sem nenhuma restrição ou controle
Alto risco
Sim — com orientação informal, mas sem controle técnico
Médio
Sim — com MDM instalado nos dispositivos pessoais
Controlado
Não — apenas equipamentos da empresa são autorizados
Levantamento do ambiente tecnológico atual. Registre o que existe hoje — não o que deveria existir.
09 · Firewall
Qual é a situação atual do firewall da empresa?
Firewall é o equipamento que controla o tráfego entre a rede interna e a internet.
Sem firewall — usa apenas o roteador do provedor
Crítico
Firewall básico sem assinaturas de segurança ativas
Alto
Firewall com algumas proteções ativas (antivírus, IPS parcial)
Médio
NGFW completo com proteção Zero-Day ativa (Fortinet, Palo Alto)
Adequado
Não sabe informar
Crítico
10 · Configuração Segura / Patches
Com que frequência sistemas operacionais e softwares são atualizados?
CIS Control #4 — Configurações padrão de fábrica e sistemas desatualizados são os vetores mais explorados depois de credenciais comprometidas.
Raramente ou nunca — sistemas com versões antigas
Crítico
Quando lembro / sem processo definido
Alto
Atualizações mensais manuais
Médio
Patch management automatizado + hardening de configurações
Adequado
11 · Backup e Recuperação
Como os dados da empresa são copiados e guardados?
Sem backup estruturado
Crítico
Backup local (HD externo ou NAS na mesma rede)
Alto
Backup em nuvem sem validação periódica de restauração
Médio
Backup híbrido (local + nuvem offsite) com testes de restauração
Adequado
12 · Antivírus / Proteção de Endpoint
Qual é a situação do antivírus nos computadores da empresa?
Sem antivírus ou usando versão gratuita/doméstica
Crítico
Antivírus corporativo instalado e atualizado
Atenção
EDR / proteção avançada de endpoint com resposta automática
Adequado
Não sabe informar
Crítico
13 · Segmentação de Rede
A rede interna tem segmentação (VLANs separando setores, servidores e dispositivos)?
Não — tudo na mesma rede, incluindo servidores e impressoras
Alto
Parcialmente — Wi-Fi separado da rede cabeada
Médio
Sim — VLANs configuradas separando setores e servidores
Adequado
Não sabe informar
Crítico
Bloco 04 · Controle de AcessoCIS Controls #5 e #6 — Maior peso IG1
Acesso e Identidade
Credencial comprometida é o vetor #1 de ataque a PMEs. O CIS Controls eleva este domínio ao maior peso no IG1 — como os usuários acessam os sistemas define grande parte do risco.
🚨 Dado crítico: 82% dos ataques bem-sucedidos a PMEs envolvem uma credencial comprometida como vetor inicial (Verizon DBIR 2024). Este bloco tem o maior impacto no score final.
14 · Acesso Remoto
Como os funcionários em home office acessam os sistemas da empresa?
Sem controle — qualquer dispositivo acessa livremente
Crítico
Acesso remoto via RDP exposto diretamente à internet
Crítico
VPN básica protegida somente por senha
Alto
VPN com MFA (autenticação em dois fatores) ativa
Controlado
Zero Trust / acesso condicional estruturado
Adequado
Não há trabalho remoto
Não se aplica
15 · MFA — Autenticação em Dois Fatores
A empresa usa MFA em quais sistemas?
MFA é quando além da senha é necessário um segundo fator (código no celular, app autenticador) para entrar no sistema.
Não usa MFA em nenhum sistema
Crítico
Usa MFA apenas no e-mail
Médio
Usa MFA em e-mail e alguns sistemas críticos
Atenção
MFA habilitado em todos os acessos — e-mail, VPN e sistemas
Adequado
16 · Contas de Administrador
Como são gerenciadas as contas com acesso administrativo (admin) nos sistemas?
Todos usam a mesma conta de admin compartilhada
Crítico
Cada técnico tem seu admin, mas sem controle de uso
Alto
Contas admin separadas das contas do dia a dia
Atenção
PAM — Gerenciamento de acessos privilegiados com auditoria
Adequado
17 · Política de Senhas
Existe política de senhas formalmente aplicada?
Não — cada um define sua senha livremente
Alto risco
Recomendação informal, não obrigatória
Médio
Política formal sem renovação periódica
Atenção
Política aplicada via sistema com complexidade e renovação obrigatória
Adequado
Bloco 05 · ComplianceCIS Control #3 + LGPD
Dados e LGPD
Exposição regulatória, tipos de dados processados e conformidade com a Lei Geral de Proteção de Dados.
18 · Proteção de Dados — CIS #3
A empresa sabe onde estão armazenados os dados sensíveis de clientes e funcionários?
CIS Control #3 exige que dados sensíveis sejam inventariados, classificados e protegidos. Sem saber onde estão, não é possível protegê-los.
Não — os dados estão espalhados e não há inventário
Crítico
Sabemos aproximadamente onde estão, sem classificação formal
Médio
Dados mapeados e classificados por sensibilidade
Atenção
Dados mapeados, classificados e com controles de acesso por nível
Adequado
19 · Tipo de Dados Processados
Quais tipos de dados sensíveis a empresa processa ou armazena? (Selecione todos que se aplicam)
CPF / RG / dados pessoais de clientes
Dados financeiros / bancários
Dados de saúde / prontuários
Dados de funcionários (folha, RH, admissional)
Informações fiscais / contábeis de terceiros
Dados de menores de idade
Apenas dados internos da própria empresa
20 · Conformidade LGPD
Qual o estágio atual de conformidade com a LGPD?
Não foi iniciado nenhum trabalho de adequação
Há consciência do problema mas nenhuma ação formal
Em processo de adequação (parcial)
Adequação concluída com DPO nomeado e políticas documentadas
21 · Contratos B2B e Exigências de Segurança
Clientes corporativos exigem conformidade de segurança ou certificação?
Sim — já perdemos ou estamos em risco de perder contratos por isso
Sim — clientes pedem mas ainda não fomos auditados
Não — nossos clientes ainda não exigem conformidade formal
Processos internos, monitoramento e maturidade da equipe em relação à segurança da informação.
22 · Monitoramento e Logs — CIS #8
A empresa possui monitoramento ativo do ambiente de TI com registro de logs?
Logs são registros de quem acessou o quê e quando. Sem eles, é impossível investigar um incidente após o fato.
Não — nenhum monitoramento ou log ativo
Crítico
Apenas logs básicos de sistema sem análise
Alto
Alertas básicos de disponibilidade (uptime/downtime)
Médio
NOC / monitoramento 24x7 com SIEM e alertas de comportamento anômalo
Adequado
23 · Treinamento de Conscientização — CIS #14
Os funcionários recebem treinamento de conscientização em segurança?
Não — nunca houve treinamento formal
Alto risco
Orientação informal sem material estruturado
Médio
Treinamento formal ao menos anual
Atenção
Programa contínuo com simulações de phishing e testes
Adequado
24 · Plano de Resposta a Incidentes — CIS #17
Existe plano documentado para caso de ataque ou paralisação de TI?
Não existe nenhum plano
Alto risco
Existe algo informal — na cabeça do responsável de TI
Médio
Plano documentado mas nunca testado
Atenção
Plano documentado, testado e com responsáveis definidos
Adequado
25 · Responsável por TI
Quem cuida da TI na empresa atualmente?
Ninguém — cada um se vira
Alto risco
Funcionário interno que acumula a função de TI
Médio
Empresa terceirizada de TI (MSP)
Controlado
Equipe interna de TI dedicada
Adequado
Bloco 07 · Contexto de Negócio
Contexto e Histórico
Informações de contexto que enriquecem a análise e personalizam o relatório. Este bloco não altera o score — serve para a IA gerar recomendações mais precisas.
ℹ️ As perguntas deste bloco são informativas — não entram no cálculo do score de risco. Elas ajudam a IA a contextualizar melhor as recomendações e a percepção de urgência do cliente.
26 · Histórico Interno — Incidentes da Empresa
Nos últimos 24 meses, a empresa passou por algum incidente de segurança?
Informação histórica — não altera o score, mas contextualiza o risco real vivenciado.
Sim — ataque de ransomware ou criptografia de arquivos
Sim — vazamento de dados ou acesso indevido identificado
Sim — vírus, malware ou phishing bem-sucedido com impacto na operação
Sim — incidente menor sem grande impacto
Não — nenhum incidente conhecido nos últimos 24 meses
Operação parcialmente comprometida — alguns processos continuam manualmente
Impacto baixo — operação continua quase normalmente
29 · Maior Preocupação do Responsável
Qual é a maior preocupação de segurança do responsável pela empresa hoje?
Ransomware e sequestro de dados
Vazamento de dados de clientes e responsabilidade legal
Multa ou sanção da LGPD
Perda de contratos por falta de conformidade de segurança
Paralisação da operação e prejuízo financeiro direto
30 · Observações do Engenheiro
Observações técnicas ou contextuais adicionais identificadas durante o diagnóstico
Registre aqui qualquer nuance, vulnerabilidade específica, equipamento identificado, ou contexto relevante que não foi capturado pelas perguntas anteriores.
