Uma auditoria de segurança profissional, com testes de penetração e análise forense, requer competências e ferramentas especializadas. Mas existe um nível de avaliação — uma auditoria de segurança básica — que qualquer gestor de TI competente pode realizar internamente, e que identifica a maioria das vulnerabilidades mais críticas que afectam PMEs.
Este guia apresenta um processo estruturado de autoavaliação de segurança. Não substitui uma auditoria profissional, mas é um ponto de partida valioso e pode identificar problemas que justificam investimento imediato.
O que é uma auditoria de segurança e o que não é
Uma auditoria de segurança é uma avaliação sistemática dos controlos de segurança de uma organização face a um conjunto de critérios ou boas práticas. Pode variar de uma revisão de políticas e configurações (auditoria de conformidade) a testes activos de exploração de vulnerabilidades (teste de penetração).
O que este guia cobre: revisão de configurações, políticas e controlos — o equivalente a uma auditoria de conformidade interna. O que não cobre: testes de penetração activos (explorar vulnerabilidades em sistemas live) que requerem competências e autorização específicas.
Avaliação de identidades e acessos
Comece pelo controlo mais crítico e mais frequentemente negligenciado: quem tem acesso a quê, e esse acesso é justificado?
Perguntas a responder
- Existe uma lista actualizada de todos os utilizadores com acesso a sistemas críticos?
- Quando um colaborador sai, o processo de offboarding inclui remoção de todos os acessos em todos os sistemas?
- Existe algum utilizador com mais privilégios do que a sua função justifica?
- Existem contas de utilizador inactivas (ex-colaboradores, fornecedores) ainda activas?
- MFA está activo em todos os sistemas críticos (email, VPN, cloud, ERP)?
- Existem contas partilhadas entre múltiplas pessoas?
Como verificar
No Active Directory (se existir): exportar lista de utilizadores activos e comparar com lista de colaboradores actuais de RH. Verificar últimos logins de cada conta — contas sem login há mais de 90 dias são candidatas a desactivação. No Microsoft 365: rever licenças atribuídas e verificar MFA status no admin center. Em outros sistemas críticos (ERP, cloud, VPN): solicitar aos administradores lista de utilizadores activos e datas de último acesso.
Avaliação de rede e perímetro
Perguntas a responder
- Existe inventário documentado de todos os serviços expostos à internet?
- Portas 22 (SSH) ou 3389 (RDP) estão directamente acessíveis da internet?
- O firmware dos equipamentos de rede (firewall, switches, router) está actualizado?
- Existe segmentação de rede entre diferentes zonas (utilizadores, servidores, convidados)?
- Os logs da firewall estão configurados e são revistos regularmente?
Como verificar
Usar Shodan (shodan.io) para verificar que serviços da empresa estão visíveis na internet — pesquisar pelo IP público da empresa. É surpreendente quantas empresas descobrem serviços expostos que desconheciam. Verificar firmware de equipamentos de rede nos portais de gestão de cada equipamento e comparar com versão mais recente disponível no website do fabricante.
Avaliação de endpoints e dispositivos
Perguntas a responder
- Existe inventário actualizado de todos os dispositivos da empresa (PCs, portáteis, telemóveis, tablets)?
- Todos os dispositivos têm software antivírus/EDR instalado e actualizado?
- A encriptação de disco está activa em portáteis (BitLocker em Windows, FileVault em Mac)?
- Existe processo de gestão de patches que garante actualizações de segurança em menos de 30 dias?
- Dispositivos pessoais acedem a dados ou sistemas da empresa? Se sim, existem políticas de MDM?
Avaliação de backup e continuidade
Perguntas a responder
- Existe backup de todos os sistemas críticos?
- O backup segue a regra 3-2-1 (3 cópias, 2 suportes, 1 offsite)?
- O último teste de restauro foi realizado há menos de 3 meses?
- O backup está protegido contra ransomware (imutável ou offline)?
- O RTO (tempo de recuperação) e RPO (ponto de recuperação) estão definidos para cada sistema crítico?
O que fazer com os resultados
A auditoria produz uma lista de vulnerabilidades e lacunas. O passo seguinte é priorizar por risco: impacto potencial × probabilidade de exploração.
| Prioridade | Critério | Prazo de acção |
| Crítica | Exposição directa à internet, ausência de backup, sem MFA em sistemas críticos | Imediata (esta semana) |
| Alta | Accounts inactivas, firmware desactualizado, sem encriptação de disco | 30 dias |
| Média | Segmentação de rede inadequada, política de passwords fraca | 60-90 dias |
| Baixa | Documentação incompleta, processos informais | Próximo ciclo de planeamento |
Documente os resultados, os planos de remediação e os prazos. Reveja o progresso mensalmente. E repita a auditoria anualmente — o ambiente muda e novas vulnerabilidades aparecem.
>>> Depois do autodiagnóstico, valide os resultados com uma auditoria profissional. A JL Suporte & Consultoria entrega o primeiro relatório de auditoria gratuitamente. Fale connosco.
