Avaliação de Maturidade de Cibersegurança

Avalie o nível de maturidade de cibersegurança da sua organização respondendo às seguintes perguntas. Os resultados fornecerão recomendações personalizadas para melhorar a postura de segurança.

Progresso0 / 15 questões respondidas

Governação

1. A organização possui uma política de segurança da informação documentada e aprovada pela gestão de topo?

Não existe

Em desenvolvimento

Documentada mas não aprovada

Aprovada mas não comunicada

Aprovada, comunicada e revisada regularmente

Governação

2. Existe uma estrutura organizacional clara com responsabilidades definidas para segurança da informação?

Não existe

Responsabilidades informais

Responsabilidades documentadas

Estrutura definida com CISO

Estrutura madura com comité de segurança

Gestão de Risco

3. A organização realiza avaliações de risco de segurança da informação?

Nunca

Ad-hoc quando ocorrem incidentes

Anualmente

Semestralmente com metodologia definida

Continuamente com ferramentas automatizadas

Gestão de Risco

4. Como são tratados os riscos identificados?

Não são tratados

Tratamento reativo

Plano de tratamento básico

Plano documentado com responsáveis

Gestão contínua com KRIs monitoriza dos

Controlos Técnicos

5. Qual o nível de implementação de controlos de acesso (autenticação, autorização)?

Passwords simples

Passwords com requisitos mínimos

MFA para alguns sistemas

MFA para todos os acessos críticos

MFA universal + gestão de identidades (IAM)

Controlos Técnicos

6. Como é gerida a segurança de rede (firewalls, segmentação, monitorização)?

Sem controlos

Firewall básico

Firewall + segmentação básica

Segmentação avançada + IDS/IPS

Zero Trust + SIEM + SOC

Controlos Técnicos

7. Qual o nível de proteção de dados (encriptação, backup, DLP)?

Sem proteção

Backups irregulares

Backups regulares + encriptação básica

Encriptação em repouso e trânsito + backups testados

DLP + encriptação avançada + backups automatizados e testados

Gestão de Vulnerabilidades

8. Como são geridas vulnerabilidades e patches de segurança?

Não são geridos

Patches aplicados ocasionalmente

Patches críticos aplicados mensalmente

Processo documentado com SLAs

Gestão automatizada + vulnerability scanning contínuo

Gestão de Vulnerabilidades

9. São realizados testes de segurança (penetration testing, vulnerability assessment)?

Nunca

Apenas quando exigido

Anualmente

Semestralmente com remediação

Continuamente com programa de bug bounty

Gestão de Incidentes

10. Existe um processo de gestão de incidentes de segurança?

Não existe

Resposta ad-hoc

Processo básico documentado

Processo maduro com equipa dedicada

SOC 24/7 + playbooks automatizados

Gestão de Incidentes

11. Como é realizada a deteção e monitorização de incidentes?

Sem monitorização

Logs básicos

SIEM básico

SIEM com alertas configurados

SIEM + SOAR + threat intelligence

Continuidade de Negócio

12. Existe um plano de continuidade de negócio e disaster recovery?

Não existe

Plano informal

Plano documentado

Plano testado anualmente

Plano maduro testado regularmente com métricas (RTO/RPO)

Formação e Sensibilização

13. Como é realizada a formação em segurança da informação para colaboradores?

Sem formação

Formação ocasional

Formação anual obrigatória

Programa de formação contínua

Programa maduro + simulações de phishing + métricas

Conformidade

14. Como é gerida a conformidade com requisitos legais e regulamentares?

Não é gerida

Conhecimento básico dos requisitos

Lista de requisitos mantida

Avaliações regulares de conformidade

GRC integrado + auditorias regulares

Gestão de Terceiros

15. Como é avaliada e gerida a segurança de fornecedores e terceiros?

Não é avaliada

Avaliação informal

Questionários de segurança

Due diligence + cláusulas contratuais

Programa maduro + auditorias a fornecedores críticos