Ativa Security
🛡️

Discovery Técnico de Cibersegurança

Perguntas progressivas — do básico ao avançado. Cada resposta desbloqueia o próximo nível de profundidade.

Baseado em CIS Controls v8 NIST CSF 2.0 ISO/IEC 27001 LGPD
0 de 15 respondidas

Identificação do Respondente

// Preencha os dados antes de iniciar o questionário

Campo obrigatório
Informe um e-mail válido
Campo obrigatório
Campo obrigatório
Campo obrigatório
Pergunta 1 de 18 · CIS Control #1
Inventário de Ativos Hardware
💡Considere: CMDB, planilhas, ferramentas como Lansweeper, SolarWinds, ManageEngine, Active Directory, etc.

A organização mantém um inventário atualizado de todos os dispositivos de hardware (computadores, servidores, roteadores, switches, dispositivos móveis) conectados à rede?

Sim, inventário completo e atualizado automaticamente
Parcialmente — inventário manual ou desatualizado
Não possui inventário de hardware ou não sabe informar
Pergunta 2 de 18 · CIS Control #2
Inventário de Ativos Software
💡Considere: ferramentas de descoberta de software, whitelisting (AppLocker), licenciamento, bloqueio de software não autorizado.

A organização mantém um inventário de todo o software instalado nos dispositivos e controla o uso de aplicações não autorizadas?

Sim, inventário completo com bloqueio de software não autorizado
Parcialmente — sem controle de aplicações não autorizadas
Não possui inventário de software ou não sabe informar
Pergunta 3 de 18 · CIS Control #7
Patch Management Vulnerabilidades
💡Considere atualizações de SO (Windows Update/WSUS), aplicações, firmwares e sistemas de terceiros.

Como a organização gerencia as atualizações de segurança (patches) nos dispositivos e sistemas?

Gerenciado centralmente com política e cronograma definidos
Atualização manual, sem processo formal ou responsável definido
Não há processo de atualização ou não sabe informar
Pergunta 4 de 18 · CIS Control #10
Antimalware Endpoints
💡Considere: CrowdStrike, SentinelOne, Sophos, Trend Micro, Symantec, etc.

A organização possui alguma solução de antimalware / antivírus instalada nos endpoints?

Sim, em todos os endpoints (workstations, servidores e Mobiles)
Sim, mas só em parte dos dispositivos
Não possui ou não sabe informar
Pergunta 5 de 18 · CIS Control #12
Firewall Perímetro
💡Considere: Fortinet, Palo Alto, Cisco ASA, SonicWall, firewall em nuvem (AWS SG, Azure NSG), etc.

A organização possui um Next-Generation Firewall (NGFW) gerenciado entre a internet e os sistemas internos?

Sim, firewall dedicado gerenciado com regras revisadas periodicamente
Não, somente o roteador/modem do provedor
Não possui ou não sabe informar
Pergunta 6 de 18 · CIS Control #5
Controle de Acesso IAM / Privilégios
💡Considere: Active Directory, Azure AD/Entra ID, políticas de menor privilégio, revisão periódica de acessos, PAM.

Como a organização gerencia e revisa os acessos de usuários aos sistemas e dados corporativos?

Acesso baseado em função (RBAC) com revisões periódicas e princípio do menor privilégio
Acessos definidos manualmente, sem revisão periódica formal
Não há gestão de acesso estruturada ou não sabe informar
Pergunta 7 de 18 · CIS Control #6
Autenticação MFA / 2FA
💡Considere: Microsoft Authenticator, Google Authenticator, SMS, token físico (YubiKey), SSO corporativo.

A organização utiliza autenticação multifator (MFA/2FA) para acesso a sistemas e e-mails corporativos?

Sim, para todos os usuários e sistemas críticos
Parcialmente (somente alguns sistemas ou usuários)
Não utiliza MFA ou não sabe informar
Pergunta 8 de 18 · CIS Control #11
Backup Continuidade
💡Considere backups locais, em nuvem (Azure Backup, AWS S3, Veeam, Acronis) ou em fita/HD externo.

Com que frequência são realizados backups dos dados críticos da organização e onde ficam armazenados?

Diário, com cópias offsite ou em nuvem e testes regulares de restauração
Semanal ou mensal, somente local sem testes de restauração
Não realiza backup regularmente ou não sabe informar
Pergunta 9 de 18 · CIS Control #8
Monitoramento Logs / SIEM
💡Considere: logs de firewall, eventos de AD, SIEM (Splunk, Elastic, Microsoft Sentinel), alertas automatizados.

A organização monitora e centraliza logs de segurança para detectar atividades suspeitas em tempo real?

Sim, SIEM ou ferramenta centralizada com alertas e revisão regular
Logs gerados mas revisados apenas em caso de incidente
Não há coleta ou monitoramento de logs ou não sabe informar
Pergunta 10 de 18 · CIS Control #12
Acesso Remoto VPN / Zero Trust
💡Considere: VPN corporativa (Cisco AnyConnect, GlobalProtect, OpenVPN), RDP, Zero Trust Network Access (ZTNA).

Como os colaboradores acessam remotamente os sistemas e dados internos da organização?

Via VPN corporativa gerenciada com MFA obrigatório
Via RDP, VPN sem MFA ou ferramentas não corporativas (TeamViewer, AnyDesk)
Não há acesso remoto controlado ou não sabe informar
Pergunta 11 de 18 · CIS Control #3
Criptografia Proteção de Dados
💡Considere: BitLocker, FileVault, criptografia de e-mail (TLS), HTTPS, criptografia de banco de dados.

A organização utiliza criptografia para proteger dados sensíveis em repouso (discos/notebooks) e em trânsito (e-mails/transferências)?

Sim, criptografia ativa tanto em repouso quanto em trânsito
Parcialmente — apenas em alguns sistemas ou somente em trânsito
Não utiliza criptografia ou não sabe informar
Pergunta 12 de 18 · CIS Control #12
Segmentação de Rede VLAN / DMZ
💡Considere: VLANs separadas para usuários, servidores e IoT; DMZ para servidores expostos; rede Wi-Fi de convidados separada.

A rede interna da organização é segmentada para isolar sistemas críticos, usuários e dispositivos IoT?

Sim, rede segmentada com VLANs e DMZ configurados e monitorados
Segmentação parcial (ex: Wi-Fi de convidados separado, mas sem VLANs internas)
Rede plana sem segmentação ou não sabe informar
Pergunta 13 de 18 · CIS Control #14
Conscientização Phishing
💡Considere: treinamentos presenciais, e-learning (KnowBe4, Proofpoint), simulações de phishing, campanhas internas.

Os colaboradores recebem treinamentos sobre segurança da informação e ameaças como phishing e engenharia social?

Sim, treinamentos periódicos com simulações de phishing e reciclagem anual
Somente no onboarding de novos funcionários, sem reciclagem
Não realiza treinamentos de segurança ou não sabe informar
Pergunta 14 de 18 · CIS Control #15
Terceiros Supply Chain Risk
💡Considere: avaliação de segurança de fornecedores, contratos com cláusulas de segurança, acessos de terceiros controlados.

A organização avalia e controla os riscos de segurança dos fornecedores e parceiros que acessam seus sistemas ou dados?

Sim, avaliação formal de terceiros com contratos e acessos segmentados
Acessos concedidos sem avaliação formal de segurança
Não há controle de acessos de terceiros ou não sabe informar
Pergunta 15 de 18 · CIS Control #17
Resposta a Incidentes SOC / SIEM
💡Considere: plano documentado (IRP), SOC interno ou terceirizado.

A organização possui um plano ou processo formal de resposta a incidentes de segurança?

Sim, plano documentado com equipe treinada e exercícios regulares (tabletop)
Parcialmente — processo informal ou plano em elaboração
Não possui plano ou não sabe informar
Pergunta 16 de 18 · CIS Control #18
Pentest Gestão de Vulnerabilidades
💡Considere: testes de intrusão externos/internos, varreduras de vulnerabilidades (Nessus, Qualys, OpenVAS), bug bounty.

A organização realiza testes de intrusão (pentest) ou avaliações de vulnerabilidades de forma periódica?

Sim, pentest anual ou semestral com empresa especializada e plano de remediação
Somente varreduras automáticas sem pentest manual ou remediação estruturada
Não realiza testes de segurança ou não sabe informar
Pergunta 17 de 18 · CIS Control #16
Compliance LGPD / Regulatório
💡Considere: mapeamento de dados pessoais, DPO designado, políticas de privacidade, LGPD, ISO 27001, PCI-DSS, SOC 2.

A organização possui iniciativas formais de adequação à LGPD ou outros frameworks de compliance de segurança?

Sim, programa estruturado com DPO, mapeamento de dados e auditorias
Em andamento — iniciativas parciais sem programa completo
Não há iniciativas formais de compliance ou não sabe informar
Pergunta 18 de 18 · CIS Control #3
Proteção de Dados DLP / CASB
💡Considere: soluções DLP (Symantec DLP, Microsoft Purview), CASB (Netskope, Zscaler), classificação de dados, controle de USB/email.

A organização possui controles para prevenir vazamento de dados sensíveis (DLP) e monitora o uso de aplicações em nuvem (CASB)?

Sim, DLP e/ou CASB implementados com políticas de classificação de dados
Controles parciais — sem solução dedicada de DLP ou CASB
Não possui controles de prevenção de vazamento ou não sabe informar
📋

Relatório de Discovery

// Carregando...

🔍
Análise Inicial de Cibersegurança
Este é um relatório de diagnóstico superficial baseado em respostas autodeclaradas. Para uma avaliação técnica completa, recomendamos um assessment aprofundado com especialistas da Ativa Security.

Maturidade de Segurança

0/ 100

Calculando...

Analisando as respostas...

Dados do Respondente

Respostas por Domínio

Baseado nos frameworks
CIS Controls v8 NIST CSF 2.0 ISO/IEC 27001 LGPD
Este questionário foi desenvolvido com base nos principais
frameworks globais de cibersegurança e privacidade de dados.
Quer um diagnóstico completo?
👉 Quero meu Relatório Aprofundado
Solicite um Assessment completo com nossa equipe de especialistas.
📞 (11) 2289-0755 / 2082-2080  |  ✉️ comercial@ativait.com.br
Ativa Security · Discovery Técnico de Cibersegurança (11) 2289-0755 · comercial@ativait.com.br
Discovery Técnico de Cibersegurança · Ativa Security