Cytlas Technology Labs - Logo Light
Voltar ao blog
Cibersegurança

Checklist de Cibersegurança Básica para PMEs: O Mínimo Que Você Precisa

Lista para baixar com os controles de segurança essenciais que toda PME deveria ter. Sem jargão, com ações concretas para implementar neste trimestre.

· 20/05/2026· 7 min
case_vulnerability_assessment - Cytlas Technology Labs

A maioria das PMEs não precisa de segurança nível banco. Mas precisam de controles básicos que as protejam de 90% dos ataques que acontecem na região. A boa notícia: a maioria é gratuita ou de custo muito baixo. A ruim: se não estiverem implementados, você é um alvo fácil.

Este é o checklist que entregamos no final das nossas auditorias iniciais para PMEs. Se sua empresa tem todos estes pontos cobertos, está melhor que a maioria. Se faltam mais de 5, há trabalho a fazer.

Identidades e acessos

  • ☐ Todas as contas administrativas usam senhas robustas únicas (mínimo 16 caracteres).
  • Autenticação multifator (MFA) ativa em todas as contas privilegiadas.
  • ☐ MFA ativa no e-mail corporativo de todos os colaboradores, não só na diretoria.
  • ☐ Existe um processo documentado para revogar acessos quando alguém deixa a empresa.
  • ☐ As contas de ex-colaboradores são eliminadas em até 24 horas da sua saída.
  • ☐ Ninguém compartilha contas administrativas — cada pessoa tem a sua.
  • ☐ Existe um gerenciador de senhas corporativo e todos o usam.

Endpoints e dispositivos

  • ☐ Antivírus ou EDR moderno instalado em todos os equipamentos da empresa.
  • ☐ Criptografia de disco ativada em laptops (BitLocker no Windows, FileVault no Mac).
  • ☐ Bloqueio automático de tela configurado após 5–10 minutos.
  • ☐ Política clara sobre dispositivos pessoais: se usados para trabalho, quais controles aplicam.
  • ☐ Atualizações automáticas de sistema operacional habilitadas.

E-mail

  • DKIM, SPF e DMARC corretamente configurados no seu domínio.
  • ☐ Filtro anti-phishing e anti-spam ativado no provedor de e-mail.
  • ☐ O pessoal sabe a quem reportar e-mails suspeitos e o faz.
  • ☐ Procedimento claro para verificar solicitações incomuns (transferências, mudanças de credenciais) fora do e-mail.

Backups e continuidade

  • ☐ Existem backups automáticos de sistemas críticos.
  • ☐ Os backups estão fora do ambiente principal (não no mesmo servidor).
  • ☐ Foi testada uma restauração com sucesso nos últimos 3 meses.
  • ☐ Existe um inventário claro de quais dados são críticos e onde estão.
  • ☐ Há um plano documentado do que fazer se tudo se perder de um dia para o outro.

Rede e conectividade

  • ☐ A rede Wi-Fi tem criptografia WPA3 ou pelo menos WPA2 com senha forte.
  • ☐ Existe rede separada para convidados sem acesso a recursos internos.
  • ☐ Acesso administrativo a equipamentos críticos apenas pela rede interna ou VPN.
  • ☐ Não há serviços expostos à internet sem necessidade (RDP aberto, painéis administrativos).
  • ☐ Firewall do roteador configurado e revisado periodicamente.

Aplicações e software

  • ☐ Existe um inventário de software instalado em cada equipamento.
  • Patches críticos aplicados em até 30 dias da publicação.
  • ☐ Não há software pirata nem de fontes não verificadas.
  • ☐ As aplicações web próprias usam HTTPS corretamente configurado.
  • ☐ O site está sob monitoramento de disponibilidade.

Pessoas e procedimentos

  • Capacitação de segurança básica ao ingressar e ao menos anual.
  • ☐ Existe política escrita de uso aceitável de tecnologia — e o pessoal a conhece.
  • ☐ Há um responsável claro por segurança — mesmo que parcial.
  • ☐ Pelo menos um simulado de phishing foi feito no último ano.
  • ☐ Existe um canal claro para reportar incidentes de segurança suspeitos.

Documentação e governança

  • ☐ Há um inventário de ativos tecnológicos atualizado.
  • ☐ Há um mapa básico da rede e dos sistemas críticos.
  • ☐ Existe documentação de senhas administrativas em gerenciador seguro.
  • ☐ Há um plano de resposta (mesmo que de uma página) para quando algo acontecer.

Como usar esta lista

Imprima a lista, percorra-a com seu responsável de TI (interno ou externo) e marque o que você já tem. Dos que faltam, identifique os 3–5 mais críticos para o seu contexto e comece por aí.

Se faltam mais de 10 pontos, vale a pena uma auditoria formal. Não para somar mais coisas à lista, mas para entender a ordem de prioridade segundo seu nível real de exposição.

O próximo passo

Na Cytlas oferecemos um diagnóstico gratuito que cobre exatamente esta lista (e mais) em uma sessão de 90 minutos. Ao final você tem clareza sobre onde está e o que corrigir primeiro. Sem compromisso.

Quer saber se sua empresa está exposta?

Solicite um diagnóstico gratuito com o time da Cytlas.

Entrar em contato