Segurança da informação para empresas: por onde começar sem gastar demais
80% dos incidentes vêm de 20% das falhas evitáveis. Um plano de segurança pragmático, focado em risco real, para empresas que não vão contratar CISO amanhã.

Segurança da informação virou pauta em todo comitê executivo depois que ransomware quebrou empresa conhecida e vazamento levou multa milionária. A resposta natural do gestor é buscar solução robusta, cara e complexa. Na prática, o retorno vem do simples bem feito, não do sofisticado mal implementado.
Este texto é um plano de ação para empresa que não tem time de segurança dedicado. O objetivo é cobrir 80% do risco com esforço concentrado nos controles certos.
Por onde os ataques realmente entram
- Phishing. E-mail que engana o colaborador é a porta de entrada da maioria dos ransomwares.
- Senha vazada. Colaborador reutiliza senha em site que vazou; atacante testa na sua empresa.
- Servidor desatualizado. Falha conhecida, patch existe há meses, ninguém aplicou.
- Configuração errada em nuvem. Bucket S3 aberto, banco de dados exposto na internet.
- Fornecedor comprometido. Você foi atacado porque seu parceiro foi.
Esses cinco vetores respondem por mais de 80% dos incidentes reais no Brasil. Um plano de segurança pragmático ataca esses cinco primeiro.
Os controles básicos que fecham a maior parte da porta
- Autenticação multifator (MFA) em tudo (e-mail, VPN, admin de sistema, banco).
- Gerenciador de senha corporativo (1Password, Bitwarden) para todo colaborador.
- Patch automatizado de sistema operacional e software crítico.
- Backup 3-2-1 (3 cópias, 2 mídias, 1 fora do site) com teste de restore mensal.
- Segregação de rede (produção não conversa com o Wi-Fi do escritório).
- Log centralizado de eventos críticos.
- Antivírus de endpoint moderno (EDR, não antivírus tradicional).
Regra dolorosa mas verdadeira
Pessoas: o vetor mais atacado
- Treinamento anual obrigatório de conscientização (30 minutos, gravado, com quiz).
- Simulação de phishing trimestral. Quem clica, treina de novo, sem punição.
- Política de mesa limpa e tela bloqueada.
- Processo claro para quando alguém sai da empresa (revogação imediata de acessos).
Plano de resposta a incidente em uma página
- Quem lidera (nome, celular).
- Quem comunica interno (RH, comunicação).
- Quem comunica externo (ANPD, jurídico, clientes).
- Como isolar o sistema afetado (procedimento passo a passo).
- Contato do fornecedor de resposta a incidente (se contratado).
Simule uma vez por ano. Sem simulação, o plano não vale o papel.
Quando faz sentido contratar time ou serviço de SOC
- Empresa passou de 100 colaboradores.
- Trata dado sensível em volume (saúde, financeiro, jurídico).
- Já sofreu incidente relevante e o custo de repetição é inaceitável.
- Cliente exige (comum em cadeia de fornecedor de banco e seguradora).
Abaixo desse porte, MSSP (managed security service provider) mensal costuma resolver com fração do custo de contratação.
Checklist prático
- MFA em todas as contas de admin e usuário do e-mail corporativo.
- Gerenciador de senha em uso por todo o time.
- Backup testado (restauração feita nos últimos 30 dias).
- Patch automatizado em servidor e endpoint.
- Treinamento anual de segurança concluído por 100% do time.
- Plano de resposta a incidente escrito e simulado.
Perguntas frequentes
Preciso de certificação ISO 27001?+
Só se o mercado que você atende exige (financeiro, alguns governos). Para a maioria das empresas, boas práticas equivalentes bastam.
Antivírus gratuito serve?+
Não para uso corporativo. EDR moderno (CrowdStrike, SentinelOne, Bitdefender GravityZone) detecta comportamento suspeito, não só vírus conhecido.
Meu backup na nuvem é seguro?+
Depende. Precisa ter versionamento (para ransomware não sobrescrever), criptografia com sua chave e teste de restore periódico.
E se eu sofrer ransomware?+
Não pague. Isole, notifique, restaure do backup e envolva especialista. Pagar não garante nada e financia o próximo ataque.
Sua empresa está segura de verdade ou só acha que está?
Fazemos um assessment de segurança em duas semanas, com mapa de risco priorizado e plano de ação focado no que resolve, sem enrolação.

