Uma revisão anual de cibersegurança é o equivalente digital de uma revisão ao carro: identifica o que está a funcionar, o que precisa de atenção e o que representa risco se não for tratado. Para uma PME portuguesa, esta revisão não precisa de ser um projecto complexo — com o checklist certo, pode ser feita em algumas horas e proporciona uma visão clara do estado de segurança da empresa.
Este checklist cobre os pontos críticos que qualquer PME deve verificar anualmente. Se quiser ir além e ter um plano de cibersegurança completo e estruturado, o nosso Guia de Cibersegurança para PMEs é o ponto de partida ideal.
Porquê Fazer uma Revisão Anual?
A paisagem de ameaças muda constantemente. Novas vulnerabilidades são descobertas, novos tipos de ataque emergem, a empresa cresce e os sistemas mudam, colaboradores entram e saíem. Uma revisão anual garante que as medidas de segurança acompanham essa evolução — e que não há lacunas acumuladas que os atacantes possam explorar.
Em Portugal, a Diretiva NIS2 e o RGPD exigem revisões regulares das medidas de segurança. Documentar a sua revisão anual é evidência de conformidade em caso de auditoria ou incidente.
Checklist Completo — Parte 1: Acessos e Identidades
☐ Inventário de contas de utilizador: Liste todas as contas activas nos sistemas da empresa. Identifique contas de ex-colaboradores que não foram eliminadas — são uma vulnerabilidade frequente e muitas vezes esquecida.
☐ Princípio do menor privilégio: Reveja os acessos de cada colaborador. Cada pessoa deve ter acesso apenas ao que precisa para as suas funções. Remova acessos desnecessários acumulados ao longo do tempo.
☐ Contas de administrador: Quantas contas têm privilégios de administrador? Devem ser o mínimo possível. O dia-a-dia nunca deve ser feito com conta de administrador.
☐ Autenticação em dois fatores: O 2FA está activo em todos os sistemas críticos — e-mail, banca, ERP, CRM, acesso remoto? Leia o nosso guia de 2FA se ainda não o implementou.
☐ Palavras-passe: Todos os colaboradores usam um gestor de palavras-passe? As palavras-passe padrão de routers, impressoras e outros equipamentos foram alteradas? Ver o nosso guia de gestores de passwords.
Checklist — Parte 2: Sistemas e Software
☐ Actualizações de segurança: Todos os sistemas operativos, aplicações e firmware de equipamentos de rede estão actualizados? As actualizações automáticas estão activadas? As vulnerabilidades não corrigidas são a porta de entrada mais comum para atacantes.
☐ Software obsoleto: Existe software que já não recebe actualizações de segurança (End of Life)? O Windows 10 chega ao fim de suporte em Outubro de 2025 — sistemas ainda a correr versões desactualizadas são vulnerabilidades sérias.
☐ Antivírus e EDR: Todos os dispositivos têm proteção antivírus activa e actualizada? As definições de vírus são actualizadas automaticamente?
☐ Firewall: O firewall da rede está activo e correctamente configurado? Os logs são revistos regularmente? Leia o nosso guia sobre firewalls para PMEs.
☐ Inventário de dispositivos: Tem uma lista actualizada de todos os dispositivos que acedem à rede da empresa — computadores, telемóveis, tablets, impressoras, câmeras? Um dispositivo desconhecido na rede é um risco.
Checklist — Parte 3: Dados e Backups
☐ Backup funcionante: Os backups estão a ser feitos conforme planeado? Quando foi a última vez que testou a restauração? Um backup não testado pode não funcionar quando mais precisa.
☐ Regra 3-2-1: Tem 3 cópias dos dados críticos, em 2 tipos de suporte diferentes, com 1 cópia offsite (ou na cloud)? Ver o nosso guia da regra 3-2-1.
☐ Classificação de dados: Sabe que dados da empresa são mais críticos? Onde estão armazenados? Quem tem acesso? Os dados pessoais de clientes têm requisitos especiais ao abrigo do RGPD.
☐ Dados em dispositivos pessoais: Os colaboradores guardam dados da empresa em dispositivos pessoais? Se sim, que políticas existem para proteger esses dados?
Checklist — Parte 4: Fornecedores e Terceiros
☐ Inventário de fornecedores com acesso: Que fornecedores têm acesso a sistemas ou dados da empresa? Contabilistas, advogados, fornecedores de software, técnicos de IT externos? Cada um representa um risco de terceiros.
☐ Contratos com cláusulas de segurança: Os contratos com fornecedores que tratam dados da empresa incluem obrigações de segurança e confidencialidade? O RGPD exige acordos de processamento de dados com todos os subcontratantes.
☐ Acessos de fornecedores: Os fornecedores têm acesso apenas ao que precisam? Os acessos são revogados quando terminam os projectos?
Checklist — Parte 5: Pessoas e Processos
☐ Formação de colaboradores: Todos os colaboradores receberam formação sobre cibersegurança no último ano? Sabem reconhecer phishing, engenharia social e smishing/vishing?
☐ Política de cibersegurança: Existe uma política documentada e comunicada a todos? Foi revista no último ano? Ver o nosso guia de política de cibersegurança.
☐ Plano de resposta a incidentes: Sabe o que fazer se a empresa for atacada? Tem os contactos certos documentados (CNCS, banco, fornecedor de IT)? Ver o nosso guia de resposta a incidentes.
☐ Simulação de phishing: Realizou algum teste de phishing simulado para avaliar a consciencialização da equipa?
Como Usar Este Checklist
Percorra cada item, marque os que estão implementados e anote os que precisam de atenção. Priorize por risco: os itens de acessos e backups são tipicamente os mais críticos. Para cada lacuna identificada, defina um responsável e um prazo realista.
O objectivo não é a perfeição imediata — é o progresso consistente. Cada item implementado reduz o risco. O CNCS disponibiliza recursos adicionais de auto-avaliação em cncs.gov.pt.
Este checklist é um ponto de partida. Para um plano de cibersegurança completo, com guias detalhados para cada área e ferramentas recomendadas para PMEs portuguesas:
Leave a Reply