Auditoria de segurança: detectar e corrigir riscos em empresas

Auditoria não é só “pentest” — é mapa de sobrevivência

PMEs acreditam que “são pequenas para hackers”. Na prática, são alvo por falta de MFA, RDP exposto, backup que não restaura e ERP desatualizado. Uma auditoria de segurança estruturada lista riscos por impacto e esforço: o que corrigir esta semana vs o que planejar no trimestre. Não exige departamento de 20 pessoas — exige método e parceiro que fala a linguagem do gestor.

Áreas que a auditoria ITC Service cobre

• Identidade — MFA, senhas, contas admin compartilhadas, offboarding de ex-funcionários.
• Endpoint — patches, Defender, USB, software proibido instalado.
• Rede — firewall, Wi-Fi guest isolado, portas expostas (RDP 3389 na internet é alerta crítico).
• Dados — backup testado, retenção, criptografia em notebook de viagem.
• E-mail — SPF/DKIM/DMARC, phishing, regras de encaminhamento suspeitas.
• LGPD operacional — quem acessa quais dados e logs mínimos.

Do relatório à correção

1. Crítico (24–72h) — credencial vazada, backup inexistente, servidor sem patch de CVE conhecido.
2. Alto (30 dias) — MFA em e-mail, segmentar rede, desativar protocolos legados.
3. Médio (90 dias) — política formal, treinamento anti-phishing, inventário de ativos.
4. Monitorar — alertas de log, revisão trimestral, simulação de restore.

Correção sem parar a fábrica

Mudanças em horário controlado, piloto em uma unidade, comunicação clara à equipe. Integração com segurança, e-mail e backup e plano de emergência.

Leia também códigos de evento Windows · spam e phishing · infraestrutura segura · Solicitar auditoria.