WUKON SECURITY
 ← Voltar
Documento de Referência

Requisitos de Segurança
para Empresas Sérias.

Doze eixos que definem o nível mínimo de maturidade que toda empresa que opera com dados, aplicações e clientes deveria atingir. Sem ferramenta como muleta. Sem buzzword. Sem promessa.

VERSÃO1.0. Pública
EXTENSÃO12 eixos
PÚBLICOC-level e Tecnologia
AUTORWukon Security

/ 01Sumário Executivo

Este documento define o que uma empresa precisa ter, na prática, para operar com segurança em um ambiente onde ataques são automatizados, oportunistas e cada vez mais lucrativos para quem os executa. Não é um checklist genérico. É uma referência de maturidade construída em cima de cinco frentes que, juntas, sustentam uma operação digital saudável.

Os cinco grandes eixos abordados são:

  • Proteção da infraestrutura. Garantir que servidores, redes e sistemas sejam configurados, atualizados e isolados de modo a reduzir a superfície de ataque.
  • Continuidade operacional. Assegurar que a empresa continue funcionando mesmo diante de falhas técnicas, ataques ou perda de dados, com cópias de segurança que realmente funcionam quando precisam.
  • Conformidade legal. Atender às obrigações da legislação brasileira de proteção de dados pessoais e demonstrar essa conformidade quando exigido.
  • Segurança no desenvolvimento. Incorporar segurança ao processo de criar e atualizar software, evitando que vulnerabilidades nasçam dentro do próprio produto.
  • Monitoramento. Saber, em tempo real, o que está acontecendo no ambiente, para detectar ataques no início e não no momento do prejuízo.
Por que isso importa Empresas que não tratam esses cinco eixos como obrigatórios pagam o custo de duas formas: incidentes que paralisam a operação ou multas e perda de reputação por falhas de conformidade. Em ambos os casos, é mais caro do que prevenir.

/ 02Princípios e Arquitetura de Referência

Antes de qualquer ferramenta ou tecnologia, segurança é uma decisão de arquitetura. Os princípios abaixo orientam toda a estratégia e devem estar presentes em qualquer projeto novo da empresa.

Defesa em camadas

Nenhum controle isolado é suficiente. Se um atacante passa pela primeira barreira, deve encontrar uma segunda, depois uma terceira. Cada camada compensa a falha potencial da anterior. Na prática: barreira de proteção contra ataques na internet, autenticação forte para entrar no sistema, segmentação interna entre ambientes e auditoria de tudo o que acontece dentro.

Menor privilégio

Cada pessoa, sistema ou aplicação só recebe o acesso estritamente necessário para executar sua função. Nada além. Esse princípio reduz drasticamente o estrago de qualquer credencial comprometida. Aplica-se a colaboradores, prestadores, integrações entre sistemas e contas de serviço.

Confiança zero

Estar dentro da rede da empresa não é mais sinônimo de ser confiável. Toda requisição é validada como se viesse de fora: identidade verificada, contexto avaliado, permissão concedida apenas para aquela operação específica. É a postura defensiva que assume que o atacante já está dentro. E age de acordo.

Arquitetura de referência

A infraestrutura deve ser organizada em zonas com responsabilidades distintas e bem isoladas:

  • Zona pública. Onde o tráfego da internet chega, protegida pela barreira contra ataques web e por mecanismos de filtragem.
  • Zona de aplicação. Onde os sistemas que servem o usuário rodam, sem acesso direto da internet.
  • Zona de dados. Onde informações sensíveis e bancos de dados ficam armazenados, acessíveis apenas pela camada de aplicação e jamais pela internet.
  • Zona administrativa. Canal separado e controlado para manutenção, com autenticação reforçada.

/ 03Configuração Segura de Servidores

Todo servidor precisa nascer seguro. Isso significa que, antes de receber qualquer carga de produção, ele passa por um procedimento padronizado de proteção e endurecimento que elimina configurações de fábrica inseguras e reduz sua superfície de ataque ao mínimo necessário.

Procedimento de provisionamento

  • Sistema operacional atualizado. Todas as correções de segurança aplicadas antes da entrada em operação. Atualizações automáticas configuradas para correções críticas.
  • Serviços desnecessários desligados. Só permanecem ativos os componentes que efetivamente serão usados. Cada serviço a mais é uma porta a mais.
  • Acesso administrativo restrito. Login com chaves criptográficas no lugar de senhas, acesso direto bloqueado para a internet, e acesso administrativo apenas a partir de redes confiáveis ou através de canal seguro dedicado.
  • Verificação em duas etapas obrigatória. Para todo acesso administrativo, sem exceção.
  • Firewall configurado por padrão. Política inicial nega tudo. Apenas as portas estritamente necessárias são liberadas, e somente para os destinos autorizados.
  • Senhas e chaves nunca em texto puro. Qualquer credencial necessária é guardada em um cofre dedicado, com auditoria de quem acessou e quando.
  • Logs ativados desde o início. Eventos de autenticação, mudanças administrativas e erros são gravados e enviados para a central de monitoramento antes mesmo do servidor entrar em produção.
  • Marcação e inventário. Todo servidor tem dono, propósito e classificação registrados. Recurso sem dono identificado é recurso esquecido. E esquecido vira porta de entrada.
Risco mitigado Mais de metade dos comprometimentos em provedores de nuvem ocorrem em servidores recém-criados, ainda em configuração padrão de fábrica, expostos à internet por minutos ou horas. Um procedimento padronizado de provisionamento elimina essa janela.

/ 04Segurança da Camada de Aplicação

É na aplicação. O sistema com o qual o usuário final interage. Que a maior parte dos ataques modernos é direcionada. Aqui, segurança se traduz em escolhas conscientes na configuração do servidor web, na linguagem de desenvolvimento usada e no banco de dados que armazena as informações.

Servidor web

  • Tráfego sempre criptografado. Todas as conexões com o usuário são protegidas por certificado válido, com versões antigas e inseguras de protocolo desativadas.
  • Cabeçalhos de segurança aplicados. Orientações que dizem ao navegador do usuário como se comportar com o conteúdo do site, prevenindo ataques de injeção, sequestro de sessão e clonagem visual.
  • Barreira de proteção contra ataques na internet ativa, configurada para o perfil de tráfego real da aplicação e não em modo genérico.
  • Limites de requisição. Proteção contra abuso automatizado e ataques de força bruta em telas de autenticação.

Linguagem de desenvolvimento

  • Versão sempre suportada. Versões fora de suporte oficial não recebem correções de segurança. Migrar antes do fim de vida é regra, não exceção.
  • Bibliotecas de terceiros monitoradas. Toda dependência externa é catalogada e verificada continuamente contra bancos públicos de vulnerabilidades.
  • Mensagens de erro silenciosas em produção. O usuário comum nunca deve ver detalhes técnicos. Atacantes adoram pistas vindas de mensagens detalhadas.
  • Validação rigorosa de tudo o que entra. Qualquer dado vindo do usuário é tratado como potencialmente malicioso até prova em contrário.

Banco de dados

  • Acesso isolado da internet. O banco nunca é exposto diretamente. Só a aplicação fala com ele, e apenas pela rede interna.
  • Credenciais únicas por aplicação. Cada sistema usa um usuário próprio com permissões mínimas para sua função.
  • Criptografia em repouso. Informações sensíveis armazenadas no banco já ficam protegidas por criptografia, de modo que mesmo um furto de disco não revela seu conteúdo.
  • Auditoria de operações sensíveis. Alterações em dados críticos, exportações e acessos administrativos ficam registrados para análise posterior.

/ 05Backup, Recuperação e Continuidade

Backup que ninguém testa é torcida, não é segurança. A estratégia de cópias de segurança protege a empresa contra três cenários distintos: falha técnica, erro humano e ataque de sequestro de dados. Cada um exige uma resposta diferente, e a estratégia precisa cobrir os três.

Estratégia 3-2-1

A regra de ouro internacional: pelo menos três cópias dos dados, em dois tipos diferentes de armazenamento, sendo uma delas em localização separada. Isso garante que nenhum evento isolado consiga destruir todas as cópias ao mesmo tempo.

Frequência e retenção

  • Dados críticos de negócio. Cópias frequentes ao longo do dia, não apenas diárias.
  • Retenção em camadas. Cópias diárias por algumas semanas, semanais por meses, mensais por anos. Permite recuperar tanto um erro detectado ontem quanto fraude descoberta seis meses depois.

Imutabilidade

Pelo menos uma cópia precisa ser armazenada em modo imutável. Ou seja, não pode ser apagada nem alterada nem por administradores, durante o período de retenção definido. Essa é a defesa específica contra ataques de sequestro de dados, em que o invasor tenta destruir os backups antes de pedir resgate.

Teste de recuperação

O backup só existe de verdade no dia em que é restaurado com sucesso. Por isso, recuperação é testada em ciclo regular, não apenas quando ocorre um problema. A empresa precisa saber:

  • Quanto tempo leva para restaurar cada sistema crítico (objetivo de tempo de recuperação).
  • Quanto de dado é aceitável perder no pior cenário (objetivo de ponto de recuperação).
  • Quem executa o procedimento e em que ordem os sistemas voltam ao ar.
Risco mitigado Estatísticas do setor mostram que mais de 30% das empresas que descobrem um problema sério no backup só o descobrem na hora de usá-lo. Teste regular muda esse número para zero.

/ 06Disponibilidade e Resiliência

Uma infraestrutura resiliente é aquela que continua funcionando mesmo quando algum componente falha. Isso não é luxo. É o mínimo esperado por qualquer cliente que dependa dos sistemas da empresa para fechar negócio.

Sem ponto único de falha

Todo componente crítico deve ter redundância. Se um servidor cai, outro assume. Se uma rede fica indisponível, há caminho alternativo. Se uma região do provedor de nuvem para, a operação continua em outra. A pergunta de teste é simples: se este equipamento queimar agora, o que acontece com a operação? Se a resposta for "tudo para", o desenho está errado.

Distribuição de carga

Tráfego é distribuído automaticamente entre múltiplos servidores. Isso não só absorve picos sem indisponibilidade como permite manutenção sem interrupção do serviço.

Metas realistas de disponibilidade

Empresas sérias declaram suas metas de disponibilidade em números, não em adjetivos. Em vez de prometer "alta disponibilidade", definem com clareza:

  • Quantas horas de indisponibilidade são aceitáveis por ano.
  • Qual o tempo máximo aceitável para detectar uma falha.
  • Qual o tempo máximo aceitável para restabelecer o serviço após detecção.

Essas metas viram contrato com o negócio e indicador de desempenho da operação técnica.

/ 07Segurança no Ciclo de Desenvolvimento

A maioria das vulnerabilidades nasce no momento em que o software é escrito. Tratar segurança apenas depois do produto pronto custa caro e tarde. A solução é incorporar verificações automáticas e práticas seguras ao longo de todo o processo de desenvolvimento. Uma cultura conhecida como desenvolvimento, segurança e operação integrados.

Revisão obrigatória de código

Nenhuma alteração entra em produção sem ser revisada por outra pessoa qualificada. Isso captura erros, propaga conhecimento entre o time e cria responsabilidade compartilhada.

Testes automáticos de segurança

O processo automatizado de entrega de software roda, a cada nova versão, uma série de verificações:

  • Análise estática do código. Busca por padrões inseguros antes mesmo de o código rodar.
  • Análise de bibliotecas de terceiros. Checagem se alguma dependência tem vulnerabilidade conhecida.
  • Testes dinâmicos. Simulação de ataques contra a aplicação em ambiente controlado.
  • Verificação de credenciais expostas. Alerta caso senhas ou chaves apareçam no código por engano.

Gestão de senhas e tokens

Credenciais nunca ficam no código. Ficam em um cofre dedicado, acessadas pelas aplicações em tempo de execução. Trocas de credenciais e revogação são procedimentos rotineiros, não eventos excepcionais.

Infraestrutura como código

O ambiente de produção é descrito em arquivos versionados, da mesma forma que o software. Isso garante três coisas críticas: ambientes idênticos entre desenvolvimento, teste e produção; capacidade de reconstruir tudo do zero em caso de desastre; e rastreabilidade total de quem mudou o quê e quando.

Por que isso importa Vulnerabilidades introduzidas no código custam, em média, dez vezes mais para corrigir depois que o software está em produção. Quanto mais cedo segurança entra no processo, menor o custo total.

/ 08Monitoramento, Logs e Centralização de Eventos

Não se defende o que não se enxerga. Por isso, todo evento relevante. Autenticações, mudanças administrativas, falhas de aplicação, comportamento anômalo. É registrado, centralizado e analisado em tempo real por uma central de monitoramento de eventos de segurança.

O que precisa ser monitorado

  • Acessos administrativos. Quem entrou, quando, de onde, e o que fez.
  • Tentativas de autenticação falhas. Picos podem indicar ataque automatizado em curso.
  • Mudanças em configurações sensíveis. Toda alteração em permissões, regras de firewall ou políticas de acesso.
  • Comportamento anômalo de aplicações. Picos súbitos de erro, requisições incomuns, padrões fora do normal.
  • Eventos de proteção. Bloqueios pela barreira de proteção, alertas de antivírus, detecções em endpoints.
  • Operações sobre dados sensíveis. Exportações em massa, consultas atípicas, downloads fora do horário.

Centralização e correlação

Logs espalhados em sistemas isolados não contam história nenhuma. A central de monitoramento agrega tudo num único lugar, correlaciona eventos vindos de fontes diferentes e dispara alertas quando o padrão indica ameaça real. Não a cada barulho.

Detecção orientada a comportamento

O monitoramento mais eficaz não busca apenas "assinaturas" de ataques conhecidos. Ele aprende o que é normal para cada usuário, sistema e horário, e alerta quando algo foge do padrão. Esse tipo de análise pega ataques inéditos, ameaças internas e comprometimentos sutis que escapam de regras estáticas.

Princípio de fidelidade

Mais alertas não significa mais segurança. Significa mais barulho. A regra é simples: cada alerta gerado deve, na maior parte do tempo, valer a investigação de um analista. Alertas que sempre são falso-positivos são desligados ou reescritos.

/ 09Resposta a Incidentes

Incidentes vão acontecer. A diferença entre uma empresa que resiste e uma que tem prejuízo público está no que acontece nas primeiras horas. Por isso, a resposta a incidentes não é improvisada no momento. É um processo escrito, treinado e disponível antes da crise.

Fases do processo

  • Preparação. Definir papéis, treinar o time, manter contatos de emergência atualizados, pré-aprovar ações que precisam de agilidade.
  • Identificação. Confirmar se um alerta é, de fato, um incidente, e classificar sua severidade.
  • Contenção. Limitar o estrago. Isolar sistemas afetados, revogar credenciais comprometidas, parar a sangria.
  • Erradicação. Eliminar a causa do problema, não apenas o sintoma. Aplicar correções, remover acesso indevido, fechar a porta de entrada usada pelo invasor.
  • Recuperação. Restaurar serviços de forma controlada e monitorada, garantindo que o ambiente está limpo antes de voltar ao normal.
  • Lições aprendidas. Análise honesta do que falhou, com mudanças concretas em controles, processos ou treinamento. Sem essa fase, o próximo incidente é igual ao anterior.

Papéis definidos

Em incidente, ninguém pode estar perguntando quem decide o quê. Os papéis são definidos antes:

  • Coordenador do incidente. Quem conduz e toma as decisões táticas.
  • Equipe técnica. Quem investiga, contém e erradica.
  • Comunicação. Quem fala com clientes, imprensa e órgãos reguladores. Geralmente não é a mesma pessoa que está investigando.
  • Jurídico. Quem avalia obrigações de notificação a autoridades e implicações contratuais.
  • Direção executiva. Quem aprova decisões de alto impacto, como suspender serviços ou comunicar publicamente.

/ 10Proteção de Dados e Conformidade com a LGPD

A Lei Geral de Proteção de Dados Pessoais não é só uma obrigação burocrática. É um conjunto de princípios que protege a empresa juridicamente e protege os clientes contra uso indevido de suas informações. O cumprimento exige uma combinação de medidas legais, técnicas e organizacionais.

Mapeamento de tratamento

A empresa precisa saber, com clareza, quais dados pessoais coleta, com qual finalidade, por quanto tempo guarda e com quem compartilha. Esse mapa é a base de tudo. Sem ele, é impossível responder com honestidade às perguntas que a lei e os clientes vão fazer.

Direitos dos titulares

Toda pessoa cujos dados estão sob responsabilidade da empresa tem direitos garantidos por lei: confirmar se há tratamento, acessar os dados, corrigi-los, pedir anonimização, transferir para outro prestador e, em certos casos, pedir exclusão. A empresa precisa de um canal claro para receber essas solicitações e de um processo capaz de respondê-las nos prazos legais.

Documentação obrigatória

  • Registro de operações de tratamento. Documento formal exigido pela autoridade nacional, listando todas as atividades.
  • Relatório de impacto. Para tratamentos de risco mais alto, avaliação prévia das medidas de proteção.
  • Política de privacidade clara. Em linguagem acessível ao titular, sem subterfúgios jurídicos.
  • Encarregado nomeado. Pessoa formalmente responsável pela conformidade, com canal público de contato.

Em caso de vazamento

Se ocorrer um incidente envolvendo dados pessoais, há obrigações legais de comunicação à autoridade nacional e, em certos casos, aos próprios titulares. Os prazos são curtos. A empresa precisa estar preparada para:

  • Avaliar rapidamente o risco aos titulares e a quantidade de pessoas afetadas.
  • Comunicar a autoridade nacional dentro do prazo razoável definido em lei.
  • Comunicar os titulares quando o risco for relevante.
  • Documentar todas as decisões tomadas durante o tratamento do incidente.

/ 11Políticas Internas e Cultura de Segurança

Tecnologia sem cultura é controle que ninguém respeita. As políticas formais e o comportamento diário do time são tão importantes quanto qualquer ferramenta. Sem eles, qualquer investimento em segurança vira teatro.

Políticas formais necessárias

  • Política de segurança da informação. Documento mestre que define princípios, responsabilidades e regras gerais.
  • Política de uso aceitável. O que é permitido e o que não é com os recursos da empresa.
  • Política de acesso. Como se concede, revisa e revoga acesso a sistemas.
  • Política de classificação de informação. Quais informações são públicas, internas, restritas ou confidenciais, e como cada classe é tratada.
  • Política de uso de dispositivos pessoais. Regras para quem usa equipamento próprio em atividades da empresa.
  • Política de fornecedores. Exigências de segurança para terceiros que tocam em dados da empresa.

Onboarding de colaboradores

Todo novo colaborador, no primeiro dia, recebe acesso só ao que precisa para o cargo, é treinado sobre as políticas vigentes, ativa a verificação em duas etapas em todas as ferramentas e assina os termos de confidencialidade aplicáveis. Acesso é evento documentado, não favor concedido.

Desligamento

No momento da saída. Voluntária ou não. Todos os acessos são revogados em uma janela curta e definida. Equipamentos são recolhidos. Dados pessoais do ex-colaborador são tratados conforme a lei. Esse processo é checklist auditável, não memória de gestor.

Cultura de segurança

Treinamentos regulares, simulações de tentativa de fraude por mensagens enganosas, comunicação aberta sobre incidentes do mercado e reconhecimento de quem reporta problemas. Segurança não é responsabilidade só do time técnico. É compromisso de todos. Empresas onde o estagiário se sente seguro para apontar uma falha funcionam melhor que empresas onde só o gerente fala.

Princípio A maior parte dos ataques bem-sucedidos não explora falha técnica complexa. Explora pessoa cansada clicando no link errado. Cultura é o controle mais barato e mais eficaz que existe.

/ 12Plano de Implementação

Implementar tudo de uma vez é receita para não implementar nada. A abordagem realista é faseada, com prioridades claras e métricas que mostram avanço real.

Fase 1. Fundação (primeiros 90 dias)

  • Inventário completo de ativos, sistemas e dados.
  • Verificação em duas etapas obrigatória em todos os acessos administrativos.
  • Procedimento padrão de provisionamento de servidores.
  • Cópias de segurança implementadas no padrão 3-2-1, com pelo menos uma cópia imutável.
  • Mapeamento inicial de tratamento de dados pessoais.

Fase 2. Estruturação (90 a 180 dias)

  • Central de monitoramento de eventos em produção, com regras iniciais de detecção.
  • Processo automatizado de entrega de software com testes de segurança integrados.
  • Cofre de credenciais em uso por todas as aplicações.
  • Plano de resposta a incidentes escrito e validado em simulação.
  • Políticas formais aprovadas e comunicadas ao time.

Fase 3. Maturação (180 a 365 dias)

  • Detecção orientada a comportamento ativa, com cobertura ampla das técnicas conhecidas de ataque.
  • Teste de recuperação executado em ciclo regular, com métrica clara de tempo de retomada.
  • Programa contínuo de treinamento e simulações para o time.
  • Auditoria interna anual e revisão das políticas.
  • Indicadores de segurança consolidados em painel apresentado à direção.

Métricas de progresso

O avanço é medido em números, não em sensação:

  • Tempo médio de detecção de incidentes. Quanto tempo entre o evento e o alerta acionável.
  • Tempo médio de resposta. Quanto tempo entre o alerta e a contenção.
  • Cobertura de monitoramento. Quantas técnicas conhecidas de ataque o ambiente é capaz de detectar.
  • Sucesso em testes de recuperação. Quantos testes recentes restauraram o ambiente dentro da meta.
  • Atendimento de solicitações de titulares. Quantas foram respondidas dentro do prazo legal.

Quer aplicar isso na sua empresa?

A gente avalia o seu cenário, aponta o que está faltando e prioriza o que dá retorno mais rápido. Diagnóstico em 24 horas. Sem proposta de 40 slides.

Solicitar diagnóstico