Pesquisa de site

Modelo de questionário de segurança de infraestrutura gratuito (edição 2024)

A segurança da infraestrutura é um pilar da segurança cibernética que se concentra na proteção de sistemas críticos, hardware e ativos de software contra ameaças físicas e cibernéticas.

Tanto as ameaças cibernéticas quanto as ameaças físicas podem causar danos significativos à segurança da infraestrutura de uma organização. Ameaças cibernéticas comuns que visam explorar a infraestrutura de rede de uma organização incluem tentativas de phishing, ransomware, malware, explorações de negação de serviço distribuído (DDoS), ataques de firewall e ataques de Internet das Coisas (IoT). As ameaças físicas incluem desastres naturais, interrupções de serviços públicos e vandalismo.

As organizações que fazem parceria com fornecedores terceirizados e mantêm extensas cadeias de suprimentos devem avaliar a força de seus programas de segurança de infraestrutura interna e avaliar as práticas de segurança de seus fornecedores. A melhor maneira de determinar a segurança da infraestrutura de fornecedores terceirizados é desenvolvendo um questionário detalhado de segurança da infraestrutura.

Continue lendo para descobrir quais perguntas fazer aos seus fornecedores e baixe nosso modelo de questionário de segurança de infraestrutura em PDF GRATUITO para ajudar a criar o questionário de fornecedores da sua organização.

Saiba mais sobre a solução completa de gerenciamento de risco de fornecedores da UpGuard>

Benefícios da segurança da infraestrutura

As organizações dependem de tecnologia, sistemas operacionais e ativos de dados para manter as operações e a continuidade dos negócios. O desenvolvimento de um programa robusto de segurança de infraestrutura ajuda uma organização a evitar ataques cibernéticos, violações de dados e outras interrupções que podem causar danos significativos à sua reputação ou lucratividade.

Os principais benefícios da segurança da infraestrutura são:

  • Proteção avançada de dados
  • Garantia de continuidade robusta
  • Proteções para Propriedade Intelectual (PI)
  • Proteções para dados proprietários

Perguntas a serem feitas aos fornecedores sobre infraestrutura e segurança de rede

Ao criar um questionário de segurança de infraestrutura, é importante considerar fazer perguntas aos fornecedores que abranjam cada uma das seguintes categorias:

  • Criptografia de dados
  • Controles de acesso
  • Resposta a incidentes
  • Continuidade de negócios
  • Segurança de rede
  • Segurança física
  • Auditorias e certificações de segurança
  • Gerenciamento de risco do fornecedor
  • Backups e recuperação de dados
  • Treinamento e conscientização de segurança
  • Conformidade e Regulamentos
  • Relatório de incidentes de segurança
  • Seguro de segurança cibernética

Aqui estão algumas perguntas em cada categoria que sua organização pode usar para criar seu questionário de segurança de infraestrutura.

Criptografia de dados

1. Como sua organização criptografa dados ou informações confidenciais durante a transmissão?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Como sua organização criptografa informações ou dados confidenciais em repouso?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

3. Quais protocolos padrão do setor sua organização segue para criptografia de dados?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Controles de acesso

1. Sua organização possui protocolos para gerenciar o acesso do usuário a sistemas e dados críticos?

  • Sim
  • Não
  • [Abra o campo de texto para comentários do fornecedor]

2. Em caso afirmativo, explique seu sistema de gerenciamento de acesso do usuário

  • [Campo de texto aberto para resposta e comentários do fornecedor]

3. Em caso negativo, explique por que sua organização ainda não implementou controles de acesso do usuário.

  • [Campo de texto aberto para resposta e comentários do fornecedor]

4. Descreva o processo de autenticação e autorização da conta da sua organização.

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Resposta a incidentes

1. Sua organização atualmente tem um plano de resposta a incidentes em vigor?

  • Sim
  • Não
  • [Abra o campo de texto para comentários do fornecedor]

2. Em caso afirmativo, descreva este plano de resposta a incidentes e como sua organização lidou com violações de segurança no passado.

  • [Campo de texto aberto para resposta e comentários do fornecedor]

3. Em caso negativo, explique se sua organização está atualmente elaborando um plano de resposta a incidentes ou por que não seguiu esse plano.

  • [Campo de texto aberto para resposta e comentários do fornecedor]

4. Sua organização tem uma equipe de segurança dedicada?

  • Sim
  • Não
  • [Abra o campo de texto para comentários do fornecedor]

5. Como sua organização detecta incidentes de segurança?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

6. Com que rapidez sua organização responde a incidentes de segurança?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Continuidade de negócios

1. Sua organização tem atualmente um plano de continuidade de negócios em vigor?

  • Sim
  • Não
  • [Abra o campo de texto para comentários do fornecedor]

2. Em caso afirmativo, descreva este plano de continuidade de negócios e como sua organização lidou com violações de segurança no passado.

  • [Campo de texto aberto para resposta e comentários do fornecedor]

3. Em caso negativo, explique se sua organização está elaborando um plano de continuidade de negócios ou por que ainda não o seguiu.

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Segurança de rede

>

1. Quais controles de segurança sua organização possui para proteger sua infraestrutura de rede contra acesso não autorizado?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Como sua organização protege suas redes e dados contra acesso não autorizado?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

3. Como sua organização detecta o acesso não autorizado?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

4. Qual processo de correção sua organização segue quando detecta uma invasão de rede?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Segurança física

1. Como sua organização protege seus data centers físicos ou infraestrutura crítica contra acesso não autorizado?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Quais políticas de segurança sua organização possui para gerenciar a validação do usuário e o acesso a data centers físicos?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Auditorias e Certificações de Segurança

1. Com que frequência sua equipe de segurança realiza avaliações de segurança para avaliar os padrões internos de segurança e gerenciar o risco de segurança cibernética?

  • Todos os anos
  • A cada trimestre
  • Conforme necessário
  • Outro (explique abaixo)
  • [Abra o campo de texto para comentários do fornecedor]

2. Com que frequência sua equipe de segurança realiza autoavaliações para avaliar como gerencia o risco herdado de provedores de serviços terceirizados?

  • Todos os anos
  • A cada trimestre
  • Conforme necessário
  • Outro (explique abaixo)
  • [Abra o campo de texto para comentários do fornecedor]

3. Sua organização realiza testes de penetração ou outros testes preventivos regularmente?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

4. Sua organização concluiu as certificações relevantes (ISO 27001 ou estrutura comparável)?

  • Sim (por favor, liste abaixo)
  • Não
  • [Abra o campo de texto para comentários do fornecedor]

Gerenciamento de risco do fornecedor

1. Como sua organização avalia as práticas de segurança de seus fornecedores terceirizados?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Sua organização envia questionários de avaliação de risco aos fornecedores regularmente?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Quais requisitos de segurança sua organização impõe aos fornecedores?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Backups e recuperação de dados

1. Com que frequência sua organização realiza backups de dados ou manutenção de recuperação de segurança na nuvem?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Treinamento e conscientização de segurança

1. Como sua organização treina funcionários e principais partes interessadas sobre a importância das melhores práticas de segurança cibernética?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Qual programa de segurança sua organização possui para promover uma cultura de higiene cibernética saudável?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Conformidade e Regulamentos

1. Como sua organização garante a conformidade contínua com os regulamentos de privacidade e proteção de dados do setor (GDPR, HIPAA, etc.)?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Como sua organização lida com novos padrões de conformidade quando eles surgem?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Relatório de incidentes de segurança

1. Como sua organização documenta os incidentes de segurança quando eles ocorrem?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

2. Como sua organização comunica incidentes de segurança a clientes relevantes?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

Seguro de segurança cibernética

1. Sua organização possui uma apólice de seguro cibernético?

  • Sim
  • Não
  • [Abra o campo de texto para comentários do fornecedor]

2. Em caso afirmativo, o que a política da sua organização cobre?

  • [Campo de texto aberto para resposta e comentários do fornecedor]

3. Se não, sua organização buscará uma apólice de seguro cibernético no futuro?

  • Sim
  • Não
  • [Abra o campo de texto para comentários do fornecedor]

O UpGuard é uma solução completa de segurança cibernética SaaS que concede aos usuários acesso a uma biblioteca abrangente de questionários que inclui um questionário de segurança de infraestrutura, questionário de fornecedor e outros questionários de segurança que atendem aos padrões do setor para segurança de dados e segurança física. As organizações que buscam melhorar seus protocolos de due diligence de fornecedores e desenvolver programas robustos de gerenciamento de riscos podem usar a biblioteca de questionários da UpGuard para identificar e mitigar os riscos de segurança da informação em todo o ciclo de vida do fornecedor terceirizado.

Além de sua abrangente biblioteca de questionários de segurança, o UpGuard Vendor Risk também fornece às organizações acesso a várias outras ferramentas poderosas de gerenciamento de risco do fornecedor (VRM).

Recursos notáveis e casos de uso do UpGuard Vendor Risk incluem:

  • Classificações de segurança do fornecedor: entenda instantaneamente a postura de segurança do seu fornecedor
  • Avaliações de risco do fornecedor: automatize suas avaliações de risco e reduza o tempo necessário para avaliar fornecedores novos e existentes
  • Classificação de fornecedores: classifique os fornecedores com base em seu nível de risco cibernético inerente e na tolerância de risco exclusiva de sua organização
  • Relatórios de conformidade: mapeie os detalhes do fornecedor em relação a estruturas de conformidade comuns (Instituto Nacional de Padrões e Tecnologia NIST, ISO 27001, PCI, etc.) e outras iniciativas
  • Detecção de vazamento de dados do fornecedor: evite o vazamento de dados devido a violações de terceiros, tentativas de phishing, ransomware, vulnerabilidades de endpoint e outras ameaças cibernéticas
  • Monitoramento contínuo de fornecedores 24 horas por dia, 7 dias por semana: receba atualizações em tempo real quando as classificações de segurança do seu fornecedor mudarem
  • Integrações de terceiros: configure o UpGuard em suas ferramentas de segurança e aplicativos da web existentes

Comece sua avaliação gratuita do UpGuard agora mesmo.

Artigos relacionados