O security baseline que SMBs ignoram até serem hackeadas — checklist em 12 itens

90% das pequenas e médias empresas que sofrem incidente de segurança em 2026 fizeram menos de 8 dos 12 itens deste checklist. Aqui está o mínimo viável de segurança para SMB — sem jargão, com prazo e prioridade.

Por Victhor Araújo

Victhor Araújo

A maioria das pequenas e médias empresas só descobre que estava insegura no dia em que é hackeada. Quando vem o post-mortem, três frases se repetem: "achávamos que isso já estava configurado", "ninguém era responsável por isso" e "ia entrar no próximo trimestre".

Segurança em SMB não é sobre comprar produto sofisticado. É sobre fazer o básico — e fazer cedo. Este checklist são 12 itens que ~90% das empresas hackeadas em 2026 não tinham todos em prática. Nenhum requer fornecedor caro. Todos podem ser feitos em 90 dias.

Para founders, CTOs e operadores de SMB que querem cobrir o mínimo antes que um incidente force a conversa.

Checklist é a forma mais barata de garantir que nenhum item crítico ficou esquecido

📋 O checklist em 12 itens

Cada item tem **prioridade** (P0 = primeiros 30 dias, P1 = 60 dias, P2 = 90 dias) e **responsável padrão**.

• MFA em 100% das contas administrativas (e-mail, cloud, banco, GitHub, AWS, Stripe). P0. Responsável: TI/CTO.
• Password manager corporativo com vault compartilhado. Encerra a era de "senha em planilha". P0. Responsável: operações.
• Inventário de SaaS e quem tem acesso ao quê. Spreadsheet basta — mas precisa existir. P0. Responsável: operações.
• Backup automático testado de bancos críticos. Backup que ninguém testou é ficção. P0. Responsável: tech lead.
• Logs centralizados de produção (mesmo que em Cloudwatch básico). Sem log, não há forense. P1. Responsável: tech lead.
• Rotação automática de credenciais de produção a cada 90 dias. Cron job + secrets manager. P1. Responsável: tech lead.
• Scan de vulnerabilidades em dependências (Dependabot, Snyk free tier ou similar). Roda automaticamente em PR. P1. Responsável: tech lead.
• Onboarding/offboarding documentado de funcionário com checklist de acesso. P1. Responsável: RH + TI.
• Política de dispositivo: criptografia de disco e MDM básico (mesmo gratuito como Apple Business Essentials). P2. Responsável: TI.
• Treinamento de phishing trimestral. Pode ser gratuito (Google, Microsoft, KnowBe4 free tier). P2. Responsável: RH.
• Plano de resposta a incidente — quem liga para quem, em quanto tempo, em qual ordem. 1 página, revisado anualmente. P2. Responsável: CTO + jurídico.
• Auditoria anual leve: alguém de fora olha esses 11 itens uma vez por ano. Pode ser fornecedor ou pair de outra empresa. P2. Responsável: CEO.

Cada CVE aberto e cada credencial vazada é uma porta esperando ser aberta

🚨 Por que o item 11 (plano de resposta) é o mais subestimado

No dia do incidente, três coisas decidem o tamanho do estrago: (1) você descobre rápido, (2) você sabe quem chamar, (3) você comunica antes do TechCrunch.

A maioria das empresas falha no item 2. Não sabem se ligam para o provedor de cloud primeiro, para o jurídico, para o cliente, para o seguro, ou para a polícia. Cada hora perdida nessa indecisão custa caro — em dinheiro, em confiança, em manchete.

Um plano de 1 página com 5 nomes, 5 telefones e 3 critérios de severidade resolve isso. Custo de fazer: 2 horas. Custo de não fazer: incalculável.

📊 O que esses 12 itens cobrem (e o que NÃO cobrem)

Os 12 itens são um baseline. Cobrem ~80% dos vetores de ataque comuns a SMB:

• Comprometimento de credencial (itens 1, 2, 6, 8).
• Lateral movement por dependência vulnerável (item 7).
• Phishing e engenharia social (itens 10, 11).
• Perda de dados acidental (itens 4, 5).

NÃO cobrem:

• Ataque de nation-state ou APT — esses requerem nível enterprise.
• Compliance específica (PCI-DSS, HIPAA, SOC 2) — depende do mercado e cliente.
• Zero-trust completo — requer maturidade e investimento maior.

📢 Quer ajuda para implementar esse baseline no seu time? A Revin executa esses 12 itens como parte do nosso pacote de Security Foundations em 60-90 dias.

🎯 Conclusão: o baseline existe para você não chegar ao avançado pelado

A história de segurança que termina mal sempre começa com "achávamos que o básico já estava resolvido". Os 12 itens deste checklist não tornam você invulnerável — tornam você uma alternativa pior do que a empresa ao lado. E na maioria dos ataques oportunistas, isso é o que decide.

Imprime, pendura na parede do CTO, marca prazo. Faz os P0 nas próximas 4 semanas. Os P1 e P2 entram no roadmap do trimestre. Daqui a 90 dias, você está em outra categoria de risco.

📢 Quer ajuda para executar com squad sênior? Agende um Diagnostic Sprint e a gente prioriza junto.