1/6
questionário
Por favor aguarde..
Risco Ciber Ataque
..
...
...
....
Prémio total anual para capitais anuais de 50.000,00€ : 0
Prémio total anual para capitais anuais de 100.000,00€ : 0
Consulte o seu e-mail para obter um modelo de cibersegurança.
Consulte o seu e-mail para verificar a nossa proposta, bem como a respectiva
documentação associada ao produto Caravela Ciber
Tendo em conta a dimensão e o volume de faturação da sua empresa, não nos é possível apresentar uma proposta de Seguro.
Brevemente iremos entrar em contacto consigo, de forma a apresentarmos uma cotação de acordo com as necessidades do seu negócio.
QUESTIONÁRIO
Agradecemos o seu interesse em conhecer o seu nível de maturidade em cibersegurança.
Este questionário inicia-se com levantamento de dados e contextualização de negócio, seguindo-se algumas questões técnicas quantitativas sobre práticas e políticas de gestão de risco e de cibersegurança.
No final saberá o nível de maturidade em cibersegurança e o score de risco da sua empresa.
* 1. Informação do Contacto
NOME
E-MAIL
MORADA
CONTACTO
TIPO DE CLIENTE
NIPC
PAÍS
Aceito a política de privacidade e termos e condições.
Autorizo que as informações e dados pessoais fornecidos sejam tratados pela Caravela e Multicert, para efeitos de análise de risco associado ao produto.
* 2. Dados da Empresa
EMPRESA
ACTIVIDADE (CAE)
FACTURAÇÃO ÚLTIMO ANO
FACTURAÇÃO ANO CORRENTE
* 3. Limite de Indemnização pretendido
50.000,00€
100.000,00€
* 4. Qual é a dimensão da sua empresa?
Até 250.000€
De 250.001€ a 500.000€
De 500.001€ a < 1.000.000€
> 1.000.000€
* 5. Descreva a Atividade principal / Setor de atuação / Indústria
Questionário de Avaliação do Nível de Maturidade em Cibersegurança
Este questionário de avaliação procura conhecer as práticas operacionais para cada área de controle na sua empresa, bem como a eficácia e maturidade da organização nas políticas e procedimentos internos. A pessoa responsável pelo preenchimento deste questionário deve garantir a veracidade das respostas, devendo estas ser representativas da realidade atual da sua empresa.
* 1. Têm implementada uma estratégia de gestão de risco de cibersegurança?
Sim. A Cibersegurança é uma questão crítica para nós. Temos uma estratégia de gestão de riscos documentada e periodicamente atualizada para reflectir o ambiente atual de ameaças. Os riscos organizacionais são categorizados, priorizados e as abordagens de respostas definidas.
Temos uma estratégia documentada de risco de cibersegurança que disponibiliza uma abordagem para priorização de riscos. Serve principalmente como um guia para implementação de novos sistemas.
Ainda não temos uma estratégia documentada de gestão de risco de cibersegurança, embora saibamos que precisamos de uma. Estamos a tomar medidas para analisar a cibersegurança numa perspetiva estratégica.
Ainda não analisámos a cibersegurança de uma perspectiva estratégica. Implementámos apenas o básico para proteger a nossa rede e a nossa arquitetura de TI/OT (Firewall, Anti-virus)
Não. Precisamos de uma?
* 2. Como gere o risco de cibersegurança?
Políticas e procedimentos de gestão de risco que fundamentam uma estratégia de gestão de riscos no local. Os ciber riscos são monitorizados, analisados e amenizados de acordo com a estratégia de gestão de ciber riscos.
As avaliações periódicas são realizadas para identificar novos riscos. Os riscos identificados são documentados, monitorizados e analisados para priorizar as atividades de resposta. Precisamos de uma perspectiva ainda mais estratégica e global.
Apenas realizamos avaliações de risco ocasionais. Os riscos identificados são atenuados, aceites, tolerados ou transferidos.
Ainda não. Sabemos que precisamos de fazer alguma coisa e estamos cientes de alguns riscos. Implementámos somente o básico para protegermos a nossa rede e a nossa arquitetura de IT/OT.
Não. Não acreditamos que os hackers tenham interesse em empresas como a nossa.
* 3. Tem um inventário dos seus ativos?
Existe um inventário para todas as ligações de IT e OT, bem como ativos de informações com atributos para apoiar a estratégia de gestão de riscos de cibersegurança. O inventário é sempre atual e os ativos são priorizados.
Temos um inventário de ativos de informação (ex: definir pontos SCADA, informações de clientes, dados financeiros) priorizados com base na sua importância.
Parcial. Temos apenas um inventário de ativos críticos de IT e OT, importantes para o exercer da função.
Estamos cientes dos nossos ativos críticos, mas não temos um inventário documentado.
Não. Precisamos de um?
Questionário de Avaliação do Nível de Maturidade em Cibersegurança
Este questionário de avaliação procura conhecer as práticas operacionais para cada área de controle na sua empresa, bem como a eficácia e maturidade da organização nas políticas e procedimentos internos. A pessoa responsável pelo preenchimento deste questionário deve garantir a veracidade das respostas, devendo estas ser representativas da realidade atual da sua empresa.
* 4. Como é a gestão dos seus ativos?
Design das baselines de configuração inclui objetivos de cibersegurança. As baselines da configuração são verificadas e atualizadas. A configuração dos ativos é monitorizada por consistência durante o ciclo de vida. As alterações nos ativos são avaliadas e testadas quanto ao impacto da cibersegurança antes da sua implementação. O registo de alterações inclui informações sobre modificações que afetam os requisitos de cibersegurança dos ativos (disponibilidade, integridade, confidencialidade).
O design das baselines de configuração inclui objetivos de cibersegurança. Sempre que possível, as alterações nos ativos são testadas quanto ao impacto na cibersegurança. As atividades de inventário de ativos, configurações e gestão de mudanças são guiadas por políticas documentadas ou outras diretrizes organizacionais.
Temos baselines de configuração para a organização e as configurações adequadas na implementação – Mas os objetivos de cibersegurança não estão incluídos. Geralmente as alterações nos ativos são guiadas por documentação ou padrões específicos, e as alterações nos ativos inventariadas são registadas, mas os requisitos e o impacto de cibersegurança não são incluídos.
Utilizamos fornecedores externos que fazem a gestão dos nossos ativos de IT / OT e, não temos conhecimento de como os requisitos de cibersegurança são geridos.
Não temos práticas de gestão de IT/OT definidas. Precisamos disso?
* 5. Que práticas de gestão de acesso e identidade tem?
As políticas de gestão de acesso e identidade incluem requisitos de conformidade que são revistos e atualizados para garantir a validade. O acesso a ativos e requisitos para credenciais é baseado no risco para os critérios da função (por exemplo: credenciais multifatoriais para acesso de maior risco) e tentativas de acesso anómalas são monitorizadas como indicadores de eventos de cibersegurança.
Padrões e/ou diretrizes foram identificados para informar as atividades de gestão de acesso e identidade. As práticas documentadas são seguidas para estabelecer, manter e controlar o acesso e os repositórios de identidade são revistos e atualizados periodicamente para garantir a validade (ou seja, para garantir que as identidades ainda precisem de acesso)
Não existem normas e/ ou diretrizes documentadas para criar e gerir identidades e controlar o acesso. No entanto, existem repositórios de identidade centralizados nos quais as identidades são geridas e revistas periodicamente para garantir que estejam associadas à pessoa ou entidade correta. As identidades são desprovidas quando não são mais necessárias.
Utilizamos fornecedores externos que nos fornecem as credenciais. Cada sistema/fornecedor tem as suas próprias credenciais - identidades e os controles de acesso são informados com base na solicitação. Nenhuma análise interna de risco ou conformidade é realizada.
Não existem práticas de gestão de acesso e identidade, é caso a caso. Funcionou até agora!
* 6. Como identifica e responde a ameaças?
Os perfis de ameaças são estabelecidos no nível organizacional e validados. A análise e a priorização de ameaças são baseadas em critérios de risco. Todas as fontes de informações sobre ameaças identificadas são priorizadas e monitorizadas continuamente. As informações sobre ameaças são adicionadas ao modelo de risco (modelo baseado na melhoria contínua).
Perfis de ameaças são estabelecidos no nível organizacional. As fontes de informação para apoiar as atividades de gestão de ameaças são identificadas. Todas as ameaças identificadas são periodicamente analisadas, priorizadas e tratadas de acordo com a prioridade atribuída.
As fontes de informação para apoiar as atividades de gestão de ameaças são identificadas. Ameaças consideradas importantes para a função ou organização são abordadas.
Ocasionalmente, são identificadas ameaças identificadas consideradas importantes." "Ocasionalmente, são identificadas ameaças identificadas consideradas importantes.
Até ao momento não nos sentimos ameaçados, por isso não abordamos essas questões.
Questionário de Avaliação do Nível de Maturidade em Cibersegurança
Este questionário de avaliação procura conhecer as práticas operacionais para cada área de controle na sua empresa, bem como a eficácia e maturidade da organização nas políticas e procedimentos internos. A pessoa responsável pelo preenchimento deste questionário deve garantir a veracidade das respostas, devendo estas ser representativas da realidade atual da sua empresa.
* 7. Como reduz as vulnerabilidades de cibersegurança?
Avaliações contínuas de vulnerabilidades de cibersegurança são realizadas para todos os ativos. Os critérios de risco da função (ou organização) são levados em consideração. As vulnerabilidades de cibersegurança identificadas são analisadas e priorizadas e o impacto operacional é avaliado antes da implantação de patches de cibersegurança.
Avaliações periódicas de vulnerabilidade à cibersegurança são realizadas para a maioria dos ativos e levam em consideração os critérios de risco da função (ou organização). As vulnerabilidades de cibersegurança são tratadas de acordo com a prioridade atribuída.
Avaliações periódicas de vulnerabilidades de cibersegurança para ativos críticos são realizadas. As vulnerabilidades de cibersegurança identificadas são analisadas, priorizadas e tratadas de acordo com a prioridade atribuída.
Avaliações ocasionais de vulnerabilidades de cibersegurança foram realizadas e vulnerabilidades críticas de cibersegurança foram tratadas de acordo com a prioridade atribuída. Sentimos a necessidade de uma abordagem mais estratégica para a gestão de ciber riscos.
Ainda não resolvemos vulnerabilidades de cibersegurança.
* 8. Como monitoriza, regista e estabelece uma Common Operating Picture?
Os requisitos de monitorização e registo de cibersegurança são baseados em critérios de risco. A monitorização e os logs contínuos são integrados com outros processos de negócios e segurança e executados em todo o ambiente operacional para identificar atividades anómalas. Os dados de monitorização são agregados com informações recolhidas fora da organização para fornecer um entendimento quase em tempo real do estado de cibersegurança para aprimorar a Common Operating Picture.
Os requisitos de monitorizaçãoe registo de cibersegurança são baseados em critérios de risco. Monitorização e logs contínuos são realizados em todo o ambiente operacional para identificar atividades anómalas. Os dados de monitorização e registo da organização são agregados para fornecer um entendimento quase em tempo real do estado de cibersegurança para aprimorar a Common Operating Picture.
As atividades de monitorização de cibersegurança são executadas (por exemplo, revisões periódicas dos dados de log) e os ambientes operacionais são monitorizados quanto a comportamentos anómalos que podem indicar um evento de cibersegurança. Os métodos de comunicação do estado atual e cibersegurança são estabelecidos e mantidos
Atividades ocasionais de monitorização de cibersegurança são realizadas (por exemplo, revisões periódicas de dados críticos de log) e ambientes operacionais críticos são monitorizados quanto a comportamento anómalo.
Nenhuma monitorização de cibersegurança é realizada
* 9. Partilha informações de cibersegurança?
As partes interessadas na partilha de informações são identificadas com base no interesse partilhado e no risco para a infraestrutura crítica. Os requisitos de partilha de informações foram definidos e tratam da disseminação oportuna de informações de cibersegurança. Existem procedimentos para analisar e remover conflitos de informações recebidas. Uma rede de relações de confiança interna e externa foi estabelecida para compartilhar informações sobre eventos de cibersegurança.
As partes interessadas na partilha de informações são identificadas com base no interesse compartilhado e no risco para a infraestrutura crítica. Os requisitos de partilha de informações foram definidos. Uma rede de relações de confiança interna e externa foi estabelecida para partilhar informações sobre eventos cibersegurança.
As informações são recolhidas e fornecidas às partes interessadas, identificadas na partilha de informações em situações de crise. Identificamos fontes técnicas que podem ser consultadas sobre questões de cibersegurança. Uma rede de relações de confiança interna e externa foi estabelecida para compartilhar informações sobre eventos de cibersegurança.
Somente fontes técnicas identificadas podem ser consultadas sobre questões de cibersegurança. Nenhuma presença formal nas relações de confiança externa foi estabelecida.
Não há práticas de partilha de informações em vigor. Porque quereríamos partilhar as nossas informações?
Questionário de Avaliação do Nível de Maturidade em Cibersegurança
Este questionário de avaliação procura conhecer as práticas operacionais para cada área de controle na sua empresa, bem como a eficácia e maturidade da organização nas políticas e procedimentos internos. A pessoa responsável pelo preenchimento deste questionário deve garantir a veracidade das respostas, devendo estas ser representativas da realidade atual da sua empresa.
* 10. Identifica dependências e gere o risco de dependência?
Os requisitos de cibersegurança são estabelecidos para dependências do fornecedor com base nos riscos críticos da organização. Os acordos com fornecedores e outras entidades externas incluem a consideração da sua capacidade de atender aos requisitos de cibersegurança e exigem a notificação de defeitos do produto que induzem vulnerabilidades ao longo do ciclo de vida pretendido dos produtos entregues. O teste de aceitação dos ativos adquiridos inclui o teste de requisitos de cibersegurança.
Os acordos com fornecedores e outras entidades externas incluem requisitos de cibergurança. A avaliação e seleção de fornecedores e outras entidades externas incluem a consideração da sua capacidade de atender aos requisitos de cibersegurança. Os acordos com fornecedores exigem a notificação de incidentes de cibersegurança relacionados à entrega do produto ou serviço.
Requisitos de cibersegurança estabelecidos para fornecedores, incluindo requisitos para práticas seguras de desenvolvimento de software, quando apropriado. Contratos e acordos com terceiros incorporam a partilha de informações sobre ameaças à cibersegurança.
Alguns fornecedores e /ou terceiros fornecem informações sobre requisitos de cibersegurança e práticas seguras de desenvolvimento de software. Contratos ocasionais e /ou testes de aceitação de ativos adquiridos críticos incluem requisitos de cibersegurança.
Não temos controle ou informações sobre requisitos de cibersegurança de terceiros.
* 11. Como aumenta a consciencialização sobre cibersegurança na sua organização?
As atividades globais de consciencialização sobre cibersegurança são programadas e alinhadas com os estados predefinidos de maturidade, funções e operação. A eficácia das atividades de consciencialização de cibersegurança é avaliada na frequência definida pela organização e as melhorias são feitas conforme apropriado.
Objetivos globais (nível organizacional) para atividades de informação sobre cibersegurança são estabelecidos e mantidos. O conteúdo é baseado no perfil de ameaças da organização. Ocorrem atividades de consciencialização de cibersegurança.
Objetivos específicos (nível da equipa) para atividades de conscialização sobre cibersegurança são estabelecidos e mantidos. Ocorrem atividades de consciencialização sobre cibersegurança.
Ocorreram atividades ocasionais de cibersegurança. Sentimos a necessidade de aumentar a consciencialização sobre cibersegurança na nossa organização
Não ocorreu nenhuma atividade de consciencialização.
* 12. Tem algum Programa de Cibersegurança estrategicamente estabelecido?
A organização tem um programa com uma estratégia de cibersegurança que define objetivos para as atividades da organização, abordagem e controle para atividades de cibersegurança. A estratégia e as prioridades do programa estão documentadas e alinhadas com os objetivos estratégicos da organização e os riscos para a infraestrutura crítica. A estratégia do programa de cibersegurança é aprovada e patrocinada pela alta direção.
A organização tem um programa de estratégia de cibersegurança definida, principalmente pela equipa técnica. A estratégia e as prioridades do programa estão alinhadas aos objetivos estratégicos da organização, mas focadas no risco para a infraestrutura crítica. A estratégia do programa de cibersegurança é aprovada pelas chefias.
A organização possui um programa de estratégia de cibersegurança definido pela equipa técnica. A estratégia e as prioridades do programa estão focadas no risco para a infraestrutura crítica. A estratégia do programa de cibersegurança é aprovada, atualizada no ambiente operacional, pelas equipas técnicas de IT. A chefia é informada periodicamente.
As atividades de cibersegurança são uma preocupação exclusiva das equipas técnicas de IT. Não já visibilidade global de um programa estratégico.
Que programa? Ainda não resolvemos problemas de cibersegurança
aNTES DE SUBMETER O QUESTIONÁRIO, TOME NOTA:
1. São pressupostos indispensáveis para a viabilização do contrato de seguro que as empresas subscritoras:
a) Tenham sede em Portugal Continental ou Regiões Autónomas da Madeira ou Açores;
b) Não possuam filiais localizadas fora da UE;
c) Não realizem prestação de serviços nos USA;
d) Disponham de firewalls e software antivírus em todos os dispositivos e servidores e os atualizem, no mínimo, trimestralmente;
e) Tenham estabelecidos controlos de aceso tanto para empregados como para qualquer outro usuário com aceso a qualquer tipo de informação sensível e confidencial.
f) Realizem cópias de segurança no mínimo semanalmente, e tenham estabelecidos processos de recuperação da referida informação.
g) Toda a informação sensível e confidencial (Informação Pessoal/Informação de saúde/Informação bancária e cartões de crédito) está encriptada nas suas bases de dados e servidores, inclusive quando armazenada em dispositivos portáteis e em trânsito.
h) Declarem previamente, no momento de subscrever o seguro, que não têm conhecimento de reclamações ou factos ou circunstancias que possam dar lugar a una reclamação e não tenham sido sancionados ou investigados por parte da Comissão Nacional de Proteção de Dados ou de qualquer outra autoridade competente.
2. Não é possível a subscrição de seguro titulado por esta apólice por empresas cujas atividades sejam ou estejam relacionadas com:
a) Sector Financeiro;
b) Prestação de serviços de internet ou telecomunicações;
c) Fornecedores de redes sociais;
d) Centros médicos, hospitalares e sanitários;
e) Trabalho temporário, callcenter e gestão de cobranças;
f) Gestão e fornecimento de serviços energéticos;
g) Administrações Públicas;
h) Industria Extrativa;
i) Produção e distribuição de eletricidade, agua e/ou gás”;
Confirmo e aceito as condições mencionadas acima.