Utilizo senhas diferentes para sistemas importantes.

Evite repetir a mesma senha em e-mail, sistemas corporativos, redes sociais, bancos, plataformas de gestão, ferramentas em nuvem e outros serviços. Quando uma senha é reutilizada, o vazamento de uma conta pode comprometer várias outras.

Minhas senhas possuem boa complexidade.

Utilize senhas longas, com combinação de letras maiúsculas, letras minúsculas, números e caracteres especiais. Evite nomes próprios, datas de nascimento, nome da empresa, número de telefone, placas de veículo ou sequências simples.

Não compartilho senhas com colegas, fornecedores ou terceiros.

Cada usuário deve utilizar sua própria credencial de acesso. O compartilhamento de senhas dificulta a identificação de responsabilidades, aumenta o risco de uso indevido e compromete a rastreabilidade das ações realizadas nos sistemas.

Ativo autenticação em dois fatores sempre que disponível.

A autenticação em dois fatores deve ser utilizada em e-mails, sistemas em nuvem, redes sociais, plataformas administrativas, sistemas financeiros, ferramentas de gestão e demais acessos críticos. Essa medida reduz o risco de acesso indevido mesmo quando a senha é comprometida.

Evito salvar senhas em locais inseguros.

Senhas não devem ser registradas em papéis expostos, arquivos sem proteção, mensagens de WhatsApp, blocos de notas, planilhas compartilhadas ou navegadores utilizados por várias pessoas.

Altero senhas quando há suspeita de comprometimento.

Senhas devem ser trocadas imediatamente em caso de suspeita de vazamento, perda de dispositivo, acesso não reconhecido, compartilhamento acidental ou recebimento de alerta de segurança.

Utilizo credenciais individuais em vez de contas compartilhadas.

Sempre que possível, sistemas e ferramentas devem ser acessados com contas individuais. Contas genéricas ou compartilhadas dificultam controle, auditoria e responsabilização em caso de erro ou incidente.

Verifico o remetente antes de abrir anexos ou clicar em links.

Antes de interagir com uma mensagem, confira o nome do remetente, o endereço de e-mail, o domínio, o conteúdo da solicitação e a coerência da comunicação. Golpes frequentemente simulam fornecedores, bancos, clientes, plataformas conhecidas ou pessoas da própria empresa.

Desconfio de mensagens com urgência excessiva.

Mensagens fraudulentas costumam usar pressão psicológica, como “urgente”, “última chance”, “bloqueio imediato”, “pagamento pendente”, “confirme agora”, “seus dados serão excluídos” ou “ação necessária”.

Confiro links antes de acessar.

Antes de clicar, verifique se o endereço corresponde ao site esperado. Observe alterações suspeitas no domínio, erros de digitação, extensões incomuns e páginas que solicitam senha ou dados sensíveis sem justificativa clara.

Não abro anexos inesperados.

Anexos recebidos sem contexto devem ser tratados com cautela, especialmente arquivos compactados, executáveis, documentos com macros, boletos desconhecidos, notas fiscais inesperadas ou arquivos enviados por remetentes não confirmados.

Confirmo solicitações financeiras por outro canal.

Pedidos de pagamento, alteração de dados bancários, compra urgente, emissão de boleto, envio de documentos sensíveis ou transferência de valores devem ser confirmados por canal oficial, preferencialmente por ligação ou comunicação direta com a pessoa responsável.

Evito encaminhar mensagens suspeitas.

Mensagens suspeitas não devem ser repassadas para outros colaboradores sem orientação. O ideal é registrar a ocorrência e comunicar o responsável interno pela análise.

Tenho cuidado com mensagens recebidas por aplicativos.

WhatsApp, Telegram, SMS e redes sociais também são usados para golpes. Solicitações incomuns, links encurtados, arquivos inesperados e pedidos urgentes devem ser verificados antes de qualquer ação.

Compartilho dados pessoais apenas quando necessário.

Evite o envio desnecessário de documentos, telefones, endereços, dados financeiros, dados de clientes, dados de colaboradores, contratos, propostas, documentos internos e informações comerciais.

Verifico o destinatário antes de enviar documentos.

Antes de enviar e-mails, mensagens, arquivos ou links de compartilhamento, confira se o destinatário está correto e se realmente deve receber aquela informação.

Evito enviar dados sensíveis em grupos.

Grupos de WhatsApp, listas amplas de e-mail e canais informais não devem ser usados para compartilhar dados pessoais, documentos de clientes, contratos, informações financeiras ou dados internos restritos.

Utilizo canais adequados para documentos importantes.

Documentos relevantes devem ser enviados e armazenados por canais controlados, como e-mail corporativo, sistema interno, ambiente de arquivos com permissão definida ou plataforma institucional.

Removo acessos quando alguém deixa de precisar da informação.

Permissões de acesso a pastas, sistemas, documentos e plataformas devem ser revisadas quando houver mudança de função, desligamento, troca de fornecedor ou encerramento de projeto.

Evito expor documentos em telas, mesas ou impressoras.

Informações de clientes, contratos, propostas, documentos internos e dados pessoais devem ser protegidos contra visualização indevida por terceiros.

Reduzo a quantidade de dados coletados e armazenados.

A empresa deve evitar coletar ou manter dados pessoais sem necessidade. Quanto menor o volume de dados armazenados, menor o risco em caso de incidente.

Tenho cuidado com documentos impressos.

Documentos impressos com informações pessoais, financeiras, comerciais ou técnicas devem ser guardados adequadamente e descartados de forma segura quando não forem mais necessários.

Os arquivos são organizados por cliente, projeto, setor ou atividade.

Uma estrutura de pastas clara facilita localização, controle, continuidade do trabalho e redução de erros. A organização deve permitir que outros colaboradores autorizados encontrem documentos sem depender exclusivamente de uma pessoa.

Os arquivos possuem nomes claros e padronizados.

Evite nomes genéricos como “documento final”, “novo”, “versão certa”, “arquivo atualizado”, “último”, “corrigido” ou “final mesmo”. Prefira nomes com identificação do cliente, tipo de documento, data, revisão ou assunto.

Controlo versões de documentos importantes.

Documentos relevantes devem ter controle de versão, revisão ou data. Isso reduz o risco de uso de arquivos desatualizados, duplicados ou divergentes.

Evito manter arquivos importantes apenas no computador local.

Documentos essenciais não devem depender de um único computador, celular, pendrive ou notebook. O armazenamento deve ocorrer em local institucional, com controle e backup adequado.

Excluo ou arquivo documentos obsoletos de forma controlada.

O acúmulo de arquivos duplicados, antigos ou desnecessários aumenta confusão e risco de uso indevido. Arquivos obsoletos devem ser eliminados ou arquivados conforme sua importância e necessidade de retenção.

Sei onde localizar documentos essenciais para minha rotina.

Contratos, propostas, relatórios, registros técnicos, documentos administrativos, arquivos financeiros e documentos de clientes devem ter localização definida e conhecida pelos usuários autorizados.

Evito armazenar documentos importantes apenas em conversas.

Informações relevantes não devem ficar apenas em mensagens de WhatsApp, e-mails soltos ou conversas informais. Sempre que necessário, devem ser salvas em documentos, sistemas ou pastas apropriadas.

Arquivos críticos possuem cópia de segurança.

Documentos essenciais da empresa não devem depender de um único equipamento. Contratos, propostas, registros técnicos, documentos financeiros, bases de dados, documentos de clientes e arquivos operacionais devem ter cópias de segurança.

Sei quais arquivos precisam de backup.

A empresa deve identificar quais arquivos são críticos para sua operação. Nem todos os arquivos têm a mesma importância, mas documentos essenciais precisam de proteção adequada.

Verifico se o backup está funcionando.

Backup sem teste pode falhar no momento da necessidade. É recomendável verificar periodicamente se os arquivos podem ser recuperados.

Evito usar pendrive como único meio de armazenamento.

Pendrives podem ser perdidos, danificados, furtados ou infectados. Eles devem ser usados apenas como meio auxiliar e temporário, não como principal forma de backup.

Tenho procedimento em caso de perda de arquivo.

Os usuários devem saber a quem comunicar e onde buscar uma cópia de segurança em caso de exclusão acidental, falha de equipamento, perda de dispositivo ou indisponibilidade de sistema.

Protejo arquivos de backup contra acesso indevido.

Backups também contêm informações sensíveis. Portanto, devem ser armazenados em local seguro, com acesso restrito e proteção adequada.

Considero cenários de indisponibilidade.

A empresa deve avaliar como continuaria suas atividades em caso de falha de computador, perda de internet, indisponibilidade de sistema, erro humano ou incidente digital.

Bloqueio a tela ao me ausentar.

Computadores, notebooks e celulares devem ser bloqueados quando o usuário se afasta, mesmo por poucos minutos. Essa prática reduz o risco de acesso indevido por terceiros.

Mantenho dispositivos atualizados.

Atualizações de sistemas operacionais, navegadores, aplicativos e ferramentas corrigem falhas de segurança e reduzem exposição a vulnerabilidades conhecidas.

Evito instalar programas sem necessidade.

Instalações não autorizadas podem trazer riscos, lentidão, incompatibilidades, perda de dados ou softwares maliciosos. Instale apenas ferramentas necessárias e confiáveis.

Não utilizo redes Wi-Fi desconhecidas para atividades sensíveis.

Em redes públicas ou desconhecidas, evite acessar sistemas corporativos, bancos, documentos confidenciais ou plataformas administrativas sem proteção adequada.

Protejo o celular usado para trabalho.

Celulares que acessam e-mail, WhatsApp, arquivos, sistemas, fotos de documentos ou informações de clientes devem possuir senha, biometria ou bloqueio de tela.

Tenho cuidado com dispositivos externos.

Evite conectar pendrives, HDs externos, cartões de memória ou equipamentos desconhecidos sem necessidade e sem verificação prévia.

Separo, sempre que possível, uso pessoal e profissional.

Misturar contas pessoais, arquivos pessoais e documentos da empresa aumenta o risco de perda, confusão, exposição indevida e dificuldade de controle.

Evito deixar equipamentos desassistidos em locais públicos.

Notebooks, celulares e mídias removíveis devem ser mantidos sob cuidado, especialmente em veículos, recepções, salas compartilhadas, eventos, hotéis e áreas públicas.

Compartilho arquivos apenas com quem precisa acessá-los.

O acesso deve seguir o princípio do menor privilégio: cada pessoa deve acessar somente as informações necessárias para executar suas atividades.

Evito links públicos sem controle.

Links abertos, sem senha ou sem restrição de usuário, podem permitir acesso indevido a documentos internos. Sempre que possível, utilize links restritos a pessoas autorizadas.

Reviso permissões de pastas compartilhadas.

Pastas com documentos administrativos, técnicos, financeiros, comerciais ou dados pessoais devem ter permissões revisadas periodicamente.

Removo acessos temporários após o uso.

Acessos concedidos a fornecedores, parceiros, prestadores de serviço ou colaboradores temporários devem ser removidos quando não forem mais necessários.

Evito enviar versões editáveis sem necessidade.

Quando o destinatário precisa apenas visualizar um documento, prefira PDF ou acesso somente leitura. Versões editáveis devem ser compartilhadas apenas quando houver necessidade real de edição.

Tenho cuidado ao compartilhar pastas inteiras.

Antes de compartilhar uma pasta, verifique se todos os arquivos contidos nela podem ser acessados pelo destinatário. Uma pasta pode conter documentos além daqueles necessários.

Defino responsáveis por pastas e documentos críticos.

Informações importantes devem ter responsáveis claros para organização, atualização, controle de acesso e eliminação quando necessário.

Sei identificar uma situação suspeita.

Exemplos de situações suspeitas incluem mensagens incomuns, acesso não reconhecido, arquivo desaparecido, cobrança indevida, solicitação urgente, mudança de dados bancários, lentidão anormal após abrir arquivo ou tentativa de login não autorizada.

Sei a quem comunicar uma suspeita.

A empresa deve definir um responsável ou canal interno para receber relatos de incidentes, dúvidas de segurança e suspeitas de uso indevido de informações.

Comunico rapidamente erros ou suspeitas.

Quanto mais rápido um problema é comunicado, maior a chance de reduzir impacto, bloquear acessos, corrigir falhas e evitar propagação do incidente.

Não tento resolver sozinho situações críticas.

Em caso de suspeita de golpe, vazamento, acesso indevido, arquivo malicioso, perda de dispositivo ou exclusão acidental relevante, interrompa a ação e acione o responsável.

Registro informações básicas do ocorrido.

Em uma suspeita de incidente, registre data, horário, sistema envolvido, mensagem recebida, ação realizada, usuário afetado e evidências disponíveis, como prints ou cabeçalhos de e-mail.

Evito apagar evidências antes da análise.

Mensagens, e-mails, arquivos, prints e registros podem ajudar a entender o ocorrido. Antes de excluir qualquer evidência, consulte o responsável pela análise.

Aprendo com incidentes e quase incidentes.

Mesmo quando não há dano, uma tentativa de golpe ou erro operacional pode indicar a necessidade de reforço em processos, treinamento ou controles.

Uso e-mail corporativo para assuntos profissionais.

Evite tratar assuntos da empresa por contas pessoais. O uso de e-mail corporativo facilita controle, histórico, segurança, rastreabilidade e continuidade das atividades.

Tenho cuidado ao usar ferramentas online gratuitas.

Ferramentas externas podem coletar, armazenar ou processar informações inseridas pelos usuários. Antes de usar, avalie se o conteúdo contém dados pessoais, informações internas ou documentos de clientes.

Não insiro dados sensíveis em ferramentas de IA sem autorização.

Evite inserir contratos, documentos de clientes, dados pessoais, informações financeiras, estratégias comerciais, propostas, senhas, códigos internos ou documentos restritos em ferramentas de IA ou plataformas externas.

Verifico configurações de privacidade em plataformas digitais.

Sistemas de nuvem, formulários, ferramentas colaborativas e plataformas de compartilhamento devem ter permissões compatíveis com o uso pretendido.

Evito misturar contas pessoais e corporativas.

Contas pessoais não devem ser usadas para armazenar arquivos da empresa, administrar sistemas corporativos ou compartilhar documentos internos.

Tenho atenção ao criar formulários online.

Formulários podem coletar dados pessoais. Antes de criar ou divulgar, avalie quais dados são realmente necessários, quem terá acesso às respostas e onde as informações ficarão armazenadas.

Reviso integrações entre sistemas.

Aplicações conectadas a e-mail, agenda, nuvem ou sistemas administrativos podem ter acesso a dados importantes. Integrações desnecessárias devem ser removidas.

A empresa possui orientações mínimas sobre segurança da informação.

Mesmo em pequenas empresas, é recomendável definir regras simples para senhas, acesso a arquivos, uso de e-mail, backup, compartilhamento de documentos e comunicação de incidentes.

Os usuários conhecem suas responsabilidades.

Cada colaborador deve entender sua responsabilidade no uso seguro de informações, dispositivos, sistemas e documentos da empresa.

A empresa identifica informações críticas.

É importante saber quais informações exigem maior proteção, como dados de clientes, contratos, propostas, documentos financeiros, registros técnicos, senhas, informações estratégicas e dados pessoais.

Há critérios para concessão e remoção de acessos.

A criação, alteração e remoção de acessos deve seguir algum controle, especialmente em admissões, desligamentos, mudanças de função e encerramento de contratos.

Existe preocupação com a privacidade dos titulares de dados.

Dados pessoais devem ser tratados com finalidade definida, necessidade, segurança e respeito aos direitos das pessoas.

As boas práticas são revisadas periodicamente.

Segurança da informação não é uma ação única. As orientações devem ser revisadas conforme mudanças em sistemas, processos, riscos e necessidades da empresa.

A empresa promove conscientização dos usuários.

Treinamentos curtos, comunicados internos, checklists e orientações práticas ajudam a reduzir falhas humanas e melhorar a cultura de segurança.