Como avaliar o nível de maturidade em cibersegurança da empresa

Diferença entre avaliação de maturidade e auditoria de segurança

Avaliação de maturidade responde à pergunta "onde estamos e aonde queremos ir?", enquanto auditoria de segurança responde "estamos em conformidade com o requisito X?". A distinção é fundamental porque organizações que confundem as duas acabam investindo em conformidade documental sem melhorar a capacidade real de defesa.

As principais diferenças na prática são:

Na prática, as duas abordagens se complementam: a avaliação de maturidade direciona o roadmap de melhoria, e a auditoria valida que os controles planejados foram efetivamente implementados.

Principais modelos de maturidade em cibersegurança

A escolha do modelo de maturidade depende do contexto da organização — setor de atuação, requisitos regulatórios, objetivos estratégicos e porte. Os modelos mais utilizados são:

1. NIST Cybersecurity Framework (CSF): organizado em 6 funções (Governar, Identificar, Proteger, Detectar, Responder, Recuperar) e 4 tiers de implementação — Parcial, Informado por Risco, Repetível e Adaptativo. O NIST CSF é especialmente útil por ser flexível e aplicável a qualquer setor, embora o próprio NIST ressalte que os tiers não são um modelo de maturidade propriamente dito, mas indicadores de como a organização integra cibersegurança à gestão de riscos^[1].
2. CIS Controls: conjunto de 18 controles prescritivos divididos em 3 Grupos de Implementação (IG1, IG2, IG3). O IG1 define a higiene cibernética essencial com 56 salvaguardas, o IG2 adiciona 74 salvaguardas para organizações com risco moderado, e o IG3 completa com 23 salvaguardas avançadas. A estrutura progressiva funciona como modelo prático de maturidade — cada grupo construído sobre o anterior^[2].
3. ISO/IEC 27001: padrão internacional para sistemas de gestão de segurança da informação (SGSI), com requisitos organizados em 14 domínios. A maturidade é medida pelo grau de implementação do SGSI — da inexistência de processos à melhoria contínua com ciclo PDCA formalizado^[3].
4. CMMC (Cybersecurity Maturity Model Certification): modelo desenvolvido pelo Departamento de Defesa dos EUA com 3 níveis — Fundacional (15 requisitos), Avançado (110 requisitos alinhados ao NIST SP 800-171) e Expert (24 requisitos adicionais do NIST SP 800-172). Embora focado em fornecedores do setor de defesa, serve como referência de estrutura progressiva de maturidade^[4].

Como conduzir a avaliação: passo a passo prático

A avaliação de maturidade segue um ciclo estruturado que transforma percepções subjetivas em diagnóstico acionável. As etapas essenciais são:

1. Definir escopo e modelo: determinar o que será avaliado (toda a organização, uma divisão, uma função específica) e qual modelo de referência será usado. Escopo estreito permite profundidade maior; escopo amplo dá visão de cobertura.
2. Mapear stakeholders: identificar quem tem visibilidade sobre os controles — liderança de TI, segurança, compliance, operações e negócio. A avaliação não é responsabilidade exclusiva de segurança; envolver negócio revela riscos que o time técnico não enxerga.
3. Aplicar questionário estruturado: para cada controle do modelo escolhido, avaliar o grau de implementação usando escala padronizada (ex: não iniciado, em progresso, implementado, otimizado). Questionário com 3 a 5 opções de resposta gera dados mais rigorosos que respostas binárias (sim/não).
4. Conduzir entrevistas de validação: complementar o questionário com entrevistas com liderança técnica e de negócio. Entrevistas revelam gaps que questionários não capturam — especialmente em áreas onde a documentação existe mas a prática diverge.
5. Executar testes de validação: para controles críticos, não confiar apenas na resposta declarada. Testar uma amostra (ex: verificar se MFA está ativo em 100% das contas administrativas, se backups são restauráveis, se logs estão sendo retidos pelo período declarado).
6. Classificar nível de maturidade por área: mapear as respostas ao modelo de referência e atribuir nível de maturidade para cada domínio ou função. A quantificação do gap (% de implementação) permite priorização objetiva.
7. Produzir relatório com roadmap: consolidar os resultados em dois formatos — sumário executivo (onde estamos, principais gaps, roadmap de alto nível) e relatório técnico (gap por área, recomendações específicas, estimativa de esforço e custo por fase).

Baseline, benchmarking e medição contínua

O resultado da primeira avaliação estabelece o baseline — o ponto de partida documentado. Sem baseline, não há como medir evolução: a empresa sabe que "melhorou", mas não sabe quanto nem em quais áreas.

Três conceitos complementares orientam a medição de maturidade ao longo do tempo:

• Baseline (referência interna): "onde estamos hoje?" — fotografia do nível de maturidade no momento da avaliação. Serve como ponto de comparação para avaliações futuras.
• Benchmarking (referência externa): "como nos comparamos com empresas similares?" — posiciona a organização em relação a peers do mesmo setor e porte. Útil para contextualizar o resultado e justificar investimentos.
• Medição contínua: métricas operacionais acompanhadas entre avaliações formais — como tempo médio de detecção (MTTD), tempo médio de resposta (MTTR), percentual de ativos com patches aplicados e taxa de conclusão de treinamentos de conscientização. Métricas contínuas mostram tendência; avaliação formal mostra estado.

Como referência de mercado, a combinação mais efetiva é avaliação formal anual complementada por métricas contínuas monitoradas mensalmente. A avaliação formal captura maturidade de processos e governança; as métricas contínuas capturam efetividade operacional.

Como interpretar o resultado e priorizar o roadmap

O resultado da avaliação não é apenas um número — é um mapa de prioridades. A interpretação deve considerar três dimensões simultâneas: nível de maturidade atual, impacto potencial do gap e esforço de remediação.

Critérios práticos de priorização para o roadmap:

1. Prioridade 1 — gaps críticos de baixo esforço: controles básicos não implementados que podem ser corrigidos rapidamente (ex: ativar MFA em contas administrativas, configurar backup automatizado, habilitar logs de acesso).
2. Prioridade 2 — gaps de alto impacto: áreas onde a ausência de controle expõe a organização a risco significativo, mesmo que a implementação exija mais esforço (ex: programa de gestão de vulnerabilidades, plano de resposta a incidentes).
3. Prioridade 3 — maturidade incremental: evolução de controles existentes — de implementado para otimizado (ex: automação de processos manuais, integração de ferramentas, métricas de efetividade).

Erros comuns na avaliação de maturidade

A avaliação só tem valor se for honesta, bem conduzida e seguida de ação. Os erros mais recorrentes que comprometem o processo são:

• Autoavaliação enviesada: equipes internas tendem a superestimar a maturidade — especialmente em controles que "deveriam" estar implementados. A validação por testes ou por revisor externo corrige o viés.
• Confundir documentação com implementação: ter uma política de segurança escrita não significa que ela é seguida. A avaliação deve verificar prática, não apenas existência de documento.
• Avaliar sem agir: o resultado da avaliação é um diagnóstico, não um fim. Sem roadmap concreto e acompanhamento, o investimento na avaliação é desperdiçado.
• Escolher modelo por prestígio, não por contexto: uma empresa de 30 pessoas não precisa de avaliação completa ISO 27001 — CIS Controls IG1 resolve o diagnóstico com fração do esforço.
• Não envolver o negócio: maturidade de segurança não é responsabilidade exclusiva de TI. CFO, COO e liderança de negócio precisam participar — são eles que priorizam orçamento e definem apetite de risco.
• Compartilhar resultado sem cautela: o relatório de avaliação revela gaps — é informação sensível. Distribuição deve ser restrita a liderança e, quando conduzida por consultoria externa, protegida por cláusula de confidencialidade.