Plano de Ações Corretivas (PAC)

1. Informações do Plano

ID do PAC: [PAC-2025-Q1-001]

Título: [Remediação de Findings de Auditoria ISO 27001]

Responsável pelo PAC: [CISO - Maria Costa]

Sponsor Executivo: [CIO - João Silva]

Data de Criação: [15/01/2025]

Data Início: [20/01/2025]

Data Fim Prevista: [30/06/2025]

Orçamento Alocado: [€ 120.000]

2. Dashboard Executivo

Total de Ações

18

Ações planeadas

Concluídas

7

39% completo

Em Progresso

8

44% ativo

Atrasadas

2

Requer atenção

Investimento Realizado

45k

de €120k (38%)

Progresso Geral

52%

No prazo

3. Plano Detalhado de Ações

ID	Ação	Descrição	Owner	Prazo	Prioridade	Status	Evidência
A-01	Implementar MFA em contas admin	Ativar autenticação multi-fator em todas as 25 contas de administrador de domínio	IT Manager	15/02/2025	Crítico	80%	Screenshots AD
A-02	Procurement solução PAM	RFP, seleção e contratação de solução Privileged Access Management	CISO	31/03/2025	Crítico	40%	RFP doc
A-03	Implementar solução PAM	Deploy, configuração e integração de PAM com AD, AWS, Azure	IT Manager	30/06/2025	Alto	Planeado	-
A-04	Atualizar política de acessos	Revisão e atualização da Política de Gestão de Acessos Privilegiados v4.0	InfoSec Lead	28/02/2025	Médio	60%	Draft v4.0
A-05	Implementar access reviews	Processo trimestral de recertificação de acessos com business owners	IAM Manager	31/03/2025	Alto	Planeado	-
A-06	Procurement solução IGA	Aquisição de ferramenta de Identity Governance and Administration	CISO	30/04/2025	Alto	Não Iniciado	-
A-07	Enforçar política de passwords	Configurar GPOs para enforçar requisitos mínimos de complexidade	IT Admin	28/02/2025	Médio	75%	GPO export
A-08	Implementar SIEM	Deploy de solução SIEM para monitorização centralizada de logs	SOC Lead	30/06/2025	Crítico	35%	PoC report
A-09	Atualizar procedimento IR	Revisão de Incident Response Playbooks conforme NIS2	CSIRT Lead	31/03/2025	Alto	Completo	Proc v5.0
A-10	Implementar SoD em ERP	Configurar regras de segregação de funções no SAP	ERP Manager	30/04/2025	Crítico	Atrasado	-
A-11	Formação RGPD	Completar formação obrigatória de RGPD para 100% colaboradores	RH Manager	28/02/2025	Médio	85%	LMS report
A-12	Atualizar DRP	Revisão e teste do Disaster Recovery Plan	BCP Manager	31/05/2025	Alto	Planeado	-

4. Matriz RACI de Responsabilidades

R = Responsible (Executa) | A = Accountable (Aprova) | C = Consulted (Consultado) | I = Informed (Informado)

Ação

CISO

IT Manager

InfoSec Team

CIO

Implementar MFA

A

R

C

I

Procurement PAM

R/A

C

A

Deploy PAM

A

R

C

I

Atualizar Políticas

A

C

R

I

Access Reviews

A

R

C

I

Deploy SIEM

A

R

I

SoD em ERP

C

A

5. Requisitos de Recursos

Categoria	Recurso	Quantidade	Custo (€)	Status
Software	Solução PAM (CyberArk/BeyondTrust)	1 licença enterprise	45.000	Em procurement
Software	Solução SIEM (Splunk/ELK)	1 licença	35.000	PoC em curso
Software	Solução IGA	1 licença	25.000	Planeado Q2
Consultoria	Implementação PAM	20 dias	8.000	Planeado
Formação	Formação RGPD	250 colaboradores	3.000	85% completo
Recursos Humanos	Tempo de equipa interna	~500 horas	4.000	Em curso
TOTAL ORÇAMENTO			120.000	38% gasto

6. Timeline de Implementação (Gantt)

Implementar MFA

Jan-Fev

Procurement PAM

Jan-Mar

Deploy PAM

Abr-Jun

Access Reviews

Fev-Mar

Deploy SIEM

Jan-Jun

SoD em ERP

Mar-Abr

Formação RGPD

Jan-Fev

Atualizar DRP

Abr-Mai

7. Tracking de Progresso

A-01: Implementar MFA em contas admin 80% completo

80%

20 de 25 contas com MFA ativo | Prazo: 15/02/2025 | No prazo

A-02: Procurement solução PAM 40% completo

40%

RFP enviado, aguardando propostas | Prazo: 31/03/2025 | No prazo

A-08: Implementar SIEM 35% completo

35%

PoC concluído, em fase de procurement | Prazo: 30/06/2025 | No prazo

A-10: Implementar SoD em ERP 15% completo - ATRASADO

15%

Complexidade técnica maior que previsto | Prazo original: 30/04 → Novo: 31/05/2025

A-11: Formação RGPD 85% completo

85%

213 de 250 colaboradores concluíram | Prazo: 28/02/2025 | No prazo

8. Medidas de Mitigação de Riscos

Riscos Identificados e Mitigações

Risco 1: Delay em procurement devido a processo de aprovação longo
Mitigação: Envolvimento antecipado de Procurement e fast-track approval do CFO
Responsável: CISO

Risco 2: Falta de recursos internos para implementação
Mitigação: Contratação de consultoria externa especializada
Responsável: IT Manager

Risco 3: Resistência de utilizadores a mudanças (MFA)
Mitigação: Campanha de comunicação e formação antecipada, suporte dedicado
Responsável: Change Manager

Risco 4: Complexidade técnica de integração PAM com sistemas legados
Mitigação: PoC detalhado antes de procurement, suporte do vendor incluído no contrato
Responsável: IT Manager

9. Critérios de Verificação e Validação

Como será verificado o sucesso de cada ação:

Ação	Método de Verificação	Critério de Aceitação	Verificador
Implementar MFA	Query em AD + testes práticos	100% contas admin com MFA ativo	Auditor Interno
Deploy PAM	Testes de integração + UAT	All systems integrated, session recording OK	InfoSec Team
Access Reviews	Revisão de evidências de recertificação	100% business owners completaram review Q1	IAM Manager
Deploy SIEM	Validação de log ingestion + use cases	All critical systems logging, 10 use cases ativos	SOC Lead
SoD em ERP	Relatório de conflitos SoD	Zero conflitos críticos de SoD	ERP Auditor

10. Revisão de Eficácia

Data de Revisão de Eficácia: [30/09/2025 - 3 meses após conclusão]

Responsável pela Revisão: [Auditor Interno]

Método: [Auditoria de follow-up + KPI monitoring]

Critérios de Sucesso: [Zero recorrência de NCs, KPIs atingidos]

KPIs de Monitorização Pós-Implementação:

Taxa de autenticação MFA: 100% para contas privilegiadas
Taxa de conclusão de access reviews: 100% trimestral
MTTR (Mean Time to Remediate) de incidentes: < 4 horas
Número de conflitos SoD no ERP: 0 críticos, <5 médios
Taxa de conclusão de formação RGPD: 100% novos colaboradores em 30 dias
Tempo de resposta a alertas SIEM críticos: < 15 minutos

11. Lições Aprendidas e Melhoria Contínua

Lições Aprendidas Durante Execução do PAC

O que funcionou bem:

Envolvimento executivo desde o início acelerou aprovações
PoCs antes de procurement reduziram risco de má escolha de solução
Comunicação proativa reduziu resistência de utilizadores
Matriz RACI clara evitou confusão de responsabilidades

Desafios Enfrentados:

Subestimámos complexidade técnica de implementação SoD em ERP
Recursos internos sobrecarregados, dependência excessiva de consultoria
Processo de procurement mais lento que antecipado

Recomendações para Futuros PACs:

Adicionar 20% buffer em timelines para contingência
Envolver Procurement desde kick-off para agilizar processo
Realizar PoCs mais aprofundados, especialmente para integrações complexas
Planear capacidade de recursos internos antes de iniciar múltiplas ações
Implementar tracking automatizado de progresso via GRC platform