Gestão centralizada de NCs identificadas em auditorias e processos
1. Informações do Registo
[Nome da Organização]
[Quality Manager / CISO]
[2025]
[30/01/2025]
2. Dashboard de Não Conformidades
Total NCs
24
Acumulado YTD
NCs Abertas
8
Requerem ação
Em Tratamento
6
Em progresso
NCs Fechadas
10
Taxa: 42%
Tempo Médio Resolução
45
Dias
NCs Recorrentes
3
Atenção especial
3. Log de Não Conformidades
ID
Data
Fonte
Descrição
Severidade
Owner
Status
NC-2025-001
05/01/2025
Auditoria Interna
Falta de MFA em contas admin
Crítico
CISO
Em Tratamento
NC-2025-002
08/01/2025
Certificação ISO
Política de backups não documentada
Alto
IT Manager
Fechada
NC-2025-003
12/01/2025
Reclamação Cliente
Violação de SLA de resposta
Médio
Service Manager
Verificada
NC-2025-004
15/01/2025
Auto-Avaliação
Formação RGPD em atraso
Médio
RH Manager
Em Tratamento
NC-2025-005
18/01/2025
Auditoria Externa
Logs não monitorizados
Alto
SOC Lead
Aberta
NC-2025-006
20/01/2025
Inspeção CNCS
Procedimento IR desatualizado
Alto
CISO
Em Tratamento
NC-2025-007
22/01/2025
Processo Interno
Clean desk não cumprido
Baixo
Facilities
Aberta
NC-2025-008
25/01/2025
Auditoria Interna
Segregação de funções em ERP
Crítico
CFO
Aberta
4. Formulário Detalhado de Não Conformidade
NC-2025-001: Falta de MFA em Contas Administrativas
NC-2025-001
05/01/2025
Auditoria Interna - Controles de Acesso
João Silva - Lead Auditor
Crítico
CISO - Maria Costa
Segurança da Informação / TI
Em Tratamento
Descrição da Não Conformidade
[Durante auditoria de controlos de acesso, foi identificado que 12 das 25 contas de administrador de domínio (48%) não possuem Multi-Factor Authentication (MFA) ativado. Esta situação viola a Política de Segurança da Informação (cláusula 5.2.3), a ISO 27001:2022 (controlo 5.17) e os requisitos da Diretiva NIS2 (Artigo 21). As contas afetadas incluem administradores de Active Directory, AWS, e sistemas ERP.]
Requisitos Não Cumpridos
Política de Segurança da Informação v3.0 - Cláusula 5.2.3 "MFA Obrigatório"
ISO 27001:2022 - Controlo 5.17 "Authentication Information"
Why 1:Por que contas admin não têm MFA? → Porque a política foi criada mas não foi enforçada tecnicamente.
Why 2:Por que não foi enforçada? → Porque não existe solução PAM implementada.
Why 3:Por que não existe PAM? → Porque o projeto foi adiado por falta de orçamento em 2024.
Why 4:Por que faltou orçamento? → Porque a prioridade foi dada a outros projetos de infraestrutura.
Why 5:Por que a prioridade foi diferente? → Porque a assessment de riscos não considerou adequadamente o risco de contas privilegiadas.
Causa Raiz:Processo de gestão de riscos não identificou corretamente a criticidade de controlos de autenticação privilegiada, resultando em má priorização de investimentos em segurança.
Avaliação de Impacto
Impacto no Negócio
Alto - Risco de compromisso total de sistemas críticos
Impacto em Clientes
Alto - Potencial violação de dados pessoais
Impacto Financeiro
€500k - €2M (estimativa de incidente)
Impacto Regulamentar
Crítico - Violação NIS2 e ISO 27001
Impacto Reputacional
Alto - Perda de confiança de stakeholders
Ações Corretivas
Ação
Tipo
Responsável
Prazo
Status
Ativar MFA nativo em todas as contas admin
Corretiva Imediata
IT Manager
15/02/2025
80%
Procurement e implementação de solução PAM
Corretiva
CISO
30/06/2025
30%
Atualizar política de acessos privilegiados
Corretiva
InfoSec Team
28/02/2025
0%
Ações Preventivas
Ação
Responsável
Prazo
Status
Revisão do processo de risk assessment
Risk Manager
31/03/2025
Planeada
Implementar monitorização contínua de conformidade
CISO
30/09/2025
Planeada
Formação em gestão de contas privilegiadas
RH + SI
30/04/2025
Planeada
Método de Verificação
[Auditoria técnica de validação: (1) Verificar que 100% das contas admin têm MFA ativo via query em AD e sistemas cloud, (2) Testar autenticação em sample de 10 contas, (3) Validar logs de autenticação MFA dos últimos 30 dias, (4) Confirmar que política foi atualizada e comunicada. Auditoria agendada para 15/07/2025.]