NIS2 Portugal

Progresso: 0%

Relatório de Auditoria de Segurança

Resultados detalhados da auditoria interna

1. Informações da Auditoria

[Auditoria de Controlos de Acesso 2025]
[AUD-2025-001]
[João Silva - Lead Auditor]
[Maria Costa, Pedro Santos]
[15-26 Janeiro 2025]
[15 Fevereiro 2025]
[Board, CISO, Comité de Auditoria]
[Confidencial - Uso Interno]

2. Sumário Executivo

Visão Geral

[Esta auditoria teve como objetivo avaliar a eficácia dos controlos de gestão de acessos e identidades implementados na organização. O âmbito incluiu Active Directory, sistemas críticos de negócio, aplicações cloud e processos de provisioning/deprovisioning. Durante o período de auditoria, foram realizadas entrevistas com 15 colaboradores-chave, revisão de 200+ contas de utilizador, análise de logs de acesso, e testes técnicos de segregação de funções.]

Conclusão Geral

[Os controlos de acesso apresentam EFICÁCIA PARCIAL. Foram identificadas lacunas significativas na gestão de contas privilegiadas, revisão periódica de acessos e segregação de funções. Recomenda-se ação imediata nas áreas críticas identificadas para reduzir o risco de acessos não autorizados e conformidade regulamentar.]

Resumo de Findings

Crítico
2
findings
Alto
5
findings
Médio
8
findings
Baixo
4
findings
Informativo
3
observações

3. Âmbito e Metodologia

3.1 Âmbito da Auditoria

[A auditoria cobriu os seguintes domínios: (1) Gestão de Identidades e Acessos (IAM), (2) Controlos de autenticação, (3) Gestão de contas privilegiadas (PAM), (4) Segregação de funções, (5) Processos de joiner/mover/leaver, (6) Revisão periódica de acessos, (7) Logs e monitorização de acessos.]

3.2 Metodologia Aplicada

[15 entrevistas com IT, SI, RH, business owners]
[Políticas, procedimentos, registos, evidências]
[Análise AD, revisão de logs, testes de segregação]
[200 contas analisadas de 2.500 total]

3.3 Critérios de Avaliação

Rating Definição Critérios
Crítico Risco imediato ao negócio Ação imediata necessária. Exposição crítica.
Alto Risco significativo Ação em 30 dias. Impacto alto provável.
Médio Risco moderado Ação em 60 dias. Melhorias necessárias.
Baixo Risco menor Ação em 90 dias. Boas práticas.

4. Sumário de Findings por Área

ID Área Título do Finding Severidade Status
F-001 PAM Contas de administrador sem MFA Crítico Open
F-002 Segregação Ausência de SoD em ERP Crítico Open
F-003 Revisão Acessos Revisões não realizadas em 2024 Alto Open
F-004 Offboarding Delay na revogação de acessos Alto Open
F-005 Logging Logs de AD não monitorizados Alto Open
F-006 Passwords Política de passwords não enforced Médio Open
F-007 Documentação Procedimentos de IAM desatualizados Médio Open
F-008 Formação Awareness de IAM insuficiente Baixo Open

5. Findings Detalhados

Finding F-001: Contas Administrativas sem MFA

CRÍTICO
Probabilidade: Alta
Impacto: Crítico
Risco Inerente: Crítico
Área Afetada: Privileged Access Management

Observação

[Durante a auditoria, identificámos que 12 das 25 contas de administrador de domínio (48%) não têm Multi-Factor Authentication (MFA) ativado. Estas contas têm acesso privilegiado a sistemas críticos de negócio, Active Directory, e infraestrutura de TI. A ausência de MFA aumenta significativamente o risco de compromisso através de phishing, credential stuffing ou roubo de credenciais.]

Risco

[• Acesso não autorizado a sistemas críticos
• Violação de dados e sabotagem
• Não conformidade com NIS2 e ISO 27001
• Incapacidade de detetar e responder a compromissos
• Exposição a ransomware e APT attacks]

Evidências

  • Screenshot de AD User Properties (Anexo A)
  • Listagem de contas privilegiadas sem MFA (Anexo B)
  • Logs de autenticação password-only (Anexo C)

Recomendações

  1. Implementar MFA obrigatório para TODAS as contas privilegiadas (prazo: imediato)
  2. Adotar solução PAM (Privileged Access Management) com MFA integrado
  3. Implementar just-in-time access para contas de administrador
  4. Monitorizar e alertar sobre autenticações sem MFA
  5. Documentar e comunicar política de MFA obrigatório

Resposta do Management

[Concordamos com o finding. Ação corretiva: Implementação de MFA para todas as contas admin até 15/03/2025. Responsável: CISO. Já iniciámos procurement de solução PAM.]

Plano de Ação

Ação Responsável Prazo Status
Ativar MFA em contas admin existentes IT Manager 15/03/2025 In Progress
Procurement e deployment de PAM CISO 30/06/2025 Planned
Atualizar política de acessos privilegiados InfoSec Team 31/03/2025 Planned

Finding F-003: Revisões de Acessos Não Realizadas

ALTO
Probabilidade: Alta
Impacto: Alto
Risco Inerente: Alto
Área Afetada: Access Reviews / Recertification

Observação

[A política de segurança da organização estabelece revisões trimestrais de acessos de utilizadores. Durante a auditoria, verificámos que nenhuma revisão formal foi realizada em 2024. Não existe processo documentado, ferramenta de suporte ou evidências de recertificação de acessos por business owners.]

Risco

[• Acumulação de acessos desnecessários (privilege creep)
• Acessos órfãos de colaboradores que saíram
• Violação do princípio de least privilege
• Não conformidade com ISO 27001 (A.9.2.5) e NIS2
• Incapacidade de demonstrar controlos em auditorias externas]

Recomendações

  1. Implementar processo formal de revisão trimestral de acessos
  2. Adquirir ferramenta de Identity Governance and Administration (IGA)
  3. Realizar revisão ad-hoc imediata de todos os acessos atuais
  4. Designar business owners responsáveis por cada sistema
  5. Automatizar workflows de aprovação e recertificação

Plano de Ação

Ação Responsável Prazo Status
Revisão ad-hoc de acessos (manual) Business Owners 31/03/2025 Planned
RFP para solução IGA CISO + Procurement 30/04/2025 Planned
Documentar procedimento de access review InfoSec 28/02/2025 Planned

Finding F-006: Política de Passwords Não Enforced

MÉDIO
Probabilidade: Média
Impacto: Médio
Risco Inerente: Médio
Área Afetada: Authentication

Observação

[A política de passwords da organização define requisitos mínimos de 12 caracteres, complexidade e rotação a cada 90 dias. Através de análise técnica do AD, identificámos que 35% das contas de utilizador têm passwords com menos de 10 caracteres e 20% não mudaram password em mais de 180 dias.]

Recomendações

  1. Enforçar política de passwords via Group Policy Objects (GPO)
  2. Implementar password quality checking (banned passwords list)
  3. Comunicar requisitos a todos os utilizadores
  4. Considerar adoção de password manager corporativo

Plano de Ação

Ação Responsável Prazo Status
Configurar e aplicar GPO de passwords IT Admin 28/02/2025 Planned
Forçar reset de passwords não conformes IT Admin 15/03/2025 Planned

6. Tabela de Referência de Evidências

Ref Tipo Descrição Data
Anexo A Screenshot AD User Properties - contas admin sem MFA 20/01/2025
Anexo B Relatório Listagem completa de contas privilegiadas 20/01/2025
Anexo C Logs Authentication logs (sample) 15-26/01/2025
Anexo D Entrevista Ata de reunião com IT Manager 16/01/2025
Anexo E Documento Política de Acessos v2.1 01/01/2024

7. Cronograma de Follow-up

[31/03/2025 - Críticos e Altos]
[30/06/2025 - Todos os findings]
[Q3 2025 - Validar remediação]
[Trimestral - Status updates]

8. Conclusões e Próximos Passos

[Esta auditoria revelou lacunas significativas nos controlos de gestão de acessos que requerem atenção imediata do management. Os findings críticos (F-001 e F-002) representam riscos que podem comprometer a segurança da organização e a conformidade regulamentar. Recomenda-se priorização máxima das ações corretivas e alocação de recursos adequados para implementação das recomendações. O departamento de auditoria interna realizará follow-up regular do progresso e reportará ao Comité de Auditoria trimestralmente.]

Próximos Passos: