Pular para o conteúdo
Compliance MSPA

Controle De Acesso

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

O Controle de Acesso é o processo que define quem pode ver, usar ou alterar quais informações, sistemas ou locais físicos. É o “porteiro” digital e físico da sua empresa, que só deixa entrar quem tem autorização (autenticação) e só permite fazer o que está na sua função (autorização).

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

No contexto de Segurança da Informação (ex: ISO 27001), é o conjunto de meios para assegurar que o acesso a ativos (informação, sistemas, áreas) seja autorizado e restrito com base em requisitos de negócio e de segurança.

No contexto da LGPD, é uma das principais Medidas de Segurança técnicas e administrativas (Art. 46) exigidas para proteger os dados pessoais contra acessos não autorizados.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Autenticação: Exigir um login e senha (ou duplo fator de autenticação) para aceder ao sistema de RH.

  • Autorização: Um funcionário do financeiro consegue aceder ao sistema, mas não consegue ver as pastas de marketing (acesso baseado em função).

  • Controlo Físico: Usar um crachá (cartão de acesso) para abrir a porta do escritório ou da sala de servidores (CPD).

  • Privilégio Mínimo: Um analista de suporte pode consultar um registo de cliente, mas não pode excluí-lo.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é focar apenas na autenticação (o login e senha) e esquecer a autorização (o que a pessoa pode fazer depois de entrar). Muitas empresas dão acesso de “administrador” ou acesso total a todos os funcionários para “facilitar o trabalho”, violando o princípio fundamental do “privilégio mínimo” (need-to-know).

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

Um bom sistema de controlo de acesso vai além de “permitir” ou “negar”. Ele deve gerar registos (logs) de quem acedeu, o que fez e quando o fez. Esses logs são fundamentais para a Atividade de Monitoramento e são a principal prova numa auditoria ou na investigação de um Incidente de Segurança.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Autenticidade

  • Confidencialidade

  • Integridade

  • Medidas de Segurança

  • Princípio da Prevenção

  • Incidente de Segurança