Política de controlo de acesso - PME

Esta Política de controlo de acesso (P04S) fornece um quadro abrangente para pequenas e médias empresas (PME) gerirem e protegerem o acesso a sistemas de informação da organização, dados e instalações físicas. Enquanto política adaptada a PME, atribui responsabilidades a papéis simplificados, como o Diretor Executivo e o gestor de TI/prestador de serviços terceiros, refletindo a realidade de que muitas PME não dispõem de funções dedicadas como Diretor de Segurança da Informação (CISO) ou Centro de Operações de Segurança (SOC). Importa salientar que esta política permanece totalmente alinhada e em conformidade com normas reconhecidas internacionalmente, em particular a ISO/IEC 27001:2022, permitindo ainda uma implementação prática em organizações sem recursos internos complexos. A política descreve de forma detalhada os procedimentos para conceder, modificar e revogar acessos, abrangendo todas as fases do ciclo de vida do utilizador. Aplica-se a todos os utilizadores, trabalhadores e prestadores de serviços, pessoal temporário e prestadores de serviços terceiros de TI, e cobre dispositivos emitidos pela empresa ou Traga o Seu Próprio Dispositivo (BYOD), sistemas alojados na nuvem e nas instalações, bem como instalações físicas como escritórios e salas de servidores seguras. Ao incorporar o princípio do menor privilégio, o acesso é concedido apenas de acordo com a necessidade de negócio, minimizando de forma rigorosa o risco de acesso não autorizado ou utilização excessiva de ativos sensíveis. No centro da política estão papéis e responsabilidades claros e acionáveis: o Diretor Executivo supervisiona a aprovação da política, a alocação de recursos e o tratamento de exceções; o gestor de TI (ou prestador externo de confiança) implementa o provisionamento e o desprovisionamento de acessos, mantém um registo auditável de controlo de acesso, configura controlo de acesso baseado em funções (RBAC) e autenticação multifator, e conduz a revisão de registos de acesso. Os Gestores de Departamento autorizam o acesso para as suas equipas e promovem atualizações aquando de alterações de funções, enquanto os colaboradores devem cumprir protocolos de acesso e utilização seguros. A política desencadeia revisões periódicas de acesso, com cadência mínima anual, e exige documentação automatizada e manual de alterações de acesso e auditorias. Estão incorporados procedimentos robustos de tratamento de riscos, gestão de violações e monitorização contínua da conformidade. Desvios ao processo padrão, como acesso temporário após cessação, apenas são permitidos com aprovação ao mais alto nível e documentação abrangente. São definidas consequências disciplinares claras para incumprimento, desde retreino direcionado até cessação contratual ou escalonamento jurídico-regulatório. A política também responde prontamente a desencadeadores como alterações tecnológicas, mudanças organizacionais ou incidentes de segurança, exigindo revisões atualizadas e controlos revistos. Por fim, esta política foi concebida para integração com políticas críticas relacionadas para PME, como Política de Utilização Aceitável, Gestão de Alterações, Política de Admissão e Cessação, Proteção de Dados e Privacidade de Dados, e Resposta a Incidentes. O seu ciclo de revisão anual e a formação obrigatória do pessoal asseguram que permanece eficaz e aplicável às necessidades de negócio e de conformidade em evolução, permitindo às PME manter ambientes de controlo de acesso fortes, práticos e prontos para auditoria.