Política de controlo de acesso

A Política de controlo de acesso constitui um pilar crítico da segurança da organização, estabelecendo princípios e controlos detalhados para a gestão do acesso a sistemas de informação, aplicações, instalações físicas e ativos de dados. Esta política assegura que todas as formas de acesso, quer acesso lógico quer acesso físico, são governadas pela necessidade de negócio, função e pela postura de risco global da organização, em alinhamento com normas reconhecidas globalmente como ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA e COBIT 2019. O seu objetivo é aplicar princípios rigorosos como o princípio do menor privilégio, o princípio da necessidade de conhecer e a segregação de funções, essenciais para mitigar riscos relacionados com acesso não autorizado e ameaças internas. A política suporta e operacionaliza requisitos para acesso lógico e acesso físico, autenticação do utilizador e gestão completa do ciclo de vida dos acessos, desde a integração até ao desprovisionamento. São definidos controlos para recursos digitais e físicos para prevenir utilização não autorizada, abuso ou comprometimento. Esta política aplica-se universalmente em toda a organização; o seu âmbito abrange todos os utilizadores, incluindo trabalhadores e prestadores de serviços, contratados, fornecedores externos e pessoal temporário, bem como todos os sistemas e instalações abrangidos pelo Sistema de Gestão de Segurança da Informação (SGSI). Aborda cenários de acesso complexos, estendendo controlos às instalações, à nuvem e a ambientes híbridos, ativos de TIC corporativos e ativos tanto lógicos (sistemas, redes, interfaces de programação de aplicações) como físicos (edifícios, centros de dados). De forma importante, a política determina que o acesso é governado ao longo de todo o ciclo de vida, integrando-se estreitamente com eventos conduzidos por Recursos Humanos (RH), como integração, transferências internas e processo de cessação, para assegurar atualizações e revogação de acessos atempadas. Requisitos robustos de governação incluem definir direitos de acesso através de uma matriz de funções formalizada; integrar provisionamento de acessos e desprovisionamento com processos de Recursos Humanos (RH) e técnicos; aplicar fluxos de trabalho de aprovação estruturados; e exigir Gestão de Acessos Privilegiados (PAM) através de contas separadas, monitorização e gravação de sessões e autenticação multifator. Estas práticas são reforçadas por requisitos de revisões periódicas de acesso trimestrais, registo de auditoria abrangente e o alinhamento das práticas de gestão de acessos com imperativos regulamentares e de negócio. A política descreve também mecanismos explícitos para gestão de exceções e gestão de riscos, aplicação e revisão periódica, assegurando que o programa permanece adaptável a ameaças emergentes, alterações regulamentares e novas tecnologias. Além disso, a política estabelece disposições específicas para comportamento do utilizador, acesso de terceiros, segregação de funções e mecanismo de denúncia. Aplica um quadro claro para o tratamento de violações da política, define expectativas para requisitos de revisão e atualização periódicos e exige o armazenamento de versões históricas para conformidade. Todos estes elementos combinam-se para criar um ambiente de governação de acessos que é responsável, auditável e capaz de suportar certificação ou escrutínio legal, sem fazer quaisquer suposições ou alegações para além do que está estritamente documentado.