Política de Gestão de Contas de Utilizador e Privilégios - PME

A Política de Gestão de Contas de Utilizador e Privilégios (P11S) é uma oferta abrangente, focada em PMEs, concebida para governar a criação, utilização, monitorização e remoção de contas de utilizador e privilégios numa organização. Enquanto política adaptada de normas globais e mandatos regulamentares, estabelece um quadro para garantir que apenas utilizadores autorizados têm o acesso adequado, um controlo crítico para prevenir atividade não autorizada e reduzir ameaças internas. Em particular, a P11S é redigida especificamente para pequenas e médias empresas (PMEs), conforme indicado pela responsabilização do Diretor Executivo (DE) e pela ausência de estruturas complexas de governação de TI, como SOCs dedicados ou um Diretor de Segurança da Informação (CISO). Esta abordagem torna o controlo de acesso de elevada garantia exequível e gerível para organizações sem grandes equipas de segurança, mantendo o alinhamento com a ISO/IEC 27001:2022 e quadros relacionados. A política aplica-se a todos os colaboradores, contratados, estagiários e terceiros com acesso aos sistemas de informação de TI da organização. Abrange contas de utilizador tradicionais, contas de administrador e de serviço, bem como credenciais temporárias ou de convidado. As regras abrangem todo o ciclo de vida da conta, desde a integração inicial e o provisionamento de acessos, até à revisão de acessos periódica e à revogação de acessos durante a desvinculação. A cada utilizador é atribuída uma identidade única e rastreável para garantir responsabilização, sendo as credenciais partilhadas explicitamente proibidas, exceto ao abrigo de exceções documentadas controladas. Privilégios elevados devem passar por uma camada adicional de justificação e autorização, sempre sujeitos a documentação e revisões periódicas de acesso. As funções e responsabilidades são simplificadas e claras: o DE assegura a supervisão global, garantindo o cumprimento da política e tratando quaisquer incidentes de segurança relacionados com contas de utilizador. As tarefas de implementação e aplicação técnica recaem sobre o Líder de Segurança (ou prestador de serviços terceiros de TI), que gere o provisionamento, desativação, monitorização e registo de auditoria, tudo estritamente com base em aprovações documentadas. O superior hierárquico direto desempenha um papel crucial ao solicitar, rever e validar o acesso à medida que as funções dos membros da sua equipa mudam, enquanto cada utilizador é responsabilizado por salvaguardar as suas credenciais e comunicar atividade suspeita. A política é rigorosamente governada, exigindo que todas as alterações, criações, desativações e escalonamentos de privilégios sejam registados e associados a indivíduos nomeados. As revisões periódicas de acesso são obrigatórias pelo menos a cada seis meses. A complexidade da palavra-passe, a autenticação multifator sempre que possível, o bloqueio de conta após tentativas falhadas e a revisão sistemática de contas de serviço e de terceiros estão incorporados nas regras. Os procedimentos de desvinculação asseguram a remoção rápida de acessos e a recuperação de todos os tokens digitais ou dispositivos, reduzindo riscos de acesso remanescente. A gestão de exceções é mantida a um padrão elevado: qualquer desvio da política central (como o uso raro de contas partilhadas ou de teste) deve ser justificado por escrito, compensado com controlos compensatórios, revisto trimestralmente e sujeito a eventual revogação. Contas de emergência “break glass” são permitidas apenas sob condições definidas e documentadas e devem ser repostas após utilização. A política estipula auditorias regulares, revisões de incidentes de segurança e atualizações anuais para manter o alinhamento com requisitos regulamentares e de negócio em evolução. Por fim, liga-se explicitamente a políticas complementares que cobrem, respetivamente, governação, política de controlo de acesso, política de admissão e cessação, política de sensibilização e formação em segurança da informação e Política de Resposta a Incidentes (P30), assegurando uma abordagem holística à gestão de acessos e à conformidade.