policy SME

Política de Gestão de Contas de Utilizador e Privilégios - PME

Política abrangente para a gestão segura de contas de utilizador e privilégios adaptada a PMEs, garantindo acesso rastreável e conformidade regulamentar.

Visão geral

Esta política detalha requisitos claros e acionáveis para a gestão de contas de utilizador e privilégios em PMEs. Exige acesso rastreável e controlo de acesso baseado em funções (RBAC), revisões periódicas, normas de palavras-passe e integração/desvinculação formalizadas. O Diretor Executivo assume a responsabilização global, apoiado pelo Líder de Segurança, e todos os processos asseguram conformidade com a ISO/IEC 27001, o RGPD, a NIS2 e mais.

Segurança de contas de ponta a ponta

Abrange o ciclo de vida completo das contas de utilizador, desde a criação até à desativação, garantindo que todo o acesso é documentado e rastreável.

Funções e simplicidade adaptadas a PMEs

Delega responsabilidades ao Diretor Executivo e ao Líder de Segurança, adequado a organizações sem grandes equipas de TI.

Conformidade regulamentar

Alinha-se com a ISO/IEC 27001:2022, o RGPD, a NIS2 e a DORA, garantindo conformidade com múltiplas normas.

Princípio do privilégio mínimo

Minimiza o risco ao impor apenas o acesso necessário e aprovações obrigatórias para privilégios elevados.

Ler visão geral completa
A Política de Gestão de Contas de Utilizador e Privilégios (P11S) é uma oferta abrangente, focada em PMEs, concebida para governar a criação, utilização, monitorização e remoção de contas de utilizador e privilégios numa organização. Enquanto política adaptada de normas globais e mandatos regulamentares, estabelece um quadro para garantir que apenas utilizadores autorizados têm o acesso adequado, um controlo crítico para prevenir atividade não autorizada e reduzir ameaças internas. Em particular, a P11S é redigida especificamente para pequenas e médias empresas (PMEs), conforme indicado pela responsabilização do Diretor Executivo (DE) e pela ausência de estruturas complexas de governação de TI, como SOCs dedicados ou um Diretor de Segurança da Informação (CISO). Esta abordagem torna o controlo de acesso de elevada garantia exequível e gerível para organizações sem grandes equipas de segurança, mantendo o alinhamento com a ISO/IEC 27001:2022 e quadros relacionados. A política aplica-se a todos os colaboradores, contratados, estagiários e terceiros com acesso aos sistemas de informação de TI da organização. Abrange contas de utilizador tradicionais, contas de administrador e de serviço, bem como credenciais temporárias ou de convidado. As regras abrangem todo o ciclo de vida da conta, desde a integração inicial e o provisionamento de acessos, até à revisão de acessos periódica e à revogação de acessos durante a desvinculação. A cada utilizador é atribuída uma identidade única e rastreável para garantir responsabilização, sendo as credenciais partilhadas explicitamente proibidas, exceto ao abrigo de exceções documentadas controladas. Privilégios elevados devem passar por uma camada adicional de justificação e autorização, sempre sujeitos a documentação e revisões periódicas de acesso. As funções e responsabilidades são simplificadas e claras: o DE assegura a supervisão global, garantindo o cumprimento da política e tratando quaisquer incidentes de segurança relacionados com contas de utilizador. As tarefas de implementação e aplicação técnica recaem sobre o Líder de Segurança (ou prestador de serviços terceiros de TI), que gere o provisionamento, desativação, monitorização e registo de auditoria, tudo estritamente com base em aprovações documentadas. O superior hierárquico direto desempenha um papel crucial ao solicitar, rever e validar o acesso à medida que as funções dos membros da sua equipa mudam, enquanto cada utilizador é responsabilizado por salvaguardar as suas credenciais e comunicar atividade suspeita. A política é rigorosamente governada, exigindo que todas as alterações, criações, desativações e escalonamentos de privilégios sejam registados e associados a indivíduos nomeados. As revisões periódicas de acesso são obrigatórias pelo menos a cada seis meses. A complexidade da palavra-passe, a autenticação multifator sempre que possível, o bloqueio de conta após tentativas falhadas e a revisão sistemática de contas de serviço e de terceiros estão incorporados nas regras. Os procedimentos de desvinculação asseguram a remoção rápida de acessos e a recuperação de todos os tokens digitais ou dispositivos, reduzindo riscos de acesso remanescente. A gestão de exceções é mantida a um padrão elevado: qualquer desvio da política central (como o uso raro de contas partilhadas ou de teste) deve ser justificado por escrito, compensado com controlos compensatórios, revisto trimestralmente e sujeito a eventual revogação. Contas de emergência “break glass” são permitidas apenas sob condições definidas e documentadas e devem ser repostas após utilização. A política estipula auditorias regulares, revisões de incidentes de segurança e atualizações anuais para manter o alinhamento com requisitos regulamentares e de negócio em evolução. Por fim, liga-se explicitamente a políticas complementares que cobrem, respetivamente, governação, política de controlo de acesso, política de admissão e cessação, política de sensibilização e formação em segurança da informação e Política de Resposta a Incidentes (P30), assegurando uma abordagem holística à gestão de acessos e à conformidade.

Diagrama da Política

Diagrama da Política de Gestão de Contas de Utilizador e Privilégios que ilustra as etapas do ciclo de vida da conta, incluindo criação, aprovação, monitorização, revisão de privilégios e desvinculação com pontos de verificação de conformidade.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de participação

Requisitos de privilégios e controlo de acesso

Gestão do ciclo de vida dos acessos

Requisitos de palavras-passe e autenticação multifator

Desvinculação e acesso de emergência

Tratamento de riscos e exceções

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
5.38.1
ISO/IEC 27002:2022
8.2
NIST SP 800-53 Rev.5
AC-2AC-5AC-6
EU NIS2
Article 21(2)(d)
EU DORA
Article 9(2)(b)
COBIT 2019
DSS05.03DSS05.04
EU GDPR
Article 32

Políticas relacionadas

Política de Funções e Responsabilidades de Governação - PME

Estabelece responsabilização e autoridade de tomada de decisão para aprovações de acesso e supervisão.

Política de Controlo de Acesso - PME

Governa a aplicação do controlo de acesso a nível de sistema e os métodos de autenticação.

Política de Admissão e Cessação - PME

Assegura que a criação e remoção de contas estão integradas em alterações de pessoal geridas por Recursos Humanos (RH).

Política de Sensibilização e Formação em Segurança da Informação - PME

Forma os utilizadores em práticas seguras de contas e expectativas de utilização.

Política de Resposta a Incidentes - PME

Define ações a tomar se o uso indevido de contas conduzir a uma violação de dados ou divulgação não autorizada.

Sobre as Políticas Clarysec - Política de Gestão de Contas de Utilizador e Privilégios - PME

Políticas de segurança genéricas são frequentemente construídas para grandes corporações, deixando pequenas empresas com dificuldades em aplicar regras complexas e funções indefinidas. Esta política é diferente. As nossas políticas para PMEs são concebidas de raiz para implementação prática em organizações sem equipas de segurança dedicadas. Atribuímos responsabilidades às funções que realmente existem, como o Diretor Executivo e o seu prestador de serviços terceiros de TI, e não a um exército de especialistas que não tem. Cada requisito é dividido numa cláusula com numeração única (por exemplo, 5.2.1, 5.2.2). Isto transforma a política numa lista de verificação clara, passo a passo, tornando-a fácil de implementar, auditar e personalizar sem reescrever secções inteiras.

Registos de acesso prontos para auditoria

Mantém registos detalhados de todas as atividades e aprovações de contas durante 12 meses, simplificando auditorias regulamentares e investigações.

Revisões trimestrais de exceções

Assegura que qualquer acesso especial (por exemplo, de teste ou de emergência) é estritamente controlado, justificado e regularmente reavaliado.

Processo de desvinculação sem fricção

Integra passos claros de lista de verificação para remoção imediata de contas, recuperação de ativos e tratamento de certificados na saída de colaboradores.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade

🏷️ Cobertura temática

Controlo de acesso Gestão de identidades Gestão de Acessos Privilegiados (PAM) Gestão de Exceções Centro de operações de segurança (SOC)
€29

Compra única

Download instantâneo
Atualizações vitalícias

Esta política é 1 de 37 no Pacote PME completo

Poupe 78%

Obtenha todas as 37 políticas PME por €399, em vez de €1.813 individualmente.

Ver Pacote PME completo →
User Account and Privilege Management Policy - SME

Detalhes do produto

Tipo: policy
Categoria: SME
Padrões: 7