Em um ambiente organizacional, os colaboradores precisam ter acesso às ferramentas, informações e aos recursos necessários para o exercício de sua função. E nada mais. Essa é a melhor forma de garantir a produtividade e a segurança da informação. Por isso, a implementação de uma política de controle de acesso adequada às necessidades do seu negócio é imprescindível.
Atualmente, com o advento da Lei Geral de Proteção de Dados, esse assunto ganhou ainda mais relevância. Para estar em conformidade com essa lei, as empresas precisam garantir que os dados pessoais coletados sejam acessados somente por pessoas que precisam lidar com eles durante a realização de seus trabalhos.
Continue a leitura para conhecer algumas dicas de como implementar uma política de controle de acesso na sua organização!
Diferentes tipos de controle de acesso
Até este momento, abordamos o controle de acesso de forma muito genérica. No entanto, existem diferentes tipos e todos eles devem ser abordados em sua política. Você pode considerar, dentre outros, os controles de:
- Acesso à internet;
- Acesso a sistemas;
- Acesso a arquivos;
- Acesso à rede.
A administração correta desses pontos pode tornar seu ambiente organizacional muito mais seguro, produtivo e com menos vulnerabilidades.
Agora que você já conhece os principais tipos, saiba como implementá-los na sua empresa.
1. Tudo deve ser proibido a menos que seja expressamente permitido
A melhor forma de implementar uma política de controle de acesso é negar completamente os acessos aos usuários e, depois, permitir somente aqueles necessários para a execução de suas tarefas.
Essa autorização, preferencialmente, deve ser concedida pelo superior direto de cada colaborador e deve ser baseada no princípio da necessidade. Ou seja, apenas serão permitidos os recursos e permissões estritamente justificáveis para cada função.
Adotando essa estratégia, você não corre o risco deixar passarem despercebidas permissões inadequadas para algum colaborador.
2. Regras de senha segura
Fornecer os acessos corretos será pouco efetivo caso seja permitido o uso de senhas fracas. Caso isso aconteça, um hacker ou mesmo um colaborador mal-intencionado, pode descobrir as credenciais de usuários com amplo acesso e, assim, roubar, apagar ou adulterar informações.
Por isso, uma política de controle de acesso deve privilegiar a obrigatoriedade de boas práticas para criação. Alguns pontos que devem ser observados são a definição de um número mínimo de caracteres e o uso de letras maiúsculas e minúsculas, números e caracteres especiais.
Além disso, as senhas devem ser alteradas periodicamente e deve constar a proibição do uso de combinações repetidas dentro de um determinado período.
3. Monitoramento
A movimentação de colaboradores dentro de uma organização pode acontecer com frequência. Mudanças de cargos, de setor, transferências, demissões etc. Todos esses acontecimentos precisam ser refletidos nas permissões dos usuários.
Logo, é importante que haja uma espécie de auditoria periódica para verificar se todos os usuários ativos permanecem na empresa. Além disso, é necessário avaliar se suas permissões de acesso estão de acordo com a vaga que estão ocupando.
Para tornar esse processo mais efetivo, é importante criar um fluxo de trabalho em conjunto com o RH para que todo tipo de movimentação de colaborador seja notificada ao setor de TI.
4. Conscientização e treinamento
Todos os usuários que tiverem acesso a recursos de TI precisam estar cientes de boas práticas de uso, dos riscos aos quais estão suscetíveis e da importância da segurança da informação.
Dentre outras coisas, eles devem ser conscientizados sobre a necessidade de manter suas senhas em sigilo, de não deixarem suas máquinas desbloqueadas quando se ausentarem, etc.
Além disso, eles devem ser atualizados quanto às novas formas de ciberataques, para que não sejam vítimas de phishing, ransomware, malware ou qualquer outro tipo de vírus.
Agora você já conhece alguns dos principais pontos que devem ser observados durante a implementação de uma política de controle de acesso.
Não deixe de ler nosso artigo que trata especialmente de como a conscientização e o treinamento podem ser aliados da segurança da informação.