Sistemas de Controle de Acessos para Segurança da Informação

Controles de Acessos e Segurança

Os controles de acesso são um conjunto de medidas e práticas que uma organização implementa para garantir que apenas pessoas autorizadas tenham permissão para acessar sistemas, dados ou áreas físicas restritas.

É a parte da segurança, que por meio do uso de políticas, procedimentos, dispositivos, hardware e software, métodos qualificados de identificação e sistemas de bloqueios, busca controlar e gerenciar o trânsito de pessoas, objetos e informações em um determinado espaço físico e\ou lógico.

Foto: Homem bloqueando um acesso

Controles de acesso englobam todas as ações, mecanismos ou sistemas usados para restringir e gerenciar acessos a recursos, dados ou áreas físicas.

Isso abrange uma ampla variedade de práticas e tecnologias que são implementadas para garantir que apenas pessoas autorizadas tenham acesso, enquanto limita ou impede o acesso não autorizado.

Essas ações, mecanismos e sistemas podem incluir autenticação, autorização, monitoramento de atividades, sistemas de segurança física, políticas de acesso, criptografia e muitos outros métodos para proteger a integridade, confidencialidade e disponibilidade dos ativos e recursos de uma organização.

Os controles de acesso desempenham um papel fundamental na segurança da informação e na proteção dos recursos da organização, contra ameaças cibernéticas e violações de segurança.

A combinação adequada desses controles de acesso é essencial para proteger os ativos e a integridade da organização, minimizando riscos de segurança, protegendo a privacidade e cumprindo regulamentações de proteção de dados.

Cada organização deve avaliar suas necessidades de segurança e implementar controles de acesso apropriados com base em seu ambiente e ameaças específicas.

Objetivo Principal do Controle de Acesso

O objetivo principal do controle de acesso é proporcionar e garantir proteção às instalações, áreas físicas e digitais, equipamentos, informações, bens e pessoas ou dados específicos pelo impedimento de acessos não autorizados aos ambientes, sejam físicos ou digitais.

Apenas pessoas autorizadas tenham permissão para acessar recursos e informações.

Objetivos Específicos

1-Segurança e Proteção: Proteger ambientes físicos e digitais contra acessos não autorizados.

Evitar acesso não autorizado a recursos e informações críticas, protegendo a organização contra violações de segurança, vazamento de dados e ameaças cibernéticas.

2-Privacidade: Garantir que dados pessoais e informações confidenciais sejam protegidos contra acesso não autorizado, cumprindo regulamentações de privacidade, como a LGPD.

3-Integridade dos Dados: Evitar alterações não autorizadas ou corrupção de dados, garantindo que apenas pessoas autorizadas possam modificar informações.

4-Segregação de Deveres: Garantir que os usuários tenham apenas as permissões necessárias para realizar suas tarefas, minimizando riscos de conflitos de interesse ou fraudes.

5-Auditoria e Monitoramento: Registrar atividades de acesso para fins de auditoria e investigação, ajudando a detectar e responder a incidentes de segurança.

Controlar e registrar entradas e saídas de pessoas, objetos e informações;

6-Conformidade Regulatória: Cumprir com regulamentações, como a LGPD, e outras leis e regulamentações;

7-Proteção Física: Controlar o acesso a áreas físicas, como escritórios, data centers e instalações, para evitar intrusões não autorizadas, detectando, interceptando e blindando acessos indesejáveis de invasores;

8- Gestão de Permissões de Acessos: Gerenciar contas de usuários, atribuir e revogar privilégios e garantir que os usuários tenham acesso adequado aos recursos necessários para suas funções. Permitir rastreabilidade dos acessos consentidos.

9-Minimizar Riscos: Reduzir o risco de comprometimento de informações confidenciais e garantir a continuidade das operações.

Fornecer registros completos de todos os acessos ou tentativas de acessos ao ambiente físico e digital da organização;

10-Melhorar a Eficiência e Produtividade: Garantir que os usuários autorizados tenham acesso rápido e eficiente aos recursos de que precisam.

11-Garantir a Autenticidade: Certificar-se de que os usuários que afirmam ser quem são realmente autênticos, protegendo contra falsificação de identidade.

12-Garantir a Confidencialidade: Proteger informações confidenciais e sensíveis contra divulgação não autorizada.

Isso é alcançado por meio de uma série de práticas, políticas e tecnologias que visam colocar barreiras físicas e digitais.

Classificação quanto ao Funcionamento dos Controles de Acessos

Os controles de acesso podem ser classificados com base em seu funcionamento em três categorias principais: manuais, semi-automáticos e automáticos.

Cada categoria tem características específicas:

1-Controles Manuais: Requerem intervenção direta e ação humana para conceder ou negar acesso. São aqueles executados e controlados direta e exclusivamente pela ação humana.

Podem ser realizados por vigilantes, porteiros, recepcionistas e seu funcionamento é operacionalizado pela simples verificação da identidade da pessoa que requer acesso e sua respectiva autorização.

Exemplos incluem o uso de chaves físicas, verificações de identificação pessoal por pessoal de segurança e registros de visitantes em papel.

Com maior propensão à erros, pois é diretamente operado pelo recurso humano, é o mais simples e vulnerável controle de acessos.

2-Controles Semi Automáticos: Integram os recursos humanos com a tecnologia. Exigem intervenção humana para iniciar o processo, mas o controle é exercido por sistemas automatizados, pois, combinam elementos manuais e automatizados.

Exemplos incluem autenticação de dois fatores, onde o usuário fornece informações (algo que sabe) e usa um dispositivo (algo que possui), como um smartphone, para receber um código de autenticação.

Acesso por meio de um interfone ou um porteiro eletrônico, supervisionados ou não por sistema de câmeras de segurança, sendo a autorização realizada por ação humana.

3-Controles Automáticos: Operam principalmente por meio de sistemas automatizados e não requerem intervenção humana para a tomada de decisões de acesso.

Todos os eventos são registrados e armazenados em Banco de Dados (Servidor do Sistema). Exemplos incluem sistemas de controle de acesso eletrônico baseados em cartões de acesso ou identificação biométrica, onde um leitor eletrônico autentica a pessoa automaticamente.

Assim, utilizam meios de identificação para liberação ou restrição do acesso, teclados para digitação de senhas, cartões de códigos de barras ou proximidade, leitores de características biométricas e sistemas de bloqueios, como cancelas, catracas e portas digitais.

A escolha entre controles manuais, semi automáticos e automáticos depende das necessidades de segurança da organização e do equilíbrio entre segurança, usabilidade e eficiência desejados.

Muitas organizações adotam uma combinação de diferentes tipos de controles de acesso com base na criticidade dos recursos e na natureza das operações.

Podem usar controles manuais, como verificações de identificação pessoal, para acesso a áreas extremamente sensíveis ou, ao mesmo tempo, implementar controles automáticos, como cartões de acesso, para áreas de acesso regular.

A escolha adequada de controles de acesso é essencial para garantir a segurança dos recursos e a eficiência operacional.

Classificação quanto à Função dos Controles de Acessos

Quanto a sua função podem ser classificados em dois tipos: Controle de Acessos Lógico e Controle de Acessos Físico.

1- Controle de Acessos Lógico: O controle de acesso lógico se refere-se ao conjunto de procedimentos, recursos e meios utilizados pela organização para limitar de administrar os acessos aos recursos tecnológicos, a redes computacionais, internet, sistemas de informação, redes, aplicativos e banco de dados digitais.

A autorização determina o que um usuário autenticado está autorizado a fazer após a autenticação. Isso envolve a atribuição de permissões específicas com base nas funções e responsabilidades do usuário.

As permissões podem incluir acesso a sistemas, leitura ou gravação de dados, execução de ações específicas e muito mais.

É responsável pelo gerenciamento de todo tipo de acesso do espaço virtual da organização e a gestão do controle de acessos lógico é realizado pela TI- Tecnologia da Informação.

O controle de acesso lógico é essencial para proteger informações confidenciais, sistemas críticos e dados digitais de uma organização.

A implementação adequada desses controles ajuda a manter a integridade, confidencialidade e disponibilidade dos recursos digitais.

2- Controle de Acessos Físicos: É todo tipo de sistema que torna o acesso físico a uma determinada área, totalmente controlado, sendo que, somente pessoas ou objetos são permitidos entrar ou sair do local.

Controla quem tem acesso a áreas específicas, garantindo que apenas pessoas autorizadas possam entrar. Impedindo o acesso de pessoas não autorizadas a áreas restritas, evitando que indivíduos não autorizados entrem em escritórios, salas de servidores, áreas de produção ou outras áreas sensíveis.

Em locais que armazenam informações em formato físico, como registros em papel ou documentos confidenciais, o controle de acesso físico protege a privacidade e a confidencialidade desses dados.

Envolve o uso de chaves, trancas, vigilantes, crachás, cercas, muros, sistemas eletrônicos de segurança, smartcards, biometria, entre outros, incluindo a aplicação de normas e procedimentos utilizados pela organização para esse fim.

A função central é proteger ativos tangíveis, como equipamentos, instalações, estoques, documentos físicos e outros bens da organização contra roubo, vandalismo ou danos.

O controle de acesso físico é uma parte fundamental da segurança de instalações e, muitas vezes, é complementado por sistemas de segurança eletrônica, como alarmes e sistemas de vigilância por vídeo.

A combinação adequada de medidas de controle de acesso físico é essencial para garantir a segurança das instalações, a integridade dos ativos e a proteção das pessoas que trabalham ou frequentam essas áreas.

Tipos de Controles de Acessos

Os tipos de controle de acesso se referem às várias maneiras pelas quais o acesso a recursos, informações, áreas físicas ou sistemas é gerenciado e protegido.

Existem diferentes tipos de controles de acesso, incluindo:

1-Controle de Acesso Físico: Envolve medidas para proteger o acesso a áreas físicas, como escritórios, salas de servidores e instalações. Isso pode incluir sistemas de fechaduras eletrônicas, cartões de acesso, dispositivos biométricos, sistemas de vigilância e etc.

2-Controle de Acesso Lógico: O controle de acesso lógico diz respeito ao gerenciamento de acesso a sistemas de informação, redes e dados digitais. Controla o acesso a sistemas de computador e dados digitais, para proteger recursos digitais. Isso é alcançado por meio de senhas, autenticação de dois fatores, certificados digitais e sistemas de gerenciamento de identidade.

3-Controle de Acesso Baseado em Função: Atribui permissões de acesso com base nas funções ou cargos dos usuários dentro da organização. Isso garante que os usuários tenham apenas as permissões necessárias para realizar suas tarefas.

4-Controle de Acesso Baseado em Política: Implementa políticas de acesso que definem quem pode acessar quais recursos e sob quais condições. Isso pode incluir políticas de senha, políticas de acesso a aplicativos e outras políticas de segurança.

5-Auditoria e Monitoramento de Acesso: Registra e monitora as atividades de acesso para identificar atividades suspeitas ou não autorizadas. Isso ajuda a detectar e responder a ameaças de segurança.

6-Controle de Acesso à Rede: Gerencia o acesso à rede e à internet por meio de firewalls, sistemas de detecção de intrusões e sistemas de segurança de rede.

7-Controle de Acesso a Dados Sensíveis: Protege dados confidenciais por meio de criptografia, segregação de dados e controles de acesso rigorosos.

8-Gerenciamento de Identidade: Envolve a criação, atualização e exclusão de contas de usuário, bem como a atribuição e revogação de privilégios.

9-Controle de Acesso em Nuvem: Gerencia o acesso a recursos e dados em ambientes de nuvem, garantindo que somente pessoas autorizadas possam acessá-los.

10-Treinamento e Conscientização: Educa os funcionários e usuários sobre as melhores práticas de segurança e sobre como manter a segurança dos sistemas e dados da organização.

11-Controle de Acesso a Dispositivos Móveis: Gerencia o acesso a dispositivos móveis corporativos e protege dados em dispositivos móveis por meio de políticas e ferramentas de segurança.

12-Controle de Acesso a Terceiros: Gerencia o acesso de fornecedores, contratados e outros terceiros à infraestrutura e aos dados da organização.

O controle de acesso é essencial para proteger ativos, garantir a conformidade com regulamentações e manter a integridade das informações e recursos críticos de uma organização.

É uma parte fundamental da segurança da informação e da privacidade dos dados.

Dissuasão de Ameaças e Intrusões Físicas e Virtuais

O controle de acessos também desempenha um papel importante na dissuasão de ameaças e intrusões.

A presença de medidas de controle de acesso físico eficazes pode inibir indivíduos não autorizados de tentar acessar áreas restritas ou cometer atos ilícitos.

É capaz de criar um ambiente pouco atraente para criminosos, pois cria um efeito capaz de desmotivar o invasor de sua intenção.

Maneiras pelas quais o controle de acesso físico pode atuar como um fator dissuasivo:

A presença de sistemas de controle de acesso, como câmeras de segurança, portões com fechaduras eletrônicas, cartões de acesso e outros dispositivos visíveis, pode servir como um lembrete visual de que a área é protegida e monitorada.

Barreiras físicas, como portões, cercas, portas de segurança e outros obstáculos, dificultam a entrada não autorizada.

Essas barreiras tornam mais desafiador para intrusos potenciais acessar a área.

A consciência de que todas as entradas e saídas são registradas e podem ser auditadas posteriormente pode dissuadir indivíduos de tentar cometer atos ilícitos, pois sabem que podem ser identificados.

A necessidade de autenticar-se para acessar uma área cria uma camada adicional de segurança.

Os indivíduos podem ser desencorajados por saberem que não podem simplesmente “se misturar” com outras pessoas para acessar a área.

A presença de pessoal de segurança ou vigilância em áreas restritas também age como um fator dissuasivo, pois há alguém presente para identificar e abordar possíveis ameaças.

Sinais de advertência informando que a área é restrita, monitorada por câmeras ou protegida por sistemas de controle de acesso podem desencorajar pessoas de tentar entrar.

O controle de acesso digital pode desempenhar um papel significativo na dissuasão de ameaças cibernéticas e proteção de ativos digitais.

A implementação eficaz de medidas de controle de acesso digital pode inibir potenciais ameaças e intrusões

Maneiras pelas quais o controle de acesso virtual pode atuar como um fator dissuasivo:

O uso de métodos avançados de autenticação, como autenticação de dois fatores (2FA) ou autenticação biométrica, pode dificultar o acesso não autorizado a contas e sistemas.

Os invasores podem ser desencorajados por essas barreiras de segurança adicionais.

A implementação de políticas de senha forte, que exigem senhas complexas e de difícil adivinhação, torna mais desafiador para invasores adivinhar ou quebrar senhas.

A atribuição de permissões com base nas funções e responsabilidades dos usuários ajuda a garantir que apenas pessoal autorizado tenha acesso a determinadas partes do sistema.

Isso reduz o risco de acesso não autorizado. A capacidade de registrar e monitorar atividades de acesso é um fator dissuasivo.

Os invasores sabem que suas ações estão sendo registradas e podem ser rastreadas posteriormente.

A configuração de bloqueio de contas após várias tentativas malsucedidas de acesso pode desencorajar ataques de força bruta, pois os invasores enfrentarão bloqueios temporários ou permanentes.

A eficácia do controle de acesso físico e digital na dissuasão de ameaças físicas e cibernéticas depende da configuração adequada, monitoramento contínuo e manutenção das políticas de segurança.

Uma abordagem em camadas que combina várias medidas de segurança é geralmente mais eficaz na proteção contra ameaças físicas e cibernéticas.

A escolha dos tipos de controle de acesso a serem implementados depende das necessidades específicas da organização, do ambiente e dos ativos que precisam ser protegidos.

Em muitos casos, uma combinação de diferentes tipos de controle de acesso é usada para garantir uma proteção abrangente.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *