Gestão de Acesso e a Lei de Proteção de Dados Pessoais

Em post anterior falamos sobre os controles de segurança que podem ser utilizados para garantir a adequação à Lei de Proteção de Dados Pessoais e, dentre eles, a criptografia.

Tão importante quanto utilizar a criptografia, é definir corretamente as permissões de acesso que os usuários possuem dentro da organização.

Grande parte dos vazamentos de dados resultam de acesso com credenciais de usuário válidas. Em outras palavras, atacantes ou hackers se utilizam de usuários e senhas válidos para acessar informações confidenciais das empresas.

Como forma de minimizar esse risco, é fundamental que a empresa desenvolva e mantenha atualizada uma política de controle de acesso. Esse documento deve se basear nos requisitos do negócio e de segurança da informação (conforme determinado pela ISO 27000) e ser revisado periodicamente.

Essa política visa garantir que somente usuários autorizados obtenham acesso aos ativos da organização, tais como: dispositivos de rede, aplicações e sistemas, pastas e diretórios, banco de dados, entre outros.

Um dos controles que pode ser utilizado pelas organizações é o “Controle de Acesso Baseado na Função” (RBAC - Role-Based Access Control), ou seja,  as permissões e restrições serão baseadas nas funções que aquele colaborador desenvolve dentro da organização.

Por exemplo, um comprador que tem acesso ao módulo de compras e pedidos dentro do sistema não deve ter acesso para aprovação, da mesma forma que um gerente financeiro que tem acesso par aprovação de pagamentos não deve ter acesso para criá-los.

Outro controle importante é o princípio do menor privilégio, onde as permissões devem ser limitadas ao acesso necessário e suficiente para que o usuário possa realizar suas atividades em um tempo limitado.

A junção do RBAC com o princípio do menor privilégio visa minimizar o risco de usuários não autorizados acessarem dados confidenciais ou restritos que não estejam de acordo com o escopo de suas atribuições.

Assim, a realização de revisões periódicas para garantir que apenas usuários válidos e com permissões corretas estejam autorizados para acesso aos ativos da organização é imprescindível para garantir a segurança das informações.

Abaixo, algumas atividades que podem ser úteis no momento da realização de revisões de acesso:

• Inclusão e exclusão de usuários (admissão, desligamento, mudança de função);
• Revisão de acessos de usuários padrão e de usuários com acessos privilegiados (usuários administradores, por exemplo);
• Processo de revisão de segregação de funções, para garantir que os usuários têm acesso apenas a funções inerentes a seus cargos;
• Validação e positivação dos usuários.

Por fim, o time de auditoria pode ser um grande aliado nesse trabalho, uma vez que visa auditar se os controles e revisões estão devidamente implementados.

Assim, manter uma política de controle de acesso auditada e revisada periodicamente é uma boa prática de mercado que pode auxiliar na prevenção de ataques e problemas para a companhia.

A proteção dos dados pessoais e o cuidado no tratamento das informações são temas recorrentes na Serasa Experian há 50 anos. Saiba mais sobre a LGPD clicando aqui.

*Por Peterson Ricarte | Segurança da Informação, Serasa Experian