INTRODUÇÃO 

A política de controle de acesso consiste no conjunto de recursos tecnológicos e humanos, colocados na prática, para manter a corporação segura de danos, interferências e perturbações.


  • Danos: Neles, se incluem os roubos, acidentes e quaisquer outras ocorrências deste tipo que causem prejuízo físico ou financeiro à infraestrutura da empresa e aos seus colaboradores;
  • Interferências: Pode-se entender como situações que afetam diretamente o negócio da empresa, como o vazamento de dados importantes;
  • Perturbações: Estes são acontecimentos que atrapalham tanto as operações quanto o funcionamento da empresa.

 

OBJETIVO 


A política de controle de acesso tem como objetivo propiciar proteção as instalações, áreas, equipamentos, dados, informações, bens e pessoas, pelo impedimento de acessos não-autorizados aos ambientes físicos ou lógicos.


Objetivos específicos:

  • Proteger ambientes físicos e lógicos contra acessos não autorizados;
  • Detectar, interceptar e conter acessos indesejáveis de: invasor, contrabando, armas, explosivos, drogas, produto pirata, vírus, etc.);
  • Gerenciar permissões de acesso;
  • Controlar e registrar entradas e saídas de pessoas, objetos e informações;
  • Fornecer registros completos de todos os acessos ou tentativas de acessos ao ambiente físico e lógico do Grupo B2 Mídia;
  • Permitir rastreabilidade dos acessos consentidos. 

 

ABRANGÊNCIA 

Esta política se aplica a todos os colaboradores do Grupo B2 Mídia, quais sejam: funcionários, estagiários, fornecedores, clientes ou indivíduos que direta ou indiretamente utilizam ou suportam os sistemas, infraestrutura ou informações da Grupo B2 Mídia.


CLASSIFICAÇÃO DO CONTROLE DE ACESSO


O sistema de controle de acesso pode ser classificado de duas formas:


Quanto ao seu funcionamento.

Quanto ao funcionamento o controle de acesso pode ser classificado em manuais, semiautomáticos e automáticos.


  • Controle de Acesso Manual
    • Controle de acesso manuais são aqueles executados e controlados direta e exclusivamente pela ação humana.
    • Normalmente são realizados por vigilantes, vigias, porteiros ou recepcionistas, seu funcionamento é operacionalizado pela simples verificação da identidade da pessoa que requer acesso e sua respectiva autorização.
    • Os registros de acessos, quando registados, são efetuados em planilhas de papel.
    • Nesse processo o controle é feito visualmente, como por exemplo, a identificação visual do crachá e a conferencia da foto e/ou dados do mesmo com o de quem o porta.
    • Este é o mais simples e vulnerável sistema de controle de acesso, pois como é diretamente operado pelo recurso humano, que tem maior chance de cometer erros, além de enfrentar conflitos com usuários da empresa ou instituição.
  • Controle de Acesso Semiautomático
    • O sistemas semiautomáticos integram os recursos humanos com a tecnologia.
    • Geralmente esses sistemas selecionam o acesso por meio de um interfone e/ou porteiro eletrônico, supervisionados ou não por sistemas de câmera de segurança, sendo a autorização liberada pelo agente de segurança se as condições de acesso forem preenchidas.
  • Controle de Acesso Automático
    • Os sistemas de controle de acessos automáticos independem da ação humana para identificar, autorizar e registrar o acesso ao interior das organizações ou áreas.
    • Todos os eventos são registrados e armazenados em Bancos de Dados (servidor do sistema), o que é uma grande vantagem, pois não depende da ação humana para que esses registros sejam feitos e consultados.
    • Os sistemas automáticos utilizam como meios de identificação para liberação ou restrição do acesso teclados para digitação de senha, cartões de códigos de barras ou proximidade, leitores de características biométricas e sistemas de bloqueios como cancelas, catracas e portas.



Quanto a sua função.

Quanto a sua função os controle de acessos podem ser classificados em dois tipos:


  • Controle de Acesso Lógico
    • Controle de acesso lógico refere-se aos conjunto procedimentos, recursos e meios utilizados utilizados pelo Grupo B2 Mídia, por meio da Tecnologia da Informação, para limitar e administrar os acessos aos recursos tecnológicos do Grupo B2 Mídia no que refere as redes computacionais, bancos de dados e etc.
    • É responsável pelo gerenciamento de todo e qualquer tipo de acesso ao Espaço Virtual ou Ciberespaço do Grupo B2 Mídia.
    • “Ciberespaço” é o ambiente criado de forma virtual através do uso dos meios de comunicação modernos destacando-se, entre eles, a internet.
    • O controle de acesso lógico, permite que os sistemas de tecnologia da informação verifiquem a autenticidade e a identidade dos usuários que tentam entrar em seus sistemas informatizados ou utilizar seus serviços.
    • É um conjunto de medidas e procedimentos adotados pelo Grupo B2 Mídia apropriado aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas de acesso não autorizado feitas por usuários ou não.
    • Objetivo é proteger os recursos computacionais contra perda, danos, modificação ou divulgação não autorizada.
    • A gestão do controle de acesso lógico é responsabilidade da equipe TI (Tecnologia da Informação) do Grupo B2 Mídia.
  • Controle de Acesso Físico
    • O controle de acesso físico pode ser compreendido como o tipo de sistema que torna o acesso físico a uma determinada área, totalmente controlado, sendo que somente a pessoas ou objetos autorizados são permitidos a entrar ou saída do local.
    • O controle de acesso físico pode ser obtido através de pessoas (vigilante, porteiro, ou recepcionista); através de meios mecânicos como barreiras físicas, portões, portas, fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseados em cartões de acesso e leitura biométricas (sistemas eletrônicos de segurança).
    • É toda e qualquer aplicação de procedimento ou uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informações cujo o acesso deve ser restritos.
    • Esse tipo de controle envolve o uso de chaves, trancas, vigilantes, crachás, cercas, muros, sistemas eletrônicos de segurança, smartcards, biometria e etc., além da aplicação de normas e procedimentos utilizados pelo Grupo B2 Mídia para esse fim.


DIRETRIZES DE CONTROLE DE ACESSO


Acesso Lógico de Usuário

  • Deve ser estabelecido um processo de concessão, alteração e cancelamento de acesso para o colaborador em todo e qualquer ambiente;
  • Os gestores das áreas são responsáveis por assegurar que as credenciais de acesso dos respectivos colaboradores sejam disponibilizados e utilizados em conformidade com as necessidades funcionais do trabalho, por meio de solicitação de acesso com a abertura de chamado junto setor de suporte;

  • Ao ser disponibilizada as credenciais de acesso com os respectivos logins e senhas, o colaborador passa a ser usuário do ambiente tecnológico do Grupo B2 Mídia;

  • O Acesso Lógico dos Usuários ao ambiente tecnológico do Grupo B2 Mídia deve ser feito mediante a utilização de contas de acesso; 
  • O usuário terá um único ID de acesso em cada ambiente que seja necessário o credenciamento. Este ID, será valido pelo período de vínculo ativo de trabalho com o Grupo B2 Mídia e não deve ser reaproveitado para outros usuários, mesmo após o término da necessidade de uso inicial;
  • As atividades realizadas por meio de determinado ID de Acesso serão de responsabilidade do respectivo Usuário;
  • É proibido aos Usuários compartilharem seus IDs de Acesso, bem como realizarem qualquer ação utilizando ID de Acesso individual ou de grupo para o qual não tenham sido autorizados; 
  • O gestor imediato deve abrir um chamado junto ao setor de suporte solicitando o bloqueio das credenciais de acesso dos respectivos usuários afastados;
  • Nos casos em que o usuário afastado é um colaborador terceirizado, o gestor responsável pelo contrato do terceirizado deve abrir um chamado junto ao setor de suporte para solicitar o bloqueio do respectivo acesso do usuário;
  • Todos as pessoas que acessam fisicamente as instalações, mas que não possuem vínculo de trabalho com o Grupo B2 Mídia, são considerados visitantes. Neste caso, terão acesso lógico separado, controlado e monitorado, quer seja em meio móvel (wi-fi) ou fixo;
  • Os registros de atividades com a respectiva identificação dos responsáveis pela requisição, aprovação, concessão, comprovação e revogação de Acesso devem ser armazenados para fins de análise de segurança da informação e auditoria interna;

 

Gerenciamento de Privilégio

  • As credenciais de acesso privilegiado, que correspondem ao acesso a atividades de administrador de sistemas ou ativos físicos do ambiente tecnológico, deve ser atribuído conforme aprovação do Gestor da Informação ao colaborador com base na sua respectiva função e na necessidade de conhecimento de Informação para as atividades do trabalho;
  • O compartilhamento do uso de credenciais de acesso privilegiado deve ser individual e restrito. Contudo, quando essas credenciais precisarem ser compartilhadas por questões técnicas, estas devem ser apenas para equipe habilitada, autorizadas pelo gestor da área de Tecnologia da Informação ou superior e registradas para fins de auditoria;
  • As credenciais de acesso privilegiado devem ser necessariamente trocadas quando houver desligamento ou substituição de qualquer membro da equipe;
  • Todos os usuários que utilizam credenciais de acesso privilegiadas para execução de atividades específicas para este fim devem também possuir credenciais não privilegiadas para atividades do dia a dia. De maneira que a utilização de credenciais de acesso privilegiado só ocorra quando for estritamente necessário.

 

Gerenciamento de Senha de Usuário

  • Toda concessão de acesso aos sistemas de informações deve ser controlada por um método que envolva, identificação, autenticação e autorização;
  • Os usuários devem cadastrar e utilizar suas respectivas senhas de acesso aos sistemas de informações em conformidade com a Política de Uso de Senhas.

 

 

Revisão dos Diretos de Acesso

 

  • Os direitos de acesso devem ser revisados periodicamente pela área de Tecnologia da Informação do Grupo B2 Mídia, conforme processo determinado, e validados pelos respectivos gestores de área ou superiores;
  • As requisições geradas devem ser prontamente atendidas e documentadas pelo setor de suporte do Grupo B2 Mídia.
  • O Departamento de Pessoal do Grupo B2 Mídia, deverá encaminhar a Área de Tecnologia da Informação do Grupo B2 Mídia uma relação dos colaboradores e estagiários afastados, imediatamente após o desligamento para que seja efetuado os respectivos bloqueios de acesso.

 

Gerenciamento de Contas de Serviço

 

  • As Contas de Serviço, deverão ter individualmente um responsável pela sua manutenção, bem como pela alteração de sua senha. O responsável não deve utilizar a Conta do Serviço para outros fins que não seja para o qual foi criado conforme sua definição;
  • Sistemas e dispositivos devem ser configurados, quando tecnicamente possível, de modo a prevenir acesso remoto por meio de Contas de Serviço;


Diretrizes para Acesso Físico

 


  • O acesso ao prédio é permitido à pessoas cadastradas e com o uso de biometria, aos visitantes, fornecedores e outros prestadores de serviço, o acesso só e permitido após identificação previa, e confirmação por parte da B2Midia
  • Os controles de Acesso físico visam restringir o Acesso a equipamentos, documentos e suprimentos do ambiente tecnológico do Grupo B2 Mídia e à proteção dos recursos computacionais, permitindo-lhes acesso apenas às pessoas autorizadas;
  • Os recursos computacionais críticos do Grupo B2 Mídia, devem ser mantidos em ambientes reservados, monitorados e com acesso físico controlado permitido apenas para pessoas autorizadas;
  • Periodicamente a Área de Tecnologia da Informação do Grupo B2 Mídia deve revisar os acessos aos ambientes tecnológicos reservados, restringindo o acesso apenas a pessoas autorizadas.