Última atualização: 01 de agosto de 2023
Política de Controle de Acesso
1. Objetivo.
A Política de Controle de Acesso tem como objetivo estabelecer diretrizes e práticas para garantir que o acesso aos sistemas, dados e recursos da GSS CARBON ("GSS") seja controlado de maneira eficaz, garantindo a confidencialidade, integridade e disponibilidade da informação.
2. Abrangência.
Esta política é aplicável a todos os colaboradores, parceiros externos e prestadores de serviços que necessitam de acesso aos sistemas e informações da GSS. Abrange todos os sistemas, redes, aplicativos e dados considerados ativos críticos à segurança da informação.
3. Conceitos e definições.
-
Controle de Acesso: Conjunto de práticas e medidas implementadas para regular e gerenciar o acesso a sistemas e informações.
-
Privilégio Mínimo: Princípio que determina que os usuários devem ter apenas os acessos necessários para desempenhar suas funções.
-
Política de Senhas: Diretrizes relacionadas à criação, uso e proteção de senhas para autenticação.
-
Autenticação Multifator (MFA): Processo que exige múltiplos métodos de autenticação para verificar a identidade de um usuário.
-
Monitoramento de Acesso: Acompanhamento contínuo das atividades de acesso aos sistemas para identificar comportamentos suspeitos.
4. Práticas de Controle de Acesso.
1. Identificação de Usuários:
-
Todos os usuários devem ser devidamente identificados antes de serem concedidos acessos aos sistemas.
-
A identificação pode envolver nome de usuário, autenticação biométrica, ou outras formas apropriadas.
2. Autenticação:
-
Os usuários devem passar por processos de autenticação seguros, que podem incluir senha forte, autenticação multifator (MFA) ou outras medidas equivalentes.
-
Senhas devem ser protegidas e mantidas em sigilo. A política de senhas deve ser seguida rigorosamente.
3. Autorização:
-
Os acessos concedidos devem seguir o princípio de privilégio mínimo, garantindo que os usuários tenham apenas as permissões necessárias para suas funções.
-
A autorização para acessar informações confidenciais deve ser concedida apenas aos usuários autorizados.
4. Monitoramento Contínuo:
-
As atividades de acesso devem ser monitoradas continuamente para identificar padrões suspeitos ou acessos não autorizados.
-
Registros de acesso devem ser revisados regularmente pela equipe de segurança.
5. Gestão de Contas de Usuário:
-
As contas de usuário devem ser revisadas periodicamente para garantir que permaneçam relevantes. Contas inativas devem ser desativadas.
-
A atribuição e remoção de privilégios devem ser registradas e revisadas.
6. Treinamento e Conscientização:
-
Todos os usuários devem passar por treinamentos regulares de conscientização sobre segurança da informação, incluindo práticas seguras de controle de acesso.
5. Responsabilidades.
A equipe de segurança é responsável por coordenar e executar as práticas de controle de acesso. As equipes de TI e gestores de sistemas são responsáveis por implementar as diretrizes estabelecidas nesta política.
6. Penalidades.
O não cumprimento ou violação desta Política de Controle de Acesso pela equipe, colaboradores, parceiros externos ou prestadores de serviços poderá resultar em medidas disciplinares e legais, conforme a gravidade da infração.
As penalidades podem incluir, mas não se limitam a:
-
Advertência Formal
-
Suspensão de Acesso
-
Rescisão de Contrato
-
Responsabilidade Legal
A aplicação das penalidades será realizada conforme a avaliação da gravidade da infração, considerando o impacto na segurança da informação da GSS. A equipe de Segurança da Informação e a Diretoria serão responsáveis por tomar as decisões apropriadas em casos de violações, buscando sempre garantir a proteção efetiva dos ativos de informação da organização.
Última atualização: 01 de agosto de 2023