top of page

Controle de Acesso


O controle de acesso é utilizado para garantir que os dados sejam acessados somente por pessoas autorizadas. Ele consiste em processos de autenticação, autorização e auditoria:

  • a autenticação identifica quem acessa o sistema ou os dados;

  • a autorização determina o que o usuário identificado pode fazer;

  • a auditoria registra o que foi feito pelo usuário.

Sobre esse aspecto, a ANPD sugere que, caso o agente de tratamento possua rede interna de computadores, seja implementado um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais. Esse sistema de controle de acesso pode, por exemplo, permitir a criação, aprovação, revisão e exclusão de contas dos usuários.


Além disso, sugere-se que o sistema de controle de acesso seja configurado com funcionalidades que possam detectar e não permitir o uso de senhas que não respeitem um certo nível de complexidade. Isso significa que é importante que o sistema possa estabelecer o número de caracteres para se criar uma senha, definir se é necessário o uso de um caractere especial ou outros fatores que o agente de tratamento considere necessários.


É importante, ainda, na implementação de sistemas de segurança, utilizar um adequado gerenciamento de senhas, evitando o uso de senhas padrão disponibilizadas pelos fornecedores de software ou hardware adquiridos, tendo em vista que geralmente os atacantes utilizam estas senhas padronizadas (default) para tentativas de conexão e realizar os seus ataques. As senhas precisam ser alteradas por outras com requisitos mais seguros.


Outra medida sugerida é que os agentes de tratamento não permitam o compartilhamento de contas ou de senhas entre funcionários, visto que isso é um vetor crítico de vulnerabilidade de segurança da informação.


A premissa que deve ser aplicada é a do princípio do menor privilégio, ou seja, os usuários de um sistema terão o menor nível de acesso necessário para a realização de suas atividades. Funções de alto nível, tais como as de administrador de sistema, devem ser restringidas apenas àqueles funcionários que necessitem exercer esse papel e sejam capazes de assumir essa responsabilidade.


Por fim, sugere-se que os agentes considerem, preferencialmente, utilizar a autenticação de múltiplo fator (MFA) para acessar sistemas ou bases de dados que contenham dados pessoais. Essa autenticação consiste em estabelecer uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação.


A título de exemplo de autenticação de múltiplo fator, podemos citar o envio de códigos de segurança por SMS ou por e-mail, o uso de aplicativos autenticadores ou tokens de segurança e certificados digitais.

Comments


bottom of page