AUDITORIA E CONTROLE DE ACESSO

1
Sumário
NOSSA HISTÓRIA .................................................................................. 2

INTRODUÇÃO ......................................................................................... 3

O QUE É O CONTROLE DE ACESSO? ................................................. 4

CONTROLES FÍSICOS E LÓGICOS ...................................................... 5

PROCESSOS DO CONTROLE DE ACESSO ......................................... 5

COMO O CONTROLE DE ACESSO FUNCIONA ................................... 6

POLÍTICA DE ACESSO........................................................................... 7

A IMPORTÂNCIA DO CONTROLE DE ACESSO PARA AS

INFORMAÇÕES................................................................................................. 8

O VALOR DO CONTROLE DE ACESSO ................................................ 9

TIPOS DE CONTROLE DE ACESSO ................................................... 10

SEGURANÇA NA ESTAÇÃO DE TRABALHO ...................................... 13

A GESTÃO DE CONTROLE DE ACESSO ............................................ 13

AUDITORIA ........................................................................................... 15

TELECOMUNICAÇÕES ........................................................................ 16

CONSIDERAÇÕES FINAIS ................................................................... 18

REFERÊNCIAS ..................................................................................... 19

1
 NOSSA HISTÓRIA

A nossa história inicia com a realização do sonho de um grupo de

empresários, em atender à crescente demanda de alunos para cursos de
Graduação e Pós-Graduação. Com isso foi criado a nossa instituição, como
entidade oferecendo serviços educacionais em nível superior.

A instituição tem por objetivo formar diplomados nas diferentes áreas de

conhecimento, aptos para a inserção em setores profissionais e para a
participação no desenvolvimento da sociedade brasileira, e colaborar na sua
formação contínua. Além de promover a divulgação de conhecimentos culturais,
científicos e técnicos que constituem patrimônio da humanidade e comunicar o
saber através do ensino, de publicação ou outras normas de comunicação.

A nossa missão é oferecer qualidade em conhecimento e cultura de forma

confiável e eficiente para que o aluno tenha oportunidade de construir uma base
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica,
excelência no atendimento e valor do serviço oferecido.

2
INTRODUÇÃO

Com tantos ataques cibernéticos em escala global ocorridos nos últimos tempos,
estabelecer o controle de acesso nas informações corporativas se tornou uma
medida inadiável, afinal os futuros ataques podem acontecer a qualquer instante
— e sua empresa, é claro, não deseja estar entre as vítimas.

Manter as propriedades de segurança (confidencialidade, integridade e

disponibilidade) de acordo com o perfil do seu negócio exige dominar os
controles físicos e lógicos. Esses controles devem estar em sintonia com a
avaliação dos pontos fortes e fracos da atual política de segurança da informação
dentro da assessoria de cobrança.

Os mecanismos de segurança da informação precisam estar de acordo com as

políticas de segurança estabelecidas pelo escritório de cobrança. Os modelos
mais modernos que recomendam comportamentos seguros na rede, de acordo
com políticas de segurança pré-determinadas, devem ser implantados de forma
a garantir a preservação de dados com total responsabilidade no controle de
acesso.

3
O QUE É O CONTROLE DE ACESSO?

Trata-se do uso de mecanismos tecnológicos, para limitar as ações e privilégios

do usuário que utiliza os recursos computacionais da empresa.

Numa linguagem mais prática, o administrador de sistemas aplica regras a cada

usuário ou grupo de trabalho. Por sua vez, as regras são definidas pelo gestor
de TI junto aos demais departamentos que utilizam o sistema.

Antes das regras serem de fato implantadas, elas são dispostas na política de
segurança da informação da empresa, junto a uma série de melhores práticas a
ser adotada para que todos usufruam da tecnologia com responsabilidade e
segurança.

Resumindo, o controle de acesso nas informações da empresa faz com que

limites sejam estabelecidos aos usuários do sistema, garantindo que os dados
sejam acessados somente pelos funcionários autorizados e que recursos, tais
como a Internet, possam ser controlados.

“O controle de acesso, na segurança da informação, é composto dos processos

de autenticação, autorização e auditoria (accounting). Neste contexto o controle
de acesso pode ser como a habilidade de permitir ou negar a utilização de um
objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma
entidade ativa, como um indivíduo ou um processo). A autenticação identifica
quem acessa o sistema, a autorização determina o que um usuário autenticado
pode fazer, e a auditoria diz o que o usuário fez “[WIKIPEDIA,2009].

4
CONTROLES FÍSICOS E LÓGICOS

É importante diferenciar as formas de controle existentes dentro de uma política

de segurança fixada por regras de acesso claras e bem delimitadas. No que se
refere aos controles físicos, existem barreiras reais que limitam o contato ou
acesso direto à informação ou parte de sua infraestrutura.

Já no caso dos controles lógicos, estes se dão geralmente em ambiente

eletrônico com barreiras virtuais que limitam ou impedem o acesso à informação
dentro dos sistemas e banco de dados de sua assessoria de cobrança. Nos dois
casos, a proposta é impedir a exposição não autorizada de seus dados
confidenciais ao uso por parte de terceiros, resguardando aqueles dados que
interessam a determinados clientes apenas.

Uma solução viável para manter a seguridade das trocas de dados é utilizar
sistemas que armazenem informações em um Data Center com alto nível de
confiabilidade.

PROCESSOS DO CONTROLE DE ACESSO

Deve-se ter em mente que o controle de acesso se baseia em processos de

autenticação, autorização e auditoria. No caso dos dois primeiros processos,
está determinado quem pode acessar o sistema por meio de, normalmente, um
nome e uma senha constantes, que autenticam a identidade de forma
credenciada.

No terceiro processo, o da auditoria ou accounting, trata-se da coleta de

informações sobre a utilização dos recursos de um sistema pelos usuários de
forma a resguardar material para futuros gerenciamentos, planejamentos e
cobranças. As informações desse processo estão ligadas à identidade do
usuário, à natureza do serviço entregue, ao instante em que ele se inicia e ao
momento do seu término. Além disso, o controle de acesso com definição de
horários de trabalho e operações permitidas para cada colaborador também se
mostra eficiente.

5
COMO O CONTROLE DE ACESSO FUNCIONA

Quando atrelado ao conceito de Segurança da Informação, o controle de acesso

subdivide-se em três processos:

 Autenticação;
 Autorização;
 Auditoria.

Entende-se por autenticação o procedimento, composto de duas etapas, ao qual

se determina se o usuário está permitido a acessar o sistema. Todos nós
estamos habituados a passar por mecanismos de autenticação, como, por
exemplo, ao acessar a conta de e-mail ou internet banking.

A autorização, apesar de tecnicamente fazer parte da autenticação, é

configurada com intuito de elencar o que cada usuário pode ou não fazer no
sistema. Ou seja, atribuir permissões aos colaboradores de acordo com suas
respectivas posições.

Por exemplo, um funcionário do almoxarifado não pode acessar informações do

departamento financeiro, mas a equipe de finanças está autorizada a consultar
o histórico do almoxarifado para levantar os custos com materiais.

A auditoria, por sua vez, consiste na coleta de informações sobre o uso dos
recursos tecnológicos envolvendo cada usuário. Os dados podem ser recolhidos
em tempo real ou por meio de gravação (batch) — para que sejam analisados
posteriormente — e utilizados em tomadas de decisão, planejamentos,
cobranças etc.

6
POLÍTICA DE ACESSO

É preciso elaborar uma política de controle de acesso, que apontará para os

requisitos de negócio e para as regras de controle de acesso.

Na idade média já existia o conceito de controle de acesso, quando uma senha

ou frase secreta era a chave para entrar em um determinado recinto.

O conceito de controle de acesso baseia-se em dois princípios:

1 – Separação de responsabilidades;

O conceito de separação de responsabilidades implica na separação de um

determinado processo de modo que cada parte possa ser realizada por uma
pessoa diferente. Isto obriga os colaboradores a interagir para concluir um
determinado processo, diminuindo as chances de fraudes.

2 – Privilégios mínimos.

O conceito de privilégio mínimo implica na concessão apenas dos privilégios

mínimos necessários para que uma pessoa realize suas atividades.

Isto evita o conhecimento de outras possibilidades, que eventualmente poderiam

levar a incidentes de segurança da informação. Há um termo em inglês para este
conceito: “need-to-know”.

O fato é que sem uma política de segurança não tem como conduzir uma
auditoria para verificar a segurança das informações. Isso porque a política é o
primeiro passo para o estabelecimento de estratégias.

Portanto, caso sua organização ainda não tenha dado esse passo, sugerimos a
leitura do artigo Implementando uma política de segurança de TI em sua
empresa, no qual apresentamos um roteiro que pode com contribuir com a tarefa.

7
A IMPORTÂNCIA DO CONTROLE DE ACESSO PARA AS
INFORMAÇÕES

Os dados sigilosos são bens preciosos para a empresa, seja pela sua
essencialidade aos processos de negócio, seja pela confidencialidade que deve
ser atrelada a eles.

Embora os formatos digitais ofereçam mais segurança à integridade dos

arquivos, visto que são intangíveis — não ficam fisicamente expostos, como o
papel, há uma série de ameaças (internas e externas) que os cercam a todo
instante.

O nível de controle de acesso influencia diretamente no surgimento dessas

ameaças, afinal os inimigos externos (malware, vírus e outras pragas virtuais) só
atingem os computadores quando encontram uma brecha, geralmente criada
pelo mau uso da tecnologia por parte de colaboradores.

Por exemplo, um determinado grupo de funcionários tem privilégios para

navegar livremente na Internet e, com isso, as máquinas ficam sujeitas a
estabelecer conexões mal intencionadas com páginas infectadas ou receber
downloads de malware, expondo a invasões todo o sistema e a rede de
computadores.

Além de eventos dessa natureza, as ameaças internas, representadas pelas

pessoas ligadas à empresa, podem vir à tona devido a descuidos ou atitudes
premeditadas. Um exemplo disso é quando um funcionário ou pessoa infiltrada
consegue obter as credenciais de outro colaborador para acessar um ambiente
restrito.

Todas essas situações não só podem como devem ser resolvidas. A solução,
entretanto, pode começar pela criação de mecanismos para controlar o acesso,
assegurando o uso de dispositivos de autenticação modernos e uma eficiente
política de segurança.

8
A imagem abaixo ilustra os mecanismos de controle de acesso

( Fonte: https://www.diegomacedo.com.br/mecanismos-de-controle-de-acesso/ )

O VALOR DO CONTROLE DE ACESSO

No caso de um escritório de cobrança, o controle de acesso beneficia ambos os
lados das transações com processos internos seguros descritos em políticas de
segurança eficientes. No caso dos credores, as informações confidenciais
disponibilizadas são preservadas e se tem a certeza de que elas serão
acessadas apenas por pessoas devidamente autorizadas.

Por parte do escritório, os supervisores podem ter total controle de quais pessoas
estão autorizadas a acessar determinado conjunto de informações, com
objetivos previamente definidos. Assim, garante-se a idoneidade dos processos
e a transparência na hora de fornecer feedbacks aos credores.

Um credor sentirá maior confiança na contratação de serviços que sigam

técnicas confiáveis de controle de acesso. Porém, é necessário que as políticas

9
de segurança da informação levem em conta direcionamentos específicos
baseados nas necessidades práticas do negócio. Para isso, cabe estar atento a
todas as etapas dos processos, identificando falhas e pontos frágeis a serem
sanados.

TIPOS DE CONTROLE DE ACESSO

Essa parte do controle de acesso nas informações da empresa pode basear-se
em regras, conforme já mencionamos, bem como em outras diferentes
classificações. Dentre os principais tipos de controle que podem ser implantados,
podemos destacar os controles de acesso:

Baseado em perfis

Também conhecido como Role Based Access Control (RBAC), o acesso é

determinado em função de grupos de trabalho (departamentos) ou do próprio
cargo exercido pelo usuário. No caso, cada perfil terá seus privilégios aplicados
de forma genérica.

Baseado em papéis

Um controle baseado em papéis (RBAC) é uma abordagem para restringir o

acesso a usuários autorizados. Controles de acesso baseados em papéis (roles)
definem os direitos e permissões baseados no papel que determinado usuário
desempenha na organização. Esta estratégia simplifica o gerenciamento das
permissões dadas aos usuários.

Permissões de acesso e direitos sobre objetos são dados para qualquer grupo
ou, em adição, indivíduos. Os indivíduos podem pertencer a um ou mais grupos.
Os indivíduos podem adquirir permissões cumulativas ou desqualificado para
qualquer permissão que não faz parte de todo grupo a qual ele pertence.

Mandatório (Obrigatório)

Essa classificação de controle costuma ser representada pelo acrônimo MAC

(Mandatory Access Control). Por meio desta funcionalidade, é o sistema quem
aplica as políticas de acesso, obedecendo às configurações de privilégio

10
(definidas pelo administrador de sistemas) e a rotulação das informações (feita
pelo gestor da informação).

Geralmente, o controle de acesso mandatório é utilizado por empresas que

trabalham com dados críticos e sensíveis, ou seja, onde o acesso não autorizado
pode acarretar em graves consequências.

 Rótulos de sensibilidade - Em sistemas de controle de acesso obrigatório,

todos os sujeitos e objetos devem ter rótulos associados. Um rótulo de
sensibilidade de um sujeito define o seu nível de confiança. Um rótulo de
sensibilidade de um objeto define o nível de confiança necessário para
acessá-lo. Para acessar um determinado objeto, o sujeito deve ter um
rótulo de sensibilidade igual ou superior ao requisitado pelo objeto.
 Importação e exportação de dados - O controle de importação e
exportação de dados para outros sistemas (incluindo impressoras) é uma
função crítica de um sistema baseado em MAC. O sistema precisa
garantir que os rótulos de sensibilidade são mantidos e implementados de
maneira apropriada, de forma que a informação sensível seja protegida a
todo momento.

Dois métodos são comumente utilizados na aplicação de controle de acesso

obrigatório:

Controles baseados em regras. Todos os sistemas MAC implementam uma

forma simples de controle de acesso baseado em regras que define que o
acesso deve ser dado ou negado com base no:

 Rótulo de sensibilidade do objeto

 Rótulo de sensibilidade do sujeito

Controles de acesso baseados no modelo lattice. Estes controles podem ser

utilizados em decisões complexas envolvendo múltiplos objetos e/ou sujeitos. O
modelo lattice corresponde basicamente a um grafo dirigido sem ciclos. Um
lattice define uma ordenação parcial (ex.: filho->pai->avô) que pode ser usada
para definir níveis de prioridade.

11
Sistemas usando MAC podem ser implementados por meio das seguintes
técnicas:

Listas de controle de acesso (ACLs) definem os direitos e permissões que são

dados a um sujeito sobre determinado objeto. As listas de controle de acesso
disponibilizam um método flexível de adoção de controles de acesso
discricionários.

Poucos sistemas implementam o MAC. O XTS-400 é um exemplo.

Discricionário

No controle de acesso discricionário (Discretionary Access Control – DAC), quem

determina as regras e critérios de acesso às informações é o proprietário do
recurso. Em poucas palavras, o proprietário da informação define os usuários
que podem acessá-la.

Sendo assim, para que esse tipo de controle de acesso nas informações seja
implantado corretamente, é necessário que todo e qualquer objeto armazenado
no sistema tenha um proprietário e este concederá as permissões de acesso aos
devidos usuários.

Criar o controle de acesso nas informações é um grande passo para assegurar

a segurança e integridade dos dados contidos no sistema. No entanto, o
processo requer um bom planejamento para que seja escolhido o mecanismo
adequado para o perfil da empresa.

O DAC tem dois conceitos importantes:

 Todo objeto em um sistema deve ter um proprietário. A política de acesso

é determinada pelo proprietário do recurso. Teoricamente um objeto sem
um proprietário é considerado não protegido.
 Direitos de acesso são estabelecidos pelo proprietário do recurso, que
pode inclusive transferir essa propriedade.

Um exemplo de DAC são as permissões tradicionais do sistema UNIX,

implementadas também no Linux.

12
SEGURANÇA NA ESTAÇÃO DE TRABALHO

No uso de Internet e Intranet, um dos elementos mais vulneráveis sem dúvida é

a estação de trabalho. As estações dos usuários podem armazenar chaves
privadas e informações pessoais na maioria das vezes sem proteção ou controle
de acesso.

Estações de trabalho estão ainda sujeitas a execução de programas

desconhecidos sendo expostas a grampos de teclado e outras armadilhas de
ganho de acesso.

Segurança física e do ambiente são os recursos que regulamentam tanto o

controle de acesso, quanto a prevenção de sinistros como tempestades,
furacões, terremotos, acidentes, roubos e outros. São medidas que previnem a
empresa contra qualquer ocasião em que possa acontecer a perda, dano ou
extravio de informações da empresa.

"Vale lembrar que a comunicação é um fator crítico de sucesso para a correta

disseminação das políticas corporativas, já que esta provoca alteração no status
quo de praticamente todos os colaboradores. Consequentemente obriga a
mudanças na forma de trabalho e qualquer mudança gera resistência, sendo a
comunicação a melhor maneira de reduzir os conflitos inerentes a
ela."[FERREIRA, ARAÚJO, 2008, 32].

A GESTÃO DE CONTROLE DE ACESSO

Uma gestão de controle de acesso para uso comum é ter controle sobre qual
funcionário acessou a informação, essa medida é muito importante porque é
possível controlar o acesso a informação e o descumprimento dela implica em
que o sistema está falho, pois, qualquer funcionário pode ter acesso a ela sem
necessidade de se identificar.

Para ter controle sobre a informação deve-se colocar senhas de acessos para
que somente o usuário permitido tenha disponível essa informação. Não ter um

13
gestor de segurança da informação torna ainda mais complicada a implantação
dela, e é vital para o sucesso do processo de segurança da informação a
existência de um gestor da informação. É ele o responsável por autorizar ou
negar o acesso dos demais usuários da empresa àquela informação.

Não cumprir os planos de continuidade engavetando ou deixando-os

desatualizados torna as metas de segurança falhas, pois, deve se manter
atualizados os planos de continuidade para que a segurança possa ser eficiente
e assim conseguir os objetivos que a empresa espera.

A falta de registros sobre as ações realizadas é uma falha grave, pois se deve
guardar registros para possíveis investigações de auditoria onde é preciso ter
arquivos para poder efetuar a auditoria. Esses registros devem ter seu tempo de
duração quando forem arquivados.

As cópias de segurança devem existir para que em situações de perda possam

ser recuperadas facilmente, cumprimento de requisitos legais, para ter
informações sobre o histórico da empresa e para possíveis auditorias.

Um profissional especializado deve ser responsável pelo processo de segurança

da informação e seu funcionamento, e outros. A falta de um gestor de processo
de segurança pode pôr todo o processo de implantação da segurança da
informação a perder, por isso um profissional deve ser responsável pela
existência do processo de segurança da informação.

Empresas de médio e grande porte podem ter um funcionário dedicado a esta

função, evidentemente desde que ele tenha os pré-requisitos para a mesma.

Uma gestão que previna uma empresa sobre possíveis erros não pode ser
deixada de lado, pois é de fundamental importância para o sucesso da
implementação da segurança na organização.

Os princípios da segurança devem complementar com as normas já vigentes na

empresa e não competir com elas. A segurança da informação não deve
atrapalhar o funcionamento da organização e deve existir um paralelo entre a
segurança e o negócio para não dificultar os processos da corporação.

14
Se a segurança da informação está atrapalhando o funcionamento da empresa
deve ser revisto as diretrizes da segurança para não afetar o negócio.

As empresas devem adotar medidas para qualificar seus funcionários sobre o

que vai ser implantado na organização, como será implantado e como o
funcionário deve agir de acordo com as novas regras que devem ser seguidas.

Por esse fato deve-se treinar e conscientizar o funcionário como será o

funcionamento da organização com as normas de segurança da informação que
passou a vigorar na empresa.

AUDITORIA
Uma Auditoria em Segurança da Informação é uma avaliação sistemática da
segurança do sistema de informação de uma empresa. Basicamente, ela busca
medir o quanto o sistema está em conformidade com um conjunto de critérios
estabelecidos. Ou, ainda, podemos dizer que a Auditoria em Segurança da
Informação conduz uma avaliação com o objetivo de garantir que processos e
infraestrutura estejam atualizados.

Durante o processo de auditoria, auditores realizam entrevistas pessoais,

varredura de vulnerabilidades, análise de configurações do sistema operacional,
análises de compartilhamentos de rede e análise de dados históricos. A
preocupação está em como as políticas de segurança estão sendo aplicadas.

Tradicionalmente a auditoria tem o propósito de verificar categorias de controle

gerais ou específicas de objetos de auditoria (TCU, 98). Os controles gerais são
aqueles que de alguma forma aparecem com propriedades ou procedimentos
gerais e que sempre são observados, por exemplo: controle de acessos físicos
a instalações. Os controles específicos são aqueles que apontam para um
determinado elemento de atenção, por exemplo, acesso de usuários a um
determinado banco de dados.

Uma vez que a quantidade de informação a ser coletada pode facilmente fugir
ao controle do auditor e exceder os custos e o tempo estimados, é preciso
recorrer sempre a uma roteirização de auditoria em mãos. Embora sejam
possíveis outros tipos de auditoria para formatar uma roteirização, nos
deteremos nos três tipos já descritos: de gestão, operacional e de conformidade.

15
Para cada tipo a roteirização terá um conjunto de objetos de auditoria e seus
respectivos pontos de controle, ou seja, eventos, acontecimentos, ações,
produtos, espaços ou qualquer coisa que mereça atenção em termos de
segurança da informação e que seja de interesse auditar, dada a sua criticidade
para os negócios da organização.

A auditoria (accounting) é uma referência à coleta da informação relacionada à

utilização, pelos usuários, dos recursos de um sistema. Esta informação pode
ser utilizada para gerenciamento, planejamento, cobrança e etc. A auditoria
em tempo real ocorre quando as informações relativas aos usuários são
trafegadas no momento do consumo dos recursos.

Na auditoria em batch as informações são gravadas e enviadas posteriormente.

As informações que são tipicamente relacionadas com este processo são a
identidade do usuário, a natureza do serviço entregue, o momento em que o
serviço se inicia e o momento do seu término.

( Fonte: http://www.greenconcept.com.br/gsp.html )

TELECOMUNICAÇÕES
Em telecomunicações, o termo controle de acesso tem os seguintes significados:

 Uma funcionalidade ou técnica utilizada para permitir ou negar a utilização

de componentes de um sistema de comunicações.

16
 Uma técnica utilizada para definir ou restringir os direitos de indivíduos ou
aplicações de obter dados de, ou colocar dados em, um dispositivo de
armazenagem.
 O processo de limitar o acesso a recursos de um sistema de auditoria
para usuários autorizados, programas, processos e outros sistemas.
 A função realizada por um controlador de recursos que aloca recursos de
sistema para satisfazer requisições de usuários de telecomunicações.

17
CONSIDERAÇÕES FINAIS
No que tange segurança da informação o termo controle de acesso, pode ser
composto por autenticação ou autorização. Autenticação tem como objetivo
confirmar algo ou alguém como autêntico, ou seja, verificar sua identidade,
identificar quem acessa o sistema. Este processo faz-se necessário para
proteger informações, e será mais detalhado posteriormente.

Autorização tem como objetivo determinar o que uma entidade ativa como um
usuário autenticado ou até mesmo um determinado processo pode fazer, como
por exemplo, permitir ou negar a utilização de uma entidade passiva, como por
exemplo um sistema de arquivos, ou então permitir apenas determinadas ações
sobre esta entidade, alguns exemplos: somente leitura, leitura e gravação,
controle total entre outros.

Auditoria objetiva dizer ou apontar o que foi feito por determinado usuário
autenticado no sistema. Trata-se de logs ou registros das atividades deste
usuário, o que ele fez em uma determinada data e hora, por exemplo, se ele
realmente tinha permissão para executar determinada ação em um determinado
período.

Existem várias formas de um usuário autenticar-se em um sistema, dentre elas,

atualmente as mais comuns são através de biometria, ou utilizando um usuário
e senha. O processo de autenticação e autorização está relacionado com o
conceito de segurança da informação, cujo propósito é proteger e preservar um
conjunto de informações, sejam elas de uma organização ou de um indivíduo.

Este processo é necessário para evitar que ações maliciosas roubem, alterem,
destruam ou até mesmo sequestrem essas informações. O processo de auditoria
de controle de acesso faz referência as informações que foram coletadas de
acordo com as atividades realizadas pelos usuários do sistema, podendo
identifica-los através do processo de autenticação.

Conclui-se então que se trata de uma espécie de gerenciamento e planejamento

de extrema importância a fim de manter a segurança e integridade da
informação.

18
REFERÊNCIAS

https://decisaosistemas.com.br/controle-de-acesso-entenda-a-importancia-de-

resguardar-informacoes/

https://www.strongsecurity.com.br/blog/controle-de-acesso-nas-informacoes-

da-empresa-por-que-fazer/

http://www.scurra.com.br/blog/auditoria-em-seguranca-da-informacao-como-

maneira-de-proteger-os-dados-da-empresa/

https://www.trf3.jus.br/documentos/rget/seguranca/CLRI/GSIC345_Auditoria_C

onformidade_Seguranca_Informacao.pdf

https://pt.wikipedia.org/wiki/Controle_de_acesso

http://intertemas.toledoprudente.edu.br/index.php/ETIC/article/viewFile/5321/50

63

19