Processo Gerenciamento de identidade e acesso

Código.
FP-XX Proprietário/Responsável xxxxxx
Versão
Apocalipse Data de aprovação Dd de milímetro de 20XX Página. 1 de 6
00
1. MISSÃO, OBJETIVOS E FINALIDADE DO PROCESSO

De acordo com os controles 5.15, 5.16, 5.17, 5.18, 8.2, 8.3, 8.4, 8.5 e 8.18 do anexo A da ISO 27001:2022 para a gestão
de controles de acesso, as regras de acesso são definidas para vários sistemas, equipamentos, instalações e
informações com base em requisitos legais, comerciais e de segurança.

2. ENTRADAS DO PROCESSO

 Necessidade de controlar o acesso aos sistemas de informação

 Necessidade de definir os privilégios e permissões dos usuários para o desenvolvimento de suas tarefas
 Precisa preservar as informações e os recursos de informação da empresa

3.KEY ATIVIDADES DO PROCESSO

Não. Atividade Responsável

1 Política e Regras de Controle de Acesso Todos os funcionários

2 Gestão de Identidades Indicar Responsável(es)
3 Responsabilidades dos usuários Todos os funcionários
4 Gerenciamento de privilégios Indicar Responsável(es)
4.1 Processo de solicitação de registro, cancelamento ou modificação de Indicar Responsável(es)
perfil de usuário
4.2 Fornecimento de acesso de usuário Indicar Responsável(es)
4.3 Gerenciando informações secretas de autenticação Indicar Responsável(es)
5 Supervisão: Revisão, retirada e reatribuição Indicar Responsável(es)
6 Procedimentos de login seguro Indicar Responsável(es)
7 Sistema de Gerenciamento de Senhas Indicar Responsável(es)
7.1 Definição de critérios Indicar Responsável(es)
7.2 Auditoria Indicar Responsável(es)
8 Usando utilitários com privilégios de sistema Indicar Responsável(es)
9 Controle de acesso ao código-fonte dos programas Indicar Responsável(es)

4. SAÍDAS DO PROCESSO

 Permissões de usuário
 Sistema de Gerenciamento de Senhas
 Mecanismos de identificação e autenticação

5. POSIÇÕES ENVOLVIDAS

 Endereço
 Gerente de Segurança
 Chefe do Departamento de TI
 Todos os funcionários

6. RECURSOS E INFRAESTRUTURAS NECESSÁRIOS

 Aplicativos
 Sistemas
 Recursos de informação

7. DOCUMENTOS REFERENCIADOS

 FP Identidade e controle de acesso

 Processo Gerenciamento de identidade e acesso
Código. FP-XX Proprietário/Responsável xxxxxx
Versão Apocalipse Data de aprovação Dd de milímetro de 20XX Página. 2 de 6
00
 Política de Controle de Acesso
 Política de Gerenciamento de Senhas

8. REGISTROS DO PROCESSO

 Política de senha
 Registro de Acesso e Autorizações de Usuário

9. INDICADORES DE EFETIVIDADE DO PROCESSO PLANEJADO

 Número de acessos não autorizados aos sistemas

 Incidentes decorrentes de acesso não autorizado a sistemas

10. RISCOS ASSOCIADOS AO PROCESSO

 Falta de mecanismos de controle de acesso de usuários

 Ineficácia nos mecanismos de controle de acesso de usuários
 Acesso não autorizado a recursos de informação

11. FIOS DERIVADOS DO PROCESSO

Não aplicável.

12. DESCRIÇÃO DAS ATIVIDADES DO PROCESSO

1 Política e Regras de Controle de Acesso Todos os funcionários

Todas as regras especificadas neste processo serão obrigatórias em todos os casos, a menos que expressamente autorizado
por escrito pelo Gerente do Sistema. O cumprimento do que está definido neste procedimento deve permitir o cumprimento
da Política de Controle de Acesso desenvolvida pela Organização.
Todas as tarefas relacionadas devem sempre e em todos os momentos ser executadas para controlar o acesso ao sistema
operacional, aos sistemas corporativos e às redes que os conectam. No entanto, sempre que possível, essas regras são
estendidas aos módulos de administração e gerenciamento de acesso de qualquer um dos aplicativos ou recursos que a
empresa utiliza para suas operações diárias.

2 Gestão de Identidades Indicar Responsável(es)

O acesso de usuários autorizados deve ser garantido e o acesso não autorizado a sistemas de informação (equipamentos
de informática, aplicativos, utilitários, mídia de armazenamento, etc.) deve ser impedido. ).
Os usuários que têm acesso aos recursos da organização serão identificados, garantindo que apenas usuários autorizados
possam acessar os diferentes recursos de informação.
No momento do cadastro de um usuário na organização que deve ter acesso aos sistemas de informação, será registrada
a identificação do usuário (nome do usuário, área, cargo ocupado... ), identificação dos sistemas aos quais você terá
acesso, cessão de direitos sobre os sistemas e/ou serviços... considerando a totalidade dos sistemas ou recursos
disponíveis na organização, tais como:
[indicar as aplicações, software, sistemas para os quais o controle de acesso deve ser regulado]

Para o registro dessas cessões de acesso aos usuários, será utilizado o formato R-XX-YY Registro de Acesso e
Autorizações de Usuário (por meio do qual também serão registrados cancelamentos e modificações de acesso)
[Caso essas informações de cadastro, cancelamento e modificações de acesso de usuários sejam gerenciadas e mantidas
por outros meios (por exemplo, de forma automatizada através de software de gestão de usuários, ERP...) esse aspecto
será indicado, podendo o Cadastro de Acesso do Usuário ser dispensado, desde que seja assegurada a preservação de
informações semelhantes às nele coletadas] .
 Processo Gerenciamento de identidade e acesso
Código. FP-XX Proprietário/Responsável xxxxxx
Versão Apocalipse Data de aprovação Dd de milímetro de 20XX Página. 3 de 6
00
3 Responsabilidades dos usuários Todos os funcionários

Todo o pessoal ou terceiros com acesso aos aplicativos, sistemas ou rede da ORGANIZAÇÃO, devem conhecer e cumprir
a política de controle de acesso e a Política de Senhas, que dita diretrizes sobre direitos e deveres quanto ao uso
adequado pelos usuários, bem como políticas para o uso seguro de senhas, Proteção de postagem de usuário
autônomo, área de trabalho limpa e tela...

4 Gerenciamento de privilégios Indicar Responsável(es)

O princípio básico é que o acesso a todos os sistemas, redes, serviços e informações é proibido, a menos que seja
expressamente permitido a usuários individuais ou grupos de usuários para necessidades associadas ao desenvolvimento
de suas tarefas ou funções, sendo isso refletido no Registro de Acesso e Autorizações de Usuário R-XX-YY, no qual são
estabelecidos os diferentes perfis e privilégios de acesso existentes.
Ao atribuir privilégios, serão levados em conta os requisitos de negócios e segurança para acesso (definidos na avaliação
de risco), bem como a classificação das informações acessadas com esses direitos de acesso, de acordo com a
classificação das informações estabelecida por meio do registro correspondente.

4.1 Processo de solicitação de registro, cancelamento ou modificação de Gerenciador de Sistemas

perfil de usuário

Qualquer tipo de solicitação de acesso (cadastro, modificação, cancelamento, mudança de perfil,...) aos sistemas de
informação da ORGANIZAÇÃO (estações usuárias, aplicativos, intranet,...) deve ser gerenciada e autorizada pelos
gestores correspondentes (gerente de segurança, ou gerência)), sempre em função das necessidades específicas do
trabalho para o qual o acesso é direcionado.
Antes do cadastro de novos trabalhadores na empresa, a solicitação de acesso será enviada pela área de RH aos
responsáveis por sua aprovação, bem como aos Gerentes de Sistemas ou TI, que atribuirão acesso aos recursos mínimos
necessários (acesso ao domínio, e-mail, pastas comuns) e farão as alterações correspondentes no Active Directory do
sistema operacional, ou aplicativos ou sistemas de informação. Acessos adicionais de acordo com as necessidades de
seu cargo, serão solicitados pelo Chefe de cada área, que fará a solicitação aos gestores correspondentes para
aprovação, que deverão avaliar a necessidade de acesso, autorizá-lo e registrá-lo.
Deve haver informações documentadas sobre os diferentes privilégios e direitos atribuídos aos usuários (Acesso a
equipamentos de informática, Acesso a Aplicativos, Acesso a mídia e dispositivos móveis,....) para os quais o formato R-
XX-YY será usado Registro de Acesso e Autorizações de Usuário.
Os pedidos de registo ou permissões de utilizadores (ou cancelamentos e modificações dos mesmos), devem ser feitos
por e-mail ou através de qualquer meio que permita preservar o seu registo e rastreabilidade.
[Indicar como é o processo de solicitação de registro, cancelamento ou modificação de perfis de usuários e responsáveis,
caso não esteja de acordo com o que é indicado, ou caso o uso na organização do Registro de Acesso de Usuário não seja
considerado porque, por exemplo, realizam a gestão de usuários por meios automatizados] .

4.2 Fornecimento de acesso de usuário Indicar Responsável(es)

Cada usuário será inequivocamente identificado com uma conta de acesso. Essa conta é pessoal e intransferível para,
entre outras coisas, permitir que o sistema de acesso mantenha a rastreabilidade das ações monitoradas, e só permita o
acesso a usuários controlados e autorizados. Portanto, contas genéricas ou compartilhadas não são permitidas, a menos
que sejam formalmente autorizadas e sujeitas a controles compensatórios.
O principal sistema de autenticação desta empresa é realizado por meio da combinação de nome de usuário e senha de
acesso.

4.3 Gerenciando informações secretas de autenticação Indicar Responsável(es)

Foi definida uma Política de Senha Segura com a ideia de garantir seu uso seguro, e que deve ser conhecida por todos os
 Processo Gerenciamento de identidade e acesso
Código. FP-XX Proprietário/Responsável xxxxxx
Versão Apocalipse Data de aprovação Dd de milímetro de 20XX Página. 4 de 6
00
usuários com acesso aos sistemas de informação. A distribuição segura de senhas aos usuários deve ser garantida.
Inicialmente, os usuários receberão credenciais de acesso que deverão ser modificadas no primeiro login, definindo ao
usuário uma senha que só ele conhece, e que esteja de acordo com o que está definido na Política de Senha.
O sistema de gerenciamento de senhas permite que as senhas permaneçam criptografadas caso precisem ser
armazenadas, de modo que até mesmo os administradores do sistema não possam saber seu conteúdo.

5 Supervisão: Revisão, retirada e reatribuição Indicar Responsável(es)

Os proprietários de cada sistema e instalações para os quais são necessários direitos de acesso devem verificar se os
direitos de acesso concedidos são mantidos de acordo com os requisitos de negócio e segurança, de acordo com a
periodicidade marcada no log de acesso.
Devem ser realizadas revisões periódicas e programadas de todos os usuários que tenham acesso aos sistemas, redes e
informações sujeitos a este escopo. Essas revisões são documentadas e, em caso de detecção de anomalias, devem ser
gerenciadas de acordo com o Processo de Gerenciamento de Incidentes de Segurança.
Astarefas realizadas com essas revisões estão relacionadas a:
 Revisão dos direitos de acesso dos usuários a cada seis meses e após quaisquer alterações.
 Revisar semestralmente as autorizações de direitos de acesso com privilégios especiais.
 Verifique as atribuições de privilégios semestralmente para garantir que nenhum privilégio não autorizado
tenha sido obtido.
Quando houver mudança ou rescisão de contrato de trabalho, a pessoa que autorizou os privilégios do empregado em
questão deve ser imediatamente informada para que possa proceder à exclusão ou modificação das permissões de
acesso inicialmente designadas. Quando as relações contratuais com entidades externas que têm acesso a sistemas,
serviços e instalações forem modificadas, ou quando o contrato terminar, o titular do contrato deve informar
imediatamente as pessoas que autorizaram os privilégios das entidades externas em questão.

Os direitos de acesso de todas as pessoas que alteraram o seu estatuto laboral ou relação contratual não devem ser
imediatamente removidos ou modificados pelas pessoas responsáveis.
As modificações e exclusões de acesso dos usuários, deverão ser registradas através do Registro de Acesso e
Autorizações de Usuários do R-XX-YY.

6 Procedimentos de login seguro Indicar Responsável(es)

O acesso aos recursos da Organização (estações de usuário, sistemas operacionais, aplicativos...) é protegido pela
necessidade de usar um nome de usuário individual e uma senha de acesso segura. Os sistemas são configurados para
que, inicialmente, nenhuma informação referente a essas informações de acesso seja exibida, devendo o usuário
preenchê-las a cada início (em especial, os sistemas de acesso não mostram a senha digitada pelos usuários)
O sistema operacional dos computadores retém informações sobre os acessos feitos (bem-sucedidos ou reprovados).
O sistema de gerenciamento de senhas e controle de usuários é configurado para que haja um número máximo de
tentativas de acesso, após o que a sessão é bloqueada.

7 Sistema de Gerenciamento de Senhas Indicar Responsável(es)

Uma Política de Senha Segura foi definida para garantir o uso seguro de senhas. Cada usuário recebe uma senha inicial
para garantir que eles não possam ser conhecidos por mais ninguém. Essa senha inicial deve ser alterada no primeiro
login, o usuário escolhendo uma nova senha que esteja de acordo com a Política de Senha definida.

7.1 Definição de critérios Indicar Responsável(es)

Dependendo do tipo de aplicação/sistema, serão definidos os critérios a serem aplicados para o gerenciamento de
 Processo Gerenciamento de identidade e acesso
Código. FP-XX Proprietário/Responsável xxxxxx
Versão Apocalipse Data de aprovação Dd de milímetro de 20XX Página. 5 de 6
00
senhas. Esses critérios são definidos da seguinte forma:
 Comprimento mínimo da senha (caracteres)
 Idade máxima da senha (dias)
 Idade mínima da senha (dias)
 De forma obrigatória, é necessário definir os bloqueios de uma conta no caso de uma série de tentativas de
acesso fracassadas.
 Duração do bloqueio da conta (minutos)
 Redefinir a conta de bloqueio (minutos)
 Limite de bloqueio de conta (tentativas de login com falha)
As contas recém-criadas serão permanentemente bloqueadas após a inatividade inicial.
A sintaxe da senha será a seguinte [Indicar as características consideradas apropriadas para a organização]:
 Ele não pode conter o nome da conta do usuário, e-mail, nome completo ou partes do nome completo do
usuário (nome ou sobrenome).
 Ele deve incluir caracteres de três das seguintes categorias:
 Maiúsculas (A a Z)
 Letras minúsculas (a a z)
 Dígitos base 10 (0 a 9)
 Caracteres especiais não alfanuméricos (por exemplo: !, $, #, %).
O sistema lembrará o usuário de alterar a senha 15 dias antes de ela expirar.
Todas as senhas do sistema (contas de administrador, contas de gerenciamento de aplicativos, interações críticas, etc. )
deve ser alterada pelo menos uma vez de seis em seis meses.
Todas as senhas de usuário (contas de e-mail, contas de serviço Web, etc.) devem ser alteradas dentro de um período
marcado como aplicável e indicado na Política de Senha.
Se houver suspeita de que uma senha tenha sido comprometida, ela será alterada imediatamente pelo administrador.
As contas de usuário que têm privilégios de sistema por meio de associação a grupo ou qualquer outro meio devem ter
senhas diferentes de outras contas mantidas por esse usuário nos serviços e recursos.
Na medida do possível, as senhas serão geradas automaticamente com as características recomendadas nesta política e
os usuários serão informados de sua senha sempre em um estado "expirado" para forçar o usuário a alterá-la no
primeiro uso que fizerem da conta ou serviço.

7.2 Auditoria Indicar Responsável(es)

A fim de detectar possíveis ameaças, os procedimentos de auditoria devem permitir a identificação correta do usuário
que acessa o sistema de informação, bem como o local, data e hora em que o acesso ocorreu, se o sistema concedeu ou
negou acesso, bem como, se aplicável, a transação realizada.
Este procedimento deve ser automático, contínuo e transparente para o usuário e as informações geradas desta forma
devem ser armazenadas em arquivos específicos (log do usuário) para consulta online, por um período mínimo de tempo
de 3 meses.
Para isso, o log de eventos ou incidentes deve ser ativado no sistema de informação do equipamento controlador para
saber o acesso ao sistema ou alterações de privilégios da seguinte forma:
 Uso de privilégios de auditoria: certo e errado
 Gestão de Contas de Auditoria: Certo e Errado
 Processo Gerenciamento de identidade e acesso
Código. FP-XX Proprietário/Responsável xxxxxx
Versão Apocalipse Data de aprovação Dd de milímetro de 20XX Página. 6 de 6
00
 Auditar eventos de logon: Falha
 Eventos de login da conta de auditoria: sucesso e falha
 Auditar a mudança de política: Sucesso
Para computadores que têm seu próprio banco de dados de configuração, para a mesma finalidade, eles devem reter as
informações de log de acesso apropriadas por pelo menos 3 meses.

8 Usando utilitários com privilégios de sistema Indicar Responsável(es)

Para evitar que os aplicativos façam alterações em áreas-chave do sistema operacional sem autorização, o sistema
operacional do servidor será configurado de tal forma que as permissões de parte deles sejam restritas por padrão,
todos os equipamentos que são colocados em operação, tanto em ambientes produtivos quanto não produtivos, devem
ter as medidas mínimas de segurança necessárias.
Controles mínimos de segurança necessários:
 Configurando perfis e privilégios de grupo
 Excluindo serviços não utilizados
 Configuração de Banners de Acesso
 Eliminação de serviços e protocolos inseguros
 Padronização de nome de host
 Cadastro de monitores de segurança
 Aplicação de proteção padrão
 Executando varreduras de vulnerabilidade
 Remediação de vulnerabilidades identificadas
 Excluindo contas e senhas de fábrica

9 Controle de acesso ao código-fonte dos programas Indicar Responsável(es)

Deve-se considerar se o software em sua licença permite que o código-fonte esteja disponível para qualquer pessoa
estudar, modificar ou reutilizar. Neste caso, o programa é dito ser de código aberto (em geral, software livre).
Software proprietário (programas em que o usuário tem limitações para usá-lo, modificá-lo ou redistribuí-lo), também
chamado de software de código fechado ou não-livre, ou privado, é aquele no qual você não tem nenhuma dessas
permissões.

Em todos os casos é definido através do Registro de Acesso e Autorizações de Usuário R-XX-YY que são os usuários
com privilégios de leitura e/ou gravação no código-fonte.