[Digite texto]

PL – POLÍTICA

Política de acesso lógico

 POLÍTICA

Área: Código: Revisão: Folha:

Segurança da Informação PL – 0003 00 2/6

Título: Política de Acesso Lógico

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

Treinar
Rev Alteração Revisor Aprovador Data
(S/N)

00 Emissão inicial Daniel Moreira Marcos V. Silva 28/02/20 S

2
 POLÍTICA

Área: Código: Revisão: Folha:

Segurança da Informação PL – 0003 00 3/6

Título: Política de Acesso Lógico

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

1. OBJETIVO
Estabelecer as diretrizes para gestão do acesso lógico aos ativos de informação da Falconi.

2. ABRANGÊNCIA
Aplica-se a todos os processos determinados no escopo do Sistema de Gestão da Segurança
da Informação - SGSI.

3. TERMOS E DEFINIÇÕES

• Acesso privilegiado: Acesso privilegiado é um dos aspectos mais sensíveis da TI. Por
meio das credenciais privilegiadas, é possível realizar mudanças significativas em
dispositivos e aplicações instalados na infraestrutura, o que em muitos casos pode afetar a
continuidade do negócio. Quando utilizada de forma maliciosa, o impacto pode causar
sérios danos, desde violações de itens de conformidade, que podem levar a pesadas
sanções, até incidentes de segurança, que resultam em redução de confiança de partes
interessadas.
• Controle de acesso: Meios para garantir que o acesso a ativos de informação seja
autorizado e restrito com base nos requisitos de negócios e segurança da informação.
• Necessidade de conhecer: Você somente tem permissão para acessar informação que
você necessita para desempenhar suas tarefas (tarefas e atribuições diferentes significam
diferentes necessidades de conhecer e diferentes perfis de acesso);
• Necessidade de uso: Você somente tem permissão para acessar os recursos de
processamento da informação (equipamentos de TI, aplicações, procedimentos, salas etc.)
que você necessita para desempenhar a sua tarefa.
• Provisionamento de acesso: Atividade de atribuir um determinado nível de acesso a um
usuário de um ativo de informação.
• Proprietários dos ativos: Pessoa responsável pela gestão e proteção dos ativos.
• Revogação de acesso: Atividade de revogar ou retirar um determinado nível de acesso a
um usuário de um ativo de informação
• Terceiros: Prestadores de serviço que tenham acesso a ativos de informação da Falconi.

3
 POLÍTICA

Área: Código: Revisão: Folha:

Segurança da Informação PL – 0003 00 4/6

Título: Política de Acesso Lógico

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

4. POLÍTICA
A política de controle de acesso lógico da Falconi é estabelecida, documentada e analisada
criticamente, baseada nos requisitos de segurança da informação nos requisitos internos e
externos e em alinhamento com a Política de Segurança da Informação.

As principais diretrizes de gestão de acesso lógico são:

• As atividades do processo de controle de acesso lógico devem ser segregadas, a saber:

pedido de acesso, autorização de acesso e concessão do acesso;
• A solicitação dos acessos deve considerar os princípios: "necessidade de conhecer" e
“necessidade de uso”;
• Os proprietários dos ativos de informação devem determinar as regras apropriadas do
controle de acesso, direitos de acesso e restrições de acesso aos ativos sob sua
responsabilidade de acordo com os papéis/perfis específicos e necessidades dos usuários,
Deve-se ter atenção especial com os requisitos de segregação entre funções conflitantes
nas aplicações de negócio;
• O controle de acesso lógico deve considerar os requisitos de segurança de aplicações de
negócios individuais, onde aplicável;
• A solicitação de acessos devem ser realizadas por pessoas autorizadas e serem
devidamente aprovadas pelos gestores responsáveis;
• A solicitação, aprovação e concessão de acesso devem observar a legislação pertinente e
qualquer obrigação contratual relativa à proteção de acesso a dados ou serviços, em
especial a privacidade de dados pessoais;
• Os acessos a serem concedidos devem estar alinhados com as diretrizes de classificação
e tratamento da informação da Falconi;
• Os acessos não mais necessários devido desligamento do colaborador devem ser
revogados o mais rapidamente possível;
• No caso de transferência do colaborador, cabe ao gestor da área de destino solicitar os
novos acessos e ao gestor da área de origem solicitar o cancelamento dos acessos
anteriores específicos sob sua gestão;
• Os acessos privilegiados devem ter um controle específico devido a alta criticidade que tais
acessos podem gerar no ambiente;
• Os registros dos eventos de acessos físicos e lógicos relevantes, em especial os registros
relativos às chaves com privilégio de administração, devem ser gerados e avaliados
periodicamente;

4
 POLÍTICA

Área: Código: Revisão: Folha:

Segurança da Informação PL – 0003 00 5/6

Título: Política de Acesso Lógico

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

• Onde aplicável, devem ser considerados os controles de acesso lógico e físico de forma
conjunta;
• Os direitos de acesso dos usuários devem ser revisados em intervalos regulares ou depois
de quaisquer mudanças, como promoção, transferência ou encerramento do contrato
visando identificar quais direitos de acesso devem ser mantidos e/ou revogados;
• Deve-se atentar para a utilização de aplicações/utilitários que executem processos de
provisionamento ou revogação de acessos para evitar impactos devido a concessão de
acessos não autorizados ou bloqueio indevido de acessos;
• O usuário deve possuir uma conta de acesso (ID) única para permitir relacionar suas ações
com as respectivas responsabilidades;
• Os usuários genéricos devem ser evitados. Quando isto não for possível por restrições
técnicas dos softwares envolvidos, deve ser garantida uma utilização adequada e
controlada;
• Deve ser estabelecida uma política de senhas e os usuários devem estar cientes do uso e
sigilo de sua senha. As senhas devem ter um nível de segurança alto para reduzir o risco
de acessos não autorizados;
• Os acessos locais em dispositivos que não estão conectados à rede de TI devem ser
protegidos utilizando-se formas de bloqueio de logon, sendo o acesso permitido somente
para usuários autorizados;
• Devem ser desenvolvidos e implementados controles de SI visando atender os requisitos
de acesso lógico e reduzir os riscos de SI associados;
• É pré-requisito que os terceiros assinem o Acordo de Confidencialidade e
Responsabilidade e tenha conhecimento da Política de Segurança da informação, para que
os acessos aos recursos de TI da Falconi sejam concedidos;
• A utilização dos recursos de TI e seus serviços devem estar em consonância com o Código
de Ética e Conduta da Falconi e com o procedimento “PS – 0006: Uso aceitável dos ativos
de informação”.

5. ANEXOS
Não há.

5
 POLÍTICA

Área: Código: Revisão: Folha:

Segurança da Informação PL – 0003 00 6/6

Título: Política de Acesso Lógico

Classificação: Interna Distribuição: Cópia Controlada Grupo de Acesso: Interno

6. REFERÊNCIAS
.

ISO / IEC 27000: 2014 Information technology — Security techniques — Information

security management systems — Overview and vocabulary;
ABNT NBR ISO / IEC 27001: 2013 - Tecnologia da Informação – Técnicas de segurança –
Sistema de gestão de segurança da informação – Requisitos;
ABNT NBR ISO / IEC 27002: 2013 - Tecnologia da Informação – Código de prática para
controle de segurança da informação.
PL – 0001 - Política do SGSI
PS – 0006 - Uso aceitável dos ativos de informação