Definição

O controle de acesso é o processo de determinar se um pedido de acesso a recursos ou funcionalidades de um sistema deve ser permitido ou negado. Este mecanismo depende da validação da identidade do usuário e consiste na autorização de indivíduos para acessar ativos e informações dentro de uma organização, baseado em políticas de segurança que são documentadas e revisadas regularmente. Controle de acesso refere-se, também, ao processo de determinar quem tem permissão para acessar informações e sistemas dentro de uma organização. A implementação de controles adequados é essencial para garantir a segurança da informação e prevenir acessos não autorizados.

Fatos principais

  • Utilizar apenas objetos do sistema confiáveis para as decisões de autorização guia_requisitos_minimos_web.pdf, p. 31.
  • Garantir o controle de autorização em todas as requisições, incluindo scripts do lado servidor guia_requisitos_minimos_web.pdf, p. 31.
  • As permissões de acesso são granularmente definidas, podendo variar de simples, como leitura de arquivos, a complexas, como autorização para pagamentos bancários. [Hans Baars et al.]
  • Um controle de acesso deve ser baseado na premissa de que "tudo é proibido a menos que expressamente permitido" [source].
  • As solicitações de acesso e revisões devem ser realizadas periodicamente para garantir a conformidade com as políticas de acesso [source].
  • O controle de acesso deve incluir registros de usuários, provisionamento de direitos e revisões regulares das permissões concedidas. [Hans Baars et al.]

Relações

Referências legais

  • N/A

Contradições / incertezas

  • N/A

Notas

A implementação inadequada de controles de acesso pode resultar em vulnerabilidades que permitem acessos não autorizados a dados sensíveis. O gerenciamento de acesso inclui a definição de regras claras para o acesso a informações, a consideração de riscos associados a acessos não autorizados e a implementação de práticas formais para governar o processo. Tais regras devem ser documentadas e aplicadas consistentemente através de procedimentos formais e auditorias regulares. O controle de acesso é essencial para proteger a integridade e a confidencialidade das informações em ambientes corporativos. A rotina de revisão de permissões é essencial para a segurança contínua de sistemas. Medidas rigorosas devem ser adotadas para treinamento de usuários e para controle técnico dos sistemas de informação, garantindo que apenas pessoas autorizadas tenham acesso a dados sensíveis.