fbpx

Com tantos ataques cibernéticos em escala global ocorridos neste ano, estabelecer o controle de acesso nas informações corporativas se tornou uma medida inadiável, afinal os futuros ataques podem acontecer a qualquer instante — e sua empresa, é claro, não deseja estar entre as vítimas.

Mas diante desse cenário, como o ato de controlar o acesso aos dados pode assegurar a proteção das informações? Tal medida é tão essencial quanto se investir em soluções de segurança?

Um dos objetivos deste post é justamente esclarecer essa questão. Além disso, você conhecerá as principais tecnologias do mercado e os motivos para investir nessa proteção o quanto antes. Pronto para começar? Então, boa leitura!

O que é controle de acesso?

Trata-se do uso de mecanismos tecnológicos — os quais nós abordaremos mais adiante — para limitar as ações e privilégios do usuário que utiliza os recursos computacionais da empresa.

Numa linguagem mais prática, o administrador de sistemas aplica regras a cada usuário ou grupo de trabalho. Por sua vez, as regras são definidas pelo gestor de TI junto aos demais departamentos que utilizam o sistema.

Antes das regras serem de fato implantadas, elas são dispostas na política de segurança da informação da empresa, junto a uma série de melhores práticas a ser adotada para que todos usufruam da tecnologia com responsabilidade e segurança.

Resumindo, o controle de acesso nas informações da empresa faz com que limites sejam estabelecidos aos usuários do sistema, garantindo que os dados sejam acessados somente pelos funcionários autorizados e que recursos, tais como a Internet, possam ser controlados.

Qual a importância do controle de acesso nas informações?

Os dados sigilosos são bens preciosos para a empresa, seja pela sua essencialidade aos processos de negócio, seja pela confidencialidade que deve ser atrelada a eles.

Embora os formatos digitais ofereçam mais segurança à integridade dos arquivos, visto que são intangíveis — não ficam fisicamente expostos, como o papel —, há uma série de ameaças (internas e externas) que os cercam a todo instante.

O nível de controle de acesso influencia diretamente no surgimento dessas ameaças, afinal os inimigos externos (malware, vírus e outras pragas virtuais) só atingem os computadores quando encontram uma brecha, geralmente criada pelo mau uso da tecnologia por parte de colaboradores.

Por exemplo, um determinado grupo de funcionários tem privilégios para navegar livremente na Internet e, com isso, as máquinas ficam sujeitas a estabelecer conexões mal intencionadas com páginas infectadas ou receber downloads de malware, expondo a invasões todo o sistema e a rede de computadores.

Além de eventos dessa natureza, as ameaças internas, representadas pelas pessoas ligadas à empresa, podem vir à tona devido a descuidos ou atitudes premeditadas. Um exemplo disso é quando um funcionário ou pessoa infiltrada consegue obter as credenciais de outro colaborador para acessar um ambiente restrito.

Todas essas situações não só podem como devem ser resolvidas. A solução, entretanto, pode começar pela criação de mecanismos para controlar o acesso, assegurando o uso de dispositivos de autenticação modernos e uma eficiente política de segurança.

Como o controle de acesso funciona?

Quando atrelado ao conceito de Segurança da Informação, o controle de acesso subdivide-se em três processos:

  • autenticação;
  • autorização;
  • auditoria.

Entende-se por autenticação o procedimento, composto de duas etapas, ao qual se determina se o usuário está permitido a acessar o sistema. Todos nós estamos habituados a passar por mecanismos de autenticação, como, por exemplo, ao acessar a conta de e-mail ou internet banking.

A autorização, apesar de tecnicamente fazer parte da autenticação, é configurada com intuito de elencar o que cada usuário pode ou não fazer no sistema. Ou seja, atribuir permissões aos colaboradores de acordo com suas respectivas posições.

Por exemplo, um funcionário do almoxarifado não pode acessar informações do departamento financeiro, mas a equipe de finanças está autorizada a consultar o histórico do almoxarifado para levantar os custos com materiais.

A auditoria, por sua vez, consiste na coleta de informações sobre o uso dos recursos tecnológicos envolvendo cada usuário. Os dados podem ser recolhidos em tempo real ou por meio de gravação (batch) — para que sejam analisados posteriormente — e utilizados em tomadas de decisão, planejamentos, cobranças etc.

Tipos de autenticação que a sua empresa pode adotar

A autenticação pode ser aplicada de várias maneiras. O que levará à definição do mecanismo mais adequado é o fator de autenticação, isto é, se o acesso será liberado de acordo com o que o usuário é, possui, conhece ou está.

Para que isso fique mais claro, imaginemos que os fatores, respectivamente, utilizam mecanismos como:

  • biometria;
  • cartões magnéticos ou dispositivos;
  • senhas e sistemas baseados em desafio/resposta;
  • restrição por local (o sistema só pode ser usado em determinados computadores, por exemplo).

Como você pode ver, a empresa pode optar por diversos mecanismos de autenticação, desde senhas estáticas a tecnologias mais sofisticadas como as de biometria (reconhecimento facial, impressão digital, padrão de assinatura e muito mais).

Tipos de controle de acesso

Essa parte do controle de acesso nas informações da empresa pode basear-se em regras, conforme já mencionamos, bem como em outras diferentes classificações. Dentre os principais tipos de controle que podem ser implantados, podemos destacar os controles de acesso:

Baseado em perfis

Também conhecido como Role Based Access Control (RBAC), o acesso é determinado em função de grupos de trabalho (departamentos) ou do próprio cargo exercido pelo usuário. No caso, cada perfil terá seus privilégios aplicados de forma genérica.

Mandatório (Obrigatório)

Essa classificação de controle costuma ser representada pelo acrônimo MAC (Mandatory Access Control). Por meio desta funcionalidade, é o sistema quem aplica as políticas de acesso, obedecendo às configurações de privilégio (definidas pelo administrador de sistemas) e a rotulação das informações (feita pelo gestor da informação).

Geralmente, o controle de acesso mandatório é utilizado por empresas que trabalham com dados críticos e sensíveis, ou seja, onde o acesso não autorizado pode acarretar em graves consequências.

Discricionário

No controle de acesso discricionário (Discretionary Access Control – DAC), quem determina as regras e critérios de acesso às informações é o proprietário do recurso. Em poucas palavras, o proprietário da informação define os usuários que podem acessá-la.

Sendo assim, para que esse tipo de controle de acesso nas informações seja implantado corretamente, é necessário que todo e qualquer objeto armazenado no sistema tenha um proprietário e este concederá as permissões de acesso aos devidos usuários.

Criar o controle de acesso nas informações é um grande passo para assegurar a segurança e integridade dos dados contidos no sistema. No entanto, o processo requer um bom planejamento para que seja escolhido o mecanismo adequado para o perfil da empresa.

Esperamos que o artigo tenha sido útil para sanar as suas dúvidas e fornecer conhecimento relevante. Para receber novas publicações como esta em seu e-mail, assine a nossa newsletter!