Controle de Acesso

POLÍTICA DE CONTROLE DE ACESSO


OBJETIVO

Estabelecer princípios, conceitos, diretrizes e responsabilidades sobre o processo de controle de acessos a sistemas e produtos do Lojão do Brás, e visa orientar quanto aos procedimentos, informações e responsabilidades para os envolvidos nos processos de Admissão, transferência e desligamento de colaboradores, terceiros e fornecedores.

PÚBLICO-ALVO

Colaboradores que tenham sob sua gestão outros colaboradores, terceiros e fornecedores.

GLOSSÁRIO

Área de Segurança da Informação

Responsável por atender os seguintes sistemas, bitdefender, GLPI, grupovab, innovaro, openvas, azure lojão, locaweb, office 365, gmail, autentique, zabbix.

  1. Atua nas solicitações de inclusão/transferência e exclusão de acessos de colaboradores e terceiros, junto ao time Segurança da informação.

  2. Conduzir o processo de Gestão de controle de acessos a sistemas e produtos.

  3. Receber a solicitação do gestor/responsável, solicitando ou excluindo acessos via chamado (GLPI)

  4. Comunicação com os Gestores responsáveis.

  5. Apoiar na solução e em medidas corretivas até o seu encerramento do chamado.

  6. Conscientizar os colaboradores quanto a esta política.

Recursos humanos

Responsável por comunicar a área de Segurança da informação sobre a contratação de novos colaboradores / terceiros e informar o desligamento dos mesmos.

Gestores das Áreas

São responsabilidades do Gestor/responsável, registrar no GLPI solicitações de:

  1. Admissão

  2. Transferência

  3. Desligamento.

REGRAS SOBRE A CONTA DE ACESSO

  1. As solicitações de acesso devem ser efetuadas através do portal de chamados GLPI.

  2. Os gestores de todos os departamentos devem ter acesso à rede, de forma restrita sendo disponibilizados apenas os recursos que o colaborador / terceiro necessita, não sendo permitido o acesso não autorizado a utilização de recursos de outros departamentos.

  3. Obter aprovação do Gestor do Usuário Solicitante.

  4. Havendo conflitos de interesse ou solicitação de exceção, a aprovação depende da análise do Departamento de Segurança da Informação.

  5. As dúvidas referentes ao acesso do usuário devem ser encaminhadas ao Departamento de Segurança da Informação

CONCESSÃO DE ACESSOS

  1. Verificar se o usuário solicitante assinou o Termo de Adesão à Política de Segurança da Informação

  2. Avaliar a solicitação, conforme Tabela: Matriz de Responsabilidades e Perfis de Acesso, do ponto de vista da segregação de funções e da segurança da informação, evidenciado as situações de conflitos de interesses.

  3. Obter aprovação do Gestor do Ativo de Informação.

  4. Se aprovado, encaminhar aos Departamentos responsáveis pela operacionalização da concessão do acesso.

  5. Se reprovado, retornar ao usuário solicitante para ciência ou eventuais providências.


DETALHAMENTO

Processos para admissão, transferência e desligamento de terceiros e fornecedores.

  1. Terceiros – Admissão: O gestor responsável pelo terceiro, deve solicitar os acessos via chamado GLPI e enviar um e-mail para a equipe de Segurança da informação (grupo.ti@grupovab.com.br), para que seja registrado no controle de acessos. O gestor junto a equipe de SI irá fazer um checklist com os acessos solicitados e atualizar no controle de acessos.

  1. Terceiros – Desligamento: O gestor responsável pelo terceiro deve abrir um chamado no GLPI na data ou próximo a data de desligamento, informando o horário que será feito o desligamento e preencher as seguintes informações (nome completo, e-mail, empresa e data do desligamento) e informar ao gestor que os acessos foram desativados.

Processos para admissão, transferência e desligamento de colaboradores

  1. Colaboradores – Admissão: O gestor responsável pelo colaborador, deve solicitar acesso no GLPI, para que seja validado e registrado no controle de acessos.

  1. Colaboradores – Desligamento: O gestor responsável pelo colaborador, deve solicitar via chamado GLPI a desativação dos acessos para a segurança da informação, no dia do desligamento e enviar um e-mail para grupo.ti@grupovab.com.br, solicitando que seja feita verificação da desativação dos acessos.

  1. Transferência de área e/ou função: Caso seja necessário realizar a inclusão ou retirada de algum acesso do colaborador / terceiro, o gestor deve solicitar através de chamado no GLPI e informar a área de Segurança da informação, identificar a transferência através de chamado (verificando os acessos atuais) e o gestor valida os acessos.

REFERÊNCIA CRUZADA COM OUTROS INSTRUMENTOS NORMATIVOS INTERNOS.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

DOCUMENTOS RELACIONADOS

NORMA ISO27001:2013

INFORMAÇÕES DE CONTROLE

Norma ISO 27001:2013, cláusulas A.12.6.1