Controle de Acesso
POLÍTICA DE CONTROLE DE ACESSO
OBJETIVO
Estabelecer princípios, conceitos, diretrizes e responsabilidades sobre o processo de controle de acessos a sistemas e produtos do Lojão do Brás, e visa orientar quanto aos procedimentos, informações e responsabilidades para os envolvidos nos processos de Admissão, transferência e desligamento de colaboradores, terceiros e fornecedores.
PÚBLICO-ALVO
Colaboradores que tenham sob sua gestão outros colaboradores, terceiros e fornecedores.
GLOSSÁRIO
Área de Segurança da Informação
Responsável por atender os seguintes sistemas, bitdefender, GLPI, grupovab, innovaro, openvas, azure lojão, locaweb, office 365, gmail, autentique, zabbix.
Atua nas solicitações de inclusão/transferência e exclusão de acessos de colaboradores e terceiros, junto ao time Segurança da informação.
Conduzir o processo de Gestão de controle de acessos a sistemas e produtos.
Receber a solicitação do gestor/responsável, solicitando ou excluindo acessos via chamado (GLPI)
Comunicação com os Gestores responsáveis.
Apoiar na solução e em medidas corretivas até o seu encerramento do chamado.
Conscientizar os colaboradores quanto a esta política.
Recursos humanos
Responsável por comunicar a área de Segurança da informação sobre a contratação de novos colaboradores / terceiros e informar o desligamento dos mesmos.
Gestores das Áreas
São responsabilidades do Gestor/responsável, registrar no GLPI solicitações de:
Admissão
Transferência
Desligamento.
REGRAS SOBRE A CONTA DE ACESSO
As solicitações de acesso devem ser efetuadas através do portal de chamados GLPI.
Os gestores de todos os departamentos devem ter acesso à rede, de forma restrita sendo disponibilizados apenas os recursos que o colaborador / terceiro necessita, não sendo permitido o acesso não autorizado a utilização de recursos de outros departamentos.
Obter aprovação do Gestor do Usuário Solicitante.
Havendo conflitos de interesse ou solicitação de exceção, a aprovação depende da análise do Departamento de Segurança da Informação.
As dúvidas referentes ao acesso do usuário devem ser encaminhadas ao Departamento de Segurança da Informação
CONCESSÃO DE ACESSOS
Verificar se o usuário solicitante assinou o Termo de Adesão à Política de Segurança da Informação
Avaliar a solicitação, conforme Tabela: Matriz de Responsabilidades e Perfis de Acesso, do ponto de vista da segregação de funções e da segurança da informação, evidenciado as situações de conflitos de interesses.
Obter aprovação do Gestor do Ativo de Informação.
Se aprovado, encaminhar aos Departamentos responsáveis pela operacionalização da concessão do acesso.
Se reprovado, retornar ao usuário solicitante para ciência ou eventuais providências.
DETALHAMENTO
Processos para admissão, transferência e desligamento de terceiros e fornecedores.
Terceiros – Admissão: O gestor responsável pelo terceiro, deve solicitar os acessos via chamado GLPI e enviar um e-mail para a equipe de Segurança da informação (grupo.ti@grupovab.com.br), para que seja registrado no controle de acessos. O gestor junto a equipe de SI irá fazer um checklist com os acessos solicitados e atualizar no controle de acessos.
Terceiros – Desligamento: O gestor responsável pelo terceiro deve abrir um chamado no GLPI na data ou próximo a data de desligamento, informando o horário que será feito o desligamento e preencher as seguintes informações (nome completo, e-mail, empresa e data do desligamento) e informar ao gestor que os acessos foram desativados.
Processos para admissão, transferência e desligamento de colaboradores
Colaboradores – Admissão: O gestor responsável pelo colaborador, deve solicitar acesso no GLPI, para que seja validado e registrado no controle de acessos.
Colaboradores – Desligamento: O gestor responsável pelo colaborador, deve solicitar via chamado GLPI a desativação dos acessos para a segurança da informação, no dia do desligamento e enviar um e-mail para grupo.ti@grupovab.com.br, solicitando que seja feita verificação da desativação dos acessos.
Transferência de área e/ou função: Caso seja necessário realizar a inclusão ou retirada de algum acesso do colaborador / terceiro, o gestor deve solicitar através de chamado no GLPI e informar a área de Segurança da informação, identificar a transferência através de chamado (verificando os acessos atuais) e o gestor valida os acessos.
REFERÊNCIA CRUZADA COM OUTROS INSTRUMENTOS NORMATIVOS INTERNOS.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
DOCUMENTOS RELACIONADOS
NORMA ISO27001:2013
INFORMAÇÕES DE CONTROLE
Norma ISO 27001:2013, cláusulas A.12.6.1