O CONTROLE DE ACESSO LÓGICO DE DADOS

A avaliação realizada pela auditoria consiste na validação da execução dos controles, da identificação de ocorrências indesejáveis, na avaliação dos logs dos acessos físicos e a identificação dos usuários que não deveriam possuir acesso físico ao ambiente de tecnologia da informação.

O objetivo desta avaliação é a identificação de acessos físicos não permitidos ao ambiente computacional da organização.

4.3 CONTROLE DE ACESSO LÓGICO DE DADOS

Os controles de acesso lógico de dados são todos aqueles controles que garantam a confiabilidade, a integridade dos dados lógicos e que os mesmos sejam confidenciais, seja através do controle de acesso de usuários como também da disponibilidade das informações corretas no momento em que forem solicitadas.

Os controles de acesso aos sistemas de informação devem contemplar a concessão dos acessos aos usuários, a remoção destes acessos, as políticas de senhas, segregação de ambientes (desenvolvimento, homologação e produção) e o acesso a banco de dados.

Nos casos dos controles de acessos, alguns pontos devem ser observados na definição das políticas da área de tecnologia da informação, os quais serão atentados a seguir.

• Toda informação é de responsabilidade da área de negócio, portanto, toda solicitação de um novo acesso aos usuários das informações devem ser precedidas de uma autorização formal dos gestores “donos da informação”, sendo esta solicitação através de um sistema de workflow ou manual.

• Para toda alteração de função, os usuários deverão ter seus acessos revistos pelos donos das informações a fim de não gerar conflitos de segregação de funções nos perfis de acesso.

• Para os usuários que estão de alguma forma respondendo a processos administrativos, seus acessos deverão ser suspensos até que estes processos sejam solucionados.

• Nos casos de desligamentos, aposentadorias ou afastamentos os acessos deverão se cancelados imediatamente.

• Para definição de uma política de senha segura, alguns padrões de segurança devem ser observados: número mínimo de caracteres na senha; utilização de senhas complexas; vigência das senhas; as senhas devem ser definidas pelos usuários e estas são de responsabilidades de cada um, sendo estes responsáveis por qualquer dano utilizando estas senhas.

• Utilização de softwares de segurança para garantir o controle de acesso; o registro destes acessos contemplando QUEM, O QUE, QUANDO e por QUANTO tempo; a correta segregação de funções dentro dos perfis de acesso.

• Realização de revisão periódica de perfis de acessos dos usuários, envolvendo as áreas de negócio para validação das corretas funções de cada colaborador.

• Os acessos aos bancos de dados devem ser restritos ao ambiente de desenvolvimento e homologação e todos os acessos aos bancos de dados, no ambiente de produção devem ser monitorados constantemente.

• Os ambientes de informação da organização devem ser segregados em basicamente três: o ambiente de desenvolvimento, onde os analistas de sistemas efetuam as mudanças nos sistemas, o ambiente de homologação, onde os analistas e usuários chave realizam

...