O controle do acesso aos ativos de informação é parte fundamental da estratégia de defesa para a segurança da informação. Se quisermos proteger efetivamente a confidencialidade, a integridade e a disponibilidade de dados confidenciais, devemos garantir que haja uma combinação abrangente de controles.
A política de controle de acesso deve garantir que as medidas implementadas sejam adequadas à proteção e não sejam desnecessariamente rigorosas. A política, portanto, deve se basear em um entendimento claro dos requisitos do negócio.
Esses requisitos podem depender de fatores como:
A classificação de segurança das informações armazenadas e tratadas por um determinado sistema ou serviço
Legislação relevante que pode ser aplicada, por ex. a LGPD,
Obrigações contratuais com terceiros externos
As ameaças, vulnerabilidades e riscos envolvidos
A preferência da organização com relação ao risco
Essa política de controle de acesso é projetada para levar em conta os requisitos de segurança dos negócios e informações da organização, e está sujeita a revisão regular para garantir que ela permaneça apropriada.
Esse controle se aplica a todos as operações, pessoas e processos que constituem os sistemas de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas.
As políticas e procedimentos a seguir são relevantes para este documento:
Política de Dispositivos Móveis
Política de Segurança de Rede
Política de Computação em Nuvem
Há muitas maneiras diferentes de criar politicas. Se a sua organização já possui um método padrão você deve usá-lo, mas se não tiver nenhum tipo de controle, o uso das nossas politicas é perfeitamente aceitável, e ela está disponível no E-book LGPD.