Bom Dia LGPD

Back to the basic: Controle de Acesso

#bomdialgpd


É obvio, é simples, é básico, mas também é uma deficiência (e risco) em diversas organizações.


O controle de acesso foi um dos setores da segurança cibernética que mais evoluíram nos últimos anos, os sistemas passaram a ter recursos que fortaleceram a identificação e autenticação do usuário mas muitas organizações ainda não implementaram os recursos básicos.


O controle de acesso em projetos de proteção de dados é um pouco mais abrangente que nos projetos segurança da informação, pois os dados pessoais sob responsabilidade da organização formam um escopo mais abrangente que o escopo tipicamente tratado em projetos de segurança. Independente disso, o melhor é um projeto só, integrado, no qual o controle de acesso é aplicado em toda a organização.


Destaco alguns aspectos essenciais para o controle de acesso:


  • Publicar uma política de controle de acesso (pode ser um capítulo da política de segurança) e capacitar e motivar os usuários a adotá-la, inclusive nos sistemas externos e em sua vida pessoal (redes sociais, bancos, ...);
  • Verificar se os sistemas estão utilizando a senha padrão, por mais que seja absurdo, ainda existem muitos sistemas em produção com as senhas originais dos fabricantes. Atenção especial para os sistemas de videomonitoramento, o armazenamento de imagens é considerada coleta de dados pessoais, e os sistemas de gravação são um dos que mais mantêm a senha padrão;
  • Definir regras de tamanho mínimo e forma de composição das senhas dos usuários, a tabela a seguir é clássica e mostra o tempo para se quebrar uma senha conforme seu tamanho e composição, ela foi publicada ano passado no site do Forum Econômico Mundia (WEF) mas existem em diversas fontes;


  • Buscar integrar o acesso aos sistemas externos com o sistema de diretórios da organização (LDPA, AD, AAD) ou, no mínimo, manter a política de controle de acesso no acesso aos sistemas fornecidos por terceiros;
  • O assunto controle de acesso deve estar presente na estrutura de controles (auditoria, controle de acessos, conformidade, gestão de riscos, ...);
  • Adotar pelo menos dois fatores de autenticação adotando um segundo dispositivo ou um autenticador para aumentar a eficiência do controle de acesso.


Um controle de acesso fraco pode comprometer a proteção de dados pessoais e a segurança da informação, por isso é um ponto de atenção importante na conformidade com a LGPD e é um ótimo tema para o engajamento dos colaboradores.


Boa semana,


Obrigado,


FNery


(Art 46 .. 49) Segurança da Informação
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato