1.1 Âmbito e aplicação

A presente Política de Controlo de Acessos aplica-se a [ORGANIZAÇÃO] e estabelece as regras, procedimentos e responsabilidades para a gestão e controlo de acessos a sistemas de informação, aplicações, dados e infraestruturas físicas da organização.

Esta política aplica-se a:

• Todos os colaboradores internos (permanentes, temporários, estagiários)
• Prestadores de serviços e consultores externos
• Parceiros de negócio com acesso a sistemas organizacionais
• Administradores de sistemas e utilizadores privilegiados
• Qualquer entidade com acesso a recursos organizacionais

1.2 Finalidade e objetivos

A finalidade desta política é garantir que:

• Os acessos a sistemas e dados são concedidos apenas a utilizadores autorizados
• Os utilizadores acedem apenas aos recursos necessários para as suas funções
• Os privilégios de acesso são revistos periodicamente
• Existe segregação de funções em processos críticos
• Todos os acessos são monitorizados e auditados
• A organização cumpre os requisitos legais e regulamentares aplicáveis

1.3 Enquadramento legal

Esta política alinha-se também com os seguintes referenciais:

• ISO/IEC 27001:2022 - Controlo A.5.15 (Controlo de acessos), A.5.16 (Gestão de identidades)
• NIST SP 800-53 Rev. 5 - Família de controlos AC (Access Control)
• RGPD - Artigo 32.º (Segurança do tratamento)

1.4 Revisão e atualização

Esta política será revista e atualizada:

• Anualmente, por [FUNÇÃO_RESPONSÁVEL]
• Quando ocorrem alterações significativas na organização ou ambiente tecnológico
• Quando são identificadas não conformidades ou incidentes relevantes
• Quando há alterações na legislação ou requisitos regulamentares

Última revisão: [DATA] | Versão: [VERSÃO]

Aprovado por: [ÓRGÃO_DIREÇÃO]

2.1 Negação por defeito

O acesso a qualquer recurso organizacional é negado por defeito até que seja explicitamente autorizado através dos processos estabelecidos nesta política.

2.2 Controlo baseado em funções (RBAC)

A [ORGANIZAÇÃO] implementa um modelo de controlo de acesso baseado em funções (Role-Based Access Control - RBAC), onde:

• As permissões são atribuídas a funções organizacionais, não diretamente a utilizadores
• Os utilizadores são associados a funções de acordo com as suas responsabilidades
• Quando um utilizador muda de função, os acessos são automaticamente ajustados
• As funções são definidas, documentadas e revistas pelo [DEPARTAMENTO_TI]

2.3 Defesa em profundidade

O controlo de acessos implementa múltiplas camadas de segurança:

• Camada de rede: Firewalls, segmentação de rede, VPN
• Camada de aplicação: Autenticação, autorização, sessões
• Camada de dados: Encriptação, controlo de acesso a ficheiros e bases de dados
• Camada física: Controlo de acesso a instalações e data centers

3.1 Tipos de utilizadores

A organização classifica os utilizadores nas seguintes categorias:

3.2 Matriz de funções e permissões (RBAC)

A seguinte matriz define as funções organizacionais e as respetivas permissões de acesso:

3.3 Segregação de funções críticas

Para prevenir fraude e erro, as seguintes funções críticas devem ser segregadas:

4.1 Ciclo de vida das contas

Todas as contas de utilizador seguem um ciclo de vida formal:

Criação de conta

• Solicitação: O gestor direto solicita a criação de conta através de [SISTEMA_TICKETING]
• Justificação: A solicitação deve incluir a função do utilizador e os sistemas necessários
• Aprovação: Aprovação obrigatória por [FUNÇÃO_APROVADOR]
• Criação: Departamento de TI cria a conta com os acessos mínimos necessários
• Prazo: Máximo de [X_HORAS] horas após aprovação
• Notificação: Utilizador recebe credenciais temporárias por canal seguro

Modificação de acessos

• Mudança de função: Quando o utilizador muda de departamento ou função
• Acesso adicional: Solicitação justificada para acesso temporário ou permanente
• Aprovação: Novo gestor direto e [FUNÇÃO_SEGURANÇA]
• Remoção de acessos antigos: Acessos da função anterior são revogados imediatamente
• Documentação: Todas as alterações são documentadas em [SISTEMA]

Suspensão de conta

• Inatividade: Contas inativas por [X_DIAS] dias são suspensas automaticamente
• Ausência prolongada: Licenças superiores a [X_DIAS] dias resultam em suspensão
• Investigação: Contas envolvidas em incidentes de segurança são suspensas imediatamente
• Reativação: Requer aprovação formal e validação de identidade

Eliminação de conta

• Desvinculação: Contas são eliminadas quando o utilizador deixa a organização
• Prazo: Eliminação ocorre no último dia útil ou imediatamente em caso de desvinculação por justa causa
• Procedimento: Seguir checklist de offboarding (secção 4.2)
• Retenção de logs: Logs de acesso são retidos por [X_ANOS] anos

4.2 Checklist de offboarding

Quando um utilizador deixa a organização, os seguintes passos devem ser executados:

• Desativar conta de email corporativo
• Revogar acesso a todos os sistemas corporativos
• Desativar VPN e acessos remotos
• Revogar certificados digitais e tokens de autenticação
• Desativar acesso físico (crachás, chaves, cartões)
• Recuperar equipamentos (laptop, telemóvel, tokens)
• Transferir dados e documentos para gestor direto
• Remover de grupos de distribuição e listas
• Desativar contas em sistemas de terceiros (SaaS, cloud)
• Documentar transferência de responsabilidades
• Realizar entrevista de saída (se aplicável)
• Arquivar documentação de offboarding

4.3 Contas de serviço e aplicações

Contas técnicas utilizadas por aplicações e serviços automatizados seguem regras específicas:

• Nomenclatura: Devem seguir padrão svc_[APLICAÇÃO]_[FUNÇÃO]
• Credenciais: Armazenadas em cofre de senhas corporativo ([SISTEMA_VAULT])
• Rotação: Senhas de contas de serviço são rotacionadas a cada [X_DIAS] dias
• Propriedade: Cada conta de serviço tem um responsável técnico designado
• Revisão: Contas de serviço são revistas trimestralmente
• Monitorização: Acessos de contas de serviço são monitorizados para detetar uso anómalo

4.4 Contas partilhadas

Exceções limitadas podem ser aprovadas por [FUNÇÃO_CISO] em casos específicos, com as seguintes condições:

• Justificação técnica ou operacional documentada
• Lista de utilizadores autorizados mantida atualizada
• Credenciais armazenadas em cofre de senhas
• Revisão trimestral da necessidade da conta partilhada
• Monitorização reforçada de todas as atividades

5.1 Autenticação de utilizadores

Todos os utilizadores devem autenticar-se antes de aceder a qualquer sistema organizacional:

Métodos de autenticação

5.2 Política de senhas

A [ORGANIZAÇÃO] implementa os seguintes requisitos de senhas:

Requisitos técnicos

• Comprimento mínimo: [12] caracteres para utilizadores padrão
• Complexidade: Mínimo de 3 dos 4 tipos (maiúsculas, minúsculas, números, símbolos)
• Comprimento privilegiado: [16] caracteres para contas privilegiadas
• Histórico: Não repetir as últimas [10] senhas
• Validade: Alteração obrigatória a cada [90] dias
• Primeira autenticação: Alteração obrigatória no primeiro login

Boas práticas

• Utilizar um gestor de senhas aprovado pela organização
• Nunca partilhar senhas com outros utilizadores
• Não reutilizar senhas corporativas em serviços pessoais
• Criar senhas únicas e aleatórias (evitar padrões previsíveis)
• Reportar imediatamente se suspeitar que a senha foi comprometida

5.3 Autenticação multifator (MFA)

A autenticação multifator é obrigatória para:

• Todos os acessos remotos (VPN, webmail, portais)
• Contas privilegiadas e administrativas
• Sistemas que processam dados sensíveis ou financeiros
• Aplicações SaaS e cloud (Microsoft 365, AWS, etc.)
• Acesso a sistemas de backup e recuperação

Fatores de autenticação aprovados:

• Preferencial: Aplicação autenticadora (Microsoft Authenticator, Google Authenticator)
• Alternativo: Token hardware (YubiKey, RSA SecurID)
• Último recurso: SMS (apenas se não houver alternativa técnica)

5.4 Gestão de sessões

As sessões de utilizador são geridas com os seguintes controlos:

• Timeout de inatividade: Sessões inativas por [15] minutos são terminadas automaticamente
• Timeout absoluto: Sessões são terminadas após [8] horas, independentemente de atividade
• Bloqueio de ecrã: Ativação automática após [5] minutos de inatividade
• Sessões concorrentes: Número máximo de sessões simultâneas: [2]
• Notificação de login: Utilizadores recebem notificação de novos logins em dispositivos

5.5 Proteção contra ataques

Os sistemas implementam as seguintes proteções:

Desbloqueio de conta: Contas bloqueadas são desbloqueadas automaticamente após [30] minutos ou manualmente por [HELPDESK] após validação de identidade.

6.1 Zonas de segurança

As instalações da [ORGANIZAÇÃO] são divididas em zonas de segurança com diferentes níveis de controlo:

6.2 Gestão de visitantes

Todos os visitantes devem seguir os seguintes procedimentos:

• Pré-registo: Visitantes devem ser registados por colaborador responsável
• Identificação: Apresentação de documento de identificação válido na receção
• Crachá de visitante: Emissão de crachá visível durante toda a permanência
• Acompanhamento: Visitantes devem estar sempre acompanhados em zonas restritas
• Registo: Data, hora, finalidade da visita e colaborador anfitrião
• Devolução: Crachá deve ser devolvido na saída
• Acesso a sistemas: Visitantes não têm acesso a sistemas sem autorização expressa

6.3 Sala de servidores e data center

O acesso à sala de servidores e data center é gerido com controlos reforçados:

Controlos físicos

• Porta de acesso com fecho eletrónico (crachá + PIN ou biometria)
• Videovigilância 24/7 com retenção de [90] dias
• Deteção de intrusão (sensores de porta, movimento)
• Sistema de alarme ligado a [EMPRESA_SEGURANÇA]
• Controlo de temperatura e humidade
• Sistema de deteção e supressão de incêndios
• Alimentação redundante (UPS e gerador)

Controlos administrativos

• Lista de acesso: Mantida por [GESTOR_TI], revista mensalmente
• Registo de entrada/saída: Todos os acessos são registados automaticamente
• Acesso de terceiros: Requer aprovação prévia e acompanhamento obrigatório
• Trabalho individual: Trabalhos críticos requerem presença de dois técnicos (regra dos dois)
• Equipamento pessoal: Dispositivos pessoais são proibidos na sala de servidores

6.4 Segurança de equipamentos

Controlos aplicáveis a equipamentos e dispositivos:

• Inventário: Todos os equipamentos são inventariados e etiquetados
• Clear desk: Secretárias devem estar limpas ao final do dia (sem documentos sensíveis)
• Clear screen: Ecrãs devem ser bloqueados quando o utilizador se ausenta
• Cabos de segurança: Laptops em espaços públicos devem usar cabos de segurança
• Encriptação: Todos os dispositivos móveis devem ter encriptação de disco ativada
• Destruição segura: Equipamentos descartados são limpos de forma segura ou fisicamente destruídos

7.1 Política de trabalho remoto

Os colaboradores autorizados a trabalhar remotamente devem cumprir os seguintes requisitos:

Requisitos técnicos

• VPN corporativa: Todo o acesso remoto a sistemas internos deve ser feito através da VPN
• MFA obrigatório: Autenticação multifator para acesso VPN
• Equipamento aprovado: Apenas equipamentos corporativos ou aprovados por [DEPARTAMENTO_TI]
• Antivírus atualizado: Proteção endpoint ativa e atualizada
• Sistema operativo atualizado: Patches de segurança aplicados regularmente
• Firewall ativo: Firewall do sistema operativo sempre ativo

Requisitos de segurança

• Trabalhar em espaço privado (evitar espaços públicos quando possível)
• Utilizar rede Wi-Fi segura (WPA2/WPA3) - evitar redes públicas
• Ativar privacy screen em ambientes partilhados
• Bloquear ecrã quando se afastar do equipamento
• Não permitir acesso de terceiros ao equipamento corporativo
• Reportar imediatamente perda, roubo ou comprometimento de equipamento

7.2 Configuração de VPN

A VPN corporativa é configurada com os seguintes parâmetros de segurança:

7.3 Acesso de terceiros

Prestadores de serviços e consultores externos que necessitam de acesso remoto:

Processo de aprovação

1. Solicitação formal do gestor de projeto interno
2. Justificação de negócio e âmbito de acesso
3. Assinatura de acordo de confidencialidade (NDA)
4. Aprovação por [FUNÇÃO_SEGURANÇA]
5. Criação de conta temporária com data de expiração

Controlos específicos

• Acesso limitado: Apenas aos sistemas estritamente necessários para o projeto
• Duração definida: Acesso válido apenas durante o período do contrato
• Monitorização reforçada: Sessões são monitorizadas e gravadas
• Conta nominativa: Cada técnico externo tem conta individual (não partilhada)
• Revisão mensal: Acessos de terceiros são revistos mensalmente
• Revogação automática: Acessos expiram automaticamente na data definida

7.4 Acesso via dispositivos móveis

Dispositivos móveis (smartphones, tablets) que acedem a recursos corporativos:

• MDM/EMM: Dispositivos geridos através de [SOLUÇÃO_MDM]
• Políticas de segurança: PIN/senha obrigatório, encriptação ativada
• Wipe remoto: Capacidade de apagar dados remotamente em caso de perda
• Aplicações aprovadas: Apenas aplicações corporativas ou aprovadas podem ser instaladas
• Containerização: Dados corporativos isolados em container seguro
• Jailbreak/Root: Dispositivos com jailbreak ou root são bloqueados

8.1 Definição de acesso privilegiado

São consideradas contas privilegiadas:

• Administradores de sistemas operativos (Windows, Linux)
• Administradores de bases de dados (DBA)
• Administradores de rede e segurança
• Administradores de aplicações críticas
• Administradores de cloud (AWS, Azure, GCP)
• Administradores de Active Directory / LDAP
• Contas de serviço com privilégios elevados
• Qualquer conta com capacidade de alterar configurações de segurança

8.2 Gestão de contas privilegiadas (PAM)

A [ORGANIZAÇÃO] implementa uma solução de Privileged Access Management (PAM) para gerir contas privilegiadas:

Controlos PAM

8.3 Princípios de utilização

Utilizadores com acesso privilegiado devem seguir estes princípios:

Separação de contas

• Conta padrão: Utilizada para tarefas normais (email, navegação, documentos)
• Conta privilegiada: Utilizada APENAS para tarefas administrativas específicas
• Nomenclatura: Contas privilegiadas seguem padrão adm_[utilizador]
• Princípio: Nunca utilizar conta privilegiada para navegar na web ou ler emails

Trabalho com privilégios

• Utilizar privilégios apenas quando estritamente necessário
• Documentar a justificação para uso de conta privilegiada
• Realizar logout imediatamente após conclusão da tarefa administrativa
• Nunca partilhar credenciais privilegiadas
• Reportar imediatamente qualquer suspeita de comprometimento

8.4 Monitorização e alertas

Todas as atividades de contas privilegiadas são monitorizadas em tempo real:

Retenção de logs: Logs de contas privilegiadas são retidos por [X_ANOS] anos em sistema SIEM imutável.

8.5 Requisitos adicionais

Utilizadores com acesso privilegiado estão sujeitos a requisitos adicionais:

• Background check: Verificação de antecedentes antes da concessão
• NDA reforçado: Acordo de confidencialidade específico para dados sensíveis
• Formação avançada: Formação em segurança da informação (anual)
• Revisão trimestral: Acessos privilegiados são revistos a cada [90] dias
• Rotação de funções: Rodízio periódico de responsabilidades críticas
• Férias obrigatórias: Mínimo de [5] dias consecutivos de ausência anual

9.1 Periodicidade de revisões

As revisões de acessos são realizadas com as seguintes periodicidades:

9.2 Processo de revisão

O processo de revisão de acessos segue os seguintes passos:

1. Extração de relatório: Sistema gera relatório de todos os acessos ativos
2. Distribuição: Relatório é enviado aos gestores responsáveis
3. Análise individual: Cada gestor revê os acessos da sua equipa
4. Validação: Confirmar necessidade de cada acesso (manter ou revogar)
5. Justificação: Documentar justificação para manter acessos sensíveis
6. Aprovação: Aprovador valida as decisões
7. Implementação: TI implementa as revogações aprovadas
8. Documentação: Processo documentado e arquivado

9.3 Checklist de revisão trimestral

Os seguintes itens devem ser verificados durante a revisão trimestral de acessos privilegiados:

9.4 Auditoria de logs de acesso

A equipa de segurança realiza auditoria de logs de acesso:

Análises regulares

• Diária: Revisão de alertas automáticos de anomalias
• Semanal: Análise de acessos fora do horário normal
• Mensal: Revisão de acessos de contas privilegiadas
• Trimestral: Análise de tendências e padrões de acesso
• Anual: Auditoria completa por auditor interno ou externo

Eventos auditados

• Autenticações bem-sucedidas e falhadas
• Elevação de privilégios
• Criação, modificação e eliminação de contas
• Alterações de permissões e grupos
• Acesso a dados sensíveis
• Alterações de configuração de segurança
• Tentativas de acesso negadas

9.5 Certificação anual de acessos

Anualmente, todos os gestores devem certificar formalmente os acessos da sua equipa:

• Revisão completa de todos os utilizadores sob sua responsabilidade
• Confirmação de que cada acesso é necessário e apropriado
• Certificação assinada digitalmente
• Documentação arquivada para auditoria externa
• Prazo: [MÊS] de cada ano

Consequências: Gestores que não completem a certificação no prazo podem ter a sua autoridade de aprovação suspensa.

10.1 Matriz de responsabilidades

As responsabilidades pela gestão de controlo de acessos são distribuídas da seguinte forma:

10.2 Programa de formação

A [ORGANIZAÇÃO] implementa um programa de formação sobre controlo de acessos:

Formação inicial (onboarding)

• Público: Todos os novos colaboradores
• Duração: [X] horas
• Conteúdo:
  • Política de controlo de acessos
  • Gestão de senhas e MFA
  • Proteção de credenciais
  • Responsabilidades do utilizador
  • Procedimentos de reporte de incidentes
• Avaliação: Teste de conhecimentos (aprovação mínima: [80]%)

Formação anual de atualização

• Público: Todos os colaboradores
• Duração: [1] hora
• Conteúdo: Atualizações da política, casos práticos, novas ameaças
• Obrigatória: Conclusão obrigatória até [DATA]

Formação avançada (utilizadores privilegiados)

• Público: Administradores e utilizadores privilegiados
• Duração: [4] horas
• Conteúdo:
  • Gestão de acessos privilegiados (PAM)
  • Técnicas de ataque e defesa
  • Monitorização e resposta a incidentes
  • Compliance e auditoria
  • Estudos de caso de incidentes reais
• Certificação: Certificado de conclusão emitido

10.3 Campanhas de sensibilização

Além da formação formal, são realizadas campanhas regulares de sensibilização:

• Simulações de phishing: Testes mensais para avaliar consciência de segurança
• Newsletters de segurança: Comunicações mensais sobre boas práticas
• Posters e lembretes: Materiais visuais em áreas comuns
• Gamification: Desafios e quizzes sobre segurança da informação
• Casos de estudo: Análise de incidentes reais (anonimizados)

10.4 Consequências de não conformidade

O não cumprimento desta política pode resultar em medidas disciplinares:

10.5 Procedimento de exceções

Exceções a esta política devem seguir o seguinte processo:

1. Solicitação formal: Pedido por escrito com justificação de negócio
2. Análise de risco: Avaliação de impacto de segurança por [CISO]
3. Controlos compensatórios: Definição de medidas alternativas de segurança
4. Aprovação: Aprovação por [ÓRGÃO_DIREÇÃO]
5. Duração limitada: Exceção válida por máximo de [90] dias
6. Revisão: Renovação requer nova justificação e aprovação
7. Documentação: Todas as exceções são documentadas e auditadas