top of page
  • Whatsapp
  • Linkedin
  • Instagram
  • Facebook
Buscar

Controle de Acesso: como proteger dados e sistemas contra acessos indevidos

  • Foto do escritor: Mainsafe
    Mainsafe
  • 3 de nov.
  • 3 min de leitura
ree

Saiba como aplicar controles técnicos e administrativos para garantir confidencialidade e conformidade com a ISO 27001 e a LGPD


Entre todos os pilares da segurança da informação, controlar quem tem acesso ao quê, quando e por quê é talvez o mais importante.Um único acesso indevido pode comprometer dados corporativos, informações pessoais e até a reputação da empresa.


A ISO/IEC 27001 dedica vários controles a esse tema (especialmente os 5.15 a 5.18 da ISO/IEC 27002:2022), que definem como gerenciar identidades, permissões e autenticações de forma segura e rastreável.


Da mesma forma, a LGPD (art. 46) exige que empresas adotem medidas aptas a impedir acessos não autorizados a dados pessoais.Ou seja, controle de acesso não é só boa prática — é uma obrigação legal e técnica.


O que é controle de acesso


Controle de acesso é o conjunto de políticas, processos e tecnologias que regulam quem pode visualizar, alterar, excluir ou transferir informações dentro de uma organização.


Ele envolve três dimensões principais:


  • Identificação: saber quem está tentando acessar;

  • Autenticação: confirmar a identidade (ex.: senha, biometria, token);

  • Autorização: definir o que essa pessoa pode fazer após o acesso ser concedido.


Controles de acesso segundo a ISO 27001 / 27002


A ISO/IEC 27002:2022 descreve quatro controles específicos sobre acesso a sistemas e dados:


Controle

Descrição

Objetivo

5.15 – Política de controle de acesso

Define regras e responsabilidades para concessão, alteração e revogação de acessos.

Garantir acesso apenas a pessoas autorizadas.

5.16 – Gerenciamento de identidades

Garante que cada usuário tenha identidade única e rastreável.

Evitar uso compartilhado de credenciais.

5.17 – Autenticação de informações

Exige mecanismos de autenticação forte (MFA, biometria).

Confirmar identidade e reduzir fraude.

5.18 – Direitos de acesso e revisão

Determina revisões periódicas e revogação imediata de acessos desnecessários.

Evitar acessos indevidos e privilégios excessivos.

Esses controles devem ser aplicados de forma consistente em todos os ambientes — locais, remotos, em nuvem ou terceirizados.


Tipos de controle de acesso


Modelo

Descrição

DAC – Discretionary Access Control

O proprietário do recurso define quem pode acessá-lo.

MAC – Mandatory Access Control

Acesso definido por políticas de segurança centralizadas.

RBAC – Role-Based Access Control

Permissões atribuídas por função ou cargo.

ABAC – Attribute-Based Access Control

Acesso baseado em atributos (localização, horário, dispositivo).

A ISO 27002 recomenda o uso combinado de RBAC e ABAC para empresas modernas, especialmente em ambientes de nuvem ou híbridos.


Princípios fundamentais de um bom controle de acesso


Princípio do menor privilégio

Cada usuário deve ter apenas o nível de acesso necessário para desempenhar suas funções.


Segregação de funções

Evita que uma única pessoa execute etapas críticas sozinha (ex.: cadastrar e aprovar pagamentos).


Autenticação multifator (MFA)

Combina senha + token + biometria para maior segurança.


Revisão periódica de acessos

Revisar trimestralmente se os acessos ainda são necessários, revogando os obsoletos.


Registro e monitoramento de atividades

Manter logs auditáveis de login, logout e ações críticas — requisito essencial para conformidade ISO e LGPD.


Controle de acesso e LGPD


A LGPD deixa claro (art. 46 e 49) que a empresa é responsável por prevenir acessos não autorizados e manter a integridade dos dados pessoais.


Isso significa que falhas em controle de acesso podem resultar em:


  • Vazamento de dados pessoais ou sensíveis;

  • Comunicação obrigatória à ANPD (art. 48);

  • Multas e sanções administrativas.


Assim, um controle de acesso bem estruturado é uma prova de conformidade legal e técnica, tanto para a LGPD quanto para auditorias ISO 27001 e 27701.


Boas práticas de controle de acesso


  • Use senhas fortes e políticas de expiração;

  • Evite usuários genéricos ou compartilhados;

  • Configure bloqueio automático de sessão inativa;

  • Adote autenticação multifator (MFA) para acessos críticos;

  • Restrinja acesso remoto a redes seguras e dispositivos corporativos;

  • Automatize provisão e desativação de usuários;

  • Revise acessos administrativos com maior frequência;

  • Treine os colaboradores para não compartilhar senhas — nem por e-mail, nem por aplicativos de mensagens.


Como o DPONOTE e a MainSafe podem ajudar


DPONOTE – Gestão integrada de acessos e governança

  • Integração com auditorias internas e revisões periódicas;

  • Registro de evidências para fiscalizações da ANPD e certificações ISO.


MainSafe – Consultoria e treinamento

  • Implementação dos controles 5.15 a 5.18 da ISO 27002;

  • Diagnóstico e mapeamento de vulnerabilidades de acesso;

  • Treinamentos corporativos;

  • Suporte à certificação ISO 27001 e à conformidade com a LGPD.









Comentários

Fale Conosco

Ao clicar em enviar, declaro, de forma livre, informada e inequívoca, que autorizo o tratamento de meus dados pessoais pela Mainsafe para a finalidade de realização de contato comercial por um de seus consultores.

Em caso de dúvidas com relação a privacidade de seus dados pessoais, favor entrar em contato com nosso DPO através do e-mail: rodrigo@mainsafe.com.br

Obrigado por enviar!

Mainsafe Soluções

O  futuro do seu negócio começa com a MainSafe!

Copyright © 2019 - Mainsafe
Todos direitos reservados

(31) 9 9359-5962

Avenida Amazonas, 115 - sala 1102 - Centro - Belo Horizonte - MG

CNPJ - 33.601.650/0001-41

Enviar email clique aqui

bottom of page