Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação. Convém que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços.
Convém que os procedimentos cubram todas as fases do ciclo de vida de acesso do usuário, da inscrição inicial como novos usuários até o cancelamento final do registro de usuários que já não requerem acesso a sistemas de informação e serviços. Convém que atenção especial seja dada, onde apropriado, para a necessidade de controlar a distribuição de direitos de acesso privilegiado que permitem os usuários mudar controles de sistemas.
11.2.1 Registro de usuário
Controle
Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.
Diretrizes para implementação
Convém que os procedimentos de controle de acesso para registro e cancelamento de usuários incluam: a) utilizar identificador de usuário (ID de usuário) único para assegurar a responsabilidade de cada
usuário por suas ações; convém que o uso de grupos de ID somente seja permitido onde existe a necessidade para o negócio ou por razões operacionais, e isso seja aprovado e documentado;
b) verificar se o usuário tem autorização do proprietário do sistema para o uso do sistema de informação ou serviço; aprovação separada para direitos de acesso do gestor também pode ser apropriada; c) verificar se o nível de acesso concedido é apropriado ao propósito do negócio (ver 11.1) e é
consistente com a política de segurança da organização, por exemplo, não compromete a segregação de função (ver 10.1.3);
e) requerer aos usuários a assinatura de uma declaração indicando que eles entendem as condições de acesso;
f) assegurar aos provedores de serviços que não serão dados acessos até que os procedimentos de autorização tenham sido concluídos;
g) manter um registro formal de todas as pessoas registradas para usar o serviço;
h) remover imediatamente ou bloquear direitos de acesso de usuários que mudaram de cargos ou funções, ou deixaram a organização;
i) verificar periodicamente e remover ou bloquear identificadores (ID) e contas de usuário redundantes (ver 11.2.4);
j) assegurar que identificadores de usuário (ID de usuário) redundantes não sejam atribuídos para outros usuários.
Informações adicionais
Convém que seja considerado estabelecer perfis de acesso do usuário baseados nos requisitos dos negócios que resumam um número de direitos de acessos dentro de um perfil de acesso típico de usuário. Solicitações de acessos e análises críticas (ver 11.2.4) são mais fáceis de gerenciar ao nível de tais perfis do que ao nível de direitos particulares.
Convém que seja considerada a inclusão de cláusulas nos contratos de usuários e de serviços que especifiquem as sanções em caso de tentativa de acesso não autorizado pelos usuários ou por terceiros (ver 6.1.5, 8.1.3 e 8.2.3).
11.2.2 Gerenciamento de privilégios
Controle
Convém que a concessão e o uso de privilégios sejam restritos e controlados. Diretrizes para implementação
Convém que os sistemas de multiusuários que necessitam de proteção contra acesso não autorizado tenham a concessão de privilégios controlada por um processo de autorização formal. Convém que os seguintes passos sejam considerados:
a) privilégio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedido, seja identificado;
b) os privilégios sejam concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados com a política de controle de acesso (ver 11.1.1), por exemplo, requisitos mínimos para sua função somente quando necessário;
c) um processo de autorização e um registro de todos os privilégios concedidos sejam mantidos. Convém que os privilégios não sejam fornecidos até que todo o processo de autorização esteja finalizado; d) desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a evitar a necessidade de
fornecer privilégios aos usuários;
e) desenvolvimento e uso de programas que não necessitam funcionar com privilégios sejam estimulados;
f) os privilégios sejam atribuídos para um identificador de usuário (ID de usuário) diferente daqueles usados normalmente para os negócios.
Informações adicionais
O uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas.
11.2.3 Gerenciamento de senha do usuário
Controle
Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal. Diretrizes para implementação
Convém que o processo considere os seguintes requisitos:
a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação (ver 8.1.3);
b) garantir, onde os usuários necessitam manter suas próprias senhas, que sejam fornecidas inicialmente senhas seguras e temporárias (ver 11.3.1), o que obriga o usuário a alterá-la imediatamente;
c) estabelecer procedimentos para verificar a identidade de um usuário antes de fornecer uma senha temporária, de substituição ou nova;
d) fornecer senhas temporárias aos usuários de maneira segura; convém que o uso de mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) seja evitado;
e) senhas temporárias sejam únicas para uma pessoa e não sejam de fácil memorização; f) usuários acusem o recebimento de senhas;
g) as senhas nunca sejam armazenadas nos sistemas de um computador de forma desprotegida; h) as senhas padrão sejam alteradas logo após a instalação de sistemas ou software.
Informações adicionais
Senhas são um meio comum de verificar a identidade de um usuário antes que acessos sejam concedidos a um sistema de informação ou serviço de acordo com a autorização do usuário. Outras tecnologias para identificação de usuário e autenticação, como biométrica, por exemplo, verificação de digitais, verificação de assinatura, e uso de tokens, por exemplo, e cartões inteligentes, estão disponíveis, e convém que sejam consideradas, se apropriado.
11.2.4 Análise crítica dos direitos de acesso de usuário
Controle
Convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal.
Diretrizes para implementação
Convém que a análise crítica dos direitos de acesso considere as seguintes orientações:
a) os direitos de acesso de usuários sejam revisados em intervalos regulares, por exemplo, um período de seis meses e depois de qualquer mudança, como promoção, rebaixamento ou encerramento do contrato (ver 11.2.1);
b) os direitos de acesso de usuários sejam analisados criticamente e realocados quando movidos de um tipo de atividade para outra na mesma organização;
c) autorizações para direitos de acesso privilegiado especial (ver 11.2.2) sejam analisadas criticamente em intervalos mais freqüentes, por exemplo, em um período de três meses;
d) as alocações de privilégios sejam verificadas em intervalo de tempo regular para garantir que privilégios não autorizados não foram obtidos;
e) as modificações para contas de privilégios sejam registradas para análise crítica periódica. Informações adicionais
É necessário analisar criticamente, a intervalos regulares, os direitos de acesso de usuários para manter o controle efetivo sobre os acessos de dados e serviços de informação.