Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Governança de identidades, autenticação e controle de acesso por privilégio mínimo

Capítulo 6

Tempo estimado de leitura: 14 minutos

+ Exercício

Governança de identidades, autenticação e controle de acesso por privilégio mínimo formam um conjunto de controles técnicos e organizacionais que determinam “quem é quem” nos sistemas, “como” cada pessoa ou serviço prova sua identidade e “o que” pode fazer após autenticado. Na prática, esses controles reduzem a probabilidade de acesso indevido a dados pessoais, limitam o impacto de credenciais comprometidas e tornam auditável a responsabilidade por ações executadas em aplicações, bancos de dados, estações de trabalho e serviços em nuvem.

Governança de identidades (IGA): o que é e por que importa

Governança de identidades (Identity Governance and Administration – IGA) é o conjunto de políticas, processos e ferramentas que gerenciam o ciclo de vida de identidades digitais (colaboradores, terceiros, contas de serviço, robôs e integrações) e seus acessos. O objetivo é garantir que cada identidade tenha um “dono” responsável, um vínculo legítimo com a organização e permissões compatíveis com sua função, por tempo limitado e com rastreabilidade.

Uma governança madura responde perguntas operacionais essenciais: quais sistemas uma pessoa acessa hoje? Por que ela tem esse acesso? Quem aprovou? Quando expira? O acesso ainda é necessário? O que acontece com os acessos quando a pessoa muda de área ou sai da empresa? Sem essas respostas, é comum existir “acúmulo de privilégios” (privilégios herdados e não removidos), contas órfãs, acessos concedidos por exceção que viram permanentes e credenciais compartilhadas, todos fatores que elevam risco de vazamento e dificultam investigação de incidentes.

Elementos centrais da governança de identidades

  • Fonte de verdade (authoritative source): normalmente o RH para colaboradores e um cadastro de terceiros para prestadores. É de onde vêm eventos como admissão, mudança de função e desligamento.

  • Identidade única: cada pessoa deve ter um identificador único e intransferível (evitar contas genéricas). Para terceiros, diferenciar claramente do quadro interno.

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Catálogo de acessos: lista padronizada de perfis, grupos e papéis (roles) disponíveis, com descrição, dono do acesso e critérios de concessão.

  • Fluxos de aprovação: regras de quem pode aprovar o quê (gestor, dono do sistema, segurança, compliance), com segregação de funções.

  • Recertificação periódica: revisão de acessos em intervalos definidos (por exemplo, trimestral para sistemas críticos), com evidência de aceite ou remoção.

  • Trilhas de auditoria: registros de concessões, alterações, revogações e uso de privilégios elevados, com retenção adequada e integridade.

Autenticação: como provar a identidade com segurança

Autenticação é o processo de verificar que uma identidade é quem afirma ser. Ela pode ser baseada em fatores: algo que você sabe (senha), algo que você tem (token, aplicativo autenticador, chave FIDO2) e algo que você é (biometria). Em ambientes corporativos, a autenticação deve equilibrar segurança, usabilidade e risco do recurso acessado.

Boas práticas de autenticação

  • MFA (autenticação multifator): aplicar MFA para acessos remotos, sistemas com dados pessoais sensíveis, consoles administrativas e qualquer acesso privilegiado. Preferir métodos resistentes a phishing (FIDO2/WebAuthn, chaves de segurança, passkeys) quando possível.

  • SSO (Single Sign-On): centralizar autenticação reduz senhas espalhadas e facilita revogação. SSO com padrões como SAML/OIDC permite governança e logs consistentes.

  • Políticas de senha realistas: exigir senhas longas e únicas, bloquear senhas fracas e vazadas, evitar trocas frequentes sem evidência de comprometimento. Incentivar gerenciadores de senhas corporativos.

  • Autenticação adaptativa: elevar exigências conforme contexto (localização, dispositivo, reputação de IP, horário). Exemplo: exigir MFA adicional ao detectar login de país incomum.

  • Dispositivos gerenciados: condicionar acesso a sistemas críticos a equipamentos com postura de segurança mínima (criptografia, patching, EDR ativo).

Riscos comuns e como mitigá-los

  • Phishing e roubo de sessão: além de MFA, usar proteção de sessão (tokens com expiração curta, binding ao dispositivo quando aplicável) e monitorar anomalias de login.

  • Credenciais compartilhadas: proibir e substituir por contas nominativas e contas de serviço com escopo mínimo. Onde inevitável (equipamentos industriais, por exemplo), compensar com controles de rede, cofre de senhas e logging reforçado.

  • Contas locais administrativas: reduzir ao mínimo, usar LAPS/gestão de senhas locais e privilegiar elevação just-in-time.

Controle de acesso e privilégio mínimo: o que significa na prática

Controle de acesso define as permissões após a autenticação. O princípio do privilégio mínimo estabelece que cada identidade deve ter apenas os acessos estritamente necessários para executar suas tarefas, pelo menor tempo possível e com o menor nível de privilégio possível. Isso vale para pessoas e também para serviços, integrações e automações.

Aplicar privilégio mínimo não é apenas “tirar acesso”; é desenhar papéis e fluxos que permitam operar com segurança. Um erro comum é conceder perfil “admin” para resolver urgências. O resultado é um ambiente em que qualquer comprometimento de credencial vira comprometimento total.

Modelos de controle de acesso

  • RBAC (Role-Based Access Control): permissões agrupadas por função (ex.: “Analista de Atendimento”, “Financeiro – Contas a Pagar”). É eficiente para organizações com funções bem definidas.

  • ABAC (Attribute-Based Access Control): decisões baseadas em atributos (ex.: área, localidade, tipo de dado, classificação, risco). Útil para regras mais granulares, como permitir acesso apenas a registros de determinada unidade.

  • PBAC (Policy-Based): políticas centralizadas que combinam contexto, risco e atributos, frequentemente em ambientes cloud e APIs.

Na prática, muitas organizações usam uma combinação: RBAC para o “grosso” do acesso e ABAC/PBAC para exceções e restrições contextuais.

Segregação de funções (SoD) e conflitos de acesso

Segregação de funções evita que uma mesma pessoa concentre etapas críticas de um processo, reduzindo risco de fraude e erro. Exemplos típicos de conflito: quem cadastra fornecedor não deve ser o mesmo que aprova pagamento; quem desenvolve não deve implantar diretamente em produção sem controle; quem administra banco de dados não deve ter acesso irrestrito a dados em claro sem justificativa e trilha.

Uma governança eficaz mantém uma matriz de SoD com regras de conflito e mecanismos para detectar e tratar exceções (com aprovação formal, prazo e controles compensatórios).

Contas privilegiadas e PAM: reduzindo o “raio de explosão”

Contas privilegiadas são aquelas com capacidade de alterar configurações, criar usuários, acessar grandes volumes de dados ou desativar controles. Incluem administradores de sistemas, administradores de banco de dados, administradores de nuvem, contas root, contas de domínio, e também credenciais usadas por ferramentas de automação.

Privileged Access Management (PAM) é o conjunto de práticas e ferramentas para controlar, monitorar e auditar o uso desses privilégios. Mesmo sem uma ferramenta dedicada, é possível aplicar princípios de PAM com processos e controles nativos.

Práticas essenciais de PAM

  • Separação de contas: uma conta para atividades comuns (e-mail, navegação) e outra para administração. Reduz risco de malware capturar credenciais privilegiadas.

  • Elevação just-in-time (JIT): privilégios concedidos apenas quando necessário e por tempo limitado, com aprovação e registro.

  • Cofre de credenciais: senhas e chaves armazenadas com rotação automática, acesso controlado e logs. Evitar credenciais em planilhas, scripts e repositórios.

  • Gravação e auditoria de sessões: registrar comandos e atividades administrativas em sistemas críticos, facilitando investigação e responsabilização.

  • Rotação e expiração: credenciais privilegiadas devem ser rotacionadas com frequência e imediatamente após desligamentos ou suspeita de incidente.

Passo a passo prático: implementando governança de identidades e privilégio mínimo

1) Inventariar identidades e sistemas (escopo inicial)

Liste os sistemas que tratam dados pessoais ou suportam processos críticos (ERP, CRM, atendimento, data warehouse, storage, e-mail, ferramentas de colaboração, cloud). Em paralelo, levante os tipos de identidades existentes: colaboradores, temporários, terceiros, parceiros, contas de serviço, integrações via API.

  • Defina um escopo inicial viável (por exemplo, 3 a 5 sistemas mais críticos) para não travar o projeto.

  • Identifique onde estão os diretórios e provedores de identidade (AD, LDAP, IdP cloud) e quais sistemas autenticam localmente.

2) Definir a “fonte de verdade” e eventos de ciclo de vida

Estabeleça qual sistema dispara eventos de admissão, mudança e desligamento. Para terceiros, crie um cadastro com data de início e fim, sponsor interno e justificativa. O objetivo é automatizar o máximo possível: quando o vínculo muda, os acessos mudam junto.

  • Padronize atributos: nome, e-mail, matrícula/ID, área, gestor, localidade, tipo de vínculo, data de término (para terceiros).

  • Defina SLA para desativação: por exemplo, desligamento deve revogar acessos no mesmo dia, com prioridade para e-mail, VPN, IdP e sistemas críticos.

3) Criar um catálogo de papéis (roles) e grupos

Transforme permissões “soltas” em perfis padronizados. Em vez de conceder permissões individualmente, crie roles por função e por sistema. Cada role deve ter: descrição, escopo, sistemas afetados, nível de criticidade, dono do role e critérios de elegibilidade.

  • Comece pelos perfis mais comuns e pelos acessos de leitura.

  • Evite roles “superusuário” genéricos. Se existir, que seja temporário e controlado.

  • Mapeie permissões de dados: leitura, escrita, exportação, administração, deleção, e acesso a relatórios com dados pessoais.

4) Implementar SSO e MFA por camadas de risco

Centralize autenticação em um provedor de identidade e habilite MFA. Defina uma política por criticidade:

  • Camada 1 (alto risco): consoles administrativas, bancos de dados, sistemas com dados sensíveis, acesso remoto. Exigir MFA resistente a phishing quando possível, e bloquear acesso de dispositivos não gerenciados.

  • Camada 2 (médio risco): aplicações internas com dados pessoais comuns. Exigir MFA e monitoramento de anomalias.

  • Camada 3 (baixo risco): sistemas sem dados pessoais ou com impacto reduzido. SSO com políticas básicas e logging.

5) Desenhar fluxos de solicitação e aprovação com trilha

Padronize como acessos são solicitados e aprovados. Um fluxo típico: solicitante → gestor do solicitante → dono do sistema/role → (se necessário) segurança/compliance. Registre justificativa, prazo e escopo.

  • Exija prazo de expiração para acessos elevados e para terceiros.

  • Implemente aprovação dupla para privilégios administrativos.

  • Use formulários com campos obrigatórios: sistema, role, motivo, data de término, ticket relacionado.

6) Aplicar privilégio mínimo com técnica de “redução incremental”

Em ambientes legados, remover acessos de uma vez pode quebrar operações. Uma abordagem prática é reduzir incrementalmente:

  • Identifique grupos amplos (ex.: “Todos no domínio”, “Power Users”, “Admin local”) e substitua por grupos específicos.

  • Revogue permissões de exportação em massa onde não houver necessidade (ex.: relatórios completos de clientes).

  • Separe funções: quem atende não precisa administrar; quem administra não precisa exportar dados.

  • Implemente “break glass” (acesso emergencial) com conta separada, MFA forte, uso restrito e revisão pós-uso.

7) Controlar contas de serviço e integrações

Contas de serviço frequentemente viram o elo fraco: senhas nunca expiram, privilégios excessivos e chaves embutidas em código. Trate-as como identidades de alto risco.

  • Crie inventário de contas de serviço: onde são usadas, dono responsável, finalidade, sistemas acessados.

  • Substitua senhas por mecanismos mais seguros quando possível (identidades gerenciadas, certificados, OIDC entre serviços).

  • Armazene segredos em cofre e faça rotação automática.

  • Restrinja escopo: permissões mínimas por API, schema ou fila, evitando acesso a tabelas completas.

8) Implementar recertificação e revisão de acessos

Defina periodicidade por criticidade e execute campanhas de revisão. O dono do acesso (gestor e/ou owner do sistema) deve confirmar se cada acesso ainda é necessário. A recertificação deve gerar evidência: lista revisada, decisões (manter/remover), data e responsável.

  • Priorize: administradores, acessos a dados sensíveis, terceiros e acessos com exportação.

  • Inclua verificação de SoD: detectar combinações proibidas e exigir correção ou exceção formal.

9) Monitorar, registrar e responder a eventos de identidade

Sem visibilidade, controles viram “papel”. Centralize logs de autenticação e autorização: logins bem-sucedidos e falhos, mudanças de grupos, concessões de privilégios, uso de contas admin, criação de chaves e tokens, e acessos a dados em massa.

  • Crie alertas para: múltiplas falhas de login, login de localidade incomum, criação de novo admin, desativação de MFA, exportações atípicas.

  • Defina playbooks: o que fazer quando detectar credencial comprometida (revogar sessões, reset de senha, rotação de chaves, revisão de acessos concedidos recentemente).

Exemplos práticos de aplicação do privilégio mínimo

Exemplo 1: equipe de atendimento ao cliente

Necessidade: consultar cadastro e histórico de solicitações, atualizar status de chamados. Risco: exportação de base de clientes e acesso a dados não necessários.

  • Role “Atendimento – Leitura”: permite visualizar dados essenciais (nome, contato, status), mas bloqueia campos sensíveis e exportação.

  • Role “Atendimento – Atualização”: permite alterar status e registrar interações, mas não permite alterar dados cadastrais críticos (ex.: documento) sem fluxo adicional.

  • Exportação: somente para um role específico, com justificativa, prazo e logging reforçado.

Exemplo 2: analista de BI e acesso ao data warehouse

Necessidade: construir relatórios agregados. Risco: acesso direto a tabelas com dados pessoais em nível de linha.

  • Conceder acesso a views com mascaramento/pseudonimização quando possível, em vez de tabelas brutas.

  • Permitir leitura apenas em schemas específicos do projeto.

  • Bloquear comandos de exportação para fora do ambiente ou exigir aprovação e trilha.

Exemplo 3: administração de servidores

Necessidade: aplicar patches, reiniciar serviços, ajustar configurações. Risco: uso de credenciais admin em tarefas rotineiras e persistência de privilégios.

  • Conta padrão para e-mail e navegação; conta admin separada para administração.

  • Elevação JIT para tarefas específicas (janela de 2 horas), com ticket e aprovação.

  • Registro de sessão para comandos críticos e auditoria periódica.

Controles organizacionais que sustentam a parte técnica

Políticas e padrões internos

  • Política de controle de acesso: define princípios (privilégio mínimo, need-to-know), responsabilidades, critérios de concessão e revisão.

  • Padrão de autenticação: requisitos de MFA, SSO, métodos permitidos, regras para dispositivos e acesso remoto.

  • Padrão de contas privilegiadas: separação de contas, JIT, cofre, rotação, e uso de “break glass”.

Responsabilidades (RACI) típicas

  • Gestor: aprova acesso conforme função e necessidade.

  • Dono do sistema/role: define quais permissões compõem o role e valida recertificações.

  • TI/Segurança: implementa controles, monitora eventos e mantém trilhas.

  • Usuário: usa credenciais de forma adequada e reporta suspeitas.

Indicadores para acompanhar maturidade

  • Percentual de sistemas críticos integrados ao SSO.

  • Percentual de usuários com MFA habilitado (e por método).

  • Tempo médio para revogar acessos após desligamento.

  • Quantidade de contas privilegiadas por sistema e tendência ao longo do tempo.

  • Percentual de acessos recertificados no prazo e número de acessos removidos por campanha.

  • Incidentes relacionados a credenciais (phishing, reutilização, acesso indevido) e tempo de resposta.

Checklist operacional para iniciar em 30 dias

  • Selecionar 3 sistemas críticos e integrar ao provedor de identidade (SSO).

  • Habilitar MFA obrigatório para administradores e acesso remoto.

  • Inventariar contas privilegiadas e remover contas genéricas.

  • Criar 10 a 20 roles iniciais (os mais usados) e migrar concessões individuais para grupos.

  • Definir fluxo de solicitação com aprovação e expiração para acessos elevados.

  • Executar primeira recertificação para administradores e terceiros.

  • Centralizar logs de autenticação e mudanças de privilégios e criar alertas básicos.

Agora responda o exercício sobre o conteúdo:

Qual combinação de ações melhor implementa o princípio do privilégio mínimo e melhora a auditabilidade no controle de acesso?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A alternativa correta combina roles com escopo definido, expiração e MFA para reduzir privilégio e risco, além de trilhas de auditoria para rastrear quem aprovou e quem usou acessos, aumentando responsabilização e capacidade de investigação.

Próximo capitúlo

Registro de operações, trilhas de auditoria e monitoramento de atividades

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store