O que é o controlo de acesso?
O controlo de acesso é um elemento fundamental da segurança que formaliza quem tem autorização para aceder a determinadas aplicações, dados e recursos e em que condições.
Controlo de acesso definido
O controlo de acesso é um elemento fundamental da segurança que determina quem tem autorização para aceder a determinados dados, aplicações e recursos e em que circunstâncias. Da mesma forma que as chaves e as listas de convidados pré-aprovadas protegem os espaços físicos, as políticas de controlo de acesso protegem os espaços digitais. Por outras palavras, dão acesso às pessoas certas e mantêm as pessoas erradas de fora. As políticas de controlo de acesso dependem fortemente de técnicas como a autenticação e a autorização, que permitem às organizações verificar explicitamente que os utilizadores são quem dizem ser e que estes utilizadores têm o nível de acesso adequado com base no contexto, como dispositivo, localização, função e muito mais.
O controlo de acesso impede que informações confidenciais, como dados do cliente e propriedade intelectual, sejam roubadas por atores maliciosos ou outros utilizadores sem autorização. Também reduz o risco de transferência de dados não autorizada por parte dos colaboradores e mantém à distância as ameaças baseadas na Web. Em vez de gerir as permissões manualmente, a maior parte das organizações focadas na segurança conta com soluções de gestão de identidades e acessos para implementar políticas de controlo de acesso.
Diferentes tipos de controlo de acesso
Existem quatro tipos principais de controlo de acesso, cada um dos quais administra o acesso a informações confidenciais de uma forma única.
Controlo de acesso discricionário (DAC)
Em modelos de DAC, todos os objetos num sistema protegido têm um proprietário. Os proprietários concedem acesso aos utilizadores ao seu critério. O DAC fornece controlo caso a caso sobre os recursos.
Controlo de acesso obrigatório (MAC)
Em modelos de MAC, é concedido acesso aos utilizadores sob a forma de uma habilitação. Uma autoridade central regula os direitos de acesso e organiza-os em camadas, que se expandem uniformemente no âmbito. Este modelo é muito comum em contextos governamentais e militares.
Controlo de acesso baseado em funções (RBAC)
Em modelos de RBAC, os direitos de acesso são concedidos com base em funções empresariais definidas, em vez de na identidade ou no tempo de serviço dos utilizadores individuais. O objetivo é fornecer aos utilizadores apenas os dados de que precisam para realizar o seu trabalho e nada mais.
Controlo de acesso baseado em atributos (ABAC)
Em modelos de ABAC, o acesso é concedido de forma flexível com base numa combinação de atributos e condições ambientais, como o tempo e a localização. O ABAC é o modelo de controlo de acesso mais granular e ajuda a reduzir o número de atribuições de funções.
Como funciona o controlo de acesso
Na sua forma mais simples, o controlo de acesso envolve identificar um utilizador com base nas respetivas credenciais e, em seguida, autorizar o nível de acesso adequado após estar autenticado.
As palavras-passe, PINs, tokens de segurança e até as análises biométricas são credenciais normalmente utilizadas para identificar e autenticar um utilizador. A autenticação multifator (MFA) fornece mais uma camada de segurança ao exigir que os utilizadores sejam verificados através de mais do que um método de verificação.
Após a identidade de um utilizador ser autenticada, as políticas de controlo de acesso concedem permissões específicas e permitem que o utilizador avance conforme pretender.
O valor do controlo de acesso
O objetivo do controlo de acesso é impedir que as informações confidenciais caiam nas mãos de atores maliciosos. Os ciberataques a dados confidenciais podem ter consequências graves, incluindo fugas de propriedade intelectual, exposição de informações pessoais de clientes e colaboradores e até perda de fundos empresariais.
O controlo de acesso é um componente essencial da estratégia de segurança. Além disso, é uma das melhores ferramentas para organizações que pretendem minimizar o risco de segurança do acesso não autorizado aos respetivos dados, especialmente a dados armazenados na nuvem.
À medida que a lista de dispositivos suscetíveis ao acesso não autorizado aumenta, o risco para as organizações sem políticas de controlo de acesso sofisticadas também. As soluções de gestão de identidades e acessos podem simplificar a administração destas políticas, mas reconhecer a necessidade de gerir como e quando se acede aos dados é o primeiro passo.
Como implementar o controlo de acesso
Alinhe os objetivos
Mantenha-se alinhado com os decisores em relação aos motivos pelos quais é importante implementar uma solução de controlo de acesso. Existem vários motivos para o fazer – um deles é reduzir o risco para a sua organização. Outros motivos para implementar uma solução de controlo de acesso podem incluir:
• Produtividade: conceda acesso autorizado às aplicações e dados de que os colaboradores precisam para atingir os seus objetivos, quando precisarem.
• Segurança: proteja dados confidenciais e recursos e reduza os obstáculos ao acesso de utilizadores através de políticas responsivas que escalam em tempo real quando surgem ameaças.
• Gestão personalizada: delegue tarefas de gestão de identidades, reposições de palavra-passe, monitorização de segurança e pedidos de acesso para poupar tempo e energia.
Selecione uma solução
Escolha uma solução de gestão de identidades e acessos que lhe permita salvaguardar os seus dados e garantir uma ótima experiência de utilizador final. A solução ideal deve fornecer um serviço de alto nível aos seus utilizadores e ao seu departamento de TI, desde garantir acesso remoto simplificado aos colaboradores a poupar tempo aos administradores.
Defina políticas fortes
Após lançar a solução que escolheu, decida quem deve aceder aos seus recursos, a que recursos deve aceder e em que condições. As políticas de controlo de acesso podem ser concebidas para conceder acesso, limitar acesso com controlos de sessão ou até bloquear acesso, tudo depende das necessidades da sua empresa.
Algumas perguntas a fazer ao longo do processo podem incluir:
• Que utilizadores, grupos, funções ou entidades de carga de trabalho serão incluídas ou excluídas da política?
• A que aplicações se aplica esta política?
• Que ações do utilizador estarão sujeitas a esta política?
Siga as melhores práticas
Configure contas de acesso de emergência para evitar que tenha o seu acesso bloqueado caso desconfigure uma política, aplique políticas de acesso condicional a todas as aplicações, teste políticas antes de as aplicar no seu ambiente, defina normas de nomenclatura para todas as políticas e faça planos tendo em conta as interrupções. Quando as políticas certas estiverem implementadas, pode ficar mais tranquilo.
Soluções do controlo de acesso
O controlo de acesso é uma medida de segurança fundamental que qualquer organização pode implementar para se salvaguardar contra falhas de segurança e transferências não autorizadas de dados.
As soluções de gestão de identidades e acessos do Microsoft Security garantem que os seus recursos são protegidos de forma contínua, mesmo à medida que as suas operações diárias passam para a nuvem.
Proteja o que é mais importante.
Saiba mais sobre o Microsoft Security
Controlo de acesso para utilizadores individuais
Permita o início de sessão sem palavra-passe e impeça o acesso não autorizado com a aplicação Microsoft Authenticator.
Controlo de acesso para pequenas e médias empresas
Proteja o que é mais importante com soluções de gestão de identidades e acessos integradas com o Microsoft Security.
Controlo de acesso para escolas
Forneça uma experiência de início de sessão fácil para estudantes e cuidadores e mantenha os seus dados pessoais em segurança.
Microsoft Entra ID
Salvaguarde a sua organização com a gestão de identidade e acesso (anteriormente conhecida como Azure Active Directory).
Gestão de Permissões do Microsoft Entra
Obtenha visibilidade sobre as permissões de identidade em toda a empresa e monitorize os riscos para todos os utilizadores.
Perguntas mais frequentes
-
No campo da segurança, um sistema de controlo de acesso é qualquer tecnologia que modera intencionalmente o acesso a recursos digitais, por exemplo, redes, sites e recursos na nuvem.
Os sistemas de controlo de acesso aplicam princípios de cibersegurança como autenticação e autorização para garantir que os utilizadores são quem dizem ser e têm direito a aceder a determinados dados, com base em políticas de identidade e acesso predeterminadas.
-
A tecnologia de controlo de acesso baseado na nuvem reforça o controlo sobre o património digital de uma organização, funcionando com a eficiência da nuvem e sem o custo de executar e manter sistemas de controlo de acesso no local dispendiosos.
-
O controlo de acesso ajuda na proteção contra roubo de dados, corrupção ou transferências não autorizadas ao garantir que apenas os utilizadores cujas identidades e credenciais foram verificadas podem aceder a determinadas informações.
-
O controlo de acesso regula seletivamente quem tem autorização para ver e utilizar determinados espaços ou informações. Existem dois tipos de controlo de acesso: físico e lógico.
- O controlo de acesso físico refere-se à restrição de acesso a uma localização física. Isto é conseguido através da utilização de ferramentas como cadeados e chaves, portas protegidas por palavra-passe e observação por parte da equipa de segurança.
- O controlo de acesso lógico refere-se à restrição de acesso a dados. Isto é conseguido através de técnicas de cibersegurança como identificação, autenticação e autorização.
-
O controlo de acesso é uma funcionalidade da filosofia moderna de segurança do Confiança Zero, que aplica técnicas como a verificação explícita e o acesso com privilégios mínimos para ajudar a proteger informações confidenciais e impedir que caiam nas mãos erradas.
O controlo de acesso depende fortemente de dois princípios-chave – autenticação e autorização:
- A autenticação envolve identificar um utilizador em particular com base nas suas credenciais de início de sessão, como nomes de utilizador e palavras-passe, análises biométricas, PINs ou tokens de segurança.
- A autorização refere-se a dar a um utilizador o nível de acesso adequado conforme determinado pelas políticas de controlo de acesso. Estes processos são tipicamente automáticos.
Siga o Microsoft Security