Develop Access Management Plans
O desenvolvimento de planos detalhados para a gestão de acessos e autorizações é um processo essencial para assegurar que todos os usuários tenham o acesso correto e necessário aos recursos de TI.
Este processo envolve a criação de um framework abrangente que define políticas, procedimentos e responsabilidades relacionados ao acesso.
Inicialmente, é feita uma análise das necessidades de acesso, considerando as funções e responsabilidades de cada usuário.
Em seguida, são estabelecidas as políticas de acesso, incluindo a definição de permissões e restrições baseadas em funções.
O plano também deve incorporar métodos de autenticação, como autenticação multifatorial (MFA), para fortalecer a segurança.
Além disso, o plano precisa incluir procedimentos de revisão periódica de acessos e auditorias para garantir a conformidade e a eficácia das políticas implementadas.
A documentação detalhada do plano é crucial para que todos os stakeholders compreendam suas responsabilidades e as medidas a serem adotadas para proteger os recursos de TI contra acessos não autorizados.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Access Needs Analysis | Realizar análise das necessidades de acesso dos usuários e sistemas. | Dados de funções e responsabilidades | Relatório de necessidades de acesso | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Define Access Policies | Definir políticas de acesso com base nas necessidades identificadas. | Relatório de necessidades de acesso | Políticas de acesso definidas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Architecture & Technology Visioning; Informed: All areas | Decider: Cybersecurity; Advisor: Architecture & Technology Visioning; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 3 | Establish Authentication Methods | Estabelecer métodos de autenticação, incluindo MFA. | Políticas de acesso definidas | Métodos de autenticação definidos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Develop Review Procedures | Desenvolver procedimentos para revisão periódica dos acessos e auditorias. | Métodos de autenticação definidos | Procedimentos de revisão definidos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 5 | Document Access Management Plan | Documentar detalhadamente o plano de gestão de acessos e autorizações. | Procedimentos de revisão definidos | Plano de gestão de acessos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Identify Access Requirements
A identificação dos requisitos de acesso é um processo fundamental para garantir que os usuários e sistemas tenham as permissões adequadas e necessárias para desempenhar suas funções.
Este processo envolve a coleta de informações sobre as funções e responsabilidades dos usuários, bem como a análise dos sistemas e dados aos quais precisam ter acesso.
A colaboração com as diversas áreas de TI e negócios é crucial para compreender as necessidades específicas de cada departamento.
Uma vez coletadas as informações, os requisitos de acesso são documentados e classificados, garantindo que todas as permissões sejam atribuídas com base na necessidade de saber e no princípio do menor privilégio.
Este processo também inclui a revisão de quaisquer requisitos de conformidade e regulamentações que possam impactar a gestão de acessos.
- PDCA focus: Plan
- Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Gather User Role Information | Coletar informações sobre as funções e responsabilidades dos usuários. | Dados de funções e responsabilidades | Relatório de funções de usuários | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Analyze System Access Needs | Analisar as necessidades de acesso aos sistemas e dados. | Relatório de funções de usuários | Relatório de necessidades de acesso | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Collaborate with Departments | Colaborar com diferentes departamentos para entender as necessidades específicas de acesso. | Relatório de necessidades de acesso | Requisitos de acesso identificados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Document Access Requirements | Documentar os requisitos de acesso identificados de forma detalhada. | Requisitos de acesso identificados | Documentação de requisitos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Review Compliance Needs | Revisar os requisitos de conformidade e regulamentação relacionados ao acesso. | Documentação de requisitos | Requisitos de conformidade revisados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Implement Access Control Solutions
A implementação das soluções de controle de acesso conforme planejado é um passo crucial para assegurar que os sistemas e dados da organização estejam protegidos contra acessos não autorizados.
Este processo envolve a configuração de sistemas de gerenciamento de identidades e acessos (IAM), a aplicação das políticas de acesso definidas e a integração de métodos de autenticação, como MFA.
Além disso, é importante realizar testes para garantir que as soluções de controle de acesso funcionem corretamente e não impactem negativamente a operação dos sistemas.
A colaboração entre as equipes de Cybersecurity, IT Infrastructure & Operation e Solution Engineering & Development é fundamental para garantir que as soluções sejam implementadas de forma eficaz e eficiente.
A documentação completa das implementações realizadas é essencial para auditorias futuras e para a manutenção das soluções de controle de acesso.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Configure IAM Systems | Configurar sistemas de gerenciamento de identidades e acessos (IAM). | Políticas de acesso definidas | Sistemas IAM configurados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Apply Access Policies | Aplicar políticas de acesso nos sistemas e dados conforme definido. | Sistemas IAM configurados | Políticas de acesso aplicadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Integrate MFA Methods | Integrar métodos de autenticação multifatorial (MFA) nos sistemas. | Políticas de acesso aplicadas | MFA integrado | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Access Testing | Realizar testes para garantir a eficácia das soluções de controle de acesso. | MFA integrado | Resultados de testes | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Document Implementations | Documentar as implementações realizadas e as configurações aplicadas. | Resultados de testes | Documentação de implementações | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
Monitor Access Control Performance
O monitoramento contínuo do desempenho dos controles de acesso é vital para assegurar que as políticas e mecanismos de segurança estejam funcionando conforme o esperado e para detectar qualquer anomalia ou tentativa de acesso não autorizado.
Este processo envolve a coleta e análise de logs de acesso, a realização de auditorias regulares e a revisão das métricas de desempenho dos sistemas de controle de acesso.
A implementação de ferramentas de monitoramento em tempo real e a utilização de inteligência de segurança ajudam a identificar e responder rapidamente a incidentes de segurança.
A comunicação regular dos resultados do monitoramento às partes interessadas é essencial para manter a transparência e garantir que os controles de acesso sejam constantemente aprimorados.
- PDCA focus: Check
- Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Collect Access Logs | Coletar logs de acesso de sistemas e aplicativos. | Logs de sistemas e aplicativos | Logs de acesso coletados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Analyze Access Metrics | Analisar métricas de acesso para avaliar a eficácia dos controles implementados. | Logs de acesso coletados | Relatórios de análise de métricas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 3 | Conduct Access Audits | Realizar auditorias de acesso para identificar possíveis violações ou anomalias. | Relatórios de análise de métricas | Relatórios de auditoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Generate Performance Reports | Gerar relatórios de desempenho com base na análise e nas auditorias realizadas. | Relatórios de auditoria | Relatórios de desempenho | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 5 | Communicate Findings | Comunicar as descobertas e recomendações para as partes interessadas. | Relatórios de desempenho | Relatórios comunicados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Review and Optimize Access Control Processes
A revisão e otimização dos processos de controle de acesso são fundamentais para garantir que as medidas de segurança evoluam em resposta a novas ameaças e requisitos organizacionais.
Este processo envolve a análise dos resultados do monitoramento e auditorias para identificar áreas de melhoria.
As práticas de controle de acesso são então ajustadas para reforçar a segurança e melhorar a eficiência operacional.
Este processo também inclui a atualização das políticas de acesso, a realização de treinamentos regulares e a validação das novas práticas de segurança através de testes contínuos.
A otimização contínua garante que a organização esteja sempre preparada para proteger seus ativos contra acessos não autorizados.
- PDCA focus: Act
- Periodicidade: Trimestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Audit Findings | Analisar as descobertas das auditorias e do monitoramento de desempenho. | Relatórios de auditoria | Análise de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Identify Improvement Areas | Identificar áreas de melhoria nos processos de controle de acesso com base na análise. | Análise de descobertas | Lista de áreas de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Update Access Policies | Atualizar as políticas de acesso para incorporar as melhorias identificadas. | Lista de áreas de melhoria | Políticas de acesso atualizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Training Sessions | Realizar sessões de treinamento para assegurar que a equipe esteja familiarizada com as políticas atualizadas. | Políticas de acesso atualizadas | Sessões de treinamento realizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Validate Security Practices | Validar as práticas de segurança através de testes e auditorias contínuas. | Políticas de acesso atualizadas | Práticas validadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |