Uma empresa possui diversos sistemas que ao longo do tempo acumulam acessos. Estes acessos mal gerenciados acabam ficando ativos, porque as pessoas deixam as empresas mas seus usuários não são inativados.
Se você não tem possibilidade de implantar uma solução de gerenciamento de identidades deve começar organizando os processos e criando uma base de controle.
Esta base permitirá que ao desligar uma pessoa, você consiga obter todos acessos que a mesma possui e também no caso de uma auditoria responder rapidamente.
A manutenção desta base deve ser incluida nos fluxos de concessão e remoção de acesso.
A sugestão é que nesta base inclua a Matricula, CPF, Nome, Acessos dos usuários e os respectivos status.
Finalizando, com uma base desta, é possivel monitorar e descobrir concessões indevidas de acesso a sistemas.
Exemplo: Política de acesso remoto a rede
Segue um trecho de sugestão de política de acesso a rede corporativa:
Acesso via VPN pessoal
Acesso a VPN será permitido para colaboradores que possuírem notebook corporativo da XXXX.
Não será permitido o uso de VPN pessoal por prestadores de serviço, exceto situações de suporte de sistemas, previamente autorizadas pelo Diretor de TI.
Acesso via VPN corporativo
O acesso a VPN de forma corporativa onde um parceiro de negócios acessa a rede da XXX será apenas para situações onde existirá um contrato de prestação de serviços com termo de confidencialidade.
Todos os parceiros de negócio deverão passar por uma vistoria de segurança da informação e TI.
Não será permitido estabelecer uma comunicação VPN para fins de configuração de ambientes e outras atividades pontuais.
Assinar:
Postagens (Atom)