Controle de acesso – Wikipédia, a enciclopédia livre

O termo controle de acesso^PB ou controlo de acesso^PE refere-se à prática de restringir o acesso a recursos — sejam eles físicos (propriedades, edifícios, salas) ou digitais (sistemas, arquivos, dados) — apenas a indivíduos ou entidades autorizadas. Em segurança, abrange desde soluções mecânicas, como fechaduras, até tecnologias avançadas, como biometria e sistemas baseados em nuvem, sendo essencial para proteger informações sensíveis, garantir conformidade regulatória e manter a integridade de sistemas.^[1]

Na segurança física

Na segurança física, o controle de acesso é implementado por meios humanos (guardas, recepcionistas), mecânicos (fechaduras, chaves) ou tecnológicos (cartões de proximidade, RFID, biometria). Exemplos incluem catracas em empresas e portas eletrônicas em condomínios, frequentemente integradas a softwares de registro.^[2]

Na segurança da informação

Na segurança da informação, o controle de acesso é um componente crítico que gerencia a interação entre sujeitos ativos (usuários, processos) e objetos passivos (arquivos, sistemas), baseado no modelo AAA: autenticação, autorização e auditoria (accounting).^[3]

Componentes do controle de acesso

Identificação e Autenticação: Identificação estabelece a identidade declarada (ex.: nome de usuário), enquanto autenticação a valida com credenciais (senhas, tokens, impressão digital). Métodos como autenticação multifator (MFA) e biometria (ex.: reconhecimento facial) são amplamente usados por sua segurança.^[4]
Autorização: Define os privilégios do usuário autenticado (ex.: leitura, escrita), guiada por políticas como o princípio do menor privilégio.^[5]
Auditoria (Accounting): Registra atividades para rastreamento e conformidade, podendo ser em tempo real ou batch, utilizando ferramentas como SIEM.^[6]

Tipos de controle de acesso

Controle de Acesso Discricionário (DAC): O proprietário define permissões, como em sistemas UNIX/Linux. É flexível, mas suscetível a erros.^[7]
Controle de Acesso Obrigatório (MAC): Políticas centralizadas baseadas em rótulos de sensibilidade, comuns em ambientes militares.^[8]
Controle de Acesso Baseado em Função (RBAC): Permissões vinculadas a papéis organizacionais.^[9]
Controle de Acesso Baseado em Atributos (ABAC): Usa atributos dinâmicos (ex.: horário, localização) para decisões granulares.^[10]

Importância do controle de acesso

Proteção de Dados: Evita acesso não autorizado, protegendo informações sensíveis.^[11]
Conformidade: Atende a regulamentações como a Lei Geral de Proteção de Dados (LGPD).^[12]
Redução de Riscos: Limita ameaças internas e externas.
Integridade: Garante a confiabilidade dos sistemas.

Telecomunicações

Em telecomunicações, o controle de acesso regula o uso de recursos (ex.: largura de banda) e restringe acesso a redes ou dispositivos de armazenamento.^[13]

Controle de acesso em política pública

Em política pública, é usado em sistemas confiáveis para segurança nacional ou controle social, combinando autorização e auditoria.^[14]

Controle de acesso na segurança eletrônica

Na segurança eletrônica, gerencia áreas restritas (ex.: centros de dados) com tecnologias como cartões de proximidade, biometria e senhas, integradas a sistemas de registro.^[15]

Implementação de políticas de controle de acesso

Definição de Funções: Mapear permissões conforme responsabilidades.^[16]
Autenticação Multifator (MFA): Adicionar camadas de segurança.^[17]
Monitoramento: Auditar acessos com ferramentas como SIEM.
Treinamento: Educar colaboradores sobre boas práticas.^[18]

Desafios e tendências

Desafios incluem gerenciar acessos em ambientes de nuvem e combater ataques como phishing. Tendências como inteligência artificial para autenticação comportamental e Zero Trust (nenhuma confiança por padrão) estão em ascensão.^[19]

Referências

↑ Stallings, William (2016). Cryptography and Network Security: Principles and Practice 7ª ed. [S.l.]: Pearson. pp. 15–20. ISBN 978-0134444284
↑ Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 120–130. ISBN 978-0750679671
↑ «NIST SP 800-53: Security and Privacy Controls for Information Systems» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025
↑ Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 45–60. ISBN 978-0750679671
↑ «ISO/IEC 27001: Information Security Management». International Organization for Standardization. 2022. Consultado em 20 de março de 2025
↑ Stallings, William (2016). Cryptography and Network Security: Principles and Practice 7ª ed. [S.l.]: Pearson. pp. 512–515. ISBN 978-0134444284
↑ Tanenbaum, Andrew S. (2014). Modern Operating Systems 4ª ed. [S.l.]: Pearson. pp. 621–625. ISBN 978-0133591620
↑ Denning, Dorothy E. (1976). «A Lattice Model of Secure Information Flow». Communications of the ACM. 19 (5): 236-243. doi:10.1145/360051.360056
↑ Sandhu, Ravi (1996). «Role-Based Access Control Models». IEEE Computer. 29 (2): 38-47. doi:10.1109/2.485845
↑ «NIST SP 800-162: Guide to Attribute Based Access Control (ABAC)» (PDF). National Institute of Standards and Technology. 2014. Consultado em 20 de março de 2025
↑ Stallings, William (2016). Cryptography and Network Security: Principles and Practice 7ª ed. [S.l.]: Pearson. pp. 15–20. ISBN 978-0134444284
↑ «Lei Geral de Proteção de Dados (LGPD)». Planalto. 2018. Consultado em 20 de março de 2025
↑ Rappaport, Theodore S. (2001). Wireless Communications: Principles and Practice 2ª ed. [S.l.]: Prentice Hall. pp. 312–315. ISBN 978-0130422323
↑ «NIST SP 800-53: Security and Privacy Controls for Information Systems» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025
↑ Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 120–130. ISBN 978-0750679671
↑ «NIST SP 800-53: Security and Privacy Controls for Information Systems» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025
↑ Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 75–80. ISBN 978-0750679671
↑ Adams, Anne (1999). «Users Are Not the Enemy». Communications of the ACM. 42 (12): 40-46. doi:10.1145/322796.322806
↑ «NIST SP 800-207: Zero Trust Architecture» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025

Ver também

[1] Stallings, William (2016). Cryptography and Network Security: Principles and Practice 7ª ed. [S.l.]: Pearson. pp. 15–20. ISBN 978-0134444284

[2] Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 120–130. ISBN 978-0750679671

[3] «NIST SP 800-53: Security and Privacy Controls for Information Systems» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025

[4] Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 45–60. ISBN 978-0750679671

[5] «ISO/IEC 27001: Information Security Management». International Organization for Standardization. 2022. Consultado em 20 de março de 2025

[6] Stallings, William (2016). Cryptography and Network Security: Principles and Practice 7ª ed. [S.l.]: Pearson. pp. 512–515. ISBN 978-0134444284

[7] Tanenbaum, Andrew S. (2014). Modern Operating Systems 4ª ed. [S.l.]: Pearson. pp. 621–625. ISBN 978-0133591620

[8] Denning, Dorothy E. (1976). «A Lattice Model of Secure Information Flow». Communications of the ACM. 19 (5): 236-243. doi:10.1145/360051.360056

[9] Sandhu, Ravi (1996). «Role-Based Access Control Models». IEEE Computer. 29 (2): 38-47. doi:10.1109/2.485845

[10] «NIST SP 800-162: Guide to Attribute Based Access Control (ABAC)» (PDF). National Institute of Standards and Technology. 2014. Consultado em 20 de março de 2025

[11] Stallings, William (2016). Cryptography and Network Security: Principles and Practice 7ª ed. [S.l.]: Pearson. pp. 15–20. ISBN 978-0134444284

[12] «Lei Geral de Proteção de Dados (LGPD)». Planalto. 2018. Consultado em 20 de março de 2025

[13] Rappaport, Theodore S. (2001). Wireless Communications: Principles and Practice 2ª ed. [S.l.]: Prentice Hall. pp. 312–315. ISBN 978-0130422323

[14] «NIST SP 800-53: Security and Privacy Controls for Information Systems» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025

[15] Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 120–130. ISBN 978-0750679671

[16] «NIST SP 800-53: Security and Privacy Controls for Information Systems» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025

[17] Vacca, John R. (2007). Biometric Technologies and Verification Systems. [S.l.]: Elsevier. pp. 75–80. ISBN 978-0750679671

[18] Adams, Anne (1999). «Users Are Not the Enemy». Communications of the ACM. 42 (12): 40-46. doi:10.1145/322796.322806

[19] «NIST SP 800-207: Zero Trust Architecture» (PDF). National Institute of Standards and Technology. 2020. Consultado em 20 de março de 2025

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]