Quando usar uma matriz de controle de acesso
Você marcou uma reunião com um representante de recursos humanos (RH) para discutir vários membros da equipe que estão sendo considerados para uma promoção. Durante a reunião, informações pessoais sensíveis e confidenciais foram compartilhadas. Mostrando alguma preocupação, o gerente de RH garantiu a todos que as informações serão protegidas e permanecerão seguras.
Um registro digital foi preparado documentando cada ponto de discussão, incluindo realizações, as datas, horários, locais aplicáveis e a identidade dos responsáveis. Além disso, registros históricos de apresentações anteriores dos mesmos indivíduos foram compartilhados com os membros presentes.
Neste exemplo, todos têm o direito de esperar a confidencialidade e ter a garantia de que as informações serão protegidas, exceto para aqueles que precisam saber. Portanto, torna-se a principal responsabilidade do gerente de RH garantir a integridade de todos os registros associados. Para conseguir isso, o gerente de RH implementou um conjunto confiável de diretrizes de segurança de controle de acesso.
O que é uma matriz de controle de acesso?
O acesso a qualquer tipo de informação é regulado por organizações que possuem controles de acesso físicos ou lógicos, algumas organizações oferecendo ambos.
- Os controles físicos estão presentes para evitar que uma pessoa entre em espaços de escritórios, edifícios ou estruturas.
- Os controles lógicos são projetados para limitar o acesso eletrônico a uma rede, um computador, arquivos digitais e dados armazenados.
Para o propósito desta lição, vamos nos concentrar nos controles lógicos de acesso, um dos quais é uma matriz de controle de acesso .
Uma matriz de controle de acesso é um único arquivo digital ou registro escrito com ‘sujeitos’ e ‘objetos’ e identifica quais ações, se houver, são permitidas por indivíduos. Em termos simples, a matriz permite que apenas certas pessoas (sujeitos) acessem certas informações (objetos).
Conforme mostrado nesta tabela, a matriz consiste em um ou mais assuntos (ou pessoas) ao longo de um eixo e os objetos associados (ou arquivos) ao longo do outro eixo. Certas pessoas têm permissão para ler (R), gravar (W), executar (E) e excluir (D) arquivos. O acesso restrito é indicado por um traço.
| Registros de RH | Gary | Sandy | Tonya | Robyn | Samantha |
|---|---|---|---|---|---|
| Arquivos de salários | RWED | R – ED | – – – – | RWED | RWED |
| Lista de Promoção | – – – D | R – E – | RWED | RWED | – – – – |
| Relatórios de Desempenho | RWED | RW – D | – – – – | – – – – | RWE – |
Por exemplo, você pode ver que Gary tem permissão para excluir a lista de promoção, enquanto Sandy tem permissão para lê-la ou executá-la. Tonya tem acesso total, enquanto Samantha não tem acesso algum.
Matriz de controle de acesso explicada
Ao configurar os controles de acesso, o administrador do sistema deve aderir a três princípios básicos:
- Disponibilidade – o que significa que o acesso é concedido quando necessário por indivíduos autorizados
- Integridade – o que significa que as informações são consideradas autênticas, precisas e confiáveis
- Confidencialidade – o que significa que as informações são protegidas contra acesso não autorizado e divulgação
Modelos de controle de acesso
Muitas vezes durante o dia, seja na escola, em casa ou no trabalho, somos confrontados com decisões que envolvem compartilhar informações com outras pessoas. Independentemente de quais sejam as informações, devemos decidir quem deve ter acesso a elas e quem não deve. Felizmente para nós, aprendemos recentemente sobre quatro modelos de controle de acesso que podemos aplicar como diretrizes para decidir quem deve ou não ter acesso. Vamos examinar cada um desses modelos individualmente e ver qual se aplica à nossa situação atual.
- Modelo de controle de acesso obrigatório: sabemos que somos os únicos indivíduos autorizados a acessar as informações, portanto, o compartilhamento não é permitido.
- Modelo de acesso baseado em função: este modelo é mais fácil de aplicar porque o acesso pode ser concedido com base no trabalho ou atividade que um indivíduo executa. Por exemplo, se um indivíduo requer acesso extensivo às informações para realizar seu trabalho, podemos conceder acesso total, permitindo que ele leia, escreva, execute e exclua (RWED). Caso contrário, podemos limitar ou negar o acesso conforme necessário.
- Modelo de controle de acesso discricionário: Este modelo é um tanto restritivo porque apenas o indivíduo que cria as informações tem acesso permitido.
- Modelo de controle de acesso baseado em regras: Este modelo aplica regras pré-estabelecidas que regem o acesso. Portanto, lemos a regra, se a regra permite acesso, o acesso é concedido; se a regra não se aplicar, o acesso é negado.
Resumo da lição
Uma matriz de controle de acesso é um arquivo simples usado para restringir ou permitir o acesso a usuários específicos. Ler, gravar, executar e excluir são definidos como restrições de segurança. Os princípios de segurança principais são disponibilidade, integridade e confidencialidade, e os modelos de controle são de acesso obrigatório, baseado em função, discricionário e baseado em regras.