Como este tema funciona na sua empresa
Política de acesso físico define quem pode acessar quais áreas da empresa, como acesso é documentado, quem aprova, como é auditado, e qual é a consequência de desvios. Diferencia-se de procedimento operacional (que diz "como fazer") ao estabelecer princípios, responsabilidades, e critérios de decisão. Uma política bem estruturada reduz riscos de roubo, sabotagem, e acesso não autorizado a equipamentos críticos ou dados[1].
Escopo e princípios de acesso físico
Escopo deve ser claro: aplica-se a todas as áreas da empresa, a funcionários, visitantes, terceiros, parceiros. Princípios-base: (1) Menor privilégio: pessoa acessa apenas o necessário para fazer seu trabalho. (2) Necessidade de negócio: acesso justificado por função. (3) Segregação de funções: quem solicita, quem aprova, quem provisiona, quem audita — papéis distintos. (4) Rastreabilidade: cada acesso é documentado (quem, quando, onde). (5) Exceções formalizadas: acesso emergencial deve ter processo claro para autorização rápida mas documentada.
Classificação de áreas e níveis de acesso
Não todas as áreas têm o mesmo risco. Matriz de áreas por criticidade: Público: recepção, sala de espera (acesso livre). Restrito: escritórios, salas de reunião (funcionários). Crítico: servidor room, sala de backup (TI autorizado). Ultra-crítico: cofre de chaves, HSM (muito poucas pessoas). Política deve mapear cada área e quem tem acesso natural (por papel).
Ciclo de vida de acesso: solicitação à revogação
Solicitação: gestor solicita acesso para novo funcionário, especificando áreas necessárias. Aprovação: dono da área aprova (ou nega com justificativa). Provisionamento: TI física (badging, chaves) provisiona acesso. Comunicação: funcionário é comunicado de que tem acesso. Revisão periódica: a cada 6 meses, gestor certifica que acesso ainda é necessário. Revogação: quando funcionário sai, transfere, ou acesso não é mais necessário, acesso é imediatamente revogado (cartão cancelado, chaves recolhidas).
Ponto crítico: desprovisioning. Muitos acessos sobrevivem indefinidamente porque "esquecemos de revogar".
Exceções e acesso emergencial
Política muito restritiva cria "shadow access" (acessos não documentados). Melhor: processo claro para exceção. Acesso emergencial: funcionário X precisa acessar servidor room às 22h para resolver incidente (fora de horário). Processo: (1) requisição explícita ao on-call manager, (2) aprovação verbal documentada em email, (3) acesso é concedido temporariamente (4h), (4) acesso é revogado, (5) auditado retroativamente.
Violações e enforcement
O que acontece se alguém acessa área não autorizada? Política deve deixar claro: investigação, possível disciplina (advertência, desligamento conforme severidade), auditoria de o que foi acessado. Sem enforcement claro, política é ignorada.
- Nenhuma política documentada ou desatualizada há 2+ anos
- Funcionários "sabem" quem tem acesso onde, mas não está documentado
- Acesso para ex-funcionário não foi revogado
- Falta de auditoria de acesso (quem entrou server room ontem?)
- Violações são ignoradas por falta de enforcement claro
Implementação
Pequena: Documente em word/pdf. Áreas, regras, processo de solicitação, responsável. Assinado. Anual.
Média: Sistema manual ou simplificado (planilha rastreada). Matriz de acesso. Revisão semestral.
Grande: Ferramenta de gestão de acesso centralizada. Integração com RH (admissão/desligamento). Auditoria automática.
Consultoria
Estruturação: Consultoria de compliance pode desenhar política customizada.
Ferramenta: Fornecedores de badging/acesso físico oferecem templates de política.
Perguntas frequentes
Quais são as seções essenciais de uma política?
Escopo, princípios, classificação de áreas, processo de solicitação/aprovação, revisão periódica, revogação, exceções, enforcement.
Como definir níveis de acesso?
Matriz de áreas (público, restrito, crítico, ultra-crítico) × papéis/departamentos. Quem naturalmente tem acesso a cada nível?
Como documentar e auditar?
Sistema de badging registra quem entrou/saiu e quando. Revisão periódica valida que acesso ainda é apropriado. Auditoria retroativa em caso de incidente.
O que fazer com acesso de terceiros?
Política deve cobrir fornecedores, consultores, visitantes. Acompanhamento obrigatório (eles não andam sozinhos). Acesso temporário com data de expiração.
Como enforcer política?
Violações têm consequência clara (investigação, disciplina). Sem enforcement, política é ignorada. Deixe explícito no documento.
Qual é o diferença entre política e procedimento?
Política: "o quê" e "por quê" (princípios, responsabilidades). Procedimento: "como fazer" passo-a-passo. Ambas necessárias.