Parametrizações de segurança da informação recomendadas: Recursos de usuário
Abrangências
Abrangência é uma funcionalidade do sistema que permite restringir os dados aos quais os usuários tem acesso. Sua usabilidade aplica-se para gestores e colaboradores que só possam visualizar e manipular dados conforme sua hierarquia de liderança ou somente seu próprio registro.
Na implantação do sistema, cabe ao administrador ou pessoa responsável sempre criar os usuários/grupos de usuários e definir as abrangências para cada grupo e/ou usuário conforme necessidade. Deve-se dar atenção ao grupo Todos
Um usuário que não possui nenhuma abrangência definida, terá acesso aos dados de todos os usuários cadastrados no sistema.
Informações específicas para o Gestão de Pessoas | HCM
Para mais informações sobre o funcionamento das abrangências, acesse o manual da tela de definição de abrangências.
As abrangências ainda podem ser definidas por tipo, por módulo ou por perfil de usuário conforme consta na documentação.
Informações específicas para o Gestão Empresarial | ERP
No ERP, as abrangências não são configuradas através do SGU, mas sim, através da tela Cadastro de Abrangências de Usuário.
Permissões
Permissão é a funcionalidade que permite restringir o acesso do usuário a determinados recursos do sistema como telas, relatórios, módulos, rotinas entre outros.
Na implantação do sistema, cabe ao administrador ou pessoa responsável sempre definir as permissões para os grupos/usuários conforme necessidade.
Um usuário que não possui sua(s) permissão(ões) definidas, terá acesso a todos os recursos do sistema.
Para visualizar e configurar as permissões do sistema, acesse o conteúdo sobre permissões de acesso ao sistema e a documentação sobre a tela de Central de Segurança.
Ainda na implantação do sistema é necessário que o administrador leia a documentação e faça as configurações necessárias na tela Diversos > Usuários > Assinalamentos (FR000AUS) - onde há outras configurações sobre abrangências e permissões para usuários substitutos.
Políticas de segurança
Bloqueio da conta
Políticas de bloqueio de conta visam efetuar o bloqueio da conta do usuário após este ter realizado determinadas ações no sistema. Tal método visa barrar o acesso por força bruta por exemplo, onde podemos configurar para que após algumas tentativas mal sucedidas o usuário seja obrigado a contatar o setor administrativo para que o desbloqueio seja realizado.
Outra grande utilidade deste recurso é efetuar o bloqueio de uma conta que não realiza o login por um longo período de tempo. Esta ação visa mitigar o acesso a contas pouco utilizadas no caso de um vazamento de senhas por exemplo.
Acesse a documentação disponível em "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / SGU - Política de bloqueio de conta" para mais informações de configuração.
Duração da senha
Em um ambiente seguro é comum que os usuários realizem a troca de senha com certa frequência. Para que estas trocas sejam periódicas é possível realizar a configuração de uma Política de duração de senha, onde será especificado qual a validade da senha corrente e o que deve ocorrer caso a senha expire.
Acesse a documentação disponível em "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / Políticas de Senha / Duração das Senhas" para mais informações de configuração.
Política de senhas antigas
Em conjunto com a política de duração de senhas, que faz com que o usuário realize a troca periódica de senhas, é possível configurar uma Política de Histórico de senhas, para que o sistema grave o histórico das ultimas senhas utilizadas pelo usuário, impedindo que uma mesma senha seja utilizada de forma recorrente com uma curta frequência.
Acesse a documentação disponível em "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / Políticas de Senha / Controle de Senhas Antigas" para mais informações de configuração.
Formato da senha
Uma das políticas mais importantes em um ambiente computacional é a Política de formato de senhas. Estabelecer um padrão para senhas fortes no ambiente, principalmente para contas com permissões administrativas é imprescindível para elevar o nível de segurança dos sistemas.
Nesta política é possível configurar por exemplo a extensão da senha, quais caracteres a senha deve conter obrigatoriamente e em qual formato a senha deve ser criada. Alguns casos mais comuns de senhas, como nome de usuário ou caracteres em sequência, também podem ser evitados com a configuração desta política.
Acesse a docmentação disponível em "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / Políticas de Senha / Formato das Senhas" para mais informações de configuração.
Esquecimento e recuperação da senha
Em casos de perda ou esquecimento de senhas, é possível criar uma forma padrão para que os usuários tenham alguma ação de recuperação de suas senhas. Estas ações podem ser determinadas através da Política de recuperação de senhas, onde é possível determinar que um grupo de usuários podem solicitar uma nova senha, por e-mail, recuperar a senha por meio de perguntas de recuperação ou entrar em contato com o administrador do sistema.
Acesse a documentação disponível em "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / Políticas de Senha / SGU - Políticas de esquecimento de senhas" para mais informações de configuração.
Formato do nome
Para determinar um padrão para nomenclatura de usuários é possível configurar políticas específicas de formato de nome de usuário, que forçam que o usuário criado se adeque ao padrão pré-estabelecido pela política.
Acesse a documentação disponível em "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / Políticas de formato de nome de usuário" para mais informações de configuração.
Configurações básicas
Conta
Nos sistemas de arquitetura G5 todo o usuário é representado por meio de uma conta de sistema, onde é possível configurar suas propriedades básicas como login, nome e descrição, bem como configurar suas permissões e políticas que serão atríbuídas a ele.
Como a conta de usuário é a principal representação do usuário no sistema é extremamente importante atentarmos para suas políticas de senhas e acessos, bem como aos grupos nos quais a conta estará contida.
Mesmo em casos onde a autenticação é realizada por meio externo, como uma autenticação via LDAP, é necessário que as permissões específicas dos sistemas Senior sejam configuradas através do utilitário SGU (Gerenciador de Usuários Senior).
Grupos de acesso
Os Grupos de acessos nos sistemas Senior tem a finalidade de agrupar um conjunto comum de permissões para serem aplicadas a contas de usuários ou grupos menores de contas. Seu uso é estremamente importante para facilitar a manutenção de permissões de acordo com funções ou departamentos nos quais os usuários irão pertencer.
Grupos de acesso também podem ser utilizados para a configuração de abrangências de colaboradores no caso dos sistemas de Gestão de Pessoas e Ronda Acesso. Neste caso as abrangências de informações podem ser definidias diretamente nestes sistemas para grupos pré-configurados no SGU.
Para mais informações sobre como configurar Contas de usuário e Grupos de acesso, consulte a documentação disponível em: "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Arquivo / SGU - Propriedades do Usuário".
Usuário substituto
A nomeação de usuário substituto é uma funcionalidade do sistema que permite delegar as abrangências e permissões de um usuário para um outro usuário ativo do sistema.
Sua principal aplicabilidade é para gestores que serão afastados da organização por um determinado período onde será necessário repassar suas atribuições de uso no sistema para um outro gestor. Nesse período que for estipulado, o usuário substituto terá as mesmas permissões de acesso ao sistema do usuário substituído. Um exemplo prático é permitir realizar os acertos de ponto dos colaboradores do gestor substituído.
Informações específicas para o Gestão de Pessoas | HCM
Para utilizar de tal recurso, consulte a documentação da tela de nomear substituto e da tela de assinalamentos de usuários.
Informações específicas para o Gestão Empresarial | ERP
Já no ERP, a configuração é feita na tela Designar Substituto.
Token de segurança
Cada vez mais, sistemas que possuem serviços ou recursos publicados na Web podem sofrer roubo de informações ou até mesmo senhas. Para evitar que senhas sejam trafegadas em ações de autenticação nestes sistemas há a possibilidade da utilização de um Token de segurança, que substituí a senha do usuário.
Os sistemas Senior possuem o recurso de token de segurança, que ao ser configurado, é enviado em todas as chamadas de webservices e recursos Web, aumentando ainda mais a segurança da aplicação e oferendo uma maior proteção dos dados.
Para realizar a configuração deste recurso, confira a documentação disponível em: "Tecnologia / Manual de Instalação / Central de Configuração / Opções de segurança / Logon integrado com criptografia".
Integração com servidores de autenticação (Active Directory)
Nos sistemas Senior, é possível realizar a configuração para integrar os usuários presentes em um servidor de autenticação (Active Directory ou AD) e realizem a autenticação através dele. Esta integração é utilizada para simplificar a gestão de usuários, uma vez que utilizando a autenticação LDAP ou NTLM, as políticas de usuário e toda a gestão de segurança na questão de senhas e formatos de nomes ja é realizada pelo servidor AD, facilitando assim a gestão de segurança dos sistemas.
Ao utilizar a opção de integrar os usuários, o sistema Senior realiza o login diretamente no servidor AD configurado, respeitando as configurações de políticas determinadas neste servidor. A partir do login, toda a permissão do sistema Senior é seguida de acordo com o que foi configurado no Sistema de Gerenciamento de Usuários (SGU).
Para mais detalhes de como configurar a integração LDAP/NTLM, consulte nossa documentação disponível em: "Tecnologia / Manual de Instalação / Central de Configuração / Opções de segurança / LDAP e NTLM".
Período de acesso
Com a finalidade de realizar um maior controle de acesso aos sistemas Senior, é possível configurar alguns períodos da semana na qual os usuários comuns poderão acessar os sistemas. Desta forma, caso um usuário não esteja em um período autorizado por esta configuração, seu acesso ao sistema será negado.
A configuração permite que seja realizada individualmente para usuários ou para grupos de usuários, podendo oferecer por exemplo um controle de acesso por turnos ou setores aos sistemas.
Monitoramento de acesso ao sistema
Funcionalidade que permite uma visualização através de logs de todos os acessos ao sistema e manipulação de usuários como inclusão/alteração/exclusão.
Facilita ao administrador do sistema identificar quem acessou o sistema em determinado período a fim de identificar possíveis acessos não autorizados ou desconhecidos.
Acesse a documentação disponível em Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / Monitoraramento para mais informações de configuração.
Direitos gerais
Na configuração de permissões de usuários, existem direitos a nível administrativo no qual dizem respeito a permissão que determinado usuário ou grupo terá em uma ferramenta ou recurso dos sistemas Senior. Nesta configuração é possível determinar, por exemplo, se um usuário ou grupo será administrador do sistema ou acessar simultâneamente um mesmo aplicativo.
Para mais informações sobre como configurar Direitos gerais, consulte a documentação disponível em: "Tecnologia / Ferramentas de Apoio / Gerenciamento de Usuários / SGU / Segurança / Direitos Gerais".
English
Español
