PRJ-SI-002 — Gestão de Identidade e Acesso
Status: Em andamento Prioridade: Alta Responsável: Setor de TI · Setor de SI · RH Normativa: NR.SI.001 - Gestão de Identidade e Controle de Acesso · PSI - Política de Segurança da Informação Art. 23–27
Infraestrutura de Autenticação
Os principais sistemas da Fortes Sertão Central utilizam autenticação via Google Workspace, administrado pela Fortes Tecnologia (matriz). A unidade não administra diretamente o Google Workspace — a interlocução é feita pelo SI da unidade, pela Diretoria ou por gestores autorizados, via
ti.chamado@fortestecnologia.com.br.
Objetivo
Operacionalizar o ciclo completo de identidade digital dos colaboradores da Fortes Sertão Central: criação de conta Google Workspace na admissão, manutenção durante o vínculo, revisão periódica e revogação imediata no desligamento.
Processo 1 — Onboarding (Admissão)
RH formaliza admissão
↓
RH comunica TI + SI + Gestor da área
↓
Líder da área abre ticket: ti.chamado@fortestecnologia.com.br
→ informa: nome, cargo, área, sistemas necessários
↓
Gestor da Informação aprova os acessos setoriais
↓
SI cria conta no Google Workspace (formato: prenome.sobrenome)
SI cria conta de e-mail corporativo
↓
TI entrega credencial temporária ao colaborador
↓
Colaborador troca senha no primeiro acesso
→ Mínimo 8 caracteres · 1 número · 1 letra · 1 especial
↓
Registrar data e acessos concedidos no controle de perfis (TI)
Processo 2 — Manutenção Durante o Vínculo
| Evento | Ação | Responsável |
|---|---|---|
| Mudança de função/área | Revogar acessos antigos; solicitar novos via ticket | Gestor da área + TI/SI |
| Senha expirada (60 dias) | Sistema bloqueia; colaborador solicita reset ao TI | TI |
| 5 erros consecutivos de senha | Credencial bloqueada automaticamente; contatar TI | TI |
| 45 dias de inatividade | Credencial desabilitada; verificar se vínculo persiste | SI |
| Suspeita de comprometimento | Trocar senha imediatamente; comunicar TI | Colaborador → TI → SI |
Processo 3 — Offboarding (Desligamento)
RH formaliza desligamento
↓
RH comunica TI + SI + Gestor da área IMEDIATAMENTE
↓
SI solicita desativação da conta Google Workspace à Fortes Tecnologia
SI revoga acessos locais da unidade · grupos
TI configura bloqueio no Firewall local · encerra acesso físico · pastas compartilhadas
Gestor desabilita: sistemas setoriais da área
↓
Prazo máximo: no ato do desligamento
Exceção: até 15 dias com autorização expressa da Diretoria
↓
Registrar data e hora da revogação no controle de perfis
Processo 4 — Revisão Periódica de Acessos
- Frequência recomendada: trimestral
- Responsável: SI com apoio dos Gestores de área
- Objetivo: identificar acessos obsoletos, excessivos ou inconsistentes com o cargo atual
| Verificação | Critério |
|---|---|
| Usuários inativos | Sem acesso há mais de 45 dias |
| Permissões excessivas | Acesso a sistemas além do necessário para o cargo |
| Contas sem proprietário | Usuários sem vínculo ativo correspondente |
| Contas de terceiros vencidas | Prazo de acesso expirado sem revogação |
Checklist de Aderência
| Item | Obrigação | Status |
|---|---|---|
| Fluxo de criação de usuário documentado e seguido | NR.SI.001 §3.5 | ⬜ Pendente |
| RH comunica desligamentos imediatamente ao TI/SI | NR.SI.001 §3.4 | ⬜ Pendente |
| Controle de perfis de acesso mantido pelo TI | NR.SI.001 §4.1 | ⬜ Pendente |
| Senhas trocadas no primeiro acesso | NR.SI.001 §4.6 | ⬜ Pendente |
| Revisão periódica de acessos realizada | PSI Art. 22 | ⬜ Pendente |
| Nenhuma senha compartilhada entre colaboradores | NR.SI.001 §4.5 | ⬜ Pendente |
| Contas de terceiros com prazo definido | NR.SI.003 | ⬜ Pendente |
Pontos de Atenção — Fortes Sertão Central
- Com 23 colaboradores + estagiários, o controle de perfis ainda é informal — prioridade imediata
- Momento de renovação do quadro aumenta risco de acessos fantasmas de ex-colaboradores
- Verificar se há ex-colaboradores com acessos ainda ativos — varredura inicial necessária