O que é gestão de acessos
"A gestão de acessos é a prática que garante que os utilizadores recebem o nível certo de acesso aos sistemas, dados e serviços de TI de que necessitam para desempenhar as suas funções, e que esse acesso é gerido ao longo de todo o seu ciclo de vida."
O propósito da gestão de acessos é garantir que a informação certa está disponível para as pessoas certas, no momento certo, e que não está disponível para mais ninguém. Esta formulação aparentemente simples encerra um desafio operacional significativo: as organizações têm dezenas, centenas ou milhares de utilizadores, cada um com perfis de acesso distintos, e esses perfis mudam continuamente à medida que as pessoas mudam de funções, projectos ou saem da organização.
Na terminologia ITIL 4, a gestão de acessos é uma prática de gestão técnica que suporta directamente a confidencialidade e integridade dos serviços. Articula-se com outras práticas como gestão de riscos de TI, gestão de segurança da informação e gestão de incidentes.
Gestão de identidades e acessos (IAM)
O termo mais abrangente é IAM (Identity and Access Management), que engloba tanto a gestão de identidades (quem é o utilizador, que atributos tem, a que grupos pertence) como a gestão de acessos (a que recursos pode aceder). Uma solução de IAM madura inclui:
- Directório de identidades (ex: Active Directory, Azure AD, Okta): repositório central de utilizadores, grupos e atributos
- Provisionamento automatizado: criação, modificação e eliminação de contas baseada em eventos do ciclo de vida do colaborador
- Single Sign-On (SSO): autenticação única para acesso a múltiplos sistemas sem múltiplos logins
- Gestão de acessos privilegiados (PAM): controlo reforçado para contas de administrador e contas de serviço
- Revisões de acessos: certificação periódica de que os acessos atribuídos ainda são necessários e adequados
Sem uma abordagem estruturada de IAM, as organizações acumulam progressivamente acessos excessivos, contas órfãs e lacunas de visibilidade que se tornam vetores de ataque ou fontes de violações de dados.
A tríade CIA
A gestão de acessos fundamenta-se na tríade CIA da segurança da informação: Confidencialidade, Integridade e Disponibilidade. Estes três pilares, definidos pela ISO 27001 como os objectivos centrais de qualquer sistema de gestão de segurança da informação, são directamente suportados por controlos de acesso adequados.
| Pilar | O que protege | Ameaça típica | Controlo de acesso relevante |
|---|---|---|---|
| Confidencialidade | A informação só é acessível a quem tem autorização | Acesso não autorizado a dados, exfiltração de dados, exposição acidental | Princípio do menor privilégio, RBAC, MFA, encriptação em repouso |
| Integridade | A informação é exacta e não foi alterada de forma não autorizada | Modificação não autorizada de dados, injecção de dados fraudulentos | Separação de funções, controlo de versões, logs de auditoria de alterações |
| Disponibilidade | A informação e os sistemas estão acessíveis quando necessários | Bloqueio de contas, negação de serviço, falhas de autenticação | Procedimentos de reset de contas, autenticação resiliente, acesso de emergência |
Um erro comum na gestão de acessos é focar apenas na confidencialidade, esquecendo que controlos demasiado restritivos podem comprometer a disponibilidade. Um sistema de acesso que bloqueia utilizadores legítimos com frequência gera pressão para criar excepções ou partilhar credenciais, o que acaba por comprometer a confidencialidade.
"Os controlos de acesso devem equilibrar os três pilares da CIA. Medidas que maximizam a confidencialidade ao custo da disponibilidade criam pressão para contornar os próprios controlos."
Princípio do menor privilégio
O princípio do menor privilégio (Least Privilege Principle) estabelece que cada utilizador, processo ou sistema deve ter apenas as permissões mínimas necessárias para desempenhar as suas funções, e nenhuma mais. É o fundamento operacional da gestão de acessos segura.
Como implementar o menor privilégio na prática
- Mapeamento de funções para permissões: antes de atribuir acessos, documentar o que cada função realmente necessita para trabalhar. Este exercício frequentemente revela que os acessos históricos foram acumulando permissões que nunca foram necessárias.
- Acesso temporário para tarefas específicas: quando um utilizador precisa de acesso elevado para uma tarefa pontual (ex: uma migração de dados), o acesso deve ser concedido com prazo de validade e revogado automaticamente no fim.
- Separação de funções (Segregation of Duties): tarefas críticas devem ser divididas por dois ou mais utilizadores para que nenhum tenha controlo unilateral sobre um processo completo. Um utilizador que cria fornecedores no ERP não deve ser o mesmo que autoriza pagamentos.
- Contas de administrador separadas das contas de uso diário: os administradores de sistemas devem ter uma conta standard para o trabalho quotidiano e uma conta de admin separada, usada apenas quando necessário e sempre auditada.
- Revisões periódicas: as permissões acumulam-se ao longo do tempo. Revisões regulares permitem identificar e remover acessos que já não são necessários.
O problema do "acesso a mais para não voltar a pedir"
Uma das maiores fontes de violação do menor privilégio é cultural. Quando o processo de pedido de acesso é moroso ou burocrático, os utilizadores e gestores tendem a pedir mais acessos do que o necessário para evitar ter de repetir o processo mais tarde. A solução não é flexibilizar os controlos, mas tornar o processo de pedido e aprovação suficientemente ágil para que solicitar um acesso adicional seja mais fácil do que manter privilégios desnecessários.
A gestão de riscos de TI deve incluir os riscos associados a privilégios excessivos na sua avaliação periódica, quantificando o impacto potencial de uma conta com demasiadas permissões ser comprometida.
Modelos de controlo de acessos
Existem quatro modelos principais de controlo de acessos, cada um com características, vantagens e contextos de aplicação distintos. A escolha do modelo (ou combinação de modelos) depende da complexidade da organização, dos requisitos regulatórios e da granularidade de controlo necessária.
As permissões são atribuídas a papéis (roles) e os utilizadores são associados a um ou mais papéis. Todos os utilizadores com o mesmo papel têm os mesmos acessos. A gestão é feita ao nível do papel, não do utilizador individual. É o modelo mais adoptado em organizações de média e grande dimensão pela sua simplicidade operacional.
Ideal para: ERP, sistemas de RH, ferramentas de colaboração, qualquer sistema com perfis de utilizador bem definidos.
As decisões de acesso baseiam-se em múltiplos atributos: atributos do utilizador (cargo, departamento, localização), atributos do recurso (classificação da informação, proprietário), atributos do contexto (hora do dia, rede de origem, dispositivo). Permite políticas de acesso muito granulares e dinâmicas, mas exige maior maturidade de implementação.
Ideal para: ambientes cloud, sistemas com dados de múltipla sensibilidade, acesso baseado em localização geográfica, Zero Trust Architecture.
Os acessos são determinados pelo sistema com base em classificações de segurança atribuídas tanto aos utilizadores (clearance) como aos recursos (classification). Os utilizadores não podem alterar as permissões dos recursos, mesmo que sejam os proprietários. É o modelo mais rígido e é predominante em contextos de segurança governamental e militar.
Ideal para: organizações governamentais, defesa, serviços de informações, sistemas com requisitos estritos de classificação de informação.
O proprietário do recurso controla quem pode aceder ao mesmo e com que permissões. É o modelo mais flexível e o menos seguro para ambientes empresariais, porque a segurança depende das decisões de cada proprietário de recurso. Presente em sistemas de ficheiros tradicionais onde o dono de um ficheiro decide quem pode ler ou editar.
Ideal para: ambientes de desenvolvimento, partilha colaborativa de ficheiros, contextos onde a flexibilidade supera a necessidade de controlo centralizado.
Qual modelo escolher?
A maioria das organizações combina modelos: RBAC para os sistemas de negócio centrais, com elementos de ABAC para casos de uso específicos que exigem maior contexto (ex: permitir acesso a dados de clientes apenas durante o horário de trabalho ou a partir da rede corporativa). O MAC é reservado para contextos com requisitos regulatórios específicos. O DAC tende a ser evitado em sistemas críticos pela imprevisibilidade que introduz.
A migração de DAC para RBAC é frequentemente uma das primeiras acções de melhoria de maturidade em organizações que estão a estruturar a sua gestão de acessos.
Ciclo de vida dos acessos: joiners, movers e leavers
O ciclo de vida dos acessos acompanha as mudanças na relação do utilizador com a organização. O processo é estruturado em três momentos críticos, conhecidos pela designação joiners, movers e leavers.
Joiners: provisionamento de novos utilizadores
Quando um colaborador, prestador de serviços ou parceiro inicia a sua relação com a organização, é necessário criar as suas contas e atribuir os acessos correspondentes à sua função. O processo deve ser desencadeado por eventos no sistema de RH (contratação, início de contrato) e incluir aprovação pelo gestor directo. O objectivo é que o utilizador tenha acesso ao que precisa no primeiro dia, sem acessos desnecessários. A integração entre RH e TI é crítica para este processo funcionar com agilidade.
Movers: revisão de acessos por mudança de função
Quando um colaborador muda de cargo, departamento ou projecto, os seus acessos devem ser revistos: remover os que já não são necessários na nova função e adicionar os que a nova função requer. Este passo é frequentemente negligenciado, levando à acumulação progressiva de privilégios — um colaborador que passou por três departamentos pode ter acessos a sistemas de todos eles, mesmo que só precise dos do departamento actual. O princípio do menor privilégio exige que os acessos antigos sejam revogados.
Leavers: revogação imediata de acessos
Quando um colaborador sai da organização, todos os seus acessos devem ser revogados imediatamente, preferencialmente no momento da saída ou mesmo antes (em casos de demissão por justa causa ou suspeita de insider threat). Contas não revogadas são contas órfãs que representam um risco directo de acesso não autorizado. A integração automatizada com RH é a melhor forma de garantir que nenhuma saída passa sem revogação de acessos. A resposta a incidentes de segurança por acesso indevido começa frequentemente pela investigação de contas de ex-colaboradores.
Contas órfãs: o risco silencioso
Uma conta órfã é uma conta de utilizador activa sem um utilizador legítimo associado: ex-colaboradores, prestadores cujo contrato terminou, contas criadas para projectos que já acabaram. As contas órfãs são um dos principais vetores de acesso não autorizado porque existem sem que ninguém as monitorize ou utilize de forma legítima, mas mantêm credenciais válidas que podem ser comprometidas.
A detecção de contas órfãs requer correlação entre o directório de identidades (Active Directory, Azure AD) e o sistema de RH. Contas cujos utilizadores já não constam no RH como activos devem ser automaticamente desactivadas e incluídas numa auditoria antes de eliminação definitiva.
Revisões periódicas de acessos
Mesmo com o processo de joiners/movers/leavers bem implementado, é necessário realizar revisões periódicas de acessos. Os gestores de cada área devem confirmar regularmente que os acessos dos seus colaboradores são adequados e necessários. A frequência recomendada varia: trimestral para sistemas críticos, semestral para sistemas de negócio, anual para sistemas de suporte. Para contas privilegiadas, a revisão deve ser trimestral no mínimo.
O alinhamento com o RGPD e privacidade de dados é directo: acessos desnecessários a dados pessoais constituem uma violação do princípio da minimização de dados, mesmo que não resultem em utilização abusiva.
Autenticação multifactor (MFA)
A autenticação multifactor (MFA) exige que o utilizador prove a sua identidade através de dois ou mais factores de natureza diferente. A lógica é simples: mesmo que um atacante comprometa um factor (por exemplo, a password), sem acesso ao segundo factor não consegue autenticar.
Os três factores de autenticação
- Algo que se sabe: password, PIN, resposta a questão de segurança. É o factor mais fraco porque pode ser roubado, adivinhado ou exposto em data breaches.
- Algo que se tem: dispositivo físico (telemóvel com app de autenticação, token de hardware, cartão inteligente). Exige posse física do dispositivo.
- Algo que se é: dados biométricos (impressão digital, reconhecimento facial, voz). Mais difícil de falsificar mas levanta questões de privacidade e de protecção de dados biométricos ao abrigo do RGPD.
Modalidades de MFA mais comuns
- TOTP (Time-based One-Time Password): código de 6 dígitos gerado por uma app (Microsoft Authenticator, Google Authenticator, Authy) que muda a cada 30 segundos. É o segundo factor mais adoptado em contexto empresarial.
- Push notification: o utilizador aprova o login numa notificação enviada para o telemóvel. Conveniente mas vulnerável a ataques de fadiga de MFA (MFA fatigue), em que o atacante envia múltiplas notificações até o utilizador aprovar por engano ou exasperação.
- FIDO2 / Passkeys: standard moderno baseado em criptografia de chave pública. O utilizador autentica com biometria local no dispositivo, que assina criptograficamente o desafio de autenticação. Resistente a phishing e considerado o futuro da autenticação.
- Token de hardware (FIDO U2F): dispositivo físico (ex: YubiKey) que se liga por USB ou NFC. Solução mais segura para contas de alto risco como administradores de sistemas.
MFA e o requisito NIS2
A Directiva NIS2 (2022/2555/UE), que Portugal transpôs para a legislação nacional, estabelece no Artigo 21 que as entidades essenciais e importantes devem implementar medidas técnicas que incluam autenticação multifactor ou autenticação contínua, onde aplicável. Para gestores de TI de organizações abrangidas pela NIS2, a implementação de MFA deixou de ser uma recomendação e passou a ser uma obrigação legal com potenciais consequências de coima por incumprimento.
"As entidades essenciais e importantes devem tomar medidas técnicas e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação. Essas medidas incluem a utilização de autenticação multifactor ou autenticação contínua, soluções de comunicações de voz, vídeo e texto seguras e sistemas de comunicação de emergência seguros."
Implementação progressiva de MFA
Implementar MFA em toda a organização de uma vez pode gerar resistência e problemas operacionais. A abordagem recomendada é por prioridade de risco:
- Contas de administrador e contas privilegiadas — primeiro e sem excepções
- Acesso remoto (VPN, RDP, acesso a sistemas na cloud)
- Sistemas com dados sensíveis (RH, financeiro, dados de clientes)
- Email e ferramentas de produtividade (Microsoft 365, Google Workspace)
- Todos os restantes sistemas de negócio
Gestão de acessos privilegiados (PAM)
A gestão de acessos privilegiados (PAM, Privileged Access Management) é o conjunto de controlos específicos para gerir contas com permissões elevadas: administradores de sistemas operativos, DBAs (administradores de bases de dados), administradores de rede, contas de serviço e contas de aplicação.
As contas privilegiadas representam o risco mais elevado em qualquer ambiente de TI. Se comprometidas, permitem ao atacante aceder, modificar ou exfiltrar qualquer dado no sistema. Não por acaso, a maioria dos ataques avançados (APT) tem como objectivo escalar privilégios e comprometer contas de administrador.
Componentes de uma solução PAM
- Cofre de credenciais (Vault): repositório encriptado onde as passwords das contas privilegiadas são armazenadas. Os administradores não conhecem as passwords directamente; acedem ao sistema através do cofre, que autentica e faz o check-out da credencial pelo tempo necessário.
- Rotação automática de passwords: as passwords das contas privilegiadas são alteradas automaticamente após cada utilização ou periodicamente, eliminando o risco de reutilização de credenciais comprometidas.
- Gravação de sessões: as sessões de administração são gravadas para fins de auditoria. Qualquer acção realizada com uma conta privilegiada fica registada e pode ser auditada.
- Acesso just-in-time (JIT): os privilégios são concedidos apenas quando necessários e por um período limitado, em vez de estarem permanentemente atribuídos. Um administrador que precisa de fazer uma manutenção numa janela de 2 horas recebe acesso privilegiado por esse período específico.
- Contas de serviço geridas: as contas de serviço utilizadas por aplicações e processos automatizados são geridas pelo PAM, com rotação automática de credenciais sem intervenção humana.
Quando implementar PAM?
O PAM não é uma solução para todas as organizações de forma imediata. A decisão de implementação deve considerar o número de contas privilegiadas existentes, a criticidade dos sistemas geridos, os requisitos regulatórios (ISO 27001 Anexo A.9, NIS2), e a capacidade da equipa de TI para gerir a solução. Para organizações com múltiplos sistemas críticos e prestadores externos com acesso de administrador, o PAM é uma prioridade alta.
Ferramentas de PAM comuns no mercado incluem CyberArk, BeyondTrust, Delinea (antiga Thycotic), Securden e HashiCorp Vault para contextos cloud-native.
Alinhamento com ISO 27001 e NIS2
A gestão de acessos é um dos domínios mais regulados tanto pela ISO 27001 como pela NIS2. Compreender os requisitos específicos de cada framework ajuda a estruturar um programa de gestão de acessos que cumpre múltiplos requisitos com um único conjunto de controlos.
ISO 27001 Anexo A.9: controlo de acessos
O Anexo A da ISO 27001:2022 define os controlos de segurança. O tema 5 (anteriormente Secção 9 na versão 2013) cobre o controlo de acessos com os seguintes controlos principais:
| Controlo ISO 27001:2022 | Descrição | Como implementar |
|---|---|---|
| A.5.15 Controlo de acessos | Regras para controlo de acesso a activos de informação | Política de controlo de acessos documentada, baseada em necessidade de saber |
| A.5.16 Gestão de identidades | Ciclo de vida completo das identidades | Processo de provisionamento, revisão e eliminação de identidades |
| A.5.17 Informação de autenticação | Gestão de passwords e outros factores de autenticação | Política de passwords, MFA para sistemas críticos, rotação de credenciais |
| A.5.18 Direitos de acesso | Provisionamento, revisão e revogação de direitos de acesso | Processo formal de pedido e aprovação de acessos, revisões periódicas |
| A.8.2 Direitos de acesso privilegiado | Gestão específica de acessos privilegiados | PAM, contas de admin separadas, MFA obrigatório, auditoria de sessões |
| A.8.5 Autenticação segura | Procedimentos de autenticação seguros | MFA, políticas de bloqueio de conta, autenticação adaptativa |
NIS2 e gestão de acessos
A Directiva NIS2 (2022/2555/UE) exige que entidades essenciais e importantes implementem medidas de segurança que incluam explicitamente políticas de controlo de acessos (Art. 21, parágrafo 2, alínea i). Para além do MFA mencionado anteriormente, a NIS2 exige:
- Políticas documentadas de controlo de acessos alinhadas com a avaliação de risco
- Registos de auditoria que permitam rastrear quem acedeu a que informação e quando
- Capacidade de revogar acessos rapidamente em resposta a um incidente (articulação com resposta a incidentes de segurança)
- Gestão de acessos de terceiros (prestadores, fornecedores com acesso remoto a sistemas)
Acessos de terceiros: um risco frequentemente subestimado
Prestadores de serviços, consultores e fornecedores com acesso remoto aos sistemas da organização representam um risco específico. O compromisso de um prestador com acesso privilegiado pode ser tão devastador como o compromisso de um administrador interno. Os controlos recomendados incluem: acesso just-in-time com janelas temporais definidas, sessões gravadas pelo PAM, acesso apenas via VPN ou jump server gerido pela organização, e revogação imediata no fim do contrato.
KPIs de gestão de acessos
Medir a eficácia da gestão de acessos permite identificar problemas antes que se tornem incidentes e demonstrar à gestão e a auditores que o programa de controlo de acessos está a funcionar. Os KPIs mais relevantes agrupam-se em quatro categorias.
KPIs de provisionamento e revogação
- Tempo médio de provisionamento: tempo entre o pedido de acesso (ou o evento de onboarding no RH) e o acesso estar activo e funcional. Benchmark: menos de 4 horas para acessos standard, menos de 24 horas para acessos que requerem aprovação adicional.
- Tempo médio de revogação após saída: tempo entre a data de saída do colaborador e a revogação de todos os seus acessos. O objectivo deve ser próximo de zero: a revogação deve ocorrer no momento da saída ou antes. Qualquer valor acima de 24 horas representa risco.
- Percentagem de contas revogadas no próprio dia de saída: indicador de maturidade do processo de offboarding. Organizações maduras atingem 95% ou mais.
KPIs de higiene de contas
- Percentagem de contas órfãs: contas activas sem utilizador activo associado, como percentagem do total de contas. O objectivo é zero; qualquer valor acima de 2% indica falhas no processo de revogação.
- Percentagem de contas inactivas: contas que não registam login há mais de 90 dias. Devem ser desactivadas e avaliadas para eliminação.
- Percentagem de utilizadores com privilégios excessivos: utilizadores com mais permissões do que o necessário para a sua função, identificados nas revisões de acessos. Tendência decrescente ao longo do tempo indica melhoria do menor privilégio.
KPIs de revisões de acessos
- Cobertura das revisões de acessos: percentagem de sistemas críticos que realizaram revisão de acessos no período definido. Objetivo: 100% dos sistemas críticos com revisão semestral ou trimestral.
- Taxa de revogações nas revisões: percentagem de acessos removidos durante as revisões. Uma taxa consistentemente baixa pode indicar que as revisões não são realizadas com rigor suficiente.
KPIs de segurança de autenticação
- Percentagem de contas com MFA activo: especialmente crítico para contas privilegiadas (objectivo: 100%) e para acesso remoto.
- Número de tentativas de login falhadas: picos podem indicar ataques de força bruta ou credential stuffing em curso.
- Número de pedidos de reset de password: valores elevados podem indicar campanhas de phishing activas ou problemas com a política de passwords.
Templates ITSM para gestão de acessos
Política de controlo de acessos, formulário de pedido de acesso, matriz de revisão de acessos e registo de contas privilegiadas prontos a adaptar à sua organização.
Perguntas frequentes
A gestão de acessos (Access Management) é a prática ITIL que garante que apenas utilizadores autorizados podem aceder a serviços, dados e sistemas, na medida necessária para desempenharem as suas funções. Implementa o princípio do menor privilégio e alinha-se com os controlos de acesso do Anexo A da ISO 27001. No ITIL 4, é uma prática de gestão técnica que suporta directamente a confidencialidade e integridade dos serviços de TI.
RBAC (Role-Based Access Control) atribui permissões com base no cargo ou função do utilizador — todos os utilizadores com o mesmo papel têm os mesmos acessos. É o modelo mais comum em organizações de média e grande dimensão pela sua simplicidade operacional. ABAC (Attribute-Based Access Control) concede acesso com base em múltiplos atributos contextuais: quem é o utilizador, que recurso está a aceder, quando, a partir de onde e com que dispositivo. O ABAC oferece maior granularidade e é mais adequado para ambientes cloud e Zero Trust, mas é mais complexo de implementar e gerir.
É o processo de gestão do ciclo de vida dos acessos em função das mudanças na relação do utilizador com a organização. Joiners: provisionamento de acessos para novos colaboradores ou prestadores no momento de entrada. Movers: revisão e ajuste de acessos quando o colaborador muda de função, departamento ou projecto (remove acessos da função anterior, adiciona os da nova). Leavers: revogação imediata de todos os acessos quando o colaborador sai da organização. A falha no processo de leavers é a principal causa de acumulação de contas órfãs, que representam um risco directo de acesso não autorizado.
A NIS2 (Directiva 2022/2555/UE), transposta em Portugal, exige autenticação multifactor para entidades essenciais e importantes nos seus sistemas de informação críticos (Art. 21). Se a sua organização se enquadra como entidade essencial ou importante ao abrigo da NIS2, o MFA é uma obrigação legal. Para dados pessoais, o RGPD não obriga expressamente ao MFA, mas a sua ausência pode ser considerada insuficiência de medidas técnicas adequadas numa avaliação de risco. A ISO 27001 recomenda MFA nos seus controlos de acesso. Independentemente dos requisitos regulatórios, o MFA é a medida com melhor custo-benefício para reduzir o risco de comprometimento de contas.
Os KPIs mais relevantes incluem: tempo médio de provisionamento (desde o pedido até ao acesso activo), percentagem de contas órfãs (contas sem utilizador activo associado — o objectivo é zero), tempo médio de revogação após saída de colaborador (deve ser próximo de zero), frequência e cobertura de revisões de acessos, percentagem de contas privilegiadas com MFA activo (objectivo: 100%), e taxa de revogações identificadas nas revisões periódicas. Estes indicadores permitem detectar problemas sistémicos antes que se transformem em incidentes de segurança.
PAM (Privileged Access Management) é um conjunto de controlos para gerir, monitorizar e auditar contas com privilégios elevados: administradores de sistemas, DBAs, contas de serviço, contas de aplicação. Deve ser considerado quando a organização tem múltiplos sistemas críticos, quando há prestadores externos com acesso de administrador, quando há requisitos regulatórios de auditoria de acessos privilegiados (ISO 27001, NIS2), ou quando a organização já sofreu incidentes relacionados com contas privilegiadas. Os componentes típicos incluem cofre de credenciais, rotação automática de passwords, gravação de sessões e acesso just-in-time. Ferramentas como CyberArk, BeyondTrust e Delinea são as mais adoptadas no mercado.
Quer estruturar a gestão de acessos na sua organização?
A formação ISO 27001 e ITIL da Better Skills fornece os frameworks e as ferramentas práticas para implementar controlos de acesso robustos e auditáveis.
Fale connosco