O Centro de Processamento de Dados da UFSM informa que, a partir do dia 2 de dezembro, a Autenticação de Dois Fatores (2FA) se tornará obrigatória para todos os e-mails administrativos com domínio @ufsm.br. Essa iniciativa visa fortalecer a segurança das contas, protegendo os dados institucionais e pessoais dos usuários.
A 2FA adiciona uma camada extra de proteção, exigindo que, além da senha, o usuário insira um segundo código de segurança. Este código será enviado diretamente para o celular do usuário ou gerado por meio de um aplicativo específico. “Embora adicione uma etapa a mais no acesso, esse método é fundamental para proteger os dados institucionais e pessoais, mesmo em casos de senhas vazadas.”, explica Fábio Barcelos, Analista de TI e Coordenador da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos (ETIR) da UFSM.
Todos usuários do e-mail administrativo na UFSM receberão orientações detalhadas sobre como ativar a autenticação de dois fatores. O CPD enfatiza que a segurança da informação é uma prioridade fundamental e conta com a colaboração de todos para tornar o ambiente virtual da UFSM ainda mais seguro.
Acesse o guia introdutório ao Google Authenticator e o tutorial de Delegação de Contas, ideal para quem compartilha e-mail administrativo com colegas de setor, clicando aqui.
Por que aplicar 2FA?
Considerando as Referências GSI e a LGPD citadas no controle de segurança, é importante entender os seguintes pontos ao justificar a necessidade e as medidas de implementação de autenticação multifatorial (MFA) para contas de e-mail expostas externamente:
1. Referências GSI – IN nº 5/2021 e NC 01/IN02/NSC/GSIPR (Anexo A e Anexo B)
A Instrução Normativa nº 5/2021 do Gabinete de Segurança Institucional (GSI) estabelece diretrizes para a proteção de sistemas de informação do governo. Ela enfatiza a necessidade de controles de acesso rigorosos, especialmente para sistemas e contas com exposição externa.
O Anexo A e Anexo B complementam essas diretrizes, especificando requisitos técnicos e operacionais que auxiliam na proteção contra acessos não autorizados, um dos quais é a implementação do MFA. Esse método impede que uma pessoa não autorizada, que eventualmente obtenha acesso a um fator (como uma senha), acesse o sistema sem fornecer um segundo fator, como um código enviado por SMS, token físico ou biometria.
A política do GSI também incentiva o uso de Single Sign-On (SSO) para facilitar o acesso seguro e a administração de contas, mas sempre com a autenticação multifatorial como uma camada adicional de segurança.
2. Referências da LGPD
A Lei Geral de Proteção de Dados (LGPD) impõe a necessidade de proteção dos dados pessoais e sensíveis dos usuários. No contexto do MFA para contas de e-mail setoriais, destacam-se os seguintes artigos:
Art. 6º, inciso VII: Refere-se à necessidade de segurança, protegendo os dados contra acesso não autorizado e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Art. 46 e 47: Estabelecem que os responsáveis pelo tratamento de dados devem garantir a segurança dos dados, adotando medidas técnicas e administrativas para proteger as informações. A autenticação multifatorial é uma dessas medidas de segurança.
Art. 49 e 50: Destacam a necessidade de boas práticas e governança em proteção de dados, recomendando a criação de políticas e normas de segurança, além de medidas preventivas contra incidentes de segurança. Isso reforça a importância de implementar o MFA para assegurar que apenas pessoas autorizadas possam acessar informações sensíveis ou privadas.
Essas referências regulamentares justificam a implementação do MFA para contas de e-mail setoriais, visando proteger dados institucionais e pessoais contra acessos não autorizados e ataques cibernéticos.