O Centro de Processamento de Dados (CPD) da UFSM alerta a comunidade acadêmica para a circulação de e-mails falsos enviados a endereços institucionais. As tentativas de golpe simulam comunicações oficiais e solicitam ações como “validar certificados”, “atualizar dados” ou “confirmar senhas”. Esse tipo de fraude é conhecido como phishing e tem como objetivo roubar credenciais de acesso. Uma das formas de identificar essas mensagens suspeitas é observar o remetente: em muitos casos, os endereços utilizados são incomuns ou não apresentam relação com a UFSM.

Para reforçar a segurança digital, o CPD orienta:
• Desconfie de links recebidos por e-mail, mesmo que aparentem ser legítimos.
• Nunca informe sua senha institucional fora dos portais e sistemas oficiais da UFSM.

Como medida de prevenção, os usuários podem consultar a Cartilha de Segurança para Internet, desenvolvida pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), serviço do NIC.br, braço executivo do Comitê Gestor da Internet no Brasil (CGI.br). A cartilha reúne recomendações práticas para aumentar a segurança no uso da internet, explica conceitos fundamentais, apresenta riscos relacionados a diferentes tecnologias e traz dicas de boas práticas para proteger dados, dispositivos e credenciais. O material é uma referência nacional e busca apoiar usuários no uso consciente e seguro da rede.

Em caso de suspeita ou ocorrência de incidentes de segurança, como recebimento de e-mails maliciosos, acessos não autorizados ou uso indevido de dados, o CPD disponibiliza um canal oficial para registro e acompanhamento. O procedimento pode ser realizado pelo serviço “Reportar incidente de Segurança da Informação”. Além disso, o CPD mantém em seu site uma seção com Dicas de Segurança, que orienta sobre práticas seguras no uso da Internet, criação de senhas, autenticação de dois fatores e prevenção contra diferentes tipos de golpes virtuais.

A 2FA adiciona uma camada extra de proteção, exigindo que, além da senha, o usuário insira um segundo código de segurança. Este código será enviado diretamente para o celular do usuário ou gerado por meio de um aplicativo específico. “Embora adicione uma etapa a mais no acesso, esse método é fundamental para proteger os dados institucionais e pessoais, mesmo em casos de senhas vazadas.”, explica Fábio Barcelos, Analista de TI e Coordenador da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos (ETIR) da UFSM.

Todos usuários do e-mail administrativo na UFSM receberão orientações detalhadas sobre como ativar a autenticação de dois fatores. O CPD enfatiza que a segurança da informação é uma prioridade fundamental e conta com a colaboração de todos para tornar o ambiente virtual da UFSM ainda mais seguro.

Acesse o guia introdutório ao Google Authenticator e o tutorial de Delegação de Contas, ideal para quem compartilha e-mail administrativo com colegas de setor, clicando aqui.

Por que aplicar 2FA?

Considerando as Referências GSI e a LGPD citadas no controle de segurança, é importante entender os seguintes pontos ao justificar a necessidade e as medidas de implementação de autenticação multifatorial (MFA) para contas de e-mail expostas externamente:

1. Referências GSI - IN nº 5/2021 e NC 01/IN02/NSC/GSIPR (Anexo A e Anexo B)

A Instrução Normativa nº 5/2021 do Gabinete de Segurança Institucional (GSI) estabelece diretrizes para a proteção de sistemas de informação do governo. Ela enfatiza a necessidade de controles de acesso rigorosos, especialmente para sistemas e contas com exposição externa.

O Anexo A e Anexo B complementam essas diretrizes, especificando requisitos técnicos e operacionais que auxiliam na proteção contra acessos não autorizados, um dos quais é a implementação do MFA. Esse método impede que uma pessoa não autorizada, que eventualmente obtenha acesso a um fator (como uma senha), acesse o sistema sem fornecer um segundo fator, como um código enviado por SMS, token físico ou biometria.

A política do GSI também incentiva o uso de Single Sign-On (SSO) para facilitar o acesso seguro e a administração de contas, mas sempre com a autenticação multifatorial como uma camada adicional de segurança.

2. Referências da LGPD

A Lei Geral de Proteção de Dados (LGPD) impõe a necessidade de proteção dos dados pessoais e sensíveis dos usuários. No contexto do MFA para contas de e-mail setoriais, destacam-se os seguintes artigos:

Art. 6º, inciso VII: Refere-se à necessidade de segurança, protegendo os dados contra acesso não autorizado e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Art. 46 e 47: Estabelecem que os responsáveis pelo tratamento de dados devem garantir a segurança dos dados, adotando medidas técnicas e administrativas para proteger as informações. A autenticação multifatorial é uma dessas medidas de segurança.

Art. 49 e 50: Destacam a necessidade de boas práticas e governança em proteção de dados, recomendando a criação de políticas e normas de segurança, além de medidas preventivas contra incidentes de segurança. Isso reforça a importância de implementar o MFA para assegurar que apenas pessoas autorizadas possam acessar informações sensíveis ou privadas.

Essas referências regulamentares justificam a implementação do MFA para contas de e-mail setoriais, visando proteger dados institucionais e pessoais contra acessos não autorizados e ataques cibernéticos.