A 2FA adiciona uma camada extra de proteção, exigindo que, além da senha, o usuário insira um segundo código de segurança. Este código será enviado diretamente para o celular do usuário ou gerado por meio de um aplicativo específico. “Embora adicione uma etapa a mais no acesso, esse método é fundamental para proteger os dados institucionais e pessoais, mesmo em casos de senhas vazadas.”, explica Fábio Barcelos, Analista de TI e Coordenador da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos (ETIR) da UFSM.

Todos usuários do e-mail administrativo na UFSM receberão orientações detalhadas sobre como ativar a autenticação de dois fatores. O CPD enfatiza que a segurança da informação é uma prioridade fundamental e conta com a colaboração de todos para tornar o ambiente virtual da UFSM ainda mais seguro.

Acesse o guia introdutório ao Google Authenticator e o tutorial de Delegação de Contas, ideal para quem compartilha e-mail administrativo com colegas de setor, clicando aqui.

Por que aplicar 2FA?

Considerando as Referências GSI e a LGPD citadas no controle de segurança, é importante entender os seguintes pontos ao justificar a necessidade e as medidas de implementação de autenticação multifatorial (MFA) para contas de e-mail expostas externamente:

1. Referências GSI - IN nº 5/2021 e NC 01/IN02/NSC/GSIPR (Anexo A e Anexo B)

A Instrução Normativa nº 5/2021 do Gabinete de Segurança Institucional (GSI) estabelece diretrizes para a proteção de sistemas de informação do governo. Ela enfatiza a necessidade de controles de acesso rigorosos, especialmente para sistemas e contas com exposição externa.

O Anexo A e Anexo B complementam essas diretrizes, especificando requisitos técnicos e operacionais que auxiliam na proteção contra acessos não autorizados, um dos quais é a implementação do MFA. Esse método impede que uma pessoa não autorizada, que eventualmente obtenha acesso a um fator (como uma senha), acesse o sistema sem fornecer um segundo fator, como um código enviado por SMS, token físico ou biometria.

A política do GSI também incentiva o uso de Single Sign-On (SSO) para facilitar o acesso seguro e a administração de contas, mas sempre com a autenticação multifatorial como uma camada adicional de segurança.

2. Referências da LGPD

A Lei Geral de Proteção de Dados (LGPD) impõe a necessidade de proteção dos dados pessoais e sensíveis dos usuários. No contexto do MFA para contas de e-mail setoriais, destacam-se os seguintes artigos:

Art. 6º, inciso VII: Refere-se à necessidade de segurança, protegendo os dados contra acesso não autorizado e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Art. 46 e 47: Estabelecem que os responsáveis pelo tratamento de dados devem garantir a segurança dos dados, adotando medidas técnicas e administrativas para proteger as informações. A autenticação multifatorial é uma dessas medidas de segurança.

Art. 49 e 50: Destacam a necessidade de boas práticas e governança em proteção de dados, recomendando a criação de políticas e normas de segurança, além de medidas preventivas contra incidentes de segurança. Isso reforça a importância de implementar o MFA para assegurar que apenas pessoas autorizadas possam acessar informações sensíveis ou privadas.

Essas referências regulamentares justificam a implementação do MFA para contas de e-mail setoriais, visando proteger dados institucionais e pessoais contra acessos não autorizados e ataques cibernéticos.