Bom Dia LGPD

Não adotar 2FA / MFA pode ser agravante em uma sanção?

Fernando Nery
Fernando Nery
Sócio da Módulo

#bomdialgpd


"It is needful to transmit the passwords from generation to generation."
Generation To Generation, Antoine de Saint-Exupery


Hoje a providência mais básica e abrangente de segurança é o uso de dois fatores de autenticação, quando o sistema solicita, além da senha, uma segunda confirmação que pode ser biométrica, uma contra senha, um certificado digital ou um cartão por exemplo. Chama-se este método de múltiplo fator de autenticação (MFA) ou simplificando, duplo fator de autenticação (2FA). Uma evolução dos fatores de autenticação são sistemas sem senha (passwordless), mas isso é assunto para outro artigo.


Por ser básica e ter alta eficácia no aumento da segurança, seria um agravante no caso de uma sanção?

A maior parte dos acessos oferecem fatores de autenticação, isso vale para redes sociais, mensagem instantânea, internet banking e diversos outras apps e sistemas.


Uma boa divisão de nível de segurança está entre os que usam apenas senha e os que acumulam fatores de autenticação.


Do ponto de vista da LGPD, me parece razoável considerar que as operações de tratamento de dados pessoais classificadas como “alto risco” devem ter obrigatoriamente o controle de acesso aos sistemas com o uso de pelo menos mais um fator de autenticação. Este tipo de instrução pode estar presente em políticas de segurança e de proteção de dados, e também em controles verificados por áreas de gestão de riscos, controles internos e auditoria.

Levantei alguns pontos sobre o assunto associado a proteção de dados:


  • A AEDP, regulador da Espanha, divulga o 2FA como uma boa prática


  • As sanções à British Airways, uma das primeira aplicações de multa que ganhou notoriedade, teve a observação do ICO sobre o uso de sistemas críticos com acesso apenas por senha: "Swissport account was not protected by the use of multi-factor authentication ("MFA") ... Since the Attack, BA has implemented MFA on all remate access accounts.
  • O CISA Cyber recomenda MFA. O órgão faz parte do CISA Gov nos EUA e responde a grandes incidentes, analisa ameaças e troca informações críticas de segurança cibernética com parceiros em todo o mundo.


Os reguladores de proteção de dados e segurança cibernética, fabricantes e fornecedores, e as melhores práticas são uníssonos ao evidenciar a importância dos fatores de autenticação como uma providência básica de segurança. Além de as organizações o adotarem devem incentivar os colaboradores a utilizarem em seus usos pessoais.


Obrigado,


Aquele abraço,


FNery


Prompt do DALL-E 3: "An image of high quality and rich detail showing a person entering through a door equipped with various authentication methods including a keypad for passwords, biometric scanner, and traditional keys, highlighting the advanced security measures in place."

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato