Como garantir que uma pessoa que esteja tentando fazer alguma operação em um sistema crítico tenha a devida permissão, acesso e utilize a respectiva conta? Visto que a falta de cuidado com a segurança de uma organização pode resultar em perdas catastróficas, e os exemplos são muitos.

• Uber sofre invasão, e funcionários acharam que aviso do hacker era piada

• IOTW: Hacker allegedly hits both Uber and Rockstar

• Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code

Relacionado a autenticação de usuários, existem alguns controles da CIS - Critical Security Controls que estabelecem boas práticas de segurança [1]. Utilizando a versão 8 da CIS, alguns controles podem ser destacados.

• 4.10 - Impor bloqueio automático de dispositivos quando houver um número pré-definido de tentativas de autenticação com falha;

• 5.2 - Usar senhas exclusivas para todos os ativos institucionais. Contas que usam MFA (Autenticação multifator) no mínimo senhas de 8 caracteres e uma senha de 14 caracteres para contas que não usam o MFA;

• 6.6 - Estabelecer e manter um inventário dos sistemas de autenticação e autorização da organização, incluindo aqueles hospedados no site local ou em um provedor de serviços remoto. Revisar e atualizar o inventário anualmente ou com mais frequência.

• 6.7 - Centralizar o controle de acesso para todos os ativos institucionais por meio de um serviço de diretório ou provedor de SSO

As ações acima estão e continuo aprimoramento pela equipe da DTIC.

No caso do IFSC, os sistemas utilizam autenticação unificada e centralizada. Com a mesma conta é possível acessar o SIG (SIGRH, SIPAC e SIGAA), E-mail institucional, Computadores em Domínio, Wi-Fi, Intranet e outros sistemas. Ao alterar a senha no SIG ou Intranet, a senha é alterada no serviço de autenticação e replicada para o provedor do E-mail.

Fonte

[1] - CIS Critical Security Controls Navigator - https://www.cisecurity.org/controls/cis-controls-navigator/