Requisitos de senha da Lei Sarbanes-Oxley

O que é SOX?

A Lei Sarbanes-Oxley (SOX) foi aprovada em 2002 pelo governo dos Estados Unidos para proteger acionistas e o público de erros contábeis e atividades fraudulentas nas organizações. O cumprimento da SOX exige que as empresas de capital aberto identifiquem e protejam todos os recursos de gerenciamento financeiro, incluindo relatórios, aplicações , sistemas de suporte e serviços, de acordo com os padrões especificados. O descumprimento pode resultar em multas, prisão ou ambos.

Quais são os requisitos de senha da SOX?

A SOX não menciona nenhum requisito específico referente a senhas ou autenticação de identidade para sistemas financeiros. No entanto, as organizações financeiras que desejam cumpri-la integralmente são incentivadas a adotar as seguintes melhores práticas de senha e autenticação.

1. Utilizar senhas mais longas

Senhas com mais de 20 caracteres são difíceis de violar. Os hackers precisam tentar inúmeras combinações diferentes e, mesmo assim, podem não conseguir adivinhar a senha correta quando ela é longa o suficiente.

2. Evitar senhas comuns

Usar palavras e números comuns como senha, admin ou 12345 em senhas torna-as vulneráveis a comprometimento. Senhas como essas podem ser adivinhadas facilmente durante um possível ataque de dicionário.

3. Usar passphrases em vez de senhas

Ao contrário das senhas, as passphrases são mais longas e fáceis de lembrar, porém mais difíceis de serem violadas. Ela pode ser algo como Purple skies @nd pumpk1n seeds! Isso cumpre os requisitos de complexidade de senhas e é muito apelativo, o que a torna difícil de esquecer.

4. Não reutilizar senhas antigas

Reutilizar senhas antigas ou fragmentos delas pode ser conveniente para os usuários se lembrarem, mas aumenta significativamente o risco dessas senhas serem comprometidas. Para melhorar a segurança das senhas, é fundamental evitar que os usuários reutilizem senhas antigas.

5. Evitar informações pessoais

Usar informações pessoais em senhas, como nomes de usuário e datas de nascimento, torna mais fácil para invasores adivinhá-las e violá-las. Os usuários são orientados a escolher senhas que não contenham nenhuma informação pessoal.

6. Ir além das senhas

Ter senhas inseguras como única estratégia de defesa representa um grande risco aos recursos subjacentes. Para aumentar a segurança da identidade, os usuários devem ser autenticados com métodos de MFA fortes, como biometria, TOTPs e chaves de segurança, além de senhas.

7. Reduzir a intervenção humana na gestão de senhas

Quando solicitações de redefinição de senha são enviadas para um help desk, pode não haver um processo de verificação de identidade para garantir que a solicitação seja legítima. Além disso, quando novas senhas são fornecidas em texto simples em uma aplicação de mensagens, isso aumenta a possibilidade de roubo de senhas. O gerenciamento de senhas por autoatendimento é uma opção mais segura e conveniente que supera esses desafios.

Facilite o cumprimento da SOX com o ADSelfService Plus

O ADSelfService Plus permite que sua organização implemente as melhores práticas de gerenciamento de senhas com facilidade usando o Executor da Política de Senhas. Usando políticas personalizadas que podem ser aplicadas a usuários, grupos ou UOs escolhidos no AD, você pode impor requisitos específicos de senha e autenticação para usuários com privilégios de acesso variados a recursos financeiros.

• Comprimento personalizado da senha: Aplique senhas mais longas configurando o comprimento mínimo da senha.
• Complexidade de senhas personalizadas: Personalize o uso de letras maiúsculas, minúsculas, caracteres especiais, Unicode e numéricos em senhas.
• Restrição de senhas comprometidas: Bloqueie senhas de usuários finais comprometidas e fracas que tenham palavras de dicionário, padrões previsíveis e palíndromos.
• Restrição do nome de usuário em senhas: Impeça que usuários incluam nomes de usuários ou caracteres consecutivos de nomes de usuários nas suas senhas.
• Configurações do histórico de senhas: Impeça que os usuários reutilizem um número específico de suas senhas anteriores durante redefinições e alterações de senha.
• MFA adaptativa: Garanta o acesso do usuário a dados financeiros confidenciais, permitindo MFA para máquinas, aplicações, VPNs, e OWA. Selecione entre 20 métodos de autenticação diferentes, incluindo biometria, chaves de acesso FIDO e YubiKey.
• Gerenciamento de autoatendimento de senhas: Permita que os usuários redefinam senhas esquecidas e desbloqueiem suas contas sem a ajuda do help desk.

Benefícios de usar o ADSelfService Plus para cumprir a SOX

• Políticas aplicáveis baseadas em UO e grupo: Aplique várias políticas de senha granularmente no mesmo domínio do AD com base na UO e associações de grupo.
• Maior segurança de senhas: Aplique senhas e restrinja caracteres repetidos consecutivos e tipos de caracteres comuns em senhas.
• Políticas de acesso condicional: Implemente métodos de MFA rigorosos para solicitações suspeitas de acesso a recursos usando políticas de acesso condicional com base no IP dos usuários, localização e hora de acesso.
• Conformidade com outros regulamentos e normas: Cumpra não apenas com a SOX, mas também o NIST SP 800-63B, HIPAA, PCI DSS, e a Política de Segurança do CJIS usando o ADSelfService Plus.