Essa é uma pergunta que ainda gera resistência em muitas empresas. Não por falta de conhecimento técnico, mas por receio de impacto no usuário, na experiência ou até na relação com clientes e parceiros. A lógica costuma ser a mesma: recomenda-se fortemente, quase se obriga, mas no fim a decisão fica na ponta. E é justamente aí que mora o risco.
Quando o usuário opta por não habilitar o MFA, mantém uma senha fraca e ignora boas práticas básicas, todo o resto da infraestrutura, por mais robusta que seja, passa a operar em terreno instável. Basta uma credencial comprometida para abrir a porta de um ambiente inteiro.
Por isso, MFA não pode ser tratado como sugestão. Precisa ser política definida, aprovada e sustentada pela alta direção. Não é algo negociável, porque no momento em que se negocia, a empresa está assumindo conscientemente um risco que depois terá que gerenciar, explicar e, muitas vezes, pagar.
Na prática, vemos isso acontecer em cadeias inteiras de relacionamento. Um parceiro quer acessar o ambiente do outro, mas não adota autenticação multifator para seus próprios usuários. A resposta precisa ser clara: para acessar, é obrigatório. Caso contrário, o risco não é aceito. Quando a responsabilidade é formalmente colocada na mesa, a conversa muda. Ninguém quer assinar que está assumindo o risco de um incidente.
Esse movimento gera desconforto no início, pois exige mudança de cultura e posicionamento. Mas é justamente esse tipo de postura que eleva o nível de maturidade em segurança. Não é só tecnologia, mas governança, responsabilidade e decisão.
Segurança da informação não se sustenta no “nunca vai acontecer”. Ela se sustenta em camadas, em política clara e no entendimento de que o elo mais fraco da corrente define o nível de proteção de todo o ambiente.
MFA obrigatório não é excesso. É uma boa prática de segurança cibernética, com eficácia claramente comprovada quanto à proteção contra invasões, mas que infelizmente muitas empresas ainda colocam o “incômodo” das etapas de verificação como um problema, não como um recurso de segurança.
