Buscar
  • Unxpose

Checklist para manter o Google Workspace seguro

Atualizado: 27 de set.

O Google Workspace (antigo G Suite) reúne aplicações em nuvem de produtividade e colaboração. Algumas configurações das aplicações do GW podem impactar diretamente a segurança e a privacidade de dados das organizações. Listamos 5 iniciativas que podem ser adotadas tanto pelos administradores da conta, quanto pelos usuários comuns para garantir a segurança do Google Workspace.


1. MONITORE OS APLICATIVOS QUE OS USUÁRIOS ESTÃO INTEGRANDO AO GOOGLE WORKSPACE Aplicativos menos seguros ou "Less Secure Apps" é uma funcionalidade do Gmail que permite softwares e dispositivos fazerem login no Gmail utilizando o username e password do usuário. Atacantes maliciosos podem criar sites falsos com a finalidade de obter credenciais ou ainda coletá-las em vazamentos de software confiáveis, e então usá-las para ganhar acesso não autorizado a dados presentes no Google Workspace da sua empresa.


O QUE FAZER:

  • Revise e aprove quais aplicativos terceiros podem ter acesso ao Google Workspace.

  • Circule entre os colaboradores a lista dos aplicativos que a empresa permite que sejam integrados ao GW

  • Monitore continuamente os usuários para entender quais estão utilizando aplicativos não seguros. A solução da Unxpose permite fazer isso 24/7 de forma automatizada e você pode utilizá-la de forma gratuita.

2. UTILIZE AS CONFIGURAÇÕES MAIS SEGURAS DO GOOGLE CALENDAR Fazer uma reunião pressupõe a troca de informações. E muitas vezes isso começa já no simples ato de agendamento do encontro. Por isso, é preciso ficar de olho para entender quais são as informações compartilhadas e com quem.


O QUE FAZER:

  • O campo de detalhes dos eventos do Google Calendar pode conter informações privadas, com potencial de serem utilizados por atacantes, especialmente em engenharia social. Por isso, mude as opções de compartilhamento para que apenas as informações básicas de eventos fiquem disponíveis para as pessoas que não fazem parte do negócio.

  • Deixe ligado o aviso que informa quando alguém de fora da sua organização for convidado para uma reunião. Isso pode evitar o convite acidental de pessoas que podem vazar informações.

  • Preste atenção em como está configurada a visão dos colaboradores sobre as agendas do time. Por padrão, o Google Workspace deixa que todo mundo da empresa enxergue os eventos e os detalhes de todos os colaboradores. É preciso tomar cuidado caso os detalhes das reuniões da alta gerência contenham documentos confidenciais.

3. CRIE UMA POLÍTICA DE SENHA FORTE E MONITORE QUEM ESTÁ SEGUINDO A POLÍTICA


Apesar de parecer básico, nem sempre as empresas possuem políticas de senha forte para todos os usuários.


O QUE FAZER

  • Defina requisitos de força mínima e máxima e exija que a senha seja complexa com uso de caracteres especiais, maiúsculas e números. (Logo abaixo a gente te ensina uma técnica muito legal para criar senhas fortes. Compartilhe a dica com os colaboradores)

  • Monitore se e quais usuários estão seguindo a conformidade de senha determinada pelo Administrador e quais estão utilizando uma senha forte. A solução da Unxpose permite fazer esse monitoramento de forma automatizada e contínua e você pode utilizá-la de forma gratuita.

BONUS TRACK: Método Schneier para criação de senhas fortes Em 2008, o cientista e especialista em segurança Bruce Schneier criou um método para criação de senhas que usa uma frase aleatória, mas que tenha alguma relação com você, e transformá-la em uma senha que usa uma regra que só você sabe. Tome como exemplo a frase: “sapato 42 velho vermelho"

Ao aplicar a regra "Iniciar com maiúscula e retirar as duas últimas letras" ela se transformaria em "Sapa42velvermel"

Ou ao acrescentar caracteres especiais aplicando a regra "substituir a vogal a por @" ela se transforma em "S@p@42velvermel" 4. CONFIGURE CORRETAMENTE AS PERMISSÕES DE COMPARTILHAMENTO DO DRIVE O Google Drive faz parte do dia a dia da empresa e permite aos usuários acessarem e compartilharem arquivos com informações relevantes e, muitas vezes, dados sensíveis.


O QUE FAZER

  • Permita o compartilhamento de arquivos apenas entre usuários da sua empresa nos ajustes de compartilhamento. Caso seja necessário o compartilhamento para fora da sua organização, é recomendado que você determine quais domínios tem autorização.

  • Caso não seja possível utilizar a última dica, uma sugestão é deixar ligado o aviso de compartilhamento de arquivos para fora da sua organização. Com ele, após clicar em 'compartilhar' os usuários precisam de uma segunda confirmação para que o envio seja efetivado. Isso pode reduzir o compartilhamento acidental de arquivos.

  • Se você não for o Admin, certifique-se de que os arquivos compartilhados com usuários de fora da sua organização não contenham dados sensíveis como senhas, logins e dados pessoais de usuários que podem permitir atacantes maliciosos ganharem acesso não autorizado aos sistemas da sua empresa e podem resultar em vazamentos.


5. ACRESCENTE CAMADAS EXTRAS DE PROTEÇÃO E MONITORE QUEM ESTÁ COM O MFA LIGADO Para todos os colaboradores:

  • Exija a habilitação do Múltiplo Fator de Autenticação (ou MFA). Uma medida simples que acrescenta uma camada de segurança ao pedir que os usuários confirmem sua identidade por e-mail, mensagem de texto ou ligação ao tentarem fazer login.

Para os administradores da conta:

  • Monitore quais usuários estão com o Duplo Fator de Autenticação ligado de forma contínua. A solução da Unxpose permite fazer isso de forma gratuita.

  • Utilize contas diferentes, sendo 1 para o trabalho do dia a dia e outra exclusivamente para fazer as ações de administrador do Google Workspace.

  • Adote dispositivos físicos de Duplo Fator de Autenticação para a conta principal. Isso garante que apenas usuários portando o device consigam ter os maiores privilégios da conta e possam mudar os níveis de segurança da conta da empresa.

 

Unxpose monitora e identifica falhas de segurança na superfície de exposição, na Cloud e nos SaaS utilizados pelos seus colaboradores de forma contínua e automatizada - antes que atacantes possam explorá-las.






124 visualizações0 comentário