Aspectos de segurança com Office 365

O Office 365 é um plano de assinatura que oferece acesso às aplicações do pacote Office da Microsoft, consistindo de um conjunto de aplicativos de produtividade e de uma série de ferramentas de administração que permitem gerenciar esses aplicativos. Tudo através da tecnologia em nuvem. Na prática, é o mesmo Microsoft Office de sempre, mas com a vantagem de ser online.

Muito bem aceita pelo mercado, especialmente o Exchange Online, a solução tem sido cada vez mais adotada pelas organizações. Em abril de 2017 a Microsoft publicou que já tinha mais de 100 milhões de usuários ativos. E o crescimento anda na proporção de 2,5 milhões de novos usuários por mês.

Essa solução em nuvem não implica que o usuário precise estar conectado à Internet para usar o conjunto de aplicativos de produtividade. Baseado em nuvem realmente se refere ao fato de que os dados não são armazenados localmente e que são acessíveis por qualquer dispositivo autorizado, em qualquer lugar. Dessa forma, a MS tem controle sobre a infraestrutura e pode zelar pelo bom funcionamento, provendo alta disponibilidade e segurança, através de proteção de dados nativa, preservação da privacidade digital e conformidade contínua com padrões mundiais de segurança. Pode ainda aprimorar, melhorar, desenvolver e fazer ajustes a qualquer momento, levando recursos novos e aprimorados regularmente aos seus assinantes.

No entanto, a segurança torna-se mais forte à medida que utilizamos diversas camadas de proteção e a solução total pode levar em conta que o Office 365 fornece apenas uma das camadas.

Dessa forma, é fundamental que as soluções de segurança trabalhem juntas, independentemente do fornecedor, a fim de proteger dispositivos, produtos e serviços.

Recomendações de segurança:

1. Para os dispositivos móveis corporativos, utilizar solução de gerenciamento centralizado – MDM (Mobile Device Management), compreendendo políticas e regras de uso para tablets e smartphones, proteção das informações e aplicativos embarcados, comunicação segura entre empresa e funcionários e acesso protegido aos sistemas corporativos.
2. Utilizar dois ou mais fatores de autenticação – MFA (Multi-factor Authentication) para todos os dispositivos corporativos e aplicações, sempre que for possível.
3. Adotar o princípio do menor privilégio, limitando o acesso ao que é essencial para diferentes perfis de usuários, de acordo com suas atividades e responsabilidades.
4. O uso de contas administrativas deve ser exclusivo para atividades de administração. Usuários administradores devem ter outras contas para uso regular em atividades não administrativas.
5. Elevar o nível de proteção contra malware (vírus, spyware, ransomware) em mensagens de e-mail, através da inspeção e bloqueio de links e arquivos anexos.
6. Filtrar mensagens de e-mail para identificar e bloquear mensagens de spam.
7. Proteger o e-mail contra ataques de phishing, configurando a proteção antiphishing da ATP, que é parte da proteção avançada contra ameaças do Office 365. É essencial que logo no início seja criada uma política para proteger os usuários mais importantes da organização.
8. Configurar a caixa de correio dos usuários para não fazerem o encaminhamento automático de e-mails para domínios externos.
9. Utilizar o recurso de criptografia de mensagens do Office 365. Isto ajuda a assegurar que somente destinatários pretendidos possam exibir os conteúdos das mensagens.

Deve-se ainda considerar que o quadro de funcionários será sempre o elo mais fraco quando se trata de segurança digital. Isso significa que a empresa deve limitar o risco regulando, controlando e fomentando uma cultura de segurança digital na companhia, amplamente divulgada.