Os administradores de TI em empresas de médio e grande porte precisam seguir estas práticas recomendadas de segurança para aumentar a proteção e a privacidade dos dados da organização. Para implementar as que estão nesta lista de verificação, você usará uma ou mais configurações do Google Admin Console.
Caso sua empresa não tenha um administrador de TI, confira se as recomendações da lista de verificação de segurança para pequenas empresas (de um a cem usuários) são mais adequadas.
Observação: nem todas as configurações descritas aqui estão disponíveis em todas as edições do Google Workspace ou do Cloud Identity.
Configuração de práticas recomendadas de segurança
Para proteger sua empresa, muitas das configurações recomendadas nesta lista de verificação são ativadas por padrão.
Contas de administrador
Como os superadministradores controlam o acesso a todos os dados da empresa e dos funcionários na organização, é fundamental proteger as contas deles.
Confira uma lista completa das recomendações em Práticas recomendadas de segurança para contas de administrador.
Contas
Aplicar a autenticação multifator
|
Exigir a verificação em duas etapas para usuários A verificação em duas etapas protege a conta do usuário contra acesso não autorizado caso alguém consiga descobrir a senha. Proteger sua empresa com a verificação em duas etapas | Implantar a verificação em duas etapas |
|
|
Aplicar chaves de segurança pelo menos para administradores e outras contas importantes As chaves de segurança são pequenos dispositivos de hardware usados durante o login e que permitem a autenticação de dois fatores para proteger as contas contra phishing. |
Proteger senhas
|
|
Impeça a reutilização de senhas com o Alerta de senha Use o Alerta de senha para garantir que os usuários não usem as senhas corporativas deles em outros sites. |
|
|
Use senhas exclusivas Uma senha forte é a primeira linha de defesa para proteger as contas de usuário e de administrador. As senhas exclusivas não são fáceis de adivinhar. Não reutilize senhas em contas diferentes, por exemplo, contas de e-mail e internet banking. |
Evitar e corrigir o comprometimento de contas
|
|
Analise relatórios e alertas de atividades regularmente Analise os relatórios de atividades para conferir o status das contas, dos administradores e os detalhes da inscrição na verificação em duas etapas. |
|
|
Configurar alertas por e-mail do administrador Configure alertas por e-mail para eventos potencialmente perigosos, como tentativas de login suspeitas, dispositivos móveis comprometidos ou alterações de configuração feitas por outro administrador. |
|
|
Adicionar desafios de login do usuário Configure desafios de login para tentativas de login suspeitas. Os usuários precisam digitar um código de verificação que o Google envia para o número de telefone ou o endereço de e-mail de recuperação ou responder a um desafio que apenas o proprietário da conta sabe resolver. Verificar a identidade de um usuário com recursos de segurança adicionais | Adicionar o código de funcionário como um desafio de login |
|
|
Identificar e proteger contas violadas Se você suspeitar que uma conta está comprometida, suspenda a conta, investigue se há atividades mal-intencionadas e tome medidas, se necessário.
|
|
|
Desative o download de dados do Google conforme necessário Se uma conta for violada ou o usuário sair da empresa, evite o download de todos os dados do Google com o Google Takeout. |
|
|
Impeça o acesso não autorizado após o desligamento de funcionários Para evitar vazamento de dados, revogue o acesso de usuários desligados aos dados da organização. Manter a segurança dos dados depois que um funcionário sai da organização |
Apps (apenas Google Workspace)
|
|
Analisar o acesso de apps de terceiros aos serviços principais Saiba e aprove os apps de terceiros que acessam os serviços principais do Google Workspace, como o Gmail e o Drive. Controlar quais apps internos e de terceiros acessam os dados do Google Workspace |
|
|
Bloquear o acesso a apps menos seguros Apps menos seguros não usam padrões de segurança modernos, como o OAuth, e aumentam o risco de comprometimento de contas ou dispositivos. |
|
|
Criar uma lista de apps confiáveis Crie uma lista de permissões para especificar os apps de terceiros que podem acessar os serviços principais do Google Workspace. Controlar quais apps internos e de terceiros acessam os dados do Google Workspace |
|
|
Controlar o acesso aos serviços principais do Google Você pode permitir ou bloquear o acesso a apps do Google, como o Gmail, o Drive e o Agenda, com base no endereço IP do dispositivo, na origem geográfica, nas políticas de segurança ou no SO. Por exemplo, permita o Drive para computador apenas em dispositivos da empresa em países/regiões específicos. |
|
|
Adicionar outra camada de criptografia aos dados dos apps dos usuários Caso sua organização trabalhe com propriedade intelectual confidencial ou opere em um setor altamente regulamentado, adicione a criptografia do lado do cliente ao Gmail, Google Drive, Google Meet e Google Agenda. |
Agenda (somente no Google Workspace)
|
|
Limitar o compartilhamento externo de agendas Restrinja o compartilhamento externo de agendas apenas à informação disponível/ocupado. Isso reduz o risco de vazamento de dados. Configurar a visibilidade da agenda e as opções de compartilhamento |
|
|
Avisar aos usuários quando eles enviarem convites para pessoas de fora da organização Por padrão, o Agenda avisa os usuários quando eles enviam convites para pessoas de fora da organização. Isso reduz o risco de vazamento de dados. Esse aviso precisa estar ativado para todos os usuários. |
Google Chat (somente para o Google Workspace)
|
|
Limitar quem pode conversar com pessoas fora da organização Permita que apenas usuários com uma necessidade específica enviem mensagens ou criem salas com pessoas fora da sua organização. Isso impede que usuários externos vejam as discussões de usuários internos anteriores e reduz o risco de vazamentos de dados. |
|
|
Definir uma política de convite para bate-papos Determine os usuários que podem aceitar convites de chat automaticamente com base na política de colaboração da sua organização. |
Navegador Chrome e dispositivos Chrome OS
|
|
Mantenha o navegador Chrome e o Chrome OS atualizados Permita as atualizações para garantir que os usuários tenham os patches de segurança mais recentes. Sempre permita atualizações no navegador Chrome. Por padrão, os dispositivos Chrome OS são atualizados com a versão mais recente do Chrome quando disponível. Verifique se as atualizações automáticas estão ativadas para todos os usuários nos dispositivos Chrome OS. Definir políticas do Chrome para usuários ou navegadores | Gerenciar atualizações nos dispositivos Chrome OS |
|
|
Forçar uma reinicialização para aplicar atualizações Configure o navegador Chrome e os dispositivos Chrome OS para notificar que é necessário reinicializar os navegadores ou reiniciar os dispositivos para aplicar a atualização e force a reinicialização após um determinado período, caso o usuário não tome providências. Informar aos usuários que é necessário reiniciar para aplicar as atualizações pendentes |
|
|
Definir políticas básicas para dispositivos Chrome OS e o navegador Chrome Defina as seguintes políticas no Google Admin Console:
|
|
|
Definir políticas avançadas do navegador Chrome Para evitar acessos não autorizados, downloads perigosos e vazamentos de dados entre sites, defina as seguintes políticas avançadas:
Configurar políticas do navegador Chrome em PCs gerenciados | Guia de configuração de segurança empresarial do navegador Chrome (Windows) |
|
|
Definir uma política de navegador para computador Windows Se sua organização quiser usar o navegador Chrome, mas os usuários ainda precisarem acessar sites e apps antigos que exijam o Internet Explorer, a extensão Suporte a navegadores legados do Chrome permitirá que os usuários alternem automaticamente entre o Chrome e outro navegador. Use esse recurso para permitir a utilização de apps que exigem um navegador legado. |
Dispositivos móveis, computadores e outros endpoints
Com o gerenciamento de endpoints do Google, você protege as contas e os dados de trabalho de usuários em dispositivos móveis, tablets, laptops e computadores.
Confira todas as recomendações na lista de verificação de segurança do gerenciamento de dispositivos.
Drive
Limitar o compartilhamento e a colaboração fora do seu domínio
|
|
Definir opções ou criar regras para o compartilhamento de arquivos fora da sua organização Restrinja o compartilhamento de arquivos aos seus domínios ao desativar as opções de compartilhamento ou ao criar regras de confiabilidade, que oferecem um controle mais preciso sobre o compartilhamento. Isso reduz os riscos de vazamento de dados e exfiltração de dados. Se o compartilhamento fora da organização for necessário para os negócios, defina o compartilhamento nas unidades organizacionais ou coloque domínios na lista de permissões. Restringir o compartilhamento fora dos domínios permitidos | Restringir o compartilhamento fora da sua organização | Criar regras de confiança para restringir o compartilhamento externo |
|
|
Avisar os usuários quando eles compartilharem um arquivo fora do domínio Se você permitir que usuários compartilhem arquivos fora do seu domínio, ative um aviso para quando isso acontecer. Dessa forma, eles podem confirmar a ação e reduzir o risco de vazamento de dados. Avisar aos usuários quando compartilharem itens com pessoas fora da sua organização |
|
|
Impedir que os usuários publiquem na Web Desative a publicação de arquivos na Web. Isso reduz o risco de vazamento de dados. Não permitir que usuários compartilhem arquivos publicamente |
|
|
Definir opções de acesso geral para compartilhamento de arquivos Defina a opção de acesso padrão para o compartilhamento de arquivos como Restrito. Somente o proprietário do arquivo deve ter acesso a ele até decidir compartilhá-lo. Outra opção é criar grupos de compartilhamento personalizados (públicos-alvo) para usuários em departamentos diferentes. |
|
|
Limitar o acesso a arquivos apenas aos destinatários Quando um usuário compartilha um arquivo por um produto do Google que não seja o Documentos ou o Drive (por exemplo, colando um link no Gmail), o Verificador de acesso confirma se os destinatários podem acessar o arquivo. Configure o Verificador de acesso como Somente destinatários. Isso permite o controle sobre a acessibilidade dos links compartilhados pelos usuários e reduz o risco de vazamento de dados. |
|
|
Impeça ou limite o risco de usuários externos descobrirem as associações a grupos da sua organização Para impedir que usuários de outra organização que use o Google Workspace descubram as associações a grupos da sua empresa, não permita que organizações externas compartilhem arquivos com seus usuários. Como opção, permita o compartilhamento externo apenas com domínios na lista de permissões para limitar esse tipo de risco. Se você usa as configurações de compartilhamento do Google Drive:para cada unidade organizacional que você quer proteger contra esse risco, siga uma das opções a seguir:
Saiba mais em Gerenciar o compartilhamento externo na sua organização. Se você usa regras de confiabilidade para o compartilhamento do Drive:para limitar esse risco, primeiro crie uma regra de confiabilidade com as seguintes configurações:
Saiba mais em Criar uma regra de confiabilidade. Em seguida, desative a regra padrão [Padrão] Os usuários na minha organização podem compartilhar itens com um aviso e receber itens de qualquer pessoa. Saiba mais em Ver ou editar detalhes da regra de confiabilidade. |
|
|
Exigir login do Google para colaboradores externos Exigir que colaboradores externos façam login com uma Conta do Google. Se eles não tiverem uma, poderão criar uma sem custo financeiro. Isso reduz o risco de vazamento de dados. Desativar convites para contas que não são do Google fora do seu domínio |
|
|
Limitar quem pode mover conteúdo de drives compartilhados Permita que apenas os usuários da sua organização movam arquivos dos drives compartilhados para o Drive de outra organização. |
|
|
Controlar o compartilhamento de conteúdo em novos drives compartilhados Restrinja quem pode criar drives compartilhados, acessar conteúdo ou mudar as configurações dos novos drives compartilhados. |
Limitar cópias locais de dados do Drive
|
|
Desativar o acesso a documentos off-line Para reduzir o risco de vazamentos de dados, desative o acesso a documentos off-line. Nesse tipo de acesso, uma cópia dos documentos é armazenada localmente. Se você tiver um motivo comercial para ativar o acesso a documentos off-line, faça isso por unidade organizacional para reduzir os riscos. |
|
|
Desativar o acesso do computador ao Drive Os usuários podem ter acesso de computador ao Drive com o Google Drive para computador. Para reduzir o risco de vazamento de dados, desative o acesso do computador ao Drive. Se você decidir ativar o acesso de computadores, faça isso apenas para usuários com necessidades imprescindíveis para a empresa. |
Controlar o acesso aos dados por apps de terceiros
|
|
Não permitir complementos do Google Docs Para reduzir o risco de vazamentos de dados, não permita que os usuários instalem complementos do Google Docs disponíveis na loja de complementos. Para atender a uma necessidade empresarial específica, é possível implantar complementos do Google Docs que estejam de acordo com sua política organizacional. |
Proteger dados sensíveis
|
|
Bloquear ou avisar sobre o compartilhamento de arquivos com dados sensíveis Para reduzir o risco de vazamentos de dados, configure regras de proteção contra perda de dados. Você deverá fazer isso para verificar a presença de dados confidenciais em arquivos e tomar providências quando usuários tentarem compartilhar arquivos externamente. Por exemplo, é possível bloquear o compartilhamento externo de documentos que contenham números de passaporte e receber um alerta por e-mail. |
Gmail (somente no Google Workspace)
Configurar autenticação e infraestrutura
|
|
Autenticar e-mails com SPF, DKIM e DMARC O SPF, o DKIM e o DMARC estabelecem um sistema de validação de e-mails que usa as configurações de DNS para autenticar e assinar digitalmente seu domínio, além de evitar o spoofing dele. Às vezes, invasores falsificam o endereço do remetente nas mensagens de e-mail para que elas pareçam ter sido enviadas por um usuário do seu domínio. Para evitar que isso aconteça, configure o SPF e o DKIM em todos os fluxos de e-mail de saída. Com esses protocolos ativados, é possível configurar um registro DMARC para definir como o Google e outros destinatários devem lidar com e-mails não autenticados que finjam ser do seu domínio. Evitar spam, spoofing e phishing com a autenticação do Gmail |
|
|
Configurar gateways de e-mails recebidos para funcionar com o SPF O SPF evita que as mensagens enviadas sejam encaminhadas para a pasta "Spam", mas um gateway pode afetar o funcionamento do mecanismo. Se você usa um gateway de e-mail para encaminhar e-mails recebidos, verifique se ele está configurado corretamente para o Sender Policy Framework (SPF). |
|
|
Aplicar o TLS aos domínios parceiros Defina a configuração do TLS para exigir uma conexão segura de e-mails enviados (ou recebidos) de domínios de parceiros. Exigir que o e-mail seja transmitido por uma conexão segura (TLS) |
|
|
Exigir autenticação do remetente para todos os remetentes aprovados Exija uma autenticação ao criar uma lista de endereços de remetentes aprovados que podem ignorar a classificação de spam. Quando a autenticação do remetente está desativada, o Gmail não verifica se a mensagem foi enviada por quem alega ser o remetente. A exigência de autenticação reduz o risco de spoofing e de phishing/whaling. Saiba mais sobre a autenticação do remetente. |
|
|
Configurar registros MX para o fluxo correto de e-mails Configure os registros MX para apontar para os servidores de e-mail do Google como o registro de prioridade mais alta e garantir o fluxo correto de e-mails para os usuários do seu domínio do Google Workspace. Isso reduz o risco de exclusão de dados (devido à perda de e-mails) e ameaças de malware. Configurar registros MX para o Gmail no Google Workspace | Valores dos registros MX do Google Workspace |
Proteger usuários e organizações
|
|
Desativar o acesso IMAP/POP Os clientes de desktop IMAP e POP permitem que os usuários acessem o Gmail por clientes de e-mail de terceiros. Desative o acesso POP e IMAP para todos os usuários que não precisem dele. Isso reduz os riscos de vazamento de dados, exclusão de dados e exfiltração de dados. Também pode reduzir a ameaça de ataques porque os clientes IMAP talvez não tenham proteções semelhantes aos clientes próprios. |
|
|
Desativar o encaminhamento automático Impeça que os usuários encaminhem automaticamente os e-mails recebidos para outro endereço. Isso reduz o risco de exfiltração de dados por encaminhamento de e-mail, uma técnica comum usada por invasores. |
|
|
Ativar o armazenamento de e-mails abrangente O armazenamento de e-mails abrangente garante que uma cópia de todos os e-mails enviados e recebidos no seu domínio, incluindo os enviados ou recebidos por caixas de e-mails que não são do Gmail, seja armazenada nas caixas de e-mails do Gmail dos usuários associados. Ative essa configuração para reduzir o risco de exclusão de dados e, se você usa o Google Vault, garantir que os e-mails sejam retidos. Configurar o armazenamento de e-mails abrangente | Armazenamento de e-mails abrangente e Vault |
|
|
Não ignore filtros de spam para remetentes internos Para reduzir o risco de spoofing e phishing/whaling, desative a opção Ignorar filtros de spam para remetentes internos. Quando essa configuração está ativada, ela pode causar problemas para grupos com participantes externos ou permissões de postagem públicas, porque as mensagens de participantes externos podem ser tratadas como mensagens internas. Se o remetente externo tiver definido as políticas do DMARC para quarentena ou rejeição, as mensagens recebidas serão reescritas para parecer que foram enviadas pelo grupo. As mensagens são consideradas internas. |
|
|
Adicionar a configuração de cabeçalhos de spam a todas as regras de roteamento padrão Os cabeçalhos de spam ajudam a maximizar a capacidade de filtragem dos servidores de e-mail downstream e reduzem os riscos de spoofing e phishing/whaling. Ao configurar regras de encaminhamento padrão, marque a caixa Adicionar os cabeçalhos X-Gm-Spam e X-Gm-Phishy para que o Gmail adicione esses cabeçalhos e indique o status de spam e phishing da mensagem. Por exemplo, um administrador em outro servidor pode usar essas informações para configurar regras para lidar com o spam e o phishing de maneiras que não sejam limpar o e-mail. |
|
|
Ativar a verificação de mensagem de pré-entrega aprimorada Quando o Gmail identifica que uma mensagem de e-mail pode ser phishing, essa configuração permite que ele verifique a mensagem mais a fundo. |
|
|
Ativar alertas de destinatários externos O Gmail detecta se um destinatário externo em uma resposta por e-mail não é alguém com quem o usuário interage regularmente ou não está presente nos Contatos de um usuário. Quando você define essa configuração, seus usuários recebem um aviso e podem cancelar a ação. |
|
|
Ativar a proteção adicional de anexos O Google verifica as mensagens recebidas para proteger você contra malware, mesmo que as configurações adicionais de proteção contra anexos maliciosos não estejam ativadas. Quando a proteção adicional contra anexos está ativada, ela detecta e-mails que não foram identificados antes como maliciosos. |
|
|
Ative a proteção adicional contra links e conteúdo externo |
|
|
Ativar a proteção adicional contra spoofing O Google verifica as mensagens recebidas para proteger você contra spoofing mesmo que as configurações adicionais de proteção contra spoofing não estejam ativadas. Quando a proteção adicional contra spoofing e autenticação está ativada, ela reduz o risco de spoofing com base em nomes semelhantes de domínio ou de funcionários. |
Considerações de segurança para tarefas diárias do Gmail
|
|
Tome cuidado ao modificar filtros de spam Para evitar um aumento na quantidade de spam, tenha cuidado ao substituir os filtros de spam padrão do Gmail.
|
|
|
Não inclua domínios na lista de remetentes aprovados Se você tiver configurado remetentes aprovados e marcado a caixa Ignorar filtros de spam para mensagens recebidas de endereços ou domínios dentro destas listas de remetentes aprovados, remova todos os domínios da lista. A exclusão de domínios da lista de remetentes aprovados reduz o risco de spoofing e de phishing/whaling. |
|
|
Não adicione endereços IP à lista de permissões Em geral, os e-mails enviados por endereços IP na lista de permissões não são marcados como spam. Para aproveitar ao máximo o serviço de filtragem de spam do Gmail e melhorar a classificação desse tipo de mensagem, adicione os endereços IP dos servidores de e-mail da sua organização e dos parceiros que encaminham e-mails para o Gmail a um gateway de entrada e não a uma lista de permissões de IP. Adicionar endereços IP a listas de permissões no Gmail | Configurar um gateway de e-mail de entrada |
Proteger dados sensíveis
|
|
Verifique e bloqueie e-mails com dados sensíveis Para reduzir o risco de vazamento de dados, verifique os e-mails enviados com detectores predefinidos de proteção contra perda de dados. Dessa forma, você poderá tomar providências quando mensagens com conteúdo confidencial forem recebidas ou enviadas. Por exemplo, é possível impedir que os usuários enviem mensagens que contenham números de cartão de crédito e receber um alerta por e-mail. |
Grupos do Google
|
|
Use grupos criados para fins de segurança Gerencie usuários com grupos de segurança para garantir que apenas algumas pessoas tenham acesso a apps e recursos confidenciais. Isso reduz o risco de vazamento de dados. |
|
|
Adicionar condições de segurança às funções de administrador Permita que apenas alguns administradores controlem grupos de segurança. Atribua outros administradores que possam controlar apenas grupos que não sejam de segurança. Isso reduz o risco de vazamento de dados e ameaças maliciosas de pessoas com informações privilegiadas. |
|
|
Configurar o acesso particular aos grupos Selecione a configuração "Particular" para limitar o acesso apenas aos membros do seu domínio. Os membros do grupo ainda podem receber e-mails de fora do domínio. Isso reduz o risco de vazamento de dados. Definir as opções de compartilhamento do Grupos para empresas |
|
|
Limitar a criação de grupos a administradores Permita que apenas os administradores criem grupos. Isso reduz o risco de vazamento de dados. Definir as opções de compartilhamento do Grupos para empresas |
|
|
Personalizar as configurações de acesso do grupo Recomendações:
|
|
|
Desativar algumas configurações de acesso para grupos internos As configurações a seguir permitem que qualquer pessoa na Internet participe do grupo, envie mensagens e veja os arquivos de discussão. Desative estas configurações para grupos internos:
|
|
|
Ativar a moderação de spam nos seus grupos Você pode enviar mensagens para a fila de moderação com ou sem uma notificação para os moderadores, rejeitar mensagens com spam imediatamente ou permitir que as mensagens sejam postadas sem moderação. |
Sites (somente no Google Workspace)
|
|
Bloqueie o compartilhamento de sites fora do domínio Definir opções de compartilhamento do Google Sites | Definir opções de compartilhamento: Sites clássico |
Vault (somente no Google Workspace)
|
|
Trate as contas com privilégios do Vault como confidenciais Proteja as contas atribuídas a funções de administrador do Vault da mesma forma que você protege as contas de superadministrador. Práticas recomendadas de segurança para contas de administrador |
|
|
Faça auditorias regulares de atividades do Vault Os usuários com privilégios do Vault podem pesquisar e exportar dados de outras pessoas, além de mudar regras de retenção que podem limpar dados que você precisa manter. Monitore a atividade do Vault para garantir que apenas políticas aprovadas de acesso e retenção de dados sejam usadas. |
Próximas etapas: monitoramento, investigação e correção
|
|
Revise suas configurações de segurança e investigue as atividades Acesse a Central de segurança regularmente para revisar sua postura de segurança, investigar incidentes e agir com base nessas informações. |
|
|
Analisar o registro de auditoria do administrador Use o registro de auditoria do administrador para analisar o histórico de todas as tarefas realizadas no Google Admin Console, que inclui a data, o administrador responsável e o endereço IP de onde ele fez login. |