O Office 365 está assente em uma das infraestruturas mais seguras do mundo, com as mais reconhecidas certificações de segurança da indústria e com décadas de desenvolvimento e otimização constantes. Podemos mesmo dizer que dificilmente os seus dados estariam num local mais seguro.
A Microsoft Cloud opera mais de 100 datacenters distribuídos por 54 regiões e disponível em 140 países. Para além da região onde estão os dados, a Microsoft não revela publicamente qual o datacenter ou a sua localização específica. Assim, apenas saber de forma exata onde estão fisicamente os dados da sua organização é uma tarefa muito complicada, mesmo para uma entidade motivada. O acesso físico a estes datacenters é restrito e controlado por múltiplas camadas de segurança, incluindo controlos biométricos, sistemas de vigilância com vídeo e sensores de movimento, etc. Existem inclusive a título experimental datacenters submersos no oceano.
Os dados que colocamos nestes datacenters são encriptados quer em transito ou quando armazenados. Para além da encriptação a Microsoft assegura uma série de controlos lógicos adicionais tais como:
- Análise de vulnerabilidades a partir do perímetro;
- Patching de segurança regular;
- Network-level DDOS (distributed denial-of-service) deteção e prevenção;
- Autenticação Multi-fator para acessos de serviço.
A operar a segurança a Microsoft tem cerca de 3500 especialistas dedicados a proteger os clientes que com a ajuda de inteligência artifical analisam, detetam e respondem a ameaças.
Esta segurança não intrusiva e invisível, está assegurada pela Microsoft “by default” e ao mais alto nível para garantir níveis de serviço e compliance com as mais exigentes indústrias.
Estas medidas revelam-se, no entanto, insuficientes para garantir que os seus dados estão protegidos quando utilizados indevidamente pela via aplicacional:
- Partilha externa descuidada no ondrive, SharePoint ou e-mail;
- Ações abusivas de um colaborador, parceiro ou até administrador de sistema;
- Identidade comprometida num ataque de phishing.
Então a Microsoft não assegura esta proteção? Tenho ouvido falar que sim!
É verdade que a Microsoft disponibiliza um conjunto alargado de soluções de segurança avançadas para nos proteger de cenários de identidades comprometidas. de abuso no uso interno e de controlo na divulgação de informação sensível. Estas soluções são entregues como “produto”, com mais ou menos funcionalidades consoante o plano subscrito e com gestão direta pelo cliente.
E porque cada caso é um caso e estamos a falar de tecnologias de algum modo intrusivas e que podem causar alguns entraves na operação diária da organização, os “defaults” são muito ligeiros no que a segurança diz respeito. O que tudo isto configura, é um ambiente onde a segurança é encarada em múltiplas camadas e onde de facto o cliente é o principal responsável pela segurança do seus dados.
Assim, há que fazer uma análise de risco, explorar as opções disponíveis nos diversos planos e pedir ajuda a um especialista para as implementar. É no entanto preciso cuidado, pois na nossa experiência a dificuldade em avaliar o impacto e definir exceções, leva por vezes a impasses que bloqueiam a implementação das soluções.
O que pode funcionar bem e acelerar o processo é a adoção de uma configuração “leve”, pouco ambiciosa, definida como baseline e que eleve logo à partida a segurança, protegendo a organização para a grande maioria das vulnerabilidades sem ser demasiado intrusiva ou colocando obstáculos à produtividade.
Esta baseline pode ser implementada rapidamente e incluir a ativação e configuração de funcionalidades como:
- Autenticação Multi Factor
- Acesso condicional
- Desativação de protocolos legacy
- Unified labelling / AIP
- Message encryption
- DLP
- Intune
- Office 365 Cloud App Security e Alertas
- Office 365 auditing
- Office 365 ATP
Conforme vamos avançando nas configurações a Microsoft ajuda-nos a avaliar o nível de segurança da organização com uma ferramenta de monitorização, o “secure score” (https://security.microsoft.com/securescore), que não sendo para “levar à letra” acaba por fornecer excelentes indicadores e também ajudar na orientação do que fazer a seguir.
Em resumo, no fim da linha é a organização a responsável pela segurança. Investigue, peça ajuda e avance o mais cedo possível com uma baseline. Lembre-se também que é vital sensibilizar e treinar os colaboradores da empresa.
