Segredos de segurança do Google Apps for Business
Para ajudar a acabar com a “invasão de vida”, inteligência competitiva ou ataques hacktivistas, todos os usuários do Google Apps for Business – e especialmente os administrador corporativos – devem seguir as novo estratégias de segurança a seguir:
1. Cria um plano de segurança Google: qualquer um que use o Google para negócios deve começar a detalhar todos os processos relacionados a segurança , tendo em mente potenciais pontos fracos e ter um plano de ação para vazamento de dados. Como exemplo do que pode acontecer sem esse tipo de planejamento, observemos a invasão realizada em fevereiro de 2011, pelo grupo de hacktivistas Anonymous no e-mail da HBGary. Primeiramente, a empresa ameaçou revelar a identidade de membros dos grupos. Em retaliação, membros do Anonymous usaram senhas roubadas para invadir a conta de Gmail da HBGary, da qual copiaram e depois deletaram todos os e-mails. Segundo o CEO da empresa, Greg Hoglund, ele viu o ataque acontecendo, mas não conseguiu convencer a central de ajuda do Google que era quem dizia ser a tempo de evitar o dano.
2. Use autenticação de dois fatores: qualquer um que possua apenas uma conta e senha no Google pode acessar e ver inclusive documentos e planilhas, a não ser que os sistemas de autenticação de dois fatores esteja habilitado. Assim, habilite-o. O analista da Gartner, John Pescatore afirmou que a HBGary teve uma parte da culpa pelo acesso sem autorização em suas contas do Gmail, porque a empresa não estava usando o sistema de autenticação de dois fatores do Google.
3. Configure os dois fatores para contas de e-mail externa: Matt Cutts, chega da equipe de spam de rede do Google observou que o sistema de autenticação de dois fatores da empresa é projetado para navegadores, clients de e-mail POP e Imap podem ter senhas próprias, para verificação do Gmail. Com o uso dessas senhas, dificulta-se que um invasor comprometa as credenciais de Gmail de um funcionário para espionagem das comunicações.
4. Estenda o autenticador Google, onde puder ser aplicado: da mesma forma, a autenticação de dois fatores funcionará em sites adicionais, incluindo LastPass, WordPress, Amazon Web Services, Drupal e DreamHost. No caso do WordPress, por exemplo, um administrador pode ajustar que o software exija a autenticação para contas específicas de usuários.
5. Delete usuários após o afastamento deles: como parte de seu plano de segurança, garanta que haja mudança imediata de senha de usuários que foram despedidos – ou melhor ainda, remova a conta deles. Isso ajuda a prevenir que antigos funcionários levem embora dados sensíveis ou lista de clientes.
6. Respeite os limites HTTPS: o Google Apps oferece inúmeras melhorias em segurança, especialmente para pequenas empresa que podem não ter funcionário em tempo integral – ou com muita experiência – para lidar com esse tipo de preocupação de segurança. Um desses benefícios é que todas as comunicações entre os navegadores dos usuários e o Google, é codificada. Mas a segurança Https tem limites. “Isso apenas previne que alguém use eavesdropping (técnica de invasão que se baseia na violação de confidencialidade) na comunicação enquanto ela acontece. Não para alguém que viole sua senha”, afirmou o gerente de ameaça de inteligência da Trustwave SpiderLabs, que atende pelo nome de “Space Rogue”.
7. Entenda o controle de acesso: um invasor consegue acesso à conta do Google de alguém, consegue ver tudo que o usuário possui. Usuários do Google Docs não podem ajudar seus documentos para que sejam protegidos por senha. Então, se um invasor ganha acesso à sua conta do Google, tem acesso a qualquer documento. Da mesma forma, o invasor terá acesso a documentos compartilhados, a não ser que eles estejam criptografados.
8. Criptografe documentos antes de upá-los: então, porque não criptografar todos os documentos antes de upá-los no Google? Infelizmente, essa manobra é complicada, embora estejam sendo realizados esforços para facilitá-la. Por exemplo, dois cientistas da Trinity College Dublin da Irlanda, que recebem financiamento do governo, criaram uma abordagem apelidada de CipherDocs,, que criptografa qualquer documento antes de ele ser upado nos servidores do Google, por meio de um plug-in de navegador. Para ter acesso, é necessário que as pessoas tenhas a senha, no momento, o serviço é terceirizado pela KeyHub. Os pesquisadores esperam estender seu atual protótipo ao adicionar compatibilidade para planilha do Google, bem como da Dropbox e permitir que ele funcione com o Chrome e com o Internet Explorer.
9. Tenha backup das contas de e-mail: o que acontece se alguém invade sua conta do Gmail e muda sua senha? “No caso do Google Docs, muitas pessoas têm tudo no Google, desde contas de e-mail, até documentos e planilhas. E suas recuperações de senha são enviadas para a conta do Gmail, então quando se tem acesso à conta primário, consegue-se acesso a todo o resto”, explicou Space Rogue. “Então, tenha mais que uma conta de e-mail”, ele disse. Dessa forma, pode-se ver se alguém está deletando senhas, especialmente para a conta de e-mail primária”.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
