Como Proteger os Dados da Sua Empresa no Microsoft 365

O falso senso de segurança: "a Microsoft cuida de tudo"

Esse é o mito mais perigoso do mundo corporativo quando se trata de cloud computing. Muitas empresas migram para o Microsoft 365 e assumem que, por estarem "na nuvem da Microsoft", seus dados estão protegidos contra tudo — vírus, hackers, exclusão acidental, ransomware.

A realidade é muito diferente. A Microsoft opera sob o que chama de modelo de responsabilidade compartilhada. Na prática, isso significa:

• A Microsoft é responsável pela infraestrutura — data centers, disponibilidade dos servidores, rede e hardware.
• Sua empresa é responsável pelos dados — controle de acesso, backup, políticas de segurança, configuração de proteções e conformidade.

Traduzindo: se um funcionário cair em um ataque de phishing e um hacker apagar todos os arquivos do SharePoint, a Microsoft não vai restaurar seus dados. Se alguém excluir uma caixa de e-mail e você só perceber depois de 30 dias, os dados se foram para sempre. Esse é o cenário que 90% das empresas brasileiras que usam Microsoft 365 não estão preparadas para enfrentar.

As principais ameaças que você deveria temer

Phishing: a porta de entrada número 1

Ataques de phishing ficaram sofisticados a ponto de enganar até profissionais de TI experientes. E-mails que imitam comunicações internas, páginas de login idênticas às da Microsoft, mensagens no Teams com links maliciosos — os vetores de ataque se multiplicaram. Um único clique de um funcionário pode abrir a porta para um invasor ter acesso total ao ambiente da empresa.

Ransomware via OneDrive e SharePoint

Muita gente acha que ransomware é problema de servidor local. Errado. Arquivos sincronizados via OneDrive podem ser criptografados no computador do usuário e a criptografia se propaga para a nuvem pela sincronização automática. O resultado? Todos os arquivos da empresa criptografados, incluindo os que estavam "seguros na nuvem". Sem um backup independente, o prejuízo é total.

Exclusão acidental (e proposital) de dados

Funcionários excluem e-mails, arquivos e até contas inteiras por acidente. Funcionários insatisfeitos excluem de propósito antes de sair da empresa. A lixeira do Microsoft 365 tem retenção limitada — geralmente 93 dias para itens excluídos e apenas 14 dias para a lixeira de segundo estágio. Depois disso, perdeu.

Ameaças internas

Nem toda ameaça vem de fora. Funcionários com permissões excessivas podem acessar dados confidenciais que não deveriam ver. Ex-funcionários cujas contas não foram desativadas corretamente continuam tendo acesso. Parceiros externos com permissões de compartilhamento mal configuradas podem vazar informações críticas.

Configurações que 90% das empresas ignoram

O Microsoft 365 tem um arsenal de ferramentas de segurança nativas — o problema é que a grande maioria das empresas não configura quase nenhuma delas. Veja as mais críticas:

Políticas de Acesso Condicional

O Acesso Condicional permite definir regras como "só permitir login de dispositivos gerenciados", "bloquear acesso de países onde a empresa não opera" ou "exigir MFA para acessos de locais desconhecidos". Poucas empresas configuram essas políticas, deixando a porta aberta para acessos não autorizados de qualquer lugar do mundo.

DLP (Data Loss Prevention)

Políticas de DLP impedem que dados sensíveis — como CPFs, números de cartão de crédito ou documentos financeiros — sejam compartilhados externamente por e-mail, Teams ou SharePoint. É uma camada de proteção essencial que pode ser configurada em minutos, mas que quase ninguém ativa.

Políticas de retenção

Você pode configurar o Microsoft 365 para reter e-mails e arquivos por períodos específicos (1 ano, 5 anos, 7 anos) para compliance e proteção legal. Sem essas políticas, dados podem ser excluídos permanentemente e sua empresa fica vulnerável em auditorias e processos judiciais.

Logs de auditoria

O Microsoft 365 registra todas as atividades — logins, acessos a arquivos, alterações de permissão, exclusões. Mas esses logs precisam estar habilitados e alguém precisa monitorá-los. Se você não sabe dizer quem acessou o que nos últimos 30 dias, seus logs provavelmente estão desligados ou ninguém está olhando.

Backup: a proteção que a Microsoft não oferece

Este é talvez o ponto mais crítico de todos. A Microsoft não faz backup dos seus dados. Ela oferece redundância geográfica (seus dados são replicados entre data centers para garantir disponibilidade), mas isso não é backup.

Redundância protege contra falha de hardware da Microsoft. Backup protege contra tudo o que sua empresa pode fazer de errado — exclusão acidental, ransomware, corrupção de dados, funcionário malicioso. São coisas completamente diferentes.

A própria Microsoft recomenda em seu contrato de serviço que as empresas utilizem soluções de backup de terceiros. Soluções como Veeam, Acronis e Afi fazem backup completo do Exchange Online, SharePoint, OneDrive e Teams, com retenção configurável e restauração granular (um e-mail específico, uma pasta, uma conta inteira).

Se sua empresa não tem um backup independente do Microsoft 365 hoje, você está correndo um risco desnecessário que pode ser eliminado com um investimento relativamente baixo.

MFA: a proteção mais simples e mais ignorada

Autenticação multifator (MFA) é, sem exagero, a medida de segurança com melhor custo-benefício que existe. A Microsoft estima que o MFA bloqueia 99,9% dos ataques de comprometimento de conta. Mesmo que um hacker consiga a senha de um funcionário via phishing, ele não consegue entrar sem o segundo fator de autenticação.

E ainda assim, um número assustador de empresas brasileiras não tem MFA habilitado para todos os usuários. Muitas habilitam apenas para administradores ou "quando der". Em segurança, "quando der" é sinônimo de "quando for tarde demais".

A implementação de MFA no Microsoft 365 é gratuita para todos os planos Business e Enterprise. Não há desculpa para não ativar. As opções vão desde SMS (menos seguro, mas melhor que nada) até aplicativos autenticadores (Microsoft Authenticator, Google Authenticator) e chaves de segurança físicas (FIDO2) para os cenários mais críticos.

Checklist: o mínimo que sua empresa deveria ter configurado

Se você não tem certeza sobre o estado da segurança do seu Microsoft 365, confira esta lista de verificação essencial:

• MFA habilitado para 100% dos usuários (sem exceção)
• Políticas de Acesso Condicional configuradas e ativas
• DLP configurado para dados sensíveis (CPF, financeiros, contratos)
• Backup independente do Exchange, SharePoint, OneDrive e Teams
• Políticas de retenção definidas conforme necessidade legal
• Logs de auditoria habilitados e monitorados regularmente
• Revisão trimestral de permissões de usuários e contas de ex-funcionários
• Treinamento de conscientização em segurança para todos os funcionários

Se mais de dois itens dessa lista estão pendentes na sua empresa, a situação exige atenção imediata.

Conclusão: segurança não é custo, é investimento

O custo de um incidente de segurança — vazamento de dados, ransomware, perda de informações críticas — é sempre maior do que o investimento em prevenção. Sempre. Empresas brasileiras perdem milhões por ano com ataques que poderiam ter sido evitados com configurações básicas que já estavam disponíveis no plano que elas já pagam.

A questão não é se um incidente vai acontecer — é quando. E quando acontecer, sua empresa estará preparada?

A Avvanti é especialista em segurança e gestão de ambientes Microsoft 365. Fazemos diagnóstico completo do seu ambiente, configuramos todas as proteções necessárias e implementamos backup profissional para que seus dados estejam realmente seguros. Fale com nosso time e solicite uma avaliação de segurança gratuita do seu Microsoft 365.