Iniciativa CpC: Cidadãos pela Cibersegurança

Sabia que ao permitir que um utilizador utilize a sua subscrição pessoal do Microsoft 365 num computador corporativo pode trazer riscos de segurança e compliance significativos para a organização?

Published by

geral347e22ab3b

on

1. Riscos de segurança

Mistura de dados pessoais e corporativos: O utilizador pode sincronizar ficheiros pessoais no OneDrive ou SharePoint pessoal, o que pode confundir fronteiras entre dados pessoais e empresariais. Isto pode levar à exposição acidental de dados corporativos.

Perda de controlo sobre dados corporativos:  Se o utilizador guardar ficheiros da empresa na sua conta pessoal, a organização não terá forma de aplicar políticas de retenção, DLP (Data Loss Prevention) ou encriptação nesses dados.

Falta de monitorização e auditoria:  Contas pessoais não estão sob o controlo do Azure AD/Microsoft Entra ID da empresa. Logo, não se aplicam políticas de MFA, logging centralizado, alertas de segurança ou gestão de dispositivos.

Risco de malware ou aplicações não autorizadas: Contas pessoais podem permitir a instalação de add-ins ou apps que não são aprovados pela empresa, criando pontos de entrada para ataques (phishing, malware, etc.).

2. Riscos de compliance e legais

Violação de políticas internas:  Muitas empresas proíbem o uso de contas pessoais em dispositivos corporativos por questões de conformidade (GDPR, ISO 27001, etc.).

Responsabilidade sobre incidentes:  Se dados corporativos forem comprometidos através da conta pessoal, a empresa poderá não conseguir investigar ou remediar adequadamente, tornando difícil apurar responsabilidades.

Possíveis fugas de informação na saída do colaborador: Se o colaborador sair da empresa e tiver dados corporativos na sua conta pessoal, não existe forma de revogar o acesso.

3. Controlo técnico

É possível mitigar alguns riscos usando:

Políticas de Conditional Access (bloquear login de contas pessoais).

Políticas do Intune / MDM para impedir contas pessoais em apps Microsoft.

Bloquear OneDrive pessoal via GPO ou configurações do Office.

Perfis separados (ex.: contas pessoais só em perfis locais não corporativos).

4. Quando pode ser aceitável?

a) O computador for BYOD (Bring Your Own Device) e tiver segmentação clara entre perfis pessoais e corporativos (Windows Hello for Business, WIP).

b) A empresa tiver políticas claras e técnicas para isolar dados pessoais e corporativos.

c) A subscrição pessoal não for usada para armazenar dados corporativos e estiver documentado no regulamento interno.

Deixe um comentário

Previous Post
Next Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

Anterior

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.