Gerenciamento do Google Workspace: segurança, administração e backup para equipes de TI

O Google Workspace tornou-se a principal plataforma de produtividade para uma parcela significativa das pequenas e médias empresas, especialmente em setores que o adotaram desde o início e construíram seus fluxos de trabalho em torno do Gmail, Drive, Docs e Meet. Para equipes de TI e MSPs, gerenciá-lo de forma eficaz significa mais do que apenas manter as licenças atribuídas. Significa assumir o controle da configuração de segurança, preencher as lacunas deixadas pelas ferramentas nativas do Google e garantir que os dados dos clientes estejam protegidos de maneiras que a própria plataforma não garante.

Este guia aborda as três áreas em que uma gestão adequada faz a maior diferença: administração, segurança e backup. A plataforma da Kaseya dá suporte a mais de 50.000 MSPs e equipes de TI em todo o mundo que gerenciam exatamente esses ambientes, e os padrões abaixo refletem onde as coisas dão errado na prática.

Administração do Google Workspace: o básico e o que há de errado nas configurações padrão

A administração do Google Workspace é feita por meio do Console de administração, uma interface baseada na web que abrange o gerenciamento de usuários e grupos, a estrutura de unidades organizacionais, o gerenciamento de dispositivos, as configurações de segurança e a geração de relatórios. O modelo é nativo da nuvem: as alterações entram em vigor imediatamente e não há nenhum servidor local para manter. Essa simplicidade tem um lado negativo. Como não há uma configuração padrão aplicada aos novos locatários, as configurações padrão costumam ser menos restritivas do que o exigido por um ambiente empresarial.

As três áreas em que as configurações padrão costumam causar mais problemas são: autenticação, compartilhamento de unidades e acesso por dispositivos móveis.

Autenticação. A verificação em duas etapas (2SV) é o controle de segurança mais importante em qualquer ambiente do Google Workspace. Ela não é aplicada por padrão para usuários comuns. Um administrador deve acessar Segurança > Autenticação > Verificação em duas etapas e ativá-la, seja para toda a organização ou por unidade organizacional. O Google agora aplica a 2SV às contas de administrador como parte de uma política gradual, mas a ativação para usuários finais continua sendo uma ação deliberada do administrador. De acordo com o Relatório de Insights sobre Segurança de Aplicativos SaaS 2025 da Kaseya, a MFA está desativada ou inativa em mais de 60% das contas SaaS de usuários finais. Deixar a 2SV opcional não é uma escolha neutra. É aceitar um risco conhecido.

Compartilhamento de unidades. A configuração padrão de compartilhamento em muitos locatários permite que “Qualquer pessoa com o link” tenha acesso aos arquivos. Isso significa que um usuário que compartilha um documento pode expô-lo a qualquer pessoa na internet que tenha o URL, sem a necessidade de fazer login. Os administradores de TI devem definir a configuração padrão para toda a organização como “Desativado (restrito)” e exigir aprovação explícita para o compartilhamento externo. Os departamentos financeiros, as equipes de RH e qualquer pessoa que lide com dados de clientes devem estar em unidades organizacionais com controles de compartilhamento mais rígidos aplicados especificamente.

Acesso por dispositivos móveis. O Google Workspace inclui gerenciamento básico de terminais para dispositivos móveis, mas não oferece controle granular sobre quais dados os aplicativos podem acessar ou como os dispositivos devem ser tratados em caso de perda ou desativação. Para organizações com políticas de BYOD (Traga seu próprio dispositivo) ou nas quais dispositivos móveis acessam dados confidenciais no Drive ou no Gmail, o gerenciamento de terminais por meio de um MDM dedicado vai além do que o Google oferece nativamente.

Gerenciamento do ciclo de vida do usuário. O desativamento imediato das contas quando os funcionários deixam a empresa é tanto um requisito de segurança quanto uma medida de controle de custos de licenciamento. A sequência correta consiste em suspender a conta primeiro, transferir a propriedade de quaisquer arquivos do Drive e dados do Gmail para um gerente ou conta de serviço e, em seguida, excluir a conta após o período de retenção padrão. Fluxos de trabalho automatizados de desligamento que se integram IT Glue e Autotask eliminam as lacunas deixadas pelos processos manuais.

Configuração de segurança: o que deve ser implementado desde o primeiro dia

Além da autenticação de duas etapas (2SV) e do compartilhamento de configurações padrão, várias opções no Console de Administração exigem uma configuração cuidadosa para garantir um nível básico de segurança adequado para empresas.

Acesso de aplicativos menos seguros. O Google descontinuou o suporte à autenticação básica em contas do Gmail para consumidores em 2022, mas alguns aplicativos e conectores legados ainda solicitam essa autenticação nos locatários do Workspace. O Console de administração oferece uma configuração para bloquear totalmente o acesso de aplicativos menos seguros. Qualquer aplicativo que não consiga se autenticar via OAuth deve ser avaliado para substituição.

Monitoramento da atividade administrativa. A seção Relatórios do Console de administração registra eventos de login, atividades administrativas, alterações no compartilhamento do Drive e alertas de segurança. Esses registros devem ser analisados regularmente. Atividades administrativas incomuns, como a criação de um novo superadministrador ou a exclusão em massa de usuários, exigem investigação imediata. A configuração de alertas para eventos de alto risco, como atribuições da função de superadministrador ou anomalias de login, leva apenas alguns minutos no Console de administração e oferece uma cobertura de detecção significativa.

Aplicação da política de senhas. A configuração “Exigir senha forte” do Google Workspace vem desativada por padrão. Os administradores devem ativá-la e definir um comprimento mínimo de pelo menos 12 caracteres. A política pode ser aplicada no nível da unidade organizacional, o que permite requisitos mais rigorosos para contas com privilégios elevados sem afetar os usuários de menor risco com fluxos de trabalho diferentes.

Acesso de aplicativos de terceiros. A seção de controle de APIs do Google permite que os administradores analisem e restrinjam quais aplicativos de terceiros receberam acesso OAuth aos dados do Workspace. Concessões OAuth não revisadas provenientes de TI paralela — como ferramentas de produtividade que os funcionários conectam sem a aprovação do departamento de TI — podem acessar dados do Drive, do Gmail e do Calendário sem que haja visibilidade contínua. Revisões trimestrais da lista de aplicativos autorizados são uma base prática. Definir a política para exigir aprovação do administrador para novas conexões de aplicativos de terceiros evita que novas autorizações se acumulem silenciosamente.

Um teste prático para avaliar o nível de segurança do seu Google Workspace: pergunte a si mesmo se você seria capaz de elaborar hoje uma lista de todos os aplicativos de terceiros com acesso aos dados dos usuários, de todas as contas sem a autenticação de dois fatores (2SV) ativada e de todos os arquivos compartilhados publicamente. Se a resposta para qualquer uma dessas perguntas for “não”, a auditoria do Console de Administração é o ponto de partida.

A lacuna no backup: por que o Google Vault não é suficiente

O Google Vault é o recurso mais frequentemente confundido com backup. Não se trata de uma solução de backup. O Vault oferece retenção de dados para fins de eDiscovery e conformidade. Ele retém os dados na própria infraestrutura do Google, o que significa que um ataque de ransomware ou o comprometimento de uma conta que afete o ambiente principal do Workspace pode afetar simultaneamente os dados retidos pelo Vault. Ele não oferece recuperação em um ponto específico no tempo e não protege contra as causas mais comuns de perda de dados na prática: exclusão acidental, ações de funcionários que estão saindo da empresa e erros de sincronização decorrentes de integrações de terceiros.

O modelo de responsabilidade compartilhada do Google é bem claro quanto a isso. O Google é responsável pela disponibilidade e segurança da infraestrutura da plataforma. Os clientes são responsáveis pelos seus dados. Essa responsabilidade não é transferida para o Google pelo simples fato de os dados estarem armazenados na nuvem.

Os riscos práticos estão bem documentados. Um usuário exclui arquivos definitivamente do Gmail ou do Drive e, após o término do prazo de 30 dias da Lixeira, os dados desaparecem. Um arquivo malicioso é sincronizado com o Drive e sobrescreve as versões inalteradas nas pastas compartilhadas. Um funcionário que está deixando a empresa exclui arquivos de projetos antes que sua conta seja suspensa. Nenhum desses cenários aciona uma recuperação por parte do Google, pois nenhum deles envolve uma falha na infraestrutura do Google.

Spanning Backup, parte do Kaseya 365 , resolve essa questão oferecendo backup diário automatizado do Gmail, do Drive, das Unidades Compartilhadas, do Calendário e dos Contatos, com armazenamento criptografado independente fora da infraestrutura do Google e recuperação em um ponto específico no tempo. Para os MSPs, a conversa com os clientes do Google Workspace segue a mesma estrutura da conversa sobre backup do Microsoft 365: o Google protege a plataforma. Um produto de backup de terceiros protege os dados.

O recurso de monitoramento da dark web da Kaseya oferece uma camada adicional de proteção, alertando os administradores quando endereços de e-mail e credenciais de funcionários associados ao domínio aparecem em bancos de dados de violações. A presença de uma credencial de um funcionário do cliente em um banco de dados de credenciais pode indicar que ela foi reutilizada contra a conta do Workspace antes mesmo que seja disparado qualquer alerta de login.

Segurança de e-mails: o que os filtros do Google deixam passar

Os filtros nativos de spam e phishing do Gmail são amplamente eficazes contra ameaças conhecidas e campanhas em grande escala. No entanto, são significativamente menos eficazes contra ataques direcionados. E-mails de spear-phishing criados especificamente para um destinatário, tentativas de comprometimento de e-mail corporativo (BEC) que se fazem passar por um executivo ou fornecedor e phishing de dia zero que utiliza domínios recém-registrados costumam passar pelos filtros do Google e chegar à caixa de entrada.

Isso não é uma falha da plataforma do Google. Trata-se de uma descrição precisa do modelo de ameaça. Os ataques direcionados são projetados para contornar a detecção baseada em volume. Um MSP que gerencia 50 clientes do Google Workspace não pode confiar nos filtros integrados do Gmail para identificar as mensagens com maior probabilidade de causar danos significativos.

INKY, parte do Kaseya 365 , adiciona uma camada baseada em IA à segurança de e-mail do Google Workspace que opera acima dos filtros nativos. Ele utiliza tecnologia de visão computacional para identificar falsificações de marcas e uso indevido de logotipos em tempo real, detectando tentativas de phishing que se fazem passar visualmente por remetentes confiáveis. É implementado via API, sem a necessidade de alterações nos registros MX, e adiciona banners de aviso codificados por cores aos e-mails identificados como suspeitos, alertando os usuários sobre o risco sem retirar a mensagem de seu controle. INKY oferece prevenção contra perda de dados (DLP), criptografia e aplicação de DMARC, o que amplia a proteção além do phishing de entrada para o tratamento de dados de saída e a autenticação do remetente.

Especificamente para os MSPs, INKY significativamente a carga administrativa. Um teste interno realizado em implantações de MSPs revelou que os administradores reduziram o tempo dedicado ao gerenciamento da segurança de e-mail de cerca de 40 horas para aproximadamente 1 hora por mês.

Detecção e resposta em nuvem para o Google Workspace

O Console de Administração do Google exibe eventos de login e atividades administrativas, mas não correlaciona sinais comportamentais em todo o ambiente do Workspace em tempo real. Uma conta que tenha feito login a partir de um local incomum, baixado grandes volumes de arquivos do Drive e criado conexões OAuth com novos aplicativos de terceiros em um intervalo de 30 minutos não é automaticamente sinalizada como comprometida. Cada evento é visível isoladamente. A correlação que o identifica como um incidente, porém, não é.

SaaS Alerts, parte do Kaseya 365 , oferece detecção e resposta na nuvem para o Google Workspace, monitorando continuamente a atividade dos usuários e aplicando análises comportamentais baseadas em aprendizado de máquina para identificar anomalias. Ao detectar um possível comprometimento, ele pode responder automaticamente: encerrando sessões ativas, desativando a conta e encaminhando um alerta para o MSP ou a equipe de TI sem esperar pela intervenção humana.

O módulo Respond para o Google Workspace, lançado em 2024, permite que os MSPs configurem regras baseadas na lógica “se/então”. Um exemplo típico: se um login bem-sucedido for feito de fora de uma área geográfica aprovada, o Respond encerra todas as sessões ativas e bloqueia novos logins até que o titular da conta seja verificado. Essas regras são executadas continuamente, inclusive fora do horário comercial, o que é importante porque invasões de contas detectadas numa sexta-feira à noite têm todo o fim de semana para se transformarem em incidentes maiores, caso não haja uma resposta automatizada em vigor.

SaaS Alerts monitora o uso indevido de autorizações OAuth, um dos vetores de ataque mais comuns e menos visíveis em ambientes de nuvem. Quando um usuário conecta um novo aplicativo SaaS à sua conta do Workspace via OAuth, SaaS Alerts a conexão e pode alertar o administrador ou acionar uma regra de resposta. Em 2024, SaaS Alerts mais de 7,3 bilhões de eventos em ambientes SaaS para seu Relatório Anual de Insights sobre Segurança de Aplicativos SaaS. Desses eventos, mais de um bilhão apresentavam gravidade média ou crítica, um número que torna o monitoramento automatizado contínuo, e não a revisão manual periódica, o único modelo de gerenciamento realista.

Gerenciamento do Google Workspace em grande escala com Kaseya 365

Um MSP que gerencia 30 clientes do Google Workspace enfrenta uma versão agravada de todos os problemas descritos acima. As configurações de segurança variam entre os locatários. A cobertura de backup é inconsistente. Falhas na segurança de e-mail em um ambiente de cliente criam riscos para os demais. Sem uma plataforma unificada, acompanhar o ritmo exige ciclos significativos de revisão manual ou aceitar uma cobertura inconsistente.

Kaseya 365 reúne as três principais camadas de segurança e proteção do Google Workspace em uma única assinatura. INKY a detecção avançada de ameaças por e-mail e o treinamento dos usuários. SaaS Alerts monitoramento comportamental contínuo e resposta automatizada em todo o ambiente do Workspace. Spanning backup diário automatizado com armazenamento independente e recuperação em um ponto específico no tempo. Todos os três se conectam ao Google Workspace por meio de API, sem necessidade de instalação de agentes nem de gerenciamento de infraestrutura.

O argumento comercial a favor dos MSPs é simples. Cada uma dessas camadas aborda um risco que as ferramentas nativas do Google não cobrem totalmente. Clientes que utilizam o Google Workspace sem backup SaaS estão expostos a perdas de dados que seus planos de continuidade de negócios não conseguem resolver. Clientes sem detecção e resposta na nuvem não têm visibilidade sobre o comprometimento de contas até que o dano já tenha ocorrido. Apresentar essas lacunas de forma clara, com evidências do modelo de responsabilidade compartilhada e de ações de fiscalização, quando relevante, é a conversa que leva Kaseya 365 de uma discussão sobre complementos para uma expectativa básica.

Conheça Kaseya 365 para proteção do Google Workspace.

Para uma análise mais aprofundada de como a segurança de aplicativos SaaS se encaixa na estratégia mais ampla de resiliência cibernética dos MSPs, consulte a Lista de Verificação de Resiliência Cibernética para MSPs e o Relatório Kaseya sobre a Situação dos MSPs de 2026.