Ghiduri practice

Cum securizezi Microsoft 365 și Google Workspace pentru o firmă mică

Autor: Stefan IT

36 vizualizări

  • Laptop cu scut digital pentru securizarea Microsoft 365 și Google Workspace într-o firmă mică.

Publicat la: 1 iunie 2026

Timp estimat de citire: 16,3 minute

Microsoft 365 și Google Workspace au devenit, pentru multe firme mici, centrul activității zilnice: email, documente, calendare, fișiere partajate, Teams sau Google Meet, contacte, foldere de proiect și acces către alte aplicații de business. Tocmai de aceea, o strategie de securizare Microsoft 365 sau securizare Google Workspace nu mai este un moft tehnic, ci o măsură de bază pentru protecția firmei.

Dacă un cont cloud este compromis, atacatorul nu câștigă acces doar la o parolă. Poate vedea conversații cu clienții, contracte, facturi, documente interne, fișiere partajate și, în unele cazuri, poate trimite emailuri false în numele firmei. Pentru o firmă mică, o astfel de problemă poate însemna pierderi financiare, blocarea activității și scăderea încrederii clienților.

Acest ghid este scris pentru antreprenori, ONG-uri, freelanceri și firme mici care folosesc Microsoft 365 sau Google Workspace, dar nu au neapărat un departament IT intern. Nu este un manual enterprise complicat. Este o listă practică de setări și obiceiuri care te ajută să reduci riscul fără să transformi securitatea într-un proiect imposibil.

Pe scurt: ce trebuie să verifici prima dată

Dacă vrei să începi rapid, verifică mai întâi aceste setări. Ele oferă cea mai mare protecție pentru efortul depus:

  • Activează MFA pentru toți utilizatorii, nu doar pentru administratori.
  • Folosește conturi admin separate și nu le utiliza pentru activitatea zilnică.
  • Verifică utilizatorii activi și dezactivează conturile foștilor angajați.
  • Revizuiește partajările externe din Google Drive, OneDrive și SharePoint.
  • Controlează aplicațiile conectate care pot accesa emailuri, fișiere sau contacte.
  • Activează alerte de securitate pentru login-uri suspecte, parole schimbate și reguli noi de forwarding.
  • Verifică sesiunile active și deconectează dispozitivele necunoscute.
  • Configurează SPF, DKIM și DMARC pentru domeniul de email, dar tratează acest subiect ca parte din securizarea emailului.
  • Fă backup separat pentru emailuri și documente importante.
  • Notează ce ai schimbat, ca să poți verifica lunar setările fără să o iei de la zero.

De ce conturile cloud sunt o țintă importantă pentru atacatori

Un cont Microsoft 365 sau Google Workspace nu este doar un cont de email. Este o cheie către multe zone ale firmei. Emailul poate fi folosit pentru resetarea parolelor, documentele cloud pot conține informații despre clienți, iar conturile de administrator pot controla întreaga organizație.

Atacatorii caută frecvent conturi cloud pentru că sunt ușor de monetizat. Un cont compromis poate fi folosit pentru phishing, furt de documente, fraudă cu facturi, acces la fișiere sau creare de conturi noi. De multe ori, firmele mici nu sunt atacate manual, una câte una. Ele sunt prinse în campanii automate care testează parole reutilizate, conturi fără MFA sau utilizatori care răspund la emailuri de phishing.

Pentru o imagine mai largă despre riscurile firmelor mici, poți consulta și ghidul despre cybersecurity pentru firme mici. Acest articol merge însă pe o zonă precisă: cum administrezi mai sigur platforma cloud de lucru.

Zonă verificatăDe ce conteazăPrioritate
MFAReduce riscul ca o parolă furată să ofere acces direct la cont.Foarte mare
Conturi adminUn admin compromis poate modifica utilizatori, parole și setări de securitate.Foarte mare
Partajări externeDocumentele pot ajunge public sau la persoane care nu mai trebuie să aibă acces.Mare
Aplicații conectateO aplicație terță poate primi acces la emailuri, Drive, OneDrive sau contacte.Mare
BackupCloud-ul nu te protejează complet de ștergeri accidentale sau conturi compromise.Mare

MFA: prima setare obligatorie pentru securizare Microsoft 365 și Google Workspace

MFA, adică autentificarea multifactor, este una dintre cele mai importante măsuri de securitate pentru conturile cloud. Pe scurt, nu te mai bazezi doar pe parolă. După parolă, utilizatorul trebuie să confirme autentificarea printr-un cod, o aplicație Authenticator sau o cheie fizică de securitate. Dacă vrei o explicație separată, ai deja un ghid dedicat despre ce este MFA.

În 2026, parola singură nu mai este suficientă. Parolele pot fi furate prin phishing, reutilizate de pe alte site-uri sau ghicite dacă sunt slabe. MFA nu elimină complet riscul, dar face mult mai dificilă compromiterea contului.

  • În Microsoft 365, MFA poate fi activat prin Security Defaults sau politici Conditional Access, în funcție de licență.
  • În Google Workspace, 2-Step Verification se activează din Admin Console și poate fi impusă utilizatorilor.
  • Aplicațiile Authenticator sunt recomandate pentru majoritatea utilizatorilor.
  • Cheile de securitate sunt excelente pentru conturile de administrator și conturile foarte importante.
  • SMS-ul este mai bun decât nimic, dar nu este cea mai sigură variantă, mai ales pentru conturi critice.

Recomandarea practică este simplă: activează MFA pentru toți utilizatorii, apoi verifică lunar dacă există conturi care nu au finalizat configurarea. Nu lăsa MFA doar pentru administratori. Un cont obișnuit compromis poate fi suficient pentru furt de date sau fraude prin email.

Cum securizezi conturile de administrator

Conturile de administrator sunt cele mai sensibile conturi din Microsoft 365 și Google Workspace. Cu ele poți crea utilizatori, reseta parole, schimba setări de securitate, vedea alerte și modifica accesul la fișiere. Din acest motiv, nu trebuie folosite ca adrese de email zilnice.

  • Păstrează cel puțin două conturi admin, pentru situații de urgență, dar nu oferi drepturi admin tuturor.
  • Fiecare cont admin trebuie să aibă MFA activ, ideal prin aplicație Authenticator sau cheie de securitate.
  • Folosește un cont normal pentru email, documente și activitatea zilnică.
  • Folosește contul admin doar când faci setări administrative.
  • Verifică lunar cine are roluri de administrator și elimină accesul care nu mai este necesar.
  • Evită conturile generale de tip admin@ dacă nu ai un proces clar de control și audit.

O regulă bună este principiul accesului minim: fiecare persoană trebuie să aibă doar drepturile de care are nevoie pentru activitatea ei. Nu oferi acces de administrator doar pentru comoditate.

Verifică utilizatorii activi și conturile vechi

Unul dintre cele mai frecvente riscuri în firme mici este contul uitat. Un angajat pleacă, colaborarea se încheie, dar adresa de email și accesul la fișiere rămân active. După câteva luni, nimeni nu mai știe cine folosește contul și de ce există.

  • Verifică lista de utilizatori activi cel puțin lunar.
  • Dezactivează rapid conturile foștilor angajați și colaboratori.
  • Înainte de ștergere, transferă fișierele și emailurile importante către persoana responsabilă.
  • Revocă accesul la grupuri, foldere, aplicații și documente partajate.
  • Schimbă parolele conturilor comune, dacă au fost folosite vreodată în firmă.
  • Documentează un proces simplu de offboarding: cine verifică emailul, cine transferă fișierele, cine dezactivează accesul.

Nu șterge în grabă un cont fără să verifici datele importante. În multe firme mici, un cont de email poate conține contracte, conversații cu clienții sau documente fiscale. Mai întâi salvezi sau transferi datele, apoi dezactivezi accesul.

Partajarea documentelor: una dintre cele mai ignorate probleme

Google Drive, OneDrive și SharePoint fac colaborarea foarte ușoară. Tocmai de aceea apar și greșelile. Un document poate fi partajat cu „oricine are linkul”, un fost colaborator poate păstra accesul la un folder, iar un fișier sensibil poate fi trimis mai departe fără ca firma să observe.

Pentru documente obișnuite, partajarea rapidă este comodă. Pentru contracte, oferte financiare, baze de date cu clienți, documente contabile sau informații interne, trebuie să ai reguli clare.

  • Folosește partajarea către persoane specifice, nu linkuri publice, atunci când documentul este sensibil.
  • Acordă drepturi de Viewer, Commenter sau Editor în funcție de nevoie, nu automat Editor.
  • Revizuiește lunar fișierele partajate extern.
  • Elimină accesul colaboratorilor care nu mai lucrează cu firma.
  • În Microsoft 365, verifică partajările din OneDrive și SharePoint.
  • În Google Workspace, verifică partajările din Drive și regulile de acces extern.
  • Pentru documente sensibile, limitează descărcarea, copierea sau redistribuirea acolo unde platforma permite.

O regulă simplă: dacă un document nu ar trebui să ajungă public, nu folosi partajarea de tip „oricine are linkul”.

Aplicații conectate și permisiuni: ce trebuie verificat

În timp, utilizatorii conectează aplicații externe la conturile lor: calendare, CRM-uri, extensii de browser, aplicații de semnătură electronică, instrumente de automatizare sau servicii de productivitate. Unele sunt legitime. Altele cer prea multe permisiuni sau pot deveni un risc.

O aplicație conectată poate primi acces la emailuri, contacte, Drive, OneDrive, calendar sau fișiere. De aceea, aplicațiile terțe trebuie verificate periodic, nu acceptate automat.

  • Elimină aplicațiile necunoscute sau nefolosite.
  • Fii atent la aplicațiile care cer acces complet la email sau la toate fișierele.
  • În Google Workspace, verifică aplicațiile din zona de API controls / App access control.
  • În Microsoft 365, verifică aplicațiile și permisiunile din Microsoft Entra.
  • Limitează posibilitatea utilizatorilor de a aproba aplicații cu permisiuni sensibile, dacă platforma și licența permit.
  • Verifică și extensiile de browser folosite pe laptopurile firmei.

Nu orice aplicație conectată este periculoasă. Problema apare când nimeni nu verifică ce aplicații au acces și ce pot face cu datele firmei.

Alerte, loguri și activitate suspectă

Nu poți proteja ce nu verifici. Microsoft 365 și Google Workspace oferă zone de administrare unde poți vedea login-uri suspecte, schimbări de parole, activitate neobișnuită sau aplicații conectate. Pentru o firmă mică, nu trebuie să stai zilnic în loguri, dar o verificare lunară este o practică foarte bună.

  • Urmărește autentificările din țări sau locații neobișnuite.
  • Verifică schimbările recente de parole.
  • Fii atent la reguli noi de forwarding în email.
  • Verifică dacă au fost create conturi noi sau conturi admin noi.
  • Urmărește descărcări masive de fișiere sau partajări externe neașteptate.
  • Documentează alertele importante și ce măsuri ai luat.

Dacă observi activitate care indică un cont compromis, tratează situația ca incident de securitate. Poți folosi ca punct de pornire și ghidul despre cum afli dacă ai fost hackuit.

Securizarea emailului: SPF, DKIM și DMARC, pe scurt

Emailul este o componentă importantă în Microsoft 365 și Google Workspace, dar nu acesta este subiectul principal al articolului. Pentru SPF, DKIM, DMARC și MFA există deja un ghid dedicat pe stefanit.org. Aici păstrăm doar ideea esențială: domeniul de email trebuie configurat corect pentru a reduce riscul de spoofing și phishing.

  • SPF spune ce servere au voie să trimită emailuri în numele domeniului tău.
  • DKIM semnează digital emailurile trimise, pentru a ajuta destinatarul să verifice autenticitatea mesajului.
  • DMARC spune ce trebuie să facă serverele destinatarilor cu emailurile care nu trec verificările SPF sau DKIM.
  • Politicile DMARC pot fi none, quarantine sau reject, în funcție de etapa de implementare.

Pentru pași detaliați, citește ghidul dedicat despre cum securizezi emailul firmei cu SPF, DKIM, DMARC și MFA. În acest articol, reține doar că setările de email trebuie să facă parte din auditul lunar al platformei cloud.

Backup: de ce cloud-ul nu înseamnă automat backup complet

O greșeală frecventă este ideea că „dacă datele sunt în cloud, nu mai am nevoie de backup”. Microsoft și Google oferă infrastructură robustă, dar asta nu înseamnă că firma este protejată complet de ștergeri accidentale, conturi compromise, ransomware sincronizat sau greșeli umane.

Sincronizarea nu este același lucru cu backupul. Dacă un fișier este șters sau criptat și modificarea se sincronizează, problema se poate propaga rapid. De aceea, pentru datele importante, merită să ai o soluție separată de backup și să testezi restaurarea.

  • Fă backup pentru emailuri, documente și foldere critice.
  • Testează restaurarea, nu doar existența backupului.
  • Verifică perioada de retenție pentru fișiere șterse.
  • Păstrează backupul administrat separat de conturile obișnuite ale utilizatorilor.
  • Nu presupune că un folder sincronizat local este backup.

Pentru detalii, poți lega acest articol de ghidul despre backup pentru firme și de explicația despre strategia 3-2-1 pentru backup.

Setări recomandate pentru Google Workspace

Dacă folosești Google Workspace, începe cu aceste verificări. Unele opțiuni pot varia în funcție de ediția folosită, dar principiile rămân aceleași: controlul accesului, MFA, partajări limitate și monitorizare.

  • Activează 2-Step Verification pentru toți utilizatorii.
  • Verifică utilizatorii activi și dezactivează conturile nefolosite.
  • Verifică cine are roluri de administrator și păstrează doar rolurile necesare.
  • Configurează SPF, DKIM și DMARC pentru domeniul de email.
  • Revizuiește partajările externe din Google Drive.
  • Verifică aplicațiile terțe conectate și blochează aplicațiile necunoscute.
  • Activează alertele de securitate relevante în Admin Console.
  • Verifică login-urile suspecte și sesiunile active.
  • Configurează metode de recuperare pentru conturile critice.
  • Verifică regulile de forwarding din Gmail.
  • Verifică dacă foștii angajați mai au acces la fișiere, grupuri sau calendare.

Setări recomandate pentru Microsoft 365

În Microsoft 365, multe setări se gestionează prin Microsoft 365 Admin Center, Microsoft Entra și, în funcție de licență, Microsoft Defender. Nu toate funcțiile sunt disponibile în toate planurile, dar există măsuri de bază aplicabile majorității firmelor mici.

  • Activează MFA pentru utilizatori.
  • Folosește Security Defaults ca bază simplă, dacă nu ai politici avansate de Conditional Access.
  • Verifică rolurile de administrator și limitează numărul de admini.
  • Folosește cont admin separat pentru administrare.
  • Configurează SPF, DKIM și DMARC pentru domeniul de email.
  • Verifică forwarding-ul extern din Outlook/Exchange Online.
  • Verifică aplicațiile conectate și consimțământul acordat aplicațiilor.
  • Monitorizează login-urile suspecte.
  • Verifică partajarea documentelor din OneDrive și SharePoint.
  • Verifică grupurile, listele de distribuție și utilizatorii invitați.
  • Ia în calcul Microsoft Defender pentru Office 365 dacă licența permite și riscul firmei justifică investiția.

Greșeli frecvente pe care trebuie să le eviți

  • Să folosești aceeași parolă pe mai multe conturi.
  • Să lași MFA dezactivat pentru utilizatori obișnuiți.
  • Să ai prea multe conturi de administrator.
  • Să lași active conturile foștilor angajați.
  • Să partajezi documente sensibile cu „oricine are linkul”.
  • Să nu verifici forwarding-ul extern în email.
  • Să ignori configurarea SPF, DKIM și DMARC.
  • Să crezi că sincronizarea este același lucru cu backupul.
  • Să ignori alertele de securitate.
  • Să folosești contul admin pentru activitatea zilnică.
  • Să nu ai un proces lunar de verificare a utilizatorilor, partajărilor și aplicațiilor conectate.

Pentru partea de parole, poți trimite cititorii către articolul despre parole sigure pentru firme mici. Este mai bine să ai parole unice, gestionate într-un manager de parole, decât parole memorate și refolosite peste tot.

Checklist lunar pentru firme mici

O securitate bună nu înseamnă să configurezi totul o singură dată și apoi să uiți. Pentru Microsoft 365 și Google Workspace, merită să ai o verificare lunară de 20-30 de minute.

  • [ ] Am verificat utilizatorii activi.
  • [ ] Am verificat conturile de administrator.
  • [ ] Am dezactivat conturile care nu mai sunt folosite.
  • [ ] Am verificat MFA pentru toți utilizatorii.
  • [ ] Am verificat login-urile suspecte.
  • [ ] Am verificat aplicațiile conectate.
  • [ ] Am verificat regulile de forwarding.
  • [ ] Am verificat fișierele partajate extern.
  • [ ] Am verificat SPF, DKIM și DMARC.
  • [ ] Am verificat backupul și restaurarea.
  • [ ] Am verificat alertele de securitate.
  • [ ] Am documentat modificările importante.

Dacă vrei un punct de plecare mai general, poți lega acest ghid și de checklistul de securitate IT pentru firme.

Ce faci dacă suspectezi că un cont Microsoft 365 sau Google Workspace a fost compromis

Dacă observi emailuri trimise fără acordul utilizatorului, login-uri suspecte, reguli noi de forwarding sau aplicații conectate necunoscute, acționează rapid. Nu schimba parolele de pe un dispozitiv suspect. Folosește un laptop sau telefon considerat sigur.

  1. Schimbă parola contului de pe un dispozitiv sigur.
  2. Deconectează toate sesiunile active.
  3. Activează sau resetează MFA.
  4. Verifică emailurile trimise și șterse.
  5. Verifică regulile de forwarding și filtrele automate.
  6. Verifică aplicațiile conectate și elimină-le pe cele necunoscute.
  7. Verifică fișierele accesate, descărcate sau partajate recent.
  8. Verifică dacă au fost create conturi noi sau roluri admin noi.
  9. Contactează furnizorul IT sau administratorul platformei.
  10. Informează clienții sau partenerii afectați, dacă s-au trimis mesaje false.
  11. Documentează incidentul: dată, oră, cont afectat, acțiuni observate și măsuri luate.

Dacă problema a început de la un email suspect, ajută să consulți și ghidul despre cum recunoști un email de phishing. Dacă există suspiciunea că adresa de email a fost compromisă, vezi și cum verifici dacă emailul tău a fost spart.

Întrebări frecvente

Este Microsoft 365 sigur pentru firme mici?

Da, Microsoft 365 poate fi o platformă sigură pentru firme mici, dar nivelul de protecție depinde mult de configurare. MFA, rolurile de administrator, partajările, aplicațiile conectate și backupul trebuie verificate regulat.

Este Google Workspace sigur pentru firme mici?

Da, Google Workspace oferă instrumente solide de securitate, dar ele trebuie activate și gestionate corect. O firmă mică trebuie să verifice MFA, utilizatorii activi, partajările din Drive și aplicațiile terțe conectate.

Este suficientă o parolă puternică?

Nu. O parolă puternică este importantă, dar nu suficientă. Conturile cloud trebuie protejate cu MFA, parole unice și monitorizare a activității suspecte.

Am nevoie de backup dacă folosesc cloud?

Da. Cloud-ul oferă disponibilitate și redundanță, dar nu elimină riscul de ștergeri accidentale, conturi compromise sau fișiere modificate greșit. Backupul separat și testarea restaurării rămân importante.

Ce sunt SPF, DKIM și DMARC?

Sunt mecanisme care ajută la autentificarea emailului trimis de pe domeniul firmei. Ele reduc riscul ca altcineva să trimită emailuri false în numele domeniului tău, dar trebuie configurate corect în DNS.

Cât de des trebuie verificate conturile?

Pentru firme mici, o verificare lunară este un minim realist. Verifică utilizatorii, administratorii, MFA, partajările externe, aplicațiile conectate și alertele de securitate.

Ce fac dacă un angajat pleacă din firmă?

Dezactivează contul, transferă datele importante, revocă accesul la fișiere și aplicații, verifică grupurile și partajările și schimbă parolele conturilor comune, dacă acestea au fost folosite.

Concluzie

Securizarea Microsoft 365 și Google Workspace nu este doar treaba companiilor mari. Firmele mici pot reduce semnificativ riscul prin câteva măsuri aplicate consecvent: MFA pentru toți utilizatorii, conturi admin separate, verificarea utilizatorilor activi, controlul partajărilor externe, verificarea aplicațiilor conectate și backup separat pentru datele importante.

Cel mai bun mod de a începe este să alegi primele patru acțiuni: activează MFA, verifică administratorii, verifică utilizatorii activi și revizuiește documentele partajate extern. După aceea, adaugă verificarea aplicațiilor conectate, alertele și backupul. O securizare Microsoft 365 sau o securizare Google Workspace eficientă nu înseamnă perfecțiune, ci disciplină și verificări regulate.

Pentru completarea acestui ghid, poți publica legături interne către articolele despre securizarea emailului firmei, MFA, backup pentru firme și update-uri de securitate.

Surse consultate

Lasă un comentariu

Vrei să primești ghiduri de securitate cibernetică?

Abonează-te la newsletterul StefanIT și primești articole și checklist-uri utile pentru protejarea firmei.

Related Posts

Cum testezi restaurarea backupului firmei: checklist practic pentru 2026
Cum testezi restaurarea backupului firmei: checklist practic pentru 2026
Gallery

Cum testezi restaurarea backupului firmei: checklist practic pentru 2026

iunie 3rd, 2026|0 Comentarii
Cum securizezi routerul firmei: setări esențiale pe care mulți le ignoră
Cum securizezi routerul firmei: setări esențiale pe care mulți le ignoră
Gallery

Cum securizezi routerul firmei: setări esențiale pe care mulți le ignoră

mai 31st, 2026|0 Comentarii
Plan de răspuns la incidente cibernetice pentru firme mici: ce faci în primele 24 de ore
Plan de răspuns la incidente cibernetice pentru firme mici: ce faci în primele 24 de ore
Gallery

Plan de răspuns la incidente cibernetice pentru firme mici: ce faci în primele 24 de ore

mai 29th, 2026|0 Comentarii
Cum securizezi emailul firmei în 2026: SPF, DKIM, DMARC și MFA explicate simplu
Cum securizezi emailul firmei în 2026: SPF, DKIM, DMARC și MFA explicate simplu
Gallery

Cum securizezi emailul firmei în 2026: SPF, DKIM, DMARC și MFA explicate simplu

mai 27th, 2026|0 Comentarii
Update-uri de securitate în 2026: ghid complet pentru utilizatori
Update-uri de securitate în 2026: ghid complet pentru utilizatori
Gallery

Update-uri de securitate în 2026: ghid complet pentru utilizatori

mai 23rd, 2026|0 Comentarii