Não deixe a porta do Microsoft 365 entreaberta: utilize a visão de "Deus" do BSM para identificar com precisão os riscos de segurança

Na era em que os riscos da digitalização se tornam cada vez mais complexos, como podem as empresas antecipar ameaças à segurança e realizar a transição de uma defesa passiva para uma gestão proativa? O Microsoft Baseline Security Mode (Modo de Segurança Base, doravante Microsoft BSM), lançado recentemente no final de 2025, está a tornar-se uma direção importante na evolução da arquitetura de cibersegurança das empresas globais.

Como parceiro estratégico da Microsoft, a PwC não só participou ativamente na implementação inicial do Microsoft BSM, como também acumulou experiência de ponta em diversos cenários práticos. Com base na sua prática de segurança de arquiteturas complexas, a PwC ajuda as organizações a identificar e consolidar configurações e protocolos de alto risco ainda utilizados no Microsoft 365 (M365, doravante M365) e no Entra ID, através de relatórios de impacto e avaliação de dependências e impactos nos negócios, promovendo a reforço da linha de base de forma controlada. Assim, oferece caminhos concretos para resolver problemas de proteção de sistemas antigos e consolidar a linha de base de segurança.

Para isso, organizamos e publicamos este artigo de estreia, com o objetivo de compartilhar nossas percepções e práticas pioneiras no campo do Microsoft BSM, ajudando empresas que já utilizam ou planejam adotar essa tecnologia a avançar na construção de segurança, com agilidade e inteligência.

1. Por que a “linha de base de segurança” se tornou uma prioridade urgente atualmente?

As ameaças na rede estão entrando numa nova fase de “aceleração por IA”: atacantes, usando grandes modelos e ferramentas automatizadas, conseguem escanear exponencialmente mais rápido e com maior precisão, identificando pontos fracos e atingindo objetivos com maior mobilidade no ambiente empresarial. Assim, grupos de cibercrime encontram mais facilmente brechas em configurações de segurança herdadas, que não só vêm de sistemas antigos, mas também de configurações e protocolos históricos ainda utilizados em grande escala no M365 e na plataforma de identidade Entra da Microsoft. Quando essas configurações de alto risco se combinam com arquiteturas multicloud ou híbridas, os defensores muitas vezes se veem a correr atrás, enquanto os atacantes se tornam mais audaciosos.

Para superar esses adversários, as empresas precisam estabelecer uma “visibilidade global” em ambientes complexos e interdependentes: incluindo tanto os tenants e aplicações na nuvem quanto pontos críticos de controle na cadeia de identidade e acesso. O desafio real reside na forte “ocultação” e “dependência” dessas configurações herdadas — que podem ter sido herdadas ao longo de anos de iteração, mas carecem de mecanismos contínuos de inventário e consolidação. Se o ritmo de atualização e reforço não acompanhar, esses pontos podem ser usados pelos atacantes para contornar verificações rigorosas, ampliar privilégios ou mover-se lateralmente e verticalmente. Além disso, problemas básicos como configurações de nuvem deslocadas ou riscos na integração entre sistemas ainda são amplamente presentes, enquanto adversários com novas tecnologias elevam ainda mais esses riscos.

A PwC, no seu “Insight Global de Confiança Digital 2026”, confirma essa tendência por meio de pesquisa: ameaças relacionadas à nuvem são consideradas a principal ameaça de rede para as empresas, enquanto configurações herdadas e a cadeia de suprimentos figuram como as duas principais vulnerabilidades, com mais da metade dos entrevistados admitindo que, sob ataques relacionados, suas respostas são apenas “no limite”. Assim, embora os focos variem por setor, a resposta eficaz passa por reforçar as práticas de segurança fundamentais — consolidando a linha de base de segurança para que o sistema de defesa seja estável.

Nesse contexto, ao implementar “configurações de linha de base de segurança”, as organizações frequentemente enfrentam dores comuns, como:

2. Microsoft BSM: a capacidade de “Segurança por padrão” oferecida pela Microsoft

Com mais de 90% das empresas da Fortune 500 já cobertas pelo M365 e suas ferramentas de suporte, como o Copilot, a Microsoft lançou, no final de 2025, uma nova linha de produtos de segurança baseada no M365, o Microsoft BSM. Essa capacidade está profundamente integrada no centro de administração do M365 e oferece uma configuração de linha de base de segurança para o ecossistema de identidade da Microsoft e do M365, consolidando configurações de segurança críticas dispersas entre aplicações e portais de gestão como Office, Exchange, Teams, SharePoint/OneDrive, em uma interface única. Com base na análise de dados reais de ataques, prioriza configurações herdadas ou de alto risco mais frequentemente exploradas.

Com o Microsoft BSM, os administradores podem rapidamente visualizar o estado das configurações e suas prioridades de correção em um painel único. Após avaliar o impacto de mudanças por meio de relatórios e simulações (What-if), podem aplicar uma gestão “por interruptor”, ativando configurações padrão de segurança ou bloqueando globalmente funcionalidades de alto risco.

O foco é eliminar configurações herdadas, conhecidas por serem facilmente exploradas por atacantes, que permanecem em aplicações do M365 e no Entra, mesmo após anos de uso.

Serviços principais do Microsoft BSM atualmente

Identidade e permissões: redução do sucesso de ataques por credenciais e movimento lateral

Protocolos de autenticação antigos e tokens continuam sendo uma das principais portas de entrada. O Microsoft BSM recomenda desativar configurações herdadas em serviços como Exchange, SharePoint/OneDrive, Teams e aplicações do M365, para reduzir riscos de phishing, ataques de força bruta e uso de credenciais comprometidas.

Bloqueio de protocolos antigos: desativar protocolos como POP, IMAP, SMTP e EWS (Exchange Web Services) que não suportam MFA ou acesso condicional, cortando canais de login de alto risco.

Bloqueio de prompts de autenticação básica: impedir que usuários insiram credenciais em janelas de aviso inseguras, reduzindo o risco de roubo de credenciais e ataques de phishing.

Arquivos e colaboração: redução da superfície de ataque por documentos maliciosos e configurações antigas

Aplicações do M365 (Word, Excel, PowerPoint) aumentam a produtividade, mas formatos antigos de arquivos (como .doc do Word) e controles ActiveX embutidos representam riscos de segurança. O Microsoft BSM recomenda migrar gradualmente para formatos mais modernos e seguros, além de limitar ou eliminar arquivos com ActiveX, reduzindo a superfície de ataque desde a origem.

Após obter consentimento para acesso a dados de diagnóstico detalhados, o BSM fornece visibilidade granular, como o número de usuários que ainda usam documentos antigos com ActiveX nos últimos 28 dias, e quantas vezes esses arquivos foram abertos, ajudando na educação dos usuários e na consolidação de estratégias de segurança.

Salas de reunião e dispositivos compartilhados: tornando “ativos ocultos” controláveis

O Microsoft BSM foca em duas práticas essenciais para reduzir o risco de uso indevido e vazamento de dados em ambientes de reunião:

Bloqueio de login de dispositivos não gerenciados e contas de recursos (como contas de salas de reunião) nas aplicações do M365, para diminuir pontos de entrada para uso indevido.

Restrição de acesso de contas de recursos do Teams Rooms a arquivos do M365 durante reuniões, evitando leitura ou download não autorizado de conteúdos sensíveis.

Implementar essas configurações aumenta significativamente a segurança das salas de reunião e protege informações confidenciais.

Visão geral das funcionalidades do Microsoft BSM

Planejamento futuro do Microsoft BSM

A primeira fase do Microsoft BSM — o lançamento do Microsoft BSM 2025 — já implementou 20 configurações de linha de base em cinco aplicações principais. A equipe da Microsoft Digital apoiou a validação e implantação dessas funcionalidades em toda a empresa. A próxima fase de atualizações já está em andamento, com um escopo maior, incluindo 46 funcionalidades — mais do que o dobro da primeira rodada. A equipe do produto está expandindo o alcance, com foco em: restrições mais aprofundadas de protocolos, controle mais amplo de aplicações e estratégias de autenticação mais granulares.

3. Dores comuns na implementação de linhas de base de segurança vs como o Microsoft BSM responde

O Microsoft BSM não substitui um sistema completo de segurança (como detecção de ameaças, resposta e governança de dados), mas prioriza o fortalecimento da “fundação”: configurações padrão mais rígidas que reduzem pontos de entrada exploráveis por atacantes, apoiadas por simulações de impacto e dados de diagnóstico, para que as empresas possam avançar na correção de forma aceitável para os negócios.

Dores na implementação de linhas de base de segurança & capacidades do Microsoft BSM

4. Cenários típicos de aplicação do Microsoft BSM

Com base nas necessidades de proteção de toda a cadeia de trabalho digital, o Microsoft BSM pode ser aplicado com precisão em diversos cenários de negócios e operações essenciais. Seus planos de proteção contra riscos de segurança frequentes em ambientes de trabalho, atuando em pontos críticos como contas, autenticação, scripts, transmissão, controles e login de dispositivos, atendem às principais dores de segurança do dia a dia empresarial.

5. Diferenças entre o Microsoft BSM e outros produtos de segurança da Microsoft: evitando equívocos comuns

Muitas empresas já implementaram o Microsoft Secure Score, o Entra Access, o Defender e diversos scripts de linha de base, levando a questionamentos como “o Microsoft BSM é redundante?”. Recomendamos entender as diferenças de posicionamento para evitar confusões de funcionalidades.

Visão geral comparativa dos principais produtos de segurança da Microsoft

6. De “configuração” a “implementação”: a experiência de implementação da PwC

Devido à sua escala e complexidade, a PwC também enfrenta riscos de configurações herdadas que podem se transformar em vetores de ataque com o tempo. Por isso, apoiada na parceria estratégica com a Microsoft, a PwC foi uma das primeiras organizações globais a testar o Microsoft BSM, adotando uma abordagem de “validação e sedimentação” para fornecer metodologias e caminhos de entrega reutilizáveis para uma implementação em larga escala.

O que aprendemos na fase piloto?

Primeiro, o Microsoft BSM oferece uma interface mais centralizada e operacional de controle e gestão. Configurações dispersas anteriormente em múltiplos consoles agora podem ser visualizadas e gerenciadas de forma consolidada, identificando rapidamente configurações herdadas ainda em uso e, quando necessário, aplicando estratégias simples de “interruptor” para consolidar e bloquear capacidades de alto risco, transformando riscos pontuais em uma gestão sistêmica.

É importante destacar que o Microsoft BSM não fornece uma lista de configurações “para aplicar de uma só vez”. Na fase piloto, observamos que muitas recomendações envolvem ajustes que impactam dependências de aplicações, métodos de autenticação e protocolos históricos. Com base nisso, incorporamos essas recomendações aos processos de gestão de mudanças e avaliação de riscos, criando roteiros de correção por fases: revisando periodicamente os dados de impacto fornecidos pelo BSM, identificando previamente usuários e aplicações potencialmente afetados, e alinhando com os responsáveis de negócio alternativas, janelas de transição e estratégias de exceção personalizadas, garantindo uma implementação controlada, que eleve a segurança sem comprometer a continuidade operacional.

Nosso valor está em traduzir o entendimento dos processos e dependências empresariais em rotas de correção, ritmo de mudança e mecanismos de responsabilidade, promovendo uma implementação que eleva a linha de base de segurança sem sacrificar a continuidade dos negócios.

Como operacionalizar essa estratégia?

Embora o Microsoft BSM gere dados necessários automaticamente, reconhecemos que os usuários precisam de planos de ação claros e concretos. Com base na nossa experiência, desenvolvemos várias capacidades complementares:

• Soluções automatizadas: ferramentas e painéis personalizados que ajudam a interpretar os dados do BSM, priorizar correções e acompanhar a redução de riscos;

• Centro de suporte periódico: estrutura de suporte que oferece recursos e suporte técnico desde o planejamento até a implementação;

• Manuais operacionais padronizados: procedimentos baseados na prática para orientar a implementação eficiente das recomendações do BSM.

Com essas soluções e experiências, a PwC pode ajudar as empresas a transformar as funcionalidades de segurança do Microsoft BSM em resultados concretos, fechando o ciclo de gestão de dados, riscos e controles.

Visão geral dos serviços de implementação do Microsoft BSM pela PwC

A aceleradora (Accelerator) do BSM desenvolvida pela PwC centraliza os relatórios de impacto dispersos, que antes precisavam ser baixados um a um, e, combinando os metadados de usuários e aplicações do Entra, transforma informações de impacto que antes só continham IDs de aplicação e responsáveis em um mapa que relaciona linhas de negócio, aplicações, responsáveis e escopo de impacto. Assim, a equipe de segurança consegue, na mesma visão, cruzar configurações por departamento, aplicação e responsável, evitando comunicações repetidas. Além disso, com rastreamento visual de mudanças, mede continuamente a redução de riscos e apoia relatórios periódicos à gestão, elevando a implementação do Microsoft BSM de uma ação pontual para um projeto colaborativo, rastreável e de ciclo fechado.

7. Conclusão: transformar “segurança padrão” na linguagem comum da organização com o Microsoft BSM

Hoje, as empresas podem identificar rapidamente configurações herdadas e vulnerabilidades em protocolos antigos. O Microsoft BSM fornece mecanismos proativos de bloqueio, prevenindo o uso de componentes de alto risco desde a origem. Com auditorias e órgãos reguladores cada vez mais rigorosos na avaliação da segurança, esses investimentos não só atendem às exigências de conformidade, mas também se tornam vantagens estratégicas.

Num ambiente altamente conectado, uma vulnerabilidade de segurança pode gerar riscos sistêmicos. Investir em medidas proativas como o Microsoft BSM é fundamental — a segurança básica deixou de ser uma questão interna e passou a ser uma responsabilidade de toda a indústria. A força do ecossistema depende da solidez de cada elo; somente uma otimização conjunta de toda a cadeia pode elevar o padrão de segurança global.

A equipe de cibersegurança da PwC, especializada em segurança de redes, conformidade de dados e confiança digital, utiliza as ideias e práticas relacionadas ao Microsoft BSM como núcleo, combinando experiências globais de ponta com capacidades locais de implementação, para oferecer aos clientes de diversos setores um ciclo completo de serviços de segurança, desde o planejamento estratégico até a operação, fortalecendo a base de segurança na transformação digital.