Checklist keamanan untuk bisnis sedang dan besar (100+ pengguna)

Admin IT untuk bisnis sedang dan besar harus mengikuti praktik terbaik keamanan ini untuk membantu memperkuat keamanan dan privasi data perusahaan. Anda dapat menggunakan satu atau beberapa setelan di konsol Google Admin untuk menerapkan setiap praktik terbaik dalam checklist ini.

Jika bisnis Anda tidak memiliki admin IT, lihat apakah rekomendasi di Checklist keamanan untuk bisnis kecil (1–100 pengguna) lebih sesuai untuk bisnis Anda.

Catatan: Tidak semua setelan yang dijelaskan di sini tersedia di semua edisi Google Workspace atau edisi Cloud Identity.

Praktik terbaik keamanan—Penyiapan

Untuk membantu melindungi bisnis Anda, banyak setelan yang direkomendasikan dalam checklist ini diaktifkan secara default.

Buka semua  |  Tutup semua

Akun administrator

Karena admin super mengontrol akses ke semua data bisnis dan karyawan dalam organisasi, akun mereka harus dilindungi dengan baik.

Untuk mengetahui daftar rekomendasi yang lengkap, buka Praktik terbaik keamanan untuk akun administrator.

Akun

Menerapkan autentikasi multifaktor

Wajibkan Verifikasi 2 Langkah untuk pengguna

Verifikasi 2 Langkah membantu melindungi akun pengguna dari akses yang tidak sah jika seseorang berusaha mendapatkan sandinya.

Melindungi bisnis dengan Verifikasi 2 Langkah | Men-deploy Verifikasi 2 Langkah

Terapkan kunci keamanan, setidaknya untuk admin dan akun penting lainnya

Kunci keamanan adalah perangkat hardware kecil yang digunakan saat login. Alat ini memberikan autentikasi faktor kedua untuk mencegah serangan phishing.

Men-deploy Verifikasi 2 Langkah

Melindungi sandi

Bantu mencegah penggunaan ulang sandi dengan Notifikasi Sandi

Gunakan Notifikasi Sandi untuk memastikan bahwa pengguna tidak menggunakan kredensial perusahaan di situs lain.

Mencegah penggunaan ulang sandi

Gunakan sandi yang unik

Sandi yang baik sangat penting untuk melindungi akun pengguna dan admin. Sandi yang unik tidak akan mudah ditebak. Selain itu, jangan gunakan ulang sandi untuk akun yang berbeda, seperti email dan perbankan online.

Membuat sandi yang kuat & akun yang lebih aman

Membantu mencegah dan mengatasi akun yang disusupi

Tinjau laporan aktivitas dan notifikasi secara teratur

Tinjau laporan aktivitas terkait status akun, status admin, dan detail pendaftaran Verifikasi 2 Langkah.

Laporan aktivitas Akun

Siapkan peringatan email admin

Siapkan peringatan email untuk peristiwa yang berpotensi berisiko, seperti upaya login yang mencurigakan, perangkat seluler yang disusupi, atau perubahan setelan yang dilakukan admin lain.

Peringatan email admin

Tambahkan verifikasi login pengguna

Siapkan verifikasi login untuk upaya login yang mencurigakan. Pengguna harus memasukkan kode verifikasi yang dikirim Google ke nomor telepon atau alamat email pemulihan milik mereka atau menjawab verifikasi login yang hanya dapat diselesaikan oleh pemilik akun.

Memverifikasi identitas pengguna dengan keamanan tambahan |  Menambahkan ID karyawan sebagai verifikasi login

Identifikasi dan amankan akun yang disusupi

Jika Anda mencurigai adanya akun yang disusupi, tangguhkan akun tersebut, selidiki aktivitas yang berbahaya, dan lakukan tindakan jika diperlukan.

  • Tinjau perangkat seluler yang dikaitkan dengan akun
  • Gunakan Penelusuran log email untuk meninjau log pengiriman untuk domain Anda
  • Gunakan Laporan keamanan untuk mengevaluasi eksposur domain terhadap risiko keamanan data.
  • Pastikan apakah ada setelan mencurigakan yang dibuat

Mengidentifikasi dan mengamankan akun yang disusupi

Nonaktifkan download data Google sesuai kebutuhan

Jika akun disusupi atau pengguna keluar dari perusahaan, cegah pengguna tersebut mendownload semua data Google miliknya dengan Google Takeout.

Mengaktifkan atau menonaktifkan Takeout bagi pengguna

Cegah akses yang tidak sah setelah karyawan keluar dari perusahaan

Untuk mencegah kebocoran data, cabut akses pengguna ke data organisasi saat mereka keluar organisasi.

Menjaga keamanan data setelah karyawan keluar dari perusahaan

Aplikasi (khusus Google Workspace)

Tinjau akses aplikasi pihak ketiga ke layanan inti

Identifikasi dan setujui aplikasi pihak ketiga yang dapat mengakses layanan inti Google Workspace seperti Gmail dan Drive.

Mengontrol aplikasi pihak ketiga & internal mana yang dapat mengakses data Google Workspace

Blokir akses ke aplikasi yang kurang aman

Aplikasi yang kurang aman tidak menggunakan standar keamanan yang modern, seperti OAuth, dan dapat meningkatkan risiko penyusupan akun atau perangkat.

Mengontrol akses ke aplikasi yang kurang aman

Buat daftar aplikasi tepercaya

Buat daftar aplikasi yang diizinkan yang menentukan aplikasi pihak ketiga mana yang dapat mengakses layanan inti Google Workspace.

Mengontrol aplikasi pihak ketiga & internal mana yang dapat mengakses data Google Workspace

Kontrol akses ke layanan inti Google

Anda dapat mengizinkan atau memblokir akses ke aplikasi Google seperti Gmail, Drive, dan Kalender berdasarkan alamat IP perangkat, asal geografis, kebijakan keamanan, atau OS. Misalnya, Anda dapat mengizinkan Drive untuk desktop hanya di perangkat milik perusahaan di negara/wilayah tertentu.

Ringkasan Akses Kontekstual

Menambahkan lapisan enkripsi lain ke data aplikasi pengguna

Jika organisasi Anda menangani kekayaan intelektual sensitif atau beroperasi di industri yang diatur dengan regulasi ketat, Anda dapat menambahkan enkripsi sisi klien ke Gmail, Google Drive, Google Meet, dan Google Kalender.

Tentang enkripsi lain

Kalender (khusus Google Workspace)

Membatasi opsi berbagi kalender eksternal

Batasi opsi berbagi kalender eksternal pada informasi senggang/sibuk saja. Tindakan ini mengurangi risiko kebocoran data.

Menetapkan opsi berbagi dan visibilitas kalender

Peringatkan pengguna saat mereka mengundang tamu eksternal

Secara default, Kalender memperingatkan pengguna saat mereka mengundang tamu eksternal. Tindakan ini mengurangi risiko kebocoran data. Pastikan peringatan ini aktif untuk semua pengguna.

Mengizinkan undangan eksternal di acara Google Kalender

Google Chat dan Hangouts klasik (khusus Google Workspace)

Batasi orang yang dapat melakukan chat secara eksternal

Hanya izinkan pengguna yang memiliki kebutuhan spesifik untuk mengirim pesan atau membuat ruang dengan pengguna di luar organisasi Anda. Tindakan ini mencegah pengguna eksternal melihat diskusi internal sebelumnya dan mengurangi risiko kebocoran data.

Mengaktifkan opsi chat eksternal

Peringatkan pengguna saat melakukan chat di luar domain (khusus Hangouts klasik)

Tampilkan peringatan kepada pengguna saat mereka melakukan chat dengan orang di luar domain. Jika diaktifkan, percakapan chat grup akan dipisah saat orang pertama dari luar domain ditambahkan ke diskusi. Tindakan ini mencegah pengguna eksternal melihat diskusi internal sebelumnya dan mengurangi risiko kebocoran data.

Di Chat, ruang dan pengguna eksternal selalu ditandai "Eksternal".

Mengaktifkan opsi chat eksternal

Tetapkan kebijakan undangan chat

Tentukan pengguna mana yang dapat menerima undangan chat secara otomatis berdasarkan kebijakan kolaborasi organisasi Anda.

Menyetujui undangan chat secara otomatis

Browser Chrome dan perangkat ChromeOS

Pastikan browser Chrome dan ChromeOS diupdate

Untuk memastikan pengguna memiliki patch keamanan terbaru, izinkan update. Untuk browser Chrome, selalu izinkan update. Secara default, perangkat ChromeOS diupdate ke versi Chrome terbaru saat tersedia. Pastikan update otomatis diaktifkan untuk semua pengguna perangkat ChromeOS.

Menetapkan kebijakan Chrome untuk pengguna atau browser | Mengelola update di perangkat ChromeOS

Luncurkan kembali secara otomatis untuk menerapkan update

Setel browser Chrome dan perangkat ChromeOS untuk memberi tahu pengguna bahwa mereka perlu meluncurkan kembali browser atau memulai ulang perangkat agar update dapat diterapkan, serta meluncurkan ulang secara otomatis setelah waktu yang ditetapkan jika pengguna tidak mengambil tindakan.

Memberi tahu pengguna untuk memulai ulang guna menerapkan update tertunda

Tetapkan kebijakan dasar perangkat ChromeOS dan browser Chrome

Tetapkan kebijakan berikut di konsol Google Admin:

  • Izinkan pengelola sandi (Diizinkan secara default).
  • Tetapkan Safe Browsing ke Selalu aktif.
  • Cegah pengguna melanjutkan ke situs berbahaya (jangan izinkan pengguna mengabaikan peringatan Safe Browsing).

Menetapkan kebijakan Chrome untuk pengguna

Tetapkan kebijakan browser Chrome lanjutan

Cegah akses tidak sah, download berbahaya, dan kebocoran data pada situs dengan menetapkan kebijakan lanjutan berikut:

  • AllowedDomainsForApps—Izinkan akses ke layanan dan alat Google organisasi Anda hanya untuk akun dari domain yang Anda tentukan.
  • DownloadRestrictions—Blokir download berbahaya.
  • SitePerProcess—Aktifkan agar setiap situs di browser Chrome berjalan sebagai proses terpisah. Dengan opsi ini, meskipun jika situs mengabaikan kebijakan asal yang sama, keamanan tambahan akan membantu menghentikan situs tersebut mencuri data pengguna dari situs lain.

Menetapkan kebijakan Browser Chrome di PC terkelola | Panduan Konfigurasi Keamanan Browser Chrome untuk Perusahaan (Windows)

Tetapkan kebijakan browser desktop Windows

Jika organisasi Anda ingin menggunakan Browser Chrome, tetapi pengguna masih perlu mengakses situs dan aplikasi lama yang memerlukan Internet Explorer, ekstensi Dukungan Browser Lama Chrome akan mengizinkan pengguna beralih di antara Chrome dan browser lainnya secara otomatis. Gunakan Dukungan Browser Lama untuk mendukung aplikasi yang memerlukan browser lama.

Dukungan browser lama untuk Windows

Perangkat seluler, komputer, dan endpoint lainnya

Anda dapat melindungi akun pengguna dan data kerja mereka di perangkat seluler, tablet, laptop, dan komputer dengan pengelolaan endpoint Google.

Untuk mengetahui daftar lengkap rekomendasi, buka Checklist keamanan pengelolaan perangkat.

Drive

Membatasi opsi berbagi dan kolaborasi di luar domain

Tetapkan opsi atau buat aturan untuk berbagi file di luar organisasi

Batasi berbagi file dalam batas domain dengan menonaktifkan opsi berbagi atau dengan membuat aturan kepercayaan (yang memberi Anda kontrol berbagi yang lebih akurat). Tindakan ini akan mengurangi risiko kebocoran data dan pemindahan data yang tidak sah. Jika aktivitas berbagi diperlukan di luar organisasi karena kebutuhan bisnis, Anda dapat menentukan cara aktivitas berbagi dilakukan untuk unit organisasi, atau menentukan domain yang disetujui.

Membatasi fitur berbagi di luar domain yang diizinkan | Membatasi fitur berbagi di luar organisasi Anda | Membuat aturan kepercayaan untuk membatasi fitur berbagi eksternal

Peringatkan pengguna saat mereka berbagi file di luar domain

Jika Anda mengizinkan pengguna berbagi file di luar domain, aktifkan peringatan saat pengguna melakukannya. Hal ini memungkinkan pengguna memastikan apakah tindakan ini memang diinginkan, dan mengurangi risiko kebocoran data.

Memperingatkan pengguna saat berbagi di luar

Cegah pengguna memublikasikan file di web

Nonaktifkan publikasi file di web. Tindakan ini mengurangi risiko kebocoran data.

Jangan izinkan pengguna berbagi file secara publik

Menetapkan opsi akses umum untuk berbagi file

Tetapkan opsi akses default untuk berbagi file ke Dibatasi. Hanya pemilik file yang memiliki akses hingga file tersebut dibagikan. Atau, buat grup berbagi kustom (target audiens) untuk pengguna di berbagai departemen.

Menetapkan opsi akses file

Batasi akses file ke penerima saja

Saat pengguna berbagi file melalui produk Google selain Dokumen atau Drive (misalnya, dengan menempelkan link di Gmail), Pemeriksa Akses dapat memeriksa apakah penerima dapat mengakses file tersebut. Siapkan Pemeriksa Akses untuk Penerima saja. Hal ini memberi Anda kontrol atas aksesibilitas link yang dibagikan oleh pengguna, dan mengurangi risiko kebocoran data.

Memilih opsi Pemeriksa Akses

Cegah atau batasi risiko pengguna eksternal dapat menemukan keanggotaan grup organisasi Anda

Untuk mencegah pengguna di organisasi lain yang menggunakan Google Workspace menemukan keanggotaan grup organisasi Anda, jangan izinkan organisasi eksternal berbagi file dengan pengguna Anda. Atau, untuk membatasi jenis risiko ini, izinkan berbagi eksternal hanya dengan domain yang diizinkan.

Jika Anda menggunakan setelan berbagi Google Drive: Untuk setiap unit organisasi yang ingin Anda lindungi dari risiko ini, lakukan salah satu tindakan berikut:

  • Untuk mencegah risiko ini, nonaktifkan berbagi eksternal dan hapus centang pada opsi untuk mengizinkan pengguna menerima file dari pengguna eksternal.
  • Untuk membatasi risiko ini, izinkan berbagi eksternal hanya dengan domain yang diizinkan.

Untuk mengetahui detailnya, lihat Mengelola berbagi eksternal untuk organisasi.

Jika Anda menggunakan aturan kepercayaan untuk berbagi Drive: Untuk membatasi risiko ini, buat aturan kepercayaan terlebih dahulu dengan setelan berikut: 

  • Cakupan—Unit organisasi atau grup yang ingin Anda lindungi dari risiko ini
  • PemicuDrive > Menerima file
  • Kondisi—Domain atau organisasi eksternal yang diizinkan dan tepercaya.
  • TindakanIzinkan

Untuk mengetahui detailnya, lihat Membuat aturan kepercayaan.

Selanjutnya, nonaktifkan aturan default bernama [Default] Pengguna di organisasi saya dapat berbagi dengan peringatan dan menerima dari siapa saja. Untuk mengetahui detailnya, buka Melihat atau mengedit detail aturan kepercayaan.

Wajibkan login dengan Google untuk kolaborator eksternal

Wajibkan kolaborator eksternal untuk login menggunakan Akun Google. Jika tidak memiliki Akun Google, mereka dapat membuatnya secara gratis. Tindakan ini mengurangi risiko kebocoran data.

Menonaktifkan undangan untuk Akun non-Google di luar domain

Batasi orang yang dapat memindahkan konten dari drive bersama​

Hanya izinkan pengguna di organisasi Anda untuk memindahkan file dari drive bersama mereka ke lokasi Drive di organisasi lain.

Mengontrol file yang disimpan di drive bersama

Kontrol fitur berbagi konten di drive bersama baru

Batasi orang yang dapat membuat drive bersama, mengakses konten, atau mengubah setelan untuk drive bersama baru.

Mengontrol fitur berbagi di drive bersama

Membatasi salinan lokal data Drive

Nonaktifkan akses ke dokumen offline

Untuk mengurangi risiko kebocoran data, pertimbangkan untuk menonaktifkan akses ke dokumen offline. Jika dokumen dapat diakses secara offline, salinan dokumen akan tersimpan secara lokal. Jika ada alasan bisnis untuk mengaktifkan akses ke dokumen offline, aktifkan fitur ini untuk setiap unit organisasi guna meminimalkan risiko.

Mengontrol penggunaan offline editor Dokumen

Nonaktifkan akses desktop ke Drive

Pengguna dapat memperoleh akses desktop ke Drive dengan Google Drive untuk desktop. Untuk mengurangi risiko kebocoran data, pertimbangkan untuk menonaktifkan akses desktop ke Drive. Jika memutuskan untuk mengaktifkan akses desktop, aktifkan hanya untuk pengguna dengan kebutuhan bisnis penting.

Menonaktifkan sinkronisasi untuk organisasi Anda

Mengontrol akses ke data Anda oleh aplikasi pihak ketiga

Jangan izinkan add-on Google Dokumen

Untuk mengurangi risiko kebocoran data, pertimbangkan untuk tidak mengizinkan pengguna menginstal add-on untuk Google Dokumen dari toko add-on. Guna mendukung kebutuhan bisnis tertentu, Anda dapat menerapkan add-on khusus untuk Google Dokumen sesuai dengan kebijakan organisasi.

Mengaktifkan add-on di editor Google Dokumen

Perlindungan untuk data sensitif

Blokir atau peringatkan saat berbagi file berisi data sensitif

Untuk mengurangi risiko kebocoran data, siapkan aturan Perlindungan Kebocoran Data untuk memindai file yang berisi data sensitif dan lakukan tindakan saat pengguna mencoba membagikan file yang cocok dengan aturan tersebut ke pihak eksternal. Misalnya, Anda dapat memblokir berbagi dokumen secara eksternal yang berisi nomor paspor dan menerima peringatan email.

Mencegah kebocoran data menggunakan DLP untuk Drive

Gmail (khusus Google Workspace)

Menyiapkan autentikasi dan infrastruktur

Autentikasi email dengan SPF, DKIM, dan DMARC

SPF, DKIM, dan DMARC membuat sistem validasi email yang menggunakan setelan DNS untuk mengautentikasi, menandatangani secara digital, dan membantu mencegah spoofing domain.

Penyerang terkadang memalsukan alamat "Dari" pada pesan email untuk membuat email tampak seperti dikirim oleh pengguna di domain Anda. Untuk mencegah hal ini, Anda dapat menyiapkan SPF dan DKIM di semua aliran data email keluar.

Setelah SPF dan DKIM disiapkan, Anda dapat menyiapkan data DMARC untuk menentukan cara Google dan penerima lainnya memperlakukan email yang tidak terautentikasi yang terlihat seperti berasal dari domain Anda.

Mencegah spam, spoofing, dan phishing dengan autentikasi Gmail

Siapkan gateway email masuk agar berfungsi dengan SPF

SPF membantu mencegah pesan keluar dikirim ke spam, tetapi gateway dapat memengaruhi cara kerja SPF. Jika Anda menggunakan gateway email untuk memilih rute email masuk, pastikan gateway email tersebut disiapkan dengan benar untuk Sender Policy Framework (SPF).

Menyiapkan gateway email masuk

Terapkan TLS dengan domain partner Anda

Siapkan setelan TLS untuk mewajibkan koneksi aman untuk email ke (atau dari) domain partner.

Mewajibkan email dikirim melalui koneksi aman (TLS)

Wajibkan autentikasi pengirim untuk semua pengirim yang disetujui​

Saat membuat daftar alamat berisi pengirim yang disetujui yang dapat mengabaikan klasifikasi spam, wajibkan autentikasi. Saat autentikasi pengirim nonaktif, Gmail tidak dapat memverifikasi apakah pesan tersebut memang dikirim oleh pengguna yang memiliki alamat email tersebut. Mewajibkan autentikasi akan mengurangi risiko spoofing dan phishing/whaling. Pelajari autentikasi pengirim lebih lanjut.

Menyesuaikan setelan filter spam

Konfigurasi data MX agar aliran email benar

Konfigurasikan data MX Anda agar mengarah ke server email Google sebagai data prioritas tertinggi guna memastikan aliran email yang benar ke pengguna domain Google Workspace. Tindakan ini akan mengurangi risiko penghapusan data (karena email yang hilang) dan ancaman malware.

Menyiapkan data MX untuk Gmail Google Workspace | ​Nilai data MX Google Workspace

Melindungi pengguna dan organisasi

Nonaktifkan akses IMAP/POP

Klien desktop IMAP dan POP memungkinkan pengguna mengakses Gmail melalui klien email pihak ketiga. Nonaktifkan akses POP dan IMAP untuk pengguna yang tidak membutuhkan akses ini secara eksplisit. Tindakan ini akan mengurangi risiko kebocoran data, penghapusan data, dan pemindahan data yang tidak sah. Tindakan ini juga dapat mengurangi ancaman serangan karena klien IMAP mungkin tidak memiliki perlindungan yang sama seperti klien pihak ketiga.

Mengaktifkan & menonaktifkan IMAP dan POP untuk pengguna

Nonaktifkan penerusan otomatis

Cegah pengguna meneruskan email masuk secara otomatis ke alamat lain. Tindakan ini mengurangi risiko pemindahan data yang tidak sah melalui penerusan email, yang merupakan teknik yang biasa digunakan oleh penyerang.

Menonaktifkan penerusan otomatis

Aktifkan penyimpanan email komprehensif

Penyimpanan email komprehensif memastikan bahwa salinan semua email yang dikirim dan diterima di domain Anda—termasuk email yang dikirim atau diterima melalui kotak surat non-Gmail—disimpan di kotak surat Gmail pengguna terkait. Aktifkan setelan ini untuk mengurangi risiko penghapusan data. Jika Anda menggunakan Google Vault, pastikan email dipertahankan atau dibekukan.

Menyiapkan penyimpanan email komprehensif | Penyimpanan email komprehensif dan Vault

Jangan abaikan filter spam untuk pengirim internal

Nonaktifkan Abaikan filter spam untuk pengirim internal karena setiap alamat eksternal yang ditambahkan ke grup akan diperlakukan sebagai alamat internal. Dengan menonaktifkan setelan ini, Anda dapat memastikan bahwa semua email pengguna difilter untuk menghindari spam, termasuk email dari pengirim internal. Tindakan ini mengurangi risiko spoofing dan phishing/whaling.

Menyesuaikan setelan filter spam

Tambahkan setelan header spam ke semua aturan pemilihan rute default

Header spam membantu memaksimalkan kapasitas pemfilteran server email downstream dan mengurangi risiko spoofing serta phishing/whaling. Saat menyiapkan aturan pemilihan rute default, centang kotak Tambahkan header X-Gm-Spam dan X-Gm-Phishy agar Gmail menambahkan header tersebut untuk menunjukkan status spam serta phishing pada pesan.

Misalnya, administrator di server downstream dapat menggunakan informasi ini untuk menyiapkan aturan yang menangani spam dan phishing secara berbeda dari email yang bersih.

Mengonfigurasi pemilihan rute default

Aktifkan pemindaian pesan sebelum dikirim yang ditingkatkan

Saat Gmail mengidentifikasi bahwa pesan email mungkin bersifat phishing, setelan ini memungkinkan Gmail untuk melakukan pemeriksaan tambahan pada pesan tersebut.

Menggunakan pemindaian pesan sebelum pengiriman yang ditingkatkan

Mengaktifkan peringatan penerima eksternal

Gmail akan mendeteksi jika penerima eksternal dalam balasan email bukan seseorang yang sering berinteraksi dengan pengguna, atau tidak ada dalam Kontak pengguna. Jika Anda mengonfigurasi setelan ini, pengguna Anda akan menerima peringatan dan opsi untuk mengabaikannya.

Mengonfigurasi peringatan penerima eksternal

Aktifkan perlindungan lampiran tambahan

Google akan memindai pesan masuk untuk melindungi dari malware, meskipun jika setelan perlindungan lampiran berbahaya tambahan tidak diaktifkan. Mengaktifkan perlindungan lampiran tambahan dapat menangkap email yang sebelumnya tidak diidentifikasi sebagai berbahaya.

Mengaktifkan perlindungan lampiran

Aktifkan perlindungan konten eksternal dan link tambahan
Google memindai pesan masuk untuk melindungi dari malware, meskipun jika setelan perlindungan konten dan link berbahaya tambahan tidak diaktifkan. Mengaktifkan perlindungan link dan gambar eksternal dapat menangkap email yang sebelumnya tidak diidentifikasi sebagai phishing.

Mengaktifkan gambar eksternal dan perlindungan link

Aktifkan perlindungan spoofing tambahan

Google akan memindai pesan masuk untuk melindungi dari spoofing, meskipun jika setelan perlindungan spoofing tambahan tidak diaktifkan. Mengaktifkan perlindungan spoofing dan autentikasi tambahan dapat, misalnya, mengurangi risiko spoofing berdasarkan nama domain atau nama karyawan yang sama.

Mengaktifkan perlindungan autentikasi dan spoofing

Pertimbangan keamanan untuk tugas Gmail harian

Hati-hati saat mengganti filter spam

Untuk mencegah peningkatan spam, pertimbangkan baik-baik jika Anda mengganti filter spam default Gmail.

  • Jika Anda menambahkan domain atau alamat email ke daftar pengirim yang disetujui, wajibkan autentikasi. Jika tidak, pengirim tanpa autentikasi dapat mengabaikan filter spam Gmail.
  • Hati-hati jika Anda menambahkan alamat IP ke daftar email yang diizinkan, terutama jika Anda menambahkan alamat IP dalam jumlah besar melalui notasi CIDR.
  • Jika Anda meneruskan pesan ke domain Google Workspace melalui gateway masuk, tambahkan alamat IP gateway masuk ke setelan gateway masuk, bukan daftar email yang diizinkan.
  • Pantau dan sesuaikan aturan kepatuhan untuk membantu mencegah spam serta phishing.

Menyesuaikan setelan Gmail untuk organisasi

Jangan cantumkan domain dalam daftar pengirim yang disetujui

Jika Anda menyiapkan pengirim yang disetujui dan mencentang kotak Abaikan filter spam untuk pesan yang diterima dari alamat atau domain dalam daftar pengirim yang disetujui berikut, hapus semua domain dari daftar pengirim yang disetujui. Menghapus domain dari daftar pengirim yang disetujui dapat mengurangi risiko spoofing dan phishing/whaling.

Menyesuaikan setelan filter spam

Jangan tambahkan alamat IP ke daftar yang diizinkan

Biasanya, email yang dikirim dari alamat IP dalam daftar yang diizinkan tidak ditandai sebagai spam. Untuk memanfaatkan layanan pemfilteran spam Gmail secara maksimal dan mendapatkan hasil klasifikasi spam terbaik, alamat IP server email Anda serta server email partner yang meneruskan email ke Gmail harus ditambahkan ke Gateway email masuk, bukan daftar IP yang diizinkan.

Menambahkan alamat IP ke daftar yang diizinkan di Gmail | Menyiapkan gateway email masuk

Perlindungan untuk data sensitif

Pindai dan blokir email dengan data sensitif

Untuk mengurangi risiko kebocoran data, pindai email keluar dengan pendeteksi Perlindungan Kebocoran Data yang telah ditetapkan untuk melakukan tindakan saat pengguna menerima atau mengirim pesan yang berisi konten sensitif. Misalnya, Anda dapat memblokir pengguna agar tidak mengirim pesan yang berisi nomor kartu kredit dan menerima peringatan email.

Memindai traffic email Anda menggunakan aturan DLP

Google Grup

Gunakan grup yang didesain untuk keamanan

Pastikan hanya pengguna tertentu yang dapat mengakses aplikasi dan resource sensitif dengan mengelolanya menggunakan grup keamanan. Tindakan ini mengurangi risiko kebocoran data.

Menyediakan akses yang lebih aman ke data & resource

Tambahkan kondisi keamanan ke peran admin

Hanya izinkan admin tertentu untuk mengontrol grup keamanan. Tetapkan admin lain yang hanya dapat mengontrol grup non-keamanan. Tindakan ini mengurangi risiko kebocoran data dan ancaman orang dalam yang berniat jahat.

Menetapkan peran admin tertentu

Siapkan akses pribadi untuk grup

Pilih setelan Pribadi untuk membatasi akses ke anggota domain Anda. (Anggota grup tetap dapat menerima email dari luar domain.) Tindakan ini mengurangi risiko kebocoran data.

Menetapkan opsi berbagi Grup untuk Bisnis

Batasi pembuatan grup untuk admin

Hanya izinkan admin untuk membuat grup. Tindakan ini mengurangi risiko kebocoran data.

Menetapkan opsi berbagi Grup untuk Bisnis

Sesuaikan setelan akses grup

Rekomendasi:

  • Izinkan atau nonaktifkan anggota dan pesan dari luar domain Anda.
  • Siapkan moderasi pesan.
  • Setel visibilitas grup.
  • Lakukan tindakan lain menurut kebijakan perusahaan Anda.

Menetapkan siapa saja yang dapat melihat, memposting, dan memoderasi

Nonaktifkan beberapa setelan akses untuk grup internal

Setelan berikut memungkinkan siapa saja di internet untuk bergabung ke grup, mengirim pesan, dan melihat arsip diskusi. Nonaktifkan setelan berikut untuk grup internal:

  • Akses publik
  • Berikan juga akses ini kepada siapa saja di internet.
  • Izinkan juga siapa saja di internet untuk memposting pesan

Menetapkan level akses ke grup

Aktifkan moderasi spam untuk grup

Pesan dapat terkirim ke antrean moderasi dengan atau tanpa memberi tahu moderator, menolak pesan spam secara langsung, atau mengizinkan pesan dikirim tanpa moderasi.

Menyetujui atau memblokir postingan baru

Sites (khusus Google Workspace)

Blokir berbagi situs di luar domain
Blokir pengguna agar tidak berbagi situs di luar domain untuk mengurangi risiko kebocoran data. Untuk mendukung kebutuhan bisnis yang sangat penting, Anda dapat mengaktifkan opsi berbagi di luar domain. Jika Anda melakukannya, pengguna akan menerima peringatan saat berbagi situs di luar domain.

Menetapkan opsi berbagi Google Sites | Menetapkan opsi berbagi: Sites klasik

Vault (khusus Google Workspace)

Perlakukan akun dengan hak istimewa Vault sebagai sensitif

Lindungi akun yang ditetapkan ke peran administrator Vault dengan cara yang sama seperti Anda melindungi akun admin super.

Praktik terbaik keamanan untuk akun administrator

Audit aktivitas Vault secara rutin

Pengguna dengan hak istimewa Vault dapat menelusuri dan mengekspor data pengguna lain, serta mengubah aturan retensi yang dapat menghapus permanen data yang perlu Anda simpan. Pantau aktivitas Vault untuk memastikan hanya kebijakan akses dan retensi data yang disetujui yang terjadi.

Mengaudit aktivitas pengguna Vault

Langkah berikutnya—Pemantauan, investigasi, dan perbaikan

Tinjau setelan keamanan Anda dan investigasi aktivitas

Kunjungi pusat keamanan secara rutin untuk meninjau kondisi keamanan Anda, menginvestigasi insiden, dan melakukan tindakan berdasarkan informasi tersebut.

Tentang pusat keamanan

Tinjau log audit Admin

Gunakan log audit Admin untuk meninjau histori setiap tugas yang dilakukan di konsol Google Admin, admin mana yang melakukan tugas tersebut, tanggal, serta alamat IP tempat admin login.

Log audit Admin

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
455853164815726935
true
Pusat Bantuan Penelusuran
true
true
true
false
false