Los administradores de TI de medianas y grandes empresas deben seguir estas prácticas recomendadas para mejorar la seguridad y la privacidad de los datos de su empresa. Para implementar cada una de estas recomendaciones, hay que configurar al menos un ajuste de la consola de administración de Google.
Si en tu empresa no hay ningún administrador de TI, quizá sean más adecuadas para tu organización las recomendaciones del artículo Lista de comprobación de seguridad para empresas de 1 a 100 usuarios.
Nota: No todos los ajustes que se describen en este artículo están disponibles en todas las ediciones de Google Workspace o de Cloud Identity.
Prácticas recomendadas de seguridad: configuración
Para ayudarte a proteger tu empresa, muchos de los ajustes que se recomiendan en esta lista de comprobación están activados de forma predeterminada.
Los superadministradores controlan el acceso a todos los datos corporativos y de los empleados de la organización, por lo que es especialmente importante que sus cuentas estén protegidas.
Consulta la lista completa de recomendaciones en Prácticas recomendadas de seguridad para proteger cuentas de administrador.
Implementar la autenticación multifactor de manera obligatoria
|
|
Aplicar la verificación en dos pasos obligatoria en las cuentas de usuario Con la verificación en dos pasos, se protegen las cuentas de los usuarios contra los accesos no autorizados en caso de que alguien consiga averiguar su contraseña. Proteger una empresa mediante la verificación en dos pasos | Implementar la verificación en dos pasos |
|
|
Implementar obligatoriamente las llaves de seguridad al menos en cuentas de administrador y otras de alto valor Las llaves de seguridad son pequeños dispositivos de hardware que se usan al iniciar sesión y con las que se realiza una autenticación de dos factores que protege contra el phishing. |
Proteger contraseñas
|
|
Utilizar la extensión Alerta de Protección de Contraseña para evitar que se reutilicen contraseñas Con la extensión Alerta de Protección de Contraseña, te aseguras de que los usuarios no utilicen sus contraseñas de empresa en otros sitios web. |
|
|
Utilizar contraseñas únicas Las contraseñas seguras son la primera línea de defensa para proteger las cuentas de usuarios y administradores. Las contraseñas únicas no son fáciles de adivinar. Recomienda también a tus usuarios que no utilicen la misma contraseña en cuentas diferentes, como la de correo electrónico y la de banca online. |
Ayudar a prevenir y solucionar problemas de vulneración de cuentas
|
|
Revisar con regularidad los informes de actividad y las alertas Consulta los informes de actividad para obtener más información sobre el estado de las cuentas de usuario y de administrador, así como sobre la inscripción en la verificación en dos pasos. |
|
|
Configurar alertas de actividad de administradores por correo electrónico Configura alertas por correo para recibir notificaciones cuando se den determinadas situaciones potencialmente peligrosas (por ejemplo, cuando se produzcan intentos de inicio de sesión sospechosos, cuando se vulneren dispositivos móviles o cuando otro administrador haga cambios en la configuración). |
|
|
Añadir métodos de verificación de la identidad de usuarios Puedes añadir métodos de verificación de la identidad para que se soliciten cuando se produzcan intentos de inicio de sesión sospechosos. De este modo, los usuarios deberán introducir un código de verificación que Google envía a su número de teléfono o a su dirección de correo electrónico de recuperación, o bien responder a una pregunta que solo el propietario de la cuenta pueda responder. Verificar la identidad de los usuarios mediante medidas de seguridad adicionales | Añadir IDs de empleado como método de verificación de la identidad |
|
|
Identificar y proteger cuentas vulneradas Si sospechas que se ha vulnerado una cuenta, suspéndela, analízala en busca de actividad maliciosa y toma las medidas oportunas.
|
|
|
Desactivar la descarga de datos de Google según sea necesario Si se vulnera la seguridad de una cuenta o un usuario abandona la empresa, usa Google Takeout para impedir que el usuario se pueda descargar todos sus datos de Google. |
 |
Evitar el acceso no autorizado después de que un empleado abandone la organización Para evitar que se filtren datos, revoca el acceso de un usuario a los datos de tu organización cuando la abandone. Mantener seguros los datos una vez que el empleado ha abandonado la organización |
|
|
Revisar el acceso de aplicaciones de terceros a los servicios principales Consulta qué aplicaciones de terceros pueden acceder a los servicios principales de Google Workspace, como Gmail y Drive, y decide si autorizarlas o no. Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace |
|
Bloquear el acceso a aplicaciones menos seguras Las aplicaciones menos seguras no utilizan estándares de seguridad modernos como OAuth y aumentan el riesgo de que se vulneren cuentas o dispositivos. |
|
|
Crear una lista de aplicaciones de confianza Crea una lista de aplicaciones permitidas para especificar qué aplicaciones de terceros pueden acceder a servicios principales de Google Workspace. Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace |
|
Controlar el acceso a los servicios principales de Google Puedes permitir o bloquear el acceso a aplicaciones de Google, como Gmail, Drive y Calendar, en función de la dirección IP, el origen geográfico, las políticas de seguridad o el sistema operativo de un dispositivo. Por ejemplo, puedes permitir que solo se utilice Drive para ordenadores en dispositivos que sean propiedad de la empresa y estén en determinados países o regiones. |
|
Añadir otra capa de cifrado a los datos de aplicaciones de los usuarios Si tu organización trabaja con propiedad intelectual sensible u opera en un sector muy regulado, puedes añadir el cifrado del lado del cliente a Gmail, Google Drive, Google Meet y Google Calendar. |
|
|
Limitar el uso compartido de calendarios con usuarios externos No permitas que los usuarios ajenos a tu empresa puedan consultar más información que la de libre/ocupado. De este modo, se reduce el riesgo de que se produzca una filtración de datos. Configurar las opciones de visibilidad y uso compartido de calendarios |
|
Advertir a los usuarios cuando inviten a usuarios externos De forma predeterminada, Calendar muestra una advertencia a los usuarios cuando invitan a usuarios externos. De este modo, se reduce el riesgo de que se produzca una filtración de datos. Asegúrate de que esta advertencia esté activada en las cuentas de todos los usuarios. Permitir invitaciones a usuarios externos en eventos de Google Calendar |
|
Limitar quién puede chatear con usuarios externos Autoriza solo a los usuarios que tengan la necesidad específica de enviar mensajes o de crear salas con usuarios ajenos a tu organización. De este modo, impedirás que los usuarios externos vean las conversaciones internas anteriores y se reduce el riesgo de que se produzcan filtraciones de datos. |
|
|
Advertir a los usuarios cuando chateen fuera de su dominio (solo en la versión clásica de Hangouts) Muestra a los usuarios una advertencia cuando chateen con usuarios que no pertenezcan a su dominio. Si esta opción está habilitada, las conversaciones de chat de grupo se dividen cuando una persona externa se une a la conversación por primera vez. De este modo, impedirás que los usuarios externos vean las conversaciones internas anteriores y se reduce el riesgo de que se produzcan filtraciones de datos. En Chat, las salas y los usuarios externos se marcan siempre como tal. |
|
|
Configurar una política de invitación a chats Determina qué usuarios pueden aceptar invitaciones de chat automáticamente en función de la política de colaboración de tu organización. |
|
|
Mantener actualizados el navegador Chrome y ChromeOS Para asegurarte de que tus usuarios tienen los parches de seguridad más recientes, permite las actualizaciones. En el navegador Chrome, elige la opción de permitir siempre las actualizaciones. De forma predeterminada, los dispositivos equipados con ChromeOS se actualizan en cuanto se lanza la versión más reciente del sistema operativo. Asegúrate de que las actualizaciones automáticas estén activadas en las cuentas de todos los usuarios que utilicen dispositivos equipados con ChromeOS. Definir políticas de Chrome para usuarios o navegadores | Gestionar actualizaciones en dispositivos equipados con ChromeOS |
|
Forzar un reinicio para aplicar actualizaciones Configura el navegador Chrome y los dispositivos equipados con ChromeOS para que se notifique a los usuarios que deben reiniciar el navegador o el dispositivo para que se aplique una actualización. Además, fuerza un reinicio después de cierto tiempo si el usuario no realiza ninguna acción. Avisar a los usuarios de que deben reiniciar su dispositivo o el navegador para aplicar actualizaciones pendientes |
|
|
Definir políticas básicas de dispositivos ChromeOS y del navegador Chrome Define las siguientes políticas en tu consola de administración de Google:
|
|
|
Definir políticas avanzadas del navegador Chrome Para evitar accesos no autorizados, descargas peligrosas y filtraciones de datos entre sitios, configura las siguientes políticas avanzadas:
Definir políticas del navegador Chrome en ordenadores gestionados | Guía de configuración de seguridad del navegador Chrome para empresas (Windows) |
|
|
Definir una política del navegador para ordenadores de Windows Si tu empresa quiere aprovechar las ventajas del navegador Chrome, pero tus usuarios aún necesitan tener acceso a aplicaciones y sitios web más antiguos que solo se pueden visitar con Internet Explorer, instala la extensión de compatibilidad con navegadores antiguos de Chrome. De este modo, los usuarios podrán cambiar automáticamente entre Chrome y otro navegador. Esta extensión te permite usar aplicaciones que solo pueden ejecutarse en navegadores antiguos. |
Con la gestión de endpoints de Google, puedes proteger las cuentas de usuario y sus datos de trabajo en dispositivos móviles, tablets, portátiles y ordenadores.
Para ver la lista completa de recomendaciones, consulta el artículo Lista de comprobación de la seguridad de la gestión de dispositivos.
Limitar el uso compartido y la colaboración con usuarios externos al dominio
|
|
Configurar opciones o crear reglas para compartir archivos fuera de tu organización Desactiva las opciones de uso compartido o crea reglas de confianza (que te darán un control más preciso sobre el uso compartido) para que solo se puedan compartir archivos con usuarios de tus dominios. De este modo, se reduce el riesgo de que se produzcan filtraciones de datos internas o externas. Si necesitas que en tu empresa sea posible compartir archivos fuera de tu organización, puedes definir cómo se comparten archivos a nivel de unidad organizativa o crear una lista de dominios permitidos con los que se pueden compartir. Restringir el uso compartido fuera de los dominios permitidos | Restringir el uso compartido fuera de tu organización | Crear reglas de confianza para restringir el uso compartido con usuarios externos |
|
Advertir a los usuarios cuando compartan un archivo fuera de tu dominio Si permites que los usuarios compartan archivos con usuarios ajenos a tu dominio, activa una advertencia. De este modo, se pedirá a los usuarios que confirmen esta acción y se reduce el riesgo de que se produzcan filtraciones de datos. Advertir a los usuarios cuando compartan elementos con usuarios externos |
|
Evitar que los usuarios publiquen archivos en la Web Inhabilitar la publicación de archivos en la Web. De este modo, se reduce el riesgo de que se produzca una filtración de datos. No permitir que los usuarios compartan archivos de forma pública |
|
|
Definir opciones de acceso general para compartir archivos Selecciona Restringido como opción de acceso predeterminada para compartir archivos. El propietario de un archivo debería ser el único que pueda acceder a él hasta que dicho archivo se comparta. También puedes crear grupos para compartir (audiencias objetivo) personalizados para usuarios de distintos departamentos. |
|
|
Permitir que los destinatarios sean los únicos que puedan acceder a los archivos Cuando un usuario comparte un archivo a través de un producto de Google que no sea Documentos o Drive (p. ej., pegando un enlace en Gmail), Access Checker puede comprobar si los destinatarios pueden acceder a él. Selecciona la opción Solo destinatarios de Access Checker. De este modo, puedes controlar el acceso a los enlaces que compartan tus usuarios para reducir el riesgo de que se produzca una filtración de datos. |
|
Impedir o reducir el riesgo de que los usuarios externos puedan detectar la pertenencia a grupos de los usuarios de tu organización Para impedir que los usuarios de otra organización que utiliza Google Workspace descubran los grupos a los que pertenecen los usuarios de tu organización, no permitas que organizaciones externas compartan archivos con tus usuarios. También puedes reducir este riesgo si solo permites que se compartan archivos de forma externa con dominios incluidos en la lista de permitidos. Si utilizas opciones para compartir de Google Drive: realiza una de las siguientes acciones en cada unidad organizativa que quieras proteger de este riesgo:
Consulta más información en el artículo Gestionar las opciones para compartir contenido de forma externa de tu organización. Si usas reglas de confianza para compartir archivos en Drive: para limitar este riesgo, crea primero una regla de confianza con la siguiente configuración:
Para obtener más información, consulta la sección Crear reglas de confianza. A continuación, desactiva la regla predeterminada [Opción predeterminada] Los usuarios de mi organización pueden compartir archivos (verán una advertencia) y recibir archivos de cualquier persona. Para obtener más información, consulta la sección Ver y editar los detalles de una regla de confianza. |
|
|
Obligar a los colaboradores externos a iniciar sesión en Google Obliga a los colaboradores externos a que inicien sesión con una cuenta de Google. Si no tienen una, pueden crearla sin coste alguno. De este modo, se reduce el riesgo de que se produzca una filtración de datos. Desactivar las invitaciones a cuentas que no son de Google fuera de tu dominio |
|
|
Restringir quién puede mover contenido de unidades compartidas Permite que los usuarios de tu organización sean los únicos que puedan transferir archivos de su unidad compartida a una ubicación de Drive de otras organizaciones. |
|
|
Controlar el uso compartido de contenido en las unidades compartidas nuevas Restringe quién puede crear unidades compartidas, cambiar su configuración o acceder al contenido. |
Limitar las copias locales de datos de Google Drive
|
|
Inhabilitar el acceso a documentos sin conexión Para reducir el riesgo de que se produzcan filtraciones de datos, inhabilita el acceso a documentos sin conexión. Al permitir el acceso sin conexión, se copian los documentos en el ordenador. Si lo habilitas por necesidades de tu empresa, te recomendamos que determines las unidades organizativas para minimizar riesgos. |
|
|
Inhabilitar el acceso a Drive desde ordenadores Los usuarios pueden acceder a Drive desde un ordenador con Google Drive para ordenadores. Para reducir el riesgo de que se produzcan filtraciones de datos, inhabilita el acceso a Google Drive desde ordenadores. En el caso de que decidas habilitar el acceso desde ordenadores, hazlo solo para aquellos usuarios con una necesidad empresarial importante. |
Controlar el acceso de aplicaciones de terceros a tus datos
|
|
No permitir ningún complemento de Documentos de Google Para reducir el riesgo de que se produzcan filtraciones de datos, no permitas que los usuarios instalen complementos de Documentos de Google de la tienda de complementos. Para cubrir una necesidad empresarial determinada, puedes implementar complementos concretos de Documentos de Google que cumplan las políticas de tu organización. |
Mantén a salvo los datos sensibles
|
Impedir que se compartan archivos con datos sensibles o mostrar una advertencia cuando se haga Para reducir el riesgo de que se produzcan filtraciones de datos, configura reglas de protección de la pérdida de datos para analizar archivos en busca de datos sensibles y tomar medidas cuando los usuarios compartan de forma externa archivos coincidentes. Por ejemplo, puedes impedir que se compartan de forma externa documentos que contienen un número de pasaporte y recibir una alerta por correo electrónico. |
Configurar la autenticación y la infraestructura
|
|
Autenticar el correo con SPF, DKIM y DMARC Con SPF, DKIM y DMARC, se aplica un sistema de validación de correo electrónico que aprovecha la configuración de DNS para autenticar y firmar digitalmente dominios, así como para evitar que reciban ataques de spoofing. En ocasiones, los atacantes falsifican la dirección "De" que aparece en los mensajes de correo electrónico para que parezca que el spam procede de un usuario de tu dominio. Si quieres evitarlo, configura SPF y DKIM en todas las emisiones de correo electrónico de salida. Una vez que SPF y DKIM estén configurados, puedes crear un registro DMARC para definir cómo deben tratar Google y otros destinatarios los correos no autenticados que parezca que proceden de tu dominio. Evitar el spam, el spoofing y el phishing con la autenticación de Gmail |
|
|
Configurar las pasarelas de correo entrante para que funcionen con SPF Aunque una pasarela puede afectar a su funcionamiento, SPF contribuye a que tus mensajes enviados no se marquen como spam. Si enrutas el correo electrónico entrante mediante una pasarela, asegúrate de que esté configurada conforme al marco de políticas del remitente (SPF). |
|
|
Implementar obligatoriamente TLS en los dominios de partners Configura el ajuste de TLS para que se requiera una conexión segura para enviar o recibir correos de dominios de partners. Requerir que el correo electrónico se transmita a través de una conexión segura TLS |
|
|
Requerir autenticación a todos los remitentes aprobados Cuando crees una listas de direcciones de remitentes aprobados que no se deben clasificar como spam, requiere la autenticación del remitente. Cuando la autenticación del remitente está desactivada, Gmail no puede verificar si el mensaje lo ha enviado la persona de quien parece provenir. Al requerir la autenticación, se reduce el riesgo de spoofing y de phishing convencional o para ejecutivos. Más información sobre la autenticación del remitente |
|
|
Configurar registros MX para que el flujo de correo sea correcto Configura los registros MX de forma que los servidores de correo de Google tengan la prioridad más alta; así los correos llegarán correctamente a los usuarios de tu dominio de Google Workspace. De este modo, disminuye el riesgo de que se eliminen datos si se pierden correos y se reducen las amenazas de software malicioso. Configurar los registros MX del correo electrónico de Google Workspace | Valores de los registros MX de Google Workspace |
Proteger a usuarios y organizaciones
|
|
Inhabilitar el acceso IMAP y POP Los clientes de escritorio IMAP y POP permiten que los usuarios accedan a Gmail mediante clientes de correo de terceros. Inhabilita el acceso POP e IMAP en todos los usuarios que no lo necesiten. De este modo, se reduce el riesgo de que se eliminen datos o se produzcan filtraciones de datos internas o externas. También se puede reducir el riesgo de sufrir ataques provocados porque los clientes IMAP no tengan protecciones similares a los clientes propios. |
|
|
Inhabilitar el reenvío automático Impide que los usuarios reenvíen correos entrantes automáticamente a otra dirección. De este modo, se reduce el riesgo de que se produzca una filtración de datos externa a través del reenvío de correos electrónicos, un método que los atacantes usan con frecuencia. |
|
|
Habilitar el almacenamiento de correo completo Si activas el almacenamiento de correo completo, se almacena una copia de todos los mensajes de correo electrónico enviados y recibidos en tu dominio (incluidos los correos de buzones que no sean de Gmail) en los buzones de Gmail de los usuarios correspondientes. Habilita esta función para reducir el riesgo de que se eliminen datos y, si utilizas Google Vault, para garantizar que el correo se conserva o se retiene. Configurar el almacenamiento de correo completo | Almacenamiento de correo completo y Vault |
|
|
Aplicar filtros de spam a los mensajes que procedan de remitentes internos Desactiva No aplicar filtros de spam a los remitentes internos, porque todas las direcciones externas que se añadan a grupos se tratarán como direcciones internas. Al desactivar este ajuste, los correos electrónicos de todos los usuarios, incluidos los de remitentes internos, pasarán por el filtro de spam. De este modo, se reduce el riesgo de spoofing y de phishing convencional o para ejecutivos. |
|
|
Añadir el ajuste de cabeceras de spam a todas las reglas de enrutamiento predeterminadas Las cabeceras de spam ayudan a maximizar la capacidad de filtrado de los servidores de correo electrónico secundarios y a reducir el riesgo de spoofing y de phishing convencional o para ejecutivos. Cuando configures reglas de enrutamiento predeterminadas, marca la casilla Añadir encabezados X-Gm-Spam y X-Gm-Phishy para que Gmail los añada y se indique el estado de spam y phishing del mensaje. Por ejemplo, un administrador de un servidor secundario puede utilizar esta información para configurar reglas que traten el spam y el phishing de forma diferente a los correos legítimos. |
|
|
Habilitar el análisis mejorado de mensajes antes de su entrega Cuando se habilita este ajuste, se realizan comprobaciones adicionales en los mensajes que Gmail haya identificado como posibles ataques de phishing. Utilizar el análisis mejorado de mensajes antes de su entrega |
|
|
Habilitar advertencias sobre destinatarios externos Gmail detecta si un correo electrónico de respuesta contiene destinatarios externos que no son contactos habituales de un usuario o que no figuran en su lista de contactos. Si habilitas este ajuste, tus usuarios recibirán una advertencia y se les ofrecerá la posibilidad de ignorarla. |
|
|
Habilitar protección adicional contra archivos adjuntos Google analiza los mensajes entrantes en busca de software malicioso aunque la configuración de seguridad adicional contra archivos adjuntos maliciosos no esté habilitada. Al activar la protección adicional contra archivos adjuntos, se pueden detectar correos electrónicos maliciosos que quizá antes no se identificaron como tales. |
|
|
Habilitar protecciones adicionales contra enlaces y contenido externo |
|
|
Habilitar protección adicional contra el spoofing Google analiza los mensajes entrantes en busca de spoofing aunque la configuración de seguridad adicional contra el spoofing no esté habilitada. Al activar la protección adicional contra el spoofing y de autenticación se puede reducir, por ejemplo, el riesgo de sufrir spoofing basado en nombres de dominios o de empleados similares. |
Consideraciones de seguridad para las tareas rutinarias de Gmail
|
|
Anular filtros de spam con cuidado Si no quieres recibir más spam, modifícalos con cuidado para anular los filtros de spam predeterminados de Gmail.
|
|
|
No incluyas dominios en la lista de remitentes aprobados Si has configurado el ajuste de remitentes aprobados y has marcado la opción No aplicar filtros de spam a los mensajes recibidos de direcciones o dominios de estas listas de remitentes aprobados, retira todos los dominios de tu lista de remitentes aprobados. De este modo, se reduce el riesgo de spoofing y de phishing convencional o para ejecutivos. |
|
|
No añadas direcciones IP a la lista de direcciones permitidas Por lo general, el correo enviado desde direcciones IP incluidas en la lista de permitidas no se marca como spam. Para aprovechar al máximo el servicio de filtros de spam de Gmail y que el spam se clasifique de la mejor manera posible, las direcciones IP de los servidores de correo que reenvíen correos a Gmail se deben añadir a la pasarela de correo entrante, no a una lista de direcciones IP permitidas. Añadir direcciones IP a listas de correos permitidos en Gmail | Configurar una pasarela de correo entrante |
Mantén a salvo los datos sensibles
|
Analizar y bloquear correos con datos sensibles Para reducir el riesgo de que se produzcan filtraciones de datos, analiza los correos salientes con detectores de protección de la pérdida de datos predefinidos para tomar medidas cuando los usuarios reciban o envíen mensajes con contenido sensible. Por ejemplo, puedes bloquear el envío de mensajes que contengan números de tarjetas de crédito y recibir una alerta por correo electrónico. Analizar el tráfico de correo electrónico mediante reglas de Prevención de la pérdida de datos (DLP) |
|
Usar grupos diseñados para aumentar la seguridad Para asegurarte de que solo algunos usuarios puedan acceder a las aplicaciones y los recursos sensibles, gestiónalos mediante grupos de seguridad. De este modo, se reduce el riesgo de que se produzca una filtración de datos. |
|
Añade condiciones de seguridad a los roles de administrador Permite que solo determinados administradores controlen los grupos de seguridad. Designa a otros administradores que solo puedan controlar grupos que no sean de seguridad. De este modo, se reduce el riesgo de que se produzcan filtraciones de datos y amenazas de insiders malintencionados. |
|
|
Configurar el acceso privado a grupos Selecciona el ajuste Privado para permitir el acceso exclusivamente a los miembros de tu dominio. Los miembros de grupos pueden seguir recibiendo correos electrónicos externos al dominio. De este modo, se reduce el riesgo de que se produzca una filtración de datos. Configurar las opciones de uso compartido de Grupos para empresas |
|
|
Permitir que solo los administradores puedan crear grupos Permite exclusivamente a los administradores crear grupos. De este modo, se reduce el riesgo de que se produzca una filtración de datos. Configurar las opciones de uso compartido de Grupos para empresas |
|
|
Personalizar la configuración de acceso a grupos Recomendaciones:
|
|
|
Inhabilitar algunos ajustes de acceso para crear grupos internos Los ajustes siguientes permiten a cualquier usuario de Internet unirse a un grupo, enviar mensajes y ver los archivos de la conversación. Inhabilita estos ajustes en los grupos internos:
|
|
|
Habilitar la moderación de spam en los grupos Puedes enviar mensajes a la cola de moderación y notificar o no a los moderadores, rechazar de inmediato los mensajes de spam o permitir que los mensajes se publiquen sin ser moderados. |
|
|
Impedir que los usuarios compartan sitios web con usuarios ajenos a tu dominio Configurar las opciones de uso compartido de Google Sites | Configurar las opciones para compartir: versión clásica de Sites |
|
|
Considerar sensibles las cuentas con privilegios de Vault Puedes proteger las cuentas asignadas a los roles de administrador de Vault de la misma forma que proteges las cuentas de los superadministradores. Prácticas recomendadas de seguridad para proteger cuentas de administrador |
|
|
Auditar periódicamente la actividad de Vault Los usuarios que tienen privilegios de Vault pueden buscar y exportar datos de otros usuarios, así como cambiar reglas de conservación que pueden purgar datos que necesitas conservar. Monitoriza la actividad de Vault para asegurarte de que solo se apliquen políticas de conservación y de acceso a datos que se hayan aprobado. |
Pasos siguientes: monitorización, investigación y solución
|
|
Revisar la configuración de seguridad e investigar la actividad Visita regularmente el Centro de Seguridad para revisar tu posición de seguridad, investigar los incidentes y tomar medidas basándote en lo que descubras. |
|
|
Revisar el registro de auditoría de la consola de administración Consulta el registro de auditoría de la consola de administración para ver el historial de todas las tareas que se han realizado, qué administrador las llevó a cabo, cuándo lo hizo y desde qué dirección IP se conectó. |
