Lista de comprobación de seguridad para medianas y grandes empresas (más de 100 usuarios)

Los administradores de TI de medianas y grandes empresas deben seguir estas prácticas recomendadas para mejorar la seguridad y la privacidad de los datos de la empresa. Para implementar cada una de estas recomendaciones, hay que configurar al menos un ajuste de la consola de administración de Google.

Si en tu empresa no hay ningún administrador de TI, quizá sean más adecuadas para tu organización las recomendaciones del artículo Lista de comprobación de seguridad para pequeñas empresas (1-100 usuarios).

Nota: No todos los ajustes que se describen en este artículo están disponibles en todas las ediciones de G Suite o de Cloud Identity.

Prácticas recomendadas de seguridad

Para ayudarte a proteger tu empresa, muchos de los ajustes que aparecen en esta lista de comprobación están activados de forma predeterminada.

Administrador 

Proteger cuentas de administrador

Aplicar la verificación en dos pasos obligatoria a las cuentas de administrador
Los superadministradores controlan el acceso a todos los datos corporativos y de empleados de la organización, por lo que es especialmente importante que sus cuentas estén protegidas por un factor de autenticación adicional.

Proteger la empresa mediante la verificación en dos pasos | Implementar la verificación en dos pasos

Aplicar la verificación en dos pasos mediante llaves de seguridad
Las llaves de seguridad sirven de protección frente a amenazas de phishing y son el método de verificación en dos pasos más seguro contra este tipo de ataques.

Proteger la empresa mediante la verificación en dos pasos

No llevar a cabo actividades rutinarias con cuentas de superadministrador
Recomendamos que los superadministradores lleven a cabo actividades rutinarias con una cuenta de usuario distinta y que simplemente inicien sesión en su cuenta de superadministrador cuando vayan a hacer tareas específicas de superadministrador.

Definiciones de los privilegios de administrador | Prácticas recomendadas de seguridad para proteger cuentas de administrador

Cerrar sesión siempre en las cuentas de superadministrador que no se estén utilizando
Recomendamos que los superadministradores inicien sesión cuando deban hacer tareas concretas y cierren sesión una vez que hayan terminado.

Prácticas recomendadas de seguridad para proteger cuentas de administrador 

Gestionar cuentas de superadministrador

Crear varias cuentas de superadministrador
Recomendamos que las empresas tengan más de una cuenta de superadministrador, cada una de ellas gestionada por una persona diferente. De este modo, si se pierde una cuenta o se vulnera su seguridad, otro superadministrador puede encargarse de las tareas importantes mientras se recupera esa cuenta.

Asignar funciones de administrador a un usuario 

Crear cuentas de superadministrador distintas
Recomendamos que cada superadministrador tenga su propia cuenta de administrador; de este modo, podrás saber qué administrador ha realizado cada actividad que figura en el registro de auditoría.

Prácticas recomendadas de seguridad para proteger cuentas de administrador

Delegar tareas de administración rutinarias en cuentas de usuario
Las cuentas de superadministrador deben utilizarse solo cuando sea necesario, por lo que recomendamos que se deleguen tareas de administración rutinarias en cuentas de usuario. Sigue el modelo de privilegios mínimos; es decir, permite que los usuarios solo puedan acceder a las herramientas y recursos que necesiten para hacer sus tareas habituales.

Asignar funciones de administrador a un usuario | Prácticas recomendadas de seguridad para proteger cuentas de administrador 

Gestionar la actividad de cuentas de administrador

Configurar alertas de actividad de administradores por correo electrónico
Puedes supervisar la actividad de administradores y controlar los posibles riesgos de seguridad configurando alertas por correo electrónico para recibir notificaciones cuando se den determinadas situaciones; por ejemplo, cuando se produzcan intentos de inicio de sesión sospechosos, se vulneren dispositivos móviles u otro administrador haga cambios en la configuración.

Alertas por correo electrónico enviadas a administradores

Revisar el registro de auditoría de la consola de administración
Consulta el registro de auditoría de la consola de administración para ver el historial de todas las tareas que se han realizado, qué administrador las llevó a cabo, cuándo lo hizo y desde qué dirección IP se conectó.

Registro de auditoría de la consola de administración

Prepararse para recuperar cuentas de administrador

Añadir opciones de recuperación a las cuentas de administrador
Recomendamos que los administradores añadan un número de teléfono y una dirección de correo electrónico de recuperación a su cuenta para que Google pueda enviarles una contraseña nueva por teléfono, mensaje de texto o correo electrónico. 

Añadir información de recuperación a las cuentas de administrador

Tener a mano la información necesaria para recuperar contraseñas de superadministradores

Si un superadministrador no puede cambiar su contraseña con las opciones de recuperación por correo electrónico o teléfono y no hay otro superadministrador que pueda cambiarla, puede ponerse en contacto con el servicio de asistencia de Google.

Para verificar la identidad del superadministrador, Google solicita información sobre la cuenta de la organización. Además, el administrador debe verificar la propiedad de DNS del dominio. Te recomendamos que guardes la información de la cuenta y las credenciales de DNS en un lugar seguro por si las necesitas.

Prácticas recomendadas de seguridad para proteger cuentas de administrador

Registrar una llave de seguridad de repuesto
Recomendamos que los administradores registren más de una llave de seguridad en su cuenta de administrador y las guarden en un lugar seguro. De este modo, en el caso de pérdida o robo de la llave de seguridad principal, aún podrán iniciar sesión en sus cuentas.

Utilizar una llave de seguridad para la verificación en dos pasos

Guardar códigos de seguridad con antelación
Si un administrador pierde la llave de seguridad o el teléfono en el que recibe los códigos de la verificación en dos pasos o los mensajes de Google, puede iniciar sesión de todos modos introduciendo un código de seguridad.

Generar e imprimir códigos de seguridad

Cuentas 

Aplicar la autenticación multifactor de manera obligatoria

Obligar a los usuarios a utilizar la verificación en dos pasos
Con la verificación en dos pasos, se protegen las cuentas de los usuarios contra los accesos no autorizados en caso de que alguien consiga averiguar la contraseña.

Proteger la empresa mediante la verificación en dos pasos | Implementar la verificación en dos pasos

Obligar a utilizar llaves de seguridad al menos en cuentas de administrador y otras de alto valor
Las llaves de seguridad son pequeños dispositivos de hardware que se usan al iniciar sesión como un segundo factor de autenticación a prueba de phishing.

Implementar la verificación en dos pasos

Proteger contraseñas

Utilizar la extensión Alerta de Protección de Contraseña para evitar que se reutilicen contraseñas
Con la extensión Alerta de Protección de Contraseña, te aseguras de que los usuarios no utilicen sus credenciales de empresa en otros sitios web.

Impedir que se reutilicen contraseñas

Usar contraseñas únicas
Las contraseñas seguras son la primera línea de defensa para proteger cuentas de usuarios y administradores. Las contraseñas únicas no son fáciles de adivinar. Recomienda también a tus usuarios que no utilicen la misma contraseña en cuentas diferentes, como la de correo electrónico y la de banca online.

Crear una contraseña segura y aumentar la protección de la cuenta

Ayudar a prevenir y solucionar problemas de vulneración de cuentas

Revisar con regularidad los informes de actividad y las alertas
Consulta los informes de actividad para obtener más información sobre el estado de las cuentas de usuario y de administrador, así como sobre la inscripción en la verificación en dos pasos.

Informes de actividad de cuentas

Configurar alertas de actividad de administradores por correo electrónico
Puedes configurar alertas por correo electrónico para recibir notificaciones cuando se den determinadas situaciones potencialmente peligrosas; por ejemplo, cuando se produzcan intentos de inicio de sesión sospechosos, se vulneren dispositivos móviles u otro administrador haga cambios en la configuración.

Alertas por correo electrónico enviadas a administradores

Añadir métodos de verificación de la identidad de usuarios
Puedes añadir métodos de verificación de la identidad para que se soliciten cuando se produzcan intentos de inicio de sesión sospechosos. De este modo, los usuarios deberán introducir un código de verificación que Google envía a su número de teléfono o a su dirección de correo electrónico de recuperación, o bien responder a una pregunta que solo el propietario de la cuenta pueda responder.

Verificar la identidad de los usuarios mediante sistemas de seguridad adicionales | Añadir IDs de empleado como método de verificación de la identidad

Identificar y proteger cuentas vulneradas
Si sospechas que se ha vulnerado una cuenta, suspéndela, analízala en busca de actividad maliciosa y toma las medidas oportunas.

  • Revisa los dispositivos móviles asociados a la cuenta.
  • Utiliza la búsqueda en el registro de correo electrónico para revisar los registros de entrega de tus dominios.
  • Evalúa la exposición del dominio a riesgos de seguridad de datos con el informe de seguridad.
  • Comprueba si se ha configurado algún ajuste malicioso.

Identificar y proteger cuentas vulneradas

No permitir que se descarguen datos en determinadas circunstancias
Puedes impedir que se descarguen datos de cuentas si se han visto vulneradas o sus usuarios han dejado la empresa.

Activar o desactivar Takeout para usuarios

Aplicaciones (solo G Suite) 

Revisar el acceso de terceros a los servicios principales
Averigua qué aplicaciones de terceros pueden acceder a servicios principales de G Suite, como Gmail y Drive, y decide si aprobarlas. 

Incluir aplicaciones conectadas en una lista blanca

Crear una lista blanca de aplicaciones de confianza
Crea una lista blanca e incluye en ella las aplicaciones de terceros que pueden acceder a los servicios principales de G Suite.

Incluir aplicaciones conectadas en una lista blanca

Calendar (solo en G Suite) 

Limitar el uso compartido de calendarios con usuarios externos
No permitas que los usuarios ajenos a tu empresa puedan consultar más información que la de libre/ocupado. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Configurar las opciones de visibilidad y uso compartido de calendarios

Navegador Chrome y Chrome OS 

Configurar una política de navegadores de escritorio
Si tu empresa quiere aprovechar las ventajas del navegador Chrome, pero tus usuarios aún necesitan tener acceso a sitios y aplicaciones web más antiguos que solo se pueden visitar con Internet Explorer, instala la extensión de compatibilidad con navegadores antiguos de Chrome. De este modo, los usuarios podrán cambiar automáticamente entre Chrome y otro navegador. Esta extensión te permite usar aplicaciones que solo pueden ejecutarse en navegadores antiguos.

Extensión de compatibilidad con navegadores antiguos para Windows

Configurar políticas básicas de Chrome OS y del navegador Chrome
En la consola de administración puedes configurar políticas básicas de Chrome OS y del navegador Chrome, como por ejemplo, las siguientes:

  • Permitir ajustes de actualizaciones automáticas.
  • Permitir políticas de administrador de contraseñas.
  • Habilitar la función Navegación Segura.
  • Impedir que los usuarios accedan a sitios web maliciosos.
  • Permitir que los usuarios vean sus contraseñas en el administrador de contraseñas.

Configurar políticas de usuario de Chrome

Configurar políticas avanzadas de Chrome OS y el navegador Chrome
Puedes configurar políticas avanzadas de Chrome OS y el navegador Chrome en el editor de directivas de grupo de Windows, como por ejemplo, las siguientes:

  • AbusiveExperienceInterventionEnforce
  • AdsSettingForIntrusiveAdsSites
  • AllowedDomainsForApps
  • DownloadRestrictions
  • SitePerProcess

Definir políticas de Chrome en dispositivos para ordenadores gestionados

Habilitar las actualizaciones automáticas de Chrome
Asegúrate de que Chrome reciba las actualizaciones de seguridad más recientes habilitando las actualizaciones automáticas.

Gestionar las actualizaciones de Chrome

Versión clásica de Hangouts (solo en G Suite) 

Advertir a los usuarios cuando chateen fuera de su dominio
Muestra a los usuarios una advertencia cuando chateen con usuarios que no pertenezcan a su dominio. Si esta opción está habilitada, las conversaciones de chat de grupo se dividen en cuanto se une a la conversación una persona externa por primera vez. De este modo, impedirás que los usuarios externos vean las conversaciones internas anteriores y se reduce el riesgo de que se produzcan filtraciones de datos.

Configuración del chat de la versión clásica de Hangouts

Configurar una política de invitación a chats
Con este ajuste, puedes configurar una política de invitación a chats que se base en la política de colaboración de tu organización.

Configuración del chat de la versión clásica de Hangouts

Contactos (solo en G Suite) 

No compartir automáticamente información de contacto
Inhabilita esta opción para compartir automáticamente información de contacto.

Activar o desactivar el directorio global

Drive  

Limitar el uso compartido y la colaboración con usuarios externos al dominio

Configurar las opciones de uso compartido del dominio
Desactiva las opciones de uso compartido para que solo se puedan compartir archivos con usuarios de tus dominios. De este modo, se reduce el riesgo de que se produzcan filtraciones de datos internas o externas. Si necesitas que en tu empresa sea posible compartir archivos fuera de tu dominio, puedes configurar el uso compartido a nivel de unidad organizativa o crear una lista blanca de dominios con los que se pueden compartir.

Definir permisos de uso compartido de usuarios de Drive

Seleccionar la opción predeterminada para compartir mediante enlace
Desactiva el uso compartido mediante enlace de los archivos recién creados. El propietario de un archivo debería ser el único que pueda acceder a él hasta que dicho archivo se comparta.

Definir permisos de uso compartido de usuarios de Drive

Avisar a los usuarios cuando comparten un archivo fuera del dominio
Si permites que los usuarios compartan archivos con usuarios ajenos al dominio, haz que se les muestre una advertencia cuando lo hagan. De este modo, se pide a los usuarios que confirmen su acción y se reduce el riesgo de que se produzcan filtraciones de datos.

Definir permisos de uso compartido de usuarios de Drive

Permitir que los destinatarios sean los únicos que puedan acceder a los archivos
Cuando un usuario comparte un archivo a través de un producto de Google que no sea Documentos o Drive (p. ej., pegando un enlace en Gmail), Access Checker puede comprobar si los destinatarios pueden acceder a él. Para que lo haga, selecciona la opción Solo destinatarios en su configuración. De este modo, puedes controlar el acceso a los enlaces que compartan tus usuarios para reducir el riesgo de que se produzca una filtración de datos.

Definir permisos de uso compartido de usuarios de Drive

Evitar que los usuarios publiquen archivos en la Web
Inhabilita la publicación de archivos en la Web. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Definir permisos de uso compartido de usuarios de Drive

Obligar a los colaboradores externos a iniciar sesión en Google
Obliga a los colaboradores externos a que inicien sesión con una cuenta de Google. Si no tienen una, pueden crearla sin coste alguno. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Definir permisos de uso compartido de usuarios de Drive

Controlar los archivos almacenados en unidades compartidas
Permite que los usuarios de tu organización sean los únicos que puedan transferir archivos de su unidad compartida a una ubicación de Drive de otras organizaciones.

Definir permisos de uso compartido de usuarios de Drive

Controlar el uso compartido de contenido en las unidades compartidas nuevas
Restringe el uso compartido de contenido en las nuevas unidades compartidas mediante las opciones de creación de dichas unidades.

Controlar el uso compartido en unidades compartidas

Limitar las copias locales de datos de Drive

Inhabilitar el acceso a documentos sin conexión
Para reducir el riesgo de que se produzcan filtraciones de datos, inhabilita el acceso a documentos sin conexión. Al permitir el acceso sin conexión, se copian los documentos en el ordenador. Si lo habilitas por necesidades de tu empresa, te recomendamos que determines las unidades organizativas para minimizar riesgos.

Controlar el acceso sin conexión a Documentos, Hojas de cálculo y Presentaciones

Inhabilitar el acceso a Drive por ordenador
Puedes habilitar el acceso a Drive por ordenador implementando la función Copia de seguridad y sincronización o File Stream de Drive. La función Copia de seguridad y sincronización permite a los usuarios sincronizar archivos entre sus ordenadores y Google Drive. La función File Stream de Drive sincroniza archivos entre la nube y el equipo local de un usuario.

Para reducir el riesgo de que se produzcan filtraciones de datos, inhabilita el acceso a Drive por ordenador. En el caso de que decidas habilitar el acceso por ordenador para cubrir una necesidad importante de la empresa, habilítalo solo para los usuarios imprescindibles.

Implementar la función Copia de seguridad y sincronización | Activar la sincronización en una organización |
Comparar Copia de seguridad y sincronización con File Stream de Drive

Controlar el acceso de aplicaciones de terceros a tus datos

No permitir ningún complemento de Drive
Para reducir el riesgo de que se produzcan filtraciones de datos, no permitas que los usuarios instalen complementos de Documentos de Google desde la tienda de complementos. Para cubrir una necesidad empresarial determinada, puedes implementar complementos concretos de Documentos de Google que cumplan las políticas de tu organización.

Habilitar complementos en editores de Documentos de Google

Gmail (solo en G Suite) 

Configurar la autenticación y la infraestructura

Validar el correo con SPF, DKIM y DMARC

Con SPF, DKIM y DMARC, se aplica un sistema de validación de correo electrónico que aprovecha la configuración de DNS para autenticar y firmar digitalmente dominios, así como para evitar que reciban ataques de spoofing.

En ocasiones, los atacantes falsifican la dirección "De" que aparece en los mensajes de correo electrónico para que parezca que el spam procede de un usuario de tu dominio. Si quieres evitarlo, configura SPF y DKIM en todas las emisiones de correo electrónico de salida. 
Una vez que SPF y DKIM estén configurados, puedes crear un registro DMARC para definir cómo deben tratar Google y otros destinatarios los correos electrónicos no autenticados que parezca que proceden de tu dominio.

Autenticar el correo electrónico mediante DKIM | Autorizar a remitentes de correo electrónico mediante el SPF | 
Gestionar correos electrónicos sospechosos con DMARC

Configurar las pasarelas de correo entrante para que funcionen con SPF
Si enrutas el correo electrónico entrante mediante una pasarela, debes configurarla conforme al marco de políticas del remitente (SPF) para mejorar la gestión de spam.

Configurar una pasarela de correo entrante

Aplicar TLS en los dominios de partners
Obliga a que el correo electrónico se transmita mediante TLS para asegurarte de que la conexión sea segura. Configura el ajuste de TLS para que se requiera una conexión segura para enviar o recibir correos de dominios de partners.

Requerir que el correo electrónico se transmita a través de una conexión segura (TLS)

Requerir que todos los remitentes aprobados se autentiquen
Habilita el ajuste Requerir la autenticación del remitente en las políticas de spam. Con esta opción se evita que la configuración de la carpeta de spam afecte a remitentes aprobados que no hayan habilitado la autenticación, por ejemplo, con SPF o DKIM. De este modo, se reduce el riesgo de spoofing y de phishing o whaling. Más información sobre la autenticación del remitente 

Personalizar la configuración de filtros de spam

Configurar registros MX para que el flujo de correo sea correcto
Configura tus registros MX de forma que los servidores de correo de Google tengan la prioridad más alta; así los correos llegarán correctamente a los usuarios de tu dominio de G Suite. De este modo, disminuye el riesgo de que se eliminen datos si se pierden correos y se reducen las amenazas de software malicioso.

Configurar los registros MX de G Suite y Gmail | Valores de los registros MX de G Suite

Proteger usuarios y organizaciones

Inhabilitar el acceso IMAP y POP
Los clientes de escritorio IMAP y POP permiten que los usuarios accedan a Gmail mediante clientes de correo de terceros. Inhabilita el acceso POP e IMAP en todos los usuarios que no lo necesiten. De este modo, se reduce el riesgo de que se eliminen datos o se produzcan filtraciones de datos internas o externas. También se puede reducir el riesgo de sufrir ataques provocados porque los clientes IMAP no tengan protecciones similares a los clientes propios.

Activar o desactivar IMAP y POP en usuarios

Inhabilitar el reenvío automático
Impide que los usuarios reenvíen mensajes entrantes automáticamente a otra dirección. Así, se reduce el riesgo de que se produzca una filtración de datos externa a través del reenvío de correos electrónicos, un método que los atacantes usan con frecuencia.

Inhabilitar el reenvío automático

Habilitar el almacenamiento de correo completo
Si activas el almacenamiento de correo completo, se almacena una copia de todos los mensajes de correo electrónico enviados y recibidos en tu dominio (incluidos los correos de buzones que no sean de Gmail) en los buzones de Gmail de los usuarios correspondientes. Habilítalo para asegurarte de que se almacenen en Google Vault los mensajes de todos los usuarios que hayan activado la retransmisión SMTP.

Con este ajuste se reduce el riesgo de que se eliminen datos, ya que hace una copia de todos los mensajes que se han enviado o recibido en tu dominio, incluidos los de buzones que no sean de Gmail. A continuación, guarda esta copia en los buzones de correo de Gmail de los usuarios asociados.

Configurar el almacenamiento de correo completo

Aplicar filtros de spam a los mensajes que procedan de remitentes internos
Desactiva No aplicar filtros de spam a los mensajes que proceden de remitentes internos, porque todas las direcciones externas que se añadan a grupos se tratarán como direcciones internas. Al desactivar este ajuste, los correos electrónicos de todos los usuarios, incluidos los de remitentes internos, pasarán por el filtro de spam. De este modo, se reduce el riesgo de spoofing y de phishing o whaling.

Personalizar la configuración de filtros de spam

Añadir la configuración de cabeceras de spam a todas las reglas de enrutamiento predeterminadas
Al añadir la configuración de cabeceras de spam a todas las reglas de enrutamiento predeterminadas, los filtros de los servidores de correo electrónico secundarios son más efectivos a la hora de reducir los riesgos de sufrir ataques de spoofing y de phishing o whaling. Aunque los mensajes de Gmail pasan automáticamente por filtros en busca de spam y phishing, si marcas la casilla Añadir encabezados X-Gm-Spam y X-Gm-Phishy se añaden estas cabeceras para indicar el estado de spam y phishing del mensaje.

Por ejemplo, un administrador de un servidor secundario puede utilizar esta información para configurar reglas que traten el spam y el phishing de forma diferente al correo legítimo.

Configurar el enrutamiento predeterminado

Habilitar el análisis mejorado de mensajes antes de su entrega
Cuando se habilita este ajuste, se realizan comprobaciones adicionales en los mensajes que Gmail haya identificado como posibles ataques de phishing.

Utilizar el análisis mejorado de mensajes antes de su entrega

Habilitar advertencias sobre destinatarios externos 
Gmail detecta si un correo electrónico de respuesta contiene destinatarios externos que no son contactos habituales de un usuario o que no figuran en su lista de contactos. Si habilitas este ajuste, tus usuarios recibirán una advertencia y se les ofrecerá la posibilidad de ignorarla.

Configurar advertencias sobre destinatarios externos

Habilitar protecciones adicionales contra archivos adjuntos
Google analiza los mensajes entrantes en busca de software malicioso aunque la configuración de seguridad adicional contra archivos adjuntos maliciosos no esté habilitada. Al activar la protección adicional contra archivos adjuntos, se pueden detectar correos electrónicos malicioso que quizá antes no se identificaban como tales.

Mejorar la protección contra el phishing y el software malicioso

Habilitar protecciones adicionales contra enlaces y contenido externo
Google analiza los mensajes entrantes en busca de software malicioso aunque no esté habilitada la configuración de seguridad adicional contra contenido y enlaces maliciosos. Al activar la protección adicional contra enlaces e imágenes externas, se pueden detectar correos electrónicos afectados por phishing que antes es posible que no se identificaran como tales.

Mejorar la protección contra el phishing y el software malicioso

Habilitar protecciones adicionales contra el spoofing
Google analiza los mensajes entrantes en busca de spoofing aunque la configuración de seguridad adicional contra el spoofing no esté habilitada. Al activar la protección adicional contra el spoofing y de autenticación, se puede reducir, por ejemplo, el riesgo de sufrir spoofing según los nombres de dominios similares o los nombres de empleados.

Mejorar la protección contra el phishing y el software malicioso

Consideraciones de seguridad para las tareas rutinarias de Gmail

Anular filtros de spam con cuidado

En la configuración avanzada de Gmail, dispones de ajustes detallados para controlar el envío y el filtrado de mensajes. Si no quieres recibir más spam, modifícalos con cuidado para anular los filtros de spam predeterminados de Gmail. 

  • Cuando añadas dominios o direcciones de correo electrónico a la lista de remitentes aprobados, piensa detenidamente si quieres activar la opción "No requerir la autenticación del remitente", puesto que si lo haces, es posible que los filtros de spam de Gmail no se apliquen a remitentes no autenticados.
  • Puedes no aplicar los filtros de spam a los mensajes que procedan de direcciones IP concretas añadiéndolas a la lista blanca de correo electrónico. Añade direcciones IP a la lista blanca con cuidado, sobre todo si incluyes muchas mediante una notación CIDR.
  • Si reenvías mensajes a tu dominio de G Suite mediante una pasarela de entrada, añade sus direcciones IP a la configuración de pasarelas de entrada, no a la lista blanca de correo electrónico.
  • Supervisa y modifica las reglas de cumplimiento para evitar el spam y el phishing.

Personalizar la configuración de Gmail de una organización

No incluir dominios en la lista de remitentes aprobados
Puedes incluir dominios en tu lista de remitentes aprobados. Si has configurado el ajuste de remitentes aprobados y has marcado la opción No aplicar filtros de spam a los mensajes recibidos de direcciones o dominios de estas listas de remitentes aprobados, retira todos los dominios de tu lista de remitentes aprobados. De este modo, se reduce el riesgo de spoofing y de phishing o whaling.  

Personalizar la configuración de filtros de spam

No incluir direcciones IP en la lista blanca
Por lo general, el correo enviado desde direcciones IP incluidas en la lista blanca no se marca como spam. Para aprovechar al máximo el servicio de filtros de spam de Gmail y obtener los mejores resultados de clasificación de spam, las direcciones IP de los servidores de correo que reenvíen correos a Gmail se deben añadir a la pasarela de correo entrante, no a una lista blanca de IPs.

Incluir direcciones IP en una lista blanca de Gmail | Configurar una pasarela de correo entrante

Google+ (solo en G Suite) 

Restringir las publicaciones nuevas de forma predeterminada
Configura las publicaciones nuevas para que solo se muestren en tu dominio de manera predeterminada. Los usuarios pueden configurar las publicaciones para que sean públicas antes de compartirlas.

Configurar una restricción predeterminada para compartir contenido de Google+

Inhabilitar la visibilidad de perfiles
Inhabilita la opción de que aparezcan los perfiles de tus usuarios en las búsquedas públicas.

Definir la configuración predeterminada de visibilidad de perfiles

Crear automáticamente perfiles de Google+
Inhabilita la creación automática de perfiles de Google+ públicos para los usuarios de tu organización.

Gestionar perfiles de Google+
Consulta la sección Crear perfiles de Google+ para todos los usuarios de una unidad organizativa.

Valorar si permitir que algunas aplicaciones accedan a las API de Google+
Con las API de Google+, las aplicaciones de terceros pueden realizar acciones en nombre de usuarios, como por ejemplo, leer publicaciones, escribir publicaciones restringidas o gestionar círculos. Si quieres acceder de forma automática a las API de Google+, habilita este ajuste; en caso contrario, inhabilítalo.

Habilitar o inhabilitar las API de Google+

Grupos 

Configurar el acceso privado a grupos
Selecciona el ajuste Privado para que solo puedan acceder los miembros de tu dominio. Los miembros de grupos pueden seguir recibiendo correos electrónicos externos al dominio. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Configurar las opciones de uso compartido de Grupos de Google para empresas

Permitir que solo los administradores puedan crear grupos
Permite que solo los administradores puedan crear grupos. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Configurar las opciones de uso compartido de Grupos de Google para empresas

Personalizar la configuración de acceso a grupos
Recomendaciones:

  • Permite o inhabilita miembros y mensajes ajenos al dominio.
  • Configura la moderación de mensajes.
  • Define la visibilidad de los grupos.
  • Lleva a cabo otras acciones, según las políticas de tu empresa.

Configurar quién puede ver, publicar y moderar contenido

Inhabilitar algunos ajustes de acceso para crear grupos internos
Con los ajustes siguientes, cualquier usuario de Internet puede unirse a un grupo, enviar mensajes y ver los archivos de la conversación. Inhabilita estos ajustes en los grupos internos:

  • Acceso público
  • Conceder también este acceso a todos los usuarios de Internet
  • Permitir también que todos los usuarios de Internet publiquen mensajes 

Asignar niveles de acceso a grupos

Habilitar la moderación de spam en los grupos
Puedes enviar mensajes a la cola de moderación y notificárselo, o no, a los moderadores, rechazar de inmediato los mensajes de spam o permitir que los mensajes se publiquen sin ser moderados.

Aprobar o bloquear publicaciones nuevas

Móvil 

Habilitar la gestión básica de dispositivos móviles

Habilitar la gestión de dispositivos móviles para controlar los datos corporativos
Piensa en cómo quieres implementar los requisitos de dispositivos móviles y las políticas de gestión de dispositivos móviles de tu organización.

Como mínimo, te recomendamos que habilites la gestión básica de dispositivos móviles para ver y controlar los datos de empresa presentes en dispositivos iOS y Android. De este modo, se reduce el riesgo de que se produzcan filtraciones de datos, se instale software malicioso o de que usuarios del propio dominio lleven a cabo acciones malintencionadas.

Empezar a utilizar la Gestión de Dispositivos Móviles de Google

Controlar el acceso a las aplicaciones

Crear listas blancas de aplicaciones empresariales aprobadas
Crea listas blancas con aplicaciones que hayas revisado y aprobado para utilizar en tu empresa y proteger así los recursos corporativos frente a aplicaciones potencialmente peligrosas.

Gestionar aplicaciones de dispositivos iOS | Gestionar aplicaciones en dispositivos Android

Bloquear aplicaciones de fuentes desconocidas
Mantén la configuración predeterminada para bloquear aplicaciones de fuentes desconocidas que no sean de Play Store en dispositivos móviles Android. De este modo, se reduce el riesgo de que se produzcan filtraciones de datos internas o externas, se incumplan las condiciones de una cuenta, se eliminen datos o se instale software malicioso.

Aplicar ajustes a los dispositivos móviles Android

Aplicar la verificación de aplicaciones de manera obligatoria
Mantén la configuración predeterminada para permitir a los usuarios instalar aplicaciones de fuentes conocidas en dispositivos móviles Android. De este modo, se reduce el riesgo de que se produzcan ataques de software malicioso y filtraciones de datos.

Aplicar ajustes a los dispositivos móviles Android

Requerir que se usen aplicaciones gestionadas en dispositivos iOS
Cuando añades una aplicación a una lista de blanca de aplicaciones de iOS, puedes hacer que sea una aplicación gestionada. De este modo, tendrás un control mayor sobre la aplicación y sus datos en los dispositivos iOS personales. No está permitido el uso compartido de archivos entre aplicaciones gestionadas y sin gestionar.

Por ejemplo, los usuarios no pueden crear copias de seguridad de datos de una aplicación empresarial gestionada en una entidad externa como iCloud. Si un usuario crea un PDF en una aplicación empresarial gestionada, no podrá abrirlo en una aplicación personal sin gestionar.

Gestionar aplicaciones de dispositivos iOS

Proteger cuentas y datos

Configurar requisitos de contraseñas de dispositivos móviles
Pide a tus usuarios que establezcan una contraseña para sus dispositivos móviles y configura los ajustes de seguridad de la contraseña, fecha de vencimiento, reutilización, bloqueo y eliminación de datos del dispositivo. De este modo, se reduce el riesgo de que se produzca una filtración de datos del dispositivo en caso de pérdida o de robo.

Aplicar ajustes de contraseña en los dispositivos móviles

Cifrar los datos en dispositivos móviles
Cifra los datos en dispositivos móviles Android que lo permitan para reducir el riesgo de que se produzcan filtraciones de datos de un dispositivo en caso de pérdida, robo o venta. Apple cifra todos los dispositivos iOS.

Aplicar ajustes avanzados

Habilitar el borrado automático de cuentas
Elimina automáticamente los datos de cuentas corporativas cuando un dispositivo móvil alcance un número concreto de días de inactividad. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Aplicar ajustes a los dispositivos móviles Android

Obligar a que se usen perfiles de trabajo de Android
Los perfiles de trabajo de Android mantienen los datos personales separados de los corporativos. Si obligas a tus usuarios a utilizar perfiles de trabajo mediante la gestión integrada de dispositivos móviles, puedes incluir en una lista blanca las aplicaciones que acceden a datos corporativos y no permitir que se instalen aplicaciones de fuentes desconocidas.

Configurar perfiles de trabajo de Android

Gestionar dispositivos

Bloquear los dispositivos móviles vulnerados
Bloquea los dispositivos móviles Android vulnerados. Entre los indicios para detectar un dispositivo vulnerado se incluye la presencia de un gestor de arranque desbloqueado, el uso de una memoria de solo lectura (ROM) personalizada o la existencia en el dispositivo de un binario de superusuario.

Aplicar ajustes avanzados

Habilitar los informes de inactividad de dispositivos móviles
Envía informes mensuales a los superadministradores para informarlos de la existencia de dispositivos inactivos de la empresa que no hayan sincronizado datos de trabajo en los últimos 30 días. Al inhabilitar cuentas inactivas, se reduce el riesgo de que se produzcan filtraciones de datos.

Recibir un informe de dispositivos inactivos de la empresa

Bloquear el almacenamiento en medios externos
Impide que los usuarios muevan datos y aplicaciones de dispositivos móviles Android. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Aplicar ajustes a los dispositivos móviles Android

Inhabilitar el historial de ubicaciones
Para evitar que se guarde el historial de ubicaciones de usuarios, inhabilita este servicio.

Activar o desactivar servicios adicionales de Google

Google Sites (solo en G Suite) 

Impedir que los usuarios compartan sitios web con personas ajenas al dominio
Impide que los usuarios compartan sitios web con personas ajenas a tu dominio para reducir el riesgo de que se produzcan filtraciones de datos. Si tienes que cubrir una necesidad importante de la empresa, podrías habilitar la opción para compartir sitios web con usuarios ajenos a tu dominio. En este caso, puedes mostrar advertencias cuando se compartan sitios web con usuarios que no sean de tu dominio.

Configurar las opciones de uso compartido de Google Sites | Configurar las opciones para compartir: versión clásica de Sites

Vault (solo en Vault) 

Controlar, auditar y proteger cuentas de Vault
Asegúrate de que se controlan y auditan con detenimiento las cuentas con acceso a Vault.

¿Qué son las auditorías de Vault?

Considerar sensibles las cuentas con acceso a Vault
Las cuentas de Vault deben considerarse cuentas con acceso superior, como las cuentas de superadministrador, y controlarse y auditarse detenidamente. Controla y audita estas cuentas detenidamente y haz que tengan la verificación en dos pasos habilitada de forma obligatoria.

Proteger la empresa mediante la verificación en dos pasos | Implementar la verificación en dos pasos

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?