Lista de comprobación de seguridad para medianas y grandes empresas (más de 100 usuarios)

Los administradores de TI de medianas y grandes empresas deben seguir estas prácticas recomendadas para mejorar la seguridad y la privacidad de los datos de su empresa. Para implementar cada una de estas recomendaciones, hay que configurar al menos un ajuste de la consola de administración de Google.

Si en tu empresa no hay ningún administrador de TI, quizá sean más adecuadas para tu organización las recomendaciones del artículo Lista de comprobación de seguridad para empresas de 1 a 100 usuarios.

Nota: No todos los ajustes que se describen en este artículo están disponibles en todas las ediciones de Google Workspace o de Cloud Identity.

Prácticas recomendadas de seguridad: configuración

Para ayudarte a proteger tu empresa, muchos de los ajustes que se recomiendan en esta lista de comprobación están activados de forma predeterminada.

Mostrar todo  |  Ocultar todo

Cuentas de administrador

Los superadministradores controlan el acceso a todos los datos corporativos y de los empleados de la organización, por lo que es especialmente importante que sus cuentas estén protegidas.

Consulta la lista completa de recomendaciones en Prácticas recomendadas de seguridad para proteger cuentas de administrador.

Cuentas

Implementar la autenticación multifactor de manera obligatoria

Aplicar la verificación en dos pasos obligatoria en las cuentas de usuario

Con la verificación en dos pasos, se protegen las cuentas de los usuarios contra los accesos no autorizados en caso de que alguien consiga averiguar su contraseña.

Proteger una empresa mediante la verificación en dos pasos | Implementar la verificación en dos pasos

Implementar obligatoriamente las llaves de seguridad al menos en cuentas de administrador y otras de alto valor

Las llaves de seguridad son pequeños dispositivos de hardware que se usan al iniciar sesión y con las que se realiza una autenticación de dos factores que protege contra el phishing.

Implementar la verificación en dos pasos

Proteger contraseñas

Utilizar la extensión Alerta de Protección de Contraseña para evitar que se reutilicen contraseñas

Con la extensión Alerta de Protección de Contraseña, te aseguras de que los usuarios no utilicen sus contraseñas de empresa en otros sitios web.

Impedir que se reutilicen contraseñas

Utilizar contraseñas únicas

Las contraseñas seguras son la primera línea de defensa para proteger las cuentas de usuarios y administradores. Las contraseñas únicas no son fáciles de adivinar. Recomienda también a tus usuarios que no utilicen la misma contraseña en cuentas diferentes, como la de correo electrónico y la de banca online.

Crear una contraseña segura y proteger mejor la cuenta

Ayudar a prevenir y solucionar problemas de vulneración de cuentas

Revisar con regularidad los informes de actividad y las alertas

Consulta los informes de actividad para obtener más información sobre el estado de las cuentas de usuario y de administrador, así como sobre la inscripción en la verificación en dos pasos.

Informes de actividad de cuentas

Configurar alertas de actividad de administradores por correo electrónico

Configura alertas por correo para recibir notificaciones cuando se den determinadas situaciones potencialmente peligrosas (por ejemplo, cuando se produzcan intentos de inicio de sesión sospechosos, cuando se vulneren dispositivos móviles o cuando otro administrador haga cambios en la configuración).

Alertas por correo enviadas a administradores

Añadir métodos de verificación de la identidad de usuarios

Puedes añadir métodos de verificación de la identidad para que se soliciten cuando se produzcan intentos de inicio de sesión sospechosos. De este modo, los usuarios deberán introducir un código de verificación que Google envía a su número de teléfono o a su dirección de correo electrónico de recuperación, o bien responder a una pregunta que solo el propietario de la cuenta pueda responder.

Verificar la identidad de los usuarios mediante medidas de seguridad adicionales |  Añadir IDs de empleado como método de verificación de la identidad

Identificar y proteger cuentas vulneradas

Si sospechas que se ha vulnerado una cuenta, suspéndela, analízala en busca de actividad maliciosa y toma las medidas oportunas.

  • Revisa los dispositivos móviles asociados a la cuenta.
  • Utiliza la búsqueda en el registro de correo electrónico para revisar los registros de entrega de tus dominios.
  • Evalúa la exposición del dominio a riesgos de seguridad de datos con el informe de seguridad.
  • Comprueba si se ha configurado algún ajuste malicioso.

Identificar y proteger cuentas vulneradas

Desactivar la descarga de datos de Google según sea necesario

Si se vulnera la seguridad de una cuenta o un usuario abandona la empresa, usa Google Takeout para impedir que el usuario se pueda descargar todos sus datos de Google.

Activar o desactivar Takeout en cuentas de usuario

Evitar el acceso no autorizado después de que un empleado abandone la organización

Para evitar que se filtren datos, revoca el acceso de un usuario a los datos de tu organización cuando la abandone.

Mantener seguros los datos una vez que el empleado ha abandonado la organización

Aplicaciones (solo en Google Workspace)

Revisar el acceso de aplicaciones de terceros a los servicios principales

Consulta qué aplicaciones de terceros pueden acceder a los servicios principales de Google Workspace, como Gmail y Drive, y decide si autorizarlas o no.

Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace

Bloquear el acceso a aplicaciones menos seguras

Las aplicaciones menos seguras no utilizan estándares de seguridad modernos como OAuth y aumentan el riesgo de que se vulneren cuentas o dispositivos.

Controlar el acceso a aplicaciones menos seguras

Crear una lista de aplicaciones de confianza

Crea una lista de aplicaciones permitidas para especificar qué aplicaciones de terceros pueden acceder a servicios principales de Google Workspace.

Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace

Controlar el acceso a los servicios principales de Google

Puedes permitir o bloquear el acceso a aplicaciones de Google, como Gmail, Drive y Calendar, en función de la dirección IP, el origen geográfico, las políticas de seguridad o el sistema operativo de un dispositivo. Por ejemplo, puedes permitir que solo se utilice Drive para ordenadores en dispositivos que sean propiedad de la empresa y estén en determinados países o regiones.

Introducción al acceso contextual

Añadir otra capa de cifrado a los datos de aplicaciones de los usuarios

Si tu organización trabaja con propiedad intelectual sensible u opera en un sector muy regulado, puedes añadir el cifrado del lado del cliente a Gmail, Google Drive, Google Meet y Google Calendar.

Acerca del cifrado del lado del cliente

Calendar (solo en Google Workspace)

Limitar el uso compartido de calendarios con usuarios externos

No permitas que los usuarios ajenos a tu empresa puedan consultar más información que la de libre/ocupado. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Configurar las opciones de visibilidad y uso compartido de calendarios

Advertir a los usuarios cuando inviten a usuarios externos

De forma predeterminada, Calendar muestra una advertencia a los usuarios cuando invitan a usuarios externos. De este modo, se reduce el riesgo de que se produzca una filtración de datos. Asegúrate de que esta advertencia esté activada en las cuentas de todos los usuarios.

Permitir invitaciones a usuarios externos en eventos de Google Calendar

Google Chat y la versión clásica de Hangouts (solo en Google Workspace)

Limitar quién puede chatear con usuarios externos

Autoriza solo a los usuarios que tengan la necesidad específica de enviar mensajes o de crear salas con usuarios ajenos a tu organización. De este modo, impedirás que los usuarios externos vean las conversaciones internas anteriores y se reduce el riesgo de que se produzcan filtraciones de datos.

Activar ajustes de chat externo

Advertir a los usuarios cuando chateen fuera de su dominio (solo en la versión clásica de Hangouts)

Muestra a los usuarios una advertencia cuando chateen con usuarios que no pertenezcan a su dominio. Si esta opción está habilitada, las conversaciones de chat de grupo se dividen cuando una persona externa se une a la conversación por primera vez. De este modo, impedirás que los usuarios externos vean las conversaciones internas anteriores y se reduce el riesgo de que se produzcan filtraciones de datos.

En Chat, las salas y los usuarios externos se marcan siempre como tal.

Activar ajustes de chat externo

Configurar una política de invitación a chats

Determina qué usuarios pueden aceptar invitaciones de chat automáticamente en función de la política de colaboración de tu organización.

Aceptar invitaciones de chat automáticamente

Navegador Chrome y dispositivos ChromeOS

Mantener actualizados el navegador Chrome y ChromeOS

Para asegurarte de que tus usuarios tienen los parches de seguridad más recientes, permite las actualizaciones. En el navegador Chrome, elige la opción de permitir siempre las actualizaciones. De forma predeterminada, los dispositivos equipados con ChromeOS se actualizan en cuanto se lanza la versión más reciente del sistema operativo. Asegúrate de que las actualizaciones automáticas estén activadas en las cuentas de todos los usuarios que utilicen dispositivos equipados con ChromeOS.

Definir políticas de Chrome para usuarios o navegadores | Gestionar actualizaciones en dispositivos equipados con ChromeOS

Forzar un reinicio para aplicar actualizaciones

Configura el navegador Chrome y los dispositivos equipados con ChromeOS para que se notifique a los usuarios que deben reiniciar el navegador o el dispositivo para que se aplique una actualización. Además, fuerza un reinicio después de cierto tiempo si el usuario no realiza ninguna acción.

Avisar a los usuarios de que deben reiniciar su dispositivo o el navegador para aplicar actualizaciones pendientes

Definir políticas básicas de dispositivos ChromeOS y del navegador Chrome

Define las siguientes políticas en tu consola de administración de Google:

  • Permitir el Gestor de contraseñas (opción predeterminada).
  • En Navegación segura, selecciona Habilitar siempre.
  • Impedir que los usuarios accedan a sitios web maliciosos (no permitas que los usuarios ignoren las advertencias de Navegación segura).

Definir políticas de usuario de Chrome

Definir políticas avanzadas del navegador Chrome

Para evitar accesos no autorizados, descargas peligrosas y filtraciones de datos entre sitios, configura las siguientes políticas avanzadas:

  • AllowedDomainsForApps: permite el acceso a las herramientas y los servicios de Google de tu organización solo a las cuentas de los dominios que especifiques.
  • DownloadRestrictions: bloquea las descargas de contenido malicioso.
  • SitePerProcess: habilita esta opción para que cada sitio del navegador Chrome se ejecute como un proceso independiente. Con esta opción, aunque un sitio eluda la política del mismo origen, la capa de seguridad adicional ayudará a impedir que el sitio robe datos de usuario de otro sitio web.

Definir políticas del navegador Chrome en ordenadores gestionados | Guía de configuración de seguridad del navegador Chrome para empresas (Windows)

Definir una política del navegador para ordenadores de Windows

Si tu empresa quiere aprovechar las ventajas del navegador Chrome, pero tus usuarios aún necesitan tener acceso a aplicaciones y sitios web más antiguos que solo se pueden visitar con Internet Explorer, instala la extensión de compatibilidad con navegadores antiguos de Chrome. De este modo, los usuarios podrán cambiar automáticamente entre Chrome y otro navegador. Esta extensión te permite usar aplicaciones que solo pueden ejecutarse en navegadores antiguos.

Compatibilidad con navegadores antiguos para Windows

Dispositivos móviles, ordenadores y otros endpoints

Con la gestión de endpoints de Google, puedes proteger las cuentas de usuario y sus datos de trabajo en dispositivos móviles, tablets, portátiles y ordenadores.

Para ver la lista completa de recomendaciones, consulta el artículo Lista de comprobación de la seguridad de la gestión de dispositivos.

Drive

Limitar el uso compartido y la colaboración con usuarios externos al dominio

Configurar opciones o crear reglas para compartir archivos fuera de tu organización

Desactiva las opciones de uso compartido o crea reglas de confianza (que te darán un control más preciso sobre el uso compartido) para que solo se puedan compartir archivos con usuarios de tus dominios. De este modo, se reduce el riesgo de que se produzcan filtraciones de datos internas o externas. Si necesitas que en tu empresa sea posible compartir archivos fuera de tu organización, puedes definir cómo se comparten archivos a nivel de unidad organizativa o crear una lista de dominios permitidos con los que se pueden compartir.

Restringir el uso compartido fuera de los dominios permitidos | Restringir el uso compartido fuera de tu organización | Crear reglas de confianza para restringir el uso compartido con usuarios externos

Advertir a los usuarios cuando compartan un archivo fuera de tu dominio

Si permites que los usuarios compartan archivos con usuarios ajenos a tu dominio, activa una advertencia. De este modo, se pedirá a los usuarios que confirmen esta acción y se reduce el riesgo de que se produzcan filtraciones de datos.

Advertir a los usuarios cuando compartan elementos con usuarios externos

Evitar que los usuarios publiquen archivos en la Web

Inhabilitar la publicación de archivos en la Web. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

No permitir que los usuarios compartan archivos de forma pública

Definir opciones de acceso general para compartir archivos

Selecciona Restringido como opción de acceso predeterminada para compartir archivos. El propietario de un archivo debería ser el único que pueda acceder a él hasta que dicho archivo se comparta. También puedes crear grupos para compartir (audiencias objetivo) personalizados para usuarios de distintos departamentos.

Definir las opciones de acceso a archivos

Permitir que los destinatarios sean los únicos que puedan acceder a los archivos

Cuando un usuario comparte un archivo a través de un producto de Google que no sea Documentos o Drive (p. ej., pegando un enlace en Gmail), Access Checker puede comprobar si los destinatarios pueden acceder a él. Selecciona la opción Solo destinatarios de Access Checker. De este modo, puedes controlar el acceso a los enlaces que compartan tus usuarios para reducir el riesgo de que se produzca una filtración de datos.

Definir las opciones de Access Checker

Impedir o reducir el riesgo de que los usuarios externos puedan detectar la pertenencia a grupos de los usuarios de tu organización

Para impedir que los usuarios de otra organización que utiliza Google Workspace descubran los grupos a los que pertenecen los usuarios de tu organización, no permitas que organizaciones externas compartan archivos con tus usuarios. También puedes reducir este riesgo si solo permites que se compartan archivos de forma externa con dominios incluidos en la lista de permitidos.

Si utilizas opciones para compartir de Google Drive: realiza una de las siguientes acciones en cada unidad organizativa que quieras proteger de este riesgo:

  • Para evitar este riesgo, desactiva la opción de compartir contenido con usuarios externos y desmarca la opción que permite que tus usuarios reciban archivos de usuarios externos.
  • Para reducir este riesgo, permite que se compartan archivos de forma externa solo con dominios incluidos en la lista de permitidos.

Consulta más información en el artículo Gestionar las opciones para compartir contenido de forma externa de tu organización.

Si usas reglas de confianza para compartir archivos en Drive: para limitar este riesgo, crea primero una regla de confianza con la siguiente configuración: 

  • Permiso: unidades organizativas o grupos que quieres proteger frente a este riesgo
  • Activador: Drive > Recibir archivos
  • Condiciones: organizaciones externas o dominios incluidos en la lista de permitidos en los que confías
  • Acción: permitir

Para obtener más información, consulta la sección Crear reglas de confianza.

A continuación, desactiva la regla predeterminada [Opción predeterminada] Los usuarios de mi organización pueden compartir archivos (verán una advertencia) y recibir archivos de cualquier persona. Para obtener más información, consulta la sección Ver y editar los detalles de una regla de confianza.

Obligar a los colaboradores externos a iniciar sesión en Google

Obliga a los colaboradores externos a que inicien sesión con una cuenta de Google. Si no tienen una, pueden crearla sin coste alguno. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Desactivar las invitaciones a cuentas que no son de Google fuera de tu dominio

Restringir quién puede mover contenido de unidades compartidas

Permite que los usuarios de tu organización sean los únicos que puedan transferir archivos de su unidad compartida a una ubicación de Drive de otras organizaciones.

Controlar los archivos almacenados en unidades compartidas

Controlar el uso compartido de contenido en las unidades compartidas nuevas

Restringe quién puede crear unidades compartidas, cambiar su configuración o acceder al contenido.

Controlar el uso compartido en unidades compartidas

Limitar las copias locales de datos de Google Drive

Inhabilitar el acceso a documentos sin conexión

Para reducir el riesgo de que se produzcan filtraciones de datos, inhabilita el acceso a documentos sin conexión. Al permitir el acceso sin conexión, se copian los documentos en el ordenador. Si lo habilitas por necesidades de tu empresa, te recomendamos que determines las unidades organizativas para minimizar riesgos.

Controlar el acceso sin conexión a editores de Documentos

Inhabilitar el acceso a Drive desde ordenadores

Los usuarios pueden acceder a Drive desde un ordenador con Google Drive para ordenadores. Para reducir el riesgo de que se produzcan filtraciones de datos, inhabilita el acceso a Google Drive desde ordenadores. En el caso de que decidas habilitar el acceso desde ordenadores, hazlo solo para aquellos usuarios con una necesidad empresarial importante.

Desactivar la sincronización en tu organización

Controlar el acceso de aplicaciones de terceros a tus datos

No permitir ningún complemento de Documentos de Google

Para reducir el riesgo de que se produzcan filtraciones de datos, no permitas que los usuarios instalen complementos de Documentos de Google de la tienda de complementos. Para cubrir una necesidad empresarial determinada, puedes implementar complementos concretos de Documentos de Google que cumplan las políticas de tu organización.

Habilitar complementos en editores de Documentos de Google

Mantén a salvo los datos sensibles

Impedir que se compartan archivos con datos sensibles o mostrar una advertencia cuando se haga

Para reducir el riesgo de que se produzcan filtraciones de datos, configura reglas de protección de la pérdida de datos para analizar archivos en busca de datos sensibles y tomar medidas cuando los usuarios compartan de forma externa archivos coincidentes. Por ejemplo, puedes impedir que se compartan de forma externa documentos que contienen un número de pasaporte y recibir una alerta por correo electrónico.

Usar DLP de Drive para evitar la pérdida de datos

Gmail (solo en Google Workspace)

Configurar la autenticación y la infraestructura

Autenticar el correo con SPF, DKIM y DMARC

Con SPF, DKIM y DMARC, se aplica un sistema de validación de correo electrónico que aprovecha la configuración de DNS para autenticar y firmar digitalmente dominios, así como para evitar que reciban ataques de spoofing.

En ocasiones, los atacantes falsifican la dirección "De" que aparece en los mensajes de correo electrónico para que parezca que el spam procede de un usuario de tu dominio. Si quieres evitarlo, configura SPF y DKIM en todas las emisiones de correo electrónico de salida.

Una vez que SPF y DKIM estén configurados, puedes crear un registro DMARC para definir cómo deben tratar Google y otros destinatarios los correos no autenticados que parezca que proceden de tu dominio.

Evitar el spam, el spoofing y el phishing con la autenticación de Gmail

Configurar las pasarelas de correo entrante para que funcionen con SPF

Aunque una pasarela puede afectar a su funcionamiento, SPF contribuye a que tus mensajes enviados no se marquen como spam. Si enrutas el correo electrónico entrante mediante una pasarela, asegúrate de que esté configurada conforme al marco de políticas del remitente (SPF).

Configurar una pasarela de correo entrante

Implementar obligatoriamente TLS en los dominios de partners

Configura el ajuste de TLS para que se requiera una conexión segura para enviar o recibir correos de dominios de partners.

Requerir que el correo electrónico se transmita a través de una conexión segura TLS

Requerir autenticación a todos los remitentes aprobados

Cuando crees una listas de direcciones de remitentes aprobados que no se deben clasificar como spam, requiere la autenticación del remitente. Cuando la autenticación del remitente está desactivada, Gmail no puede verificar si el mensaje lo ha enviado la persona de quien parece provenir. Al requerir la autenticación, se reduce el riesgo de spoofing y de phishing convencional o para ejecutivos. Más información sobre la autenticación del remitente

Personalizar la configuración de filtros de spam

Configurar registros MX para que el flujo de correo sea correcto

Configura los registros MX de forma que los servidores de correo de Google tengan la prioridad más alta; así los correos llegarán correctamente a los usuarios de tu dominio de Google Workspace. De este modo, disminuye el riesgo de que se eliminen datos si se pierden correos y se reducen las amenazas de software malicioso.

Configurar los registros MX del correo electrónico de Google Workspace | Valores de los registros MX de Google Workspace

Proteger a usuarios y organizaciones

Inhabilitar el acceso IMAP y POP

Los clientes de escritorio IMAP y POP permiten que los usuarios accedan a Gmail mediante clientes de correo de terceros. Inhabilita el acceso POP e IMAP en todos los usuarios que no lo necesiten. De este modo, se reduce el riesgo de que se eliminen datos o se produzcan filtraciones de datos internas o externas. También se puede reducir el riesgo de sufrir ataques provocados porque los clientes IMAP no tengan protecciones similares a los clientes propios.

Activar o desactivar IMAP y POP en cuentas de usuarios

Inhabilitar el reenvío automático

Impide que los usuarios reenvíen correos entrantes automáticamente a otra dirección. De este modo, se reduce el riesgo de que se produzca una filtración de datos externa a través del reenvío de correos electrónicos, un método que los atacantes usan con frecuencia.

Inhabilitar el reenvío automático

Habilitar el almacenamiento de correo completo

Si activas el almacenamiento de correo completo, se almacena una copia de todos los mensajes de correo electrónico enviados y recibidos en tu dominio (incluidos los correos de buzones que no sean de Gmail) en los buzones de Gmail de los usuarios correspondientes. Habilita esta función para reducir el riesgo de que se eliminen datos y, si utilizas Google Vault, para garantizar que el correo se conserva o se retiene.

Configurar el almacenamiento de correo completo | Almacenamiento de correo completo y Vault

Aplicar filtros de spam a los mensajes que procedan de remitentes internos

Desactiva No aplicar filtros de spam a los remitentes internos, porque todas las direcciones externas que se añadan a grupos se tratarán como direcciones internas. Al desactivar este ajuste, los correos electrónicos de todos los usuarios, incluidos los de remitentes internos, pasarán por el filtro de spam. De este modo, se reduce el riesgo de spoofing y de phishing convencional o para ejecutivos.

Personalizar la configuración de filtros de spam

Añadir el ajuste de cabeceras de spam a todas las reglas de enrutamiento predeterminadas

Las cabeceras de spam ayudan a maximizar la capacidad de filtrado de los servidores de correo electrónico secundarios y a reducir el riesgo de spoofing y de phishing convencional o para ejecutivos. Cuando configures reglas de enrutamiento predeterminadas, marca la casilla Añadir encabezados X-Gm-Spam y X-Gm-Phishy para que Gmail los añada y se indique el estado de spam y phishing del mensaje.

Por ejemplo, un administrador de un servidor secundario puede utilizar esta información para configurar reglas que traten el spam y el phishing de forma diferente a los correos legítimos.

Configurar el enrutamiento predeterminado

Habilitar el análisis mejorado de mensajes antes de su entrega

Cuando se habilita este ajuste, se realizan comprobaciones adicionales en los mensajes que Gmail haya identificado como posibles ataques de phishing.

Utilizar el análisis mejorado de mensajes antes de su entrega

Habilitar advertencias sobre destinatarios externos

Gmail detecta si un correo electrónico de respuesta contiene destinatarios externos que no son contactos habituales de un usuario o que no figuran en su lista de contactos. Si habilitas este ajuste, tus usuarios recibirán una advertencia y se les ofrecerá la posibilidad de ignorarla.

Configurar advertencias sobre destinatarios externos

Habilitar protección adicional contra archivos adjuntos

Google analiza los mensajes entrantes en busca de software malicioso aunque la configuración de seguridad adicional contra archivos adjuntos maliciosos no esté habilitada. Al activar la protección adicional contra archivos adjuntos, se pueden detectar correos electrónicos maliciosos que quizá antes no se identificaron como tales.

Activar la protección contra archivos adjuntos no deseados

Habilitar protecciones adicionales contra enlaces y contenido externo
Google analiza los mensajes entrantes en busca de malware aunque no esté habilitada la configuración de seguridad adicional contra contenido y enlaces maliciosos. Al activar la protección adicional contra enlaces e imágenes externas, se pueden detectar correos electrónicos afectados por phishing que quizá antes no se identificaron como tales.

Activar la protección frente a enlaces e imágenes externas

Habilitar protección adicional contra el spoofing

Google analiza los mensajes entrantes en busca de spoofing aunque la configuración de seguridad adicional contra el spoofing no esté habilitada. Al activar la protección adicional contra el spoofing y de autenticación se puede reducir, por ejemplo, el riesgo de sufrir spoofing basado en nombres de dominios o de empleados similares.

Activar la autenticación y la protección contra spoofing

Consideraciones de seguridad para las tareas rutinarias de Gmail

Anular filtros de spam con cuidado

Si no quieres recibir más spam, modifícalos con cuidado para anular los filtros de spam predeterminados de Gmail.

Personalizar la configuración de Gmail de una organización

No incluyas dominios en la lista de remitentes aprobados

Si has configurado el ajuste de remitentes aprobados y has marcado la opción No aplicar filtros de spam a los mensajes recibidos de direcciones o dominios de estas listas de remitentes aprobados, retira todos los dominios de tu lista de remitentes aprobados. De este modo, se reduce el riesgo de spoofing y de phishing convencional o para ejecutivos.

Personalizar la configuración de filtros de spam

No añadas direcciones IP a la lista de direcciones permitidas

Por lo general, el correo enviado desde direcciones IP incluidas en la lista de permitidas no se marca como spam. Para aprovechar al máximo el servicio de filtros de spam de Gmail y que el spam se clasifique de la mejor manera posible, las direcciones IP de los servidores de correo que reenvíen correos a Gmail se deben añadir a la pasarela de correo entrante, no a una lista de direcciones IP permitidas.

Añadir direcciones IP a listas de correos permitidos en Gmail | Configurar una pasarela de correo entrante

Mantén a salvo los datos sensibles

Analizar y bloquear correos con datos sensibles

Para reducir el riesgo de que se produzcan filtraciones de datos, analiza los correos salientes con detectores de protección de la pérdida de datos predefinidos para tomar medidas cuando los usuarios reciban o envíen mensajes con contenido sensible. Por ejemplo, puedes bloquear el envío de mensajes que contengan números de tarjetas de crédito y recibir una alerta por correo electrónico.

Analizar el tráfico de correo electrónico mediante reglas de Prevención de la pérdida de datos (DLP)

Grupos de Google

Usar grupos diseñados para aumentar la seguridad

Para asegurarte de que solo algunos usuarios puedan acceder a las aplicaciones y los recursos sensibles, gestiónalos mediante grupos de seguridad. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Proporcionar un acceso más seguro a los datos y recursos

Añade condiciones de seguridad a los roles de administrador

Permite que solo determinados administradores controlen los grupos de seguridad. Designa a otros administradores que solo puedan controlar grupos que no sean de seguridad. De este modo, se reduce el riesgo de que se produzcan filtraciones de datos y amenazas de insiders malintencionados.

Asignar roles de administrador específicos

Configurar el acceso privado a grupos

Selecciona el ajuste Privado para permitir el acceso exclusivamente a los miembros de tu dominio. Los miembros de grupos pueden seguir recibiendo correos electrónicos externos al dominio. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Configurar las opciones de uso compartido de Grupos para empresas

Permitir que solo los administradores puedan crear grupos

Permite exclusivamente a los administradores crear grupos. De este modo, se reduce el riesgo de que se produzca una filtración de datos.

Configurar las opciones de uso compartido de Grupos para empresas

Personalizar la configuración de acceso a grupos

Recomendaciones:

  • Permite o inhabilita miembros y mensajes ajenos al dominio.
  • Configura la moderación de mensajes.
  • Define la visibilidad de los grupos.
  • Realiza otras acciones conforme a las políticas de tu empresa.

Configurar quién puede ver, publicar y moderar

Inhabilitar algunos ajustes de acceso para crear grupos internos

Los ajustes siguientes permiten a cualquier usuario de Internet unirse a un grupo, enviar mensajes y ver los archivos de la conversación. Inhabilita estos ajustes en los grupos internos:

  • Acceso público
  • Conceder también este acceso a todos los usuarios de Internet
  • Permitir también que todos los usuarios de Internet publiquen mensajes

Asignar niveles de acceso a un grupo

Habilitar la moderación de spam en los grupos

Puedes enviar mensajes a la cola de moderación y notificar o no a los moderadores, rechazar de inmediato los mensajes de spam o permitir que los mensajes se publiquen sin ser moderados.

Aprobar o bloquear publicaciones nuevas

Sites (solo en Google Workspace)

Impedir que los usuarios compartan sitios web con usuarios ajenos a tu dominio
Impide que los usuarios compartan sitios web con personas ajenas a tu dominio para reducir el riesgo de que se produzcan filtraciones de datos. Si tienes que cubrir una necesidad importante de la empresa, podrías habilitar la opción para compartir sitios web con usuarios ajenos a tu dominio. En este caso, puedes mostrar una advertencia cuando se compartan sitios web con usuarios ajenos a tu dominio.

Configurar las opciones de uso compartido de Google Sites | Configurar las opciones para compartir: versión clásica de Sites

Vault (solo en Google Workspace)

Considerar sensibles las cuentas con privilegios de Vault

Puedes proteger las cuentas asignadas a los roles de administrador de Vault de la misma forma que proteges las cuentas de los superadministradores.

Prácticas recomendadas de seguridad para proteger cuentas de administrador

Auditar periódicamente la actividad de Vault

Los usuarios que tienen privilegios de Vault pueden buscar y exportar datos de otros usuarios, así como cambiar reglas de conservación que pueden purgar datos que necesitas conservar. Monitoriza la actividad de Vault para asegurarte de que solo se apliquen políticas de conservación y de acceso a datos que se hayan aprobado.

Auditar la actividad de los usuarios de Vault

Pasos siguientes: monitorización, investigación y solución

Revisar la configuración de seguridad e investigar la actividad

Visita regularmente el Centro de Seguridad para revisar tu posición de seguridad, investigar los incidentes y tomar medidas basándote en lo que descubras.

Acerca del Centro de Seguridad

Revisar el registro de auditoría de la consola de administración

Consulta el registro de auditoría de la consola de administración para ver el historial de todas las tareas que se han realizado, qué administrador las llevó a cabo, cuándo lo hizo y desde qué dirección IP se conectó.

Registro de auditoría de la consola de administración

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal