Prácticas recomendadas de seguridad para proteger cuentas de administrador

Sigue las prácticas recomendadas que se indican en este artículo para mejorar la seguridad de tus cuentas de administrador y, por extensión, de tu empresa en general.

Para ver más prácticas recomendadas sobre seguridad, consulta el artículo Listas de comprobación de seguridad.

Proteger las cuentas de administrador

Aplicar la verificación en dos pasos obligatoria a las cuentas de administrador

Con la verificación en dos pasos puedes proteger las cuentas de administrador frente a accesos no autorizados, incluso si alguien descubre una contraseña de administrador. Resulta especialmente importante añadir esta capa de seguridad a las cuentas de superadministrador, ya que con ellas se controla el acceso a todos los datos de los empleados y de la empresa.

Proteger una empresa mediante la verificación en dos pasos

Aplicar la verificación en dos pasos mediante llaves de seguridad

La verificación en dos pasos puede completarse de varias maneras; por ejemplo, mediante llaves de seguridad, notificaciones de Google, Google Authenticator o códigos de seguridad. Las llaves de seguridad son pequeños dispositivos de hardware con los que se puede realizar la autenticación de dos factores. Estos dispositivos sirven de protección frente a amenazas de suplantación de identidad y son el método más seguro de verificación en dos pasos.

Proteger una empresa mediante la verificación en dos pasos: llaves de seguridad

No compartir cuentas de administrador entre usuarios

Da a cada administrador su propia cuenta de administrador identificable. De lo contrario, si varias personas inician sesión en la consola de administración con la misma cuenta de administrador (por ejemplo, admin@example.com), no se puede saber cuál de ellas ha hecho cada una de las actividades que figuran en el registro de auditoría.

Protección contra ataques dirigidos

Puedes aplicar muchas de las recomendaciones incluidas en este artículo a la vez registrando las cuentas de superadministrador y otras cuentas sensibles en el Programa de Protección Avanzada.

Proteger a usuarios con el Programa de Protección Avanzada

Gestionar las cuentas de superadministrador

Configurar varias cuentas de superadministrador

Recomendamos que las organizaciones tengan más de una cuenta de superadministrador, cada una de ellas gestionada por una persona diferente (no se recomienda compartir las cuentas de administrador). De este modo, si se pierde una cuenta o se vulnera su seguridad, otro superadministrador puede hacer las tareas importantes mientras dicha cuenta se recupera.

No utilizar cuentas de superadministrador para llevar a cabo actividades diarias

Da a cada superadministrador dos cuentas: su propia cuenta de superadministrador y otra cuenta aparte para las actividades habituales. Los usuarios solo deben iniciar sesión en su cuenta de superadministrador para llevar a cabo tareas de superadministrador, como configurar la verificación en dos pasos, gestionar la facturación y las licencias de usuario, o ayudar a otro administrador a recuperar su cuenta.

Los superadministradores deben usar otra cuenta, no de administrador, para realizar las actividades habituales.

Por ejemplo, si María y Juan son superadministradores, deberían tener una cuenta de administrador y otra de usuario cada uno, como las siguientes:

  • admin-maria@example.com, maria@example.com
  • admin-juan@example.com, juan@example.com

Asegurarse de recibir anuncios de administración importantes

Si no sueles iniciar sesión con tu cuenta de administrador principal, es posible que te pierdas importantes avisos de servicio obligatorios de Google. Para asegurarte de recibir estos avisos, configura un contacto de correo secundario para que se envíen a una cuenta que utilices habitualmente.

Enviar notificaciones sobre la facturación y la cuenta a otro administrador

Cerrar sesión siempre en las cuentas de superadministrador

Si inicias sesión en una cuenta de superadministrador para realizar tareas de administración y luego no la cierras, el riesgo de que se produzcan ataques de suplantación de identidad aumenta. Por este motivo, recomendamos que los superadministradores inicien sesión cuando deban hacer tareas concretas y cierren sesión una vez que hayan terminado.

Usar cuentas que no sean de superadministrador para las tareas de administración habituales

Las cuentas de superadministrador deben utilizarse solo cuando sea necesario. Delega las tareas de administración a cuentas de usuario con roles de administrador limitados. Sigue el modelo de privilegios mínimos, en el que cada usuario tiene acceso a los recursos y herramientas necesarios para hacer sus tareas habituales. Por ejemplo, puedes dar permisos a un administrador para crear cuentas de usuario y cambiar contraseñas, pero no para eliminar cuentas de usuario.

Información sobre los roles de administrador

Supervisar la actividad de las cuentas de administrador

Configurar alertas de actividad de administradores por correo electrónico

Puedes supervisar la actividad de los administradores y controlar los posibles riesgos de seguridad configurando alertas por correo para recibir notificaciones cuando se den determinadas situaciones (por ejemplo, cuando se produzcan intentos de inicio de sesión sospechosos, se vulneren dispositivos móviles u otro administrador haga cambios en la configuración).

Al activar las alertas de una actividad, recibes un correo cada vez que se produzca dicha actividad.

Alertas por correo enviadas a los administradores y reglas definidas por el sistema

Revisar el registro de auditoría de la consola de administración

Consulta el registro de auditoría de la consola de administración de Google para ver el historial de todas las tareas que se han hecho, qué administrador las llevó a cabo, cuándo lo hizo y desde qué dirección IP se conectó.

La actividad del superadministrador aparece en la columna Descripción del evento como _SEED_ADMIN_ROLE, seguido del nombre de usuario.

Registro de auditoría de la consola de administración

Prepararse para recuperar cuentas de administrador

Añadir opciones de recuperación a las cuentas de administrador

Recomendamos que los administradores añadan opciones de recuperación a su cuenta de administrador.

Si un administrador olvida su contraseña, puede hacer clic en el enlace ¿Necesitas ayuda? de la página de inicio de sesión para que Google le envíe una contraseña nueva por teléfono, mensaje de texto o correo electrónico. Para que Google pueda enviársela, el administrador debe haber incluido un número de teléfono y una dirección de correo de recuperación en la cuenta.

Añadir información de recuperación a las cuentas de administrador

Tener a mano la información necesaria para recuperar contraseñas

Si un superadministrador no puede cambiar su contraseña con las opciones de recuperación por correo o teléfono y no hay otro superadministrador que pueda hacerlo, puede usar el asistente de recuperación.

Para verificar la identidad, Google solicita la siguiente información sobre la cuenta de la organización:

  • La fecha en que se creó la cuenta
  • La dirección de correo electrónico alternativa que se asoció a la cuenta originalmente (es decir, el correo electrónico que se utilizó para registrarse)
  • El número de pedido de Google asociado a la cuenta (si procede)
  • El número de cuentas de usuario creadas
  • La dirección de facturación vinculada a la cuenta
  • El tipo de tarjeta de crédito utilizada y sus últimos cuatro dígitos

Google también pide al administrador que verifique la propiedad de DNS del dominio, por lo que este debe tener las credenciales para editar la configuración de DNS del dominio con su registrador.

Cambiar la contraseña de administrador: si las opciones de teléfono y correo electrónico no están disponibles

Registrar una llave de seguridad de repuesto

Recomendamos que los administradores registren varias llaves de seguridad en su cuenta de administrador y las guarden en un lugar seguro. De este modo, en el caso de pérdida o robo de la llave de seguridad principal, aún podrán iniciar sesión en sus cuentas.

Añadir un alias de dominio a tu cuenta

Guardar códigos de verificación alternativos con antelación

Si un administrador pierde la llave de seguridad o el teléfono en el que recibe los códigos de la verificación en dos pasos o las notificaciones de Google, puede introducir un código de verificación alternativo para iniciar sesión.

Por este motivo, recomendamos que los administradores generen e impriman códigos de verificación alternativos por si los necesitan y que los guarden en una ubicación segura.

Generar e imprimir códigos de verificación alternativos

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
12891442444195415507
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false