Sigue las prácticas recomendadas que se indican en este artículo para mejorar la seguridad de tus cuentas de administrador y, por extensión, de tu empresa en general.
Para ver más prácticas recomendadas sobre seguridad, consulta el artículo Listas de comprobación de seguridad.
Proteger las cuentas de administrador
Aplicar la verificación en dos pasos obligatoria a las cuentas de administrador Con la verificación en dos pasos puedes proteger las cuentas de administrador frente a accesos no autorizados, incluso si alguien descubre una contraseña de administrador. Resulta especialmente importante añadir esta capa de seguridad a las cuentas de superadministrador, ya que con ellas se controla el acceso a todos los datos de los empleados y de la empresa. |
|
Aplicar la verificación en dos pasos mediante llaves de seguridad La verificación en dos pasos puede completarse de varias maneras; por ejemplo, mediante llaves de seguridad, notificaciones de Google, Google Authenticator o códigos de seguridad. Las llaves de seguridad son pequeños dispositivos de hardware con los que se puede realizar la autenticación de dos factores. Estos dispositivos sirven de protección frente a amenazas de suplantación de identidad y son el método más seguro de verificación en dos pasos. Proteger una empresa mediante la verificación en dos pasos: llaves de seguridad |
|
No compartir cuentas de administrador entre usuarios Da a cada administrador su propia cuenta de administrador identificable. De lo contrario, si varias personas inician sesión en la consola de administración con la misma cuenta de administrador (por ejemplo, admin@example.com), no se puede saber cuál de ellas ha hecho cada una de las actividades que figuran en el registro de auditoría. |
|
Protección contra ataques dirigidos Puedes aplicar muchas de las recomendaciones incluidas en este artículo a la vez registrando las cuentas de superadministrador y otras cuentas sensibles en el Programa de Protección Avanzada. |
Gestionar las cuentas de superadministrador
Configurar varias cuentas de superadministrador Recomendamos que las organizaciones tengan más de una cuenta de superadministrador, cada una de ellas gestionada por una persona diferente (no se recomienda compartir las cuentas de administrador). De este modo, si se pierde una cuenta o se vulnera su seguridad, otro superadministrador puede hacer las tareas importantes mientras dicha cuenta se recupera. |
|
No utilizar cuentas de superadministrador para llevar a cabo actividades diarias Da a cada superadministrador dos cuentas: su propia cuenta de superadministrador y otra cuenta aparte para las actividades habituales. Los usuarios solo deben iniciar sesión en su cuenta de superadministrador para llevar a cabo tareas de superadministrador, como configurar la verificación en dos pasos, gestionar la facturación y las licencias de usuario, o ayudar a otro administrador a recuperar su cuenta. Los superadministradores deben usar otra cuenta, no de administrador, para realizar las actividades habituales. Por ejemplo, si María y Juan son superadministradores, deberían tener una cuenta de administrador y otra de usuario cada uno, como las siguientes:
|
|
Asegurarse de recibir anuncios de administración importantes Si no sueles iniciar sesión con tu cuenta de administrador principal, es posible que te pierdas importantes avisos de servicio obligatorios de Google. Para asegurarte de recibir estos avisos, configura un contacto de correo secundario para que se envíen a una cuenta que utilices habitualmente. Enviar notificaciones sobre la facturación y la cuenta a otro administrador |
|
Cerrar sesión siempre en las cuentas de superadministrador Si inicias sesión en una cuenta de superadministrador para realizar tareas de administración y luego no la cierras, el riesgo de que se produzcan ataques de suplantación de identidad aumenta. Por este motivo, recomendamos que los superadministradores inicien sesión cuando deban hacer tareas concretas y cierren sesión una vez que hayan terminado. |
|
Usar cuentas que no sean de superadministrador para las tareas de administración habituales Las cuentas de superadministrador deben utilizarse solo cuando sea necesario. Delega las tareas de administración a cuentas de usuario con roles de administrador limitados. Sigue el modelo de privilegios mínimos, en el que cada usuario tiene acceso a los recursos y herramientas necesarios para hacer sus tareas habituales. Por ejemplo, puedes dar permisos a un administrador para crear cuentas de usuario y cambiar contraseñas, pero no para eliminar cuentas de usuario. |
Supervisar la actividad de las cuentas de administrador
Configurar alertas de actividad de administradores por correo electrónico Puedes supervisar la actividad de los administradores y controlar los posibles riesgos de seguridad configurando alertas por correo para recibir notificaciones cuando se den determinadas situaciones (por ejemplo, cuando se produzcan intentos de inicio de sesión sospechosos, se vulneren dispositivos móviles u otro administrador haga cambios en la configuración). Al activar las alertas de una actividad, recibes un correo cada vez que se produzca dicha actividad. Alertas por correo enviadas a los administradores y reglas definidas por el sistema |
|
Revisar el registro de auditoría de la consola de administración Consulta el registro de auditoría de la consola de administración de Google para ver el historial de todas las tareas que se han hecho, qué administrador las llevó a cabo, cuándo lo hizo y desde qué dirección IP se conectó. La actividad del superadministrador aparece en la columna Descripción del evento como _SEED_ADMIN_ROLE, seguido del nombre de usuario. |
Prepararse para recuperar cuentas de administrador
Añadir opciones de recuperación a las cuentas de administrador Recomendamos que los administradores añadan opciones de recuperación a su cuenta de administrador. Si un administrador olvida su contraseña, puede hacer clic en el enlace ¿Necesitas ayuda? de la página de inicio de sesión para que Google le envíe una contraseña nueva por teléfono, mensaje de texto o correo electrónico. Para que Google pueda enviársela, el administrador debe haber incluido un número de teléfono y una dirección de correo de recuperación en la cuenta. Añadir información de recuperación a las cuentas de administrador |
|
Tener a mano la información necesaria para recuperar contraseñas Si un superadministrador no puede cambiar su contraseña con las opciones de recuperación por correo o teléfono y no hay otro superadministrador que pueda hacerlo, puede usar el asistente de recuperación. Para verificar la identidad, Google solicita la siguiente información sobre la cuenta de la organización:
Google también pide al administrador que verifique la propiedad de DNS del dominio, por lo que este debe tener las credenciales para editar la configuración de DNS del dominio con su registrador. |
|
Registrar una llave de seguridad de repuesto Recomendamos que los administradores registren varias llaves de seguridad en su cuenta de administrador y las guarden en un lugar seguro. De este modo, en el caso de pérdida o robo de la llave de seguridad principal, aún podrán iniciar sesión en sus cuentas. |
|
Guardar códigos de verificación alternativos con antelación Si un administrador pierde la llave de seguridad o el teléfono en el que recibe los códigos de la verificación en dos pasos o las notificaciones de Google, puede introducir un código de verificación alternativo para iniciar sesión. Por este motivo, recomendamos que los administradores generen e impriman códigos de verificación alternativos por si los necesitan y que los guarden en una ubicación segura. |