Te has esforzado al máximo para montar tu empresa. No permitas que los riesgos de seguridad empañen ese éxito. Toma las medidas de seguridad que se describen en este artículo para proteger mejor la información de tu empresa.
Si tienes una empresa de menos de 100 usuarios, es probable que no tengas ningún administrador de TI especializado, así que iremos al grano.
Proteger las cuentas
|
|
Usar contraseñas únicas Las contraseñas seguras son la primera línea de defensa para proteger las cuentas de usuarios y administradores. Las contraseñas únicas no son fáciles de adivinar. Por ejemplo, piensa en una oración larga y usa la primera letra de cada palabra como contraseña. Recomienda también a tus usuarios que no utilicen la misma contraseña en cuentas diferentes, como en la de su correo electrónico y en la de su banca online. |
|
|
Obligar a los administradores y a los usuarios clave a que demuestren su identidad una segunda vez Si algún hacker consigue robar tu contraseña, con la verificación en dos pasos puedes evitar que acceda a la cuenta. Al activar la verificación en dos pasos, los usuarios tienen que verificar su identidad mediante algo que sepan (como una contraseña) y algo que tengan (como una llave física o un código de acceso) para acceder a su cuenta. Recomendamos que se utilice la verificación en dos pasos en todas las cuentas de usuario de tu empresa, pero es especialmente importante que la apliques de manera obligatoria a las cuentas de administrador y de usuarios que trabajen con datos confidenciales, como registros financieros o información de empleados. Deberías aplicar este tipo de verificación en las cuentas de administradores y usuarios clave. Proteger una empresa mediante la verificación en dos pasos | Implementar la verificación en dos pasos |
|
|
Los administradores deben añadir información de recuperación a su cuenta Si tu administrador olvida su contraseña, puede hacer clic en el enlace ¿Necesitas ayuda? de la página de inicio de sesión para que Google le envíe una contraseña nueva por teléfono, mensaje de texto o correo electrónico. Para que Google pueda enviársela, el administrador debe haber incluido un número de teléfono y una dirección de correo electrónico de recuperación en la cuenta. Añadir opciones de recuperación a tu cuenta de administrador |
|
|
Generar códigos de seguridad con antelación Si en tu empresa se aplica la verificación en dos pasos y un usuario o un administrador pierde acceso al método de verificación correspondiente, no podrá iniciar sesión en su cuenta. Por ejemplo, supongamos que un usuario que recibe los códigos de verificación en dos pasos en su teléfono lo pierde, o que otro usuario pierde su llave de seguridad. En estos casos, los usuarios afectados pueden utilizar un código de seguridad. Estos códigos deben generarse e imprimirse con antelación y guardarse en un lugar seguro. |
|
|
Crear una cuenta de superadministrador adicional Recomendamos que las empresas tengan más de una cuenta de superadministrador, cada una de ellas gestionada por una persona diferente. De este modo, si se pierde una cuenta o se vulnera su seguridad, otro superadministrador puede hacer las tareas más importantes mientras se recupera la cuenta principal. Para crear otro superadministrador, asigna este rol a otro usuario. |
|
|
Tener a mano la información necesaria para recuperar contraseñas de superadministradores Si un superadministrador no puede cambiar su contraseña con las opciones de recuperación por correo electrónico o teléfono y no hay otro superadministrador que pueda cambiarla, puede ponerse en contacto con el servicio de asistencia de Google. Para verificar la identidad del superadministrador, Google solicita información sobre la cuenta de la organización. Además, el administrador debe verificar la propiedad de DNS del dominio. Te recomendamos que guardes la información de la cuenta y las credenciales de DNS en un lugar seguro por si las necesitas. Prácticas recomendadas de seguridad para proteger cuentas de administrador |
|
|
Los superadministradores deberían cerrar sesión en sus cuentas cuando no las estén utilizando Los superadministradores pueden gestionar todos los aspectos de la cuenta de tu empresa y acceder a todos los datos corporativos y de los empleados. Si inicias sesión en una cuenta de superadministrador para realizar tareas de administración y luego no la cierras, el riesgo de que se produzcan actividades maliciosas aumenta. Por este motivo, recomendamos que los superadministradores inicien sesión cuando deban hacer tareas concretas y cierren sesión una vez que hayan terminado. Para realizar tareas administrativas diarias, usa una cuenta que tenga roles de administrador limitados. Roles de administrador predefinidos | Prácticas recomendadas de seguridad para proteger cuentas de administrador |
|
|
Habilitar las actualizaciones automáticas de las aplicaciones y los navegadores de Internet Para obtener las actualizaciones de seguridad más recientes, asegúrate de que tus usuarios habiliten las actualizaciones automáticas de las aplicaciones y los navegadores de Internet. Si usan Chrome, puedes configurarlas en toda tu organización. |
Si usas Gmail, Calendar, Drive y Documentos
|
|
Activar el análisis mejorado de mensajes antes de entregarlos La suplantación de identidad (phishing) es una práctica maliciosa que consiste en enviar correos electrónicos con el objetivo de engañar a los usuarios para que revelen datos sensibles, como contraseñas, números de cuenta u otra información personal identificable. Google analiza los mensajes entrantes para proteger las cuentas contra ataques de suplantación de identidad. Cuando Gmail detecta que un correo electrónico puede ser un intento de suplantación de identidad, puede mostrar una advertencia o enviarlo directamente a la carpeta Spam. Si habilitas el análisis mejorado de mensajes antes de su entrega, Gmail puede detectar correos electrónicos de suplantación de identidad (phishing) que quizá antes no había identificado como tales. Evitar la suplantación de identidad (phishing) analizando los mensajes antes de entregarlos |
 |
Activar el filtrado adicional de archivos maliciosos y de enlaces en Gmail Google analiza los mensajes entrantes en busca de programas maliciosos, como virus informáticos. Si activas las comprobaciones de seguridad adicionales de archivos adjuntos, enlaces e imágenes externas, aumenta la probabilidad de que se detecten correos electrónicos maliciosos que quizá antes no se habrían identificado como tales. Protección avanzada contra la suplantación de identidad (phishing) y el software malicioso |
|
|
Asegurarse de que los destinatarios no marcan tus correos como spam Los mensajes de correo electrónico masivos no deseados se consideran spam. Muchos anunciantes sin escrúpulos usan esta técnica porque el único coste operativo que tiene es la gestión de las listas de distribución. El marco de políticas de remitente (SPF) es un método de seguridad de correo electrónico con el que puedes autorizar los correos legítimos que envíen los usuarios de tu empresa. Un registro SPF identifica los servidores de correo que pueden enviar mensajes en nombre de tu dominio. Si no configuras SPF en tu dominio, es posible que tus mensajes reboten o se marquen como spam. |
|
|
Restringe acceso de personas ajenas a tu empresa a los calendarios Los calendarios de los usuarios pueden contener información confidencial, por lo que deberías limitar el acceso de usuarios externos. No permitas que los usuarios ajenos a tu empresa puedan consultar más información que la de libre/ocupado. Configurar las opciones de visibilidad y de uso compartido de Calendar |
|
|
Limitar quién puede ver los archivos nuevos Seleccionar la opción predeterminada para compartir mediante enlace |
|
|
Advertir a los usuarios cuando compartan un archivo con personas ajenas a tu empresa Si permites que tus usuarios compartan archivos con personas externas, asegúrate de que reciban una advertencia cuando intenten hacerlo. En ella se les pedirá que confirmen que quieren compartir el archivo con alguien ajeno a la empresa. No permitir que los usuarios de tu organización compartan archivos libremente |
¿Tiene tu empresa algún requisito de seguridad especial?
Aunque tu empresa tenga menos de 10 personas, es posible que necesite medidas de seguridad propias de una empresa mucho más grande para proteger su información.
Por ejemplo, es posible que las pequeñas empresas de inversiones y planificación financiera, así como cualquier empresa que gestione información médica, tengan requisitos legales, de privacidad y de seguridad especiales. Además, puede que estas empresas también tengan administradores de TI especializados que se encarguen de que se cumplan este tipo de requisitos.
Si tu empresa tiene requisitos de seguridad adicionales, sigue las prácticas de seguridad recomendadas que se indican en el artículo Lista de comprobación de seguridad para medianas y grandes empresas (más de 100 usuarios).
