Lista de comprobación de seguridad para pequeñas empresas (de 1 a 100 usuarios)

Usa contraseñas únicas

Una buena contraseña es la primera línea de defensa para proteger las cuentas de usuarios y administradores. Las contraseñas únicas no son fáciles de adivinar. Por ejemplo, piensa en una oración larga y usa la primera letra de cada palabra como contraseña.

Además, no permitas que se reutilicen contraseñas en diferentes cuentas, como el correo electrónico y la banca en línea.

Cómo crear una contraseña segura y tener una cuenta más protegida

Exige a los administradores y a los usuarios de claves que proporcionen una prueba de identidad adicional

Si alguien logra robar tu contraseña, la verificación en 2 pasos (2SV) puede impedir que acceda a tu cuenta.

La 2SV les exige a los usuarios que verifiquen su identidad por medio de algo que sepan (como una contraseña) y algo que tengan (como una llave física o un código de acceso) para obtener acceso.

Recomendamos que todos los miembros de tu empresa utilicen la 2SV, sobre todo los administradores y los usuarios que trabajen con datos sensibles, como los registros contables y la información de los empleados. Debes aplicar la 2SV a los administradores y los usuarios de claves.

Cómo proteger tu empresa con la verificación en 2 pasos | Implementa la verificación en 2 pasos

Los administradores deben agregar información de recuperación a sus cuentas

Si un administrador olvida su contraseña, puede hacer clic en el vínculo ¿Necesitas ayuda? en la página de acceso, y Google le enviará una contraseña nueva por teléfono, mensaje de texto o correo electrónico. Para ello, Google necesita un número de teléfono y una dirección de correo electrónico de recuperación para la cuenta.

Agrega opciones de recuperación a la Cuenta de administrador.

Obtén códigos de respaldo con anticipación

Si tu empresa aplica la 2SV y un usuario o administrador pierde el acceso a su método de 2SV, no podrá acceder a su cuenta. Por ejemplo, un usuario que recibe códigos de verificación de 2SV en su teléfono y lo pierde, o un usuario que pierde su llave de seguridad.

En un caso como este, pueden usar un código de respaldo para la 2SV. Los administradores y los usuarios que tengan activada la 2SV deben generar e imprimir códigos de respaldo, y guardarlos en un lugar seguro.

Genera e imprime códigos de respaldo

Crea una cuenta de administrador avanzado adicional

Una empresa debe tener más de una cuenta de administrador avanzado, cada una administrada por una persona diferente. Si se pierde o vulnera la cuenta de tu administrador avanzado principal, el administrador avanzado secundario puede realizar tareas importantes mientras se recupera la cuenta principal.

Puedes crear otro administrador avanzado asignándole el rol a otro usuario.

Asígnale roles de administrador a un usuario

Ten a mano la información para restablecer la contraseña del administrador avanzado

Si un administrador avanzado no puede restablecer su contraseña con las opciones de recuperación por correo electrónico o teléfono, y no hay otro administrador avanzado disponible para restablecerla, puede comunicarse con Atención al cliente de Google.

Para verificar la identidad, Google hace preguntas sobre la cuenta de la organización. El administrador también debe verificar la propiedad del DNS del dominio. Debes guardar la información de la cuenta y las credenciales de DNS en un lugar seguro por si las necesitas.

Prácticas recomendadas de seguridad para cuentas de administrador

Los administradores avanzados no deben permanecer conectados a sus cuentas

Los administradores avanzados pueden administrar todos los aspectos de la cuenta de tu empresa y acceder a todos los datos de la empresa y de los empleados. La exposición a la actividad maliciosa puede aumentar si se mantiene la conexión a una cuenta de administrador avanzado cuando no se realizan tareas administrativas específicas.

Los administradores avanzados deben acceder a sus cuentas según sea necesario para realizar tareas específicas y, luego, salir. Para las tareas administrativas diarias, usa una cuenta con roles de administrador limitados.

Roles de administrador predefinidos | Prácticas recomendadas de seguridad para las cuentas de administrador

Habilita la actualización automática para las apps y los navegadores de Internet

Para obtener las actualizaciones de seguridad más recientes, asegúrate de que los usuarios habiliten la actualización automática para sus apps y navegadores de Internet. Si usan Chrome, puedes configurar la actualización automática para toda tu organización.

Políticas de actualización automática (Chrome)

Activa el análisis mejorado de mensajes antes de la entrega

La suplantación de identidad (phishing) es la práctica maliciosa de enviar correos electrónicos que intentan engañar a los usuarios para que revelen información sensible, como contraseñas, números de cuenta o cualquier otra información de identificación personal.

Google analiza los mensajes entrantes para protegerte contra la suplantación de identidad (phishing). Cuando Gmail identifica que un correo electrónico puede ser un intento de suplantación de identidad (phishing), es posible que muestre una advertencia o que mueva el correo electrónico a una carpeta de spam. El análisis mejorado de mensajes antes de la entrega permite que Gmail ayude a detectar correos electrónicos que antes no se identificaban como suplantación de identidad (phishing).

Prevención de suplantación de identidad (phishing) con análisis de mensajes antes de la entrega

Activa el análisis adicional de archivos y vínculos maliciosos para Gmail

Google analiza los mensajes entrantes para protegerte contra programas maliciosos, como virus informáticos. Activa las verificaciones de seguridad adicionales para archivos adjuntos, vínculos e imágenes externas para ayudar a detectar correos electrónicos que antes no se identificaban como maliciosos.

Protección avanzada contra phishing y software malicioso

Asegúrate de que los destinatarios de correo electrónico no marquen tu correo electrónico como spam

El spam por correo electrónico son mensajes masivos no solicitados. Por lo general, lo usan anunciantes sin escrúpulos porque no hay costos operativos más allá de la administración de sus listas de distribución.

Sender Policy Framework (SPF) es un método de seguridad de correo electrónico para autorizar el correo electrónico legítimo que envían los usuarios de tu empresa. Un registro SPF identifica qué servidores de correo pueden enviar correos electrónicos en nombre de tu dominio.

Si no configuras SPF para tu dominio, es posible que algunos mensajes reboten o se marquen como spam.

Autoriza remitentes de correo electrónico con SPF

Restringe el uso compartido del calendario con personas ajenas a tu empresa

Los calendarios de los usuarios pueden contener información sensible. Debes limitar la forma en que los usuarios comparten sus calendarios con usuarios externos. Restringe el uso compartido externo del calendario solo a la información de disponible/ocupado.

Configura la visibilidad de Calendario y las opciones de uso compartido

Limita quiénes pueden ver los archivos recién creados
Puedes especificar quiénes pueden ver los archivos que crean tus usuarios. Asegúrate de que solo el usuario que crea un archivo pueda abrirlo hasta que lo comparta de forma explícita. Para ello, desactiva la opción Uso compartido de vínculos.

Establece la configuración predeterminada para el uso compartido de vínculos

Advierte a los usuarios cuando compartan un archivo con personas ajenas a tu empresa

Si permites que los usuarios compartan archivos con personas externas, asegúrate de que reciban una advertencia cuando intenten hacerlo. La advertencia les solicita que confirmen que quieren compartir el archivo con alguien ajeno a tu empresa.

No permitas que los usuarios de tu organización compartan contenido con nadie