Lista de comprobación de seguridad para pequeñas empresas (de 1 a 100 usuarios)

Usa contraseñas únicas

Una buena contraseña es la primera línea de defensa para proteger las cuentas de administrador y de usuario. Las contraseñas únicas no son fáciles de adivinar. Por ejemplo, piensa en una oración larga y usa la primera letra de cada palabra como contraseña.

También desalienta la reutilización de contraseñas en diferentes cuentas, como el correo electrónico y la banca en línea.

Crea una contraseña segura y una cuenta más protegida

Exige a los administradores y a los usuarios de claves que proporcionen una prueba de identidad adicional

Si alguien logra robar tu contraseña, la verificación en 2 pasos (2SV) puede impedir que acceda a tu cuenta.

La 2SV requiere que los usuarios verifiquen su identidad por medio de algo que sepan (como una contraseña) y algo que tengan (como una llave física o un código de acceso) para obtener acceso.

Recomendamos que todos los miembros de tu empresa utilicen la 2SV, sobre todo los administradores y los usuarios que trabajen con datos sensibles, como los registros contables y la información de los empleados. Debes aplicar la 2SV a los administradores y los usuarios de claves.

Cómo proteger tu empresa con la verificación en 2 pasos | Implementa la verificación en 2 pasos

Los administradores deben agregar información de recuperación a sus cuentas

Si el administrador olvida su contraseña, puede hacer clic en el vínculo ¿Necesitas ayuda? en la página de acceso, y Google le enviará una nueva contraseña por teléfono, mensaje de texto o correo electrónico. Para ello, Google necesita un número de teléfono y una dirección de correo electrónico de recuperación para la cuenta.

Agrega opciones de recuperación a tu Cuenta de administrador

Obtén códigos de respaldo con anticipación

Si tu empresa exige la 2SV y un usuario o administrador pierde el acceso a su método de 2SV, no podrá acceder a su cuenta. Por ejemplo, un usuario que recibe códigos de verificación de la 2SV en su teléfono y lo pierde, o un usuario que pierde su llave de seguridad.

En un caso como este, puede usar un código de respaldo para la 2SV. Los administradores y los usuarios que tengan habilitada la 2SV deben generar e imprimir códigos de respaldo, y guardarlos en un lugar seguro.

Cómo generar e imprimir códigos de respaldo

Crea una cuenta de administrador avanzado adicional

Una empresa debe tener más de una cuenta de administrador avanzado, cada una administrada por una persona diferente. Si se pierde o vulnera la cuenta de tu administrador avanzado principal, el administrador avanzado secundario puede realizar tareas importantes mientras se recupera la cuenta principal.

Puedes crear otro administrador avanzado asignándole el rol a otro usuario.

Cómo asignar roles de administrador a un usuario

Ten a mano la información para restablecer la contraseña de administrador avanzado

Si un administrador avanzado no puede restablecer su contraseña con las opciones de recuperación por correo electrónico o teléfono, y no hay otro administrador avanzado disponible para restablecerla, puede comunicarse con el equipo de asistencia de Google.

Para verificar la identidad, Google hace preguntas sobre la cuenta de la organización. El administrador también debe verificar la propiedad del DNS del dominio. Debes guardar la información de la cuenta y las credenciales de DNS en un lugar seguro en caso de que las necesites.

Prácticas recomendadas de seguridad para cuentas de administrador

Los administradores avanzados no deben permanecer conectados a sus cuentas

Los administradores avanzados pueden administrar todos los aspectos de la cuenta de tu empresa y acceder a todos los datos de la empresa y de los empleados. La exposición a la actividad maliciosa potencial puede aumentar si se mantiene la conexión a una cuenta de administrador avanzado cuando no se realizan tareas administrativas específicas.

Los administradores avanzados deben acceder a sus cuentas según sea necesario para realizar tareas específicas y, luego, salir. Para las tareas administrativas diarias, usa una cuenta con roles de administrador limitados.

Roles de administrador predefinidos | Prácticas recomendadas de seguridad para las cuentas de administrador

Habilita la actualización automática de apps y navegadores de Internet

Para obtener las actualizaciones de seguridad más recientes, asegúrate de que los usuarios habiliten la actualización automática de sus apps y navegadores de Internet. Si usan Chrome, puedes configurar la actualización automática para toda tu organización.

Políticas de actualización automática (Chrome)

Cómo activar el análisis mejorado de mensajes antes de la entrega

El phishing es la práctica maliciosa de enviar correos electrónicos que intentan engañar a los usuarios para que revelen información sensible, como contraseñas, números de cuenta o cualquier otro tipo de información de identificación personal.

Google analiza los mensajes entrantes para protegerte contra el phishing. Cuando Gmail identifica que un correo electrónico puede ser un intento de phishing, es posible que muestre una advertencia o que mueva el mensaje a la carpeta de spam. El escaneo mejorado de mensajes antes de su entrega permite que Gmail ayude a detectar correos electrónicos que antes no se identificaban como phishing.

Cómo evitar el phishing con el análisis de mensajes antes de la entrega

Cómo activar la detección adicional de archivos y vínculos maliciosos en Gmail

Google analiza los mensajes entrantes para protegerte contra programas maliciosos, como los virus informáticos. Activa verificaciones de seguridad adicionales para archivos adjuntos, vínculos e imágenes externas que ayuden a detectar correos electrónicos que antes no se identificaban como maliciosos.

Protección avanzada contra phishing y software malicioso

Asegúrate de que los destinatarios de los correos electrónicos no los marquen como spam

El spam por correo electrónico son mensajes masivos no solicitados. Por lo general, los anunciantes sin escrúpulos la utilizan porque no hay costos operativos más allá de los de administrar sus listas de distribución.

Sender Policy Framework (SPF) es un método de seguridad de correo electrónico para autorizar los correos electrónicos legítimos que envían los usuarios de tu empresa. Un registro SPF identifica qué servidores de correo electrónico pueden enviar correos electrónicos en nombre de tu dominio.

Si no configuras SPF para tu dominio, es posible que algunos mensajes reboten o se marquen como spam.

Autoriza remitentes de correo electrónico con SPF

Restringe el uso compartido del calendario con personas ajenas a tu empresa

Los calendarios de los usuarios pueden contener información sensible. Debes limitar la forma en que los usuarios comparten sus calendarios con usuarios externos. Restringe el uso compartido externo del calendario solo a la información de disponible/ocupado.

Configura la visibilidad de Calendario y las opciones de uso compartido

Limita quién puede ver los archivos recién creados
Puedes especificar quién puede ver los archivos que crean tus usuarios. Asegúrate de que solo el usuario que crea un archivo pueda abrirlo hasta que lo comparta de forma explícita. Para ello, desactiva Uso compartido de vínculos.

Cómo establecer la configuración predeterminada para el uso compartido de vínculos

Advierte a los usuarios cuando compartan un archivo con personas ajenas a tu empresa

Si permites que los usuarios compartan archivos con personas externas, asegúrate de que reciban una advertencia cuando intenten hacerlo. La advertencia le solicita que confirme que quiere compartir el archivo con alguien que no pertenece a su empresa.

No permitas que los usuarios de tu organización compartan contenido con nadie