Sigue estas prácticas recomendadas para mejorar la seguridad de tus cuentas de administrador y, por extensión, de tu empresa en general.
Para obtener más prácticas recomendadas de seguridad, consulta las listas de tareas de seguridad.
Protege las cuentas de administrador
|
Exige la Verificación en 2 pasos para las cuentas de administrador Si alguien logra obtener la contraseña de administrador, la Verificación en 2 pasos (2SV) ayuda a proteger la cuenta del acceso no autorizado. Es especialmente importante que los administradores avanzados usen la 2SV, ya que sus cuentas controlan el acceso a todos los datos de la empresa y de los empleados de la organización. |
|
|
Usa llaves de seguridad para la Verificación en 2 pasos Existen varios métodos de 2SV, incluidas las llaves de seguridad, los mensajes de Google, el Autenticador de Google y los códigos de respaldo. Las llaves de seguridad son dispositivos de hardware pequeños que se usan como autenticación de dos factores. Ayudan a resistir las amenazas de phishing y son la forma más segura de 2SV. |
|
|
No compartas cuentas de administrador entre usuarios Proporciona a cada administrador su propia cuenta de administrador identificable. De lo contrario, si varias personas usan la misma cuenta de administrador para acceder a la Consola del administrador, como admin@example.com, no podrás saber qué administrador es responsable de actividades específicas en el registro de auditoría. |
|
|
Protégete contra ataques dirigidos Puedes aplicar muchas de las recomendaciones de este artículo a la vez inscribiendo cuentas de administrador avanzado y otras cuentas sensibles en el Programa de Protección Avanzada. Protege a los usuarios con el Programa de Protección Avanzada |
Administra las cuentas de administrador avanzado
|
|
Configura varias cuentas de administrador avanzado Tu organización debe tener más de una cuenta de administrador avanzado, cada una administrada por una persona diferente (evita compartir una cuenta de administrador). Si se pierde o vulnera una cuenta, otro administrador avanzado puede realizar tareas importantes mientras se recupera la otra cuenta. |
|
|
No uses una cuenta de administrador avanzado para las actividades diarias Proporciona a cada administrador avanzado 2 cuentas: su propia cuenta de administrador avanzado y una cuenta separada para las actividades diarias. Los usuarios solo deben acceder a una cuenta de administrador avanzado para realizar tareas de administrador avanzado, como configurar la Verificación en 2 pasos (2SV), administrar la facturación y las licencias de usuario, o ayudar a otro administrador a recuperar su cuenta. Los administradores avanzados deben usar una cuenta separada que no sea de administrador para las actividades diarias. Por ejemplo, si María y James son administradores avanzados, cada uno debe tener una cuenta de administrador identificable y una cuenta de usuario, de la siguiente manera:
|
|
|
Asegúrate de recibir anuncios importantes para administradores Si no accedes con frecuencia a tu cuenta de administrador principal, es posible que te pierdas anuncios importantes y obligatorios de los servicios de Google. Para asegurarte de recibir estos anuncios, configura un contacto con acceso solo a correos electrónicos secundario para enviarlos a una cuenta que uses con regularidad. Envía notificaciones de facturación y de la cuenta a otro administrador |
|
|
No permanezcas conectado a una cuenta de administrador avanzado Permanecer conectado a una cuenta de administrador avanzado cuando no realizas tareas administrativas específicas puede aumentar la exposición a ataques de phishing. Los administradores avanzados deben acceder a sus cuentas según sea necesario para realizar tareas específicas y, luego, salir. |
|
|
Usa cuentas que no sean de administrador avanzado para las tareas diarias de administrador Usa la cuenta de administrador avanzado solo cuando sea necesario. Delega las tareas de administrador a cuentas de usuario con roles de administrador limitados. Usa el enfoque de privilegio mínimo, en el que cada usuario tiene acceso a los recursos y las herramientas necesarios para sus tareas habituales. Por ejemplo, puedes otorgar permisos de administrador para crear cuentas de usuario y restablecer contraseñas, pero no permitir que borren cuentas de usuario. |
|
|
Elige cómo los administradores avanzados pueden volver a acceder a sus cuentas Controla cómo los administradores avanzados acceden a sus cuentas si olvidan la contraseña activando o desactivando la recuperación automática de la cuenta. Para la mayoría de los clientes actuales y todos los clientes nuevos, la recuperación de la cuenta de administrador avanzado está desactivada de forma predeterminada. Si eres un cliente existente con menos de 3 administradores avanzados o 500 usuarios, el parámetro de configuración está activado de forma predeterminada para que coincida con el comportamiento anterior. Permite que los administradores avanzados recuperen su contraseña |
Supervisa la actividad en las cuentas de administrador
|
|
Configura alertas por correo electrónico para administradores Supervisa la actividad de los administradores y haz un seguimiento de los posibles riesgos de seguridad configurando alertas por correo electrónico para administradores para ciertos eventos, como intentos de acceso sospechosos, dispositivos móviles vulnerados o cambios realizados por otro administrador. Cuando activas una alerta para una actividad, recibes un correo electrónico cada vez que se produce esa actividad. Alertas por correo electrónico para administradores y reglas definidas por el sistema |
|
|
Revisa los eventos de registro del administrador Usa los datos de eventos de registro para ver un historial de cada tarea realizada en la Consola del administrador de Google, qué administrador realizó la tarea, la fecha y la dirección IP desde la que accedió el administrador. La actividad de un administrador avanzado aparece en la columna Descripción del evento como _SEED_ADMIN_ROLE, seguida del nombre de usuario. |
Prepárate para la recuperación de la cuenta de administrador
|
|
Agrega opciones de recuperación a las cuentas de administrador Los administradores deben agregar opciones de recuperación a su cuenta de administrador. Si un administrador olvida su contraseña, puede hacer clic en el vínculo ¿Necesitas ayuda? en la página de acceso, y Google enviará una contraseña nueva por teléfono, mensaje de texto o correo electrónico. Para ello, Google necesita un número de teléfono y una dirección de correo electrónico de recuperación para la cuenta. Agrega información de recuperación de la cuenta a tu cuenta de administrador |
|
|
Ten a mano la información para restablecer la contraseña Si la recuperación automática de la cuenta de administrador avanzado está activada, los administradores avanzados que agregaron opciones de recuperación a sus cuentas pueden restablecer su contraseña con las opciones de recuperación por correo electrónico o teléfono. Si la recuperación automática de la cuenta de administrador avanzado está desactivada y no hay otro administrador avanzado disponible para restablecer la contraseña, los administradores avanzados que necesiten restablecer su contraseña pueden usar el asistente de recuperación. Para verificar la identidad, Google hace preguntas sobre la cuenta de la organización:
Google también le pide al administrador que verifique la propiedad del DNS del dominio, por lo que el administrador debe tener las credenciales para editar la configuración de DNS del dominio con su registrador. |
|
|
Inscribe una llave de seguridad de repuesto Los administradores deben inscribir más de una llave de seguridad para su cuenta de administrador y almacenarla en un lugar seguro. Si se pierde o roba la llave de seguridad principal, podrán acceder a su cuenta. |
|
|
Guarda códigos de respaldo con anticipación Si un administrador pierde su llave de seguridad o su teléfono (en el que recibe un código de verificación de 2SV o un mensaje de Google), puede usar un código de respaldo para acceder. Los administradores deben generar e imprimir códigos de respaldo en caso de que sean necesarios. Guarda los códigos de respaldo en una ubicación segura. |