Sigue estas prácticas recomendadas para mejorar la seguridad de tus cuentas de administrador y, por extensión, de tu empresa en general.
Para conocer más prácticas recomendadas de seguridad, consulta las listas de tareas de seguridad.
Protege las cuentas de administrador
|
Cómo solicitar la Verificación en 2 pasos para las cuentas de administrador Si alguien logra obtener la contraseña de administrador, la verificación en 2 pasos (2SV) ayuda a proteger la cuenta del acceso no autorizado. Es especialmente importante que los administradores avanzados usen la 2SV, ya que sus cuentas controlan el acceso a todos los datos de la empresa y de los empleados de la organización. |
|
|
Cómo usar llaves de seguridad para la verificación en 2 pasos Existen varios métodos de 2SV, incluidas las llaves de seguridad, el mensaje de Google, el Autenticador de Google y los códigos de respaldo. Las llaves de seguridad son dispositivos de hardware pequeños que se usan como autenticación de dos factores. Ayudan a resistir las amenazas de phishing y son la forma más segura de 2SV. |
|
|
No compartas cuentas de administrador entre usuarios Asigna a cada administrador su propia cuenta de administrador identificable. De lo contrario, si varias personas usan la misma cuenta de administrador para acceder a la Consola del administrador, como administrador@ejemplo.com, no podrás saber qué administrador es responsable de actividades específicas en el registro de auditoría. |
|
|
Protégete contra ataques dirigidos Puedes aplicar muchas de las recomendaciones de este artículo a la vez inscribiendo las cuentas de administrador avanzado y otras cuentas sensibles en el Programa de Protección Avanzada. Protege a los usuarios con el Programa de Protección Avanzada |
Administra las cuentas de administrador avanzado
|
|
Configura varias cuentas de administrador avanzado Tu organización debe tener más de una cuenta de administrador avanzado, cada una administrada por una persona diferente (evita compartir una cuenta de administrador). Si se pierde o vulnera una cuenta, otro administrador avanzado puede realizar tareas importantes mientras se recupera la otra cuenta. |
|
|
No uses una cuenta de administrador avanzado para las actividades diarias Proporciona a cada administrador avanzado 2 cuentas: su propia cuenta de administrador avanzado y una cuenta separada para las actividades diarias. Los usuarios solo deben acceder a una cuenta de administrador avanzado para realizar tareas de administrador avanzado, como configurar la verificación en 2 pasos (2SV), administrar la facturación y las licencias de usuario, o ayudar a otro administrador a recuperar su cuenta. Los administradores avanzados deben usar una cuenta separada que no sea de administrador para las actividades diarias. Por ejemplo, si María y Juan son administradores avanzados, cada uno debe tener una cuenta de administrador identificable y una cuenta de usuario, de la siguiente manera:
|
|
|
Asegúrate de recibir anuncios importantes para administradores Si no accedes con frecuencia a tu cuenta de administrador principal, es posible que te pierdas anuncios obligatorios importantes del servicio de Google. Para asegurarte de recibir estos anuncios, configura un contacto de correo electrónico secundario para enviarlos a una cuenta que uses con frecuencia. Cómo enviar notificaciones de facturación y de la cuenta a otro administrador |
|
|
No dejes la sesión abierta de la cuenta del administrador avanzado La exposición a ataques de phishing puede aumentar si se mantiene la conexión a una cuenta de administrador avanzado cuando no se realizan tareas administrativas específicas. Los administradores avanzados deben acceder a sus cuentas según sea necesario para realizar tareas específicas y, luego, salir. |
|
|
Usa cuentas que no sean de administrador avanzado para las tareas administrativas diarias Usa la cuenta de administrador avanzado solo cuando sea necesario. Delega las tareas de administrador a las cuentas de usuario con roles de administrador limitados. Utiliza el enfoque de privilegio mínimo, en el que cada usuario tiene acceso a los recursos y las herramientas que necesita para sus tareas habituales. Por ejemplo, puedes otorgar permisos de administrador para crear cuentas de usuario y restablecer contraseñas, pero no permitir que borre cuentas de usuario. |
|
|
Elige cómo los administradores avanzados pueden volver a acceder a sus cuentas Controla cómo los administradores avanzados acceden a sus cuentas si olvidan la contraseña activando o desactivando la recuperación automática de la cuenta. Para la mayoría de los clientes actuales y todos los clientes nuevos, la recuperación de la cuenta de administrador avanzado está desactivada de forma predeterminada. Si eres cliente existente con menos de 3 administradores avanzados o 500 usuarios, el parámetro de configuración estará activado de forma predeterminada para que coincida con el comportamiento anterior. Cómo permitir que los administradores avanzados recuperen sus contraseñas |
Supervisa la actividad en las cuentas de administrador
|
|
Configura alertas por correo electrónico para administradores Supervisa la actividad del administrador y haz un seguimiento de los posibles riesgos de seguridad configurando alertas por correo electrónico para ciertos eventos, como intentos de acceso sospechosos, dispositivos móviles vulnerados o cambios realizados por otro administrador. Cuando actives una alerta para una actividad, recibirás un correo electrónico cada vez que esta suceda. Alertas por correo electrónico para administradores y reglas definidas por el sistema |
|
|
Revisa los eventos de registro del administrador Usa los datos de eventos de registro para ver el historial de cada tarea realizada en la Consola del administrador de Google, el administrador que realizó la tarea, la fecha y la dirección IP desde la que accedió el administrador. La actividad de un administrador avanzado aparece en la columna Descripción del evento como _SEED_ADMIN_ROLE, seguida del nombre de usuario. |
Prepárate para la recuperación de la cuenta de administrador
|
|
Agrega opciones de recuperación a las cuentas de administrador Los administradores deben agregar opciones de recuperación a su cuenta de administrador. Si un administrador olvida su contraseña, puede hacer clic en el vínculo ¿Necesitas ayuda? en la página de acceso, y Google le enviará una nueva contraseña por teléfono, mensaje de texto o correo electrónico. Para ello, Google necesita un número de teléfono y una dirección de correo electrónico de recuperación para la cuenta. Agrega información de recuperación de la cuenta a tu Cuenta de administrador |
|
|
Ten a mano la información para restablecer la contraseña Si la recuperación automática de la cuenta de administrador avanzado está activada, los administradores avanzados que agregaron opciones de recuperación a sus cuentas pueden restablecer su contraseña con las opciones de recuperación por correo electrónico o teléfono. Si la recuperación automática de la cuenta de administrador avanzado está desactivada y no hay otro administrador avanzado disponible para restablecer la contraseña, los administradores avanzados que necesiten restablecer su contraseña pueden usar el asistente de recuperación. Para verificar la identidad, Google hace preguntas sobre la cuenta de la organización:
Google también le pide al administrador que verifique la propiedad del DNS del dominio, por lo que el administrador debe tener las credenciales para editar la configuración del DNS del dominio con su registrador. |
|
|
Inscribe una llave de seguridad de repuesto Los administradores deben inscribir más de una llave de seguridad para su cuenta de administrador y almacenarla en un lugar seguro. Si pierde o le roban su llave de seguridad principal, podrá acceder a su cuenta. |
|
|
Guarda los códigos de respaldo con anticipación Si un administrador pierde su llave de seguridad o su teléfono (en el que recibe un código de verificación de la 2SV o un mensaje de Google), puede usar un código de respaldo para acceder. Los administradores deben generar e imprimir códigos de respaldo en caso de que sean necesarios. Guarda los códigos de respaldo en una ubicación segura. |