Checklist de seguridad para empresas de 1 a 100 usuarios

La seguridad es importante para proteger tu información personal y financiera, así como la información de tus clientes. Si tu información es comprometida, podrías perder dinero, sufrir daños a la reputación o incluso enfrentar problemas legales.

Has trabajado duro para construir tu empresa. No dejes que los riesgos de seguridad arruinen tu éxito. Sigue estas medidas de seguridad para proteger la información de tu empresa.

Si tienes una empresa pequeña, es probable que no tengas un administrador de TI dedicado. Por eso, te compartimos una lista de medidas de seguridad que debes tomar para proteger tus cuentas: 

Crea contraseñas únicas 

Las contraseñas son la primera línea de defensa para proteger tus cuentas en línea. Si alguien adivina tu contraseña, podría acceder a tu información personal y financiera.

Una contraseña única es una contraseña que no se utiliza en ninguna otra cuenta. Esto significa que si alguien adivina tu contraseña para una cuenta, no podrá acceder a ninguna otra de tus cuentas.

Aquí hay algunos consejos para crear contraseñas únicas:

  • Usa una combinación de letras, números y caracteres especiales.
  • Haz que la contraseña tenga al menos 12 caracteres de longitud.
  • No utilices información personal como tu nombre, fecha de nacimiento o dirección.

Si te resulta difícil recordar tantas contraseñas diferentes, puedes utilizar un administrador de contraseñas. Un administrador de contraseñas es una herramienta que almacena todas tus contraseñas de forma segura.

 Exige que los administradores y usuarios clave tengan habilitada la autenticación de dos factores (2FA)

Para proteger la información confidencial de tu empresa, es importante que los administradores y usuarios clave proporcionen una segunda forma de verificación de identidad. Esto puede hacerse mediante una llave física, un código de acceso o una aplicación de autenticación. 

Al requerir dos factores de autenticación, podemos ayudar a evitar que los hackers accedan a estas cuentas, incluso si tienen la contraseña.

 Los administradores deben añadir información de recuperación a su cuenta para poder restablecer su contraseña si la olvidan, si su cuenta está comprometida o si tienen problemas para acceder a ella.

Los administradores pueden restablecer su contraseña olvidada haciendo clic en el enlace "¿Necesitas ayuda?" de la página de inicio de sesión. Google enviará una nueva contraseña al número de teléfono o la dirección de correo electrónico de recuperación que el administrador haya proporcionado.

 Genera e imprime códigos de seguridad con antelación

La verificación en dos pasos requiere dos métodos para iniciar sesión. Si pierdes uno de ellos, no podrás iniciar sesión en tu cuenta. Para evitar esto es posible generar con antelación una serie de códigos de seguridad que se pueden imprimir y guardar en un lugar seguro para que los usuarios puedan utilizarlos en caso de que pierdan acceso a su método de verificación principal.

Por ejemplo, un usuario que recibe los códigos de verificación en dos pasos en su teléfono lo pierde, o que otro usuario pierde su llave de seguridad. En estos casos, los usuarios afectados pueden utilizar un código de seguridad.

 Crea una cuenta de superadministrador adicional

Para garantizar la continuidad del negocio, es recomendable que las empresas tengan dos o más cuentas de superadministrador, cada una de ellas gestionada por una persona diferente.

Esto se debe a que, si una cuenta de superadministrador se pierde o se ve comprometida, otra cuenta puede asumir las tareas más importantes, como la recuperación de los datos y la gestión de las cuentas de usuario.

Para crear otra cuenta de superadministrador, un administrador puede asignar este rol a otro usuario.

 Ten a la mano la información necesaria para restablecer la contraseña de un superadministrador

Los superadministradores tienen acceso a toda la información de la organización, por lo que es importante que puedan recuperar su contraseña si la olvidan. Para ello se puede solicitar asistencia a Google, quien solicitará información sobre la cuenta de la organización, como el nombre de dominio, el ID de cliente y el número de teléfono de contacto. Además, el superadministrador debe verificar la propiedad de DNS del dominio.

Para facilitar el proceso de recuperación de contraseñas de superadministradores, es recomendable guardar la información de la cuenta y las credenciales de DNS en un lugar seguro.

 Para proteger la seguridad de los datos de la empresa, los superadministradores deben cerrar sesión en sus cuentas cuando no las estén utilizando.

Los superadministradores tienen la capacidad de controlar todos los aspectos de la cuenta de la empresa y acceder a toda la información corporativa y de los empleados. Si te logueas en una cuenta de superadministrador para llevar a cabo labores de administración y no la cierras después, incrementas el riesgo de que se lleven a cabo acciones maliciosas.

Se aconseja que los superadministradores se conecten únicamente cuando sea necesario para realizar tareas específicas y que cierren la sesión una vez que hayan finalizado. Para las tareas de administración diaria, es recomendable utilizar una cuenta con permisos de administrador limitados.

 Garantiza que las aplicaciones y los navegadores siempre estén actualizados

Para proteger tus dispositivos y datos, asegúrate de que tus usuarios habiliten las actualizaciones automáticas de las aplicaciones y los navegadores.

Si usas Chrome, puedes configurar las actualizaciones automáticas para que se apliquen a todos los dispositivos de tu organización.

Si usas Gmail, Calendar, Drive y Documentos

 Activa el “análisis mejorado de mensajes antes de entregarlos”

Los estafadores envían correos electrónicos falsos que parecen provenir de personas o empresas de confianza. Estos correos electrónicos intentan engañar a los usuarios para que revelen información confidencial, como contraseñas, números de cuenta o números de tarjetas de crédito.

Google utiliza un conjunto de técnicas para detectar y bloquear los correos electrónicos de phishing.

Los usuarios pueden ayudar a protegerse del phishing siendo conscientes de los signos de alerta y nunca haciendo clic en enlaces o abriendo archivos adjuntos de correos electrónicos de remitentes desconocidos.

 Activa el filtrado adicional de archivos maliciosos y de enlaces en Gmail

Google usa un sistema de seguridad para proteger tu cuenta de correo electrónico de los correos electrónicos maliciosos. Este sistema puede detectar los correos electrónicos maliciosos que contienen virus informáticos, pero si activas las comprobaciones de seguridad adicionales, el sistema será aún más eficaz.

 Evita que los destinatarios marquen tus correos como spam

El correo electrónico no deseado es un problema grave que puede afectar a las empresas y a los consumidores. 

El marco de políticas de remitente (SPF) es una forma de proteger tu dominio del correo electrónico no deseado. SPF funciona identificando los servidores de correo que están autorizados a enviar mensajes en nombre de tu dominio. Si configuras SPF en tu dominio, es menos probable que tus mensajes legítimos se marquen como correo electrónico no deseado.

Configurar SPF es una forma importante de proteger tu dominio del correo electrónico no deseado. Al hacerlo, puedes ayudar a mantener tu reputación y evitar que tus mensajes legítimos se marquen como correo electrónico no deseado.

 Evita que personas externas a tu empresa accedan a tus calendarios.

Los calendarios de los usuarios pueden incluir datos confidenciales, por lo que es fundamental restringir el acceso de personas ajenas a la organización. No debes permitir que usuarios externos tengan la capacidad de ver información más allá de la disponibilidad (libre/ocupado) en los calendarios.

 Restringe el acceso para ver los archivos nuevos

Tienes la posibilidad de definir quiénes tienen acceso a los documentos generados por tus usuarios. Es importante garantizar que solo los propios usuarios que crearon los archivos sean capaces de abrirlos, a menos que ellos decidan compartirlos de forma intencionada. Para lograrlo, es recomendable deshabilitar la función de "Compartir mediante enlace".

 Advierte a los usuarios cuando compartan un archivo con personas que no pertenezcan a tu organización. 

Si habilitas a tus usuarios para compartir archivos con personas fuera de la organización, es importante garantizar que al intentar hacerlo, reciban una notificación que les solicite confirmar su intención de compartir el archivo con alguien que no sea parte de la empresa.

En resumen, la seguridad de la información en empresas pequeñas es crucial para proteger datos personales y financieros. Para lograrlo, es importante usar contraseñas únicas, la autenticación de dos factores, generar códigos de seguridad, tener cuentas de superadministrador adicionales, mantener aplicaciones y navegadores actualizados, y activar medidas de seguridad en el correo electrónico, así como mantener actualizado a nuestros equipos para llevar a cabo prácticas de seguridad de manera continua. Al seguir estas pautas, se refuerza la protección contra amenazas cibernéticas y se mantiene la integridad del negocio y la confianza de los clientes.