MFA para todo tu SaaS, no solo M365: la operación de puesta al día

M365 y Google tienen MFA fácil. Dropbox, Slack, GitHub, Trello también. Pero esas otras herramientas SaaS sueltas… ahí suele faltar MFA. Aquí tienes el plan de puesta al día.

Ya tienes MFA activado y forzado en M365. Genial. ¿Y qué haces con las otras 35 suscripciones SaaS? Lo más probable es que ninguna tenga MFA.

Haz inventario

Partiendo de tu inventario SaaS: añade por herramienta las columnas "¿MFA disponible?" y "¿MFA activado para todos los usuarios?".

Prioriza

1. Herramientas con datos de clientes (CRM, portal de clientes).
2. Herramientas con datos financieros (contabilidad, facturación, banca).
3. Herramientas con código fuente (GitHub, GitLab).
4. Herramientas con permisos de administración sobre otras herramientas (proveedor SSO, gestor de contraseñas).
5. El resto.

Patrones por tipo de herramienta

• SSO siempre que sea posible: conecta la herramienta a tu SSO de M365/Google. Así heredas automáticamente el MFA del SSO.
• MFA propio de la herramienta: actívalo en los ajustes de la cuenta. Normalmente se puede forzar para todos los usuarios del equipo.
• Herramienta sin MFA: valora sustituirla, o acepta el riesgo con una política de contraseñas más estricta y ciclos de revisión más frecuentes.

Códigos de recuperación

Con cada configuración de MFA recibirás códigos de recuperación. DEBEN guardarse en un vault (gestor de contraseñas) o incluso en una caja fuerte física. Si pierdes o rompes el teléfono y no tienes los códigos de recuperación, quedas bloqueado sin acceso.

MFA en cuentas compartidas

Consulta gestión de contraseñas compartidas. Usa un gestor de contraseñas con TOTP compartido o una YubiKey que puedas distribuir físicamente.

Ver también: Desplegar MFA en M365, pilar de seguridad.