1. Checklist
1.1. A continuación se incluyen una serie de controles para revisar el cumplimiento de la política de seguridad en lo relativo al uso del correo electrónico. Los controles se clasificarán en dos niveles de complejidad:
1.1.1. Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son considerables. Se necesitan programas que requieren configuraciones complejas. Se pueden precisar mecanismos de recuperación ante fallos.
1.1.1.1. Los controles podrán tener el siguiente alcance: Procesos (PRO): aplica a la dirección o al personal de gestión. Tecnología (TEC): aplica al personal técnico especializado. Personas (PER): aplica a todo el personal.
1.1.2. Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles. Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en las aplicaciones más comunes.
2. Checklist
2.1. NIVEL ALCANCE CONTROL B PRO Normativa de uso de correo electrónico Dispones de una normativa referente al uso del correo electrónico que el empleado aceptará al incorporase a su puesto de trabajo. B TEC Antimalware y antispam Instalas y activas aplicaciones antimalware y filtros antispam tanto en el servidor como en los clientes de correo. A TEC Cifrado y firma digital Instalas una tecnología de cifrado y firma digital que se pueda usar con el correo electrónico para proteger la información confidencial y asegurar la autenticidad de la empresa como remitente. A TEC Desactivar el formato HTML, la ejecución de macros y la descarga de imágenes en los clientes de correo electrónico Desactivas el formato HTML, la ejecución de macros y la descarga de imágenes para una protección adicional de las cuentas de correo electrónico. B TEC/PER Ofuscar las direcciones de correo electrónico No publicas las direcciones de correo corporativas en páginas web ni en redes sociales sin utilizar técnicas de ofuscación.
2.1.1. NIVEL ALCANCE CONTROL B PER Uso apropiado del correo corporativo Nunca usas el correo corporativo con fines personales y el contenido cumple las normas marcadas por la empresa. B PER Contraseña segura Usas una contraseña segura para acceder al correo electrónico. B PER Correos sospechosos Sospechas de la autenticidad del correo cuando el mensaje: presenta cambios de aspecto, contiene una «llamada a la acción» que nos urge, invita o solicita hacer algo no habitual o solicita credenciales de acceso a una web o aplicación (cuenta bancaria, ERP, etc.). B PER Identificación del remitente Identificas los remitentes antes de abrir un correo electrónico. Si sospechas que ha sido suplantado contactas con el remitente por otro medio para confirmarlo. B PER Análisis de adjuntos Analizas cuidadosamente los adjuntos de correos de remitentes desconocidos antes de abrirlos. Si sospechas de su autenticidad, no lo descargas ni lo abres. B PER Uso apropiado del correo corporativo Nunca usas el correo corporativo con fines personales y el contenido cumple las normas marcadas por la empresa. B PER Contraseña segura Usas una contraseña segura para acceder al correo electrónico. B PER Correos sospechosos Sospechas de la autenticidad del correo cuando el mensaje: presenta cambios de aspecto, contiene una «llamada a la acción» que nos urge, invita o solicita hacer algo no habitual o solicita credenciales de acceso a una web o aplicación (cuenta bancaria, ERP, etc.). B PER Identificación del remitente Identificas los remitentes antes de abrir un correo electrónico. Si sospechas que ha sido suplantado contactas con el remitente por otro medio para confirmarlo. B PER Análisis de adjuntos Analizas cuidadosamente los adjuntos de correos de remitentes desconocidos antes de abrirlos. Si sospechas de su autenticidad, no lo descargas ni lo abres.
2.1.1.1. B PER Inspección de enlaces Examinas atentamente los enlaces incluidos en los correos antes de acceder a ellos. B PER No responder al spam (correo basura) Nunca respondes al correo basura. Lo agregas a la lista de spam y lo eliminas. B PER Utilizar la copia oculta (BCC o CCO) Utilizas la copia oculta cuando envías correos a múltiples direcciones. B PER Reenvío de correos En caso de necesitar el reenvío de algún correo corporativo a una cuenta personal lo solicitas previamente a la dirección. B PER Evitar las redes públicas No consultas el correo corporativo si estás conectado a redes públicas como wifis de hoteles o aeropuertos.
3. Antecedentes
3.1. El correo electrónico es una herramienta de comunicación imprescindible para el funcionamiento de una empresa. Sus beneficios son evidentes: accesibilidad, rapidez, posibilidad de enviar documentos adjuntos, etc., aunque cuando se creó, no se hizo pensando en sus aplicaciones actuales ni en la seguridad.
4. Objetivos
4.1. Establecer unas normas de uso permitido y seguro del correo electrónico corporativo que sirva para impedir errores, incidentes y usos ilícitos, y para evitar ataques por esta vía.
5. Puntos Clave
5.1. -Normativa de uso de correo electrónico. La empresa dispondrá de una normativa referente al uso del correo electrónico que el empleado aceptará al incorporase a su puesto de trabajo. Se informará de la prohibición del uso del correo corporativo con fines personales que no tengan que ver con la empresa.
5.1.1. -Uso apropiado del correo corporativo. El empleado conoce y acepta la normativa relativa al uso del correo corporativo. -Contraseña segura. Todas las cuentas deben utilizar contraseñas de acceso de acuerdo con la Política de contraseñas [5], se recomienda: usar una contraseña segura para evitar accesos no autorizados; utilizar doble factor de autenticación para las cuentas críticas; si se accede al correo a través desde una interfaz web nunca se marcará la opción de recordar contraseña.
5.1.1.1. -No responder al spam (correo basura). Cuando recibimos correo no deseado no respondemos al mismo. De lo contrario confirmaremos que la cuenta está activa y seremos foco de futuros ataques. Agrégalo a tu lista de spam y elimínalo. Tampoco lo reenviaremos en caso de cadenas de mensajes. -Utilizar la copia oculta (BCC o CCO) [6]. Cuando se envíen mensajes a múltiples destinatarios, envíatelo a ti mismo y utiliza la opción de copia oculta, (CCO o BCO en la mayoría de los clientes de correo) en lugar de la copia normal CC.