Aunque es posible que una persona normal no se encuentre con una cantidad considerable de correos electrónicos, las empresas y las personas que forman parte de ellas utilizan el correo electrónico todos los días. Por desgracia, los ciberdelincuentes utilizan a menudo esta herramienta de mensajería común como vector de ataque.
En el informe de este año sobre el coste de una filtración de datos, el phishing es el vector de ataque inicial más costoso, con una media de 4,91 millones de dólares. El segundo más caro es el temido ataque Business Email Compromise (BEC), con 4,89 millones de dólares. Por si aún no lo sabe, ambos vectores de ataque están relacionados con el correo electrónico. Así que está claro que hay que aplicar políticas de seguridad del correo electrónico.
En este artículo, voy a compartir 5 políticas de seguridad del correo electrónico para ayudarte en tus prácticas de seguridad del correo electrónico. Empezaré definiendo qué son las políticas de seguridad del correo electrónico.
A continuación, hablaré de por qué deberías tener un documento de política de seguridad del correo electrónico y qué incluir en ese documento. Por último, profundizaré en las 5 políticas mencionadas anteriormente y compartiré algunos consejos para crear tu documento de política de seguridad del correo electrónico. ¿Te parece bien? Empecemos.
- ¿Qué Son Las Políticas De Seguridad De Correo Electrónico?
- Por Qué Debe Tener Políticas De Seguridad Del Correo Electrónico
- Qué Incluir en Un Documento De Política De Seguridad Del Correo Electrónico
- 5 Políticas De Seguridad Del Correo Electrónico Imprescindibles
- Cómo Crear Un Documento De Política De Seguridad Del Correo Electrónico Eficaz
- Reflexión Final
- Preguntas Frecuentes
¿Qué Son Las Políticas De Seguridad De Correo Electrónico?
![Concepto de política de seguridad de correo electrónico](https://cybermentor.net/wp-content/uploads/2023/08/Concepto-politica-seguridad-correo-electronico.jpg)
Las políticas de seguridad del correo electrónico son normas o planes de acción de una organización para el uso seguro del correo electrónico. He aquí algunos ejemplos de políticas de seguridad del correo electrónico:
- Prohibir a los usuarios reenviar correos electrónicos de la empresa a un servicio de correo electrónico de terceros.
- Prohibir a los usuarios utilizar servicios de correo electrónico de terceros para enviar o recibir comunicaciones relacionadas con la empresa.
- Garantizar que las contraseñas de las cuentas de correo electrónico cumplen los requisitos especificados en el documento de política de contraseñas de la empresa.
En la práctica común, el término “política de seguridad del correo electrónico” también se refiere al documento que contiene un conjunto de estas políticas. Para evitar confusiones en este artículo, utilizaré “documento de política de seguridad del correo electrónico” o simplemente “documento de política” para referirme al documento. Por otro lado, usaré “política de seguridad del correo electrónico” o simplemente “política” para referirme a una única política o regla.
Ahora bien, ¿para qué se necesita exactamente un conjunto de políticas de seguridad del correo electrónico?
Por Qué Debe Tener Políticas De Seguridad Del Correo Electrónico
En 2021, el número de correos electrónicos enviados y recibidos al día fue de 319 600 millones, un 4,3 % más que en 2020. Para 2025, se espera que esa cifra aumente a 376.400 millones. En efecto, el correo electrónico es una forma eficaz y cómoda de difundir información. Pero la mayoría de los usuarios de correo electrónico no se dan cuenta de los riesgos de seguridad derivados de su uso inseguro y despreocupado.
En primer lugar, el correo electrónico por sí mismo no está encriptado. Esta deficiencia de seguridad facilita que los ciberdelincuentes abran y lean el contenido de tu correo electrónico mientras atraviesa Internet. Los ciberdelincuentes también pueden aprovecharse de sus correos electrónicos a través de diversos ataques, como la suplantación de identidad, el phishing, etc.
Para mitigar estas amenazas, las organizaciones deben tomarse el tiempo necesario para elaborar cuidadosamente un documento de política de seguridad del correo electrónico. Un conjunto de políticas de seguridad del correo electrónico puede servir de guía para sus usuarios finales. Esta guía puede ayudarle a usted y a sus usuarios a evitar las posibles consecuencias de un ataque por correo electrónico, como daños a la reputación y financieros, así como la pérdida de datos.
Además, su empresa debe tener un documento de política de seguridad del correo electrónico que se alinee con la estrategia de ciberseguridad de la empresa. Por ejemplo, si su estrategia se centra en proteger los datos de las tarjetas de crédito, sus políticas de seguridad del correo electrónico deben reflejarlo. Encontrarás ejemplos más específicos más adelante en este artículo.
Mientras tanto, vamos a discutir algunos elementos que debes incluir en una política de seguridad del correo electrónico.
Qué Incluir en Un Documento De Política De Seguridad Del Correo Electrónico
En esta sección, discutiré las secciones clave que querrás incluir en tu documento de política de seguridad del correo electrónico. No incluyo la sección de las políticas en sí. Las abordaremos más adelante.
![Política de seguridad de correo electrónico para usuarios](https://cybermentor.net/wp-content/uploads/2023/08/Politica-seguridad-correo-electronico-usuarios.jpg)
Propósito del documento de política
Primero, hay que definir el propósito del documento normativo. Esta sección suele incluir los objetivos principales y secundarios de la política, si los hay. Haz que el lector entienda por qué existe este documento. Asimismo, ofrece un breve resumen de lo que el lector puede esperar ver en el documento.
Ámbito de aplicación del documento normativo
En esta sección, se especifica el grupo de personas de la empresa a las que se aplica el documento normativo. Por ejemplo, ¿se aplica sólo a los empleados? ¿Incluye a consultores externos, proveedores y agentes que representen a tu empresa? Para evitar confusiones, distingue claramente entre las personas a las que se aplica el documento normativo y las que están exentas del mismo.
Definiciones de los términos utilizados en el documento
Es posible que algunos usuarios finales que lean el documento normativo no estén familiarizados con algunos de los términos mencionados. Para asegurarte de que entienden el resto del documento, enumera los términos técnicos y defínalos. Por ejemplo, puedes definir términos como cifrado, phishing, Business Email Compromise (BEC), etc.
Riesgos y responsabilidades que conlleva el uso del correo electrónico
Una forma de ganarse la cooperación de los usuarios es educándolos sobre los riesgos asociados al correo electrónico y el papel del usuario en la mitigación de esos riesgos. Por lo tanto, explica qué puede ocurrir si un usuario cae en la trampa de un correo electrónico de phishing, por ejemplo. Además, puedes anotar las consecuencias que podrían haber evitado. En definitiva, asegúrate de que tus usuarios comprenden las posibles repercusiones financieras, legales y de reputación en caso de que un ataque tenga éxito.
Consejos y sugerencias de concienciación sobre seguridad
Los ataques basados en el correo electrónico, como el phishing y el BEC, tienen éxito cuando los destinatarios no reconocen nada sospechoso en un mensaje malicioso. Para contrarrestar estos ataques, es importante concienciar a los empleados sobre la seguridad. Sí, una herramienta antiphishing como GFI MailEssentials puede detectar y bloquear automáticamente correos electrónicos malintencionados, pero no todo el mundo tiene estas herramientas en su arsenal. Por lo tanto, debes utilizar esta sección para explicar a los usuarios cómo pueden detectar y evitar las amenazas a la seguridad del correo electrónico. En concreto, explica qué deben comprobar los usuarios para identificar un posible correo electrónico de phishing o BEC.
Cómo responder a las amenazas de seguridad
Las brechas de seguridad y las fugas de datos pueden prosperar si careces de protocolos adecuados para responder a una amenaza potencial. Debes utilizar esta sección para describir lo que debes hacer una vez que hayas identificado una amenaza potencial en tu correo electrónico. Por ejemplo, supongamos que encuentras un archivo adjunto sospechoso en tu correo electrónico. El protocolo correcto sería que te pusieras inmediatamente en contacto con el departamento de TI para que personal informático cualificado pueda realizar evaluaciones adicionales.
Sanciones por incumplimiento
Algunas personas no se toman en serio las políticas, a menos que éstas tengan consecuencias claras y severas. Debes mantener a raya a los empleados especificando las medidas disciplinarias adecuadas para quienes no se adhieran a tu documento normativo. Por ejemplo, puedes imponer suspensiones a quienes pronuncien discursos que inciten al odio. También puedes aplicar despidos a quienes compartan intencionadamente información confidencial sin permiso.
Ahora que has visto las secciones esenciales de un documento de política de seguridad del correo electrónico, es hora de hablar de las 5 políticas cruciales de seguridad del correo electrónico.
5 Políticas De Seguridad Del Correo Electrónico Imprescindibles
Tu empresa probablemente tenga muchas políticas en su documento, pero es recomendable que consideres la posibilidad de incluir estas 5 si aún no lo has hecho. En mi opinión, estas 5 políticas combinadas abordan las mayores amenazas para el uso del correo electrónico y cubren mucho terreno en la mitigación de riesgos. No he organizado esta lista en ningún orden en particular.
1. Lee la sección de concienciación sobre seguridad
No puedo enfatizar esto lo suficiente, pero necesitas leer la sección de concienciación de seguridad de tu documento. La educación es la defensa número uno contra los ciberataques. Dado que la mayoría de los ataques basados en el correo electrónico se producen en forma de ataques de phishing, debes saber cómo identificarlos. Por lo tanto, resalta la importancia de leer la sección de concienciación sobre seguridad recordándote que lo hagas en una política.
2. En caso de duda, ponte en contacto con tu equipo de ciberseguridad o con el departamento de TI
Si observas algo sospechoso, pero no ves ninguno de los indicadores especificados en la sección Concienciación sobre seguridad, ponte en contacto con tu equipo de ciberseguridad o de TI. Es posible que ya tengan ese formato de correo electrónico marcado por actividades recientes de inteligencia sobre ciberamenazas.
3. Solo puedes discutir información de la empresa a través de cuentas de correo electrónico de la empresa
Esta política es crucial porque los usuarios suelen ser menos cautelosos cuando utilizan sus cuentas de correo electrónico personales. Restringir las comunicaciones relacionadas con la empresa a las cuentas de correo electrónico de la empresa garantiza el cumplimiento de la política de la empresa. Como mínimo, podemos supervisar las cuentas de correo electrónico de la empresa para detectar cualquier actividad sospechosa.
4. No debes esperar privacidad alguna al utilizar el correo electrónico de la empresa:
Dado que el correo electrónico de la empresa es propiedad de la empresa, es razonable que la empresa tenga acceso completo a él. Este acceso pone al equipo de ciberseguridad en una mejor posición para llevar a cabo la supervisión y evitar fugas de datos y brechas. Dicho esto, es importante comunicar claramente esta política a los usuarios para evitar confusiones y conflictos.
5. El uso del correo electrónico de la empresa para uso personal está estrictamente prohibido
La motivación de esta política está relacionada con el punto 3. Cuando los usuarios utilizan el correo electrónico de la empresa para comunicaciones personales, tienden a bajar la guardia. Esta mala práctica puede dar lugar a fugas de datos involuntarias. Por lo tanto, una variación de esta política puede ser exigir a los usuarios que limiten los correos electrónicos de la empresa a los dispositivos propiedad de la empresa. De este modo, evitarás cualquier desliz accidental.
Ahora es el momento de describir los pasos para elaborar un documento de política de seguridad del correo electrónico eficaz.
Cómo Crear Un Documento De Política De Seguridad Del Correo Electrónico Eficaz
No basta con elaborar un conjunto de políticas de seguridad del correo electrónico y ya está. Un documento de política requiere una planificación y un cuidado adecuados para que funcione. Aquí tienes algunas cosas que puedes hacer al respecto.
![Redactar política de seguridad de correo electrónico](https://cybermentor.net/wp-content/uploads/2023/08/Redactar-politica-seguridad-correo-electronico.jpg)
1. Alinear las políticas de seguridad del correo electrónico con las necesidades de la empresa
Aunque la seguridad es importante, no debe ser excesivamente restrictiva. De lo contrario, obstaculizará su productividad. Por lo tanto, cuando se crea un documento de política, es importante dar prioridad a las áreas de mayor riesgo. Identifica tus vulnerabilidades más críticas y las mayores amenazas, y luego basa tus esfuerzos de seguridad en eso. El #3 a continuación puede ayudarle en el logro de la alineación.
2. Aprovecha las plantillas de políticas de seguridad del correo electrónico existentes
Puedes encontrar varias plantillas de documentos de política de seguridad del correo electrónico en línea. Simplemente busca “plantilla de política de seguridad del correo electrónico”. Si no has intentado crear un documento de política de seguridad antes, simplemente sigue una plantilla de una fuente acreditada. SANS Institute, por ejemplo, es una buena fuente. Por supuesto, tendrás que personalizar esa plantilla para adaptarla a las necesidades de tu empresa. Además, asegúrate de que tus políticas de seguridad del correo electrónico se adhieren a las políticas y la misión de tu empresa.
3. Solicitar la opinión de varias partes interesadas
Invita a las partes interesadas de diferentes departamentos para asegurarte de que tus políticas de seguridad del correo electrónico tienen en cuenta varios aspectos de tu empresa. Esencialmente, contar con representantes de los departamentos de TI, jurídico, de RR.HH. y otros te ayudará a instituir un enfoque holístico. A su vez, este enfoque mejorará la eficacia de su documento de política, ya que tendrá en cuenta todas las preocupaciones y necesidades.
4. Prueba la eficacia de tus políticas de seguridad del correo electrónico
Aunque las pruebas no forman parte de la creación de un documento normativo, sin duda ayudan a garantizar que las políticas de seguridad del correo electrónico funcionan según lo previsto. He aquí un ejemplo. Puedes enviar a los usuarios un falso correo electrónico de phishing para ver si responden adecuadamente. Si un usuario infringe la política, por ejemplo, descargando un archivo adjunto de una fuente desconocida, puede llamar su atención. Entonces, puedes reeducar a ese usuario para asegurarte de que no comete el mismo error en un ataque real.
Bueno. Ha llegado el momento de concluir.
Reflexión Final
Para concluir, la aplicación de políticas de seguridad del correo electrónico marca una gran diferencia a la hora de defenderse contra las amenazas basadas en el correo electrónico. Sin embargo, no se pueden aplicar políticas sin los documentos adecuados que las respalden.
En este artículo, he enumerado 5 políticas esenciales de seguridad de correo electrónico. Estas políticas te recuerdan que leas la sección de Concienciación sobre seguridad del documento de políticas; que te pongas en contacto con tu equipo de TI cuando tengas dudas sobre si un correo electrónico representa una amenaza; que restrinjas el uso de la información de la empresa a correos electrónicos comunicados a través de cuentas de correo electrónico de la empresa; que esperes que se vigilen tus cuentas de correo electrónico de la empresa con fines de seguridad y; que evites estrictamente el uso de las cuentas de correo electrónico de la empresa para comunicaciones personales.
Es un proceso muy sencillo. Crea un documento adaptado a las necesidades y requisitos de tu empresa y añade las políticas necesarias. Espero que este artículo te haya aportado algunas ideas sobre las políticas de seguridad del correo electrónico en su conjunto. Recuerda guardarlo como punto de referencia por si lo necesitas en el futuro.
¿Tiene más preguntas sobre las políticas de seguridad del correo electrónico? Echa un vistazo a la sección de preguntas frecuentes a continuación.
Preguntas Frecuentes
La seguridad del correo electrónico es importante por un par de razones. En primer lugar, el correo electrónico sigue siendo la opción número uno para las comunicaciones empresariales. En segundo lugar, puede ser formal y personal, lo que proporciona a los ciberdelincuentes el entorno adecuado para ataques de ingeniería social. En tercer lugar, los ataques avanzados basados en el correo electrónico siguen aumentando.
Puedes utilizar herramientas que detecten y bloqueen automáticamente los correos electrónicos de phishing. Algunos correos electrónicos de phishing son tan engañosos que incluso a los usuarios que han recibido formación les cuesta reconocerlos.
Las leyes y normativas sobre seguridad y privacidad de datos, como PCI DSS, HIPAA y CAN-SPAM, contienen ciertas disposiciones sobre el correo electrónico.
Una señal clara es cuando recibes notificaciones de restablecimiento de contraseña por correo electrónico, aunque no la hayas solicitado. Otra señal es cuando los contactos empiezan a preguntarte si les enviaste un determinado correo electrónico y nunca lo hiciste.
Un ataque whaling es un tipo de ataque de phishing dirigido a personas de alto valor, como directores generales y otros altos ejecutivos. Dado que los altos ejecutivos tienen acceso a las joyas de la corona de una empresa, por ejemplo, las cuentas bancarias, el retorno de la inversión de un ataque whaling suele ser elevado.