Normativa de uso de correo electrónico.
La empresa dispondrá de una normativa referente al uso del correo electrónico que el empleado aceptará al incorporase a su puesto de trabajo. Se informará de la prohibición del uso del correo corporativo con fines personales que no tengan que ver con la empresa. El contenido del correo deberá cumplir con la normativa y su uso inadecuado podrá conllevar sanciones. El correo corporativo puede ser supervisado por la dirección de la empresa incluyendo una cláusula en la normativa que firma el empleado.
Antimalware y antispam.
Debes instalar aplicaciones antimalware y activar los filtros antispam tanto en el servidor como en el cliente de correo según la Política Antimalware. Estos filtros permitirán que los correos maliciosos sean identificados y no lleguen a la bandeja de entrada evitando así su posible apertura.
Cifrado y firma digital.
Se debe instalar una tecnología de cifrado y firma digital para proteger la información confidencial y asegurar la autenticidad de la empresa como remitente.
Desactivar el formato HTML, la ejecución de macros y la descarga de imágenes.
El formato HTML permite utilizar colores, negritas, enlaces, etc. También permite incluir un lenguaje de programación denominado JavaScript. Este lenguaje puede ser usado con fines ilícitos, por ejemplo para verificar que nuestra cuenta de correo es válida o para redirigirnos a un sitio web malicioso. Por ello es más seguro tenerlo desactivado. Como seguridad complementaria también se deberían deshabilitar las macros y las descargas de imágenes.
Ofuscar las direcciones de correo electrónico.
No se deben publicar las direcciones de correo corporativas en páginas web ni en redes sociales sin utilizar técnicas de ofuscación. De lo contrario esas cuentas pueden ser captadas para incluirlas en listas de envío de spam. Técnicas que puedes utilizar:
- Crea una imagen con la dirección de correo que quieras publicar y utiliza la imagen en lugar de introducir el correo como texto;
- Reemplazar ‘@’ y ‘.’ por texto; de esta forma, nombre@miempresa.com se sustituiría por nombrearrobamiempresapuntocom.
Uso apropiado del correo corporativo.
El empleado conoce y acepta la normativa relativa al uso del correo corporativo.
Contraseña segura.
Todas las cuentas deben utilizar contraseñas de acceso de acuerdo con la Política de contraseñas, se recomienda:
- Usar una contraseña segura para evitar accesos no autorizados;
- Utilizar doble factor de autenticación para las cuentas críticas;
- Si se accede al correo a través desde una interfaz web nunca se marcará la opción de recordar contraseña.
Correos sospechosos.
Los empleados deben aprender a identificar correos fraudulentos y sospechar cuando:
- El cuerpo del mensaje presente cambios de aspecto (logotipos, pie de firma, etc.) con respecto a los mensajes recibidos anteriormente por ese mismo remitente;
- El mensaje contiene una «llamada a la acción» que nos urge, invita o solicita hacer algo no habitual;
- Se soliciten credenciales de acceso a una web o aplicación (cuenta bancaria, ERP, etc.)
Identificación del remitente.
El empleado no abrirá un correo sin identificar el remitente. Si el remitente no es un contacto conocido habrá que prestar especial atención ya que puede tratarse de un nuevo cliente o de un correo malicioso. Si el remitente es un contacto conocido pero por otros motivos (cuerpo del mensaje, archivos adjuntos, enlaces,…) sospechas que se ha podido suplantar su identidad, debes contactar con éste por otro medio para confirmar su identidad.
Análisis de adjuntos.
Al recibir un mensaje con un adjunto, este se debe analizar cuidadosamente antes de abrirlo. Aunque el remitente sea conocido puede haber sido suplantado y no apercibirnos. La descarga de adjuntos maliciosos podría infectar nuestros equipos con algún tipo de malware. Tener el antivirus activo y actualizado puede ayudarnos a identificar los archivos maliciosos. Estas son algunas medidas para identificar un adjunto malicioso:
- Tiene un nombre que nos incita a descargarlo, por ser habitual o porque creemos que tiene un contenido atractivo;
- El icono no corresponde con el tipo de archivo (su extensión), se suelen ocultar ficheros ejecutables bajo iconos de aplicaciones como Word, PDF, Excel, etc.;
- Tiene una extensión familiar pero en realidad está seguida de muchos espacios para que no veamos la extensión real (ejecutable) en nuestro explorador de ficheros, por ejemplo: listadoanual.pdf .exe;
- Nos pide habilitar opciones deshabilitadas por defecto como el uso de macros;
- No reconoces la extensión del adjunto y puede que se trate de un archivo ejecutable (hay muchas extensiones con las que no estamos familiarizados);
- Es o encubre un archivo JavaScript (archivos con extensión .js).
Inspección de enlaces.
Al recibir un mensaje con un enlace, antes de hacer clic el receptor debe:
- Revisar la URL, sitúate sobre el texto del enlace, para visualizar la dirección antes de hacer clic en él;
- Identificar enlaces sospechosos que se parecen a enlaces legítimos fijándonos en que:
- Pueden tener letras o caracteres de más o de menos y pasarnos desapercibidas;
- Podrían estar utilizando homógrafos, es decir caracteres que se parecen entres sí en determinadas tipografías (1 y l, O y 0).
No responder al spam (correo basura).
Cuando recibimos correo no deseado no respondemos al mismo. De lo contrario confirmaremos que la cuenta está activa y seremos foco de futuros ataques. Agrégalo a tu lista de spam y elimínalo. Tampoco lo reenviaremos en caso de cadenas de mensajes.
Utilizar la copia oculta (BCC o CCO).
Cuando se envíen mensajes a múltiples destinatarios, envíatelo a ti mismo y utiliza la opción de copia oculta, (CCO o BCO en la mayoría de los clientes de correo) en lugar de la copia normal CC. La copia oculta impide que los destinatarios vean a quién más ha sido enviado. De esta forma evitaremos que cualquiera pueda hacerse con unas cuantas direcciones de correo válidas a las que enviar spam o mensajes fraudulentos. Recuerda que el correo electrónico es un dato personal de nuestros clientes y usuarios, que no debemos utilizar para otros fines distintos de aquellos para los que fue solicitado. No debemos divulgarlo o comunicarlo a terceros sin su consentimiento.
Reenvío de correos.
Se informará de la prohibición del reenvío de correos corporativos a cuentas personales salvo casos excepcionales que deben ser autorizados por la dirección.
Evitar las redes públicas.
Evitar utilizar el correo electrónico desde conexiones públicas (la wifi de una cafetería, el ordenador de un hotel, etc.) de acuerdo con la Política de uso de wifis y conexiones externas ya que nuestro tráfico de datos puede ser interceptado por cualquier usuario de esta red. Como alternativa, es preferible utilizar redes de telefonía móvil como el 4G o 5G.
Empiece a escribir aquí...