Correos sospechosos: cómo reaccionar

correos sospechosos, cómo reaccionar - Blog legitec cordoba

Tal y como mis compañeros han ido exponiendo en post anteriores, continuamos con el análisis de las políticas de seguridad que las empresas deberían tener implementadas para garantizar la seguridad, integridad y confidencialidad de la información. Como punto de partida, efectuado el análisis de riesgos vinculado a las distintas actividades de tratamiento de datos, se adoptarán medidas técnicas y organizativas eficaces y pertinentes que ofrezcan la máxima seguridad ante posibles circunstancias adversas que puedan preverse.

Sin ir más lejos, la respuesta ante hechos como los que voy a detallar a continuación es de gran importancia. La semana pasada me comentaba un cliente, cuya actividad se desarrolla en el ámbito educativo, que últimamente estaban recibiendo correos electrónicos sospechosos, supuestamente remitidos por padres que solicitaban información de sus hijos, sin ningún tipo de identificación ni referencia hacia los alumnos. Afortunadamente, gracias a la aplicación de políticas formativas entre el personal del centro y a las medidas técnicas sobre el sistema de información, se detectó a tiempo evitando lo que pudo llegar a ser un desastre, más teniendo en cuenta el tipo de información que manejan los centros escolares, que puede incluir categorías especiales de datos referentes a menores.

Es cierto que en los centros de trabajo se ha incrementado el uso del correo electrónico para mantener el contacto con clientes, proveedores y entre compañeros, tanto para el envío de información como para la atención de consultas, sin embargo, son muchos los que intentan boicotear su funcionamiento o simplemente acceder a los sistemas de información, valiéndose de técnicas engañosas, siendo esencial disponer de una buena política de seguridad preventiva, además de la concienciación de todo el personal mediante su formación.

Pues bien, para que se tengan en cuenta, a modo de recomendación a continuación expongo un extracto de las medidas propuestas por el Instituto Nacional de Ciberseguridad (INCIBE) para el uso seguro y adecuado del correo electrónico con el fin de evitar virus y ciberataques:

• Nunca deberán abrirse correos electrónicos de remitentes desconocidos o que resulten sospechosos, ni los documentos adjuntos. Tampoco se deberá clicar en los enlaces incluidos en dichos correos.
• Nunca responder al correo basura ni siquiera en el caso de que soliciten el envío de un correo electrónico para evitar recibir más spam ya que de esta forma se estaría dando información de que la cuenta de correo está activa y que se utiliza.
• Es importante mantener actualizado el software antivirus/antimalware y tenerlo configurado para que analice todos los correos electrónicos entrantes.
• Deberán activarse o habilitarse los filtros de correo electrónico no deseado o antispam con el fin de impedir que los correos sospechosos de ser correo basura lleguen al buzón.
• Deberán utilizarse contraseñas robustas, con un mínimo de 8 caracteres utilizando mayúsculas y minúsculas, números y caracteres especiales.
• Evitar el uso del correo electrónico desde conexiones públicas ya que el tráfico de red que envía o recibe nuestro ordenador puede ser interceptado por cualquiera de los usuarios conectados a esa red.
• Deberá cifrarse el correo electrónico al enviar información confidencial. Para la transmisión de documentos por correo electrónico, el servidor cumplirá con los protocolos de seguridad SSL/TSL. En caso de que los documentos adjuntos contengan información que incluya categorías especiales de datos, serán previamente cifrados.
• Cuando se envíe un correo a múltiples destinatarios siempre se hará con copia oculta (BCC o CCO) preservando de esta forma su privacidad.
Asimismo, dichas recomendaciones funcionarán, siempre y cuando se apliquen otras medidas técnicas que las complementen. En este sentido, los equipos informáticos y dispositivos del entorno laboral deberán disponer de antivirus para detectar posibles robos y/o destrucción de información y datos personales, así como tener activado el cortafuegos para evitar accesos remotos indebidos, no debiéndose desactivar bajo ningún concepto además de mantenerse actualizados.
Hasta aquí la aplicación de medidas técnicas, pero ¿qué pasa con el factor humano…? ya que el personal de la empresa deberá conocer sus obligaciones en protección de datos, ¿cómo? mediante una comunicación escrita que contendrá las normas a observar en el desarrollo de sus funciones, con las instrucciones oportunas y convenientes para garantizar la seguridad en el tratamiento de datos personales, completado con una adecuada formación.
Concluyo, insistiendo en la necesidad de que las empresas revisen sus protocolos ya que en caso contrario podría suponer un grave incidente de seguridad con consecuencias muy negativas, siendo aconsejable que periódicamente se vayan evaluando las medidas adoptadas y, en consecuencia, se efectúen las adaptaciones oportunas.

Autora: S. Torres

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PROTECCIÓN DE DATOS CÓRDOBA - GRUPO LEGITEC moderará sus comentarios. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico cordoba@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.