Guía para proteger el correo electrónico en las empresas

Puede que no sea ninguna sorpresa para la mayoría de los empresarios que el correo electrónico es la forma principal en que los hackers pueden obtener acceso a información confidencial de la compañía. Pero puede que te llame la atención el hecho de que las pequeñas empresas son más vulnerables. En concreto, el número total de ataques informáticos en compañías de 250 o menos empleados se duplicó en los primeros seis meses del año pasado (y la pérdida por ataque fue, de media, superior a 188 000 $). El efecto de los ataques informáticos en la economía estadounidense en su totalidad es un coste elevado de 100 000 millones de dólares al año, según el Centro de Estudios Estratégicos e Internacionales.

Esta es una de las razones por el que el acceso ilícito del correo electrónico de Sony de 2014 fue tan importante, ya que hizo que todas las empresas se preguntaran cómo podían evitar el mismo destino. Parece lógico que, si una gran compañía, con varios niveles de seguridad, puede sufrir un acceso ilícito, las pequeñas empresas con menos recursos no tengan ninguna esperanza, ¿no?

Puede que no. Hay muchas formas de garantizar que tu empresa esté protegida por correo electrónico. Como la seguridad de tu empresa es tan buena como el eslabón más débil, el secreto es conseguir que los empleados se impliquen e inviertan en el éxito de tu seguridad. Aquí encontrarás siete sugerencias para empezar.

  1. Haz que crear e implementar un plan de ciberseguridad sea una prioridad esencial. Esto es más que simplemente considerar cómo garantizar la seguridad de un servicio de correo electrónico (también es necesario incluir estrategias para proteger el sitio web, la información de pago y otros datos), pero la seguridad del correo electrónico tiene que ser una de las partes esenciales de tu plan. La Comisión Federal de Comunicaciones creó una herramienta útil (Small Biz Cyber Planner 2.0) para ayudarte a crear un plan personalizado.
  2. Considera el uso del cifrado de correo electrónico. El cifrado de correo electrónico te ayuda a proteger la información personal de los hackers, ya que solo permite que algunos usuarios puedan obtener acceso y leer tus correos electrónicos. Existen distintos métodos de cifrado de correo electrónico según el nivel de seguridad (y comodidad) que necesites. Por ejemplo, puedes descargar o comprar software adicional que se instalará como un complemento para tu cliente de correo electrónico actual. O bien, puedes instalar un certificado de correo electrónico como PGP (Pretty Good Privacy), que permite a tus empleados compartir una clave pública con cualquiera que quiera enviarles un correo electrónico y usar una clave privada para descifrar los mensajes que reciban. Otra solución sencilla es usar un servicio de correo electrónico cifrado de terceros.
  1. Asegúrate de que las contraseñas sean seguras. Todos los empleados han de tener su propia contraseña para su equipo de trabajo y su sistema de correo electrónico. Es necesario restablecer estas contraseñas cada tres meses; además, también puedes exigir la autenticación multifactor cuando los empleados cambien las contraseñas. Las contraseñas más seguras están formadas por un mínimo de 12 caracteres y una combinación de números, símbolos, letras en minúscula y letras en mayúscula. Las contraseñas no han de ser algo obvio (como fechas de cumpleaños, los nombres de los hijos, etc.), pero tienen que ser fáciles de recordar. Es decir, los empleados tienen que evitar usar las dos contraseñas más comunes (que también son las peores) de 2014: “contraseña” y “123456”. Además, los empleados no han de usar la misma contraseña para varias cuentas o sitios web. También se puede usar un administrador de contraseñas o una función de inicio de sesión único. Algunas soluciones ideales para pequeñas empresas que necesitan herramientas para almacenar códigos, cuentas bancarias, cuentas de correo electrónico, números PIN y otra información de cuentas en un mismo lugar son CommonKey, LastPass y Password Genie. ¿Cómo saber si tu contraseña perdió su confidencialidad? Regístrate en servicios de avisos de seguridad como PwnedList o Breach Alarm, que supervisan las contraseñas divulgadas y te informarán automáticamente si alguna de tus direcciones de correo electrónico es vulnerable.
  2. Elabora una directiva de retención de correo electrónico que tenga sentido. Pide a los empleados que eliminen los correos electrónicos que no faciliten los esfuerzos empresariales, e implementa una directiva para garantizar el cumplimiento. Muchas compañías implantan una norma de 60-90 días, con pasos hacia el archivado automático y la eliminación permanente después de un período de tiempo definido. Acordarse de eliminar los correos electrónicos que no cumplan con esta norma puede resultar difícil para algunos empleados, por lo que puede que sea necesario enviar avisos frecuentes.
  3. Proporciona aprendizaje a los empleados sobre la seguridad del correo electrónico. Los empleados desempeñan un rol esencial en garantizar la seguridad de los datos con el correo electrónico. Necesitan recibir aprendizaje sobre los tipos de comportamientos y correos electrónicos que tienen que evitar. Lamentablemente, según InfoSight, casi la mitad de todas las compañías invierten menos del 1 % de su presupuesto de seguridad en programas que ofrecen aprendizaje a los empleados sobre cómo ser conscientes de las amenazas de seguridad. Pero el 64 % de las organizaciones experimentaron algún nivel de pérdida financiera debido a infracciones en equipos, y el 85 % detectaron virus informáticos. ¿No merecería la pena formar al personal, que implica un coste pequeño, frente a tener que pagar más para solucionar un ataque?

    En concreto, es necesario proporcionar aprendizaje a los empleados para cumplir con las reglas siguientes:

    • No abras vínculos o datos adjuntos de personas desconocidas.
    • No respondas a correos electrónicos que soliciten un cambio de contraseña y te pidan que divulgues información personal (sin importar lo oficial que parezca el remitente).
    • Asegúrate de que el software antivirus y antispyware estén actualizados en el equipo.
    • Cifra todos los correos electrónicos que contengan información confidencial antes de enviarlos.
    • No uses la dirección de correo electrónico de la compañía para enviar y recibir mensajes personales.
    • No reenvíes automáticamente los correos electrónicos de la compañía a un sistema de correo electrónico de terceros.

    Además, a algunas compañías le resulta útil implementar programas que ponen a prueba a los empleados con campañas de suplantación de identidad (phishing), correos electrónicos de suplantación de identidad dirigida y otras amenazas para la ciberseguridad y, después, les recompensan cuando completan correctamente estas pruebas.

  4. Mantén normas estrictas para el uso de dispositivos móviles relacionados con la compañía. Al usar un dispositivo móvil que pertenezca la compañía, o bien un dispositivo móvil personal con el que envíes y recibas correos electrónicos de la compañía, los empleados necesitan cifrar los datos, mantener el dispositivo protegido con contraseña e instalar aplicaciones de seguridad aprobadas para que los hackers no pueden obtener acceso a los dispositivos con redes Wi-Fi compartidas. Busca soluciones con administración de dispositivos móviles integrada, con opciones para proteger tus datos con acceso condicional, administración de dispositivos y borrado selectivo de los datos de la compañía.
  5. Evita los problemas comunes al proteger el correo electrónico. Además de todo lo que explicamos hasta ahora, también puede que el correo electrónico no esté protegido de otras formas. Asegúrate de tener en cuenta lo siguiente:
    • Todos los equipos (no solo unos pocos) tienen que usar el cifrado de correo electrónico. No tiene sentido cifrar los correos electrónicos si no se aplica la misma norma siempre.
    • Los equipos desbloqueados no se deberían dejar sin supervisión. Crea una directiva de la compañía para que los empleados tengan que bloquear sus equipos (que tienen que estar protegidos con contraseña en el inicio de sesión) antes de abandonar los escritorios. Si creas directivas de manera intencional en relación con los correos electrónicos de tu pequeña empresa, descartarás un gran número de problemas antes de que puedan incluso llegar a producirse. Consigue que los empleados se apunten y recompénsales por ayudar a desarrollar un entorno donde la información esté protegida. Juntos, se pueden proteger todos los datos de la empresa, de los clientes y de los empleados: con un correo electrónico cada vez.

Primeros pasos con Microsoft 365

Es el Office que conoces, más las herramientas para ayudarte a trabajar mejor juntos, para que puedas mejorar la productividad en cualquier momento, en cualquier lugar.

Comprar ahora
Contenido relacionado
Business Tech

Qué sucede cuando las empresas no protegen adecuadamente su propiedad intelectual

Más información
Business Tech

Datos de clientes: límites entre la innovación útil y la invasión de la privacidad

Más información
Business Tech

Comprobar si tu solución de seguridad de los datos móviles cumple todos los requisitos

Más información

Datos e ideas para empresas no constituye asesoramiento profesional financiero ni impositivo. Debes ponerte en contacto con un profesional de finanzas o impuestos para debatir tu situación.