Construyendo un Modelo de Cumplimiento de Seguridad de Correo Electrónico

El cumplimiento de seguridad de correo electrónico es el proceso de monitorear, mantener y hacer cumplir políticas y controles para garantizar la confidencialidad de las comunicaciones electrónicas. Esto se puede hacer a través de auditorías regulares de correo electrónico o esfuerzos de monitoreo continuo.

Cada organización debería tener un Modelo de Cumplimiento de Seguridad (SCM, por sus siglas en inglés) documentado que describa sus políticas, procedimientos y actividades relacionadas con el cumplimiento de seguridad de correo electrónico. Esto asegura que no ocurran violaciones de comunicación dentro de tu organización y ayuda a retener socios comerciales que puedan estar preocupados por las empresas con prácticas de seguridad deficientes.

Comprendiendo las Regulaciones de Cumplimiento de Seguridad de Correo Electrónico para Empresas

Las leyes de cumplimiento de seguridad de correo electrónico sirven como un marco legal para asegurar la seguridad y privacidad de la información almacenada en el correo electrónico. Estas leyes son aplicadas por varios gobiernos nacionales y son una preocupación creciente para empresas de todas las formas y tamaños.

A continuación, hemos proporcionado un resumen breve de los requisitos impuestos a las empresas que manejan comunicaciones por correo electrónico, junto con una visión general de los diversos marcos legales aplicables para cumplir con la construcción adecuada de cumplimiento de seguridad de correo electrónico para tu negocio. 

a. HIPAA/SOC 2/FedRAMP/PCI DSS

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y los Estándares de Seguridad para Sistemas de Información Federal, 2ª Edición (SOC 2),FedRAMP y PCI DSS son regulaciones que requieren que las organizaciones protejan la privacidad y seguridad de la información de salud protegida electrónicamente (ePHI). ePHI es cualquier información que se transmite electrónicamente entre entidades cubiertas o asociados comerciales.

Las leyes requieren que las entidades cubiertas implementen políticas, procedimientos y controles técnicos adecuados a la naturaleza de los datos que procesan, así como otras salvaguardias necesarias para cumplir con sus responsabilidades bajo HIPAA y SOC 2. Estas regulaciones se aplican a todas las entidades que transmiten o reciben PHI en forma electrónica en nombre de otra entidad; sin embargo, también se aplican a todos los asociados comerciales y otras entidades que reciben PHI de una entidad cubierta.

¿A qué tipo de negocio aplica esta regulación? 

Esta regulación se aplica a cualquier negocio que recolecte, almacene o transmita PHI (Información de Salud Protegida) electrónicamente. También se aplica a cualquier negocio que esté involucrado en la provisión de un Registro de Salud Electrónico Cubierto (eHealth Record) u otros servicios de salud cubiertos electrónicamente. Estas regulaciones están diseñadas para proteger tanto la privacidad del paciente como la seguridad de los datos del paciente contra el acceso no autorizado por terceros.

b. GDPR

El Reglamento General de Protección de Datos (GDPR) es una regulación implementada por la Unión Europea. Está diseñado para proteger los datos personales de los ciudadanos de la UE, y ha sido llamado "la ley de privacidad más importante de una generación".

GDPR requiere que las empresas sean transparentes sobre cómo utilizan los datos de los clientes, así como proporcionar políticas claras sobre cómo manejan esos datos. También requiere que las empresas revelen qué información recopilan y almacenan sobre los clientes, y ofrezcan formas fáciles para que los individuos accedan a esa información. Además, GDPR prohíbe que las empresas utilicen datos personales para propósitos distintos de aquellos para los cuales fueron recolectados.

¿A qué tipo de negocio aplica esta regulación?

Se aplica a todas las empresas que recolectan datos en la UE, y requiere que las empresas obtengan el consentimiento explícito de aquellos cuya información personal recolectan. GDPR también incluye multas por incumplimiento, por lo que debes tener todo en orden antes de comenzar a recolectar cualquier información personal.

c. CAN-SPAM

CAN-SPAM es una ley federal aprobada por el Congreso en 2003 que requiere que los correos electrónicos comerciales incluyan cierta información sobre su origen, incluyendo la dirección física y el número de teléfono del remitente. La ley también exige que los mensajes comerciales incluyan una dirección de retorno, que debe ser una dirección dentro del dominio del remitente.

La Ley CAN-SPAM fue actualizada posteriormente para incluir requisitos más estrictos para los correos electrónicos comerciales. Las nuevas reglas requieren que los remitentes de correos electrónicos se identifiquen de manera clara y precisa, proporcionen una dirección de retorno legítima e incluyan un enlace para darse de baja al final de cada correo electrónico.

¿A qué tipo de negocio aplica esta regulación? 

La Ley CAN-SPAM se aplica a todos los mensajes comerciales, incluyendo aquellos enviados por empresas a consumidores y viceversa, siempre que cumplan con ciertos requisitos. Las regulaciones están destinadas a proteger a las empresas del spam, que es cuando alguien envía un mensaje con la intención de que hagas clic en un enlace o abras un archivo adjunto. La ley también protege a los consumidores del spam enviado por empresas que intentan venderles algo.

Cómo Construir un Modelo de Cumplimiento de Seguridad de Correo Electrónico para tu Empresa

El modelo de cumplimiento de seguridad de correo electrónico está diseñado para verificar que los servidores y aplicaciones de correo electrónico de una organización cumplan con las leyes aplicables, los estándares de la industria y las directivas. El modelo ayuda a las organizaciones a establecer políticas y procedimientos que proporcionen la recopilación y protección de datos de clientes a través de la detección, prevención, investigación y remediación de posibles incidentes de seguridad.

A continuación, aprenderás cómo construir un modelo que ayude con la seguridad del correo electrónico, así como consejos y tecnologías avanzadas para ir más allá del cumplimiento.

1. Usar un Gateway de Correo Electrónico Seguro

Un gateway de seguridad de correo electrónico es una línea de defensa importante para proteger las comunicaciones por correo electrónico de tu empresa. Ayuda a asegurar que solo el destinatario previsto reciba el correo electrónico y también bloquea intentos de spam y phishing.

Puedes usar el gateway para gestionar el flujo de información entre tu organización y sus clientes. Además, aprovecha características como la encriptación, que ayuda a proteger la información sensible enviada por correo electrónico encriptándola antes de que salga de una computadora y descifrando en su camino hacia otra computadora. Esto puede ayudar a prevenir que los ciberdelincuentes puedan leer el contenido de correos electrónicos o archivos adjuntos enviados entre diferentes computadoras o usuarios.

Un gateway de correo electrónico seguro también puede proporcionar características como filtrado de spam y archivado, todas las cuales son esenciales para mantener un ambiente organizado y conforme en tu empresa.

2. Ejercer Protección Post-Entrega

Hay varias formas de construir un modelo de cumplimiento de seguridad de correo electrónico para tu empresa. El método más común es usar el modelo para identificar riesgos potenciales y luego aplicar Protección Post-Entrega (PDP) a esos riesgos.

La protección post-entrega es el proceso de verificar que un correo electrónico ha sido entregado a su destinatario previsto. Esto incluye asegurarse de que el destinatario pueda iniciar sesión en su software cliente de correo electrónico y verificar el mensaje, así como confirmar que el correo electrónico no ha sido filtrado por los filtros de spam.

La protección post-entrega se puede lograr teniendo una red o servidor seguro donde se almacenen tus correos electrónicos y luego encriptándolos antes de que sean entregados a los destinatarios previstos. Es importante tener en cuenta que solo una persona autorizada debe tener acceso a estos archivos para que puedan ser descifrados únicamente por ella.

3. Implementar Tecnologías de Aislamiento

Un modelo de cumplimiento de seguridad de correo electrónico se construye aislando todos los puntos finales de tus usuarios y su tráfico web. Las tecnologías de aislamiento funcionan aislando todo el tráfico web de un usuario en un navegador seguro basado en la nube. Esto significa que los correos electrónicos enviados a través de la tecnología de aislamiento están encriptados en el lado del servidor y descifrados en el lado del cliente en una estación 'aislada'.

Por lo tanto, ninguna computadora externa puede acceder a sus correos electrónicos y no pueden descargar ningún programa o enlace malicioso. De esta manera, incluso si alguien hace clic en un enlace en un correo electrónico que contiene malware, el malware no podrá infectar su computadora o red (ya que el enlace malicioso se abrirá en una forma de solo lectura).

Las tecnologías de aislamiento facilitan a las empresas el cumplimiento de regulaciones como PCI DSS y HIPAA al implementar soluciones de correo electrónico seguras que utilizan encriptación basada en host (HBE).

4. Crear Filtros de Spam Efectivos

El filtrado de correos electrónicos implica verificar los mensajes de correo electrónico contra una lista de reglas antes de que se entreguen al sistema receptor. Las reglas pueden ser configuradas por los usuarios o automáticamente basadas en ciertos criterios. El filtrado se utiliza típicamente para verificar que los mensajes enviados desde ciertas fuentes no sean maliciosos o contengan contenido inesperado.

La mejor manera de crear un filtro de spam efectivo es analizando cómo los spammers utilizan técnicas que hacen que sus mensajes sean difíciles de detectar antes de que lleguen a las bandejas de entrada de los destinatarios. Este análisis debería ayudarte a desarrollar filtros que identifiquen el spam y eviten que llegue a la bandeja de entrada.

Afortunadamente, existen algunas soluciones disponibles (como DMARC) que automatizan gran parte de este proceso al permitir que las empresas definan reglas específicas para cada mensaje de manera que solo los que cumplan con esas reglas sean procesados por los filtros.

5. Implementar Protocolos de Autenticación de Correo Electrónico

Si estás construyendo un modelo de cumplimiento de seguridad de correo electrónico para tu empresa, necesitas DMARC para ayudar a proteger tu marca de ser perjudicada por correos electrónicos maliciosos enviados desde fuentes externas que pueden intentar hacerse pasar por el nombre o dominio de la empresa para defraudar a tus clientes leales.

Como cliente de una empresa con mensajes de correo electrónico habilitados con DMARC, puedes estar seguro de que estás recibiendo comunicaciones legítimas de la empresa.

6. Alinear la Seguridad del Correo Electrónico con una Estrategia General

La estrategia general de tu programa de cumplimiento de seguridad de correo electrónico es asegurar que tu organización cumpla con todas las regulaciones gubernamentales relevantes. Estas incluyen regulaciones relacionadas con las siguientes áreas: identificaciones de remitentes, suscripciones, cancelaciones de suscripción y tiempos de procesamiento de solicitudes.

Para lograr esto, necesitas desarrollar un plan que aborde cada una de estas áreas por separado y luego integrarlas de tal manera que se apoyen mutuamente.

También deberías considerar diferenciar tu estrategia de correo electrónico en diferentes regiones en función de las políticas distintas que cada una tiene. Por ejemplo, en los EE. UU., hay muchas regulaciones diferentes sobre el spam que requieren medios de implementación distintos a los requeridos en otros países como India o China, donde las regulaciones sobre el spam son menos estrictas.

Construcción de un Modelo de Cumplimiento de Seguridad de Correo Electrónico para tu Empresa: Pasos Adicionales

• Desarrolla un plan de recopilación de datos que incluya los tipos de información que deseas recopilar, con qué frecuencia deseas recopilarla y cuánto tiempo debería llevar recopilarla. 
• Capacita a los empleados sobre cómo usar el correo electrónico de manera segura mediante la implementación de políticas, procedimientos y módulos de capacitación sobre el uso adecuado del correo electrónico en su lugar de trabajo. 
• Evalúa tus medidas actuales de seguridad de correo electrónico para ver si están actualizadas con las mejores prácticas de la industria y considera actualizarlas si es necesario. 
• Determina qué tipo de datos de recursos humanos necesitan mantenerse privados o confidenciales y cómo se comunicarán a tus empleados, socios y proveedores, incluyendo a terceros involucrados en la creación de contenido para tu sitio web o canales de redes sociales. 
• Crea una lista de todos los empleados que tienen acceso a información sensible/confidencial y desarrolla un plan para monitorear su uso de las herramientas de comunicación por correo electrónico.

¿Quién es responsable del cumplimiento de la seguridad del correo electrónico en su empresa?

Gestores de IT: El gestor de IT es responsable del cumplimiento general de la seguridad del correo electrónico en su organización. Ellos se aseguran de que se sigan las políticas de seguridad de la empresa y de que todos los empleados estén capacitados en ellas. Administradores de sistemas: Los administradores de sistemas son responsables de instalar y configurar servidores de correo electrónico y cualquier otra infraestructura de IT necesaria para el funcionamiento exitoso del sistema de correo. Deben comprender qué tipo de datos se almacenan, quién tiene acceso a ellos y cómo se utilizarán.

Oficiales de cumplimiento: Ellos son responsables de garantizar que la empresa cumpla con todas las leyes relacionadas con el cumplimiento de la seguridad del correo electrónico. Empleados: Los empleados son responsables de seguir las políticas y procedimientos de seguridad del correo electrónico de la empresa, así como cualquier instrucción adicional o orientación de su gerente o supervisor.

Proveedores de servicios de terceros: Puedes externalizar la seguridad de tu correo electrónico a terceros que te ahorrarán tiempo y dinero. Por ejemplo, un proveedor de servicios gestionados DMARC de terceros puede ayudarte a implementar tus protocolos en pocos minutos, gestionar y monitorear tus informes DMARC, solucionar errores y proporcionar orientación experta para cumplir fácilmente con las normativas.