Política de Seguridad de Correo Electrónico
1. Propósito
Establecer requisitos para asegurar los sistemas de correo electrónico de [ORGANIZATION] contra phishing, malware, pérdida de datos y otras amenazas transmitidas por correo electrónico.
2. Alcance
Esta política se aplica a todos los sistemas de correo electrónico, puertas de enlace y servicios utilizados por [ORGANIZATION], incluyendo correo electrónico alojado en la nube (Microsoft 365, Google Workspace) e infraestructura de correo electrónico local.
3. Política
3.1 Autenticación de Correo Electrónico
[ORGANIZACION] deberá implementar estándares de autenticación de correo electrónico en todos los dominios de correo: SPF (Sender Policy Framework) con una política -all (fallo estricto), DKIM (DomainKeys Identified Mail) para todos los mensajes salientes, y DMARC (Domain-based Message Authentication, Reporting & Conformance) con una política de cuarentena o rechazo.
Los informes agregados y forenses de DMARC deberán monitorearse al menos [PERSONALIZAR: semanal/mensualmente] para identificar el uso no autorizado de los dominios de correo electrónico de [ORGANIZACION].
Los servicios de terceros autorizados para enviar correo electrónico en nombre de [ORGANIZACION] deberán incluirse en los registros SPF y configurarse para firma DKIM.
3.2 Filtrado y Protección de Correo Electrónico
Todo el correo electrónico entrante deberá filtrarse a través de la puerta de enlace de seguridad de correo electrónico de [ORGANIZACION], la cual deberá proporcionar: filtrado anti-spam, escaneo de malware (incluyendo detonación en sandbox para archivos adjuntos), reescritura de URL y protección al momento del clic, detección de suplantación de identidad y filtrado de archivos adjuntos.
Los tipos de archivos ejecutables (.exe, .bat, .cmd, .ps1, .vbs, .js, .msi y similares) deberán bloquearse como archivos adjuntos de correo electrónico.
El correo electrónico que contenga patrones de datos sensibles (número de seguro social, números de tarjetas de crédito, etc.) deberá escanearse por controles DLP antes de la entrega o transmisión.
3.3 Requisitos de Uso de Correo Electrónico
Los usuarios no deberán reenviar automáticamente el correo electrónico de [ORGANIZACION] a direcciones de correo externas sin la aprobación de [PERSONALIZAR: gerencia/Seguridad de TI].
Los usuarios deberán reportar correos electrónicos sospechosos de phishing a [PERSONALIZAR: equipo de seguridad/botón de reporte de phishing] inmediatamente al identificarlos.
Se deberá utilizar cifrado de correo electrónico al enviar datos Confidenciales o Restringidos externamente.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos