El correo electrónico es una herramienta fundamental en el mundo laboral ya que permite la comunicación eficiente y rápida entre los miembros de las organizaciones y proveedores externos. Sin embargo, su uso inadecuado en el ámbito del Servicio de Salud de las Islas Baleares puede tener consecuencias graves para la seguridad de la información y la reputación del organismo. El mal uso del correo electrónico puede incluir desde el envío de correos no deseados (spam) hasta la divulgación de información confidencial o la propagación de virus informáticos. En este boletín de seguridad, se analizan los riesgos asociados al mal uso del correo electrónico corporativo y se ofrecen consejos para minimizarlos.

Al preguntarnos qué se considera un mal uso del correo electrónico, puede que no veamos una respuesta inmediata, pero a continuación se detallan los principales casos de mal uso que se detectan y podrían incluso llegar a bloquearse en el Servicio de Salud.

• El primero caso, el más común, consiste en usar el correo corporativo para registrarse en páginas web no institucionales y con fines particulares; por ejemplo, el registro de la cuenta corporativa en entidades bancarias, páginas web de compras en línea, compañías aseguradoras, sedes electrónicas de otras administraciones públicas (ayuntamientos, catastro, …). Todos estos registros de correos del trabajo en webs de uso personal a priori no son un riesgo para la seguridad, pero podrían llegar a serlo en caso de que estas webs no corporativas sufrieran alguna brecha de seguridad; por ejemplo, si se utiliza la misma contraseña en los registros mencionados que en el usuario corporativo del trabajo. Adicionalmente, estos registros pueden derivar en la recepción de grandes cantidades de correo, que puede incluso llegar a llenar los buzones de los usuarios e imposibilitar que estos reciban los correos relacionados con las funciones laborales.
• En ningún caso podemos usar el correo, ni el resto de las herramientas proporcionadas por la organización (impresoras, ordenadores, etc.) para un uso personal. Se detectan muchos casos en los que los usuarios reenvían correos desde sus cuentas personales a las cuentas corporativas con documentos adjuntos para imprimir copias de estos documentos. En estos casos se está haciendo un mal uso del correo electrónico y del resto de herramientas, y se pone en riesgo la seguridad del resto de usuarios, de los datos del Servicio de Salud y los datos propios.
• No se deben configurar redirecciones de mensajes de manera automática a cuentas personales ni, al contrario, de cuentas personales a cuentas profesionales. Las cuentas profesionales deben ser usadas solo con fines profesionales y en ningún caso para fines de interés personal.
• Como otro caso destacado, tenemos el uso del correo para actividades particulares o con ánimo de lucro; por ejemplo, en el caso de que un médico después de prestar sus servicios en el Servicio de Salud cuente con una consulta médica privada en la que atiende a pacientes (fuera de sus funciones relacionadas con el Servicio de Salud) y utiliza el correo corporativo para enviar comunicaciones en este ámbito ajeno.
• Un caso bastante evidente pero igualmente común es el envío de mensajes inapropiados u ofensivos. En ningún caso se debe usar el correo corporativo para enviar mensajes con contenidos inapropiados u ofensivos para terceras personas o empresas. Queda totalmente prohibido enviar mensajes con contenido de carácter racista, xenófobo, pornográfico, sexual, de apología del terrorismo o que atente contra los derechos humanos, o que actúe en perjuicio de los derechos a la intimidad, el honor y la imagen propia o contra la dignidad de las personas.
• Otra casuística para la que no se deben usar las cuentas de correo corporativo es para el envío masivo de mensajes. Las cuentas profesionales son un medio de comunicación interpersonal. Adicionalmente, se debe identificar plenamente al remitente del mensaje.
• En general se debe tener precaución antes de enviar o reenviar mensajes y añadir a personas en copia (CC) o copia oculta (CCO) y cabe procurar que el correo llegue solo a las personas destinatarias de la información contenida en este.
• En ningún caso deben usarse las libretas de direcciones corporativas ni las listas distribución para un uso particular, sino que deben utilizarse exclusivamente para fines correspondientes a las funciones laborales.
• En el caso de recibir información de la cual no se es el destinatario, se debe eliminar el mensaje y toda la información contenida en este lo más rápidamente posible. En ningún caso se debe hacer llegar esta información a terceras personas.

Por medio del Código de Buenas Prácticas del Servicio de Salud se establecen diversas recomendaciones en cuanto al buen uso de los recursos de la organización, entre las que destacan las siguientes referentes al correo electrónico:

• Como norma general, solo deben utilizarse los recursos informáticos para las labores propias de los usuarios de acuerdo con las funciones asignadas. Estos recursos no deben destinarse a un uso personal.
• El propietario de estos recursos es el Servicio de Salud. Por ello le corresponde determinar las condiciones y las responsabilidades para protegerlos y usarlos.
• Los usuarios son responsables de custodiar los recursos y protegerlos de las posibles amenazas (accesos no autorizados, uso indebido, errores u omisiones, robo, etc.).
• No se pueden enviar datos personales por internet. Solo se podrían hacer estos envíos usando los mecanismos que garanticen la ininteligibilidad y la integridad de los datos, y con la autorización previa correspondiente.

Le recordamos que la seguridad de la información es cosa de todos y que empieza por cada uno.