Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí núm. 105 La importància del correu electrònic en les organitzacions i els riscs associats al mal ús

El correu electrònic és una eina fonamental en el món laboral ja que permet la comunicació eficient i ràpida entre els membres de les organitzacions i proveïdors externs. No obstant això, fer-ne un ús inadequat en l’àmbit del Servei de Salut de les Illes Balears pot tenir conseqüències greus per a la seguretat de la informació i la reputació de l’organisme. El mal ús del correu electrònic pot incloure des de l’enviament de correus no desitjats (spam) fins a la divulgació d’informació confidencial o la propagació de virus informàtics. En aquest butlletí de seguretat, s’analitzen els riscs associats al mal ús del correu electrònic corporatiu i s’ofereixen consells per minimitzar-los.

 

En preguntar-nos què es considera un mal ús del correu electrònic, pot ser que no vegem una resposta immediata, però a continuació es detallen els principals casos de mal ús que es detecten i que podrien fins i tot arribar a bloquejar-se en el Servei de Salut.

 

  • El primer cas, el més comú, consisteix a usar el correu corporatiu per registrar-se en pàgines web no institucionals i amb finalitats particulars; per exemple, el registre del compte corporatiu en entitats bancàries, pàgines web de compres en línia, companyies asseguradores, seus electròniques d’altres administracions públiques (ajuntaments, cadastre…). Tots aquests registres de correus de la feina en webs d’ús personal a priori no són un risc per a la seguretat, però podrien arribar a ser-ho en cas que aquestes webs no corporatives sofrissin alguna bretxa de seguretat; per exemple, si s’utilitza la mateixa contrasenya en els registres esmentats que en l’usuari corporatiu de la feina. Addicionalment, aquests registres poden derivar en la recepció de grans quantitats de correu, que pot fins i tot arribar a omplir les bústies dels usuaris i impossibilitar que aquests rebin els correus relacionats amb les funcions laborals.
  • En cap cas no podem usar el correu, ni la resta de les eines proporcionades per l’organització (impressores, ordinadors, etc.) per a un ús personal. Es detecten molts casos en els quals els usuaris reenvien correus des dels seus comptes personals als comptes corporatius amb documents adjunts per imprimir-ne còpies. En aquests casos s’està fent un mal ús del correu electrònic i de la resta d’eines, i es posa en risc la seguretat de la resta d’usuaris, de les dades del Servei de Salut i les dades pròpies.
  • No s’han de configurar redireccions de missatges de manera automàtica a comptes personals ni, al contrari, de comptes personals a comptes professionals. Els comptes professionals han de ser usats només amb finalitats professionals i en cap cas per a finalitats d’interès personal.
  • Com un altre cas destacat hi ha l’ús del correu per a activitats particulars o amb ànim de lucre; per exemple, en el cas que un metge després de prestar els serveis en el Servei de Salut compti amb una consulta mèdica privada en la qual atén pacients(fora de les seves funcions relacionades amb el Servei de Salut) i utilitza el correu corporatiu per enviar comunicacions en aquest àmbit aliè.
  • Un cas bastant evident però igualment comú és l’enviament de missatges inadequats o ofensius. En cap cas no s’ha d’usar el correu corporatiu per enviar missatges amb continguts inadequats o ofensius per a terceres persones o empreses. Queda totalment prohibit enviar missatges amb contingut de caràcter racista, xenòfob, pornogràfic, sexual, d’apologia del terrorisme o que atempti contra els drets humans, o que actuï en perjudici dels drets a la intimitat, l’honor i la imatge pròpia o contra la dignitat de les persones.
  • Una altra casuística per la qual no s’han d’usar els comptes de correu corporatiu és per a l’enviament massiu de missatges. Els comptes professionals són un mitjà de comunicació interpersonal. Addicionalment, s’ha d’identificar plenament el remitent del missatge.
  • En general s’ha de tenir precaució abans d’enviar o reenviar missatges i afegir a persones en còpia (A/c) o còpia oculta (C/o) i cal procurar que el correu arribi només a les persones destinatàries de la informació que conté.
  • En cap cas no s’han d’usar les llibretes d’adreces corporatives ni les llistes distribució per a un ús particular, sinó que s’han d’utilitzar exclusivament per a finalitats corresponents a les funcions laborals.
  • En el cas de rebre informació de la qual no s’és el destinatari, s’ha d’eliminar el missatge i tota la informació continguda en aquest al més aviat possible. En cap cas no s’ha de fer arribar aquesta informació a terceres persones.

 

Per mitjà del Codi de Bones Pràctiques del Servei de Salut s’estableixen diverses recomanacions quant al bon ús dels recursos de l’organització, entre les quals destaquen les següents referent al correu electrònic:

  • Com a norma general, només s’han d’utilitzar els recursos informàtics per a les labors pròpies dels usuaris d’acord amb les funcions assignades. Aquests recursos no s’han de destinar a un ús personal.
  • El propietari d’aquests recursos és el Servei de Salut. Per això li correspon determinar les condicions i les responsabilitats per protegir-los i usar-los.
  • Els usuaris són responsables de custodiar els recursos i protegir-los de les possibles amenaces (accessos no autoritzats, ús indegut, errors o omissions, robatori, etc.).
  • No es poden enviar dades personals per internet. Només es podrien fer aquests enviaments emprant els mecanismes que garanteixin la inintel·ligibilitat i la integritat de les dades, i amb l’autorització prèvia corresponent.

 

Us recordam que la seguretat de la informació és cosa de tothom i que comença per cadascú.