POLÍTICA CORPORATIVA DE CORREO ELECTRÓNICO

CORREO ELECTRÓNICO MUGE-SIC-DOC 0001 - Rev. 1.0 Uso Interno Elaborado por: Gerencia de Sistemas de Información Corporativos Revisado por: Gerencia de Calidad y Gestión Ambiental Aprobado por: Dirección General Fecha: 26/06/2009 Fecha: 29/06/2009 Fecha: 01/07/2009 NOTA: Los documentos impresos sin autorización serán considerados COPIAS NO CONTROLADAS. Las revisiones anteriores de este documento están obsoletas Pág 1 de 22

HISTÓRICO DE REVISIONES DESCRIPCIÓN FECHA REVISIÓN Edición de implantación 01/07/2009 1.0 Pág 2 de 22

ÍNDICE HISTÓRICO DE REVISIONES...2 1. GENERALIDADES...5 1.1. Objeto 5 1.2. Alcance 5 2. DOCUMENTACIÓN...7 2.1. Documentación Aplicable...7 2.2. Abreviaturas y Definiciones...7 2.2.1. Abreviaturas...7 2.2.2. Definiciones...7 3. RESUMEN DE LA POLÍTICA CORPORATIVA DE CORRE-E...9 4. POLÍTICA GENERAL DE USO DEL...11 4.1. Requisitos de Acceso...11 4.1.1. Introducción...11 4.1.2. Dominio "panel.es"...11 4.1.3. Dominio "polar-consultores.es"...12 4.2. Criterios Nominales de Creación de Cuentas Personales...12 4.3. Criterios de Creación de Cuentas Genéricas y Listas...13 4.4. Servicios No Estándar Relacionados con el Correo Electrónico...14 4.4.1. Redirecciones...14 4.4.2. Autorrespondedores...14 4.5. Acceso al Correo Electrónico...14 4.5.1. Introducción...14 4.5.2. Cuentas panel.es...14 4.5.3. Cuentas polar-consultores.es...15 4.6. Clientes de Correo...15 4.7. Organización de Carpetas en el Buzón...16 4.8. Tamaño del Buzón...16 4.9. Envíos y Transferencias...17 4.10. Responsabilidades de los Usuarios con Respecto al Uso del Correo...17 4.11. Abuso del Correo Electrónico...18 4.11.1. Difusión de contenido inadecuado...18 4.11.2. Difusión a través de canales no autorizados...19 4.11.3. Difusión masiva no autorizada...19 4.11.4. Ataques con objeto de imposibilitar o dificultar el servicio...19 4.12. Garantía de Entrega...19 4.13. Protección del Correo Electrónico...20 4.14. Política de Copias de Seguridad...20 4.15. Virus de Correo Electrónico...20 Pág 3 de 22

4.16. Activación y Desactivación de Cuentas de Correo...20 4.17. Problemas...21 4.18. Esquema General del Servicio de Correo Electrónico...22 ÍNDICE FIGURAS Figura 4-1: Esquema Servicio General de Correo Electrónico...22 Pág 4 de 22

1. GENERALIDADES 1.1. Objeto La capacidad de comunicación con el entorno y la agilidad en el acceso a la información son dos características determinantes en la competitividad de una empresa actual, especialmente si se desenvuelve en sectores tecnológicos, como es nuestro caso. Uno de los elementos fundamentales es el servicio corporativo de correo electrónico, destinado a dar soporte al intercambio de información laboral mediante los protocolos propios del correo electrónico (SMTP, POP3, IMAP). Este documento recoge la Política Corporativa sobre la que se basará el uso del servicio de correo electrónico. El acceso a esta infraestructura se deriva de la pertenencia al colectivo de empleados y, por ello, en términos generales se deben observar tanto las normas de aspecto establecidas desde la Gerencia de Marketing como las normas de cortesía habituales en el correo electrónico, apoyadas desde la Gerencia de Sistemas de Información Corporativos, al igual que las del respeto a un servicio compartido por todos y basado en unos recursos finitos, como dicta la Gerencia del Sentido Común. El documento está organizado con un resumen donde se indican los datos más representativos y a continuación un desglose de los puntos indicados en el índice. Para cualquier comentario sobre el contenido de este documento, por favor, diríjanse a sistemas@panel.es, referenciando con la mayor precisión posible el contenido afectado. Desde la publicación de este documento, su contenido se considera de obligado cumplimiento para todos los empleados. De forma complementaria desde el SIC se ha elaborado un manual de buenas prácticas, como resultado de la investigación del comportamiento de algunos de los clientes de correo más habituales en el mercado. El objetivo de estas buenas prácticas es reducir el impacto en el rendimiento del servicio, acercando o alineando la forma en que se realiza la demanda con las características y medios del mismo. 1.2. Alcance El documento va dirigido a todos los empleados de Panel Sistemas Informáticos (PANEL) y de Polar Consultores (POLARC). Pág 5 de 22

Página intencionadamente en blanco. Pág 6 de 22

2. DOCUMENTACIÓN 2.1. Documentación Aplicable No aplica 2.2. Abreviaturas y Definiciones 2.2.1. Abreviaturas ABREVIATURA SMTP POP3 IMAP BP DESCRIPCIÓN Protocolo utilizado para el envío de correos Protocolo empleado para obtener/extraer correo desde un servidor Protocolo empleado para acceder a correos almacenados en un servidor Buena práctica 2.2.2. Definiciones CONCEPTO Correo laboral Correo personal Departamento Estafeta Correo no deseado WAN DESCRIPCIÓN Son los correos electrónicos intercambiados como consecuencia de la actividad laboral del empleado. Se dividen en dos subcategorías: correo de proyecto resto de correos Son correos electrónicos sin componente laboral, típicamente intercambiados en el ámbito de las relaciones personales. Toda Unidad Organizativa (UO) o área de la misma, es decir, una Unidad Organizativa puede abarcar varias áreas o departamentos. Es una máquina configurada de tal forma que sea capaz de ofrecer servicio de correo al espacio de direcciones de las que es responsable. Ejemplo: sendmail, icewarp email Server, PMDF, MS Exchange, etc. También se conoce como MTA (del inglés: Mail Transfer Agent ) o servidor de correo. Correo que se recibe sin haber sido solicitado. En inglés: spam. Del inglés: Wide Area Network, redes de área extensa. Pág 7 de 22

Página intencionadamente en blanco. Pág 8 de 22

3. RESUMEN DE LA POLÍTICA CORPORATIVA DE CORRE-E Definición de tipos de correo Correo laboral Correo personal Criterios de creación de cuentas: panel.es: nombre.apellido@panel.es polar-consultores.es: n.apellido@polar-consultores.es Clientes: Thunderbird Outlook Express Outlook Webmail Organización del correo en el buzón: Carpeta Inbox Archivado de correos Tamaño del buzón, cuotas: Operaciones: 250 MB Estructura: 2 GB Genéricos: 1 GB Envío y transferencia: 15 MB máximo por correo enviado 35 destinatarios máximo Los sistemas de información y los servicios de red están disponibles para los empleados con vistas a su trabajo en la empresa. Se advierte que por motivos legales y de seguridad se lleva un registro de entrada/salida de los accesos y transacciones de los sistemas. Pág 9 de 22

Página intencionadamente en blanco. Pág 10 de 22

4. POLÍTICA GENERAL DE USO DEL Dado que la capacidad de comunicación con el entorno y la agilidad en el acceso a la información son dos características determinantes en la competitividad de las empresas actualmente, a continuación se establece una política de uso del servicio de correo electrónico de Panel Sistemas Informáticos y PolarConsultores, si bien cabe reseñar que los sistemas de información y los servicios de red están disponibles para los empleados con vistas a su trabajo en la empresa. Se advierte que por motivos legales y de seguridad se lleva un registro de entrada/salida de los accesos y transacciones de los sistemas. Para preservar la calidad del servicio y la seguridad de los sistemas, todo el correo de entrada y salida es tratado con un software antivirus y se le aplican las reglas y los filtros disponibles antispam. Se recuerda que hay otras fuentes de virus: ficheros en discos flexibles, por red, ftp, adjuntos encriptados, web, etc.: por lo que se debe disponer de antivirus en el ordenador personal. Respecto al correo no deseado (en inglés: spam ) cabe hacer la siguiente advertencia: hay disponibles en Internet elencos con millones de direcciones de correo. Lo que significa, dicho de otro modo: si no recibe más spam es porque lo estamos filtrando. Es posible -además- activar filtros personales en el cliente de correo y en el servidor (desde el webmail). 4.1. Requisitos de Acceso 4.1.1. Introducción Una cuenta de correo electrónico permite el envío y la recepción de mensajes y está asociada a una dirección única, tanto en el ámbito de la empresa como en Internet. Para acceder a una cuenta de correo se requiere esa dirección única y una contraseña. Así mismo, esos datos pueden permitir el acceso identificado a otros servicios de red. Se gestionan todos los servicios bajo los dominios "panel.es" y polar-consultores.es. Para el correo electrónico se dispone de dos dominios de correo, "panel.es" para empleados de Panel Sistemas Informáticos y "polar-consultores.es" para empleados de Polar Consultores. Los criterios de acceso a cuentas de correo son función del dominio de la cuenta. 4.1.2. Dominio "panel.es" Bajo el dominio panel.es, se distinguirán entre cuentas (personales o genéricas), alias y listas de correo. Las cuentas personales se ajustarán a lo expuesto en el punto 4.2 (Criterios Nominales de Creación de Cuentas Personales) para este dominio. Para disponer de una cuenta personal de correo electrónico bajo el dominio "panel.es" el usuario deberá tener una relación laboral con Panel Sistemas Informáticos o con alguna entidad colaboradora. Las cuentas personales de correo electrónico que no respondan a los criterios anteriores sólo se crearán si están avaladas, administrativamente, por la Dirección General, y, técnicamente, por la Gerencia de Sistemas de Información Corporativos (SIC). Estas cuentas son válidas hasta que finalice la relación laboral adquirida con la empresa o con las entidades colaboradoras. Pág 11 de 22

Las cuentas genéricas se crearán, previa solicitud por escrito según formulario, siempre y cuando satisfagan los requisitos expuestos en el punto 4.3. Los alias se crearán a criterio de la Gerencia de Sistemas de Información Corporativos (SIC) como mecanismo para atender determinadas demandas. Las listas de correo permiten que se entregue una copia de cada correo enviado a la lista a todos los integrantes de la misma. Son un mecanismo adecuado para comunicarse con un colectivo, pero son muy ineficientes para la gestión de la información de un departamento, servicio o proyecto (la información se encuentra dispersa en cuentas personales) y son nocivas para el envío de archivos adjuntos (se multiplica por el número de destinatarios el volumen de datos a gestionar, se penaliza el rendimiento del sistema y se dificulta el control de versiones). 4.1.3. Dominio "polar-consultores.es" Bajo el dominio polar-consultores.es se distinguirán dos tipos de cuentas, personales y genéricas. Las cuentas personales se ajustarán a lo expuesto en el punto 4.2 (Criterios nominales de creación de cuentas personales) para este dominio. Para disponer de una cuenta personal de correo electrónico bajo el dominio "polar-consultores.es" el usuario deberá tener una relación laboral con Polar Consultores o con alguna entidad colaboradora. Las cuentas personales de correo electrónico que no respondan a los criterios anteriores sólo se crearán si están avaladas, administrativamente, por la Dirección General, y, técnicamente, por la Gerencia de Sistemas de Información Corporativos (SIC). Estas cuentas son válidas hasta que finalice la relación laboral adquirida con la empresa o con las entidades colaboradoras. Las cuentas genéricas se crearán, previa solicitud por escrito según formulario, siempre y cuando satisfagan los requisitos expuestos en el punto 4.3. Las listas de correo permiten que se entregue una copia de cada correo enviado a la lista a todos los integrantes de la misma. Son un mecanismo adecuado para comunicarse con un colectivo, pero son muy ineficientes para la gestión de la información de un departamento, servicio o proyecto (la información se encuentra dispersa en cuentas personales) y son nocivas para el envío de archivos adjuntos (se multiplica por el número de destinatarios el volumen de datos a gestionar, se penaliza el rendimiento del sistema y se dificulta el control de versiones). 4.2. Criterios Nominales de Creación de Cuentas Personales La forma común de una cuenta de correo electrónico es: <alias_del_usuario>@dominio_de_correo En Panel Sistemas Informáticos, el <alias_del_usuario> se construye utilizando los siguientes criterios: Tamaño mínimo: 3 caracteres. Pág 12 de 22

Tamaño máximo: 14 caracteres. Formato del <alias_del_usuario>: Primer nombre completo. Segundo nombre completo (si es compuesto). Un punto (. ) de separación entre nombre y apellido. Primer apellido completo. En Polar Consultores, el <alias_del_usuario> se construye utilizando los siguientes criterios: Tamaño mínimo: 3 caracteres. Tamaño máximo: 14 caracteres. Formato del <alias_del_usuario>: Primera inicial del nombre. Primera inicial del segundo nombre (si es compuesto). Primer apellido completo. Los caracteres con tilde son sustituidos por el mismo carácter sin tilde. El carácter ñ es sustituido por la letra n. No se consideran los enlaces, por ejemplo: en María del Valle no se tiene en cuenta del. Si dos o más personas tienen el mismo identificador de usuario se añadirá a la segunda persona y siguientes un dígito diferenciador: 2, 3, 4, etc. De todas formas, se admiten sugerencias por parte del que solicita la cuenta para la elección del alias. Los conflictos no aclarados por las reglas anteriores serán resueltos a criterio propio por la Gerencia de Sistemas de Información Corporativos (SIC). En caso de combinaciones que deriven en palabras malsonantes podrá solicitarse el cambio de identificador de usuario. Puesto que, como se ha indicado en la Introducción, el <alias_del_usuario> puede afectar al acceso identificado a otros servicios de red, para solicitar el cambio de identificador de usuario hay que dirigirse al buzón de la Gerencia de RRHH: gestionderrhh@panel.es y gestionderrhh@polar-consultores.es. 4.3. Criterios de Creación de Cuentas Genéricas y Listas La creación de una cuenta genérica o de una lista de correos está restringida a los departamentos, servicios y proyectos, debiendo satisfacer los siguientes criterios: Tamaño mínimo: 3 caracteres. Tamaño máximo: 14 caracteres. Formato del <alias_del_usuario>: descriptivo de la función que realiza; en ningún caso podrá hacer referencia a una persona física. Texto descriptivo de la función. Pág 13 de 22

Un punto (. ) de separación (opcional para Polar Consultores). Texto descriptivo del departamento, servicio o proyecto. Identificador de la cuenta: igual que el <alias_del_usuario>. Los departamentos y servicios deberán disponer de cuentas genéricas que puedan ser atendidas por una o más personas de su plantilla: esto facilita su atención cuando alguien está de vacaciones, de viaje, etc. Para la creación de cuentas genéricas o listas de correo hay que enviar solicitud por correo a la cuenta de área de Servicios Corporativos de la Gerencia de Sistemas de Información Corporativos (SIC): servi.sic@panel.es. Es necesario indicar la duración prevista de la cuenta y la persona responsable. 4.4. Servicios No Estándar Relacionados con el Correo Electrónico 4.4.1. Redirecciones El servicio de redirección de cuentas de correo está regido por los siguientes criterios: Puede redireccionarse configurando, desde el acceso por webmail a la cuenta, las Opciones para reenviar en el registro del usuario. Es administrado por el responsable de la cuenta. 4.4.2. Autorrespondedores El servicio de redirección de cuentas de correo está regido por los siguientes criterios: Puede activarse y desactivarse configurándolo, desde el acceso por webmail a la cuenta, en Opciones -> Activar autoresponder en el registro del usuario. Es administrado por el responsable de la cuenta. 4.5. Acceso al Correo Electrónico 4.5.1. Introducción Puede accederse al correo electrónico tanto desde dentro como desde fuera de la red corporativa, con las restricciones de seguridad indicadas. Los protocolos de acceso disponibles en el servidor son POP3 (correos almacenados en el cliente de correo) e IMAP4 (correos almacenados en el servidor y sincronizados con el cliente de correo) Los protocolos de acceso pueden depender del tipo de cuenta y de la ubicación, según se describe a continuación: 4.5.2. Cuentas panel.es Protocolos de acceso disponibles: pop (Red corporativa e Internet) e imap (Solo red corporativa) Pág 14 de 22

Protocolo de envío disponible: smtp No todos los protocolos estarán siempre disponibles para todas las cuentas o para todas las ubicaciones. Acceso vía webmail: http://webmail.panel.es 4.5.3. Cuentas polar-consultores.es Protocolos de acceso disponibles: pop (Red corporativa e Internet) e imap (Solo red corporativa) Protocolo de envío disponible: smtp (25) No todos los protocolos estarán siempre disponibles para todas las cuentas o para todas las ubicaciones. Acceso vía webmail: http://webmail.polar-consultores.es 4.6. Clientes de Correo Los clientes corporativos son aquellos clientes de correo que instala y sobre los que da soporte el departamento técnico de la empresa (área de Sistemas de la Gerencia de Sistemas de Información Corporativos, SIC), que en la fecha de elaboración de esta política son: Microsoft Outlook Express (por defecto, en plataformas MS Windows) Mozilla Thunderbird (por defecto, en plataformas no MS Windows) Microsoft Outlook (sólo en caso de que el trabajo del usuario justifique su utilización) Webmail (por defecto, para acceso desde fuera de la oficina) Los requerimientos mínimos exigibles a los clientes de correo utilizables son: Capacidad para gestionar múltiples cuentas. Soporte de POP, IMAP y SMTP. Respetuoso con los estándares de correo. Compatibilidad total con los servidores de correo de la empresa. Nivel aceptable de seguridad frente a virus. Como se indica, se ofrece también la posibilidad de acceso vía web a las cuentas de correo. El servicio se realiza a través de la dirección http://webmail.dominio_de_correo. El servicio de webmail es una alternativa válida a los clientes estándar aunque, en cualquier caso, la empresa no se hace responsable de la información (libretas de direcciones, filtros, etc.) generada por el perfil de configuración del webmail, como con el resto de clientes de correo. Pág 15 de 22

Para los clientes de correo soportados se ofrecerán recomendaciones para su correcta configuración en el documento de buenas practicas publicado por el SIC. Indicar que es muy importante que al salir de la oficina se cierre el cliente de correo, de forma que no esté cargado con sesiones de consulta al servidor improductivas. Para las cuentas que hacen uso del protocolo IMAP los 3 primeros clientes (Thunderbird, Outlook y Outlook Express) son de utilización exclusiva dentro de las oficinas de la empresa, ya que el protocolo IMAP no esta diseñado para funcionar en redes de tipo WAN (Internet), quedando como cliente de correo desde el exterior (Internet) el webmail. El acceso desde dispositivos móviles no está garantizado para ningún terminal o tecnología en particular. Se permitirá el mismo siempre que sea compatible con los servidores de correo de la empresa y respetuoso con el servicio de correo electrónico. Desde la Gerencia de Sistemas de Información Corporativos se asistirá al usuario de estos dispositivos en la medida de la experiencia existente (retener experiencias previas comunicadas por otros usuarios, poner en contacto con usuarios similares, etc.). 4.7. Organización de Carpetas en el Buzón Las cuentas de correo utilizan unas carpetas predefinidas: INBOX, SEND, TRASH y SPAM, que dependiendo del cliente con el que accedamos, nos pueden ser mostradas con otros nombres (Bandeja de entrada, Elementos enviados, Papelera, etc.). La carpeta INBOX es la carpeta donde el servidor nos entrega los mensajes que recibimos, en esta carpeta se recomienda tener la mínima cantidad de mensajes almacenados, ya que un alto número de correos (más de 200 elementos) incide negativamente en el rendimiento del servidor. Para cumplir este punto se hace necesario que archivemos los correos recibidos en otra carpeta diferente y creada al mismo nivel de la carpeta INBOX. Desde cualquiera de los clientes de correo se pueden crear carpetas nuevas y mover los correos a dichas carpetas. Si no tenemos tiempo de clasificar correctamente el correo y se nos acumula en la carpeta INBOX, se debe crear una carpeta llamada "Correo_por_clasificar" (al mismo nivel que la carpeta INBOX) en donde ir almacenando los correos que nos llegan y no podemos tratar en ese momento. 4.8. Tamaño del Buzón Cada cuenta de correo electrónico tiene asociado un conjunto de recursos de almacenamiento que debe ser limitado. Se establecen las siguientes restricciones de tamaño máximo (cuotas) para las cuentas: Cuota para cuentas personales: 150 MB Cuota para personal de estructura: 1 GB Cuota para cuentas genéricas: de departamento: 1 GB / anual de servicios: 1 GB / anual Pág 16 de 22

de proyectos: 1 GB / proyecto Cuando la cuenta de correo llegue a la cuota indicada no podrá recibir más correos hasta que se libere espacio de la cuenta. Esta cuota se podrá revisar en los casos que por temas laborales sea necesario, este aumento tiene que ser solicitado a la cuenta de área de Servicios Corporativos de la Gerencia de Sistemas de Información Corporativos (SIC): servi.sic@panel.es, confirmado y aprobado por el responsable superior del solicitante cuyo departamento vaya a soportar los posibles costes derivados de la ampliación. 4.9. Envíos y Transferencias El tamaño máximo del mensaje que se puede enviar utilizando los servidores de correo de la empresa es de 15 Mb, lo cual no es óbice para que otras estafetas externas restrinjan aún más este tamaño. En cualquier caso, se hace notar que la tendencia (por ejemplo, la política propuesta por RedIRIS, red de comunicación avanzada de la Comunidad académica de investigadora española), es posible que se limite aún más este tamaño. Debe tenerse en cuenta que el correo enviado circula por distintos servidores de Internet y las restricciones las pone cada institución en sus servidores: no sirve de gran cosa enviar mensajes de tamaño grande, si no van a poder circular externamente. Respecto al máximo número de destinatarios en un mensaje de correo se establece un límite de 20 destinatarios como máximo. Por el momento no se restringe el tamaño máximo de correo recibido En cualquier momento, pueden modificarse estos valores, e, incluso, incluir otro tipo de restricciones, como limitar el número máximo de mensajes enviados desde una cuenta durante un período de tiempo. Estos cambios serían convenientemente publicados. 4.10. Responsabilidades de los Usuarios con Respecto al Uso del Correo 1. Los recursos (espacio en disco, conectividad interna y externa, capacidad de respaldo, etc.) que implican a un servicio de mensajería como el correo electrónico son finitos y limitados. 2. Los usuarios son responsables de todas las actividades realizadas con las cuentas de correo electrónico proporcionado por la empresa. 3. Esta responsabilidad supone el cuidado de los recursos que integran dicha cuenta y, particularmente, de los elementos, como la contraseña, que pueden permitir el acceso de terceras personas a dicha cuenta, o a otros recursos personales que utilicen ese identificador. 4. Si se sospecha que la cuenta está siendo utilizada por una tercera persona, hay que avisar inmediatamente a la Gerencia de Sistemas de Información Corporativos o a la cuenta servi.sic@panel.es. 5. No están permitidos los mecanismos y sistemas que intenten ocultar la identidad del emisor de correo. 6. Está prohibida la suplantación de identidad de otra persona en el envío de mensajes de correo electrónico, actividad tipificada como infracción en la Ley General de Telecomunicaciones. Pág 17 de 22

En suma: se debe realizar un uso correcto del correo electrónico, por lo que aplica el seguimiento de las normas básicas habituales en el uso de este sistema de comunicación (conocidas como netiqueta ). Por ejemplo: Respete la privacidad de los destinatarios al enviar correo electrónico: si envía un mail a varios destinatarios considere seriamente la posibilidad de no enviar toda su lista de direcciones a todos los destinatarios de forma visible: que usted les conozca a todos ellos no implica (ni probablemente sea prudente) que ellos se conozcan entre sí. Cuando elabore un mensaje reléalo antes de enviarlo y pregúntese cual sería su reacción si lo recibiera. Cualquier tiempo invertido en hacer más clara nuestra comunicación en Internet es tiempo bien empleado Evite escribir en mayúsculas. En la Red se considera "gritar" (a nadie le gusta que le consideren un mal educado por hablar a voces) y además dificulta la lectura. Escribir todo el mensaje en mayúsculas lo hace extremadamente difícil de leer (aunque una pequeña parte del mensaje en mayúsculas podría servir para enfatizar un punto). RECUERDE QUE LOS MENSAJES EN MAYÚSCULAS SON MÁS CANSADOS DE LEER QUE LOS QUE UTILIZAN CORRECTAMENTE, MAYÚSCULAS Y MINÚSCULAS. TamPOcO es cómodo LeEr los mensajes de este tipo. Una lista más exhaustiva puede consultarse en: http://www.uned.es/iued/guia_actividad/netiqueta.htm 4.11. Abuso del Correo Electrónico Determinadas prácticas en el uso de la cuenta de correo electrónico están catalogadas como Abuso del Correo Electrónico. Estas actividades están especialmente perseguidas por la comunidad Internet, y suelen ocasionar un grave deterioro de la imagen de la organización. Cuando una institución se ve afectada por actividades de este tipo, y es posible determinar el origen de los responsables, la institución puede decidir bloquear y rechazar todos los mensajes de correo pertenecientes a otra organización, práctica cada vez más habitual. La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE) contempla específicamente el abuso en el servicio de correo como una falta con graves repercusiones económicas. Si recibe algún mensaje de correo que responde a alguna de las descripciones de esta sección, por favor, mande un mensaje a la dirección servi.sic@panel.es. Los abusos de correo pueden agruparse en las siguientes categorías: 4.11.1. Difusión de contenido inadecuado Contenido ilegal por naturaleza (todo el que constituya complicidad con hechos delictivos). Ejemplos: apología del terrorismo, programas piratas, amenazas, estafas, esquemas de enriquecimiento piramidal, virus o código malicioso, etc... Pág 18 de 22

4.11.2. Difusión a través de canales no autorizados Uso no autorizado de una estafeta ajena para reenviar correo propio. Aunque el mensaje en sí sea legítimo, se están utilizando recursos ajenos sin su consentimiento. Por eso, en el momento de obtener una cuenta de correo electrónico se notifican al usuario todos los parámetros de configuración, incluyendo los servidores que debe utilizar para el envío y recepción de mensajes. 4.11.3. Difusión masiva no autorizada El uso de estafetas propias o ajenas para enviar masivamente mensajes de correo no solicitados por el destinatario, sean o no publicitarios, no está permitido. Esta actividad puede llegar a constituir una infracción castigada por la ley y supone un uso inapropiado de los recursos de la empresa. Este tipo de correo se conoce con el nombre de SPAM, y supone a todos los niveles una merma en la calidad del servicio electrónico. Actualmente, se considera que el 80% del tráfico es SPAM. Evidentemente, el supuesto anterior no es aplicable a las comunicaciones que los distintos departamentos o sistemas de la empresas puedan enviar a los usuarios con los que se relacionan en el ejercicio de las actividades habituales que les son propias. 4.11.4. Ataques con objeto de imposibilitar o dificultar el servicio Pueden dirigirse a un usuario o al propio sistema de correo. En ambos casos, el ataque consiste en el envío de un número alto de mensajes por segundo, o cualquier variante, que tenga el objetivo de paralizar el servicio por saturación de las líneas, la capacidad de CPU del servidor, o el espacio en disco de servidor o usuario. La responsabilidad de este tipo de abuso puede ser tanto por acción como por omisión, pues existe gran cantidad de "software" que genera mensajes de correo electrónico automáticamente y que con una configuración inapropiada puede suponer una merma en la calidad del servicio general. Por ley se dispone de un registro de entradas y salidas de los principales sistemas informáticos. Por tanto, en el caso del correo sólo se guarda una relación donde figura el emisor y destinatario(s), direcciones IP de los equipos que transfieren los datos, fecha y hora de entrada o salida, y tamaño del mensaje. No figura ni el título (Subject:) ni ningún otro componente del texto o ficheros adjuntos al mensaje. A efectos prácticos y legales todos los mensajes se consideran ficheros temporales en tránsito. 4.12. Garantía de Entrega Aunque en un tanto por cierto muy elevado de los casos los mensajes de correo electrónico llegan a su destino rápidamente, en ningún caso el servicio de correo electrónico garantiza la entrega de un mensaje. Numerosas circunstancias pueden impedir la recepción de un mensaje: caídas imprevistas en las líneas de comunicaciones, límites de almacenamiento en los buzones del usuario receptor, rechazo de mensajes por virus, exceso de tamaño para el servidor que recibe, direcciones mal formadas, etc. Pág 19 de 22

La empresa dispone de un sistema de respaldo ( backup ) de mail ofrecido por un proveedor externo de manera que en caso de caída de la Red, todo el correo enviado a la empresa no se pierde. Esto puede originar que después de un corte de red, caída del servicio etc., se vayan recibiendo progresivamente mensajes almacenados en este servicio. 4.13. Protección del Correo Electrónico La transferencia de correo electrónico a través de Internet no es segura, salvo en soluciones llamadas de extremo a extremo aún poco difundidas y utilizadas. Esto se traduce en que es posible (aunque poco probable) para un usuario con suficientes recursos acceder y leer el contenido de los mensajes que atraviesan un tramo determinado de la red. La empresa tiene previsto dotarse de medios para ofrecer la posibilidad de acceder a los buzones donde se almacenan los mensajes de manera segura (utilizando métodos criptográficos), tanto desde dentro como desde fuera de la Intranet. El único requerimiento que existirá, es el uso de un cliente que soporte POP/IMAP seguro (como Mozilla Thunderbird, por ejemplo). Cabe recordar que una cosa es la transmisión segura entre ordenadores y, otra, la confidencialidad usuario-usuario. Cada uno de estos fines tiene sus propios mecanismos de seguridad aplicables. 4.14. Política de Copias de Seguridad Sobre el almacén de correo del servidor corporativo se realizan semanalmente un respaldo completo, cada uno de estos trabajos de respaldo tienen una vida de 6 semanas, es decir, el trabajo de la semana 7 se realiza sobre el soporte de que se utilizó para la semana 1. También se realiza un respaldo diferencial diario en las jornadas laborales de la semana actual. Es responsabilidad de los usuarios guardar una copia local en caso de almacenar mensajes fuera del servidor. Los datos a efectos legales se consideran en tránsito y temporales. 4.15. Virus de Correo Electrónico Las estafetas del servicio analizan todo el tráfico de correo entrante y saliente, y rechazan el envío de mensajes que contienen virus. Cuando un mensaje es rechazado se envía una notificación al destinatario del mensaje, salvo en el caso de virus que falsifiquen la cabecera de origen. La cadencia de actualización de los sistemas antivirus de las estafetas de correo electrónico es de una hora, salvo errores de comunicación u otros imprevistos que puedan ampliar este plazo. Esta cadencia implica un margen de infección de un máximo de una hora en el peor de los casos, tras la publicación de la firma del virus. 4.16. Activación y Desactivación de Cuentas de Correo El uso inapropiado o el abuso en el servicio de correo electrónico puede ocasionar la desactivación temporal o permanente de las cuentas. Las acciones en este sentido pueden llevarse a cabo en función de incidencias que puedan suponer un problema para el buen funcionamiento del servicio. Pág 20 de 22

En cualquier caso, la política de activación y desactivación en circunstancias normales será: Cuentas personales: cuando finaliza la relación contractual del usuario con la empresa. Cuentas genéricas: cuando se alcance su período de caducidad. Proyecto: en el cierre del proyecto 4.17. Problemas Si tiene cualquier duda o cuestión sobre el servicio de correo electrónico, diríjase a la Gerencia de Sistemas de Información Corporativos. Si por un motivo excepcional el personal técnico tuviese acceso al contenido de un mensaje, lo trataría con total secreto y confidencialmente. En los casos de mensajes devueltos, se notifica el error al emisor, y el cuerpo del mensaje ni se guarda ni se retiene. Se recuerda -además- que tampoco puede asegurarse la privacidad de un mensaje de correo cuando circula por las distintas redes que componen Internet, salvo que se utilicen los sistemas de encriptación disponibles. En la dirección servi.sic@panel.es pueden notificar las incidencias de correo no deseado (en inglés: spam ) o seguridad. Pág 21 de 22

4.18. Esquema General del Servicio de Correo Electrónico Figura 4-1: Esquema Servicio General de Correo Electrónico Pág 22 de 22