Categoría: Divulgación

Buenas prácticas en el uso del correo electrónico de la ULL

A pesar de la diversidad de herramientas de comunicación en los entornos de gestión universitaria, el correo electrónico es uno de los mecanismos más ubicuos y utilizados. Se trata de una herramienta que se pone a disposición de la comunidad para la gestión, docencia e investigación universitaria.

Debido a la importancia de este recurso, y en aras de lograr mejores prácticas de uso del mismo, este artículo recoge una serie de pautas imprescindibles para que el correo corporativo siga siendo una herramienta útil y fiable en la comunicación interna y externa de la ULL.

El asunto del mensaje

Utilicemos siempre el campo “Asunto”: el destinatario puede decidir si leer o no un mensaje basándose solo en este encabezamiento. Seamos claros y descriptivos a la hora de escoger el título del asunto. Esto facilita la lectura y clasificación de los mensajes y por tanto ahorra tiempo. No utilice asuntos genéricos como “Problema”, “Adjunto de escaneo” o “Solicitud” y mucho menos deje sin cumplimentar el asunto del mensaje.

Estilo y calidad de la redacción

Es importante el uso de un tono y estilo de redacción adecuados al destinatario.

Escribir con faltas de ortografía o gramaticales daña nuestra imagen y la de nuestro entorno, y dificulta al destinatario la lectura y comprensión del mensaje. Debemos ser siempre conscientes de que se trata de comunicación escrita, y como tal queda registro de ella.

Utilicemos los emoticonos con moderación y nunca para un mensaje formal.

Cuidado con las mayúsculas: en la comunicación en Internet, escribir utilizando las mayúsculas equivale a gritar [1]. Se pueden utilizar las comillas, los asteriscos y guiones bajos para *enfatizar* y subrayar.

Tengamos en cuenta siempre la diferencia de estilo que debe haber entre un mensaje personal y otro profesional, entre uno informal y otro de carácter serio. Saludemos, indiquemos el motivo del mensaje y despidámonos al final.

Formato del texto

No es recomendable el uso de estilos ni adornos innecesarios. Se puede hacer uso de estos recursos sin abusar y cuando el contenido lo requiera. Es conveniente estructurar el texto en párrafos separados por líneas en blanco para que el mensaje quede más claro y legible, cuidando especialmente la ortografía y la gramática.

Documentos Adjuntos

Evite en la medida de lo posible el envío de documentos adjuntos. El correo electrónico no es el mecanismo adecuado para transferir ficheros, es preferible compartir los documentos u optar por herramientas de trabajo colaborativo como Google Drive.

Tengamos en cuenta que el destinatario puede tener problemas para leer los ficheros adjuntos, bien por su excesivo tamaño o porque el tipo de fichero tenga un formato inadecuado. Evite el envío de ficheros en formatos no abiertos [2]. Para ficheros que han de ser editados por el destinatario se recomienda utilizar el formato Open Document Format mientras que si se trata de documentos que no han de ser modificados, deberíamos optar por ficheros en formato PDF/A; aunque recuerde que el trabajo colaborativo en la nube es la opción preferible y más adecuada para compartir y editar ficheros entre diferentes personas. Si se comparten documentos o se envían adjuntos, avisemos de este hecho. Explicite que se comparte o envía información en uno o varios documentos, el objetivo que se persigue y lo que se espera del destinatario.

Destinatarios del mensaje

Los destinatarios de un mensaje se indican en los campos:

  • Para: es donde se indica el destinatario/a o destinatarios(as) principales, a quienes se hará referencia en el mensaje.
  • En el campo CC (en copia) se indican los destinatarios que se quiere que “estén al corriente” del contenido del mensaje.
  • El campo CCO (en copia oculta) se usa para consignar los destinatarios(as) que no se quiere que nadie vea. Las personas que reciben el mensaje no sabrán quiénes más están en copia del mensaje.

Cuando se envíen copias de un mensaje a numerosas personas no relacionadas entre sí, pongamos la lista de direcciones a enviar en el campo CCO. De este modo se evita dar a conocer las direcciones de correo electrónico de todas las personas al resto de receptores(as) del mensaje.

Firma de los mensajes

Firme siempre los mensajes con su nombre. La firma debe incluir los datos de contacto necesarios. Además del nombre, añadamos la información necesaria para que quien recibe el mensaje pueda identificarnos, ponerse en contacto con nosotros y no tener que consultar su libreta de direcciones para hallar nuestro teléfono.

Para unificar la imagen corporativa de las firmas en la ULL se recomienda utilizar alguno de los ejemplos que se exponen a continuación. Ello refuerza la imagen de marca de la ULL, particularmente cuando nos comunicamos con entidades externas a nuestra institución.

También para preservar la marca ULL debe evitarse utilizar la cuenta institucional para cuestiones personales. Obtenga una cuenta de correo electrónico de un proveedor externo para asuntos personales. De esta forma podrá reducir el volumen de correo de su buzón profesional en la ULL, manteniendo éste para sus fines adecuados. La universidad proporciona cuentas de correo electrónico a sus empleados(as) como herramienta para la docencia, la investigación o la gestión.

La inclusión de una firma automatizada en todos nuestros mensajes se puede configurar tal como se indica en esta referencia [3].

Ejemplo de Firma 1:
M. Ángeles Hernández González
Profesora Titular de Universidad
Departamento de Interferometría
Universidad de La Laguna
Apartado Postal 456
38200, San Cristóbal de La Laguna
+34 922 841234
micorreo@ull.es
http://miweb.webs.ull.es

Ejemplo de Firma 2:
José Álvarez Rodríguez
Negociado de Asuntos Varios
Vicerrectorado de Asuntos Varios
Universidad de La Laguna
+34 922 319528
vicext@ull.es

Ejemplo de Firma 3:
María Rodríguez González
Jefa del Servicio de Asuntos Generales
Universidad de La Laguna
+34 922 312345 / +34 612 345 678 (6321)

Revise el mensaje antes de enviarlo

Antes de enviar un mensaje, asegurémonos de que está escrito con corrección y claridad. Dedicar unos segundos a revisar lo escrito nos ayudará a mejorarlo, nos puede ahorrar problemas y tiempo explicando malentendidos y además el receptor lo agradecerá y dará una mejor imagen del remitente.

Respuesta a los mensajes

Aunque tengamos la sensación de que el correo electrónico es un medio de comunicación inmediato (como una conversación), no es así. La persona destinataria de un mensaje normalmente debe responder a más de un mensaje (no somos su único interlocutor/a) y probablemente realizar otro tipo de tareas. Si limitamos la generación de mensajes y éstos son concretos y concisos no sólo mejoramos nuestro trabajo sino que ayudamos a facilitar el trabajo de los demás. En ocasiones, se tiene la sensación de estar obligado a responder los mensajes ipso facto, cuando generalmente no es así ya que el correo electrónico es una herramienta de carácter no inmediato. Intentemos responder todos los mensajes en un tiempo razonable y de forma adecuada, sin extendernos pero proporcionando una respuesta acorde a las expectativas del remitente.

Correo no solicitado (SPAM)

Participar en el reenvío de correo no solicitado (cadenas de mensajes, publicidad, rumores, bulos, etc.) produce un deterioro importante en la calidad y la imagen del correo electrónico como medio de trabajo y de comunicación. Este tipo de mensajes sólo contribuyen a aumentar la cantidad de correo no solicitado entre sus conocidos y a deteriorar su imagen profesional y la de la universidad. Separe el uso profesional del uso personal en sus cuentas de correo electrónico. Recuerde que la cuenta de correo nominal que la universidad le proporciona es una cuenta de carácter profesional y no es equivalente a una cuenta personal ya que está asociada a la institución.

Privacidad

Reenviar mensajes sin el permiso del remitente puede exponer información y direcciones de correo electrónico de contenido confidencial, particular o conflictivo. Los mensajes enviados a múltiples destinatarios revelan las direcciones de correo electrónico de estas personas. Utilice siempre la copia oculta. Sea cauto con los mensajes que envía, revise su contenido y los destinatarios y ajuste los mismos al objeto estricto de la comunicación. Es recomendable utilizar siempre un pie de mensaje que establezca el carácter privado y limitado de la comunicación. A continuación dispone de un ejemplo orientativo.

Este mensaje puede contener información confidencial y/o privilegiada.
Si usted no es el destinatario o lo ha recibido por error debe borrarlo inmediatamente.
Está estrictamente prohibido por la legislación vigente realizar cualquier copia, revelación o distribución del contenido de este mensaje sin autorización expresa.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient or have received this e-mail in error you must destroy it.
Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden by current legislation.
Vicerrectorado de Tecnologías de la Información y Desarrollo Digital
[1] Netiqueta (https://es.wikipedia.org/wiki/Netiqueta).
[2] Política Institucional de Uso de Estándares Abiertos (http://riull.ull.es/xmlui/handle/915/760).
[3] Inclusión de una firma en los mensajes (https://support.google.com/mail/answer/8395?co=GENIE.Platform%3DDesktop&hl=es).

Visita de una delegación del Banco Nacional de Cabo Verde al STIC

 

Una delegación del Banco de Cabo Verde ha visitado hoy, viernes 3 de marzo, las instalaciones del Servicio de Tecnologías de la información y de las Comunicaciones (STIC) de la Universidad de La Laguna, para conocer el trabajo, organización y equipamiento de esta infraestructura institucional.

Los representantes de la entidad financiera, Julio Morales y Carlos Luz, fueron recibidos por el vicerrector de Tecnologías de la Información y Desarrollo Tecnológico, Francisco de Sande y, a continuación, el jefe del Servicio TIC, José Carlos González, y el jefe del área de Infraestructuras TIC, Juan Carlos Hernández, ofrecieron una presentación de las labores realizadas por su servicio, que culminó con una visita a las instalaciones.

En esta visita también estuvieron presentes Héctor Reboso y Javier Díaz, de la empresa Binter Sistemas, la cual ha ganado recientemente un concurso público para prestar servicios tecnológicos al Banco de Cabo Verde. La delegación de la entidad financiera estará en Tenerife durante una semana y, guiada por sus nuevos socios tecnológicos, está visitando algunas empresas e instituciones de la isla que son ejemplo de buenas prácticas en el campo de las TIC, entre las que se encuentra la Universidad de La Laguna.

El vicerrector de la ULL presentó brevemente las principales características de esta institución, una universidad pública de tamaño medio y oferta académica generalista, con un amplio catálogo de titulaciones que está superando las acreditaciones oficiales pertinentes y que, además, en 2017 celebra su 225 aniversario. De Sande manifestó la disposición de la universidad a colaborar con el Banco de Cabo Verde en materias como la realización de prácticas profesionales o la asesoría y colaboración en materia tecnológica.

Por su parte, los dos responsables del STIC explicaron pormenorizadamente la estructura organizativa del servicio, dividido en tres grandes áreas: Sistemas, Servicios TIC y Soporte al Usuario. Los técnicos resaltaron el hecho de que el servicio basa gran parte de sus infraestructuras en el software libre y, de hecho, recordaron que en 2016 esta apuesta institucional supuso que la ULL fuera la tercera en la clasificación de universidades españolas que apoyan este tipo de programas abiertos, de entre un total de 76 instituciones.

También explicaron las características del Centro de Procesamiento de Datos (CPD) de la ULL, el cual visitarían al final del encuentro, ya que forma parte de las infraestructuras que el banco caboverdiano desea optimizar. Los técnicos del STIC explicaron sus avanzadas características técnicas, que le permiten ofrecer un servicio continuado las 24 horas del día los siete días de la semana.

Otro aspecto destacado en la visita fue la organización del soporte al usuario, que incluye atención telefónica, vía Internet y personal desde una sede central que está complementada por varias oficinas en los diferentes campus y unidades móviles. La idea es que el 80% de las incidencias reportadas puedan sean respondidas por este personal y solamente se tenga que recurrir a la asistencia técnica en casos excepcionales o muy graves.

José Carlos González informó de que el STIC está en estos momentos analizando varias soluciones tecnológicas de mercado para elegir aquella que le permita acometer una gestión más eficiente del servicio, con la idea de ponerla en marcha dentro de dos o tres meses.

También explicó por qué la renovación y mejora del STIC debe ser constante, pues son cada vez más las prestaciones que ofrece y ello complejiza paulatinamente su administración. Y dado que la Universidad de La Laguna es una institución pública, debe, además, adecuarse a los estándares de calidad exigidos por el Esquema Nacional de Seguridad (ENS), dependiente del Ministerio de Hacienda y Función Pública.

Malware e ingeniería social, la evolución del virus informático

El término “virus informático” se acuñó debido a que las amenazas para los sistemas informáticos se presentaron originalmente con mecanismos de infección y acción similares a las de los virus biológicos. Se necesita un vector de infección adecuado y un punto de entrada o debilidad en el sistema (organismo) para poder colonizar al huésped, provocando un efecto no deseado en el funcionamiento del mismo. A lo largo de los años, al igual que los virus humanos evolucionan y mutan para aprovechar nuevas vías de acceso y fallos en el sistema inmunológico, el malware tecnológico evoluciona y se adapta para seguir medrando en los equipos de los usuarios.

Centrándonos en los dos aspectos fundamentales de proliferación del malware, el vector de infección y la puerta de entrada al sistema, podemos identificar fácilmente dos agentes facilitadores en la propagación de las epidemias tecnológicas: el amplio uso de Internet (vector de entrada) y los fallos en las aplicaciones (vulnerabilidades). La mejora en la seguridad global de Internet es una asignatura pendiente en la que se tardará algún tiempo en apreciar una mejora significativa, exceptuando las redes corporativas que aplican políticas de seguridad y preventivas; en general, los usuarios están expuestos a multitud de amenazas que de forma diaria ponen en peligro no sólo los sistemas, sino la información que almacenan. Acceder o recibir información de Internet supone intrínsecamente un riesgo para nuestros datos y sistemas tecnológicos (ordenadores, móviles, tabletas, cámaras IP, frigoríficos, etc.).

Puesto que no se puede evitar el vector de infección (queremos seguir utilizando Internet), veamos cómo se puede reducir el riesgo. Siguiendo con el símil del organismo biológico, podríamos limitar las debilidades y fortalecer el sistema inmunológico. Esto se traduce en el mundo tecnológico en mantener una correcta higiene en los sistemas, realizando configuraciones y actualizaciones periódicas y habilitando las opciones de seguridad recomendadas. Además, podemos hacer uso de aplicaciones específicas que comprueban o mejoran la seguridad del entorno, lo que permite automatizar las configuraciones recomendadas y ser conscientes del “estado de salud” de nuestros equipos.

Amenazas de Seguridad

El principal problema con esta aproximación es que la evolución tecnológica hacia el uso masivo de dispositivos móviles en sustitución del ordenador tradicional y el rápido avance del Internet de las Cosas (IoT) y los dispositivos conectados ha trastocado el paradigma clásico de los esquemas de seguridad basados en las actualizaciones preventivas. Millones de dispositivos Android (teléfonos móviles, tabletas, miniordenadores -tv boxes-, etc.) con versiones de sistema operativo de hace tan sólo tres años, o incluso menos si contamos las versiones específicas de fabricantes que no disponen de una política de actualizaciones periódicas, son un peligro para los datos y la ciberseguridad de sus usuarios debido a que no reciben actualizaciones de seguridad para vulnerabilidades críticas. Si a esto se añade que cada vez se descubren más casos de fabricantes que, intencionadamente o no, incorporan malware en sus dispositivos; el panorama de la seguridad de los dispositivos y los datos de los usuarios de cara al futuro es bastante desolador.

Si no se puede eliminar el vector de entrada (Intenet), ni las vulnerabilidades (falta de actualizaciones), qué recursos le quedan al usuario para maximizar la seguridad (en ningún caso se podrá garantizar por lo expuesto anteriormente). Principalmente aplicar el sentido común y el principio de precaución, lo que se traduce en una serie de recomendaciones básicas:

  • Utilizar equipamiento, sistemas operativos y aplicaciones actualizadas y respaldadas por empresas reputadas que se preocupen de la seguridad y dispongan de un periodo de soporte razonable.
  • Mantener una política de actualizaciones periódicas y renovación de sistemas operativos y aplicaciones.
  • No instalar aplicaciones de fuentes desconocidas o poco confiables.
  • Desconfiar sistemáticamente de mensajes de correo electrónico o páginas web que nos soliciten datos personales cuando no podamos verificar el remitente o la veracidad del contenido.
  • Ser extremadamente cauto y desconfiado respecto a los accesos a Internet, la instalación de aplicaciones y el almacenamiento de credenciales de seguridad.
  • Habilitar mecanismos de autorización avanzados cuando sea posible, por ejemplo en los servicios de Google.
  • Preocuparse por la seguridad y privacidad de los datos. Internet probablemente haya supuesto el catalizador de una evolución sin parangón en el acceso a la información y en la forma de relacionarse y trabajar,  “Internet is not evil”. Pero es importante conocer y ser consciente de los riesgos que puede acarrear hacer un uso inapropiado o inadecuado de esta herramienta o de los medios de acceso a la misma; por dejación, inacción, ignorancia o desidia.

Malware

¿Por qué no aparecen los antivirus en los apartados anteriores? El antivirus, aunque el término más adecuado es antimalware ya que normalmente afronta los problemas de seguridad de forma global y no centrado únicamente en los virus, tiene en ocasiones un efecto contraproducente en el usuario de estas soluciones. Crea una sensación de falsa seguridad ya que el mensaje comercial es algo similar a la “protección total”; una barrera mágica infranqueable para las amenazas de Internet. Esta afirmación, asentada en la mente del usuario, es falsa; las medidas de protección y precaución relacionadas anteriormente probablemente protegen más la integridad de un equipo que el mejor de los antivirus. Un buen antimalware puede ser una buena ayuda para sellar las grietas en la seguridad de un sistema y una ayuda a los usuarios menos hábiles técnicamente para mantener una configuración de seguridad adecuada; pero de nada servirá si trabajamos de forma inconsciente y temeraria. ¿Cuál es el mejor antivirus? Evidentemente depende de las circunstancias, pero un buen sitio para empezar a explorar las opciones disponibles son las herramientas gratuitas recomendadas por la Oficina de Seguridad del Internauta.

Llegados a este punto habremos incrementado enormemente la seguridad de nuestra información y equipos, pero aún así hay que ser conscientes de que la seguridad total no existe; siempre habrá resquicios y vulnerabilidades que un atacante avezado puede aprovechar para colarse en nuestros sistemas. Gracias a la ingeniería social se puede manipular a las personas para que voluntariamente ofrezcan información confidencial o instalen aplicaciones fraudulentas o malintencionadas que escapen a las capas de seguridad con las que revestimos nuestros ordenadores. A fin de cuentas un usuario puede saltarse todas las advertencias de seguridad si cree que es lo que debe hacer para un fin concreto. Otra amenaza imparable son los cada vez más habituales ataques de día 0 (0-day attack), en los que se aprovecha una vulnerabilidad recientemente descubierta y aún no subsanada para infiltrarse en un sistema. Estos ataques son difíciles de prevenir porque se trata de identificar y evitar el uso de un vector desconocido por lo que en muchas ocasiones tienen bastante éxito como mecanismo de infiltración en sistemas.

Malware Cloud

Podemos afirmar que el mejor consejo en relación a la seguridad que podemos ofrecerle a una persona no es instalar una u otra aplicación para proteger totalmente sus equipos; hay que realizar configuraciones y actualizaciones periódicas, habilitar las opciones de seguridad recomendadas, aplicar el sentido común y el principio de precaución, y ser plenamente consciente de que la seguridad y privacidad de los datos empieza por nuestras propias decisiones y acciones.

Recursos de seguridad:

Oficina de seguridad del internauta (OSI)
Instituto Nacional de Ciberseguridad (INCIBE)
CERT de Seguridad e Industria (CERTSI)
El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC)
Comprobación de la presencia de cuentas de correo en bases de datos de Hackers

Para apreciar la dimensión del problema de seguridad que afecta a millones de dispositivos sin que sus usuarios o gestores en muchos casos sean conscientes de ello, se puede consultar en esta página web (Shodan) dispositivos que están accesibles de forma directa desde Internet, lo que significa que ofrecen un vector de acceso para explotar vulnerabilidades o debilidades de seguridad. En este directorio no sólo encontramos cámaras IP u otra electrónica de consumo, sino incluso sistemas de control industrial con el acceso por defecto habilitado.

Shodan

El Servicio TIC implementa y gestiona en la ULL varios mecanismos y políticas de seguridad de carácter global para ayudar a proteger los activos TIC de la universidad, tanto generales como individuales.

  • El sistema de filtrado (cortafuegos/firewal) y monitorización del tráfico desde/hacia Internet.
  • Los mecanismos multicapa de seguridad de los sistemas de gestión universitaria y servicios TIC.
  • Las políticas preventivas de monitorización de recursos de almacenamiento, procesamiento y almacenamiento.
  • La detección de patrones sospechosos en el tráfico de red.
  • Las políticas de copia de seguridad y retención de datos.
  • Las infraestructuras del Centro de Proceso de Datos orientadas hacia la protección física y la continuidad de servicio.
  • La implementación de redes privadas virtuales para la verificación y protección del acceso a sistemas sensibles y/o críticos.
  • Las políticas de configuración, uso y acceso de los ordenadores que se utilizan para la gestión universitaria.
  • Los mecanismos de filtrado de contenidos sospechosos o maliciosos en servicios como el correo electrónico.

En general la seguridad es una prioridad para la implementación de servicios TIC en la ULL, lo que puede resultar en ocasiones molesto para los usuarios de los mismos, por lo que siempre pedimos comprensión e intentamos explicar adecuadamente el difícil compromiso que debe existir entre la flexibilidad-facilidad de uso y la seguridad.

La seguridad de una organización no puede garantizarse al 100%, incluso aproximarse a esta medida comprometería seriamente el funcionamiento de la misma ya que requeriría importantes inversiones y políticas altamente restrictivas. La seguridad siempre va a depender del eslabón más débil, ya sean los sistemas, las aplicaciones, los servicios o el usuario final. Es importante que el usuario sea consciente de esta responsabilidad compartida, ya que podría comprometer los servicios TIC o los datos de una organización; por medio de ingeniería social, por desconocimiento, inadvertidamente o de forma maliciosa. En este sentido apelamos a su sentido de la responsabilidad para entre todas/os hacer una ULL más segura.

Weak Link

Si tiene cualquier consulta relacionada con las políticas y mecanismos de seguridad TIC de la ULL o con la configuración de seguridad de su equipo informático puede trasladarla al STIC a través del Portal de Soporte.