01. Propósito
En HSO Petroleum Services, la seguridad de nuestra información y la de nuestros clientes es crítica. El sector de hidrocarburos es un objetivo de alto perfil para ciberataques, siendo el phishing (suplantación de identidad) el punto de entrada más común para el fraude financiero y el robo de datos. El propósito de esta política es proteger a la organización y a sus empleados contra estas amenazas estableciendo directrices claras para identificar, prevenir y reportar intentos de phishing.
02. Alcance
Esta política se aplica a todos los empleados, contratistas, proveedores y cualquier persona que utilice los sistemas de información, correo electrónico o acceda a los datos de HSO Petroleum Services, ya sea desde dispositivos de la empresa o personales.
03. ¿Qué es el Phishing y Por Qué es una Amenaza para HSO?
- Revele información confidencial como contraseñas o datos bancarios.
- Haga clic en un enlace malicioso que instale software dañino en su computadora.
- Realice una transferencia de dinero a una cuenta controlada por los estafadores (fraude ACH/Wire).
- Descargue un archivo adjunto infectado que podría paralizar nuestras operaciones.
En nuestra industria, el manejo de altos volúmenes de transacciones con proveedores y pagos por equipos nos convierte en un objetivo atractivo.
04. Identificación de Correos Electrónicos Sospechosos: La Primera Línea de Defensa
Cada empleado es un "cortafuegos humano". Antes de hacer clic en cualquier enlace o archivo adjunto, verifique las siguientes señales de alerta:
Señal de Alerta | Qué Verificar |
Remitente | ¿La dirección de correo coincide exactamente con el dominio real de la empresa (por ejemplo, @proveedor-real.com vs @proveedor-real-xx.com)? Desconfíe de dominios públicos (Gmail, Yahoo) utilizados por supuestas empresas. |
Saludo Genérico | ¿El correo utiliza frases como "Estimado Cliente" o "Estimado Usuario" en lugar de su nombre? |
Urgencia
o Amenazas | ¿Lo presionan con frases como "Su cuenta será cerrada" o "Transferencia urgente requerida"? Esta es una táctica común para impedir el pensamiento claro. |
Enlaces
y Archivos Adjuntos | NUNCA haga clic en un enlace sospechoso. Pase el mouse sobre él (sin hacer clic) para ver la URL real a la que dirige. Desconfíe de URLs acortadas. |
Solicitud de Cambio de Datos Bancarios | Cualquier solicitud para cambiar información de cuenta bancaria para pagos a proveedores debe verificarse a través de un segundo canal (por ejemplo, una llamada telefónica a un contacto conocido). Este es el fraude más común en el sector. |
Ortografía y Gramática | Los correos fraudulentos a menudo contienen errores ortográficos o frases poco naturales. |
05. Directrices de Acción: Qué Hacer y Qué NO Hacer
NO HAGA clic en enlaces ni abras archivos adjuntos de correos electrónicos sospechosos.
NO responda al correo electrónico o proporcione información personal o confidencial.
NO realice transferencias bancarias basándose únicamente en instrucciones recibidas por correo electrónico. Siempre verifique por teléfono utilizando un número que conozca, no el que aparece en el correo sospechoso.
HAGA lo siguiente:
Reporte el incidente inmediatamente al departamento de TI o a su supervisor.
Reenvíe el correo sospechoso como archivo adjunto a [correo de contacto de TI, por ejemplo, support@huronsmithoil.com] .
Si tiene dudas sobre la legitimidad de una comunicación, contacte directamente a la entidad supuesta (banco, proveedor, cliente) a través de canales oficiales y de confianza.
06. Simulaciones de Phishing y Capacitación
- Los empleados que "caigan" en una simulación recibirán capacitación específica y personalizada sobre cómo identificar mejor las amenazas.
- Los resultados agregados ayudarán a la empresa a enfocar sus esfuerzos de concientización.
07. Consecuencias del Incumplimiento de esta Política
El incumplimiento negligente o intencional de esta política, que resulte o pueda resultar en un incidente de seguridad, puede tener consecuencias que van desde capacitación obligatoria hasta acciones disciplinarias, potencialmente llevando a la terminación por causa en casos de negligencia grave o mala fe. Las violaciones de seguridad también pueden generar responsabilidades legales y financieras para la empresa y el individuo.
08. Reporte de Incidentes
Si es víctima de un ataque de phishing o sospecha que la información de la empresa o de un cliente ha sido comprometida, debe reportarlo INMEDIATAMENTE siguiendo el protocolo de respuesta a incidentes. La velocidad en la detección es clave para minimizar el daño.