Propuesta de plataforma de seguridad de correo electrónico y concientización para el área de ventas de contrupro, empresa del rubro inmobiliario

Abstract

El presente proyecto de título tiene como propósito diseñar e implementar una propuesta integral de seguridad de correo electrónico para el área de ventas de la empresa ficticia Contrupro, inspirada en una empresa real del rubro de la construcción modular e inmobiliario. Este sector, por la naturaleza de sus operaciones, gestiona información de alto valor como contratos, planos de edificación y datos personales de clientes, lo que lo convierte en un objetivo atractivo para la ciberdelincuencia. La iniciativa surge de la necesidad de mitigar amenazas frecuentes en el correo electrónico, tales como el phishing, la suplantación de identidad y el malware, cuya explotación puede traducirse en pérdidas económicas significativas, daños reputacionales y una afectación directa a la confianza del mercado. La propuesta no se limita únicamente a fortalecer los aspectos técnicos de la seguridad, sino que también integra un componente de concientización que busca reducir la exposición al factor humano, identificado como una de las principales causas de brechas de seguridad en las organizaciones. De este modo, el proyecto persigue un doble objetivo: por una parte, blindar el flujo de correos mediante herramientas avanzadas de filtrado y autenticación; y por otra, generar una cultura organizacional de seguridad que prepare a los colaboradores para identificar, reportar y reaccionar de manera adecuada frente a amenazas reales. De esta forma, se pretende alcanzar un modelo de defensa integral que combine tecnología y educación para enfrentar los riesgos actuales y futuros. Para materializar este propósito, el proyecto comenzó con un análisis exhaustivo de la situación actual de ContruPro, evaluando la criticidad de los procesos de negocio y su dependencia del correo electrónico. A través de metodologías como el diagrama de Ishikawa, el análisis de criticidad y la aplicación del marco NIST Cybersecurity Framework, se identificaron las causas raíz de la problemática y los riesgos de mayor impacto. Esta fase permitió establecer un diagnóstico claro, donde se evidenció la inexistencia de políticas formales de seguridad, la falta de herramientas especializadas y una escasa cultura de concientización entre los trabajadores. Posteriormente, se diseñó una propuesta de mejora basada en el Ciclo de Deming (Planificar, Hacer, Verificar, Actuar), que permitió estructurar un plan iterativo y sostenible de implementación. En la fase de planificación se definieron los requisitos técnicos y humanos, se seleccionó Proofpoint como solución tecnológica SaaS para protección del correo y se modeló un programa de concientización con campañas de phishing simulado y módulos de capacitación. En la etapa de ejecución se configuró la arquitectura técnica de integración, se establecieron políticas de seguridad específicas y se desarrollaron los materiales de formación. Durante la fase de verificación se validaron los resultados a través de indicadores clave de rendimiento (KPIs), midiendo reducción de incidentes, mejoras en la participación de los usuarios y estabilidad operativa. Finalmente, en la fase de acción se propusieron nuevas líneas de mejora, como la integración de mecanismos de prevención de fuga de datos (DLP) y la formalización de procesos de reporte de incidentes. El proyecto concluyó con un análisis económico que permitió dimensionar la inversión requerida y evaluar los beneficios, tanto financieros como no económicos. Aunque en el corto plazo los costos superan los beneficios directos, se demostró que la propuesta actúa como una póliza estratégica frente a pérdidas potenciales mucho mayores, además de aportar beneficios intangibles como la mejora de la reputación, la confianza de clientes y socios, y la continuidad operativa del negocio. En definitiva, el trabajo desarrollado entrega una solución robusta, justificada y alineada con las necesidades reales de la empresa, demostrando el rol esencial del Ingeniero en Ciberseguridad en la creación de estrategias que combinan la tecnología y el factor humano para enfrentar los desafíos de seguridad del entorno digital actual.

This degree project aims to design and implement a comprehensive email security proposal for the sales department of ContruPro, a company operating in the real estate sector. Due to the nature of its operations, this industry handles highly sensitive information such as contracts, architectural plans, and customers’ personal data, making it an attractive target for cybercriminals. The initiative emerges from the need to mitigate the most frequent threats to this communication channel, such as phishing, identity theft, and malware, which, if successfully exploited, could result in significant financial losses, severe reputational damage, and a critical breakdown in client trust. The proposal goes beyond strengthening only the technical aspects of security and incorporates a user awareness component aimed at addressing the human factor, one of the leading causes of data breaches in organizations. Thus, the project pursues a dual objective: on the one hand, reinforcing the email flow through advanced filtering and authentication tools; and on the other, fostering an organizational security culture that enables employees to identify, report, and react appropriately to real threats. In doing so, the project seeks to establish an integrated defense model that combines technology with education, ensuring long-term resilience against both current and emerging cyber risks. To achieve this goal, the project began with a thorough analysis of ContruPro current situation, assessing the criticality of its business processes and their dependence on email communications. Using methodologies such as Ishikawa root cause diagrams, criticality analysis, and the NIST Cybersecurity Framework, the main weaknesses and risks were identified. This diagnostic stage revealed a lack of formalized security policies, insufficient technical tools, and a limited cybersecurity culture among employees. Based on these findings, a comprehensive improvement proposal was developed following the Deming Cycle (Plan, Do, Check, Act). During the planning phase, technical and organizational requirements were defined, Proofpoint was selected as the SaaS security platform, and a security awareness program was designed with phishing simulation campaigns and training modules. The execution stage included technical integration of the platform, configuration of specific security policies, and development of educational materials. The verification phase validated the outcomes through Key Performance Indicators (KPIs), measuring the reduction of phishing incidents, improved user participation in awareness campaigns, and system stability. Finally, the action stage proposed continuous improvements, such as the introduction of Data Loss Prevention (DLP) measures and the formalization of an incident reporting process to enhance resilience. The project concluded with an economic analysis to estimate the required investment and to evaluate both tangible and intangible benefits. Although the cost-benefit ratio in the short term was negative, the solution is justified as a strategic investment that prevents high-impact risks and secures the company’s continuity. Moreover, it delivers non-financial benefits such as enhanced reputation, improved customer trust, and the establishment of a strong cybersecurity culture. In conclusion, the project provides a robust and well justified solution aligned with the organization’s needs, while highlighting the essential role of cybersecurity engineers in designing strategies that integrate technology and human awareness to meet the challenges of today’s digital environment.