Cómo Proteger la Información Personal: Una Guía para Negocios [In English]

La mayoría de las compañías mantiene un registro que contiene información personal delicada — nombres, números de Seguro Social, datos de tarjeta de crédito o de otros datos que es utilizada para identificar a sus clientes o empleados.

Frecuentemente, es necesario contar con esta información para completar órdenes de compra, liquidar salarios o desempeñar otras funciones propias de la operación del negocio. Pero si los datos delicados caen en las manos equivocadas puede resultar en fraude, robo de identidad o algún otro tipo de perjuicio similar. Por lo tanto, debido al costo que acarrea una violación del sistema de datos — la pérdida de confianza de sus clientes y quizás hasta tener que asumir los costos de su defensa en una demanda judicial — proteger la información personal registrada por su compañía es simplemente una cuestión de buen sentido comercial.

Algunos negocios pueden contar con personal capacitado para implementar un plan adecuado. Otros tal vez puedan recurrir a un contratista especializado. Independientemente del volumen — o naturaleza — de su negocio, los principios detallados en el presente folleto le serán de gran ayuda para mantener la seguridad de los datos.

Un plan de seguridad de datos personales sólido se basa en 5 principios clave:

  1. Conozca su inventario.Sepa cuál es la información personal que usted posee en sus archivos y computadoras.
  2. Reduzca sus archivos. Mantenga únicamente la información que necesita para manejar su negocio.
  3. Cierre con llave.Proteja la información que mantiene.
  4. Elimine lo innecesario.Deseche correctamente la información que ya no necesita.
  5. Planifique con anticipación. Elabore un plan para responder a las violaciones de seguridad.

Use las listas de verificación que se presentan en las siguientes páginas para ver si las prácticas de su compañía son las adecuadas — y para identificar dónde deben implementarse cambios. También puede ver un tutorial interactivo en inglés en business.ftc.gov/privacy-and-security.

1. CONOZCA SU INVENTARIO. Sepa cuál es la información personal que tiene almacenada en sus registros y computadoras.

Proteger la información comienza por evaluar el tipo de información que usted mantiene e identificar quién tiene acceso a la misma. El punto esencial a considerar en la evaluación de las vulnerabilidades de seguridad es entender bien cómo la información ingresa, se procesa y sale de su negocio  y quiénes tienen o podrían tener acceso a los datos. Solamente después de identificar ese proceso podrá determinar los mejores mecanismos para proteger la información.

CONTROL DE SEGURIDAD

Pregunta:
¿Existe alguna ley que disponga que mi compañía debe mantener protegida la información confidencial?

Respuesta:
Sí. Cuando haga el inventario de los datos que guarda en sus archivos también haga un recuento de las leyes aplicables. Algunos estatutos, tales como las leyes llamadas Gramm-Leach-Bliley, Fair Credit Reporting y la Ley de la Comisión Federal de Comercio (Federal Trade Comission Act) pueden disponer que usted tiene que proveer un nivel razonable de seguridad para proteger la información confidencial.

Para aprender más, visite business.ftc.gov/espanol.

  • Para detectar dónde su compañía almacena los datos delicados, haga un inventario de todas las computadoras de escritorio (desktop) y portátiles (laptop), aparatos móviles, dispositivos de memoria flash, discos, computadoras en el hogar, copiadoras digitales y demás equipos. También haga un inventario de la información almacenada clasificándola por tipo y locación. Para realizar el inventario puede comenzar por sus archivos y sistemas de computación. Pero recuerde que su negocio recibe información personal de varias maneras — a través de sitios Web, contratistas, centros de llamadas y fuentes similares. ¿Qué sucede con la información almacenada en computadoras portátiles, en las computadoras hogareñas de sus empleados, dispositivos de memoria flash, copiadoras digitales y aparatos móviles? No se puede dar por terminado el inventario hasta tanto haya verificado cada uno de los lugares donde se pudiera haber almacenado información delicada.
  • Localice la información personal registrada en su negocio hablando con el personal de ventas, tecnología, recursos humanos, contabilidad y con los proveedores de servicios externos. De esta manera podrá obtener un panorama completo de los siguientes temas:
    • Quién envía información personal delicada a su negocio. ¿La recibe de parte de sus clientes? ¿De compañías de tarjeta de crédito? ¿De bancos u otras instituciones financieras? ¿De compañías de informes de crédito? ¿De solicitantes de empleo? ¿De otros negocios?
    • Cómo recibe su negocio la información personal. ¿Llega a su negocio a través de un sitio Web? ¿Por e-mail? ¿Por correo postal? ¿Es transmitida a través de las cajas registradoras de sus tiendas?
    • Qué tipo de información recolecta en cada uno de los puntos de entrada. ¿La información de las tarjetas de crédito se obtiene en línea? ¿La oficina de contabilidad y administración mantiene un registro de las cuentas bancarias de sus clientes?
    • Dónde mantiene archivada la información que recolecta en cada punto de entrada. ¿En una base de datos computarizada central? ¿En computadoras portátiles individuales? ¿En teléfonos inteligentes, computadoras portátiles tipo tablet o en otros aparatos móviles de sus empleados? ¿En discos o cintas? ¿En ficheros? ¿En las sucursales de su negocio? ¿Sus empleados tienen archivos en sus casas?
    • Quién tiene — o podría tener — acceso a la información. ¿Quiénes son los empleados autorizados para acceder a la información? ¿Es necesario que tengan acceso a la información? ¿Alguna otra persona podría obtener autorización para acceder a la información? ¿Qué sucede con los proveedores que le suministran y actualizan los programas software que se utilizan para procesar las transacciones de tarjeta de crédito? ¿Los contratistas que operan su centro de atención de llamadas?
  • Cada tipo de información presenta diferentes tipos de riesgos. Preste particular atención a registros de información de identificación personal: números de Seguro Social, información de tarjetas de crédito y financiera en general y otros datos confidenciales. Estos son los datos más comúnmente utilizados por los ladrones para cometer fraude o incurrir en robo de identidad.

2. REDUZCA SUS ARCHIVOS Mantenga solamente la información que necesita para manejar su negocio.

Si no tiene una necesidad legítima para mantener información delicada no la guarde. De hecho, lo mejor es no recolectarla. Si necesita legítimamente la información para operar su negocio manténgala archivada solamente el tiempo que la necesite.

  • Utilice los números de Seguro Social solamente para fines legales y obligatorios — como por ejemplo para reportar los impuestos de sus empleados. No use innecesariamente los números de Seguro Social — por ejemplo para identificar a los empleados o clientes o sencillamente porque siempre los utilizó para ese fin.
  • La ley establece que usted debe abreviar — o truncar — la información de los datos de las tarjetas de crédito o débito de los recibos que les entrega a los clientes. Usted solamente puede imprimir en los recibos los últimos cinco dígitos del número de la tarjeta y debe eliminar la fecha de expiración.
  • No conserve la información de las tarjetas de crédito de los clientes a menos que sea realmente necesario. Por ejemplo, no retenga el número de cuenta y fecha de expiración a menos que tenga una necesidad comercial. Al mantener estos datos en sus registros — o al conservarlos por más tiempo que lo necesario — está aumentando el riesgo de que la información pueda ser utilizada para cometer fraude o robo de identidad.
  • Revise las configuraciones del programa software que lee los números de las tarjetas de crédito de sus clientes y que procesa las transacciones. Algunas veces este está configurado por el fabricante para que la información se guarde permanentemente. Para estar seguro de que no está guardando información innecesaria inadvertidamente, cambie la configuración.
  • Si debe mantener archivada la información por razones comerciales o legales, desarrolle normas escritas de retención de registros para identificar el tipo de información que debe conservarse, cómo resguardarla, el período de tiempo durante el que debe conservarse y como desecharla de manera segura cuando ya no la necesite.

CONTROL DE SEGURIDADPregunta:
En mi negocio queremos tener la información correcta de nuestros clientes y para eso, creamos un archivo permanente en el que registramos todos los aspectos de sus transacciones, incluso la información contenida en las bandas magnéticas de las tarjetas de crédito. ¿Esto podría ser riesgoso para la seguridad de la información?

Respuesta:
Sí. Mantenga archivados los datos delicados en su sistema solamente mientras tenga una necesidad comercial legítima para guardar ésta información. Cuando ya no la necesite deséchela correctamente. Si no está archivada en su sistema, no podrá ser robada por hackers o intrusos.3. CIERRE CON LLAVE. Proteja la información que mantiene.

¿Cuál es la mejor manera de proteger la delicada información personal identificable que necesita retener? Esto depende del tipo de información y la manera en que se almacene. Los planes de seguridad de datos más efectivos se basan en cuatro elementos clave: seguridad física, seguridad electrónica, capacitación del personal y prácticas de seguridad de los contratistas y proveedores de servicios.

SEGURIDAD FÍSICA

Muchos de los incidentes que comprometen la información suceden a la vieja usanza — a través del robo o pérdida de documentos en papel. Frecuentemente, la mejor defensa contra este problema es mantener la puerta cerrada con llave o un empleado alerto.

  • Guarde los documentos, archivos, CD, disquetes, unidades zip, cintas y copias de seguridad que contengan información personal en un cuarto cerrado con llave o en un archivo con llave. Limite el acceso a estos archivos solamente a aquellos empleados que realmente necesiten consultarlos por una razón relacionada a la operación del negocio. Lleve un control de la cantidad de llaves que existen y de las personas que tienen acceso a ellas.
  • Exija que todas las carpetas con información personal identificable sean mantenidas en archiveros con llave, excepto cuando un empleado está trabajando con la carpeta. Recuérdeles a los empleados que no deben dejar documentos con información delicada sobre sus escritorios cuando no están en sus puestos de trabajo.
  • Exija a sus empleados que al finalizar la jornada de trabajo guarden las carpetas en los archiveros, se desconecten de la red (log off) y que cierren con llave las puertas de la oficina y de los archiveros.
  • Implemente controles de acceso adecuados al tipo de instalación de su negocio. Informe a sus empleados qué es lo que deben hacer si ven a un desconocido dentro de su negocio.
  • Si almacena información en un lugar fuera de su negocio, limite el acceso de los empleados permitiendo el ingreso solamente a aquellos que realmente necesiten acceder a la información por razones comerciales. Lleve un control de las personas que acceden al archivo y las ocasiones en que lo hacen.
  • Si envía información delicada a través de contratistas o transportistas externos, encripte o cifre la información y mantenga un inventario de la información enviada. Además, use un servicio de entrega urgente ya que esto le permitirá hacer un seguimiento de la entrega de la información.
  • Si en su negocio se usan aparatos que recolectan información delicada, como un dispositivo para ingresar números de identificación personal o PIN pads, tome las medidas de seguridad necesarias para que los ladrones de identidad no puedan forzarlos o manipularlos indebidamente. También incluya estos dispositivos en su inventario para asegurarse de que no se los cambien por otros. 

SEGURIDAD ELECTRÓNICA

La seguridad de su sistema de computación no es solamente el área de su personal de tecnología. Ocúpese de este tema para comprender las vulnerabilidades de su sistema de computación y siga los consejos de los especialistas en la materia.

Seguridad General de la Red

  • Identifique las computadoras o servidores en donde se almacena la información personal delicada.
  • Identifique todas las conexiones a las computadoras en las que se almacena información delicada. Estas pueden incluir Internet, cajas registradoras electrónicas, computadoras instaladas en sus sucursales, computadoras utilizadas por proveedores de servicios que proveen apoyo a su red, las conexiones de las copiadoras digitales y aparatos inalámbricos como teléfonos inteligentes, computadoras portátiles tipo tablet o escáneres para inventario.
  • Evalúe la vulnerabilidad de cada una de las conexiones a los ataques más conocidos o previsibles. Dependiendo de las circunstancias individuales de su negocio, las evaluaciones adecuadas para cada caso pueden variar desde contar con un empleado con conocimientos informáticos que active un programa software de seguridad comercial hasta la contratación de un profesional independiente que realice una auditoría de seguridad a gran escala.
  • No almacene datos delicados de los consumidores en ninguna computadora conectada a Internet a menos que sea indispensable para operar su negocio.
  • Encripte o cifre la información delicada que le envía a terceros a través de redes de uso público (por ejemplo, Internet), y también considere encriptar la información delicada que se almacena en su red de computadoras o en discos u otros dispositivos portátiles de almacenamiento de datos utilizados por sus empleados. Asimismo, considere encriptar mensajes de correo electrónico si contienen información personal identificable.
  • Active con regularidad programas antivirus y anti-spyware actualizados en todas las computadoras individuales y servidores de su red.
  • Visite con regularidad los sitios Web especializados (por ejemplo www.sans.org) y el de su proveedor de programas software para consultar las alertas sobre nuevas vulnerabilidades e implemente normas para instalar los parches de seguridad aprobados por su proveedor para corregir los problemas.
  • Considere implementar una norma para impedir que sus empleados descarguen programas software no autorizados. Los programas software que se descargan a los aparatos que están conectados a su red (computadoras, teléfonos inteligentes y computadoras portátiles tipo tablet) pueden usarse para distribuir malware.
  • Examine las computadoras de su red para identificar y configurar el sistema operativo y los servicios de red abiertos. Si encuentra servicios innecesarios, desactívelos para prevenir ataques de hackers u otros potenciales problemas de seguridad. Por ejemplo, si no es necesario que una computadora determinada esté conectada al servicio de e-mail o a Internet, considere cerrar los servicios en esa computadora para evitar el acceso no autorizado de esa terminal.
  • Cuando reciba o transmita información de tarjetas de crédito u otros datos financieros delicados, use el estándar de seguridad llamado Secure Sockets Layers (SSL) o alguna otra conexión segura que proteja la información transmitida.
  • Preste atención especial a la seguridad de sus aplicaciones Web — el software utilizado para darle información a los visitantes de su sitio Web y para captar la información de los visitantes. Las aplicaciones Web pueden ser particularmente vulnerables a una variedad de ataques de hackers. En una de las variaciones de este tipo de ataques llamado “injection attack”, un hacker inserta comandos maliciosos en su sistema por medio de lo que aparenta ser una solicitud de información legítima. Una vez que tengan acceso a su sistema, los hackers transfieren información delicada desde su red a sus propias computadoras. Existen defensas relativamente simples contra estos ataques y están disponibles en una variedad de fuentes.

CONTROL DE SEGURIDADPregunta:
En mi negocio encriptamos los datos financieros que nuestros clientes ingresan en nuestro sitio Web. Pero después de recibirlos los desciframos y los enviamos por e-mail en formato de texto a través de Internet hacia nuestras sucursales. ¿Hay alguna práctica que ofrezca mayor seguridad?

Respuesta:
Sí. El correo electrónico común no es un método seguro para enviar datos delicados. Lo mejor es encriptar o cifrar todas las transmisiones que contengan información que pueda ser utilizada por defraudadores o ladrones de identidad.

Manejo de Contraseñas

  • Controle el acceso a la información delicada exigiendo que sus empleados utilicen contraseñas “sólidas”. Los expertos en seguridad tecnológica dicen que cuanto más extensa sea la contraseña, mayor será la seguridad de la misma. Debido a que las contraseñas simples — como por ejemplo las palabras que figuran en los diccionarios — pueden ser descubiertas fácilmente, insista que sus empleados elijan contraseñas que contengan una combinación de letras, números y signos. Exija que el nombre de usuario y la contraseña de los empleados sean diferentes y que se cambien frecuentemente.
  • Explíqueles a sus empleados por qué compartir las contraseñas o colocarlas cerca del escritorio de trabajo viola las normas de seguridad de la compañía.
  • Utilice protectores de pantalla activados por contraseña para bloquear las computadoras de los empleados luego de un período de inactividad.
  • Bloquee a los usuarios que no ingresen la contraseña correcta dentro de un determinado número de intentos de conectarse al sistema.
  • Advierta a los empleados sobre posibles llamadas telefónicas provenientes de ladrones de identidad que tienen intención de engañarlos para que les den sus contraseñas haciéndose pasar por miembros del personal de tecnología de su compañía. Infórmeles a sus empleados que las llamadas de este tipo son siempre fraudulentas y que nadie debería revelar sus contraseñas.
  • Cuando instale un programa software nuevo, cambie inmediatamente las contraseñas predeterminadas por el proveedor del programa por otra contraseña más segura e inviolable.
  • Adviértales a sus empleados que no transmitan datos de identificación personal delicada — números de Seguro Social, contraseñas, información de cuentas — vía e-mail. El correo electrónico sin encriptación no es un medio seguro para transmitir ningún tipo de información.

CONTROL DE SEGURIDADPregunta:
El personal de contabilidad de nuestro negocio necesita acceder a la información financiera de nuestros clientes que está archivada en nuestra base de datos. Para que sea más fácil de recordar la contraseña usamos el nombre de la compañía. ¿Esto podría crear un problema de seguridad?

Respuesta:
Sí. Hackers primero intentarán palabras como “password”, el nombre de su compañía, la contraseña predeterminada del programa software y otras opciones fáciles de adivinar. También usan programas que exploran palabras y fechas que se usan comúnmente. Para hacerle más difícil que entren en su sistema, seleccione contraseñas sólidas — cuanto más extensas mejor — utilizando una combinación de letras, símbolos y números y cambiándolas frecuentemente.

Seguridad de las Computadoras Portátiles

  • Restrinja el uso de computadoras portátiles solamente a aquellos empleados que las necesiten para realizar sus tareas.
  • Evalúe si es realmente necesario almacenar la información delicada en una computadora portátil. Si no fuera necesario, elimínela con un programa de borrado (wiping) que sobrescriba los datos guardados en la computadora portátil. No es suficiente con eliminar los archivos utilizando los comandos del teclado porque los datos podrían permanecer archivados en el disco duro de la computadora portátil. Estos programas de borrado se consiguen en la mayoría de los comercios especializados en artículos de oficina.
  • Exija a sus empleados que guarden las computadoras portátiles en un lugar seguro. Aún cuando las computadoras portátiles estén en uso considere un cable y candado para asegurarlas al escritorio de los empleados.
  • Considere autorizar a los usuarios de computadoras portátiles que accedan a la información delicada, pero no les permita almacenarla en sus computadoras portátiles. Bajo este esquema, la información se almacena en una computadora central protegida y las computadoras portátiles funcionan como terminales que muestran la información desde la computadora central pero que no la almacenan. También podría aumentar el nivel de protección de la información requiriendo que para acceder a la computadora central se utilice algún dispositivo de identificación como una ficha, smart card, huella digital u otra medida biométrica de seguridad — además del ingreso de una contraseña.
  • Cuando se almacena información delicada en una computadora portátil se deben encriptar los datos o se debe configurar de manera tal que los usuarios no puedan descargar ningún programa software ni cambiar las configuraciones de seguridad sin la aprobación de su especialista en tecnología informática. Considere agregar una función de “auto-destrucción” para que los datos robados de una computadora se destruyan cuando el ladrón los use para intentar acceder a Internet.
  • Capacite a sus empleados para que esten atentos a la seguridad de la información cuando se encuentran fuera de su negocio. Nunca deben dejar una computadora portátil en un lugar visible dentro de un automóvil, en el depósito de equipaje de un hotel, o dentro del equipaje de viaje a menos que así se lo indique el personal de seguridad del aeropuerto. Si alguien tuviera la necesidad de dejar una computadora portátil en el auto, debe guardarla en el baúl del vehículo. Todo aquel que pase por seguridad en un aeropuerto debe mantener la mirada atenta a la computadora portátil mientras pasa por la cinta.

Programas Firewalls

  • Para proteger su computadora de ataques de hackers mientras está conectada a Internet use un programa firewall. Un firewall es un programa software o hardware diseñado para bloquear el acceso de los hackers a su computadora. Un programa firewall correctamente configurado obstaculiza los intentos de los hackers para localizar su computadora e introducirse en sus programas y archivos.
  • Determine si es necesario instalar un firewall tipo border firewall en el lugar donde su computadora se conecta con Internet. Un border firewall separa su red del Internet y puede prevenir que un atacante logre acceder a una computadora conectada a la red en la que almacena información delicada. Establezca la función de “control de accesos” (access controls) — para determinar cuáles son los usuarios autorizados a acceder a través del firewall y qué tipo de información están autorizados a consultar — de esta manera usted puede autorizar el acceso a la red solamente a los empleados de confianza que tengan una razón legítima para hacerlo. Revise periódicamente los controles de acceso ya que la protección que brinda un firewall solamente es efectiva si los controles de acceso estan correctamente configurados.
  • Si almacena información delicada solamente en algunas de las computadoras de su compañía, considere utilizar programas firewalls adicionales para proteger éstas computadoras.

Acceso Inalámbrico y Remoto

  • Determine si en su negocio existen dispositivos inalámbricos como por ejemplo teléfonos inteligentes, computadoras portátiles tipo tablet o escáneres para inventario que podrían conectarse a su red de computadoras o ser utilizados para transmitir información delicada.
  • Si así fuera, considere limitar la cantidad de empleados que tienen permitido usar una conexión inalámbrica para acceder a su red de computadoras. Usted puede obstaculizarle el acceso a la red a un intruso limitando la cantidad de dispositivos o aparatos inalámbricos conectados a su red.
  • Aún mejor, considere encriptar los contenidos para impedir que un intruso pueda leerlos. Al encriptar transmisiones desde dispositivos inalámbricos hacia su red de computadoras puede prevenir que un intruso logre acceder a través de un proceso llamado “spoofing” — simulando ser una de sus computadoras para lograr acceder a su red.
  • Si permite acceso remoto a su red (network) a sus empleados o proveedores de servicios como los que prestan asistencia técnica y actualización de programas para procesar compras con tarjeta de crédito, debe considerar encriptar sus archivos.

Copiadoras Digitales

En su plan de seguridad de la información debe incluir las copiadoras digitales que se utilizan en su compañía. El disco duro de una copiadora digital almacena datos sobre los documentos que copia, imprime, escanea, envía por fax y por email. Si usted no toma las medidas de seguridad necesarias para proteger los datos, se los pueden robar del disco duro, ya sea por acceso remoto o extrayendo los datos del disco duro cuando se lo retire del aparato.

Algunas recomendaciones para proteger los datos delicados almacenados en los discos duros de las copiadoras digitales:

  • Cuando esté por comprar una copiadora digital, haga participar al personal de la sección de tecnología de la información. Los empleados que se ocupan de la seguridad de sus computadoras también deben asumir la responsabilidad de proteger los datos almacenados en las copiadoras digitales.
  • Cuando compre o alquile una copiadora, considere las funciones de seguridad que le ofrece cada aparato, ya sea las que vienen incorporadas regularmente de fábrica como los accesorios para instalar como complemento. Por lo general, son funciones para encriptar o sobrescribir datos.  La encriptación codifica los datos en el disco duro para que solamente se puedan leer usando un software particular. La función para sobrescribir datos – también conocida como función de borrado o eliminación definitiva de archivos – reemplaza los datos existentes con caracteres aleatorios, dificultando las probabilidades de que otro usuario logre reconstruir un archivo.
  • Cuando haya elegido una copiadora para su compañía, aproveche todas las funciones de seguridad que le ofrezca. Puede establecer la cantidad de veces que quiere que se sobrescriban los datos – en general, cuanto más veces se sobrescriban los datos más difícil será recuperarlos.  Además, dé instrucciones precisas para que el personal de su oficina se acostumbre a sobrescribir el disco duro de las copiadoras por lo menos una vez por mes.
  • Cuando devuelva una copiadora alquilada o cuando deseche una de su propiedad, averigüe si se puede retirar el disco duro y destruirlo, o si se pueden sobrescribir los datos almacenados en el disco duro. Para evitar roturas en la máquina, pídale a un técnico capacitado que retire el disco duro.

Para consultar más información sobre este tema, lea Seguridad de copiadoras de datos: Una guía para negocios.

Cómo Detectar las Violaciones del Sistema de Datos

  • Para detectar una violación de la red del sistema de datos considere utilizar un sistema de detección de intrusión. Para que este sistema resulte efectivo contra los nuevos tipos de ataques de los hackers se debe actualizar regularmente.
  • Mantenga un registro central de la información relacionada a la seguridad para poder monitorear la actividad de su red y detectar y responder a los ataques. Si se produce un ataque a su red, el registro le brindará la información necesaria para detectar las computadoras comprometidas.
  • Monitoree el tráfico entrante de transmisiones para detectar señales que indiquen que alguien está tratando de acceder indebidamente. Manténgase atento a la actividad de usuarios nuevos, múltiples intentos de conectarse al sistema desde computadoras ajenas o de parte de usuarios desconocidos y un tráfico más alto de lo normal a horas del día inhabituales.
  • Monitoree el tráfico saliente de transmisiones para detectar señales de una violación del sistema de datos. Esté atento a la transmisión de una gran cantidad de datos que imprevistamente empiezan a ser transmitidos desde su sistema hacia un usuario desconocido. En el caso de que se transmita una gran cantidad de datos desde su red, investigue el caso para asegurarse de que la transmisión esté autorizada.
  • Tenga listo e implemente un plan de respuesta para casos de violación del sistema de datos. Para más información, consulte el punto 5.

CAPACITACIÓN DE LOS EMPLEADOS

Es posible que su plan de seguridad parezca muy sólido en papel, pero solamente lo será en la medida en que los empleados que lo implementen lo cumplan al pie de la letra. Tómese tiempo para explicarle las reglas al personal y capacite a los empleados para que puedan detectar las vulnerabilidades de seguridad. La regularidad de los programas de capacitación enfatiza la importancia que usted le otorga a las prácticas de seguridad y protección de datos importantes. La mejor arma de defensa contra el robo de identidad y contra las violaciones de los sistemas de datos es contar con personal bien capacitado.

  • Antes de contratar empleados nuevos que tendrán acceso a información delicada, verifique sus referencias y antecedentes.
  • Exija que cada empleado nuevo firme un documento en el que exprese que cumplirá con las normas de confidencialidad y seguridad que han sido establecidos por su compañía para controlar el manejo de los datos delicados. Asegúrese de que los empleados nuevos comprendan que una parte esencial de sus tareas es adoptar e implementar las normas del plan de protección de la información mantenida por la compañía. Recuérdeles regularmente las normas de su compañía — y cualquier otro requerimiento legal — para mantener la seguridad y confidencialidad de la información.
  • Sepa quiénes son los empleados que tienen acceso a la información de identificación personal delicada de los consumidores. Preste atención especial a los datos tales como números de Seguro Social y números de cuentas. Limite el acceso a los datos personales solamente a aquellos empleados que tengan una necesidad legítima de conocerla.
  • Implemente un procedimiento para garantizar que los empleados que dejen su empleo o que sean transferidos a otra sección de la compañía dejen de tener acceso a la información delicada. Como parte del proceso de cese de empleo o cambio de puesto cancele las contraseñas de estos empleados y recupere las llaves y tarjetas de identificación.
  • Cree una “cultura de seguridad” implementando un programa regular de capacitación de los empleados. Mantenga actualizados a sus empleados a medida que tome conocimiento de la aparición de nuevos riesgos y vulnerabilidades. Asegúrese de que los empleados de sus oficinas satélites, el personal temporal y los trabajadores de estación también participen de los cursos de capacitación. Considere bloquear el acceso a la red a los empleados que no concurran al programa de capacitación.
  • Capacite a sus empleados para que aprendan a reconocer las amenazas de seguridad. Indíqueles cómo reportar la actividad sospechosa y recompense públicamente a los empleados que lo alerten de la aparición de vulnerabilidades del sistema.

Considere pedirles a sus empleados que miren el tutorial interactivo disponible en inglés en www.ftc.gov/infosecurity.

  • Mantenga informado a su personal sobre las normas de su compañía de protección y confidencialidad de la información. Coloque recordatorios en las áreas donde se usa o almacena la información delicada y también en los lugares donde se congregan los empleados. Asegúrese de que sus normas también cubran a los empleados que trabajan a distancia o que acceden a la información delicada desde sus casas u otro lugar fuera de su negocio.
  • Enséñeles a sus empleados cuáles son los riesgos del phishing – mensajes de correo electrónico con información de apariencia legítima. Puede que estos mensajes electrónicos parezcan provenir de alguna persona que trabaja en la compañía, por lo general de algún jefe o directivo. Establezca una norma para que el personal de su oficina verifique independientemente todos los mensajes de correo electrónico recibidos en los cuales se solicite información delicada o confidencial. Infórmeles a sus empleados que para verificar la legitimidad de un email de este tipo no tienen que responderlo ni usar los enlaces, números de teléfono ni los sitios web contenidos en el mensaje.
  • Advierta a sus empleados sobre la práctica conocida como phishing telefónico. Enséñeles a sospechar de personas desconocidas que llamen al negocio diciendo que necesitan números de cuenta para procesar un pedido o que pidan la información de contacto de clientes o empleados. Establezca como norma que se verifiquen esto llamando a la compañía a un número de teléfono que usted sepa es real.
  • Pida a los empleados que le notifiquen inmediatamente si existe una potencial violación de la seguridad del sistema de datos, como por ejemplo la pérdida o robo de una computadora portátil.
  • Imponga medidas disciplinarias para castigar las violaciones de las normas de seguridad y protección de la información.
  • Para consultar recomendaciones para computadoras, tutoriales, juegos y pruebas para todos los miembros de su personal, visite en Internet www.AlertaenLinea.gov.

PRÁCTICAS DE SEGURIDAD APLICABLES A CONTRATISTAS Y PROVEEDORES DE SERVICIOS

Las prácticas de seguridad de su compañía dependen de las personas que las implementan, incluidos sus contratistas y proveedores de servicios.

  • Antes de contratar servicios externos para desempeñar alguna de sus funciones comerciales — liquidación de salarios, administración y localización de servicios Web, operaciones del centro de atención de llamadas, procesamiento de datos o servicios similares — investigue las prácticas de seguridad de la información de la compañía a contratar y compare sus estándares con los de su negocio. Si fuera posible, visítelos en su lugar de trabajo.
  • Deje aclarado en el contrato todos los asuntos de seguridad referidos al tipo de datos que administrarán sus proveedores de servicios.
  • Insista que sus proveedores de servicios le notifiquen cualquier incidente de seguridad que tengan, aun cuando estos incidentes no resulten en un compromiso real de los datos de su compañía.

CONTROL DE SEGURIDAD

Pregunta:
En realidad, no soy una persona demasiado habilidosa en cuestiones tecnológicas. ¿Existen algunas medidas que pueden tomar nuestros especialistas en computación para proteger nuestro sistema de los ataques más comúnes?

Respuesta:
Sí. Existen reparaciones simples que pueden ser adoptadas para proteger sus computadoras de algunas de las vulnerabilidades más comunes. Por ejemplo, una amenaza llamada “SQL injection attack” puede darle paso a los defraudadores y permitir que accedan a los datos delicados que están guardados en su sistema. Proteja sus sistemas manteniendo los programas actualizados y realizando revisiones de seguridad periódicas a su red. Para actualizar la información sobre las amenazas más recientes — y sus respectivas reparaciones — marque como favoritos los sitios Web de grupos como Open Web Application Security Project, www.owasp.org,o SANS (SysAdmin, Audit, Network, Security) Institute’s Most Critical Internet Security Vulnerabilities, www.sans.org/top-cyber-security-risks. Además, consulte a su proveedor de software acerca de la disponibilidad de parches de seguridad contra las nuevas vulnerabilidades.

4. ELIMINELO. Deseche correctamente la información que ya no necesita.

Lo que a usted le puede parecer simplemente una bolsa de residuos, a un ladrón de identidad puede resultarle una mina de oro. Depositar los recibos de tarjeta de crédito, o papeles o CD con información de identificación personal en un canasto de residuos facilita el fraude y expone a los consumidores al riesgo del robo de identidad. Desechando correctamente la información delicada, usted puede asegurarse de que la información no logre ser leída ni reconstruida.

  • Implemente prácticas para desechar la información que resulten lógicas y apropiadas para prevenir el acceso o uso de datos de identificación personal. La racionalidad de las medidas establecidas para eliminar información en su negocio se basa en el nivel de susceptibilidad de la información, los costos y beneficios de los diferentes métodos de eliminación y los cambios de la tecnología.
  • Deseche eficazmente los registros impresos pasándolos por la trituradora de papel, quemándolos o pulverizándolos antes de descartarlos. Coloque trituradoras de papel a disposición del personal en todas las secciones de su negocio, incluso al lado de la fotocopiadora.
  • Cuando se deshaga de computadoras y demás dispositivos portátiles de almacenamiento de datos en desuso, use programas software indicados para borrar datos de manera segura, comúnmente llamados programas de borrado (wipe utility programs). Estos programas son de bajo costo y pueden brindar mejores resultados ya que sobrescriben íntegramente el disco duro de manera tal que los archivos quedan irrecuperables. Usualmente, no resulta suficiente eliminar los archivos utilizando los comandos del teclado o el ratón porque es posible que los archivos continúen guardados en el disco duro de la computadora y por lo tanto podrían ser recuperados.
  • Asegúrese de que todos los empleados que trabajan desde sus casas implementen los mismos procedimientos para desechar la documentación que contiene información delicada y para deshacerse de las computadoras y dispositivos portátiles de almacenamiento de datos en desuso.
  • Si por motivos comerciales su negocio utiliza informes de crédito de los consumidores, posiblemente usted esté sujeto a las disposiciones de la Regla de Eliminación de Datos de la FTC. Para más información, lea ¿Está eliminando los datos de los informes de los consumidores? La nueva regla le dice cómo hacerlo.

CONTROL DE SEGURIDADPregunta:
Mi compañía recibe solicitudes de crédito completadas por los clientes. En el formulario se les solicita a los clientes que suministren una gran cantidad de información financiera. Cuando terminamos de utilizar las solicitudes, las desechamos cuidadosamente. ¿Es esto suficiente?

Respuesta:
No. Establezca normas para estar seguro de que todos los papeles que contengan información delicada no puedan ser leídos ni recuperados luego de que usted se deshaga de los documentos. Para estar seguro de que un ladrón de identidad no los robe de su canasto de basura, quémelos, tritúrelos o pulverícelos.5. PLANIFIQUE CON ANTICIPACIÓN. Elabore un plan para responder a los incidentes de seguridad.

Adoptar las medidas necesarias para proteger los datos que se encuentran en su poder puede ser una gran ayuda para prevenir una violación del sistema de datos; sin embargo, a pesar de las precauciones adoptadas su negocio podría sufrir un incidente. A continuación le sugerimos cómo puede reducir el impacto de un incidente de seguridad sobre su negocio, sus empleados y clientes:

  • Establezca un plan de respuesta para los incidentes de seguridad. Designe a un empleado de alto rango en la empresa para que coordine e implemente el plan de respuesta.
  • Si se compromete la seguridad de una computadora, desconéctela inmediatamentede su red.
  • Investigue los incidentes de seguridad inmediatamente y tome medidas para cerrar las vulnerabilidades o bloquear las amenazas para la información personal.

Considere quiénes deberían ser notificados en caso de que se produzca un incidente, tanto dentro como fuera de su organización. Es posible que tenga que notificar a los consumidores, autoridades competentes, clientes, compañías de informes de crédito y demás negocios que puedan verse afectados por la violación del sistema de datos. Además, tenga presente que muchos estados y las agencias federales de regulación de actividades bancarias poseen leyes o pautas directrices aplicables a las violaciones del sistema de datos. Consulte con su abogado.

CONTROL DE SEGURIDADPregunta:
Soy propietario de una pequeña empresa. ¿No me costará una fortuna implementar todas estas precauciones?

Respuesta:
No. En lo relacionado a la seguridad y protección de datos no existe una única solución que se adapte a la medida de todos los negocios, y aquello que resulte más adecuado para su caso dependerá del tipo de negocio que opere y de la clase de información que recolecte de sus clientes. Algunas de las medidas de seguridad más efectivas — utilizar contraseñas sólidas, guardar bajo llave la documentación delicada, capacitar a su personal, etc. — le costarán muy poco y además, usted puede encontrar herramientas de seguridad gratuitas o de bajo costo en los sitios Web de las organizaciones sin fines de lucro dedicadas a la seguridad de la información. Además, a largo plazo resulta más económico invertir en un mejor sistema de seguridad de datos que perder la confianza de sus clientes, asumir costos legales y enfrentar las posibles consecuencias de una violación del sistema de datos.RECURSOS ADICIONALES

Los sitios web y publicaciones listados a continuación contienen más información sobre cómo proteger datos delicados e información confidencial:

Computer Security Resource Center del National Institute of Standards and Technology (NIST)
www.csrc.nist.gov

Most Critical Internet Security Vulnerabilities del SANS (SysAdmin, Audit, Network, Security) Institute
www.sans.org/top-cyber-security-risks

United States Computer Emergency Readiness Team (US-CERT)
www.us-cert.gov

Alerta en Línea
www.alertaenlinea.gov

Para Más Información

La FTC trabaja para prevenir las prácticas comerciales fraudulentas, engañosas y desleales en el mercado y proveer información para ayudar a los consumidores a identificar, detener y evitar dichas prácticas.  Para presentar una queja o para obtener información gratuita sobre temas de interés del consumidor visite www.ftc.gov/espanol o llame sin cargo al 1-877-FTC-HELP (1-877-382-4357); TTY: 1-866-653-4261.  Para más información, vea el nuevo video Cómo Presentar una Queja. La FTC ingresa las quejas presentadas por los consumidores a una base de datos segura y herramienta investigativa llamada Red Centinela del Consumidor (Consumer Sentinel) que es utilizada por cientos de agencias de cumplimiento de las leyes civiles y penales en los Estados Unidos y del extranjero.

Su Oportunidad de Presentar Comentarios

La agencia National Small Business Ombudsman y 10 juntas regionales llamadas Regional Fairness Boards recogen comentarios de parte de las pequeñas empresas sobre las acciones federales de cumplimiento y fiscalización. Todos los años, el Ombudsman evalúa la conducta de dichas actividades y califica la capacidad de respuesta de cada agencia ante las pequeñas empresas. Los representantes de las pequeñas empresas pueden presentar comentarios al Ombudsman sin temor a represalias. Para presentar comentarios, llame a la línea gratuita 1-888-REGFAIR (1-888-734-3247) o visite en Internet www.sba.gov/ombudsman.

Noviembre 2011