Por Lesley Fair

“CSI” puede tener un significado en una serie de TV, pero para los ejecutivos comerciales astutos, estas iniciales deberían indicar Conozca Su Inventario. Todas las compañías tienen la obligación de proteger la información delicada de sus clientes, afiliados y empleados. Tal como se señala en el nuevo manual de la Comisión Federal de Comercio (Federal Trade Commission, FTC) titulado Cómo Proteger la Información Personal: Una Guía para Negocios, uno de los pasos de este proceso es “Conozca Su Inventario” — al estilo de la serie televisiva CSI, realice una “investigación forense” de las prácticas de manejo de información implementadas en su negocio.
Un sistema de seguridad efectivo para proteger la información comienza por la evaluación del tipo de información que usted mantiene y la identificación de las personas que acceden a la misma. El punto esencial a considerar en la evaluación de las vulnerabilidades de su sistema de seguridad es conocer y comprender el recorrido de la información: cómo ingresa, se procesa y sale de su negocio, y quiénes son las personas que tienen – o podrían tener – acceso a los datos. Ya sea que su negocio sea un “gigante” del mercado o una tienda pequeña, éstas son algunas recomendaciones para realizar su propia investigación al estilo “CSI”:

• Proteja la escena. Haga un inventario de todos los ficheros, computadoras, dispositivos de memoria flash o USB, discos y demás equipos electrónicos para averiguar adónde se almacenan los datos vulnerables. No se olvide de inventariar la información que se guarda en las computadoras portátiles, en las computadoras de los empleados que trabajan desde sus casas, teléfonos celulares y los documentos adjuntados a los e-mails. Ninguna auditoria de seguridad se puede dar por terminada hasta que se revise cada uno de los lugares en los que se almacenen datos delicados.
• Busque huellas de pisadas. Haga un seguimiento exhaustivo de la información personal que se archiva en su negocio hablando con el personal de la oficina de tecnología de la información, recursos humanos, contabilidad y con los proveedores de servicios externos. Logre tener un panorama completo de cuáles son las fuentes de donde provienen los datos delicados. ¿Usted recibe este tipo de datos de parte de sus clientes? ¿Centros de atención de llamadas? ¿Compañías de tarjetas de crédito? ¿Bancos o instituciones financieras? ¿Filiales y contratistas?
• Controle las puertas. ¿De qué manera recibe su compañía la información personal? ¿Le llega a través de un sitio Web? ¿Por e-mail? ¿Por correo postal? ¿Qué tipo de información se recolecta en cada punto de entrada? ¿Números de tarjetas de crédito, débito o de cuentas bancarias de sus clientes? ¿Información médica o financiera vulnerable?
• Busque huellas dactilares. ¿Quién tiene – o podría tener – acceso a la información?¿Quiénes son los empleados autorizados para acceder a la información delicada? ¿Alguna otra persona podría haber obtenido autorización para acceder a la información? ¿Qué sucede con los proveedores que le suministran y actualizan los programas software que se utilizan para procesar las transacciones de tarjeta de crédito? ¿Y qué pasa con los contratistas que operan su centro de atención de llamadas, o que se ocupan de la distribución o de la provisión de las órdenes de compra de sus clientes?
• Proteja la evidencia clave. Diferentes tipos de información presentan diferentes tipos de riesgos. Preste particular atención al mantenimiento de los registros de información de identificación personal, como por ejemplo los números de Seguro Social, información de tarjetas de crédito, de débito y de cuentas bancarias, datos financieros en general y demás datos delicados, que en caso de llegar a las manos equivocadas, podrían servir de herramientas para posibilitar el fraude o el robo de identidad.

Consiga su copia de Cómo Proteger la Información Personal: Una Guía para Negocios www.ftc.gov/infosecurity.

Lesley Fair es una abogada especializada en el acatamiento de las normas legales aplicables a los negocios que se desempeña en el Buró de Protección del Consumidor de la FTC.

Julio 2007