Por Lesley Fair

Adoptar las medidas necesarias para proteger la información personal archivada en su computadora puede ser una gran ayuda para prevenir una violación de seguridad informática. Sin embargo, a pesar de las precauciones adoptadas, su negocio podría sufrir un incidente de este tipo. Por esta razón, la Comisión Federal de Comercio (Federal Trade Commission, FTC) recomienda a las compañías que implementen un plan para responder a los incidentes de seguridad antes de que se produzcan. El desarrollo anticipado de una estrategia de acción basada en “¿qué pasaría si”?, puede ayudar a reducir el impacto que podría tener un incidente de violación de seguridad informática sobre su negocio, sus empleados y sus clientes. A continuación se listan algunas recomendaciones de la FTC para crear un plan para responder a los incidentes de seguridad.

• De arriba hacia abajo. El grado de importancia que se le da en la compañía al tema de seguridad de los datos proviene de los altos directivos. Por este motivo, la tarea de diseño, coordinación e implementación del plan de respuesta de su compañía no puede delegarse en una persona con poca experiencia o poco tiempo en la compañía. Designe a un empleado de alto rango en la empresa para que lidere el equipo encargado de responder en caso de que se produzca un incidente. Arme su equipo seleccionando personas que se destaquen por su buen desempeño en cada sección de su organización — ventas, finanzas, personal, tecnología de la información, etc. — y facilíteles el acceso directo con la gerencia de la compañía.
• Implemente un plan. Cuando ya haya armado el equipo de respuesta, pídales a sus integrantes que diseñen planes de contingencia para establecer los mecanismos de respuesta de su negocio para los distintos incidentes de seguridad que pudieran ocurrir. Algunas amenazas pueden ser reveses impredecibles; otras — la pérdida de una computadora portátil o el ataque de un hacker, por nombrar sólo dos — pueden ser episodios desafortunados pero previsibles.
• Confíe en sus instintos. La experiencia aguza la intuición. Si su personal sospecha un incidente de violación de seguridad informática, investíguelo inmediatamente. En estos casos, el tiempo es muy valioso y cualquier demora puede ser perjudicial.
• Jale el cable. Si sospecha una violación de seguridad informática, desconecte inmediatamente la computadora comprometida quitando los cables de conexión a Internet y a su red. Para evaluar el impacto, pídale al personal de IT que preserve todos los registros disponibles de la red, los de transferencia de archivos, los registros de sistema y los informes de acceso. Investigue si algún intruso abrió archivos o instaló nuevos programas en su computadora. ¿Los atacantes instalaron algún virus o programa malicioso en su sistema informático? El diagnóstico de los daños padecidos y la revisión de los pasos seguidos por los ciber-delincuentes, pueden ser medidas útiles para reforzar el plan de respuesta de su compañía para enfrentar vulnerabilidades inesperadas.
• Haga contacto. Considere quiénes deberían ser notificados en caso de que se produzca un incidente, tanto dentro como fuera de su organización. Es posible que tenga que notificar a los consumidores, autoridades competentes, clientes, compañías de informes de crédito y demás negocios que puedan verse afectados por la violación de la seguridad informática. Además, tenga presente que aproximadamente 40 estados poseen leyes aplicables a las violaciones de seguridad informática. Tenga archivada esta información antes de necesitarla.

Para más información, consulte, Cómo Proteger la Información Personal: Una Guía para Negocios www.ftc.gov/infosecurity.

Lesley Fair es una abogada especializada en el acatamiento de las normas legales aplicables a los negocios que se desempeña en el Buró de Protección del Consumidor de la FTC.

Julio 2007