Por Lesley Fair

A veces, la clave de la seguridad está en guardar la información bajo candado. El nuevo manual de la FTC Cómo Proteger la Información Personal: Una Guía para Negocios, ofrece consejos para resguardar a sus clientes y empleados protegiendo los datos vulnerables. Una recomendación importante: Cierre con llave o candado— Proteja la información que usted guarda.

• Guarde, cierre — o peligro. Establecer medidas para proteger sus computadoras puede ser un elemento fundamental de la seguridad, pero cuando se trata de proteger la seguridad de la información personal, no se olvide de tener en cuenta a la vieja y conocida seguridad física. Desaliente a los curiosos de mano larga asegurándose de que cada empleado tenga un cajón o armario con llave. Centralice toda la papelería con información personal delicada y limite el acceso solamente a aquellos empleados que realmente necesiten consultar estos documentos por una razón comercial. Recuérdeles a los empleados que no deben dejar documentos con información delicada sobre sus escritorios cuando se ausentan de sus puestos de trabajo. Si almacena información en un lugar fuera de su negocio, considere encriptarla y utilizar un medio de despacho que le permita hacer un seguimiento del envío.
• Invasores bárbaros a la vista. En cuestión de unos pocos segundos, una computadora desprotegida puede ser atacada por virus, spyware y otros invasores. Su personal tecnológico tiene sofisticadas herramientas de defensa a su disposición, pero no dude en recordarles a sus empelados que la seguridad electrónica es un asunto que involucra a cada uno de ellos. Use contraseñas sólidas (cuanto más extensas, mejor) y exíjale a su personal — sobretodo a aquellos que en las pantallas de sus computadoras pegan papelitos con contraseñas — que las archiven de manera segura y que las cambien con regularidad. Pídale al personal tecnológico que instale un sistema de detección de intrusión que los advierta de cualquier incidente de seguridad que se produzca en la red. Supervise el tráfico entrante y saliente de transmisiones para detectar señales que indiquen un uso más intensivo que el normal en un horario infrecuente. Para mantenerse informado sobre las vulnerabilidades y “parches” de seguridad más recientes, consulte recursos especializados como www.sans.org y los sitios Web de sus proveedores de programas software.
• El enemigo está entre nosotros. Indudablemente, los hackers son una amenaza, pero a veces, el mayor riesgo para la seguridad de una compañía está representado por un empleado que siempre trabaja con esmero pero que no ha aprendido los conceptos básicos de la protección de la información personal. Cree una “cultura de seguridad” implementando un programa regular de capacitación de los empleados. Explíqueles claramente a todos los empleados nuevos que una parte esencial de sus tareas es adoptar e implementar el plan de protección de la información que registra la compañía. Limite el acceso a los datos de cuentas, números de tarjetas de crédito u otra información delicada solamente a aquellos empleados que tengan una necesidad legítima de conocerla. Implemente un procedimiento para garantizar que los trabajadores que abandonen su empleo o que sean transferidos a otra sección de la compañía dejen de tener autorización para acceder a la información reservada.
• Confíe pero verifique. Se podría usar esta frase de la época de la Guerra Fría para describir el enfoque que debe aplicar a las prácticas de seguridad requeridas para sus contratistas y proveedores de servicios. Antes de contratar servicios externos para desempeñar alguna de sus funciones comerciales —liquidación de salarios, administración y localización de servicios Web, operaciones del centro de atención de llamadas, procesamiento de datos o servicios similares—investigue las prácticas de seguridad de la información de la compañía a contratar y compare sus estándares con los de su negocio. Asegúrese de aclarar en el contrato todos los requisitos referidos a la seguridad de la información y establezca cláusulas que le permitan supervisar su desempeño. Insista en la necesidad de que sus contratistas y proveedores de servicios lo notifiquen inmediatamente de cualquier incidente de seguridad que sufran, aun cuando estos incidentes aparenten no estar relacionados con un compromiso real de los datos de su compañía.

Consiga su copia de Cómo Proteger la Información Personal: Una Guía para Negocios en www.ftc.gov/infosecurity.

Lesley Fair es una abogada especializada en el acatamiento de las normas legales aplicables a los negocios que se desempeña en el Buró de Protección del Consumidor de la FTC.

Julio 2007