Sie sind auf Seite 1von 20

Obtenido: 22 Setiembre 2013 URL: http://www.business.ftc.

gov/documents/sbus69-como-proteger-lainformacion-personal-una-gui-para-negocios Fuente(s): Bureau of Consumer Protection Business Center Blog (USA) Publicado: Noviembre 2011

Cmo proteger la Informacin Personal: Una Gua para Negocios [In English]
La mayora de las compaas mantiene un registro que contiene informacin personal delicada nombres, nmeros de Seguro Social, datos de tarjeta de crdito o de otros datos que es utilizada para identificar a sus clientes o empleados. Frecuentemente, es necesario contar con esta informacin para completar rdenes de compra, liquidar salarios o desempear otras funciones propias de la operacin del negocio. Pero si los datos delicados caen en las manos equivocadas puede resultar en fraude, robo de identidad o algn otro tipo de perjuicio similar. Por lo tanto, debido al costo que acarrea una violacin del sistema de datos la prdida de confianza de sus clientes y quizs hasta tener que asumir los costos de su defensa en una demanda judicial proteger la informacin personal registrada por su compaa es simplemente una cuestin de buen sentido comercial. Algunos negocios pueden contar con personal capacitado para implementar un plan adecuado. Otros tal vez puedan recurrir a un contratista especializado. Independientemente del volumen o naturaleza de su negocio, los principios detallados en el presente folleto le sern de gran ayuda para mantener la seguridad de los datos. Un plan de seguridad de datos personales slido se basa en 5 principios clave:

1. Conozca su inventario.

Sepa cul es la informacin personal que usted posee en sus archivos y computadoras. 2. Reduzca sus archivos. Mantenga nicamente la informacin que necesita para manejar su negocio. 3. Cierre con llave. Proteja la informacin que mantiene. 4. Elimine lo innecesario. Deseche correctamente la informacin que ya no necesita. 5. Planifique con anticipacin. Elabore un plan para responder a las violaciones de seguridad.

Use las listas de verificacin que se presentan en las siguientes pginas para ver si las prcticas de su compaa son las adecuadas y para identificar dnde deben implementarse cambios. Tambin puede ver un tutorial interactivo en ingls en business.ftc.gov/privacy-and-security.

1. CONOZCA SU INVENTARIO. Sepa cul es la informacin


personal que tiene almacenada en sus registros y computadoras. Proteger la informacin comienza por evaluar el tipo de informacin que usted mantiene e identificar quin tiene acceso a la misma. El punto esencial a considerar en la evaluacin de las vulnerabilidades de seguridad es entender bien cmo la informacin ingresa, se procesa y sale de su negocio y quines tienen o podran tener acceso a los datos. Solamente despus de identificar ese proceso podr determinar los mejores mecanismos para proteger la informacin. CONTROL DE SEGURIDAD Pregunta: Existe alguna ley que disponga que mi compaa debe mantener protegida la informacin confidencial? Respuesta: S. Cuando haga el inventario de los datos que guarda en sus archivos tambin haga un recuento de las leyes aplicables. Algunos estatutos, tales como las leyes llamadas Gramm-Leach-Bliley, Fair Credit Reporting y la Ley de la Comisin Federal de Comercio ( Federal Trade Comission Act) pueden disponer que usted tiene que proveer un nivel razonable de seguridad para proteger la informacin confidencial. Para aprender ms, visite business.ftc.gov/espanol.

Para detectar dnde su compaa almacena los datos delicados, haga un inventario de todas las computadoras de escritorio (desktop) y porttiles (laptop), aparatos mviles, dispositivos de memoria flash, discos, computadoras en el hogar, copiadoras digitales y dems equipos. Tambin haga un inventario de la informacin almacenada clasificndola por tipo y locacin. Para realizar el inventario puede comenzar por sus archivos y sistemas de computacin. Pero recuerde que su negocio recibe informacin personal de varias maneras a travs de sitios Web, contratistas, centros de llamadas y fuentes similares. Qu sucede con la informacin almacenada en computadoras porttiles, en las computadoras hogareas de sus empleados, dispositivos de memoria flash, copiadoras digitales y aparatos mviles? No se
pg. 2

puede dar por terminado el inventario hasta tanto haya verificado cada uno de los lugares donde se pudiera haber almacenado informacin delicada.

Localice la informacin personal registrada en su negocio hablando con el personal de ventas, tecnologa, recursos humanos, contabilidad y con los proveedores de servicios externos. De esta manera podr obtener un panorama completo de los siguientes temas:
o

Quin enva informacin personal delicada a su negocio. La recibe de parte de sus clientes? De compaas de tarjeta de crdito? De bancos u otras instituciones financieras? De compaas de informes de crdito? De solicitantes de empleo? De otros negocios? Cmo recibe su negocio la informacin personal. Llega a su negocio a travs de un sitio Web? Por e-mail? Por correo postal? Es transmitida a travs de las cajas registradoras de sus tiendas? Qu tipo de informacin recolecta en cada uno de los puntos de entrada. La informacin de las tarjetas de crdito se obtiene en lnea? La oficina de contabilidad y administracin mantiene un registro de las cuentas bancarias de sus clientes? Dnde mantiene archivada la informacin que recolecta en cada punto de entrada. En una base de datos computarizada central? En computadoras porttiles individuales? En telfonos inteligentes, computadoras porttiles tipo tablet o en otros aparatos mviles de sus empleados? En discos o cintas? En ficheros? En las sucursales de su negocio? Sus empleados tienen archivos en sus casas? Quin tiene o podra tener acceso a la informacin. Quines son los empleados autorizados para acceder a la informacin? Es necesario que tengan acceso a la informacin? Alguna otra persona podra obtener autorizacin para acceder a la informacin? Qu sucede con los proveedores que le suministran y actualizan los programas software que se utilizan para procesar las transacciones de tarjeta de crdito? Los contratistas que operan su centro de atencin de llamadas?

Cada tipo de informacin presenta diferentes tipos de riesgos. Preste particular atencin a registros de informacin de identificacin personal: nmeros de Seguro Social, informacin de
pg. 3

tarjetas de crdito y financiera en general y otros datos confidenciales. Estos son los datos ms comnmente utilizados por los ladrones para cometer fraude o incurrir en robo de identidad.

2. REDUZCA SUS ARCHIVOS Mantenga solamente la informacin


que necesita para manejar su negocio. Si no tiene una necesidad legtima para mantener informacin delicada no la guarde. De hecho, lo mejor es no recolectarla. Si necesita legtimamente la informacin para operar su negocio mantngala archivada solamente el tiempo que la necesite.

Utilice los nmeros de Seguro Social solamente para fines legales y obligatorios como por ejemplo para reportar los impuestos de sus empleados. No use innecesariamente los nmeros de Seguro Social por ejemplo para identificar a los empleados o clientes o sencillamente porque siempre los utiliz para ese fin. La ley establece que usted debe abreviar o truncar la informacin de los datos de las tarjetas de crdito o dbito de los recibos que les entrega a los clientes. Usted solamente puede imprimir en los recibos los ltimos cinco dgitos del nmero de la tarjeta y debe eliminar la fecha de expiracin. No conserve la informacin de las tarjetas de crdito de los clientes a menos que sea realmente necesario. Por ejemplo, no retenga el nmero de cuenta y fecha de expiracin a menos que tenga una necesidad comercial. Al mantener estos datos en sus registros o al conservarlos por ms tiempo que lo necesario est aumentando el riesgo de que la informacin pueda ser utilizada para cometer fraude o robo de identidad. Revise las configuraciones del programa software que lee los nmeros de las tarjetas de crdito de sus clientes y que procesa las transacciones. Algunas veces este est configurado por el fabricante para que la informacin se guarde permanentemente. Para estar seguro de que no est guardando informacin innecesaria inadvertidamente, cambie la configuracin. Si debe mantener archivada la informacin por razones comerciales o legales, desarrolle normas escritas de retencin de registros para identificar el tipo de informacin que debe conservarse, cmo resguardarla, el perodo de tiempo durante el que debe conservarse y como desecharla de manera segura cuando ya no la necesite. CONTROL DE SEGURIDAD

pg. 4

Pregunta: En mi negocio queremos tener la informacin correcta de nuestros clientes y para eso, creamos un archivo permanente en el que registramos todos los aspectos de sus transacciones, incluso la informacin contenida en las bandas magnticas de las tarjetas de crdito. Esto podra ser riesgoso para la seguridad de la informacin? Respuesta: S. Mantenga archivados los datos delicados en su sistema solamente mientras tenga una necesidad comercial legtima para guardar sta informacin. Cuando ya no la necesite deschela correctamente. Si no est archivada en su sistema, no podr ser robada por hackers o intrusos.

3. CIERRE CON LLAVE. Proteja la informacin que mantiene.


Cul es la mejor manera de proteger la delicada informacin personal identificable que necesita retener? Esto depende del tipo de informacin y la manera en que se almacene. Los planes de seguridad de datos ms efectivos se basan en cuatro elementos clave: seguridad fsica, seguridad electrnica, capacitacin del personal y prcticas de seguridad de los contratistas y proveedores de servicios.

SEGURIDAD FSICA
Muchos de los incidentes que comprometen la informacin suceden a la vieja usanza a travs del robo o prdida de documentos en papel. Frecuentemente, la mejor defensa contra este problema es mantener la puerta cerrada con llave o un empleado alerto.

Guarde los documentos, archivos, CD, disquetes, unidades zip, cintas y copias de seguridad que contengan informacin personal en un cuarto cerrado con llave o en un archivo con llave. Limite el acceso a estos archivos solamente a aquellos empleados que realmente necesiten consultarlos por una razn relacionada a la operacin del negocio. Lleve un control de la cantidad de llaves que existen y de las personas que tienen acceso a ellas. Exija que todas las carpetas con informacin personal identificable sean mantenidas en archiveros con llave, excepto cuando un empleado est trabajando con la carpeta. Recurdeles a los empleados que no deben dejar documentos con informacin delicada sobre sus escritorios cuando no estn en sus puestos de trabajo.
pg. 5

Exija a sus empleados que al finalizar la jornada de trabajo guarden las carpetas en los archiveros, se desconecten de la red ( log off) y que cierren con llave las puertas de la oficina y de los archiveros. Implemente controles de acceso adecuados al tipo de instalacin de su negocio. Informe a sus empleados qu es lo que deben hacer si ven a un desconocido dentro de su negocio. Si almacena informacin en un lugar fuera de su negocio, limite el acceso de los empleados permitiendo el ingreso solamente a aquellos que realmente necesiten acceder a la informacin por razones comerciales. Lleve un control de las personas que acceden al archivo y las ocasiones en que lo hacen. Si enva informacin delicada a travs de contratistas o transportistas externos, encripte o cifre la informacin y mantenga un inventario de la informacin enviada. Adems, use un servicio de entrega urgente ya que esto le permitir hacer un seguimiento de la entrega de la informacin.

Si en su negocio se usan aparatos que recolectan informacin delicada, como un dispositivo para ingresar nmeros de identificacin personal o PIN pads, tome las medidas de seguridad necesarias para que los ladrones de identidad no puedan forzarlos o manipularlos indebidamente. Tambin incluya estos dispositivos en su inventario para asegurarse de que no se los cambien por otros.

SEGURIDAD ELECTRNICA
La seguridad de su sistema de computacin no es solamente el rea de su personal de tecnologa. Ocpese de este tema para comprender las vulnerabilidades de su sistema de computacin y siga los consejos de los especialistas en la materia. Seguridad General de la Red

Identifique las computadoras o servidores en donde se almacena la informacin personal delicada. Identifique todas las conexiones a las computadoras en las que se almacena informacin delicada. Estas pueden incluir Internet, cajas registradoras electrnicas, computadoras instaladas en sus sucursales, computadoras utilizadas por proveedores de servicios que proveen apoyo a su red, las conexiones de las copiadoras digitales y aparatos inalmbricos como telfonos inteligentes, computadoras porttiles tipo tablet o escneres para inventario.
pg. 6

Evale la vulnerabilidad de cada una de las conexiones a los ataques ms conocidos o previsibles. Dependiendo de las circunstancias individuales de su negocio, las evaluaciones adecuadas para cada caso pueden variar desde contar con un empleado con conocimientos informticos que active un programa software de seguridad comercial hasta la contratacin de un profesional independiente que realice una auditora de seguridad a gran escala. No almacene datos delicados de los consumidores en ninguna computadora conectada a Internet a menos que sea indispensable para operar su negocio. Encripte o cifre la informacin delicada que le enva a terceros a travs de redes de uso pblico (por ejemplo, Internet), y tambin considere encriptar la informacin delicada que se almacena en su red de computadoras o en discos u otros dispositivos porttiles de almacenamiento de datos utilizados por sus empleados. Asimismo, considere encriptar mensajes de correo electrnico si contienen informacin personal identificable. Active con regularidad programas antivirus y anti-spyware actualizados en todas las computadoras individuales y servidores de su red. Visite con regularidad los sitios Web especializados (por ejemplo www.sans.org) y el de su proveedor de programas software para consultar las alertas sobre nuevas vulnerabilidades e implemente normas para instalar los parches de seguridad aprobados por su proveedor para corregir los problemas. Considere implementar una norma para impedir que sus empleados descarguen programas software no autorizados. Los programas software que se descargan a los aparatos que estn conectados a su red (computadoras, telfonos inteligentes y computadoras porttiles tipo tablet) pueden usarse para distribuir malware. Examine las computadoras de su red para identificar y configurar el sistema operativo y los servicios de red abiertos. Si encuentra servicios innecesarios, desactvelos para prevenir ataques de hackers u otros potenciales problemas de seguridad. Por ejemplo, si no es necesario que una computadora determinada est conectada al servicio de e-mail o a Internet, considere cerrar los servicios en esa computadora para evitar el acceso no autorizado de esa terminal. Cuando reciba o transmita informacin de tarjetas de crdito u otros datos financieros delicados, use el estndar de seguridad
pg. 7

llamado Secure Sockets Layers (SSL) o alguna otra conexin segura que proteja la informacin transmitida.

Preste atencin especial a la seguridad de sus aplicaciones Web el software utilizado para darle informacin a los visitantes de su sitio Web y para captar la informacin de los visitantes. Las aplicaciones Web pueden ser particularmente vulnerables a una variedad de ataques de hackers. En una de las variaciones de este tipo de ataques llamado injection attack, un hacker inserta comandos maliciosos en su sistema por medio de lo que aparenta ser una solicitud de informacin legtima. Una vez que tengan acceso a su sistema, los hackers transfieren informacin delicada desde su red a sus propias computadoras. Existen defensas relativamente simples contra estos ataques y estn disponibles en una variedad de fuentes. CONTROL DE SEGURIDAD Pregunta: En mi negocio encriptamos los datos financieros que nuestros clientes ingresan en nuestro sitio Web. Pero despus de recibirlos los desciframos y los enviamos por e-mail en formato de texto a travs de Internet hacia nuestras sucursales. Hay alguna prctica que ofrezca mayor seguridad? Respuesta: S. El correo electrnico comn no es un mtodo seguro para enviar datos delicados. Lo mejor es encriptar o cifrar todas las transmisiones que contengan informacin que pueda ser utilizada por defraudadores o ladrones de identidad.

Manejo de Contraseas

Controle el acceso a la informacin delicada exigiendo que sus empleados utilicen contraseas slidas. Los expertos en seguridad tecnolgica dicen que cuanto ms extensa sea la contrasea, mayor ser la seguridad de la misma. Debido a que las contraseas simples como por ejemplo las palabras que figuran en los diccionarios pueden ser descubiertas fcilmente, insista que sus empleados elijan contraseas que contengan una combinacin de letras, nmeros y signos. Exija que el nombre de usuario y la contrasea de los empleados sean diferentes y que se cambien frecuentemente.
pg. 8

Explqueles a sus empleados por qu compartir las contraseas o colocarlas cerca del escritorio de trabajo viola las normas de seguridad de la compaa. Utilice protectores de pantalla activados por contrasea para bloquear las computadoras de los empleados luego de un perodo de inactividad. Bloquee a los usuarios que no ingresen la contrasea correcta dentro de un determinado nmero de intentos de conectarse al sistema. Advierta a los empleados sobre posibles llamadas telefnicas provenientes de ladrones de identidad que tienen intencin de engaarlos para que les den sus contraseas hacindose pasar por miembros del personal de tecnologa de su compaa. Infrmeles a sus empleados que las llamadas de este tipo son siempre fraudulentas y que nadie debera revelar sus contraseas. Cuando instale un programa software nuevo, cambie inmediatamente las contraseas predeterminadas por el proveedor del programa por otra contrasea ms segura e inviolable. Advirtales a sus empleados que no transmitan datos de identificacin personal delicada nmeros de Seguro Social, contraseas, informacin de cuentas va e-mail. El correo electrnico sin encriptacin no es un medio seguro para transmitir ningn tipo de informacin. CONTROL DE SEGURIDAD Pregunta: El personal de contabilidad de nuestro negocio necesita acceder a la informacin financiera de nuestros clientes que est archivada en nuestra base de datos. Para que sea ms fcil de recordar la contrasea usamos el nombre de la compaa. Esto podra crear un problema de seguridad? Respuesta: S. Hackers primero intentarn palabras como password, el nombre de su compaa, la contrasea predeterminada del programa software y otras opciones fciles de adivinar. Tambin usan programas que exploran palabras y fechas que se usan comnmente. Para hacerle ms difcil que entren en su sistema, seleccione contraseas slidas cuanto ms extensas mejor utilizando una combinacin de letras, smbolos y nmeros y cambindolas
pg. 9

frecuentemente. Seguridad de las Computadoras Porttiles

Restrinja el uso de computadoras porttiles solamente a aquellos empleados que las necesiten para realizar sus tareas. Evale si es realmente necesario almacenar la informacin delicada en una computadora porttil. Si no fuera necesario, elimnela con un programa de borrado ( wiping) que sobrescriba los datos guardados en la computadora porttil. No es suficiente con eliminar los archivos utilizando los comandos del teclado porque los datos podran permanecer archivados en el disco duro de la computadora porttil. Estos programas de borrado se consiguen en la mayora de los comercios especializados en artculos de oficina. Exija a sus empleados que guarden las computadoras porttiles en un lugar seguro. An cuando las computadoras porttiles estn en uso considere un cable y candado para asegurarlas al escritorio de los empleados. Considere autorizar a los usuarios de computadoras porttiles que accedan a la informacin delicada, pero no les permita almacenarla en sus computadoras porttiles. Bajo este esquema, la informacin se almacena en una computadora central protegida y las computadoras porttiles funcionan como terminales que muestran la informacin desde la computadora central pero que no la almacenan. Tambin podra aumentar el nivel de proteccin de la informacin requiriendo que para acceder a la computadora central se utilice algn dispositivo de identificacin como una ficha, smart card, huella digital u otra medida biomtrica de seguridad adems del ingreso de una contrasea. Cuando se almacena informacin delicada en una computadora porttil se deben encriptar los datos o se debe configurar de manera tal que los usuarios no puedan descargar ningn programa software ni cambiar las configuraciones de seguridad sin la aprobacin de su especialista en tecnologa informtica. Considere agregar una funcin de auto-destruccin para que los datos robados de una computadora se destruyan cuando el ladrn los use para intentar acceder a Internet.

Capacite a sus empleados para que estn atentos a la seguridad de la informacin cuando se encuentran fuera de su negocio. Nunca
pg. 10

deben dejar una computadora porttil en un lugar visible dentro de un automvil, en el depsito de equipaje de un hotel, o dentro del equipaje de viaje a menos que as se lo indique el personal de seguridad del aeropuerto. Si alguien tuviera la necesidad de dejar una computadora porttil en el auto, debe guardarla en el bal del vehculo. Todo aquel que pase por seguridad en un aeropuerto debe mantener la mirada atenta a la computadora porttil mientras pasa por la cinta. Programas Firewalls

Para proteger su computadora de ataques de hackers mientras est conectada a Internet use un programa firewall. Un firewall es un programa software o hardware diseado para bloquear el acceso de los hackers a su computadora. Un programa firewall correctamente configurado obstaculiza los intentos de los hackers para localizar su computadora e introducirse en sus programas y archivos. Determine si es necesario instalar un firewall tipo border firewall en el lugar donde su computadora se conecta con Internet. Un border firewall separa su red del Internet y puede prevenir que un atacante logre acceder a una computadora conectada a la red en la que almacena informacin delicada. Establezca la funcin de control de accesos (access controls) para determinar cules son los usuarios autorizados a acceder a travs del firewall y qu tipo de informacin estn autorizados a consultar de esta manera usted puede autorizar el acceso a la red solamente a los empleados de confianza que tengan una razn legtima para hacerlo. Revise peridicamente los controles de acceso ya que la proteccin que brinda un firewall solamente es efectiva si los controles de acceso estan correctamente configurados. Si almacena informacin delicada solamente en algunas de las computadoras de su compaa, considere utilizar programas firewalls adicionales para proteger stas computadoras.

Acceso Inalmbrico y Remoto

Determine si en su negocio existen dispositivos inalmbricos como por ejemplo telfonos inteligentes, computadoras porttiles tipo tablet o escneres para inventario que podran conectarse a su red de computadoras o ser utilizados para transmitir informacin delicada. Si as fuera, considere limitar la cantidad de empleados que tienen permitido usar una conexin inalmbrica para acceder a su red de computadoras. Usted puede obstaculizarle el acceso a la red a un intruso limitando la cantidad de dispositivos o aparatos inalmbricos conectados a su red.
pg. 11

An mejor, considere encriptar los contenidos para impedir que un intruso pueda leerlos. Al encriptar transmisiones desde dispositivos inalmbricos hacia su red de computadoras puede prevenir que un intruso logre acceder a travs de un proceso llamado spoofing simulando ser una de sus computadoras para lograr acceder a su red. Si permite acceso remoto a su red ( network) a sus empleados o proveedores de servicios como los que prestan asistencia tcnica y actualizacin de programas para procesar compras con tarjeta de crdito, debe considerar encriptar sus archivos.

Copiadoras Digitales En su plan de seguridad de la informacin debe incluir las copiadoras digitales que se utilizan en su compaa. El disco duro de una copiadora digital almacena datos sobre los documentos que copia, imprime, escanea, enva por fax y por email. Si usted no toma las medidas de seguridad necesarias para proteger los datos, se los pueden robar del disco duro, ya sea por acceso remoto o extrayendo los datos del disco duro cuando se lo retire del aparato. Algunas recomendaciones para proteger los datos delicados almacenados en los discos duros de las copiadoras digitales:

Cuando est por comprar una copiadora digital, haga participar al personal de la seccin de tecnologa de la informacin. Los empleados que se ocupan de la seguridad de sus computadoras tambin deben asumir la responsabilidad de proteger los datos almacenados en las copiadoras digitales. Cuando compre o alquile una copiadora, considere las funciones de seguridad que le ofrece cada aparato, ya sea las que vienen incorporadas regularmente de fbrica como los accesorios para instalar como complemento. Por lo general, son funciones para encriptar o sobrescribir datos. La encriptacin codifica los datos en el disco duro para que solamente se puedan leer usando un software particular. La funcin para sobrescribir datos tambin conocida como funcin de borrado o eliminacin definitiva de archivos reemplaza los datos existentes con caracteres aleatorios, dificultando las probabilidades de que otro usuario logre reconstruir un archivo. Cuando haya elegido una copiadora para su compaa, aproveche todas las funciones de seguridad que le ofrezca. Puede establecer la cantidad de veces que quiere que se sobrescriban los datos en
pg. 12

general, cuanto ms veces se sobrescriban los datos ms difcil ser recuperarlos. Adems, d instrucciones precisas para que el personal de su oficina se acostumbre a sobrescribir el disco duro de las copiadoras por lo menos una vez por mes.

Cuando devuelva una copiadora alquilada o cuando deseche una de su propiedad, averige si se puede retirar el disco duro y destruirlo, o si se pueden sobrescribir los datos almacenados en el disco duro. Para evitar roturas en la mquina, pdale a un tcnico capacitado que retire el disco duro.

Para consultar ms informacin sobre este tema, lea Seguridad de copiadoras de datos: Una gua para negocios. Cmo Detectar las Violaciones del Sistema de Datos

Para detectar una violacin de la red del sistema de datos considere utilizar un sistema de deteccin de intrusin. Para que este sistema resulte efectivo contra los nuevos tipos de ataques de los hackers se debe actualizar regularmente. Mantenga un registro central de la informacin relacionada a la seguridad para poder monitorear la actividad de su red y detectar y responder a los ataques. Si se produce un ataque a su red, el registro le brindar la informacin necesaria para detectar las computadoras comprometidas. Monitoree el trfico entrante de transmisiones para detectar seales que indiquen que alguien est tratando de acceder indebidamente. Mantngase atento a la actividad de usuarios nuevos, mltiples intentos de conectarse al sistema desde computadoras ajenas o de parte de usuarios desconocidos y un trfico ms alto de lo normal a horas del da inhabituales. Monitoree el trfico saliente de transmisiones para detectar seales de una violacin del sistema de datos. Est atento a la transmisin de una gran cantidad de datos que imprevistamente empiezan a ser transmitidos desde su sistema hacia un usuario desconocido. En el caso de que se transmita una gran cantidad de datos desde su red, investigue el caso para asegurarse de que la transmisin est autorizada. Tenga listo e implemente un plan de respuesta para casos de violacin del sistema de datos. Para ms informacin, consulte el punto 5.

CAPACITACIN DE LOS EMPLEADOS


Es posible que su plan de seguridad parezca muy slido en papel, pero solamente lo ser en la medida en que los empleados que lo
pg. 13

implementen lo cumplan al pie de la letra. Tmese tiempo para explicarle las reglas al personal y capacite a los empleados para que puedan detectar las vulnerabilidades de seguridad. La regularidad de los programas de capacitacin enfatiza la importancia que usted le otorga a las prcticas de seguridad y proteccin de datos importantes. La mejor arma de defensa contra el robo de identidad y contra las violaciones de los sistemas de datos es contar con personal bien capacitado.

Antes de contratar empleados nuevos que tendrn acceso a informacin delicada, verifique sus referencias y antecedentes.

Exija que cada empleado nuevo firme un documento en el que exprese que cumplir con las normas de confidencialidad y seguridad que han sido establecidos por su compaa para controlar el manejo de los datos delicados. Asegrese de que los empleados nuevos comprendan que una parte esencial de sus tareas es adoptar e implementar las normas del plan de proteccin de la informacin mantenida por la compaa. Recurdeles regularmente las normas de su compaa y cualquier otro requerimiento legal para mantener la seguridad y confidencialidad de la informacin. Sepa quines son los empleados que tienen acceso a la informacin de identificacin personal delicada de los consumidores. Preste atencin especial a los datos tales como nmeros de Seguro Social y nmeros de cuentas. Limite el acceso a los datos personales solamente a aquellos empleados que tengan una necesidad legtima de conocerla. Implemente un procedimiento para garantizar que los empleados que dejen su empleo o que sean transferidos a otra seccin de la compaa dejen de tener acceso a la informacin delicada. Como parte del proceso de cese de empleo o cambio de puesto cancele las contraseas de estos empleados y recupere las llaves y tarjetas de identificacin. Cree una cultura de seguridad implementando un programa regular de capacitacin de los empleados. Mantenga actualizados a sus empleados a medida que tome conocimiento de la aparicin de nuevos riesgos y vulnerabilidades. Asegrese de que los empleados de sus oficinas satlites, el personal temporal y los trabajadores de estacin tambin participen de los cursos de capacitacin. Considere bloquear el acceso a la red a los empleados que no concurran al programa de capacitacin.
pg. 14

Capacite a sus empleados para que aprendan a reconocer las amenazas de seguridad. Indqueles cmo reportar la actividad sospechosa y recompense pblicamente a los empleados que lo alerten de la aparicin de vulnerabilidades del sistema. Considere pedirles a sus empleados que miren el tutorial interactivo disponible en ingls en www.ftc.gov/infosecurity.

Mantenga informado a su personal sobre las normas de su compaa de proteccin y confidencialidad de la informacin. Coloque recordatorios en las reas donde se usa o almacena la informacin delicada y tambin en los lugares donde se congregan los empleados. Asegrese de que sus normas tambin cubran a los empleados que trabajan a distancia o que acceden a la informacin delicada desde sus casas u otro lugar fuera de su negocio.

Enseles a sus empleados cules son los riesgos del phishing mensajes de correo electrnico con informacin de apariencia legtima. Puede que estos mensajes electrnicos parezcan provenir de alguna persona que trabaja en la compaa, por lo general de algn jefe o directivo. Establezca una norma para que el personal de su oficina verifique independientemente todos los mensajes de correo electrnico recibidos en los cuales se solicite informacin delicada o confidencial. Infrmeles a sus empleados que para verificar la legitimidad de un email de este tipo no tienen que responderlo ni usar los enlaces, nmeros de telfono ni los sitios web contenidos en el mensaje. Advierta a sus empleados sobre la prctica conocida como phishing telefnico. Enseles a sospechar de personas desconocidas que llamen al negocio diciendo que necesitan nmeros de cuenta para procesar un pedido o que pidan la informacin de contacto de clientes o empleados. Establezca como norma que se verifiquen esto llamando a la compaa a un nmero de telfono que usted sepa es real. Pida a los empleados que le notifiquen inmediatamente si existe una potencial violacin de la seguridad del sistema de datos, como por ejemplo la prdida o robo de una computadora porttil. Imponga medidas disciplinarias para castigar las violaciones de las normas de seguridad y proteccin de la informacin. Para consultar recomendaciones para computadoras, tutoriales, juegos y pruebas para todos los miembros de su personal, visite en Internet www.AlertaenLinea.gov.
pg. 15

PRCTICAS DE SEGURIDAD APLICABLES A CONTRATISTAS Y PROVEEDORES DE SERVICIOS


Las prcticas de seguridad de su compaa dependen de las personas que las implementan, incluidos sus contratistas y proveedores de servicios.

Antes de contratar servicios externos para desempear alguna de sus funciones comerciales liquidacin de salarios, administracin y localizacin de servicios Web, operaciones del centro de atencin de llamadas, procesamiento de datos o servicios similares investigue las prcticas de seguridad de la informacin de la compaa a contratar y compare sus estndares con los de su negocio. Si fuera posible, vistelos en su lugar de trabajo. Deje aclarado en el contrato todos los asuntos de seguridad referidos al tipo de datos que administrarn sus proveedores de servicios. Insista que sus proveedores de servicios le notifiquen cualquier incidente de seguridad que tengan, aun cuando estos incidentes no resulten en un compromiso real de los datos de su compaa. CONTROL DE SEGURIDAD Pregunta: En realidad, no soy una persona demasiado habilidosa en cuestiones tecnolgicas. Existen algunas medidas que pueden tomar nuestros especialistas en computacin para proteger nuestro sistema de los ataques ms comunes? Respuesta: S. Existen reparaciones simples que pueden ser adoptadas para proteger sus computadoras de algunas de las vulnerabilidades ms comunes. Por ejemplo, una amenaza llamada SQL injection attack puede darle paso a los defraudadores y permitir que accedan a los datos delicados que estn guardados en su sistema. Proteja sus sistemas manteniendo los programas actualizados y realizando revisiones de seguridad peridicas a su red. Para actualizar la informacin sobre las amenazas ms recientes y sus respectivas reparaciones marque como favoritos los sitios Web de grupos como Open Web Application Security Project, www.owasp.org,o SANS (SysAdmin, Audit, Network, Security) Institutes Most Critical Internet Security Vulnerabilities, www.sans.org/toppg. 16

cyber-security-risks. Adems, consulte a su proveedor de software acerca de la disponibilidad de parches de seguridad contra las nuevas vulnerabilidades.

4. ELIMINELO. Deseche correctamente la informacin que ya no necesita.


Lo que a usted le puede parecer simplemente una bolsa de residuos, a un ladrn de identidad puede resultarle una mina de oro. Depositar los recibos de tarjeta de crdito, o papeles o CD con informacin de identificacin personal en un canasto de residuos facilita el fraude y expone a los consumidores al riesgo del robo de identidad. Desechando correctamente la informacin delicada, usted puede asegurarse de que la informacin no logre ser leda ni reconstruida.

Implemente prcticas para desechar la informacin que resulten lgicas y apropiadas para prevenir el acceso o uso de datos de identificacin personal. La racionalidad de las medidas establecidas para eliminar informacin en su negocio se basa en el nivel de susceptibilidad de la informacin, los costos y beneficios de los diferentes mtodos de eliminacin y los cambios de la tecnologa. Deseche eficazmente los registros impresos pasndolos por la trituradora de papel, quemndolos o pulverizndolos antes de descartarlos. Coloque trituradoras de papel a disposicin del personal en todas las secciones de su negocio, incluso al lado de la fotocopiadora. Cuando se deshaga de computadoras y dems dispositivos porttiles de almacenamiento de datos en desuso, use programas software indicados para borrar datos de manera segura, comnmente llamados programas de borrado (wipe utility programs). Estos programas son de bajo costo y pueden brindar mejores resultados ya que sobrescriben ntegramente el disco duro de manera tal que los archivos quedan irrecuperables. Usualmente, no resulta suficiente eliminar los archivos utilizando los comandos del teclado o el ratn porque es posible que los archivos continen guardados en el disco duro de la computadora y por lo tanto podran ser recuperados. Asegrese de que todos los empleados que trabajan desde sus casas implementen los mismos procedimientos para desechar la documentacin que contiene informacin delicada y para deshacerse de las computadoras y dispositivos porttiles de almacenamiento de datos en desuso. Si por motivos comerciales su negocio utiliza informes de crdito de los consumidores, posiblemente usted est sujeto a las
pg. 17

disposiciones de la Regla de Eliminacin de Datos de la FTC. Para ms informacin, lea Est eliminando los datos de los informes de los consumidores? La nueva regla le dice cmo hacerlo. CONTROL DE SEGURIDAD Pregunta: Mi compaa recibe solicitudes de crdito completadas por los clientes. En el formulario se les solicita a los clientes que suministren una gran cantidad de informacin financiera. Cuando terminamos de utilizar las solicitudes, las desechamos cuidadosamente. Es esto suficiente? Respuesta: No. Establezca normas para estar seguro de que todos los papeles que contengan informacin delicada no puedan ser ledos ni recuperados luego de que usted se deshaga de los documentos. Para estar seguro de que un ladrn de identidad no los robe de su canasto de basura, qumelos, tritrelos o pulvercelos.

6. PLANIFIQUE CON ANTICIPACIN. Elabore un plan para responder a


los incidentes de seguridad. Adoptar las medidas necesarias para proteger los datos que se encuentran en su poder puede ser una gran ayuda para prevenir una violacin del sistema de datos; sin embargo, a pesar de las precauciones adoptadas su negocio podra sufrir un incidente.

A continuacin le sugerimos cmo puede reducir el impacto de un incidente de seguridad sobre su negocio, sus empleados y clientes:

Establezca un plan de respuesta para los incidentes de seguridad. Designe a un empleado de alto rango en la empresa para que coordine e implemente el plan de respuesta. Si se compromete la seguridad de una computadora, desconctela inmediatamente de su red. Investigue los incidentes de seguridad inmediatamente y tome medidas para cerrar las vulnerabilidades o bloquear las amenazas para la informacin personal.

pg. 18

Considere quines deberan ser notificados en caso de que se produzca un incidente, tanto dentro como fuera de su organizacin. Es posible que tenga que notificar a los consumidores, autoridades competentes, clientes, compaas de informes de crdito y dems negocios que puedan verse afectados por la violacin del sistema de datos. Adems, tenga presente que muchos estados y las agencias federales de regulacin de actividades bancarias poseen leyes o pautas directrices aplicables a las violaciones del sistema de datos. Consulte con su abogado. CONTROL DE SEGURIDAD Pregunta: Soy propietario de una pequea empresa. No me costar una fortuna implementar todas estas precauciones? Respuesta: No. En lo relacionado a la seguridad y proteccin de datos no existe una nica solucin que se adapte a la medida de todos los negocios, y aquello que resulte ms adecuado para su caso depender del tipo de negocio que opere y de la clase de informacin que recolecte de sus clientes. Algunas de las medidas de seguridad ms efectivas utilizar contraseas slidas, guardar bajo llave la documentacin delicada, capacitar a su personal, etc. le costarn muy poco y adems, usted puede encontrar herramientas de seguridad gratuitas o de bajo costo en los sitios Web de las organizaciones sin fines de lucro dedicadas a la seguridad de la informacin. Adems, a largo plazo resulta ms econmico invertir en un mejor sistema de seguridad de datos que perder la confianza de sus clientes, asumir costos legales y enfrentar las posibles consecuencias de una violacin del sistema de datos.

RECURSOS ADICIONALES
Los sitios web y publicaciones listados a continuacin contienen ms informacin sobre cmo proteger datos delicados e informacin confidencial: Computer Security Resource Center Standards and Technology (NIST) www.csrc.nist.gov
pg. 19

del

National

Institute

of

Most Critical Internet Security Vulnerabilities del SANS (SysAdmin, Audit, Network, Security) Institute www.sans.org/top-cyber-security-risks United States Computer Emergency Readiness Team (US-CERT) www.us-cert.gov Alerta en Lnea www.alertaenlinea.gov

Para Ms Informacin
La FTC trabaja para prevenir las prcticas comerciales fraudulentas, engaosas y desleales en el mercado y proveer informacin para ayudar a los consumidores a identificar, detener y evitar dichas prcticas. Para presentar una queja o para obtener informacin gratuita sobre temas de inters del consumidor visite www.ftc.gov/espanol o llame sin cargo al 1-877-FTC-HELP (1-877-3824357); TTY: 1-866-653-4261. Para ms informacin, vea el nuevo video Cmo Presentar una Queja. La FTC ingresa las quejas presentadas por los consumidores a una base de datos segura y herramienta investigativa llamada Red Centinela del Consumidor (Consumer Sentinel) que es utilizada por cientos de agencias de cumplimiento de las leyes civiles y penales en los Estados Unidos y del extranjero. Su Oportunidad de Presentar Comentarios La agencia National Small Business Ombudsman y 10 juntas regionales llamadas Regional Fairness Boards recogen comentarios de parte de las pequeas empresas sobre las acciones federales de cumplimiento y fiscalizacin. Todos los aos, el Ombudsman evala la conducta de dichas actividades y califica la capacidad de respuesta de cada agencia ante las pequeas empresas. Los representantes de las pequeas empresas pueden presentar comentarios al Ombudsman sin temor a represalias. Para presentar comentarios, llame a la lnea gratuita 1-888-REGFAIR (1-888-734-3247) o visite en Internet www.sba.gov/ombudsman.

------

o0o

------

pg. 20