La seguridad de los datos es importante para todos a nivel personal, pero es doblemente crítica para aquellos de nosotros que entramos en contacto con la información privada de las personas en el curso de los negocios cotidianos. Nuestros medios de vida y reputación están en juego, después de todo.
Si usted es consciente de este problema pero no está seguro de su escala, sólo considere el hecho de que 781 violaciones de datos expusieron cerca de 170 millones de registros privados en 2015, según el Centro de Recursos de Robo de Identidad, haciendo miles de millones de dólares en daños en el proceso. Y hasta el 31 de mayo, ha habido otras 430 violaciones hasta ahora en 2016, exponiendo unos 12,6 millones de registros adicionales.
Su objetivo es evitar convertirse en una estadística. Además de apuntalar su cobertura de seguro, haga un esfuerzo concertado para mejorar sus políticas de protección de datos. Pero como la contabilidad es su fuerte, no la seguridad informática, es comprensible si no está seguro de por dónde empezar. Puede comenzar con estos cuatro pasos imprescindibles:
1. Destacar el elemento humano de la seguridad. Los iniciados representan quizás la mayor amenaza para la seguridad de la información privada, ya que tienen acceso a documentos y bases de datos confidenciales, conocen sus sistemas y la terminación proporciona un motivo obvio para la actividad maliciosa. La mejor manera de mitigar esa amenaza es empezar por el principio. Examinar minuciosamente a todos los solicitantes de empleo haciendo comprobaciones de antecedentes y de crédito, así como hablando con los antiguos empleadores. Además, es una buena idea utilizar acuerdos de empleo que tengan importantes sanciones financieras por revelar información sensible o de propiedad. Confiar pero verificar, en otras palabras.
Más allá del proceso de contratación, asegúrese de establecer políticas claras sobre quién puede acceder a la información confidencial, cómo impedir que copien esos datos y cómo se evitará que personas no autorizadas accedan a ellos por completo. Luego haga un seguimiento con revisiones regulares – al menos trimestrales – de las políticas y actualizaciones de las contraseñas.
Finalmente, para completar el círculo, también necesitas un plan para manejar el despido de los empleados, tanto amigable como agrio. Tener una lista de tareas: restringir los permisos, cambiar las contraseñas, etc. – hará que un tiempo ya agitado sea más manejable. Y con un plan sólido, el hecho de que el 63% de las violaciones de datos impliquen contraseñas débiles o robadas, según el informe de Verizon 2016 Data Breach Investigations Report , probablemente tampoco te preocupe tanto.
2. Limitar la retención de datos. No es el tamaño de tu negocio lo que te hace un objetivo atractivo para los hackers, sino el tipo y la cantidad de datos jugosos que tienes para tomar. Así que, minimiza la información personal que solicitas a los clientes y limita aún más lo que retienes.
Nunca guardes los números de las tarjetas de crédito, por ejemplo. Y si sólo necesitas el número de la Seguridad Social de un cliente una vez al año, solicítalo por teléfono cada vez en lugar de guardarlo en el archivo. Después de todo, los números de seguro social son muy valiosos dado su uso generalizado a lo largo de nuestras vidas, y aproximadamente el 64 por ciento de los ejecutivos dicen que la información de pago es la información personal más difícil de asegurar. Estos pasos pueden plantear algunos inconvenientes menores, pero a la gente le gusta saber que su información se mantiene segura.
3. Cifrar todo. Puedes considerar que todos los datos no encriptados son públicos. Por lo tanto, no guardes o publiques nada en línea – incluso en la nube – antes de que haya sido debidamente encriptado. Afortunadamente, podrías tener al menos parte de la solución ya a mano. Los usuarios de Microsoft pueden cifrar sus discos duros activando BitLocker, por ejemplo, y cualquiera puede cifrar la comunicación por Internet configurando una VPN. Además, hay muchas otras opciones de software de buena reputación disponibles.
Así que, realmente no hay excusa para aflojar en esta área. Y el riesgo impuesto por la inacción es significativo, considerando que el robo de tarjetas de crédito es el resultado más común de la piratería, mientras que la exportación de datos es el subproducto más probable del malware, según el informe de Verizon.
4. Pruebe sus vulnerabilidades. Lo que no sabes sobre las fallas de seguridad de tu negocio puede y va a perjudicarte, y eso hace que una perspectiva externa sea primordial. Necesitas a alguien familiarizado con el funcionamiento de los intrusos para evaluar las medidas que has puesto en marcha. No te preocupes, no necesitas interactuar con ningún elemento criminal para lograrlo. Hay muchos servicios de buena reputación que realizarán auditorías de seguridad en su negocio y le ayudarán a parchear cualquier vulnerabilidad que pueda salir a la luz.
No te olvides de las amenazas del mundo real que preocupan a la ciberseguridad paralela, porque el robo físico y la ingeniería social pueden ser tan perjudiciales como una brecha de datos en línea. Por lo tanto, encuentre un consultor que pueda evaluar sus operaciones de manera holística, incluyendo minucias como si los empleados cierran sus computadoras cuando se levantan de sus escritorios, si las contraseñas se escriben alguna vez y cómo se monitorean los visitantes. Y realice este paso al menos dos veces al año.
Conclusión
Al final del día, es importante recordar que aunque no entres en la industria de la contabilidad sólo para ocuparte de la informática todo el día, tu objetivo final es atender las necesidades de tus clientes. Y eso, en estos tiempos, significa reconocer que las prácticas de seguridad de datos mal implementadas o administradas son una bomba de tiempo, especialmente dado el aumento de las revisiones en el espacio de los servicios financieros.
Así que, dedique un poco de tiempo y energía a este tema ahora, y su billetera ciertamente le agradecerá a largo plazo.