Saltar al contenido

Las pequeñas empresas no están preparadas para la filtración de datos

Por Anne Rosivach

Los casos de violación de datos son un problema creciente de gestión de riesgos para las pequeñas empresas a medida que acumulan un volumen cada vez mayor de información de clientes, empleados y propietarios. La mayoría de las pequeñas empresas son conscientes de que las amenazas existen, pero sólo un pequeño porcentaje de las empresas con menos de 250 empleados tienen políticas y procedimientos para protegerse contra las intrusiones en línea, según una encuesta de la Alianza Nacional de Ciberseguridad/Symantec realizada en septiembre de 2012.

Las pequeñas empresas no están preparadas para la filtración de datos
Las pequeñas empresas no están preparadas para la filtración de datos

La encuesta encontró que:

  • El 73 por ciento de las pequeñas y medianas empresas afirma que una Internet segura y fiable es fundamental para el éxito de su negocio, y el 46 por ciento de ellas afirma que es muy importante.
  • El setenta y siete por ciento de las pequeñas y medianas empresas piensan que tener una fuerte postura de ciberseguridad y seguridad en línea es bueno para la marca de su empresa.

Pero a pesar de su dependencia de Internet y la importancia que le dan a la seguridad en línea, el 87% no tiene políticas y procedimientos de Internet, y el 75% no tiene políticas para el uso de los medios sociales de los empleados en el trabajo.

“Nadie puede prevenir el robo de identidad”, dijo Mark Pribish, vicepresidente y líder de la práctica de robo de identidad de Merchants Information Solutions, en una reciente conversación con AccountingWEB. “Es extremadamente lucrativo. Las pequeñas empresas tienen múltiples relaciones con múltiples clientes y proveedores, y esas relaciones cambian constantemente. La educación es la herramienta número uno para proteger los datos”.

La Junta Asesora sobre Robo de Identidad de Comerciantes, que incluye a Avnet, KPMG, el FBI, Cox, BBB y Merchants Information Solutions y que apoya la educación para las pequeñas empresas, ha publicado un libro electrónico de Mejores Prácticas sobre Robo de Identidad y Fraude de Pequeñas Empresas . El libro electrónico gratuito, que puede descargarse en su totalidad o por tema, presenta las mejores prácticas en:

  • Investigación de antecedentes
  • Gestión del riesgo de filtración de datos
  • Gobernanza de la información
  • Tecnología y seguridad de la información
  • Ley de privacidad y seguridad
  • Riesgos de los medios sociales

“En caso de infracción, las pequeñas empresas no tienen la misma protección que los consumidores”, dijo Pribish. “Mientras que los activos de los clientes con cuentas bancarias personales están protegidos por la ley federal, las cuentas bancarias comerciales no lo están. En los casos judiciales, la carga de la prueba de la responsabilidad de un banco u otra institución financiera recae en las pequeñas empresas, según el Código Comercial Uniforme (UCC)”. Pribish se refirió a un caso reciente en el que el People$0027s United Bank accedió a reembolsar a una empresa de construcción 345.000 dólares que habían perdido los piratas informáticos, pero sólo después de que un tribunal dictaminara que el sistema y las prácticas de seguridad del banco habían sido inadecuados según el UCC.

Pribish recomendó tres pasos que las pequeñas empresas y sus asesores de CPA deben tomar para prepararse para una infracción:

  1. Familiarícese con la Ley de Portabilidad y Responsabilidad de la Información Médica (HIPAA), la Regla de Banderas Rojas de la Comisión Federal de Comercio y las múltiples leyes de responsabilidad por violación de datos que se han promulgado en cuarenta y seis estados.
  2. Poner en marcha un programa de gestión de riesgos empresariales (ERM) que incluya la seguridad de la información y el gobierno. “Hay una tendencia a delegar la seguridad de la información al tipo de TI, pero eso es lo último que se debe hacer”, dijo Pribish.
  3. Establecer una política de retención y destrucción de documentos del cliente.

Según el Libro Electrónico, si bien cada pequeña empresa es única para su grupo industrial o sector empresarial, la base de un plan de respuesta a incidentes de violación de datos de una pequeña empresa debe incluir los siguientes componentes:

  • Fuente de la brecha – determinar la fuente y asegurarse de que el compromiso de los datos está aislado y el acceso está cerrado. Si no puede determinar la fuente de la violación debe contratar a una empresa de investigación forense.
  • Evaluación de la infracción: determinar el alcance de la infracción de los datos y los requisitos reglamentarios de privacidad y seguridad de los datos asociados al tipo de registros, además del estado de domicilio.
  • Plan de respuesta: incluye la educación interna de los empleados y los temas de conversación; comunicados de prensa de relaciones públicas, educación de los clientes y recursos; la(s) solución(es) para la pequeña empresa o el consumidor que se debe considerar; y el contenido y la publicación oportuna de las cartas de notificación.
  • Plan de protección – incluye los servicios de protección de pequeñas empresas o consumidores que se ofrecerán al grupo de registros comprometidos y la confirmación de los servicios de apoyo del centro de llamadas profesionales y del defensor de la recuperación.
  • Plan de resolución de las víctimas de infracciones: proporcionar acceso a defensores profesionales certificados de recuperación de fraudes de identidad que trabajen en nombre de las víctimas para mitigar y resolver los problemas causados por las infracciones.

La notificación, planificación y ejecución profesional adecuadas del plan ayudarán a mitigar las posibles multas, penalizaciones, demandas colectivas, daños a la marca y pérdida de ingresos.

Sobre la Junta Asesora de Robo de Identidad de Comerciantes:

La Junta Asesora sobre el Robo de Identidad de Comerciantes, que cuenta con el apoyo de Merchants Information Solutions, de 100 años de antigüedad, fue fundada en 2009 con una iniciativa de divulgación comunitaria para apoyar la educación y la concienciación sobre el robo de identidad y el fraude en las pequeñas empresas, el robo de identidad de niños y la seguridad en Internet.

Artículos relacionados:

  • Miles de millones en fraude fiscal por robo de identidad quedan sin detectar
  • Nueva Directiva para combatir el fraude de identidad robada
  • Informe del TIGTA: Los datos de los contribuyentes del IRS son vulnerables a los hackers