Consejos para mitigar una fuga de información

La globalización, el aumento de capacidad y velocidad de las transacciones y la movilidad, provocados por la rápida evolución de la tecnología han dejado obsoleta la forma de entender los negocios. Dentro de la empresa existen bienes intangibles como la cartera de clientes, las tarifas, el conocimiento comercial, la propiedad intelectual o la reputación. Elementos que forman parte de la información de nuestra empresa y que constituyen uno de los activos más importantes de la organización.

En este entorno, la seguridad cobra un sentido especial. Todo este entorno digital es aprovechado y explotado por aquellos que “no juegan limpio”, pues los ciberdelincuentes usan la información como arma de desprestigio, herramienta de presión o elemento de valor que se comercializa y vende a escala global en todo tipo de ámbitos y sectores.

Todo ello está convirtiendo a la fuga de información en una de las mayores amenazas e instrumento de fuerza y presión. Por este motivo, la ciberseguridad es un elemento clave para el desarrollo económico. La protección frente a las ciberamenazas y el fomento de la ciberseguridad constituyen factores esenciales para el desarrollo de la economía en esta era tecnológica. De esta forma evitaremos en la medida de lo posible las filtraciones de información y el daño de imagen de nuestra compañía.

Pero hay que tener claro que la ciberseguridad total no existe y en última instancia, la información es manipulada por personas. El usuario es el eslabón más importante de la cadena en lo que a ciberseguridad se refiere. La fuga de información tiene un componente social y humano muy importante. Detrás de una buena parte de los incidentes de fuga de información se esconden motivaciones personales, económicas, daño a la imagen de la organización o simples errores, entre otras.

¿Cómo podemos mitigar la fuga de información?

Primero, debemos desarrollar y actualizar políticas de acceso a la información.

Segundo, toda organización debe seguir el principio del mínimo privilegio. Este principio se traduce en que un usuario sólo debe tener acceso a aquella información estrictamente necesaria para desempeñar sus funciones diarias, siempre que nos refiramos a información confidencial.

Tercero, la industria de ciberseguridad ofrece multitud de productos y servicios para mitigar esta amenaza. Merece la pena destacar aquellos productos destinados a la gestión del ciclo de vida de la información (ILM, del inglés Information Lifecycle Management), productos para el control de dispositivos externos o los que están destinados específicamente a evitar la fuga de información (DLP, del inglés Data Loss Prevention).

Cuarto, pero no menos importante, dado que el factor humano es uno de los componentes de la fuga de la información, es prescindible llevar a cabo campañas de concienciación en materia de ciberseguridad dentro de la organización.

¿Qué debemos hacer si se produce una fuga de información en nuestra empresa?

Debido a que no vivimos en un mundo ideal, debemos recordarles que la prevención no es suficiente, y que las consecuencias de la fuga de información pueden ser muy negativas ya que se puede dispersar muy rápidamente, llegando a afectar a otras organizaciones y usuarios.

El impacto y las consecuencias posteriores a un incidente de fuga de información son muy negativos. Por un lado, la filtración de información puede dañar la imagen pública de la empresa y por tanto impactar negativamente en el negocio, generando desconfianza e inseguridad en clientes.

Las principales causas de fuga de información (y por tanto el carácter de las medidas preventivas que se deberán adoptar) se pueden clasificar en dos grupos estrechamente relacionados: aquellas que pertenecen al ámbito organizativo y aquellas que hacen referencia al ámbito técnico. Además, la mayoría de las causas, tanto organizativas o técnicas, generalmente, implican la ausencia de algún tipo de medida de seguridad, procedimiento, herramienta, etc.

Esta ausencia de medidas supone la falta de control sobre la información y esta falta de control aumenta de forma significativa la probabilidad de que se produzca un incidente de fuga de información.

La prevención de la fuga de información pasa por la aplicación de medidas de seguridad desde tres puntos de vista: técnico, organizativo y legal.

Medidas organizativas:

Poner en marcha buenas prácticas para la gestión de fuga de la información.

Definir una política de seguridad y procedimientos para todo el ciclo de vida de los datos.

Establecer un sistema de clasificación de la información, para ligarlo a roles y niveles de acceso.

Llevar a cabo acciones de formación e información interna en ciberseguridad.

Implantar un sistema de gestión de seguridad de la información.

Medidas técnicas:

Control de acceso e identidad.

Antivirus de última generación, seguridad perimetral y protección de las comunicaciones a través de correos electrónicos.

Control de contenidos, control de tráfico y copias de seguridad.

Control de acceso a los recursos, actualizaciones de seguridad y parches.

Cada organización es diferente y será necesario buscar un equilibrio entre complejidad, coste y riesgo, en relación con la implantación de las medidas de seguridad. Pero el asesoramiento profesional, no solo durante la gestión de un incidente de fuga de información, sino también, en la fase de diseño de las medidas de prevención es de vital importancia.

Para evitar fugas de información causadas por el uso inadecuado de servicios en la nube, debemos seguir las mismas medidas que para otros tipos de incidentes: sobre todo un buen control del acceso a dichos servicios y concienciación de los empleados.

Maria Manuela Rodríguez
[email protected]


× Contáctanos