La información, un activo fundamental para las empresas

Imagina llegar una mañana a tu puesto de trabajo y darte cuenta de que toda la información con la que trabaja tu empresa ha sido comprometida. Datos de clientes, proveedores, información financiera, proyectos de innovación… Sería una situación catastrófica, ¿verdad? 

La información se ha convertido en uno de los activos más importantes de las empresas, y la pérdida de esta debería de ser una de las principales preocupaciones de cualquier empresario. 

A la divulgación de forma no autorizada de datos sensibles o confidenciales de una organización se le da el nombre de fuga de información. Una fuga de información puede tener consecuencias drásticas para las empresas, y no solamente económicas, sino que también puede suponer un incumplimiento de las leyes y regulaciones sobre protección de datos y afectar gravemente a la reputación de la empresa y a la confianza que los clientes depositan sobre ella. 

Por este motivo, es imprescindible que las empresas tomen medidas para prevenir las fugas de información y saber actuar correctamente en caso de que se produzcan. Pero, antes de nada…

¿Cómo puede llegar a producirse una fuga de información en una empresa?

Los motivos por los que puede llegar a producirse una fuga de información son múltiples. Y es que, el uso constante de los datos en el día a día de los empleados, sumado al avance de la digitalización y los dispositivos digitales, tanto empresariales como personales (BYOD), en las empresas; hacen que este tipo de incidentes puedan producirse en cualquier momento. 

Los errores humanos, las vulnerabilidades en los sistemas, los ciberataques, las filtraciones intencionadas… y otras tantas situaciones pueden llevar a las empresas a una fuga de información sin ni siquiera ser conscientes de ello. 

En general, las fugas de información pueden producirse desde dentro o desde fuera de la organización, y se pueden clasificar de la siguiente forma:

• Desde dentro de forma accidental. Es decir, pueden producirse por descuido o desconocimiento de un empleado. Por ejemplo, que envíe un correo electrónico a la persona equivocada, que deje información sensible a la vista, que olvide un dispositivo en un lugar público, etc. Lo que se conoce como insiders negligentes.
• Desde dentro de forma intencionada. En ocasiones, un empleado descontento puede hacer mucho daño a la organización y utilizar la información de la que dispone de forma malintencionada o divulgarla sin consentimiento. Llamados insiders maliciosos.
• Por vulnerabilidades de seguridad. Las brechas de seguridad en los sistemas pueden implicar que, quien las descubra las aproveche para obtener su propio beneficio.
• Por ataques de ingeniería social. En este caso, pueden estar dirigidas a algunas empresas en concreto o ser campañas generales. Phishing, smishing, vishing… Las técnicas utilizadas por los ciberdelincuentes pueden ser diferentes, pero la finalidad es la misma: hacerse con la información confidencial de la empresa.

Entonces, ¿de qué forma pueden prevenir las empresas las fugas de información?

Para prevenir este tipo de incidentes, además de las medidas básicas de ciberseguridad, es importante implantar una serie de recomendaciones y buenas prácticas en las organizaciones:

1. En primer lugar, es fundamental la concienciación de todos los empleados. Como hemos visto, en ocasiones, las fugas de información se dan, simplemente, por acciones dadas por ese desconocimiento de los empleados. Es importante que todos los trabajadores tengan formación básica en ciberseguridad para que sepan identificar y evitar las amenazas y así minimizar los riesgos. Además, deben llegar a comprender el valor de la información que manejan, aprender a clasificarla y a no hacerla salir de los límites establecidos.
2. Implantar políticas de seguridad claras para el uso de la información, que incluyan la clasificación y tratamiento de esta, el uso de contraseñas seguras, autenticación de usuarios, cifrado, etc. Además, es importante reforzar la gestión de accesos para evitar que los usuarios tengan acceso a información a la que no están autorizados.
3. No olvidar la seguridad física, pues los ciberdelincuentes y los insiders podrían aprovechar un descuido en la misma para acceder a dispositivos que contengan información confidencial o salas de acceso restringido.
4. Mantener los sistemas actualizados a la última versión es fundamental para evitar vulnerabilidades que los ciberdelincuentes puedan aprovechar para robar la información de la empresa. 
5. Realizar auditorías y monitoreo constante, ya que, llevando un registro de las actividades de los usuarios, será más fácil detectar cualquier actividad sospechosa.
6. Para empresas con mayores recursos económicos o que necesitan un nivel mayor de exigencia a la hora de gestionar y proteger la información podemos aplicar otras medidas más avanzadas como soluciones de prevención de pérdida de datos o  DLP (del inglés Data Loss Prevention) o destinadas a la gestión del ciclo de vida de la información o ILM (del inglés Information Lifecycle Management).

En conclusión, en un mundo donde los datos han alcanzado un valor tan alto, la fuga de información es un riesgo que ninguna empresa puede permitirse. Tomar las medidas adecuadas es responsabilidad de todos y marcará, sin duda, la diferencia entre las empresas que se presenten como confiables y aquellas con las que supone un riesgo trabajar. Y tú, ¿en qué lado quieres estar?

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).