Inicio / Protege tu empresa / Blog / Caso práctico: Una fuga de información no intencionada

Caso práctico: Una fuga de información no intencionada

Publicado el 28/10/2015, por INCIBE
Caso práctico: Una fuga de información no intencionada

De los 141 hechos relevantes detectados en materia de ciberseguridad desde nuestra bitácora de seguridad (61 en 2014 y 80 en 2015), un total de 39 (el 28%) estaban relacionados con fuga de información. Otros estudios revelan que millones de registros de información se ven desvelados cada año por incidentes de este tipo.

La imagen que solemos tener de un incidente de fuga de información es la de un ciberdelincuente accediendo de forma ilegítima a los servidores de una compañía para robar información de clientes y empleados y hacerla pública sin un motivo especialmente claro.

Sin embargo, este tipo de incidentes no siempre son ocasionados por un cibercriminal con un interés económico. En muchas ocasiones las fugas de datos se producen por falta de formación y concienciación de un empleado o usuario, que con una intención legítima no se dan cuenta de que están dejando al descubierto información de gran valor para la empresa.

En el caso del video que hoy os presentamos se habían encontrado con este problema. El informático del hospital detectó que se estaba enviando gran cantidad de información confidencial a la nube y se decidió a investigar. Cuando estuvo seguro de que se trataba de una fuga de información siguió el procedimiento adecuado: informó al responsable de seguridad del hospital.

Ante un incidente de fuga de información los pasos a seguir se dividen en cinco fases.

  1. En la primera fase se debe realizar un informe inicial de la situación y presentarlo en una reunión del gabinete de crisis, donde se decidirán las primeras medidas que pretenden paliar las consecuencias del incidente.
  2. A continuación se realizará una auditoría tanto interna como externa.
  3. En la fase de evaluación, se presentarán los resultados de la auditoría en una nueva reunión del gabinete de crisis y se tomarán las decisiones sobre las acciones a tomar.
  4. En la cuarta fase se ejecutarán las decisiones del plan de acción, tomadas en la fase anterior.
  5. La última fase es valoración de los resultados y una auditoría completa tras la resolución del problema.

En la guía « Cómo gestionar una fuga de información. Una guía de aproximación al empresario» que tenemos publicada en INCIBE, encontraras información más detallada sobre cómo actuar ante un incidente de fuga de información.

¿Dieron los pasos adecuados desde este Hospital cuando se produjo la fuga de información?

…parece ser que sí. El hospital organizó un gabinete de crisis, y se tomaron una serie de decisiones orientadas a la protección de los datos, a la mejora de la funcionalidad del servicio y a la formación de los empleados.

Al final, la situación se quedó en un susto y no hubo que lamentar mayores consecuencias.

Recordar, para prevenir estas situaciones, es muy importante concienciar a los empleados en el seguimiento de unas líneas de actuación adecuadas en sus tareas diarias. Pero para poder implantar una serie de buenas prácticas en materia de ciberseguridad, es conveniente que antes la empresa disponga de un Plan Director de Seguridad y de unas políticas de seguridad que se adecúen a las líneas de actuación descritas en el PDS.