Inicio / Protege tu empresa / Blog / ¿Cómo puedo prevenir la fuga de información dentro de mi empresa?

¿Cómo puedo prevenir la fuga de información dentro de mi empresa?

Publicado el 05/05/2016, por INCIBE
¿Cómo puedo prevenir la fuga de información dentro de mi empresa?

En tu empresa ¿es importante la cartera de clientes?, ¿las tarifas?, ¿la reputación? Seguramente tu respuesta haya sido . Y es que la información, sin duda alguna, constituye uno de los activos más importantes de nuestra empresa independientemente de que esta sea pequeña, mediana o grande.

Son muchas las noticias que podemos leer en algunos medios de comunicación relacionados con incidentes de seguridad en las que se producen robos o sustracciones de información confidencial. Esto tiene consecuencias muy graves, no sólo en lo económico o legal, con multas o sanciones por incumplimiento de legislación en materia de protección de datos; sino en cuanto a imagen y pérdida de reputación, pérdida de clientes, etc. La construcción de una imagen y reputación requiere de mucho esfuerzo y trabajo, pero perder todo este trabajo ante este tipo de incidentes es muy fácil y, lo que es peor, muy difícil de volver a construir.

¿Por qué ocurre?

Este tipo de problemas siempre han existido en las empresas pero, con el uso de las nuevas tecnologías, el procesamiento y almacenamiento de grandes volúmenes de datos, el impacto de una filtración es mucho mayor. Por otro lado, nos encontramos que con el aumento en la utilización de dispositivos móviles, -tanto corporativos como personales- para acceder a los recursos de la empresa, supone un riesgo añadido para la seguridad de nuestra información.

La fuga de información se puede producir de forma accidental: perdida de un portátil, envío de información por error, etc. Pero también puede tratarse de un incidente provocado, por ejemplo por el descontento de algún empleado que filtre información, o a través de otras técnicas, como los ataques llevados a cabo por ciberdelincuentes por medio de ingeniería social, que hayan propiciado el robo de la información para dañar la reputación de la empresa o con fines económicos.

¿Cómo podemos prevenir este tipo de incidentes?

Para prevenir con garantía este tipo de incidentes, debemos tener en cuenta el tipo y el valor de la información a proteger, teniendo en cuenta el posible impacto que pueda causar en nuestro negocio su robo o pérdida, ya que puede tener distintas consecuencias en función del tipo de información y del tipo de organización. Por lo tanto siempre debemos:

1. Conocer la información que gestiona la organización. Esto debe hacerse a través de entrevistas y reuniones con el personal de la organización.

2. Clasificarla según su criticidad, según un criterio razonable y unificado.

3. Determinar su grado de seguridad: ¿es alto el riesgo de pérdida de información?, ¿y el de fuga o robo de información?, ¿puede ser alterada sin autorización?

4. Establecer las medidas necesarias para mejorar su seguridad.

Medidas de prevención de fuga de información

Para reducir la probabilidad de que este tipo de incidentes ocurran, podemos establecer diferentes tipos de medidas, muy vinculadas a la protección del puesto de trabajo, porque al final no deja de ser el punto más importante donde gestionamos este activo. Pero de forma específica podemos destacar tres tipos de medidas:

  • Técnicas. El mercado de soluciones de seguridad, ofrece servicios y herramientas para todo tipo y tamaño de empresas, que permiten detectar y prevenir la fuga de información. Las medidas básicas que podemos aplicar, independientemente del tamaño de la empresa, son:
    • cifrado de la información confidencial corporativa,
    • instalación, configuración y actualización de cortafuegos,
    • mantener actualizadas todas las aplicaciones de nuestros sistemas, etc.

    Para empresas con mayores recursos económicos o que necesitan un nivel mayor de exigencia a la hora de gestionar y proteger la información, podemos aplicar otras medidas más avanzadas utilizando:

    • soluciones de prevención de pérdida de datos o DLP (del inglés Data Loss Prevention) que suelen estar orientadas a la monitorización y control;
    • las destinadas a la gestión del ciclo de vida de la información o ILM (del inglés Information Lifecycle Management) desde que esta es generada o elaborada hasta su archivado o destrucción final;
    • las herramientas de control de dispositivos externos de almacenamiento, que están destinadas a controlar el acceso físico a puertos y dispositivos extraíbles como USB para evitar fugas de información.
  • Organizativas. Este tipo de medidas están estrechamente relacionadas con «la forma» en que se maneja o se trata la información. Por un lado tendremos que prevenir malas prácticas como compartir contraseñas o información confidencial en directorios de trabajo a las que tiene acceso toda la empresa. Estas situaciones suelen darse por falta de conocimiento del usuario. Por este motivo, es importante fijar políticas de seguridad, junto con acciones de concienciación a todos los empleados.
  • Jurídicas. Es importante que los empleados o proveedores que gestionan la información corporativa, cumplan las políticas de seguridad; para ello podemos firmar acuerdos de nivel de servicio (SLA) con los proveedores y hacer que los usuarios firmen unos acuerdos de confidencialidad, en los que los que regularemos los aspectos relativos a la seguridad y la confidencialidad de la información en la prestación de un servicio, incluyendo las sanciones en caso de incumplimiento. Un punto importante, y de obligado cumplimiento, es el relacionado con el tratamiento de ficheros que contienen datos de carácter personal. Aplicando estas medidas, no solo cumpliremos con las leyes, sino que también mostraremos nuestro compromiso con el cliente en cuanto al manejo de la confidencialidad de su información y, en caso de que se produzca una fuga de información intencionada por parte de alguien de la compañía, tener el respaldo legal para llevar a cabo las medidas oportunas.

Aunque siempre es importante extremar las precauciones para evitar cualquier tipo de incidente, este tipo de incidencias tienen un cariz significativo por el impacto reputacional. Si quieres conocer más detalles sobre cómo protegerte o gestionar un incidente de este tipo, te invitamos a consultar nuestra guía de "Cómo gestionar una fuga de información. Una guía de aproximación al empresario". Recuerda que un robo de datos puede tener importantes consecuencias sobre tus clientes y sobre la imagen de la organización. ¡Protege tu información!