¿Estás preparado para hacer frente a una fuga de datos?

La información es uno de los activos más importantes de las empresas. La cartera de clientes, las tarifas, el know-how, la propiedad intelectual, etc. todos tienen mucho valor para el negocio. Si caen en otras manos, podrían utilizarlos para comerciar con ellos, utilizarlos como arma de desprestigio o como herramienta de extorsión hacia nuestra empresa. El impacto de un incidente de pérdida de información es en cualquier caso muy perjudicial, pudiendo ocasionar daños de imagen, consecuencias legales y pérdidas económicas. Por esto es necesario evitar cualquier posible fuga de información.

¿Qué es la fuga de información?

Una definición: la fuga de información o fuga de datos es la liberación deliberada o involuntaria de información confidencial o sensible, a un medio o a personas que no deberían conocerla.

¿Deliberada o involuntaria?

La fuga es deliberada cuando es intencionada, es decir si sufrimos un ataque en el que nos roban, mangan o birlan información confidencial aprovechando alguna vulnerabilidad de nuestros sistemas o algún fallo de configuración y también si nos engañan para acceder a ella mediante técnicas de ingeniería social. Son también incidentes premeditados el robo de móviles, portátiles o pendrives.

El origen de la fuga deliberada de información puede ser externo como en el caso de organizaciones criminales que roban los correos de nuestros clientes o por ciberdelincuentes que quieren dañar nuestra imagen o desprestigiarnos. También puede tener un origen interno, por ejemplo empleados descontentos que actúan, llevándose, extrayendo o enviando información a terceros, con intención de revancha o para su propio beneficio.

Pero la fuga de información también puede ocurrir por error o de forma no intencionada, como cuando perdemos un dispositivo de almacenamiento como un pendrive o un portátil, o si enviamos por error información que no deberíamos haber enviado o utilizamos almacenamiento en la nube o apps de móviles que no están permitidas y cuya seguridad desconocemos.

¿Confidencial o sensible?

La fuga de información es un incidente de seguridad que afecta sobre todo a la confidencialidad de la información. No hace  mucho os contábamos que para prevenir la fuga de información tenemos que empezar por conocer qué información manejamos y clasificarla. Esta clasificación será la base para establecer perfiles de usuarios a los que asignar permisos. También es útil instalar un cortafuegos, herramientas específicas de protección de fuga de datos (DLP o Data Leakage Prevention)  o mecanismos de cifrado.

Los resultados de la compañía, las estrategias, los correos electrónicos y las conversaciones internas son información confidencial. También hay que proteger la información sujeta a propiedad intelectual como especificaciones de productos, código fuente y creaciones o desarrollos propios, y estudios sobre la competencia y otros documentos estratégicos. Y sin duda es información sensible la que está sujeta a la protección de datos personales como cuentas bancarias, tarjetas de crédito, información de contacto o historias clínicas.

¿Cómo se fuga la información?

La información «abandona» la empresa de las siguientes formas:

1. Mediante portátiles, móviles y otros dispositivos externos como discos duros, CD/DVD o USB que se extravían o se usan para «sacar» información. Se agrava si no se tiene control sobre los dispositivos permitidos (incluidos BYOD) y sobre la información que se puede copiar en ellos. Mejora si se controla qué información puede copiarse a estos dispositivos y en qué casos debe ir cifrada.
2. A través del correo electrónico corporativo y cuentas de correo gratuitas se envía información como consecuencia de un engaño o de forma «voluntaria». Mejora con concienciación en el uso correcto del correo electrónico y si se controla la información que puede enviarse por estos medios y en qué casos debe ir cifrada.
3. Cuando se utilizan redes inalámbricas desprotegidas, como la de los aeropuertos o los  hoteles, por trabajadores de viaje sin tener en cuenta qué transmiten y quién puede estar escuchando. Mejora si se conciencia a los empleados de en qué casos hacer uso de estas redes, si se controla qué información o aplicaciones se pueden usar fuera de la oficina y si se les proporciona una VPN para accesos desde el exterior.
4. Utilizando aplicaciones no controladas por la empresa, por ejemplo para almacenamiento en la nube (Dropbox, Google Drive, Mega,…) o herramientas de colaboración, mensajería instantánea o multiconferencia (Skype, Hangouts, Line, Viver,…) y otras para compartir archivos en P2P (eMule, uTorrent,…). Mejora si se establecen políticas de uso de software permitido, bloqueando su instalación o desinstalándolos.
5. Publicando en redes sociales información de forma inadecuada o algo que no debería publicarse, y cuando se responde a usuarios sin control. Mejora si se conciencia a los usuarios de los usos aceptables de las redes sociales, corporativas y personales, y si se centraliza en profesionales el uso de las cuentas de redes sociales corporativas.
6. Si resultamos infectados por malware que roba datos (troyanos, spyware, keyloggers, stealers y ransomware) nuestra información «abandonará» nuestras instalaciones o dejará de estar disponible muchas veces sin que nos demos cuenta. En este caso mejora con concienciación para evitar contagiarse y utilizando productos antimalware.

¿Cómo protegemos la información?

Además de clasificar la información tenemos que almacenarla en un lugar seguro y borrarla o destruirla cuando llegue al final de su ciclo de vida.

Sobre la información sensible y confidencial y las aplicaciones y equipos que la manejan tendremos que establecer controles de acceso. No menos importante es poner en marcha políticas de uso de dispositivos y aplicaciones y sesiones de concienciación para darlas a conocer.

Al igual que hacemos al incorporar dispositivos móviles a la empresa con aplicaciones de gestión de dispositivos, si tenemos muchos datos confidenciales tendremos que tomar medidas para proteger la información confidencial cuando está almacenada, cuando se utiliza y cuando se mueve. Esto lo hacen las herramientas DLP (Data Leakage Prevention) que también pueden adecuadas para pymes que manejan datos sensibles.

Las herramientas DLP detectan, supervisan y aplican políticas de uso sobre la información confidencial donde quiera que esté, cuando está siendo utilizada y cuando se mueve. Pueden ser herramientas autónomas o integrarse en nuestra red, con otras herramientas de protección y con nuestras aplicaciones web, de mensajería y con el correo electrónico. Impiden, por ejemplo, que la información confidencial pueda almacenarse en dispositivos extraíbles y enviarse por correo, o restringen la copia de esta información o que sea utilizada por aplicaciones no permitidas. También sirven para controlar los dispositivos permitidos y forzar el cifrado de la información sensible cuando es utilizada en estos dispositivos.

¿Sabrías actuar ante un incidente de este tipo?

Imagina que un día descubres que se ha producido una fuga de información. ¿Sabrías cómo actuar? Te retamos a hacer un simulacro en tu empresa con este juego de rol. A partir de hoy estará disponible el ejercicio para responder a un supuesto incidente de este tipo. ¿Queréis comprobar si estáis preparados?