¡Fuga detectada, información robada!

Fecha de publicación 03/12/2020
Autor
INCIBE (INCIBE)
¡Fuga detectada, información robada!

Actualmente, hablar de “ciberseguridad” suele evocar en nuestra mente incidentes o ataques ocasionados por terceros con malas intenciones. Sin embargo, en el fondo estamos hablando de todo lo que rodea a la protección de la información almacenada en diferentes dispositivos o sistemas.

En este sentido, las fugas de información son otra de las amenazas a las que se enfrentan las empresas, que suelen pasar desapercibidas por su lento pero constante goteo.

Para entender en qué consiste una fuga de información debemos saber que la protección de la información se basa en tres principios básicos: confidencialidad (accesible solo para aquellas personas autorizadas), integridad (libre de errores y modificaciones no autorizadas) y disponibilidad (accesible cuando sea necesario para las personas o sistemas autorizados).

Entendemos por fuga de información la pérdida de confidencialidad ocasionada como consecuencia de un incidente de seguridad interno o externo (intencional o no), que le ocurre al responsable de su custodia, pudiendo, por tanto, perderse la integridad de la misma y su disponibilidad.

Las fugas de información pueden ser de dos tipos:

  • Internas, de forma consciente o inconsciente: venganza de empleados, espionaje industrial, pérdida de documentos o dispositivos, desconocimiento, etc.
  • Externas, generalmente procedentes de terceros con fines ilícitos, que buscan acceder a la información confidencial sin autorización: ciberdelincuentes, clientes descontentos, antiguos empleados, etc.

Sea cual sea el origen de la fuga, pone de manifiesto la carencia de ciertas medidas de control sobre la información, bien por falta de clasificación, concienciación, procedimientos o delimitación de su uso.

Cómo gestionar una fuga de información y cuáles son sus consecuencias

Es primordial detectar y mitigar las fugas de información antes de que los datos filtrados puedan suponer un compromiso cada vez mayor. Para ello, es necesario contar con un plan de gestión de incidentes, que comprenda al menos los puntos críticos divididos en las siguientes fases:

Fase inicial

  • detección del incidente
  • alerta del incidente a nivel interno
  • inicio del protocolo de gestión

Fase de lanzamiento

  • reunión del gabinete de crisis
  • informe inicial de situación
  • coordinación y primeras acciones

Fase de auditoría

  • auditoría interna y externa
  • elaboración de informa preliminar

Fase de evaluación

  • reunión del gabinete de crisis
  • presentación del informe de auditoría
  • determinación de principales acciones
  • tareas y planificación

Fase de mitigación

  • ejecución de todas las acciones del plan

Fase de seguimiento

  • valoración de los resultados del plan
  • gestión de otras consecuencias
  • auditoría completa
  • aplicación de medidas y mejoras

Si bien no todas las empresas cuentan con gabinete de crisis, sí deben disponer al menos de una persona responsable con capacidad de decisión que pueda ir coordinando las distintas actuaciones que se requieran para mitigar las fugas de información.

Además, es necesario conocer qué parte de la información filtrada se ha hecho pública y cuál no y cómo ha ocurrido. Para ello, se realizarán auditorías internas y externas que definan el alcance del incidente y permitan ejecutar cuantas acciones sean necesarias para mitigar la fuga de información.

En ocasiones será incluso necesario desconectar algún sistema o servicio de Internet de forma temporal mientras se subsana la brecha de seguridad para evitar nuevas fugas.

Finalmente, no debemos olvidar que es de carácter obligatorio por ley informar de la fuga de información ocurrida a la Agencia Española de Protección de Datos (AEPD), ya que la ocultación del incidente podría acarrear importantes sanciones.

Entre las principales consecuencias de un incidente de estas características nos encontramos con:

  • Daños de reputación o imagen: genera un impacto negativo en la entidad y lleva implícita la pérdida de confianza de los clientes y proveedores.
  • Consecuencias legales: podrían conllevar sanciones económicas o administrativas como consecuencia de los daños ocasionados a terceros.
  • Consecuencias económicas: estrechamente relacionadas con las anteriores, se encuentran dentro de aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc., pudiendo provocar el cierre, según demuestran diversas estadísticas, hasta en el 70% de los casos.

Medidas de prevención

Para mantener una adecuada protección de la información es necesario disponer de unas políticas adecuadas, que definan los criterios de acceso a la misma y que sean conocidas por todas aquellas personas que tengan acceso a los datos. En este sentido, definir quién y cómo será fundamental para poder elaborar políticas de forma correcta y eficiente.

Por otro lado, definir una política basada en el mínimo privilegio posible; es decir, que cada usuario solo acceda a los datos necesarios para desarrollar su trabajo, independientemente de su cargo o función, hará que sea más sencillo controlar el acceso de usuarios, así como la información concreta a la que se accede.

Existen en el mercado diversas herramientas que facilitan la labor, encaminadas a la protección y monitorización de la información y los dispositivos que en ella intervienen. Estas son conocidas como ILM (Information Life-cycle Management), para la administración del ciclo de vida de la información, y DLP (Data Loss Prevention), para la prevención de pérdida de datos.

Las medidas de prevención deben centrarse en el componente humano y organizativo, focalizándose en tres tipos:

  • Organizativas: clasificar la información definiendo los grados de importancia y acceso, definir políticas de seguridad y procedimentales, gestionar la seguridad de la información o establecer planes de concienciación internos sobre el uso de datos en la empresa dirigidos a sus empleados.
  • Técnicas: controles de acceso a la información, sistemas perimetrales como firewalls, monitorización de tráfico, soluciones antimalware y antifraude, actualizaciones y copias de seguridad, cifrado de la información sensible, etc.
  • Legales: aceptación de políticas y acuerdos de confidencialidad por parte de los empleados, acuerdos de servicio con proveedores, adecuación a la ley vigente de protección de datos como LOPD o LSSI, etc.
Cómo gestionar una fuga de información

Desde INCIBE ponemos a disposición de las empresas la siguiente guía:

Un recurso con todas las claves para aprender a reconocer, gestionar y prevenir este tipo de incidentes con seguridad.

La mayor parte de las veces, las fugas de información se producen accidentalmente por los propios empleados de la empresa, es por eso que invertir en concienciación es la forma más económica y eficiente de prevenir las pérdidas de información y mantener la integridad e imagen de la empresa seguras.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad

Etiquetas